Перейти до

DHCP-snooping в BDCOM 3310B не работает


Рекомендованные сообщения

  • Відповіді 102
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Так а аксель тут при чем? Я в принципе понял, что микротик имелся ввиду. Но и на нем можно Пичально, когда Л2 канал арендует - тут да, бида. От того ты так паришся?   А если камера начнет

Почему не подсказать человеку? Не нужен снупинг для борьбы с левыми дхцп, это как на Кразе на работу ездить.   Вот такой кусок АЦЛки тупо запрещает dhcp-сервер у клиента, больше ничего не

Вы это, завязывайте, развлекаться в пятницу перед 3 выходными))) Сделайте как в рабочем примере acl и спокойно празднуйте-отдыхайте, на улице практически лето ! После праздников поднимайте ст

Posted Images

Опубліковано: (відредаговано)
22 минуты назад, sanyadnepr сказал:

Точно, это меня не в ту степь понесло.

 

 

По сути изоляцией - мой вопрос решился. Решение меня устраивает. Но интерес остался, почему не работает снупинг - это слишком основная функция, чтобы китайцы сломали при выпуске новой прошивки.

 

И все же может команда dhcp filter - это и есть ключ к работе сгупинга?

Відредаговано Небесный
Ссылка на сообщение
Поделиться на других сайтах

Хм. А при чем тут фильтрация дхцп и сегментация трафика? Фильтрация дхцп это лишь "одна из" головных болей, которая решается сегментацией.

Відредаговано Dimkers
  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)
23 минуты назад, Dimkers сказал:

Хм. А при чем тут фильтрация дхцп и сегментация трафика? Фильтрация дхцп это лишь "одна из" головных болей, которая решается сегментацией.

 

Что конкретно делает dhcp filter?

Відредаговано Небесный
Ссылка на сообщение
Поделиться на других сайтах

Я ее не юзал и не снифал. Но задаётся мне это тупой асл, который режет ответы на 68 порт. Видимо для случаев когда неможно запользовать снупинги и прочие трасты.

Ссылка на сообщение
Поделиться на других сайтах
5 часов назад, Dimkers сказал:

Хм. А при чем тут фильтрация дхцп и сегментация трафика? Фильтрация дхцп это лишь "одна из" головных болей, которая решается сегментацией.

Проблема ТС была изначально в его реализации. У ТС возникла достаточно редкая проблема, онушка сошла с ума и раздавала абонам по ДХЦП.

Он построил сеть таким образом, что использует ОЛТ  с минимальным функционалом.

Допустим, ему от ОЛТа необходимо, только фильтрация левых ДХЦП, что он в теме и озвучил и больше ничего, все его проблемы, фильтрация решает.

Что предлагаешь ты ? Вместо фильтрации левых дхцп, включить сегментацию трафика. Верно ?

При этом локальный трафик между абонентами ты предлагаешь пустить через брас.

Попутно вычеркивая из списка предоставляемых услуг, L2 связность между онушками, в любых вариантах. Верно ?

 

У ТС вообще никаких головных болей небыло.

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, sanyadnepr сказал:

При этом локальный трафик между абонентами

Имхо. В очко этот трафик. Если только не юрики занормально.

1 час назад, sanyadnepr сказал:

L2 связность между онушками, 

Уровень геммороя превышает возможную выгоду. Если только на ветке не десяток юриков с тарифом "сотка занормально". Поэтому в очко эту связность.

Ссылка на сообщение
Поделиться на других сайтах
14 часов назад, sanyadnepr сказал:

Что предлагаешь ты ? Вместо фильтрации левых дхцп, включить сегментацию трафика. Верно ?

Неверно. "Широковещательный домен" тебе что-то говорит?

Понимаешь, админ, он на то и админ, чтоб думать. Это эникей может не включить ПРИ УСТАНОВКЕ фильтрацию дхцп, потом долго грестись и в итоге включить. Помимо ДХЦП есть кольца, есть флуд. И если сразу не включать это, то увы, потом можно долго разгребаться, при этом абоненты ждут. Или уходят на соседний провод.

