DHCP-snooping в BDCOM 3310B не работает

[Небесный 26]

Столкнулся с такой заразой, клиент по всей видимости перевернул роутер внутренними портами на ОНУ и начал смело раздавать айпишки во всем влане. И того снупинг не работает, вопрос почему?

 

Что имеем по конфигу, буду писать кратко конфиг разные там снмп, юзеров выкину.

 

sh ver
BDCOM(tm) P3310B Software, Version 10.1.0B Build 63244
Copyright by Shanghai Baud Data Communication CO. LTD.
Compiled: 2019-5-21 17:44:35 by SYS_63244, Image text-base: 0x80008000
ROM: System Bootstrap, Version 0.3.3, Serial num:00313002038
System image file is "Switch.bin"
(RISC) processor with 131072K bytes of memory, 8192K bytes of flash
Base ethernet MAC Address: xx:xx:xx:xx:xx:xx
snmp info:
  product_ID:228   system_ID:1.3.6.1.4.1.3320.1.228.0
XXXXXXXXXX uptime is 0:08:07:04, The current time: 1970-1-1 10:7:3

 

Building configuration...


Current configuration:
!
!version 10.1.0B build 63244
service timestamps log date
service timestamps debug date
!
!
epon onu-uni-link-status-on
!
!
!
spanning-tree mode rstp
!
epon dba hardware cycletime 25000 discovery-frequence 60 discovery-length 1024
!
aaa authentication login default local
aaa authentication enable default enable
!
epon onu-config-template speed_1GB_template
 cmd-sequence 1 epon sla upstream pir 1000000 cir 10000
 cmd-sequence 2 epon sla downstream pir 1000000 cir 10000
 cmd-sequence 3 epon onu all-port loopback detect
 cmd-sequence 4 epon onu all-port storm-control mode 3 threshold 256
!
!
!!slot 0 84
interface GigaEthernet0/1
 switchport trunk vlan-allowed 2,10,22,24
 switchport mode trunk
  dhcp snooping trust
!
interface EPON0/1
 epon pre-config-template speed_1GB_template binded-onu-llid 1-64
 switchport mode trunk
 switchport pvid 24
 switchport protected
 epon error-frame-alarm
!
interface EPON0/1:1
 onu-configuration
 epon sla upstream pir 1000000 cir 10000
 epon sla downstream pir 1000000 cir 10000
  epon onu port 1 loopback detect
  epon onu port 1 storm-control mode 3 threshold 256
!!onu-configuration-end
!
!!slot end
!
interface VLAN10
 ip address xxx.xxx.xxx.xxx 255.255.252.0
!
vlan 1-2,10,22,24
!
ip dhcp-relay snooping
ip dhcp-relay snooping vlan  22,24
!
ip http language chinese
!
snmp-server community 0 public RO
snmp-server community 0 bgg RO
!
ip sshd enable
!
time-zone Kiev 2 0
!
!Pending configurations for absent linecards:
!
!No configurations pending global

 

Відредаговано 2020-03-06 06:46:22 Небесный

[vovchokig 35]

!
ip access-list extended subs.filter
 deny   tcp any any eq 135
 deny   tcp any any eq 136
 deny   tcp any any eq 137
 deny   tcp any any eq 138
 deny   tcp any any eq 445
 deny   udp any any eq 68
 permit ip any any
!
............................
interface GigaEthernet0/4
 description M.Saltanivka
 switchport trunk vlan-allowed 50,55,101,105,201,300,401-404,420,500,600
 switchport trunk vlan-allowed add 700,901-908,920
 switchport trunk vlan-untagged 1
 switchport mode trunk
  dhcp snooping trust
  arp inspection trust
  ip-source trust
 storm-control broadcast threshold 500
 storm-control multicast threshold 500
 storm-control unicast threshold 80000
!
..............................
interface EPON0/1
 description PON-1
 epon mpcp-registration ctc 30
 epon pre-config-template P-20 binded-onu-llid 1-64


 switchport trunk vlan-allowed 50,201,401,420,500,600
 switchport trunk vlan-untagged 1
 switchport mode trunk
 storm-control multicast threshold 500
 ip access-group subs.filter
 switchport protected
!
..................
!
ip dhcp-relay snooping
ip dhcp-relay snooping vlan  401-404,420,600
ip verify source vlan  401-404
ip dhcp-relay snooping write-time 10
ip dhcp-relay snooping write-immediately
ip dhcp-relay snooping information option format hn-type
ip dhcp-relay snooping log
!
..........................



