Поддержка Option 82 на OLT

[2Garin 5]

Какую?

Да хоть 1501C или 1004B  мне тоже интересно.

[passer 67]

Я думал некие китайские поделия. А эти - чистый бридж. Не надо фантазировать.

Відредаговано 2014-03-18 07:28:36 passer

[prototip 284]

Расскажите кто тестил опцию 82 о результатах защиты от подмены IP and MAC как функционал не отемлемый при применении опт 82 .  Из вышеприведенных конфигов  ip arp inspection vlan , ip verify source vlan  насколько мне логика позволяет судить , заставляет коммутатор просматривать таблицу связок мака/влана/айпи  защищая от подмены  .  Работает ли данный функционал корректно ?  Ибо тут  некоторые городят влан на юзера , что конечно не элегантно и гиморно и сводит на нет весь смысл опт82 .

[martin 170]

Ну вот почему вдруг гиморно ?? Просто шикарно, выдал юзеру 6 ип адресов и зарезал влан на скорость тарифа и все! Никто ничего не поменяет и ненужно никаких опций82. Еще и график юзеру можно показать по его влану

Влан на юзера наше все )

[prototip 284]

А потому батенька гиморно , что сильно много железок нужно мучить . Ручками оно никогда не поздно прописать , тогда и билинга не нужно , в тетрадке тоже все неплохо получается , ан глядь а на дворе 21 век  и  теперь каждый школьник хочет не книжки в рюкзаке носить а планшет .  Просто банальщина в том , что опт82 без source guard  это как автомобиль без тормозов . А сказки петь про влан на юзера легко тем у кого юзеров чуть больше чем пальцев на руках и ногах - эт так к юмору .

[2Garin 5]

ip arp inspection vlan  XX

ip verify source vlan  XX

 

Ну и соответственно на аплинке :

dhcp snooping trust

arp inspection trust

 ip-source trust

 

И все нормально. Функционал отрабатывает честно. Прописанный статикой адрес никуда не пускает. Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

[Zolks 24]

 

Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

 

на прошивке 16688 мультик работает нормально

[passer 67]

2Garin, а сколько у вас на олте записей ip dhcp snoo bind в ЧНН?

Відредаговано 2014-04-04 13:12:14 passer

[Zolks 24]

2Garin, а сколько у вас на олте записей ip dhcp snoo bind в ЧНН?

тсс.. не мешай человеку на грабли наступать

[prototip 284]

 

ip arp inspection vlan  XX

ip verify source vlan  XX

 

Ну и соответственно на аплинке :

dhcp snooping trust

arp inspection trust

 ip-source trust

 

И все нормально. Функционал отрабатывает честно. Прописанный статикой адрес никуда не пускает. Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

 

Я чет не понял насчет "Ну и соответственно на аплинке" :

arp inspection trust

 ip-source trust

Не понятно мне - ОЛТ на уровне порта клиента  подделку  мака и айпи секет или это должно реализовываться как у сиськи на уровне агрегации то бишь на железке L3 ?  А есть вообще какая то документация по данному моменту или все как всегда ?  Например у сиськи данное правило применяется  ДЛЯ ПОРТА и ежели у вас какие виланы бегали по аплинку транзитные то получите вы проблему .  Поэтому вопрос зачем сии команды для аплинкового порта ?

Відредаговано 2014-04-04 14:44:36 prototip

[2Garin 5]

2Garin, а сколько у вас на олте записей ip dhcp snoo bind в ЧНН?

До 40, еще мало абонентов подключили. Про ограничение в 100 записей я помню. Никак руки не дойдут переписать конфиг под новую прошивку. Видимо как то синтаксис команд отличается ибо стоит залить 16688 мультикаст пропадает. Ну или конфиг у меня кривой)

 

 

 

 

 

ip arp inspection vlan  XX

ip verify source vlan  XX

 

Ну и соответственно на аплинке :

dhcp snooping trust

arp inspection trust

 ip-source trust

 

И все нормально. Функционал отрабатывает честно. Прописанный статикой адрес никуда не пускает. Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

 

Я чет не понял насчет "Ну и соответственно на аплинке" :

arp inspection trust

 ip-source trust

Не понятно мне - ОЛТ на уровне порта клиента  подделку  мака и айпи секет или это должно реализовываться как у сиськи на уровне агрегации то бишь на железке L3 ?  А есть вообще какая то документация по данному моменту или все как всегда ?  Например у сиськи данное правило применяется  ДЛЯ ПОРТА и ежели у вас какие виланы бегали по аплинку транзитные то получите вы проблему .  Поэтому вопрос зачем сии команды для аплинкового порта ?

