Абоненты с соседних BDCOM не видят друг друга

[rip_van 0]

Добрый день!
Стоят паралельно два BDCOM P3616 и P3310B. P3616 маршрутизириует.
Стараюсь понять почему абонеты с разных OLT  не видят друг друга. Тетсировал так чтобы абоненты были в разных vlan (115 и 206) и одном и том же. 
На epon портах стоит switchport protected, но насколько я понял тут в пределах одной OLT. 

BDCOM P3310B

Цитата

 

!version 10.1.0B build 16688
service linenumber
service timestamps log date
service timestamps debug date
service password-encryption
logging buffered 4096
logging facility local3
logging trap warnings
!
error-disable-recovery 360
!
mac address-table aging-time 60
!
ip default-gateway 192.168.8.1
ip name-server 193.106.60.1
ip name-server 193.106.60.2
!
spanning-tree mode rstp
!
epon dba hardware cycletime 80000 discovery-frequence 60 discovery-length 1024
!
aaa authentication login default local
aaa authentication enable default none

interface GigaEthernet0/1
description to_BDCOMP3616
 switchport trunk vlan-allowed 101,111,115,206-208,702-703
 switchport mode trunk
 switchport pvid 703
  dhcp snooping trust
  arp inspection trust
  ip-source trust
 keepalive
 storm-control broadcast threshold 2500
!
!
interface EPON0/1
 switchport trunk vlan-allowed 101,115,206-208,702-703
 switchport trunk vlan-untagged 101,115,206-208,702
 switchport mode trunk
 switchport pvid 702
 switchport vlan-subnet enable
 storm-control broadcast threshold 2500
!
interface EPON0/1:1
 onu-configuration
 switchport port-security dynamic maximum 2
 switchport port-security mode dynamic
  epon onu port 1 ctc mcst tag-stripe enable
  epon onu port 1 ctc mcst mc-vlan add 703
!!onu-configuration-end

interface VLAN111
 ip address 192.168.8.2 255.255.255.0
!
!
!
!
vlan 111
 name admin
!
vlan 115
 name real
 subnet 193.106.62.0 255.255.255.0
!
vlan 206
 name access
 subnet 10.66.212.0 255.255.254.0
!
!
!
vlan 1,101,111,115,206-208,702-703

!
!
ip dhcp-relay snooping
ip dhcp-relay snooping vlan  1,115,145,702
ip verify source vlan  1,702
ip dhcp-relay snooping log

 

BDCOMP3616
 

Цитата

!version 10.1.0E build 33463
service linenumber
service timestamps log uptime
service timestamps debug date
logging buffered 32000
logging facility local6
logging trap warnings
!
error-disable-recovery 360
!
mac address-table aging-time 60
!
dos enable icmp
dos enable ip
dos enable ipv4firstfrag
dos enable mac
dos enable tcpfrag
ddm enable
!
port-protected 1
!
spanning-tree mode rstp
spanning-tree rstp priority 12288
!
aaa authentication login default local
aaa authentication enable default none
aaa authorization exec default local
!
epon oam-version 1 0x21
epon oam-version 2 0x20
!
epon onu-config-template foxgate1001c
 cmd-sequence 1 switchport port-security mode dynamic
 cmd-sequence 2 switchport port-security dynamic maximum 2
 cmd-sequence 3 epon onu port 1 ctc mcst tag-stripe enable
 cmd-sequence 4 epon onu port 1 ctc mcst mc-vlan add 703
 cmd-sequence 5 exit
 cmd-sequence 6 exit
!
interface Null0
!
!
interface GigaEthernet0/5
 description uplink
 switchport trunk vlan-allowed 101,110-111,115,208,702-703,806,2066
 switchport mode trunk
 switchport pvid 703
  dhcp snooping trust
 keepalive
 storm-control broadcast threshold 5000
!
interface GigaEthernet0/7
 description BDCOMP3310B
 switchport trunk vlan-allowed 101,111,115,206-208,702-703
 switchport mode trunk
 switchport pvid 703
  dhcp snooping trust
 keepalive
!
interface EPON0/5
 epon pre-config-template foxgate1001c binded-onu-llid 1-64
 switchport trunk vlan-allowed 101,115,206-208,702-703
 switchport trunk vlan-untagged 101,115,206-208,702
 switchport mode trunk
 switchport pvid 702
 switchport vlan-subnet enable
 switchport protected 1
!
!!slot end
!
interface VLAN111
 ip address 192.168.8.1 255.255.255.0
 no ip directed-broadcast
 ip ospf passive
!
interface VLAN206
 ip address 10.66.212.1 255.255.254.0
 no ip directed-broadcast
 ip access-group block_iface in
 ip ospf passive
!
vlan 111
name admin
!
vlan 115
 name Real
 subnet 193.106.62.0 255.255.255.0
!
vlan 206
 name access
 subnet 10.66.212.0 255.255.254.0
!
vlan 1,101,110-111,115,141-142,206-208,702-703,806,2066
!
ip dhcp-relay snooping
ip dhcp-relay snooping vlan  1,110,115,141,206-207,702
!