Вот есть вирусня, что долбит шары. Ты фильтранул только ДХЦП, но ничего больше. И с отключеной сегментацией у тебя зараза одного бегает ко всем. И пичаль в том - что это на ОЛТе, где трафик ты не заснифаешь :) Есть еще вагон и мелкая тележка различных приколов, что бегают в одном бродкаст домене. Вот ты даже знать о них не можешь, а они внутри ОЛТа живут себе. А потом начинаются жалобы и ты такой бежишь и начинаешь все клацать.

Была бы включена сегментация у ТС - вопрос бы даже не встал.

14 часов назад, sanyadnepr сказал:

У ТС возникла достаточно редкая проблема, онушка сошла с ума и раздавала абонам по ДХЦП.

 

14 часов назад, sanyadnepr сказал:

У ТС вообще никаких головных болей небыло.

Что-то не скалывается пазл.

 

14 часов назад, sanyadnepr сказал:

Попутно вычеркивая из списка предоставляемых услуг, L2 связность между онушками, в любых вариантах. Верно ? 

Почему же? Ок. Ты даешь L2 сязность. Как ты борешься с флудом и прочими прелестями в L2?

Ссылка на сообщение
Поделиться на других сайтах

Димкерс, так мы когда-то в другой теме на эту тему уже общались.

Тогда Вы сказали, что сегментация (у меня влан на /24 и разбито на десяток отдельных сегментов) - фигня.

И нужны исключительно вланы :) 

 

P.S. Блокирование портов нет-биос до сих пор актуально в 2020?

Везде же роутеры, куда оно долбить то будет? 

Ссылка на сообщение
Поделиться на других сайтах
6 минут назад, Туйон сказал:

P.S. Блокирование портов нет-биос до сих пор актуально в 2020?

Везде же роутеры, куда оно долбить то будет? 

Удивитесь, ноя до сих пор наблюдаю долбежку на эти порты. Особенно в селах. Достаточно трафик снифануть в влане.

6 минут назад, Туйон сказал:

нужны исключительно вланы

Так вланы как раз и дробят широковещательный домен :) Оттого очень хорошо идет - влан на пользователя. Т.е. пользователь сам себе в домене сидит. И любой срач канального уровня остается в нем.

Даже если в влане несколько подсетей - это все равно ОДИН широковещательный домен. Азы, йопт.

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, Dimkers сказал:

Так вланы как раз и дробят широковещательный домен :) Оттого очень хорошо идет - влан на пользователя. Т.е. пользователь сам себе в домене сидит. И любой срач канального уровня остается в нем.

Даже если в влане несколько подсетей - это все равно ОДИН широковещательный домен. Азы, йопт.

Вы тоже продаёте интернет по 70 грн/мес, как и я?

Надеюсь, что нет.

Поэтому, увы, поставить везде на доступе умняки с вланами возможности нет.

Конвертор и тупарь работают исправно. И это не дело нежелания.

Ссылка на сообщение
Поделиться на других сайтах

Ну я изначально зацепился за ОЛТ, который по дефолту, без доп. затрат умеет сегментацию. Оппонент же имеет противоположную точку зрения. Вот и бодаемся :)

Ссылка на сообщение
Поделиться на других сайтах
50 минут назад, Dimkers сказал:

Помимо ДХЦП есть кольца, есть флуд.

У тебя голова чтоб читать, думать или только в нее есть ?

 

С какой целью ты тут распинаешься ? Для кого твои "громкие пустые фразы" ? Чтоб опять коньяк у кого то поклянчить ?

У меня описанных Выше проблем как у ТС нет. За бесплатно, не намерен заниматься здесь лекциями и описанием, "как надо строить сети".

Это много где описано и один хрен строят и настраивают через задницу.

Считаешь только сегментация_трафика функционалом ОЛТ_а единственное средство от всех болезней - думай так и дальше.

При этом тебе полагаю известно, как решить этот вопрос иначе.

Роутер стоит у каждого первого, комп напрямую - сейчас встретишь в десятки-сотни раз реже, чем раньше. У многих компа вообще нет, одни планшеты, смартфоны.

Это же не мною тут написано, спасите-памАгите, что делать ?! Мне изначально видится странным и непонятна мотивация, такая как у ТС реализация настроек ОЛТ_а, как и зоопарк онушек.

У ОЛТ есть и другой функционал, которым люди решают вполне успешно, затрагиваемые и поднимаемые тобой тут вопросы, но распинаться об этом не буду, кому надо, тот просто это использует.

