bdcom gp 3600-16 не ходит трафик после получения ip

[forella 21]

проблема очень схожа с этой: https://forum.nag.ru/index.php?/topic/160112-bdcom-gp3600-16b-dhcp-snoop-ipsg-dai/

ону 300+, за каждой ону 1 мак. выдаем ip по option82. из глобального:

ip dhcp-relay snooping
ip dhcp-relay snooping vlan  1701-1716,2201
ip verify source vlan  1701-1716
ip dhcp-relay snooping rapid-refresh-bind
ip dhcp-relay snooping information option format fixed-type
ip dhcp-relay snooping information format ascii

interface TGigaEthernet0/1
 switchport trunk vlan-allowed 321,1601,1700-1716,2201
 switchport trunk vlan-untagged none
 switchport mode dot1q-tunnel-uplink
 dhcp snooping trust
 ip-source trust

проблема проявляется рандомно, т.е. на любом порту может проявиться и любой ону. Абонент получает ip нормально, запись в binding добавляется, аренда ip со временем продлевается но трафик ходить не хочет, только переодически вот это и все:

23:26:20.498229 ARP, Request who-has 172.17.2.120 tell 172.17.2.1, length 28
23:26:20.501740 ARP, Reply 172.17.2.120 is-at ac:84:c6:5b:72:a7, length 46

перезагрузка олт\ону\роутера не помогает, заставить работать можно только двумя вариантами и то не на долго (2-3 часа) - сменить ip либо сменить устройство конечное(mac) но ip остается тот же.

[muff 116]

Стикались з цією проблемою. Бага в софті.
Відключіть ip verify source.
Натомість, включіть ip arp inspection:

 

ip arp inspection vlan 1701-1716

 

[forella 21]

  В 15.01.2023 в 00:16, muff сказав:

Стикались з цією проблемою. Бага в софті.
Відключіть ip verify source.
Натомість, включіть ip arp inspection:

 

ip arp inspection vlan 1701-1716

 

 

Expand  

увы так еще хуже, почти у всех трафик потерялся, вот такая картина наблюдается, с вечным поиском шлюза и изредка проскакивающим трафиком.

 

11:10:55.403751 ARP, Request who-has 172.17.9.1 tell 172.17.9.11, length 46
11:10:55.403763 ARP, Reply 172.17.9.1 is-at 3c:fd:fe:ab:c6:00, length 28
11:10:55.636914 ARP, Request who-has 172.17.9.11 tell 172.17.9.1, length 28
11:10:56.403997 ARP, Request who-has 172.17.9.1 tell 172.17.9.11, length 46
11:10:56.404009 ARP, Reply 172.17.9.1 is-at 3c:fd:fe:ab:c6:00, length 28
11:10:57.428001 ARP, Request who-has 172.17.9.1 tell 172.17.9.11, length 46
11:10:57.428016 ARP, Reply 172.17.9.1 is-at 3c:fd:fe:ab:c6:00, length 28
11:10:58.187363 IP 157.240.224.34.443 > 172.17.9.11.33198: Flags [P.], seq 305186750:305186796, ack 1435040452, win 265, options [nop,nop,TS val 959953518 ecr 69829318], length 46
11:10:58.427991 ARP, Request who-has 172.17.9.1 tell 172.17.9.11, length 46
11:10:58.427998 ARP, Reply 172.17.9.1 is-at 3c:fd:fe:ab:c6:00, length 28
11:10:59.427989 ARP, Request who-has 172.17.9.1 tell 172.17.9.11, length 46
11:10:59.427996 ARP, Reply 172.17.9.1 is-at 3c:fd:fe:ab:c6:00, length 28
11:11:00.559993 ARP, Request who-has 172.17.9.1 tell 172.17.9.11, length 46
11:11:00.560000 ARP, Reply 172.17.9.1 is-at 3c:fd:fe:ab:c6:00, length 28

 

прошивка если что version 10.3.0D build 81888

Відредаговано 2023-01-16 09:12:59 forella

[muff 116]

В нас 10.3.0D Build 82879
Можливо, щоб все працювало, абонент потрібен переотримати IP (щоб створився актуальний запис біндінга)? 
При включеному ip verify source частина записів біндінга не працювала (хоч сам запис існував).

Відредаговано 2023-01-16 13:58:09 muff

[forella 21]

  В 16.01.2023 в 13:56, muff сказав:

В нас 10.3.0D Build 82879
Можливо, щоб все працювало, абонент потрібен переотримати IP (щоб створився запис біндінга)? 
 

Expand  

поставил последнюю с НАГа 99242.bin, наблюдаю....

на счет биндинга то запись создается и может продлеваться сутки и более а вот трафик кроме arp не ходит. это хорошо проявляется после выключения света. Думал может какие-то китайские роутеры выделываются, но нет, прпоявляется как на старых тплинках так и на новых ксяоми. И что удивительно помогает просто даже ресетнуть роутер на заводские при этом мак у роутера остается тот же.

на Build 82879 у вас решилась проблема заменой c ip verify source на ip arp inspection vlan? пока не хочется понижать прошивку, т.к. было дело что при понижении прошивки слетал конфиг.