 

Відредаговано 2018-10-18 13:32:08 rip_van

[Земеля 725]

читаем что такое влан, и таг\унтаг

абоненты и не должны видеть друг друга, иначе будет

- если тип авторизации статик айпи ( то подделка ай-пи адреса соседа

- если пппое , то клонируем мак  + определенные манипуляции и го с песней 

в идеале у вас все должно работать по дхцп82

[rip_van 0]

12 минут назад, Земеля сказал:

читаем что такое влан, и таг\унтаг

абоненты и не должны видеть друг друга, иначе будет

- если тип авторизации статик айпи ( то подделка ай-пи адреса соседа

- если пппое , то клонируем мак  + определенные манипуляции и го с песней 

в идеале у вас все должно работать по дхцп82

Все работает по дхцп, плюс subnet vlan, плюс на одной ону бівает несколько абонетов.
Суть в том что у одного абонента регистратор, а у второго камера. И регистратор камеру не видит. Собственно вот почему этот вопрос стал актуальным. Будь они на одном OLT или порту, то там либо switchport protected либо epon inner-onu-switch

Відредаговано 2018-10-18 14:05:46 rip_van

[Земеля 725]

5 минут назад, rip_van сказал:

Все работает по дхцп, плюс subnet vlan, плюс на одной ону бівает несколько абонетов.
Суть в том что у одного абонента регистратор, а у второго камера. И регистратор камеру не видит. Собственно вот почему этот вопрос стал актуальным. Будь они на одном OLT или порту, то там либо switchport protected либо epon inner-onu-switch

создай на сервере отдельный влан, и подсеть для них

прогони до них отдельный влан и все. вланов же хоть попой кушай

[KaYot 3 687]

47 минут назад, Земеля сказал:

и все

И ничего не случится, сегментация не дает трафику бегать между портами независимо от вланов на этих портах.

 

По теме - второй ОЛТ у вас включен в порт первого?

[rip_van 0]

17 часов назад, KaYot сказал:

По теме - второй ОЛТ у вас включен в порт первого?

Именно так.
Вчера удалось добиться чтобы видели друг друга в одном vlan. Все дело в маршрутизации.Также и в  разных vlan буду править при необходимости, так как 206 маршрутизирует P3616, а 115 уже вышестоящая железка.

[melvin 66]

В 18.10.2018 в 18:00, KaYot сказал:

И ничего не случится, сегментация не дает трафику бегать между портами независимо от вланов на этих портах.

Да Вы очень сильно заблуждаетесь, ну очень сильно.

Согласно Вашей теории,  весь сетевой мир не должен работать, а интернета не должно существовать вообще.

Рассмотрим ситуацию, когда есть менеджмент влан и некая мониторинговая ОС.

 

Менеджмент сеть имеет влан 1 и сеточку 1.1.1.0/24,

Сеть, которую нужно мониторить имеет влан 2 и 3 и сеточки 2.2.2.0/24 и 3.3.3.0/24 соответственно.

Исходя из Ваших слов, чтобы мониторить сети в вланах 2 и 3, каждый влан необходимо заводить в мониторинговую ОС и с каждого влана и подсети нужно выделять один ip адрес. Таким образом, при 100 вланах в Вашей сети Вы получаете достаточно большие проблемы и самое главное, об экономии ресурсов системы уже ркчь идти не будет, так как Вы получите ежедневную борьбу человека и машины.

Решение проблемы достаточно простое, если иметь нкбольшое, хотя бы, понимание в маршрутизации, а именно в самой простой его составляющей - статические маршруты.

Таким образом получаем:

На необходимое оборудование (где рулятся наши вланы 2 и 3 ) заводится менеджмент влан.