Но уже не однократно слышал ответы, на вопрос зачем так делать с настройками ОЛТ ? - чем проще тем лучше. Оно же работало. Хозяин барин. 

Ты если посмотришь в конфиг ТС, то детект колец и шторм контроль, у него включен на порту онушек. Вопрос колец и флуда решен вполне успешно, остальное твои выдумки. Все, спекся ?

 

Відредаговано sanyadnepr
Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, Dimkers сказал:

Ну я изначально зацепился за ОЛТ, который по дефолту, без доп. затрат умеет сегментацию. Оппонент же имеет противоположную точку зрения. Вот и бодаемся :)

Я в PON вообще не шарю, и в руках не держал.

Но если там была бы возможность полной сегментации, чтобы ОНУ видела лишь "аплинк" и только - я за!

Ссылка на сообщение
Поделиться на других сайтах
55 минут назад, sanyadnepr сказал:

Ты если посмотришь в конфиг ТС, то детект колец и шторм контроль, у него включен на порту онушек. Вопрос колец и флуда решен вполне успешно, остальное твои выдумки. Все, спекся ?

Ты если посмотришь в конфиг ТС, то увидишь, что, например,  НЕ включен arp inspection. :) А коль ТС заговорил о ДХЦП снупинге, то обычно она юзается как раз таки с арп инспекшеном.

Спекся?

55 минут назад, sanyadnepr сказал:

Роутер стоит у каждого первого, комп напрямую - сейчас встретишь в десятки-сотни раз реже, чем раньше.

Дак разговор то не только о вирусне с шарами :)

Я еще раз повторюсь - L2 это не только кольца и ДХЦП.  Можно даже ПППОЕ на микротике поднять и сидеть ржать, если заведомо известно, что у тебя авторизация пппое. Вот расскажи, как ты с таким будешь бороться?

 

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
59 минут назад, Туйон сказал:

Но если там была бы возможность полной сегментации, чтобы ОНУ видела лишь "аплинк" и только - я за! 

Оно там так и есть, при чем в нескольких вариациях. Самый жестяк - если ОНУ многопортовка, то абоны с этих портов так же изолированы. Если проводить аналогию с Ubiquity - wifi_l2_isolation. Когда абоны, подключенные к одной и той же АР не видят друг друга(кстати у них это отключается из консоли и включено по дефолту, дебилы наверно :)). Или на Wifi микротиках - default forward.

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
19 минут назад, Dimkers сказал:

Можно даже ПППОЕ на микротике поднять и сидеть ржать, если заведомо известно, что у тебя авторизация пппое. Вот расскажи, как ты с таким будешь бороться?

В случае с пппое, сегментация - волшебная таблетка. Но у ТС ДХЦП плюс статика.

 

19 минут назад, Dimkers сказал:

НЕ включен arp inspection.

ТС писал, он ему не нужен. К тому же, есть аппаратные ограничения, о которых писал выше. У тебя похоже проблемы с вниманием, пониманием уже написанного, в теме. 

Відредаговано sanyadnepr
Ссылка на сообщение
Поделиться на других сайтах
6 минут назад, sanyadnepr сказал:

ТС писал, он ему не нужен.

А я написал - что он используется обычно впаре с снупингом :)

Возможно включение решит проблему на этой прошивке, я ХЗ.

 

Еще раз: сегментация - таблетка от многих болей в L2. Конкретно сам ТС заюзал таки port protect. И рад.  А ты влез со своими регистраторами.

Ссылка на сообщение
Поделиться на других сайтах

Мля, шо вы тут срач развели? Я спрашивал кого-то как мне сеть строить? Или тут все умные, а я дурак и не знаю, какие есть проблемы в сети?

 

Я спросил просто и лаконично: не работает снупинг! Точка.

 

Нахуй мне ваши тут топологии сети в кольца и всяка хуйня, которую вы тут гоните. Если до этого у меня было открыто общение между онушками - на то у меня была причина, чтобы она была открыта.

 

Со вторника на столе буду пробовать понижать версию прошивки и смотреть, на какой прошивке будет работать снупинг. Хотя чет я сомневаюсь, что тут дело в прошивке.

Есть идеи по этому поводу пишите, хотите сраться - идите сритесь у себя в личках.

