Перейти до

Поддержка Option 82 на OLT


prototip

Рекомендованные сообщения

  • Відповіді 133
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Я думал некие китайские поделия. А эти - чистый бридж. Не надо фантазировать.

Я думал некие китайские поделия. А эти - чистый бридж. Не надо фантазировать.

Відредаговано passer
Ссылка на сообщение
Поделиться на других сайтах
  • 3 weeks later...

Расскажите кто тестил опцию 82 о результатах защиты от подмены IP and MAC как функционал не отемлемый при применении опт 82 .  Из вышеприведенных конфигов  ip arp inspection vlan , ip verify source vlan  насколько мне логика позволяет судить , заставляет коммутатор просматривать таблицу связок мака/влана/айпи  защищая от подмены  .  Работает ли данный функционал корректно ?  Ибо тут  некоторые городят влан на юзера , что конечно не элегантно и гиморно и сводит на нет весь смысл опт82 .

Ссылка на сообщение
Поделиться на других сайтах

Ну вот почему вдруг гиморно ?? Просто шикарно, выдал юзеру 6 ип адресов и зарезал влан на скорость тарифа и все! Никто ничего не поменяет и ненужно никаких опций82. Еще и график юзеру можно показать по его влану

Влан на юзера наше все )

Ссылка на сообщение
Поделиться на других сайтах

А потому батенька гиморно , что сильно много железок нужно мучить . Ручками оно никогда не поздно прописать , тогда и билинга не нужно , в тетрадке тоже все неплохо получается , ан глядь а на дворе 21 век  и  теперь каждый школьник хочет не книжки в рюкзаке носить а планшет :) .  Просто банальщина в том , что опт82 без source guard  это как автомобиль без тормозов . А сказки петь про влан на юзера легко тем у кого юзеров чуть больше чем пальцев на руках и ногах - эт так к юмору .

Ссылка на сообщение
Поделиться на других сайтах
ip arp inspection vlan  XX

ip verify source vlan  XX

 

Ну и соответственно на аплинке :


dhcp snooping trust

arp inspection trust

 ip-source trust

 


И все нормально. Функционал отрабатывает честно. Прописанный статикой адрес никуда не пускает. Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.
Ссылка на сообщение
Поделиться на других сайтах

 

Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

 

на прошивке 16688 мультик работает нормально

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

 

ip arp inspection vlan  XX
ip verify source vlan  XX
 
Ну и соответственно на аплинке :
dhcp snooping trust
arp inspection trust
 ip-source trust
 
И все нормально. Функционал отрабатывает честно. Прописанный статикой адрес никуда не пускает. Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

 

Я чет не понял насчет "Ну и соответственно на аплинке" :

arp inspection trust
 ip-source trust
Не понятно мне - ОЛТ на уровне порта клиента  подделку  мака и айпи секет или это должно реализовываться как у сиськи на уровне агрегации то бишь на железке L3 ?  А есть вообще какая то документация по данному моменту или все как всегда ?  Например у сиськи данное правило применяется  ДЛЯ ПОРТА и ежели у вас какие виланы бегали по аплинку транзитные то получите вы проблему .  Поэтому вопрос зачем сии команды для аплинкового порта ?
Відредаговано prototip
Ссылка на сообщение
Поделиться на других сайтах

2Garin, а сколько у вас на олте записей ip dhcp snoo bind в ЧНН?

До 40, еще мало абонентов подключили. Про ограничение в 100 записей я помню. Никак руки не дойдут переписать конфиг под новую прошивку. Видимо как то синтаксис команд отличается ибо стоит залить 16688 мультикаст пропадает. Ну или конфиг у меня кривой)

 

 

 

 

 

ip arp inspection vlan  XX
ip verify source vlan  XX
 
Ну и соответственно на аплинке :
dhcp snooping trust
arp inspection trust
 ip-source trust
 
И все нормально. Функционал отрабатывает честно. Прописанный статикой адрес никуда не пускает. Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

 

Я чет не понял насчет "Ну и соответственно на аплинке" :

arp inspection trust
 ip-source trust
Не понятно мне - ОЛТ на уровне порта клиента  подделку  мака и айпи секет или это должно реализовываться как у сиськи на уровне агрегации то бишь на железке L3 ?  А есть вообще какая то документация по данному моменту или все как всегда ?  Например у сиськи данное правило применяется  ДЛЯ ПОРТА и ежели у вас какие виланы бегали по аплинку транзитные то получите вы проблему .  Поэтому вопрос зачем сии команды для аплинкового порта ?

 

 

В каком то из примеров по настройке олт были эти команды, нужны для нормальной работы DHCP. Т.к. за портом  на котором нет ip source trust  DHCP сервер работать не будет. Защита от левых DHCP, типа роутеров абонентских включенных LAN портом.

Вся документация  тут https://www.dropbox.com/sh/tkfm2crdyr28dlx/XqWGZnrCLZ .

Відредаговано 2Garin
Ссылка на сообщение
Поделиться на других сайтах

Да эт вы чет запутали батенька басню . Дело в том , что контроль адреса источника - это функционал L3 и ежели асике чипа его нет то и не будет никогда , как пример например коммутаторы от сиськи 2950\2960 .  Хотя конечно ежели бы наши китайские братья хотя бы мало мальскую документацию прилагали к своим поделкам было бы вообще замечательно . Приходиться тут понимаешь опыты ставить и домыслы устраивать .  Спасибо и на этом .

Ссылка на сообщение
Поделиться на других сайтах

А потому батенька гиморно , что сильно много железок нужно мучить .

зачем мучать много железок ?