 

 

В каком то из примеров по настройке олт были эти команды, нужны для нормальной работы DHCP. Т.к. за портом  на котором нет ip source trust  DHCP сервер работать не будет. Защита от левых DHCP, типа роутеров абонентских включенных LAN портом.

Вся документация  тут https://www.dropbox.com/sh/tkfm2crdyr28dlx/XqWGZnrCLZ .

Відредаговано 2014-04-04 15:09:50 2Garin

[prototip 284]

Да эт вы чет запутали батенька басню . Дело в том , что контроль адреса источника - это функционал L3 и ежели асике чипа его нет то и не будет никогда , как пример например коммутаторы от сиськи 2950\2960 .  Хотя конечно ежели бы наши китайские братья хотя бы мало мальскую документацию прилагали к своим поделкам было бы вообще замечательно . Приходиться тут понимаешь опыты ставить и домыслы устраивать .  Спасибо и на этом .

[Lynx100 90]

А потому батенька гиморно , что сильно много железок нужно мучить .

зачем мучать много железок ?

на олт - влан на ону - скажем так

с олт попадает на агрегацию и упаковывается в q-in-q - и летит к брасу... на брасе (нормальном-правильном) терминируется с автоподнятием интерфейсов в зависимости от того какие вланы прилетели.

Відредаговано 2014-04-04 22:34:28 Lynx100

[martin 170]

Ну вот хоть один вменяемый человек нашелся )

И кроме предложенного варианта Lynx100 , еще можна поставить за ОЛТ сразу маленькую Л3 аггрегацию и зарезервировать трафик как угодно.

 

2 prototip - а вот про юзеров так и не понял.. Или ты думаешь что я пришел к выводу что влан на юзера проще с десятком юзеров ?? )))

[KaYot 3 641]

А сказки петь про влан на юзера легко тем у кого юзеров чуть больше чем пальцев на руках и ногах - эт так к юмору.

Странный школьный юмор. У меня влан на юзера работает, юзеров много. Очень классно все получается, любые другие схемы с костылями на коммутаторах - двоч и амонизм.

[Sergek 123]

 

А потому батенька гиморно , что сильно много железок нужно мучить .

зачем мучать много железок ?

на олт - влан на ону - скажем так

с олт попадает на агрегацию и упаковывается в q-in-q - и летит к брасу... на брасе (нормальном-правильном) терминируется с автоподнятием интерфейсов в зависимости от того какие вланы прилетели.

Так и готовим )

Олтов уже под 10 шт. летит и не кашляет

[masterzep 9]

ip arp inspection vlan  XX

ip verify source vlan  XX

 

Ну и соответственно на аплинке :

 

dhcp snooping trust

arp inspection trust

 ip-source trust

 

 

И все нормально. Функционал отрабатывает честно. Прописанный статикой адрес никуда не пускает. Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

 

 

как не крутил, не работает. Запросы юникастом на DHCP сервер получаю. Но ответ до клиента перестает доходить как только включаю функцию

ip arp inspection vlan  XX

или

ip verify source vlan  XX

Рабочий конфиг Opt 82 таков

Current configuration:
!
!version 10.1.0B build 17696

ip default-gateway 10.10.10.1
!

no spanning-tree
!

aaa authentication login default local
aaa authentication enable default none
aaa authorization exec default local
!