[KaYot 3 731]

А убрать все эти снупинги и ISG не вариант совсем?

[forella 21]

  В 16.01.2023 в 16:42, KaYot сказав:

А убрать все эти снупинги и ISG не вариант совсем?

Expand  

Все время живём на 82 опции, переходим на пон хотелось бы эту традицию сохранить, уж больно она жизнь упрощает, что нам, что абонентам.

[Dimkers 1 615]

Упрощает жизнь VPU. А остальное - костыли с выжиранием ресурсов железа и мозга админам?

Відредаговано 2023-01-16 18:47:23 Dimkers

[forella 21]

  В 16.01.2023 в 18:46, Dimkers сказав:

Упрощает жизнь VPU. А остальное - костыли с выжиранием ресурсов железа и мозга админам?

Expand  

Та не скажите, больше 10 лет все на длинках с 82 опцией работает, как бы их не хаяли, но свои деньги отрабатывают на 200%. 

Куда лучше нежели по "кабинетам" шастать при смене роутера или того лучше всякие там ppoe создавать. И абоненту хорошо, шнурки переткнул с одного роутера в другой и все работает, и поддержке хорошо не нужно объяснять в каком шкафу у абонента лежит листик с логином и паролем. 

[Dimkers 1 615]

  В 16.01.2023 в 20:08, forella сказав:

Куда лучше нежели по "кабинетам" шастать при смене роутера или того лучше всякие там ppoe создавать. И абоненту хорошо, шнурки переткнул с одного роутера в другой и все работает, и поддержке хорошо не нужно объяснять в каком шкафу у абонента лежит листик с логином и паролем. 

Expand  

а в VPU в добавок к перечисленному - полный изолейшин абона в бродкаст домене, и весь срач абона при заражении вирусней и прочим гемором - остается только ему одному.

Відредаговано 2023-01-17 08:37:42 Dimkers

[CoUL 30]

  В 17.01.2023 в 08:28, Dimkers сказав:

а в VPU в добавок к перечисленному - полный изолейшин абона в бродкаст домене, и весь срач абона при заражении вирусней и прочим гемором - остается только ему одному.

Expand  

Що таке VPU? Не можу знайти інформацію...

[linkar 59]

  В 17.01.2023 в 10:49, CoUL сказав:

Що таке VPU?

Expand  

vlan-per-user

[CoUL 30]

  В 17.01.2023 в 10:53, linkar сказав:

vlan-per-user

Expand  

Дякую!

[forella 21]

прошивка Version 10.3.0D Build 99242 решила проблему.

Пользуясь случаем еще один вопрос по этой олт. Захотелось в веб морде сменить место онушки на порту:

т.е. в конфиге это выглядит так

gpon pre-config-template port8 bind-onuid 1-120
-----
gpon bind-onu sn ZTEG:C13D1E99 1
gpon bind-onu sn ZTEG:C6E13646 2

вот нужно к примеру поменять 2 ону на 121 место

регаются они попорядку, хочется ей присвоить место за автоматически применяемом темплейтом, как это сделать в cli не нашел(может ктото подкинет команду?), через веб морду вроде нашел но какая-то странная ошибка "Serial Number The length cannot be exceeded 16"

 

[Чучундра 259]

  В 16.01.2023 в 20:08, forella сказав:

Та не скажите, больше 10 лет все на длинках с 82 опцией работает, как бы их не хаяли, но свои деньги отрабатывают на 200%. 

Куда лучше нежели по "кабинетам" шастать при смене роутера или того лучше всякие там ppoe создавать. И абоненту хорошо, шнурки переткнул с одного роутера в другой и все работает, и поддержке хорошо не нужно объяснять в каком шкафу у абонента лежит листик с логином и паролем. 

Expand  

У меня когда абоненты запускали торенты длинковские option82, снупинги биндинги и прочие костыли начинали безбожно глючить. В результате перешел на VPU и забыл про все глюки как про страшный сон и никаких дибильных привязок к МАС адресам. Доступ должен быть максимально тупым и надежным. Единственный интеллект который оставил на доступе это STP/Loopback_detection/Port_security. Внедряя PON придерживался тоже схемы VPU. Единственный недостаток - конфиг OLT слонячего размера.  Какое еще PPPoE ? На дворе 2023год.

Відредаговано 2023-01-19 18:03:15 Чучундра

[forella 21]

  В 19.01.2023 в 18:00, Чучундра сказав:

У меня когда абоненты запускали торенты длинковские option82......

Expand  

А как вы абонентов идентифицирует с этим vpu? Например роутер нужно сменить.

А а если нужно будет с одного сервера раздать больше 4к адресов, как я понимаю вланы закончатся?

 

 

[route 69]

  В 19.01.2023 в 22:35, forella сказав:

А как вы абонентов идентифицирует с этим vpu? Например роутер нужно сменить.

Expand  

В биллинге идет привязка абонента к конкретному порту коммутатора. 

  В 19.01.2023 в 22:35, forella сказав:

А а если нужно будет с одного сервера раздать больше 4к адресов, как я понимаю вланы закончатся?

