DHCP-snooping в BDCOM 3310B не работает

[sanyadnepr 305]

Точно, это меня не в ту степь понесло.

[Небесный 26]

  В 07.03.2020 в 12:05, sanyadnepr сказав:

Точно, это меня не в ту степь понесло.

 

Expand  

 

По сути изоляцией - мой вопрос решился. Решение меня устраивает. Но интерес остался, почему не работает снупинг - это слишком основная функция, чтобы китайцы сломали при выпуске новой прошивки.

 

И все же может команда dhcp filter - это и есть ключ к работе сгупинга?

Відредаговано 2020-03-07 12:28:38 Небесный

[sanyadnepr 305]

А вот это попробуйте. (с)

Когда работает фильтрация dhcp на доступе, сегментация трафика не нужна, так получается ? 

[Dimkers 1 606]

Хм. А при чем тут фильтрация дхцп и сегментация трафика? Фильтрация дхцп это лишь "одна из" головных болей, которая решается сегментацией.

Відредаговано 2020-03-07 12:45:52 Dimkers

[Небесный 26]

  В 07.03.2020 в 12:44, Dimkers сказав:

Хм. А при чем тут фильтрация дхцп и сегментация трафика? Фильтрация дхцп это лишь "одна из" головных болей, которая решается сегментацией.

Expand  

 

Что конкретно делает dhcp filter?

Відредаговано 2020-03-07 13:08:02 Небесный

[Dimkers 1 606]

Я ее не юзал и не снифал. Но задаётся мне это тупой асл, который режет ответы на 68 порт. Видимо для случаев когда неможно запользовать снупинги и прочие трасты.

[NaviNavi 86]

Тоже включен filter dhcp, по логике как сказал выше Dimkers оно так и работает. На практике не проверяли, жалоб нет никаких с районов 

[sanyadnepr 305]

  В 07.03.2020 в 12:44, Dimkers сказав:

Хм. А при чем тут фильтрация дхцп и сегментация трафика? Фильтрация дхцп это лишь "одна из" головных болей, которая решается сегментацией.

Expand  

Проблема ТС была изначально в его реализации. У ТС возникла достаточно редкая проблема, онушка сошла с ума и раздавала абонам по ДХЦП.

Он построил сеть таким образом, что использует ОЛТ  с минимальным функционалом.

Допустим, ему от ОЛТа необходимо, только фильтрация левых ДХЦП, что он в теме и озвучил и больше ничего, все его проблемы, фильтрация решает.

Что предлагаешь ты ? Вместо фильтрации левых дхцп, включить сегментацию трафика. Верно ?

При этом локальный трафик между абонентами ты предлагаешь пустить через брас.

Попутно вычеркивая из списка предоставляемых услуг, L2 связность между онушками, в любых вариантах. Верно ?

 

У ТС вообще никаких головных болей небыло.

[nedoinet 441]

  В 07.03.2020 в 18:24, sanyadnepr сказав:

При этом локальный трафик между абонентами

Expand  

Имхо. В очко этот трафик. Если только не юрики занормально.

  В 07.03.2020 в 18:24, sanyadnepr сказав:

L2 связность между онушками, 

Expand  

Уровень геммороя превышает возможную выгоду. Если только на ветке не десяток юриков с тарифом "сотка занормально". Поэтому в очко эту связность.

[Dimkers 1 606]

  В 07.03.2020 в 18:24, sanyadnepr сказав:

Что предлагаешь ты ? Вместо фильтрации левых дхцп, включить сегментацию трафика. Верно ?

Expand  

Неверно. "Широковещательный домен" тебе что-то говорит?

Понимаешь, админ, он на то и админ, чтоб думать. Это эникей может не включить ПРИ УСТАНОВКЕ фильтрацию дхцп, потом долго грестись и в итоге включить. Помимо ДХЦП есть кольца, есть флуд. И если сразу не включать это, то увы, потом можно долго разгребаться, при этом абоненты ждут. Или уходят на соседний провод.

Вот есть вирусня, что долбит шары. Ты фильтранул только ДХЦП, но ничего больше. И с отключеной сегментацией у тебя зараза одного бегает ко всем. И пичаль в том - что это на ОЛТе, где трафик ты не заснифаешь Есть еще вагон и мелкая тележка различных приколов, что бегают в одном бродкаст домене. Вот ты даже знать о них не можешь, а они внутри ОЛТа живут себе. А потом начинаются жалобы и ты такой бежишь и начинаешь все клацать.

Была бы включена сегментация у ТС - вопрос бы даже не встал.

  В 07.03.2020 в 18:24, sanyadnepr сказав:

У ТС возникла достаточно редкая проблема, онушка сошла с ума и раздавала абонам по ДХЦП.

Expand  

 

  В 07.03.2020 в 18:24, sanyadnepr сказав:

У ТС вообще никаких головных болей небыло.

Expand  

Что-то не скалывается пазл.