epon onu-config-template T1
 cmd-sequence 1 epon onu port 1 ctc vlan mode tag 201
 cmd-sequence 2 epon onu port 1 loopback detect
 cmd-sequence 3 epon onu port 2 ctc shutdown
 cmd-sequence 4 epon onu port 3 ctc shutdown
 cmd-sequence 5 epon onu port 4 ctc shutdown
 cmd-sequence 6 no epon onu spanning-tree
 cmd-sequence 7 epon onu port 1 storm-control mode 2 threshold 1024
 cmd-sequence 8 exit
 cmd-sequence 9 exit
 cmd-sequence 10 write
!
!
!!slot 0 84
interface GigaEthernet0/1
 switchport trunk vlan-allowed 1,201
 switchport trunk vlan-untagged 1
 switchport mode trunk
!


interface EPON0/1
 epon onu-authen-method manual
 epon pre-config-template T1 binded-onu-llid 1-64
 epon bind-onu mac fcfa.f7c5.9d85 1
 switchport trunk vlan-allowed 2,201
 switchport trunk vlan-untagged none
 switchport mode trunk
 switchport pvid 2
  dhcp snooping trust
!

interface EPON0/1:1
 onu-configuration
  epon onu port 1 ctc vlan mode tag 201
!!onu-configuration-end


interface VLAN1
 ip address 10.10.10.21 255.255.255.0
!


vlan 2
 name ONU_manage_vlan
!

vlan 201
 name vlan201
!

vlan 1-2,201

!
ip dhcp-relay snooping
ip dhcp-relay snooping information option format hn-type
ip dhcp-relay agent
ip dhcp-relay helper-address 1.2.3.4 vlan 201

 

Регистрация видна

 

PON_OLT#sh ip dhcp-relay snooping binding

Hardware Address   IP Address      Surplus Time  Type    VLAN  interface

b8-70-f4-f9-1a-8b  1.6.7.7     86040         DHCP_SN 201   EPON0/1

Відредаговано 2014-06-19 15:28:54 masterzep

[masterzep 9]

если даже в основной конфигурации напишу ip dhcp-relay snooping vlan 201 - все ломается

[2Garin 5]

 

ip arp inspection vlan  XX

ip verify source vlan  XX

 

Ну и соответственно на аплинке :

 

dhcp snooping trust

arp inspection trust

 ip-source trust

 

 

И все нормально. Функционал отрабатывает честно. Прописанный статикой адрес никуда не пускает. Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

 

 

как не крутил, не работает. Запросы юникастом на DHCP сервер получаю. Но ответ до клиента перестает доходить как только включаю функцию

ip arp inspection vlan  XX

или

ip verify source vlan  XX

Рабочий конфиг Opt 82 таков

Current configuration:
!
!version 10.1.0B build 17696

ip default-gateway 10.10.10.1
!

no spanning-tree
!

aaa authentication login default local
aaa authentication enable default none
aaa authorization exec default local
!


epon onu-config-template T1
 cmd-sequence 1 epon onu port 1 ctc vlan mode tag 201
 cmd-sequence 2 epon onu port 1 loopback detect
 cmd-sequence 3 epon onu port 2 ctc shutdown
 cmd-sequence 4 epon onu port 3 ctc shutdown
 cmd-sequence 5 epon onu port 4 ctc shutdown
 cmd-sequence 6 no epon onu spanning-tree
 cmd-sequence 7 epon onu port 1 storm-control mode 2 threshold 1024
 cmd-sequence 8 exit
 cmd-sequence 9 exit
 cmd-sequence 10 write
!
!
!!slot 0 84
interface GigaEthernet0/1
 switchport trunk vlan-allowed 1,201
 switchport trunk vlan-untagged 1
 switchport mode trunk
!


interface EPON0/1
 epon onu-authen-method manual
 epon pre-config-template T1 binded-onu-llid 1-64
 epon bind-onu mac fcfa.f7c5.9d85 1
 switchport trunk vlan-allowed 2,201
 switchport trunk vlan-untagged none
 switchport mode trunk
 switchport pvid 2
  dhcp snooping trust
!

interface EPON0/1:1
 onu-configuration
  epon onu port 1 ctc vlan mode tag 201
!!onu-configuration-end


interface VLAN1
 ip address 10.10.10.21 255.255.255.0
!


vlan 2
 name ONU_manage_vlan
!

vlan 201
 name vlan201
!

vlan 1-2,201

!
ip dhcp-relay snooping
ip dhcp-relay snooping information option format hn-type
ip dhcp-relay agent
ip dhcp-relay helper-address 1.2.3.4 vlan 201

Регистрация видна

 

PON_OLT#sh ip dhcp-relay snooping binding

Hardware Address   IP Address      Surplus Time  Type    VLAN  interface

b8-70-f4-f9-1a-8b  1.6.7.7     86040         DHCP_SN 201   EPON0/1

Я бы попробовал добавить еще вот это.