BDCOM(tm) P3310B Software, Version 10.1.0B Build 33463
Copyright by Shanghai Baud Data Communication CO. LTD.
Compiled: 2016-2-24 18:9:56 by SYS_33463, Image text-base: 0x80008000
ROM: System Bootstrap, Version 0.3.4, Serial num:S13002951
System image file is "Switch.bin"

У меня такие настройки, все прекрасно работает.

[Небесный 26]

В 06.03.2020 в 08:49, vovchokig сказал:

!
ip access-list extended subs.filter
 deny   tcp any any eq 135
 deny   tcp any any eq 136
 deny   tcp any any eq 137
 deny   tcp any any eq 138
 deny   tcp any any eq 445
 deny   udp any any eq 68
 permit ip any any
!

У меня такие настройки, все прекрасно работает.

 

По всей видимости из-за АЦЛ, тоже уже думал в эту сторону, но все же хочется разобраться, почему снупинг не работает в чистом виде. Без всяких там костылей в виде АЦЛ.

Відредаговано 2020-03-07 06:54:36 Небесный

[a_n_h 559]

Может есть смысл включить "изоляцию" ОНУшек?

[Dimkers 1 535]

48 минут назад, Небесный сказал:

Build 63244

откатите, видайть китайсы опять поломали. До сих пор сижу на 33463. Как часы.

Відредаговано 2020-03-06 07:25:46 Dimkers

[Небесный 26]

28 минут назад, a_n_h сказал:

Может есть смысл включить "изоляцию" ОНУшек?

Если не ошибаюсь, по умолчанию отключена.

[sanyadnepr 305]

Что мешает включить ? Вам известны следующие грабли, на которые Вы наступите ? vovchokig не просто так acl использует.

[Небесный 26]

12 минут назад, sanyadnepr сказал:

Что мешает включить ? Вам известны следующие грабли, на которые Вы наступите ? vovchokig не просто так acl использует.

Ой, по умолчанию включена.

[sanyadnepr 305]

1 час назад, Небесный сказал:

начал смело раздавать айпишки во всем влане.

Влан на ОЛТ ?   

Тогда экспериментировать с прошивками.

 

[Небесный 26]

4 часа назад, sanyadnepr сказал:

Влан на ОЛТ ?   

Тогда экспериментировать с прошивками.

 

Наэксперементировал, что ОЛТ лег. ))) Залил прошивку P3310B_en_29333_11170_2014.bin и ОЛТ начал цыклически перегружаться. Пришлось через аварийный режим перезаливать прошивку.

[sanyadnepr 305]

Вы это, завязывайте, развлекаться в пятницу перед 3 выходными)))

Сделайте как в рабочем примере acl и спокойно празднуйте-отдыхайте, на улице практически лето !

После праздников поднимайте стенд или на абонах тренируйтесь.)))

[Небесный 26]

Во вторник буду делать наверное на столе в тестовом режиме все это дело.

Відредаговано 2020-03-06 14:12:34 Небесный

[a_n_h 559]

31 минуту назад, Небесный сказал:

Во вторник буду делать наверное на столе в тестовом режиме все это дело.

следующее включено? для борьбы с "левыми" DHCP мне хватало:

 

 

1. ИЗОЛЯЦИЯ ПОРТОВ

 

BDCOMP3310Bподдерживает 3 уровня изоляции: изоляция портов ONU, изоляция ONUна одном EPON порту и изоляция ONU на соседних EPONпортах.

 

Изоляция соседних портов одной ONU (в этом случае ПК абонентов, подключённые к соседним портам ONU не могут общаться друг с другом напрямую - только через EPONпорт OLT-а).

 

Switch_config_epon0/1:1#epon onuport-protect

 

Изоляция ONU, подключённых к одному EPONпорту OLT-а (в этом случае ONU из одного дерева не могут общаться друг с другом напрямую через EPONпорт OLT-а - OLTотправляет пакеты на коммутатор вышестоящего уровня).

 

Switch_config_epon0/1#no eponinner-onu-switch

 

Изоляция ONU, подключённых к разным EPONпортам OLT-а (в этом случае ONU из соседних деревьев не могут общаться друг с другом напрямую и OLTотправляет пакеты на коммутатор вышестоящего уровня).

 

Switch_config_epon0/1#switchport protected

 

 

[ISK 259]

20 минут назад, a_n_h сказал:

следующее включено? для борьбы с "левыми" DHCP мне хватало:

Вот-вот. Изоляция это must have в первую очередь - у мну все OLT в одном VLAN и ничего - таких проблем не было...

[sanyadnepr 305]

А как же локальный трафик между абонентами ? - интернет работает, дальше не мои проблемы или какие то костыли для локалки ?