Expand  

Используйте QinQ

[KaYot 3 731]

  В 19.01.2023 в 22:35, forella сказав:

А как вы абонентов идентифицирует с этим vpu? Например роутер нужно сменить.

Expand  

В этом и прелесть, авторизация по номеру влана на порту. Абонент может в 2 часа ночи поставить новый роутер и он заработает без звонка в саппорт.

[forella 21]

  В 19.01.2023 в 23:19, KaYot сказав:

В этом и прелесть, авторизация по номеру влана на порту. Абонент может в 2 часа ночи поставить новый роутер и он заработает без звонка в саппорт.

Expand  

ткните плиз где можно про это почитать, а то столько вопросов возникает.

из банального: какую подсеть выдаете абону? dhcp там же где и маршрутизатор или релеется отдельно?

[Dimension 39]

  В 20.01.2023 в 08:09, forella сказав:

ткните плиз где можно про это почитать, а то столько вопросов возникает.

из банального: какую подсеть выдаете абону? dhcp там же где и маршрутизатор или релеется отдельно?

Expand  

тут же на форуме KaYot давным-давно объяснял и описывал как это работает (За что ему огромное спасибо и низкий поклон), ищите по слову QinQ и первым делом изучайте его посты ?

[Dimkers 1 615]

  В 20.01.2023 в 08:09, forella сказав:

из банального: какую подсеть выдаете абону? dhcp там же где и маршрутизатор или релеется отдельно?

Expand  

Подсеть это совершенно про другое. релеить ДХЦП не нужно, оно тут тоже не при чем. Вы просто берете и делаете QinQ. Svid тяните например на ОЛТ или свич-агрегатор на районе. И там разворачиваете(снимаете верхний тег). По ОНУ\портам свичей, куда абоні включены, раскидываете CVID. Все. На терминацию у вас прилетает фрейм с верхним тегом(SVID) и нижним тегом(CVID). Вы это и разбираете, шлете в биллинг, в биллинге на каждом абоне висит комбинация SVID+CVID по ним и проходит авторизация. Все.

[forella 21]

  В 20.01.2023 в 09:42, Dimkers сказав:

Подсеть это совершенно про другое. релеить ДХЦП не нужно, оно тут тоже не при чем. Вы просто берете и делаете QinQ. Svid тяните например на ОЛТ или свич-агрегатор на районе. И там разворачиваете(снимаете верхний тег). По ОНУ\портам свичей, куда абоні включены, раскидываете CVID. Все. На терминацию у вас прилетает фрейм с верхним тегом(SVID) и нижним тегом(CVID). Вы это и разбираете, шлете в биллинг, в биллинге на каждом абоне висит комбинация SVID+CVID по ним и проходит авторизация. Все.

Expand  

если взять к примеру такую схему(прикрепил), пока без QinQ для более легкого понимания. как пригнать запрос dhcp серверу?

как я понял по вашему описанию "биллинг" это и есть dhcp сервер? абонент то при включении первым делом пойдет за адресом.

 

[Dimkers 1 615]

Мухи отдельно, котлеты отдельно.

На DHCP сервере у вас вланы:

SVID=15

CVID=10

Гоните до ОЛТа 15. На ОЛТе пакуете все CVID(в том числе и ваш 10, ведь будет влан на кажду ОНУ если я верно понял) в SVID.

Грубо выглядит так: DHCP сервер слушает SVID 15. Прилетел фрейм от абона вида SVID+CVID+DHCP discover. DHCP сервер все разобрал, увидел связку SVID+CVID отпарвил в биллинг запрос, получил ответ, абона авторизировало, абону вернуло DHCP настройками IP.

Все.

[KaYot 3 731]

  В 20.01.2023 в 08:09, forella сказав:

из банального: какую подсеть выдаете абону? dhcp там же где и маршрутизатор или релеется отдельно?

Expand  

Выдаем любые /32 адреса из кучи блоков, белых и серых.

Выдает их БРАС через радиус, запрашивая у биллинга. Все стандартно-промышленно, никаких релеев и маршрутизаторов.

Собственно, сейчас любой БРАС умеет работать с клиентами упакованными в qinq "из коробки".

[Чучундра 259]

  В 19.01.2023 в 22:35, forella сказав:

А как вы абонентов идентифицирует с этим vpu? Например роутер нужно сменить.

Expand  

По номеру VLAN-а. У каждого абонента он свой. Хоть 10 раз меняйте роутер, ничего перенастраивать не нужно. У меня dhcp сервер включен dot1q транком в абонентские VLAN-ы и по номеру VLAN-а идентифицирует абонента. Без всяких релеев и прочих костылей. 

  В 19.01.2023 в 22:35, forella сказав:

А а если нужно будет с одного сервера раздать больше 4к адресов, как я понимаю вланы закончатся?

 

Expand  

Либо QinQ как здесь подсказали, либо разбивать на L3 домены у каждого из которых свой набор VLAN-ов. Либо и то и другое для больших сетей.

Відредаговано 2023-01-23 12:43:01 Чучундра