kill_bot 25 Опубликовано: 2018-01-11 11:18:59 Share Опубликовано: 2018-01-11 11:18:59 как сделать или кто что придумал поделитесь как отключать порты на ону или что с этим всем делать? роутеры включают "наоборот" и его дхцп все ложит - то случайно, то специально. подскажите как бороться или кто что придумал ? сложность имеем на 3310, 3616, 3608. пока стояли свичи и была медь - сложностей 0, теперь ****** Крик души! поделитесь опытом. Ссылка на сообщение Поделиться на других сайтах
vlin 43 Опубліковано: 2018-01-11 11:22:38 Share Опубліковано: 2018-01-11 11:22:38 ip access-list extended dhcp.filter deny udp any any eq 68 permit ip any any interface EPON0/x:x epon onu port 1 ip access-group dhcp.filter Ссылка на сообщение Поделиться на других сайтах
LV10 281 Опубліковано: 2018-01-11 12:15:26 Share Опубліковано: 2018-01-11 12:15:26 ну вы бл@#ь даете. Ссылка на сообщение Поделиться на других сайтах
kill_bot 25 Опубліковано: 2018-01-11 19:20:31 Автор Share Опубліковано: 2018-01-11 19:20:31 спасибо! сейчас попробую Ссылка на сообщение Поделиться на других сайтах
a_n_h 590 Опубліковано: 2018-01-11 19:22:24 Share Опубліковано: 2018-01-11 19:22:24 спасибо! сейчас попробую а пробовал изоляцию ОНУ, ПОН портов включить? Ссылка на сообщение Поделиться на других сайтах
prototip 284 Опубліковано: 2018-01-11 19:25:55 Share Опубліковано: 2018-01-11 19:25:55 опт 82 никто не отменял однако , чем не нравится то ? Ссылка на сообщение Поделиться на других сайтах
prototip 284 Опубліковано: 2018-01-11 19:27:01 Share Опубліковано: 2018-01-11 19:27:01 ip access-list extended dhcp.filter deny udp any any eq 68 permit ip any any interface EPON0/x:x epon onu port 1 ip access-group dhcp.filter Я бы даже не додумался до такого творчества , однако и такое наверное имеет место жить в говносетях .... Наверное помогает ... Ссылка на сообщение Поделиться на других сайтах
Cell 7 Опубліковано: 2018-01-11 20:23:59 Share Опубліковано: 2018-01-11 20:23:59 ip access-list extended dhcp.filter deny udp any any eq 68 permit ip any any interface EPON0/x:x epon onu port 1 ip access-group dhcp.filter Шото я слабо понимаю как тогда быть с валидным т.е. официальным DHCP сервером. Боюсь ему тоже такое не понравиться. Ссылка на сообщение Поделиться на других сайтах
kill_bot 25 Опубліковано: 2018-01-11 22:49:35 Автор Share Опубліковано: 2018-01-11 22:49:35 ip access-list extended dhcp.filter deny udp any any eq 68 permit ip any any interface EPON0/x:x epon onu port 1 ip access-group dhcp.filter Я бы даже не додумался до такого творчества , однако и такое наверное имеет место жить в говносетях .... Наверное помогает ... так научите разуму - а то не одного дельного совета от Вас не вижу. только как король говна - обосрал, а сказать нечего. Ссылка на сообщение Поделиться на других сайтах
prototip 284 Опубліковано: 2018-01-11 23:00:32 Share Опубліковано: 2018-01-11 23:00:32 Ну уважил , пошел стирать от говна корону шоб блестела , но мне как правило хватает и более простого подхода ... Используйте опт 82 , она замечательно реализована в муках на байдакоме . Читаем ветку от Ислайна - все замечательно расписано , что конкретно разжевать то ? Докучают сторонние дхсп и раком включенные раутеры ? Opt 82 решает все ваши проблемы в этом направлении и не стоит городить никакие ассес листы - это занадто и глупо . Мое обосранное величие зовет сюда https://local.com.ua/forum/topic/50432-%D0%BF%D0%BE%D0%B4%D0%B4%D0%B5%D1%80%D0%B6%D0%BA%D0%B0-option-82-%D0%BD%D0%B0-olt/ а потом например сюда http://webit.in.ua/article/BDCOM-P3310-option-82/ Ссылка на сообщение Поделиться на других сайтах
LV10 281 Опубліковано: 2018-01-12 08:40:38 Share Опубліковано: 2018-01-12 08:40:38 ты когда корону протрешь - расскажи нам тупицам, чем плох acl на медном порту онушки Ссылка на сообщение Поделиться на других сайтах