 

[a_n_h 559]

1 минуту назад, sanyadnepr сказал:

А как же локальный трафик между абонентами ? - интернет работает, дальше не мои проблемы или какие то костыли для локалки ?

 

странный вопрос от провайдера... 

[Dimkers 1 535]

12 минут назад, sanyadnepr сказал:

А как же локальный трафик между абонентами ?

А кто мешает его маршрутить на брасе?

[nedoinet 429]

26 минут назад, sanyadnepr сказал:

как же локальный трафик между абонентами ? 

А накой он тарахтел? В надежде шо торентщики будут качать локально, а не нагибать внешний канал? 

[sanyadnepr 305]

32 минуты назад, Dimkers сказал:

А кто мешает его маршрутить на брасе?

Никто не мешает, но не у всех аксель, не всегда это нужно гонять локальный траф через брас. Не просто ж так один влан на ОЛТ у ТС. Есть вероятно какие то особенности реализации.

 

16 минут назад, nedoinet сказал:

А накой он тарахтел? В надежде шо торентщики будут качать локально, а не нагибать внешний канал? 

Видеонаблюдение например. 

 

41 минуту назад, a_n_h сказал:

странный вопрос от провайдера... 

"Достойный" ответ от провайдера...это не вопрос а утверждение.

Відредаговано 2020-03-06 16:00:22 sanyadnepr

[a_n_h 559]

2 минуты назад, sanyadnepr сказал:

Видеонаблюдение например. 

в тех редких случаях, когда это действительно нужно, - вам уже подсказали:

35 минут назад, Dimkers сказал:

А кто мешает его маршрутить на брасе?

 

P.S. а вы точно провайдер? админ имеется?

[sanyadnepr 305]

a_n_h мне подсказывать про изоляцию портов не надо. Хотел обратить внимание что вариантов реализации и использования оборудования достаточно много и в некоторых случаях нельзя вот так просто взять и включить изоляцию портов, в каком либо из вариантов, можно что то потерять, какой-то уже использующийся функционал. 

Відредаговано 2020-03-06 16:28:33 sanyadnepr

[Stalker1 136]

8 часов назад, Dimkers сказал:

откатите, видайть китайсы опять поломали. До сих пор сижу на 33463. Как часы.

Плюсую за старую прошивку, и не надо обновлять, работает и работает))

[Dimkers 1 535]

37 минут назад, sanyadnepr сказал:

не у всех аксель,

А при чем тут аксель?

При чем тут влан на олт?

Какие особенности реализации?

Вы понимаете что такое портпротектед?

Відредаговано 2020-03-06 16:35:29 Dimkers

[sanyadnepr 305]

При том что с тобой разговаривать бесполезно, у тебя походу сегодня очередное обострение.

 

[Небесный 26]