 

interface GigaEthernet0/1

  dhcp snooping trust

  arp inspection trust

  ip-source trust

 

И это 

 

ip dhcp-relay snooping vlan 201

если даже в основной конфигурации напишу ip dhcp-relay snooping vlan 201 - все ломается

А вот это интересно...

 

А если попробовать убрать ip dhcp-relay helper-address ? Или без него никак?

Відредаговано 2014-06-19 15:54:05 2Garin

[masterzep 9]

У меня снупинг через юникаст UDP за маршрутизаторами. ip dhcp-relay helper-address необходим

[Darth Vader2 33]

 

 

 

как не крутил, не работает. Запросы юникастом на DHCP сервер получаю. Но ответ до клиента перестает доходить как только включаю функцию

Рабочий конфиг Opt 82 таков

Current configuration:
!
!version 10.1.0B build 17696

Попробуйте откатить прошивку на version 10.1.0B build 16688

 

Позже увидел, а что у вас делает на interface EPON0/1 dhcp snooping trust ? Разве это аплинк? Это должно быть указано на interface GigaEthernet0/1

 

Сделайте так:

 

interface GigaEthernet0/1

 switchport trunk vlan-allowed 1-2,201

 switchport trunk vlan-untagged 1 # это вообще не желательно, лучше пригнать тегом vlan 2 и соответственно switchport trunk vlan-untagged none

 switchport mode trunk

 switchport pvid 2

  dhcp snooping trust

  arp inspection trust

  ip-source trust

 

interface EPON0/1

epon onu-authen-method manual

 epon pre-config-template T1 binded-onu-llid 1-64

 switchport trunk vlan-allowed 2,201

 switchport trunk vlan-untagged none

 switchport mode trunk

 switchport pvid 2

 switchport protected

  dhcp snooping trust

 

и соответственно (соль перец по вкусу)

 

ip dhcp-relay snooping

ip dhcp-relay snooping vlan  2,201

ip arp inspection vlan 2,201

ip verify source vlan 2,201

Відредаговано 2014-06-19 20:43:25 Darth Vader2

[masterzep 9]

Все, победил. Действительно стоило перевесить все на gi0/1

 

Спасибо!

 

interface GigaEthernet0/1
 switchport trunk vlan-allowed 1,201
 switchport trunk vlan-untagged 1
 switchport mode trunk
  dhcp snooping trust
  arp inspection trust
  ip-source trust
!


interface EPON0/1
 epon onu-authen-method manual
 epon pre-config-template T1 binded-onu-llid 1-64
 epon bind-onu mac fcfa.f7c5.9d85 1
 epon bind-onu mac fcfa.f7c5.9d86 2
 switchport trunk vlan-allowed 2,201
 switchport trunk vlan-untagged none
 switchport mode trunk
 switchport pvid 2
 epon inner-onu-switch
!


ip dhcp-relay snooping
ip arp inspection vlan  201
ip verify source vlan  201
ip dhcp-relay snooping information option format hn-type
ip dhcp-relay agent
ip dhcp-relay helper-address 1.2.3.4 vlan 201

[VasekGVG 2]

Есть ли возможность, привязать IP клиента к порту ONU без учета MAC адреса клиента?

[masterzep 9]

Есть ли возможность, привязать IP клиента к порту ONU без учета MAC адреса клиента?

По DHCP ?

[VasekGVG 2]

 

Есть ли возможность, привязать IP клиента к порту ONU без учета MAC адреса клиента?

По DHCP ?

 

Да через опц-82