Перейти к содержимому
Local
kill_bot

как сделать или кто как борьбу ведет 3310 bdcom dhcp screaming?

Рекомендованные сообщения

как сделать или кто что придумал поделитесь как отключать порты на ону или что с этим всем делать?

 

роутеры включают "наоборот" и его дхцп все ложит - то случайно, то специально. 

 

подскажите как бороться или кто что придумал ?

 

сложность имеем на 3310, 3616, 3608.

 

пока стояли свичи и была медь - сложностей 0, теперь ******

 

Крик души! поделитесь опытом.  

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
ip access-list extended dhcp.filter

 deny   udp any any eq 68

 permit ip any any

 


interface EPON0/x:x

  epon onu port 1 ip access-group dhcp.filter

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

спасибо! сейчас попробую

а пробовал изоляцию ОНУ, ПОН портов включить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

опт 82 никто не отменял однако , чем не нравится то ? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

ip access-list extended dhcp.filter
 deny   udp any any eq 68
 permit ip any any
 
interface EPON0/x:x
  epon onu port 1 ip access-group dhcp.filter
 

 

Я бы даже не додумался до такого творчества , однако и такое наверное имеет место жить в говносетях .... Наверное помогает ...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

ip access-list extended dhcp.filter
 deny   udp any any eq 68
 permit ip any any
 
interface EPON0/x:x
  epon onu port 1 ip access-group dhcp.filter
 

 

Шото я слабо понимаю как тогда быть с валидным т.е. официальным DHCP сервером. Боюсь ему тоже такое не понравиться.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

 

ip access-list extended dhcp.filter
 deny   udp any any eq 68
 permit ip any any
 
interface EPON0/x:x
  epon onu port 1 ip access-group dhcp.filter
 

 

Я бы даже не додумался до такого творчества , однако и такое наверное имеет место жить в говносетях .... Наверное помогает ...

 

так научите разуму - а то не одного дельного совета от Вас не вижу. только как король говна - обосрал, а сказать нечего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну уважил , пошел стирать от говна  корону шоб блестела , но мне как правило хватает и более простого подхода ...  

Используйте опт 82 , она замечательно реализована в муках на байдакоме .  Читаем ветку от Ислайна  - все замечательно расписано , что конкретно разжевать то ?  

Докучают сторонние дхсп и раком включенные раутеры ?  Opt 82 решает все ваши проблемы в этом направлении и не стоит городить никакие ассес листы - это занадто и глупо .

Мое обосранное величие зовет сюда https://local.com.ua/forum/topic/50432-%D0%BF%D0%BE%D0%B4%D0%B4%D0%B5%D1%80%D0%B6%D0%BA%D0%B0-option-82-%D0%BD%D0%B0-olt/

а потом например сюда http://webit.in.ua/article/BDCOM-P3310-option-82/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ты когда корону протрешь - расскажи нам тупицам, чем плох acl на медном порту онушки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

иногда простой снупинг работает

но иногда он блокирует и "нужный" сервер...

зависит от прошивки и удачи

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ты когда корону протрешь - расскажи нам тупицам, чем плох acl на медном порту онушки

Ну как по мне это попахивает параноидальным уровнем безопасности в разрезе dhcp . Ведь как только вы приказываете олту включить орт 82 и натравить его на определенный влан за "ширмой" как раз и происходит примерно такой сценарий , который вы предлагаете . И все это можно сделать путем 2 команд глобально и это есть + . Если речь идет о стандартной схеме ипое , частный сектор и однопортовая онушка , что составляет 98% случаев , то ваша схема с акцессом на медном порту просто избыточна и плодит только одно - длинную портянку конфига олта из лишних нескольких сотен строк .  Стандартная схема опт 82 вполне достаточна для того , что бы избавить вас от проблемы с левыми дхсп .  

Ваша схема может пригодиться разве что в случае применения многопортовых ону когда вы не можете авторизовать клиента на уровне порта онушки , а только на уровне самой ону , однако это на сегодня довольно редкий сценарий , хотя вполне возможный .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

иногда простой снупинг работает

но иногда он блокирует и "нужный" сервер...

зависит от прошивки и удачи

Прошивки и удача давно уже раскатано на форуме , достаточно почитать и поставить правильную .  Кроме всего прочего байдаком умеет не просто снупинг , а намного больше - это вам не коммутаторы Cisco где политика совсем другая , особенно на древнем железе , которое до сих пор в строю .  Пример - легенда Длинк DES-3526 . Коммутатор посредственный , но софт был допилен до совершенства , в связи с чем был мега популярен на просторах совка .  На сегодняшний день эти слова в отношении софта можно смело произнести и в отношении Bdcom 3310 .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

извините заранее не знающего. мас ону у нас есть, но авторизация сейчас идет по мак адресу, как привязать опцию 82?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кто то дельный нормальный совет даст или поделиться опытом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ip dhcp-relay snooping
ip dhcp-relay snooping vlan  200
ip arp inspection vlan 200
ip verify source vlan  200
ip dhcp-relay snooping information option format hn-type

 

ну и на аплинке

 

dhcp snooping trust
  arp inspection trust
  ip-source trust

 

Обычно этого с головой чтоб взлетела 82-я с авторизацией по маку ону

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, Dimkers сказал:

ip dhcp-relay snooping
ip dhcp-relay snooping vlan  200
ip arp inspection vlan 200
ip verify source vlan  200
ip dhcp-relay snooping information option format hn-type

 

ну и на аплинке

 

dhcp snooping trust
  arp inspection trust
  ip-source trust

 

Обычно этого с головой чтоб взлетела 82-я с авторизацией по маку ону

 

подскажите пожалуйста, если не затруднит без 82 опции это можно сделать? 

 

у нас авторизация по мас адресу абонента идет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 11.01.2018 в 13:22, vlin сказал:
ip access-list extended dhcp.filter
 
 deny   udp any any eq 68
 
 permit ip any any
 
 
 
 
interface EPON0/x:x
 
  epon onu port 1 ip access-group dhcp.filter
 
 

как раз твой вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×