  • Haha 2
Ссылка на сообщение
Поделиться на других сайтах
36 минут назад, Небесный сказал:

Я спрашивал кого-то как мне сеть строить? Или тут все умные, а я дурак и не знаю, какие есть проблемы в сети?

Я спросил просто и лаконично: не работает снупинг!

Почему не подсказать человеку? Не нужен снупинг для борьбы с левыми дхцп, это как на Кразе на работу ездить.

 

В 06.03.2020 в 08:49, vovchokig сказал:

ip access-list extended subs.filter

 deny udp any any eq 68

 permit ip any any

!

Вот такой кусок АЦЛки тупо запрещает dhcp-сервер у клиента, больше ничего не нужно.

Відредаговано KaYot
  • Like 3
Ссылка на сообщение
Поделиться на других сайтах
16 минут назад, KaYot сказал:

снупинг для борьбы с левыми дхцп,

Ну любит на народ всякоеговно   забивать гвозди микроскопом.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)
3 часа назад, nedoinet сказал:

Ну любит на народ всякоеговно   забивать гвозди микроскопом.

Интересные Вы однако. Как буд-то я сам тут придумал фичу "снупинг". 

Відредаговано Небесный
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від jack_frost
      Добрый день.
      Столкнулся с проблемой и уже не первый день с ней воюю.
      Как на OLT Huawei MA5680 включить dhcp-snooping?
      Вот примеры команд которыми регестрирую onu:
      EPON
      ont add 1 18 mac-auth E0E8-E6F0-9E9D oam ont-lineprofile-name e567 ont-srvprofile-name e567 ont port native-vlan 1 18 eth 1 vlan 567 service-port vlan 567 epon 0/15/1 ont 18 multi-service user-vlan 567 tag-transform translate GPON
      ont add 0 0 sn-auth 485754436AF153F9 omci ont-lineprofile-name g567 ont-srvprofile-name g567 ont port native-vlan 0 0 eth 1 vlan 567 priority 0 service-port 8 vlan 567 gpon 0/16/0 ont 0 gemport 1 multi-service user-vlan 567 tag-transform translate  
    • Від ikoko
      Продам Olt BDCOM 3310B б.у. - 2 шт. в кожній по одному не працюючому порту epon, за 1 olt - 5000 грн. Торг !
    • Від valexa
      Куплю, желательно б.у. с сфп. предложения и цену прошу в личку
    • Від XNeo
      Здравствуйте.
       
      Имеется следующая конфигурация:
      interface GigaEthernet0/5 switchport trunk vlan-allowed 10,116 switchport trunk vlan-untagged none switchport mode trunk dhcp snooping trust ! interface VLAN10 ip address 10.10.0.55 255.255.240.0 no ip directed-broadcast ! interface VLAN116 no ip address no ip directed-broadcast ip helper-address 10.0.0.2 ! vlan 1,10,116 ! ip dhcpd enable ! ip dhcp-relay snooping ip dhcp-relay snooping vlan 116 ip dhcp-relay snooping information option format hn-type ! ip route default 10.10.0.1 VLan116 - пользовательский.
      VLan10 - management.
      Проблема заключается в том, что OLT не пересылает запросы DHCP-серверу, если в пользовательском VLan116 не назначен IP адрес.
      Что я упустил?
       
      P.S.: BDCOM(tm) P3616-2TE Software, Version 10.1.0E Build 60793
    • Від Небесный
      Хочу поставить bdcom 3310b на столбу в герметичный ящик (не спрашивайте почему, а чё другого варианта нету и тому подобное - значит других вариантов нету).
       
      На счёт зимы как-то не очень тревожно, а вот лето и ящик будет на солнце и герметичный, не будет ли внутри ящика температура критической? Очень большое опасение, что подует конденсаторы.
       
      Делал ли кто-то подобное?
       
      Можно было бы сделать продушины в ящике, но как тогда быть с живой фауной. Был случай когда муравьи залезли в поновский бокс и там основали колонию, из-за муравьиной кислоты волокна нафиг порассыпались.
       
      И ещё может у кого есть OID на мониторинг температуры OLT'a в cacti.
       
      Спасибо всем, кто поделиться жизненным опытом в подобных проектах.

×
×
  • Створити нове...