На мой DHCP-server прилетало такое

Mar  6 17:25:39 Billing dhcpd: DHCPREQUEST for 192.168.1.103 from bc:a5:8b:23:6b:ae via eth0: ignored (not authoritative).
Mar  6 17:25:47 Billing dhcpd: DHCPREQUEST for 192.168.1.104 from 00:b5:d0:69:77:c3 via eth0: ignored (not authoritative).
Mar  6 17:25:47 Billing dhcpd: DHCPREQUEST for 192.168.1.104 from 00:b5:d0:69:77:c3 via eth0: ignored (not authoritative).
Mar  6 17:25:47 Billing dhcpd: DHCPREQUEST for 192.168.1.104 from 00:b5:d0:69:77:c3 via 10.10.24.1: ignored (not authoritative).
Mar  6 17:25:47 Billing dhcpd: DHCPREQUEST for 192.168.1.104 from 00:b5:d0:69:77:c3 via eth0: ignored (not authoritative).
Mar  6 17:26:35 Billing dhcpd: DHCPREQUEST for 192.168.1.101 (192.168.1.1) from 8c:c8:cd:ed:7c:43 via eth0: ignored (not authoritative).
Mar  6 17:26:35 Billing dhcpd: DHCPREQUEST for 192.168.1.101 (192.168.1.1) from 8c:c8:cd:ed:7c:43 via eth0: ignored (not authoritative).
Mar  6 17:26:35 Billing dhcpd: DHCPREQUEST for 192.168.1.101 (192.168.1.1) from 8c:c8:cd:ed:7c:43 via 10.10.24.1: ignored (not authoritative).
Mar  6 17:26:35 Billing dhcpd: DHCPREQUEST for 192.168.1.101 (192.168.1.1) from 8c:c8:cd:ed:7c:43 via eth0: ignored (not authoritative).
Mar  6 17:28:23 Billing dhcpd: DHCPREQUEST for 192.168.1.103 from bc:a5:8b:23:6b:ae via eth0: ignored (not authoritative).
Mar  6 17:28:23 Billing dhcpd: DHCPREQUEST for 192.168.1.103 from bc:a5:8b:23:6b:ae via eth0: ignored (not authoritative).
Mar  6 17:28:23 Billing dhcpd: DHCPREQUEST for 192.168.1.103 from bc:a5:8b:23:6b:ae via 10.10.24.1: ignored (not authoritative).
Mar  6 17:28:23 Billing dhcpd: DHCPREQUEST for 192.168.1.103 from bc:a5:8b:23:6b:ae via eth0: ignored (not authoritative).
Mar  6 17:28:23 Billing dhcpd: DHCPREQUEST for 192.168.1.103 from bc:a5:8b:23:6b:ae via 10.10.24.1: ignored (not authoritative).
Mar  6 17:28:23 Billing dhcpd: DHCPREQUEST for 192.168.1.103 from bc:a5:8b:23:6b:ae via eth0: ignored (not authoritative).
Mar  6 17:28:24 Billing dhcpd: DHCPREQUEST for 192.168.1.103 from bc:a5:8b:23:6b:ae via 10.10.24.1: ignored (not authoritative).
Mar  6 17:28:24 Billing dhcpd: DHCPREQUEST for 192.168.1.103 from bc:a5:8b:23:6b:ae via eth0: ignored (not authoritative).
Mar  6 17:29:48 Billing dhcpd: DHCPREQUEST for 192.168.1.104 from 00:b5:d0:69:77:c3 via eth0: ignored (not authoritative).
Mar  6 17:29:48 Billing dhcpd: DHCPREQUEST for 192.168.1.104 from 00:b5:d0:69:77:c3 via eth0: ignored (not authoritative).
Mar  6 17:29:48 Billing dhcpd: DHCPREQUEST for 192.168.1.104 from 00:b5:d0:69:77:c3 via 10.10.24.1: ignored (not authoritative).
Mar  6 17:29:48 Billing dhcpd: DHCPREQUEST for 192.168.1.104 from 00:b5:d0:69:77:c3 via eth0: ignored (not authoritative).
Mar  6 17:35:20 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 17:35:20 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 17:35:20 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via 10.10.24.1: ignored (not authoritative).
Mar  6 17:35:20 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 17:45:36 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 17:45:36 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 17:45:36 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via 10.10.24.1: ignored (not authoritative).
Mar  6 17:45:36 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 17:47:39 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 17:47:39 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 17:47:39 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via 10.10.24.1: ignored (not authoritative).
Mar  6 17:47:39 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 17:49:22 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 17:49:22 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 17:49:22 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via 10.10.24.1: ignored (not authoritative).
Mar  6 17:49:22 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 18:21:36 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 18:21:36 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 18:21:36 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via 10.10.24.1: ignored (not authoritative).
Mar  6 18:21:36 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 18:26:40 Billing dhcpd: DHCPREQUEST for 192.168.1.105 (192.168.1.1) from 8c:c8:cd:ed:7c:43 via eth0: ignored (not authoritative).
Mar  6 18:26:40 Billing dhcpd: DHCPREQUEST for 192.168.1.105 (192.168.1.1) from 8c:c8:cd:ed:7c:43 via eth0: ignored (not authoritative).
Mar  6 18:26:40 Billing dhcpd: DHCPREQUEST for 192.168.1.105 (192.168.1.1) from 8c:c8:cd:ed:7c:43 via 10.10.24.1: ignored (not authoritative).
Mar  6 18:26:40 Billing dhcpd: DHCPREQUEST for 192.168.1.105 (192.168.1.1) from 8c:c8:cd:ed:7c:43 via eth0: ignored (not authoritative).
Mar  6 18:32:37 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 18:32:37 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 18:32:37 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via 10.10.24.1: ignored (not authoritative).
Mar  6 18:32:37 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 18:39:21 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 18:39:21 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).
Mar  6 18:39:21 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via 10.10.24.1: ignored (not authoritative).
Mar  6 18:39:21 Billing dhcpd: DHCPREQUEST for 192.168.1.102 (192.168.1.1) from d8:ce:3a:17:96:dd via eth0: ignored (not authoritative).

Не поверите кто раздавал айпишки в сети, я был в шоке PICOTEL PU-E410.

Подключившись во влан, зашел на 192.168.1.1 - и попал прямо на онушку и офигел.

 

Спасло ситуацию добавление релея. ip dhcp-relay helper-address 10.10.100.2 vlan 22,24 . Пока на выходные оставлю.