 

  В 07.03.2020 в 18:24, sanyadnepr сказав:

Попутно вычеркивая из списка предоставляемых услуг, L2 связность между онушками, в любых вариантах. Верно ? 

Expand  

Почему же? Ок. Ты даешь L2 сязность. Как ты борешься с флудом и прочими прелестями в L2?

[Туйон 1 289]

Димкерс, так мы когда-то в другой теме на эту тему уже общались.

Тогда Вы сказали, что сегментация (у меня влан на /24 и разбито на десяток отдельных сегментов) - фигня.

И нужны исключительно вланы  

 

P.S. Блокирование портов нет-биос до сих пор актуально в 2020?

Везде же роутеры, куда оно долбить то будет? 

[Dimkers 1 606]

  В 08.03.2020 в 09:14, Туйон сказав:

P.S. Блокирование портов нет-биос до сих пор актуально в 2020?

Везде же роутеры, куда оно долбить то будет? 

Expand  

Удивитесь, ноя до сих пор наблюдаю долбежку на эти порты. Особенно в селах. Достаточно трафик снифануть в влане.

  В 08.03.2020 в 09:14, Туйон сказав:

нужны исключительно вланы

Expand  

Так вланы как раз и дробят широковещательный домен Оттого очень хорошо идет - влан на пользователя. Т.е. пользователь сам себе в домене сидит. И любой срач канального уровня остается в нем.

Даже если в влане несколько подсетей - это все равно ОДИН широковещательный домен. Азы, йопт.

Відредаговано 2020-03-08 09:21:11 Dimkers

[Туйон 1 289]

  В 08.03.2020 в 09:17, Dimkers сказав:

Так вланы как раз и дробят широковещательный домен Оттого очень хорошо идет - влан на пользователя. Т.е. пользователь сам себе в домене сидит. И любой срач канального уровня остается в нем.

Даже если в влане несколько подсетей - это все равно ОДИН широковещательный домен. Азы, йопт.

Expand  

Вы тоже продаёте интернет по 70 грн/мес, как и я?

Надеюсь, что нет.

Поэтому, увы, поставить везде на доступе умняки с вланами возможности нет.

Конвертор и тупарь работают исправно. И это не дело нежелания.

[Dimkers 1 606]

Ну я изначально зацепился за ОЛТ, который по дефолту, без доп. затрат умеет сегментацию. Оппонент же имеет противоположную точку зрения. Вот и бодаемся

[sanyadnepr 305]

  В 08.03.2020 в 09:02, Dimkers сказав:

Помимо ДХЦП есть кольца, есть флуд.

Expand  

У тебя голова чтоб читать, думать или только в нее есть ?

 

С какой целью ты тут распинаешься ? Для кого твои "громкие пустые фразы" ? Чтоб опять коньяк у кого то поклянчить ?

У меня описанных Выше проблем как у ТС нет. За бесплатно, не намерен заниматься здесь лекциями и описанием, "как надо строить сети".

Это много где описано и один хрен строят и настраивают через задницу.

Считаешь только сегментация_трафика функционалом ОЛТ_а единственное средство от всех болезней - думай так и дальше.

При этом тебе полагаю известно, как решить этот вопрос иначе.

Роутер стоит у каждого первого, комп напрямую - сейчас встретишь в десятки-сотни раз реже, чем раньше. У многих компа вообще нет, одни планшеты, смартфоны.

Это же не мною тут написано, спасите-памАгите, что делать ?! Мне изначально видится странным и непонятна мотивация, такая как у ТС реализация настроек ОЛТ_а, как и зоопарк онушек.

У ОЛТ есть и другой функционал, которым люди решают вполне успешно, затрагиваемые и поднимаемые тобой тут вопросы, но распинаться об этом не буду, кому надо, тот просто это использует.

Но уже не однократно слышал ответы, на вопрос зачем так делать с настройками ОЛТ ? - чем проще тем лучше. Оно же работало. Хозяин барин. 

Ты если посмотришь в конфиг ТС, то детект колец и шторм контроль, у него включен на порту онушек. Вопрос колец и флуда решен вполне успешно, остальное твои выдумки. Все, спекся ?

 

Відредаговано 2020-03-08 09:53:23 sanyadnepr

[Туйон 1 289]

  В 08.03.2020 в 09:38, Dimkers сказав:

Ну я изначально зацепился за ОЛТ, который по дефолту, без доп. затрат умеет сегментацию. Оппонент же имеет противоположную точку зрения. Вот и бодаемся

Expand  

Я в PON вообще не шарю, и в руках не держал.

Но если там была бы возможность полной сегментации, чтобы ОНУ видела лишь "аплинк" и только - я за!

[Dimkers 1 606]

  В 08.03.2020 в 09:40, sanyadnepr сказав:

Ты если посмотришь в конфиг ТС, то детект колец и шторм контроль, у него включен на порту онушек. Вопрос колец и флуда решен вполне успешно, остальное твои выдумки. Все, спекся ?

Expand  

Ты если посмотришь в конфиг ТС, то увидишь, что, например,  НЕ включен arp inspection. А коль ТС заговорил о ДХЦП снупинге, то обычно она юзается как раз таки с арп инспекшеном.

Спекся?

  В 08.03.2020 в 09:40, sanyadnepr сказав:

Роутер стоит у каждого первого, комп напрямую - сейчас встретишь в десятки-сотни раз реже, чем раньше.

Expand  

Дак разговор то не только о вирусне с шарами

Я еще раз повторюсь - L2 это не только кольца и ДХЦП.  Можно даже ПППОЕ на микротике поднять и сидеть ржать, если заведомо известно, что у тебя авторизация пппое. Вот расскажи, как ты с таким будешь бороться?

 

Відредаговано 2020-03-08 10:36:25 Dimkers

[Dimkers 1 606]

  В 08.03.2020 в 09:41, Туйон сказав:

Но если там была бы возможность полной сегментации, чтобы ОНУ видела лишь "аплинк" и только - я за! 

Expand  

Оно там так и есть, при чем в нескольких вариациях. Самый жестяк - если ОНУ многопортовка, то абоны с этих портов так же изолированы. Если проводить аналогию с Ubiquity - wifi_l2_isolation. Когда абоны, подключенные к одной и той же АР не видят друг друга(кстати у них это отключается из консоли и включено по дефолту, дебилы наверно ). Или на Wifi микротиках - default forward.

Відредаговано 2020-03-08 10:40:51 Dimkers

[sanyadnepr 305]

  В 08.03.2020 в 10:28, Dimkers сказав:

Можно даже ПППОЕ на микротике поднять и сидеть ржать, если заведомо известно, что у тебя авторизация пппое. Вот расскажи, как ты с таким будешь бороться?

Expand  

В случае с пппое, сегментация - волшебная таблетка. Но у ТС ДХЦП плюс статика.

 

  В 08.03.2020 в 10:28, Dimkers сказав:

НЕ включен arp inspection.

Expand  

ТС писал, он ему не нужен. К тому же, есть аппаратные ограничения, о которых писал выше. У тебя похоже проблемы с вниманием, пониманием уже написанного, в теме. 

Відредаговано 2020-03-08 10:47:36 sanyadnepr

[Dimkers 1 606]

  В 08.03.2020 в 10:46, sanyadnepr сказав:

ТС писал, он ему не нужен.

Expand  

А я написал - что он используется обычно впаре с снупингом

Возможно включение решит проблему на этой прошивке, я ХЗ.

 

Еще раз: сегментация - таблетка от многих болей в L2. Конкретно сам ТС заюзал таки port protect. И рад.  А ты влез со своими регистраторами.

[Небесный 26]

Мля, шо вы тут срач развели? Я спрашивал кого-то как мне сеть строить? Или тут все умные, а я дурак и не знаю, какие есть проблемы в сети?

 

Я спросил просто и лаконично: не работает снупинг! Точка.

 

Нахуй мне ваши тут топологии сети в кольца и всяка хуйня, которую вы тут гоните. Если до этого у меня было открыто общение между онушками - на то у меня была причина, чтобы она была открыта.

 

Со вторника на столе буду пробовать понижать версию прошивки и смотреть, на какой прошивке будет работать снупинг. Хотя чет я сомневаюсь, что тут дело в прошивке.

Есть идеи по этому поводу пишите, хотите сраться - идите сритесь у себя в личках.

[KaYot 3 730]

  В 08.03.2020 в 11:09, Небесный сказав:

Я спрашивал кого-то как мне сеть строить? Или тут все умные, а я дурак и не знаю, какие есть проблемы в сети?

Я спросил просто и лаконично: не работает снупинг!

Expand  

Почему не подсказать человеку? Не нужен снупинг для борьбы с левыми дхцп, это как на Кразе на работу ездить.

 

  В 06.03.2020 в 06:49, vovchokig сказав:

ip access-list extended subs.filter

 deny udp any any eq 68

 permit ip any any

!

Expand  

Вот такой кусок АЦЛки тупо запрещает dhcp-сервер у клиента, больше ничего не нужно.

Відредаговано 2020-03-08 11:46:00 KaYot

[Небесный 26]

Все проблемы решила изоляция, но просто уже стало интересно, че не так со снупингом?

[nedoinet 441]

  В 08.03.2020 в 11:37, KaYot сказав:

снупинг для борьбы с левыми дхцп,

Expand  

Ну любит на народ всякоеговно   забивать гвозди микроскопом.

[Небесный 26]

  В 08.03.2020 в 11:55, nedoinet сказав:

Ну любит на народ всякоеговно   забивать гвозди микроскопом.

Expand  

Интересные Вы однако. Как буд-то я сам тут придумал фичу "снупинг". 

Відредаговано 2020-03-08 15:48:27 Небесный