RockManX 9 Опубліковано: 2018-01-12 09:07:01 Share Опубліковано: 2018-01-12 09:07:01 иногда простой снупинг работает но иногда он блокирует и "нужный" сервер... зависит от прошивки и удачи Ссылка на сообщение Поделиться на других сайтах
prototip 284 Опубліковано: 2018-01-12 09:29:23 Share Опубліковано: 2018-01-12 09:29:23 ты когда корону протрешь - расскажи нам тупицам, чем плох acl на медном порту онушки Ну как по мне это попахивает параноидальным уровнем безопасности в разрезе dhcp . Ведь как только вы приказываете олту включить орт 82 и натравить его на определенный влан за "ширмой" как раз и происходит примерно такой сценарий , который вы предлагаете . И все это можно сделать путем 2 команд глобально и это есть + . Если речь идет о стандартной схеме ипое , частный сектор и однопортовая онушка , что составляет 98% случаев , то ваша схема с акцессом на медном порту просто избыточна и плодит только одно - длинную портянку конфига олта из лишних нескольких сотен строк . Стандартная схема опт 82 вполне достаточна для того , что бы избавить вас от проблемы с левыми дхсп . Ваша схема может пригодиться разве что в случае применения многопортовых ону когда вы не можете авторизовать клиента на уровне порта онушки , а только на уровне самой ону , однако это на сегодня довольно редкий сценарий , хотя вполне возможный . Ссылка на сообщение Поделиться на других сайтах
prototip 284 Опубліковано: 2018-01-12 09:36:26 Share Опубліковано: 2018-01-12 09:36:26 иногда простой снупинг работает но иногда он блокирует и "нужный" сервер... зависит от прошивки и удачи Прошивки и удача давно уже раскатано на форуме , достаточно почитать и поставить правильную . Кроме всего прочего байдаком умеет не просто снупинг , а намного больше - это вам не коммутаторы Cisco где политика совсем другая , особенно на древнем железе , которое до сих пор в строю . Пример - легенда Длинк DES-3526 . Коммутатор посредственный , но софт был допилен до совершенства , в связи с чем был мега популярен на просторах совка . На сегодняшний день эти слова в отношении софта можно смело произнести и в отношении Bdcom 3310 . Ссылка на сообщение Поделиться на других сайтах
kill_bot 25 Опубліковано: 2018-01-12 10:04:52 Автор Share Опубліковано: 2018-01-12 10:04:52 извините заранее не знающего. мас ону у нас есть, но авторизация сейчас идет по мак адресу, как привязать опцию 82? Ссылка на сообщение Поделиться на других сайтах
kill_bot 25 Опубліковано: 2018-01-22 08:39:24 Автор Share Опубліковано: 2018-01-22 08:39:24 кто то дельный нормальный совет даст или поделиться опытом? Ссылка на сообщение Поделиться на других сайтах
Dimkers 1 602 Опубліковано: 2018-01-22 15:26:59 Share Опубліковано: 2018-01-22 15:26:59 ip dhcp-relay snooping ip dhcp-relay snooping vlan 200 ip arp inspection vlan 200 ip verify source vlan 200 ip dhcp-relay snooping information option format hn-type ну и на аплинке dhcp snooping trust arp inspection trust ip-source trust Обычно этого с головой чтоб взлетела 82-я с авторизацией по маку ону Ссылка на сообщение Поделиться на других сайтах
kill_bot 25 Опубліковано: 2018-01-22 18:19:47 Автор Share Опубліковано: 2018-01-22 18:19:47 2 часа назад, Dimkers сказал: ip dhcp-relay snooping ip dhcp-relay snooping vlan 200 ip arp inspection vlan 200 ip verify source vlan 200 ip dhcp-relay snooping information option format hn-type ну и на аплинке dhcp snooping trust arp inspection trust ip-source trust Обычно этого с головой чтоб взлетела 82-я с авторизацией по маку ону подскажите пожалуйста, если не затруднит без 82 опции это можно сделать? у нас авторизация по мас адресу абонента идет. Ссылка на сообщение Поделиться на других сайтах
a_n_h 590 Опубліковано: 2018-01-22 18:41:59 Share Опубліковано: 2018-01-22 18:41:59 В 11.01.2018 в 13:22, vlin сказал: ip access-list extended dhcp.filter deny udp any any eq 68 permit ip any any interface EPON0/x:x epon onu port 1 ip access-group dhcp.filter как раз твой вариант. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас