DHCP-snooping в BDCOM 3310B не работает

[NaviNavi 86]

4 минуты назад, Туйон сказал:

Есть один местак, где 4, гирляндой ))

Мониторю загрузку - по вечерам на графике ну раз в неделю прыгает до 90 на полчаса.

Когда кто то упорото начинает качать.

95% времени колышется в районе 10-30 мбит.

Где на порту 1 тупарь, вообще график еле живой

Да схемы такие работают по сей день, у каждого в сети такие участки есть, от этого не деться никуда 

2 минуты назад, Туйон сказал:

Сколько МАС-адресов за собой нормально прожевывает ОНУ у вас ?

Не практикуем замену онушкой медика в сегменте где связка медик+свитч, строится новая сеть на поне и каждого переводим на пон, а после этого вырезается и демонтируется все старое. 

[nedoinet 429]

5 минут назад, Туйон сказал:

Сколько МАС-адресов за собой нормально прожевывает ОНУ у вас ?

кто-то хвалился что 102 жует. но подозреваю что у большинства онушек таблица на 64 мака.

Відредаговано 2020-03-06 19:36:22 nedoinet

[NaviNavi 86]

3 минуты назад, nedoinet сказал:

4 минуты назад, nedoinet сказал:

кто-то хвалился что 102 жует. но подозреваю что у большинства онушек таблица на 64 мака.

 

Нет желания тестить, работает старая сеть и параллельно строится новая сеть, чтоб не растерять существующих абонентов и плюсом новых подключить. Монтажники когда работают народ выходит с вопросами А кто что и как и в ответ слышат модернизация сети чтоб у вас все работало хорошо, потом сарафанное радио и заявки на подключки идут

[Небесный 26]

1 час назад, Туйон сказал:

У меня в 1 влане по 30-50 чел, но сегментация есть, и люди видят друг друга только в пределах тупаря - 2-5 чел.

Та, это уже паранойа. Если небольшой район, то в один влан. Если большой - побить на несколько. В езернете управляемые свичи справляются с кАкой в сети, это словил баг на ОЛТе со снупингом, а так не вижу проблем 100-200 абонов держать в одном влане. Короче /24 маска, ну накрайняк /23. 

Відредаговано 2020-03-06 20:57:26 Небесный

[sergeyko 2]

Switch_config_g0/1#ip-source trust

Switch_config_g0/1#dhcp snooping trust

Switch_config_g0/1#arp inspection trust

 

 

Switch_config_epon0/1#filter bpdu

Switch_config_epon0/1#filter dhcp

 

 

Switch_config# ip dhcp-relay snooping 

Switch_config# ip dhcp-relay snooping vlan xxxx

Switch_config#ip arp inspection vlan xxxx

Switch_config# ip verify source vlan  xxxx
Switch_config# ip dhcp-relay snooping information option format cm-type 

Switch_config# ip dhcp-relay agent

 

Всего этого достаточно чтобы решить проблему автора этой темы

[Небесный 26]

15 минут назад, sergeyko сказал:

Switch_config_g0/1#ip-source trust

Switch_config_g0/1#dhcp snooping trust

Switch_config_g0/1#arp inspection trust

 

 

Switch_config_epon0/1#filter bpdu

Switch_config_epon0/1#filter dhcp

 

 

Switch_config# ip dhcp-relay snooping 

Switch_config# ip dhcp-relay snooping vlan xxxx

Switch_config#ip arp inspection vlan xxxx

Switch_config# ip verify source vlan  xxxx
Switch_config# ip dhcp-relay snooping information option format cm-type 

Switch_config# ip dhcp-relay agent

 

Всего этого достаточно чтобы решить проблему автора этой темы

Абоненты у кого статикой прописано работать будет?

Відредаговано 2020-03-06 22:21:49 Небесный

[sergeyko 2]

нет

 

в даной конфигурации клиент сможет только получить адрес по DHCP

 

[Небесный 26]

37 минут назад, sergeyko сказал:

нет

 

в даной конфигурации клиент сможет только получить адрес по DHCP

 

Я то и заметил инспектион и верифи. Много абонов за статикой сидит. Посему и пытаюсь настроить обычный без прибамбасов снупинг. Конечно выше указанный вариант очень даже не плох, когда-то так было у меня в доксисе. Паралельно с доксисом начали развивать пионернет на мыльницах, там такого уже не было - правда не долго баловались мыльницами, поняв, что херня - начали строить звезду с управляемых коммутаторов, позднее доксис заменили на гепон, и чёт хз с какого ещё с мыльниц оставили возможность статики. Переводить весь гепон онли дхцп анрил, закумаримся бегать.

 

Посему нужен просто снупинг. Не выйдет, буду пробовать ацлки прибивать на онушки. Хотя не факт, что зоопарк примет ацлки. (((

Відредаговано 2020-03-06 23:01:26 Небесный

[sanyadnepr 305]

8 часов назад, sergeyko сказал:

Switch_config_g0/1#ip-source trust

Switch_config_g0/1#dhcp snooping trust

Switch_config_g0/1#arp inspection trust

 

 

Switch_config_epon0/1#filter bpdu

Switch_config_epon0/1#filter dhcp

 

 

Switch_config# ip dhcp-relay snooping 

Switch_config# ip dhcp-relay snooping vlan xxxx

Switch_config#ip arp inspection vlan xxxx

Switch_config# ip verify source vlan  xxxx
Switch_config# ip dhcp-relay snooping information option format cm-type 

Switch_config# ip dhcp-relay agent

 

Всего этого достаточно чтобы решить проблему автора этой темы

Следующий пост автора данной темы будет - начиная с 100-150-го онлайн абонента, на ОЛТе, имеем проблемы, памагите !!!

Ему будет предоставлен следующий выбор, не использовать весь функционал, в следствии аппаратных ограничений.

Выбери только что то одно, максимум два. Обсуждалось лет 5-7 назад, на 3310В с тех пор что то изменилось ?

[Небесный 26]

16 часов назад, a_n_h сказал:

следующее включено? для борьбы с "левыми" DHCP мне хватало:

 

 

1. ИЗОЛЯЦИЯ ПОРТОВ

 

BDCOMP3310Bподдерживает 3 уровня изоляции: изоляция портов ONU, изоляция ONUна одном EPON порту и изоляция ONU на соседних EPONпортах.

 

Изоляция соседних портов одной ONU (в этом случае ПК абонентов, подключённые к соседним портам ONU не могут общаться друг с другом напрямую - только через EPONпорт OLT-а).

 

Switch_config_epon0/1:1#epon onuport-protect

 

Изоляция ONU, подключённых к одному EPONпорту OLT-а (в этом случае ONU из одного дерева не могут общаться друг с другом напрямую через EPONпорт OLT-а - OLTотправляет пакеты на коммутатор вышестоящего уровня).

 

Switch_config_epon0/1#no eponinner-onu-switch

 

Изоляция ONU, подключённых к разным EPONпортам OLT-а (в этом случае ONU из соседних деревьев не могут общаться друг с другом напрямую и OLTотправляет пакеты на коммутатор вышестоящего уровня).

 

Switch_config_epon0/1#switchport protected

 

 

 

Начал с утра перечитывать еще раз всю тему и пропустил, вот хороший совет.

 

 

Изоляция ONU, подключённых к разным EPONпортам OLT-а (в этом случае ONU из соседних деревьев не могут общаться друг с другом напрямую и OLTотправляет пакеты на коммутатор вышестоящего уровня).

Switch_config_epon0/1#switchport protected

 

А, ведь это реально поможет. Клиенты уйдут на центральный свич, а там уже верти трафиком, выше упоминаемая проблема с вражескими ДХЦП реализована тем, что на центральном свиче настроен релей, который перехватывает все запросы - и они улетают на мой сервер, не попадая на вражеский.

 

У меня как раз:

interface EPON0/4
 epon pre-config-template speed_1GB_template binded-onu-llid 1-64
 switchport mode trunk
 switchport pvid 24
  ip-source trust
 no switchport protected
 epon error-frame-alarm

 

Відредаговано 2020-03-07 07:03:42 Небесный

[sanyadnepr 305]

13 часов назад, Dimkers сказал:

А если камера начнет срать соседним абонентам, что делать? Вот и есть у вендоара данная фича.

Если ты по умолчанию не понял что делать, а точнее изначально настроить так чтоб подобных проблем не иметь, учить тебя и тех кто не понимает, не буду. 

 

13 часов назад, Dimkers сказал:

А если абон будет по пптп подключаться к соседу и пользовать инет на толпу тупо в твоём влане? А? Шо делать? Реально от изоляции пользы больше.

Такое возможно в основном только в особых случаях. Что будешь делать если у тебя в сети на Епон будут 20 онушек или на твой выбор, не платить больше одного месяца абонплату ? Тоже монтажника посылать к абонам ? Только изоляцией решить этот вопрос можно ? 

Изоляция решает, в определенных случаях эти вопросы, в других необходимо использовать предлагаемые тобой костыли. Для тебя использование костылей, вполне обычное дело.

[Небесный 26]

19 часов назад, a_n_h сказал:

Изоляция ONU, подключённых к разным EPONпортам OLT-а (в этом случае ONU из соседних деревьев не могут общаться друг с другом напрямую и OLTотправляет пакеты на коммутатор вышестоящего уровня).

 

Switch_config_epon0/1#switchport protected

 

Кто-то подскажет, как сие реализовать на BDCOM P3310C - сволочь не хочет прописываться.

На epon0/1 прошло switchport protected 1, на втором пробовал и switchport protected 1 и switchport protected 2.

 

Кстати на 3310В - все завелось и заработало, онушки перестали срать своим ДХЦП по понятным причинам, они никого не слышат. И вообще какого хера они раздают айпишки, кто посмел им дать такое право? ))) Включились во влан, прописали айпишку на локальном компе, зашли на онушку по веб-мордочке - про ДХЦП там и в помине ничего нету.

 

Собственно меня полная изоляция на ОЛТе устраивает, в таком случае и снупинг нафиг не нужн, и порты шаровые виндовые не нужно закрывать - прелесть одна для параноика все и вся закрывать.

Відредаговано 2020-03-07 10:30:14 Небесный

[Dimkers 1 540]

2 часа назад, sanyadnepr сказал:

Если ты по умолчанию не понял что делать, а точнее изначально настроить так чтоб подобных проблем не иметь, учить тебя и тех кто не понимает, не буду

Дык в том то и дело, что я прекрасно понимаю ситуацию. Это ты вылез и начал рассказывать - а что если надо трафик между ОНУ сделать. Потом приплел, что сделать можно только на акселе(написал же ты - что не у всех аксель, но при чем тут аксель никто так и не понял).

2 часа назад, sanyadnepr сказал:

Изоляция решает, в определенных случаях эти вопросы, в других необходимо использовать предлагаемые тобой костыли.

Изоляция решает куда больше проблем, чем тебе кажется. Костыли - это отключать изоляцию L2, когда нужно пятку абонентов сделать регистратор или подобное.

2 часа назад, sanyadnepr сказал:

Такое возможно в основном только в особых случаях. Что будешь делать если у тебя в сети на Епон будут 20 онушек или на твой выбор, не платить больше одного месяца абонплату ? Тоже монтажника посылать к абонам ? Только изоляцией решить этот вопрос можно ? 

В каких особых? Я тебя умоляю. Просто народ отныне глупенький.

Вопрос можно решить не только изоляцией(кстати, а расскажи как ты решаешь вопрос), но я еще раз повторю - изоляция решает куда больше проблем, чем ты получаешь профита от ее отключения.

2 часа назад, sanyadnepr сказал:

в других необходимо использовать предлагаемые тобой костыли

Костыли - маршрутить сети выше ОЛТа? Да ладно. Ну для любителей микротов оно наверное да, костыли. А так то весь интернет маршрутится и ничего

[sanyadnepr 305]

Про аксель это ты сам, за меня додумал.

Маршрутизировать локальный трафик на брасах в пределах /24 это твое рабочее решение ? ТС и /23 одним сегментом не считает проблемой.

Не предоставлять услуги L2 между ону, только потому что тебе староверу так неудобно. Видеонаблюдение на поне, только через твой брас. 

А если Аплинк от ОЛТа к твоему брасу упал, все кино закончилось, не будет записанных картинок ?

Повторяю, для тебя особо одаренного, что у людей по разному сети построены, мало кто озвучивает нюансы и детали.

Давай помогай решать ТС_у вопрос с изоляцией, че молчишь то по теме ?

Відредаговано 2020-03-07 10:32:46 sanyadnepr

[sanyadnepr 305]

2 часа назад, Небесный сказал:

BDCOM P3310C

sh run и sh ver для начала покажите.

[Dimkers 1 540]

4 минуты назад, sanyadnepr сказал:

Про аксель это ты сам, за меня додумал.

18 часов назад, sanyadnepr сказал:

Никто не мешает, но не у всех аксель, не всегда это нужно гонять локальный траф через брас.

К чему этот ответ был?

8 минут назад, sanyadnepr сказал:

Маршрутизировать локальный трафик на брасах в пределах /24 это твое рабочее решение ?

А ты на ОЛТе маршрутизируешь? Точно?

9 минут назад, sanyadnepr сказал:

Не предоставлять услуги L2 между ону, только потому что тебе староверу так неудобно. Видеонаблюдение на поне, только через твой брас. 

Отключать изоляцию для пачки камер, которые в итоге еще могут и насрать - это тоже не решение.

10 минут назад, sanyadnepr сказал:

А если Аплинк от ОЛТа к твоему брасу упал, все кино закончилось, не будет записанных картинок ?

Я такое не строю.

11 минут назад, sanyadnepr сказал:

Давай помогай решать ТС_у вопрос с изоляцией, че молчишь то по теме ?

Я сразу написал - что сижу на старой прошивке и работает она как часы.

[Небесный 26]

34 минуты назад, sanyadnepr сказал:

sh run и sh ver для начала покажите.

 

Команда добавилась на всех портах епон через switchport protected 1

 

 

#sh ver
BDCOM(tm) P3310C Software, Version 10.1.0E Build 46085
Copyright by Shanghai Baud Data Communication CO. LTD.
Compiled: 2017-9-15 15:21:2 by SYS, Image text-base: 0x80008000
ROM: System Bootstrap, Version 0.4.1, Serial num:00316007080
System image file is "Switch.bin"
hardware version:V1.0
(RISC) processor with 131072K bytes of memory, 16384K bytes of flash
Base ethernet MAC Address: 
snmp info:
  product_ID:294   system_ID:1.3.6.1.4.1.3320.1.294.0
 uptime is 1:00:03:43, The current time: 1970-1-2 0:3:43

 

 

#sh conf
!version 10.1.0E build 46085
service timestamps log date
service timestamps debug date
logging buffered 4096
!
hostname xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
port-protected 1
!
epon onu-uni-link-status-on
!
!
!
!
ip default-gateway xxxxxxxxxxxxxxxxxxxx
!
!
spanning-tree mode rstp
!
!
!
!
!
!
!
!
!
!
!
aaa authentication login default local
aaa authentication enable default enable
aaa authorization exec default local
!
!

epon oam-version 1 0x21
epon oam-version 2 0x20
!
epon onu-config-template speed_1GB_template
 cmd-sequence 001 epon sla upstream pir 1000000 cir 10000
 cmd-sequence 002 epon sla downstream pir 1000000 cir 10000
 cmd-sequence 003 epon onu all-port ctc loopback detect
 cmd-sequence 004 epon onu all-port storm-control mode 3 threshold 256
!
!
!!slot 0 89
interface GigaEthernet0/1
 switchport trunk vlan-allowed 10,22,24,200
 switchport mode trunk
  dhcp snooping trust
!
interface GigaEthernet0/2
 shutdown
!
interface GigaEthernet0/3
 switchport trunk vlan-allowed 10,22,24,200
 switchport mode trunk
  dhcp snooping trust
!
interface GigaEthernet0/4
 shutdown
!
interface GigaEthernet0/5
 shutdown
!
interface GigaEthernet0/6
 shutdown
!
interface EPON0/1
 epon pre-config-template speed_1GB_template binded-onu-llid 1-64
 switchport mode trunk
 switchport pvid 24
 switchport protected 1
 epon error-frame-alarm
!
interface EPON0/2
 epon pre-config-template speed_1GB_template binded-onu-llid 1-64
 switchport mode trunk
 switchport pvid 24
 switchport protected 1
 epon error-frame-alarm
!
interface EPON0/3
 epon pre-config-template speed_1GB_template binded-onu-llid 1-64
 switchport mode trunk
 switchport pvid 24
 switchport protected 1
 epon error-frame-alarm
!
interface EPON0/4
 epon pre-config-template speed_1GB_template binded-onu-llid 1-64
 switchport mode trunk
 switchport pvid 24
 switchport protected 1
 epon error-frame-alarm
!
!!slot end
!
interface VLAN10
 ip address xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
!
!
vlan 1,10,22,24,200
!
!
!
!
ip dhcp-relay snooping
ip dhcp-relay snooping vlan  22,24,200
!
!
ip http server
!
!
!
time-zone Kiev 2 0
ntp query-interval 3600
ntp server xxxxxxxxxxxxxxxxxxxxxxx

!
!Pending configurations for absent linecards:
!
!No configurations pending global

 

Відредаговано 2020-03-07 11:04:07 Небесный

[Туйон 1 086]

Злой форум стал какой-то в последние годы.

Неуютный и неприветливый.

Зря вы так.

[Kto To 602]

В 06.03.2020 в 09:24, Dimkers сказал:

откатите, видайть китайсы опять поломали. До сих пор сижу на 33463. Как часы.

 

Роутеры Xiaomi, Netis, Tenda - получают ИП по DHCP при включенном снупинге?

[Небесный 26]

dhcp filter - это что за команда на поновском интерфейсе? Может без нее и не работает снупинг в пределах 1-го порта пона? И только после того, как пакет вышел за пределы порта пона, работает снупинг? Не могу нигде найти полное нормальное описание данной команды.

 

 

3 минуты назад, Kto To сказал:

 

Роутеры Xiaomi, Netis, Tenda - получают ИП по DHCP при включенном снупинге?

Да.

Відредаговано 2020-03-07 11:27:31 Небесный

[Dimkers 1 540]

6 минут назад, Kto To сказал:

Роутеры Xiaomi, Netis, Tenda - получают ИП по DHCP при включенном снупинге?

Да. Тенда и Нетис  - точно есть. Сяоми - не уверен.

Відредаговано 2020-03-07 11:30:28 Dimkers

[Kto To 602]

Только что, Dimkers сказал:

Да.

 

Попробую залить ту прошивку которая у вас. На 46085 - вышеперечисленные роутеры не получают ИП по DHCP o82

[Небесный 26]

up

Відредаговано 2020-03-07 11:56:55 Небесный

[sanyadnepr 305]

4 часа назад, Небесный сказал:

Изоляция ONU, подключённых к разным EPONпортам OLT-а (в этом случае ONU из соседних деревьев не могут общаться друг с другом напрямую и OLTотправляет пакеты на коммутатор вышестоящего уровня).

Switch_config_epon0/1#switchport protected

 

А, ведь это реально поможет. Клиенты уйдут на центральный свич, а там уже верти трафиком, выше упоминаемая проблема с вражескими ДХЦП реализована тем, что на центральном свиче настроен релей, который перехватывает все запросы - и они улетают на мой сервер, не попадая на вражеский.

Между ветками решили вопрос ок. Как изоляция между ветками решает вопрос левого дхцп сервера в пределах одной ветки ?

Сколько еще телодвижений необходимо сделать чтоб создать acl ?

 

С языка снял, что опции 82 у тебя нет.

 

Відредаговано 2020-03-07 11:58:10 sanyadnepr

[Небесный 26]

1 минуту назад, sanyadnepr сказал:

Между ветками решили вопрос ок. Как изоляция между ветками решает вопрос левого дхцп сервера в пределах одной ветки ?

 

С языка снял, что опции 82 у тебя нет.

 

По умолчанию внутри ветки запрещен обмен трафиком. Аль не так?