На мониторинговой ОС находится только ОДИН менеджмент влан и только одна подсеть и ничего больше.

На мониторинговой ОС, благодаря статическим маршрутом создаем следующее:

2.2.2.0/24 next-hop 1.1.1.2( айпи на той железке где рулятся вланы 2 и 3) через влан менеджмент 1.

Таким образом, можно легко, к примеру, пингануть 2.2.2.2 в влане 2 с мониторинговой ОС в влане 1 с ип 1.1.1.1.

В разрезе Вашего сообщения я так и не понял понятия "сегментация" относительно порт/влан.

Не приследуется цель кого-то обидеть. Просто делюсь опытом.

В 18.10.2018 в 18:00, KaYot сказал:

По теме - второй ОЛТ у вас включен в порт первого?

А вот олты включать каскадом - не самая лучшая идея. Ткамовская таблица не резиновая.

Відредаговано 2018-10-23 18:52:06 melvin

[Dimkers 1 598]

18 минут назад, melvin сказал:

А вот олты включать каскадом - не самая лучшая идея. Ткамовская таблица не резиновая.

Если меня не подводит память, то даже на самой младшей модели 32К Маков...

[a_n_h 589]

3 минуты назад, Dimkers сказал:

Если меня не подводит память, то даже на самой младшей модели 32К Маков...

подводит, у 3310 8к МАКов.

[melvin 66]

8 минут назад, Dimkers сказал:

Если меня не подводит память, то даже на самой младшей модели 32К Маков...

Ограничения по таблице tcam действуют при подключениях dhcp-snooping, isg (ip source guard), dai (arp inspection), acl.

 

Не влияют storm-control,.    loopback

 

Кол-во маков безусловно влияет на память, но при включении хотябы одной из перечисленных функций, режим апокалипсиса приблежается все ближе и ближе.

Відредаговано 2018-10-23 19:16:37 melvin

[l1ght 377]

35 минут назад, melvin сказал:

Да Вы очень сильно заблуждаетесь, ну очень сильно.

Что за поток сознания....

 

Койот думал что там изоляция портов во всю, которая влияет на коммутацию, но уж никак не на маршрутизацию.

Лучше почитайте в чем разница и вникните в суть проблемы.

[melvin 66]

3 минуты назад, l1ght сказал:

Что за поток сознания....

 

Койот думал что там изоляция портов во всю, которая влияет на коммутацию, но уж никак не на маршрутизацию.

Лучше почитайте в чем разница и вникните в суть проблемы.

Я прочел достаточно внимательно.

Можно сне пояснить "изоляция портов, которая влияет на коммутацию"

[Dimkers 1 598]

Я не думаю, что даже при условии забитости обоих олтов(16*64 + 4*64) будет ахтунг.

Из практики. В каскаде стоял 3612+3310. Под 800 онушек в онлайне. Снупинг+арп испекшин+ ипсорс. Около года полет нормальный, ныне заменено на 3616+3310 в связи с расширением.

[melvin 66]

4 минуты назад, Dimkers сказал:

Я не думаю, что даже при условии забитости обоих олтов(16*64 + 4*64) будет ахтунг.

Из практики. В каскаде стоял 3612+3310. Под 800 онушек в онлайне. Снупинг+арп испекшин+ ипсорс. Около года полет нормальный, ныне заменено на 3616+3310 в связи с расширением.

Ничего не могу сказать плохого.

Сам я такие эксперименты не проводил (включить все и сразу)

Стараюсь на изначальном этапе руководствоваться все таки официальными рекомендациями.

Если прокатывает, то ради Бога.

Ведь в бензиновый автомобиль тоже можно залить дизельное топливо.

Но при поломке я все таки предпочитаю искать причину ее возникновения, а не думать, что может быть солярка была плохой и возвращаться на один шаг назад.

Если речь идет о нескольких головах на 4, 8 свистков, то может Вы и правы, но когда речь идет хотябы о двух 16 портовых головах, то эксперименты тэв этом случае не очень отобразятся на репутации.

[Dimkers 1 598]

9 часов назад, melvin сказал:

Ведь в бензиновый автомобиль тоже можно залить дизельное топливо. 

Дурковатое сравнение. Оно годится если сказать - онушки от Гпон не взлетают на ОЛТе для Епон.

По факту - арбайтен каскадом. Я лишь говорю о факте.