на олт - влан на ону - скажем так

с олт попадает на агрегацию и упаковывается в q-in-q - и летит к брасу... на брасе (нормальном-правильном) терминируется с автоподнятием интерфейсов в зависимости от того какие вланы прилетели.

Відредаговано Lynx100
Ссылка на сообщение
Поделиться на других сайтах

Ну вот хоть один вменяемый человек нашелся )

И кроме предложенного варианта Lynx100 , еще можна поставить за ОЛТ сразу маленькую Л3 аггрегацию и зарезервировать трафик как угодно.

 

2 prototip - а вот про юзеров так и не понял.. Или ты думаешь что я пришел к выводу что влан на юзера проще с десятком юзеров ?? )))

Ссылка на сообщение
Поделиться на других сайтах

А сказки петь про влан на юзера легко тем у кого юзеров чуть больше чем пальцев на руках и ногах - эт так к юмору.

Странный школьный юмор. У меня влан на юзера работает, юзеров много. Очень классно все получается, любые другие схемы с костылями на коммутаторах - двоч и амонизм.
Ссылка на сообщение
Поделиться на других сайтах

 

А потому батенька гиморно , что сильно много железок нужно мучить .

зачем мучать много железок ?

на олт - влан на ону - скажем так

с олт попадает на агрегацию и упаковывается в q-in-q - и летит к брасу... на брасе (нормальном-правильном) терминируется с автоподнятием интерфейсов в зависимости от того какие вланы прилетели.

Так и готовим )

Олтов уже под 10 шт. летит и не кашляет

Ссылка на сообщение
Поделиться на других сайтах
  • 2 months later...

ip arp inspection vlan  XX

ip verify source vlan  XX

 

Ну и соответственно на аплинке :

 

dhcp snooping trust

arp inspection trust

 ip-source trust

 

 

И все нормально. Функционал отрабатывает честно. Прописанный статикой адрес никуда не пускает. Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

 

 

как не крутил, не работает. Запросы юникастом на DHCP сервер получаю. Но ответ до клиента перестает доходить как только включаю функцию

ip arp inspection vlan  XX
или

ip verify source vlan  XX
Рабочий конфиг Opt 82 таков

Current configuration:
!
!version 10.1.0B build 17696

ip default-gateway 10.10.10.1
!

no spanning-tree
!

aaa authentication login default local
aaa authentication enable default none
aaa authorization exec default local
!


epon onu-config-template T1
 cmd-sequence 1 epon onu port 1 ctc vlan mode tag 201
 cmd-sequence 2 epon onu port 1 loopback detect
 cmd-sequence 3 epon onu port 2 ctc shutdown
 cmd-sequence 4 epon onu port 3 ctc shutdown
 cmd-sequence 5 epon onu port 4 ctc shutdown
 cmd-sequence 6 no epon onu spanning-tree
 cmd-sequence 7 epon onu port 1 storm-control mode 2 threshold 1024
 cmd-sequence 8 exit
 cmd-sequence 9 exit
 cmd-sequence 10 write
!
!
!!slot 0 84
interface GigaEthernet0/1
 switchport trunk vlan-allowed 1,201
 switchport trunk vlan-untagged 1
 switchport mode trunk
!


interface EPON0/1
 epon onu-authen-method manual
 epon pre-config-template T1 binded-onu-llid 1-64
 epon bind-onu mac fcfa.f7c5.9d85 1
 switchport trunk vlan-allowed 2,201
 switchport trunk vlan-untagged none
 switchport mode trunk
 switchport pvid 2
  dhcp snooping trust
!

interface EPON0/1:1
 onu-configuration
  epon onu port 1 ctc vlan mode tag 201
!!onu-configuration-end


interface VLAN1
 ip address 10.10.10.21 255.255.255.0
!


vlan 2
 name ONU_manage_vlan
!

vlan 201
 name vlan201
!

vlan 1-2,201

!
ip dhcp-relay snooping
ip dhcp-relay snooping information option format hn-type
ip dhcp-relay agent
ip dhcp-relay helper-address 1.2.3.4 vlan 201

 

Регистрация видна

 

PON_OLT#sh ip dhcp-relay snooping binding

Hardware Address   IP Address      Surplus Time  Type    VLAN  interface

b8-70-f4-f9-1a-8b  1.6.7.7     86040         DHCP_SN 201   EPON0/1
Відредаговано masterzep
Ссылка на сообщение
Поделиться на других сайтах

 

ip arp inspection vlan  XX

ip verify source vlan  XX

 

Ну и соответственно на аплинке :

 

dhcp snooping trust

arp inspection trust

 ip-source trust

 

 

И все нормально. Функционал отрабатывает честно. Прописанный статикой адрес никуда не пускает. Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

 

 

как не крутил, не работает. Запросы юникастом на DHCP сервер получаю. Но ответ до клиента перестает доходить как только включаю функцию

ip arp inspection vlan  XX
или

ip verify source vlan  XX
Рабочий конфиг Opt 82 таков

Current configuration:
!
!version 10.1.0B build 17696

ip default-gateway 10.10.10.1
!

no spanning-tree
!

aaa authentication login default local
aaa authentication enable default none
aaa authorization exec default local
!


epon onu-config-template T1
 cmd-sequence 1 epon onu port 1 ctc vlan mode tag 201
 cmd-sequence 2 epon onu port 1 loopback detect
 cmd-sequence 3 epon onu port 2 ctc shutdown
 cmd-sequence 4 epon onu port 3 ctc shutdown
 cmd-sequence 5 epon onu port 4 ctc shutdown
 cmd-sequence 6 no epon onu spanning-tree
 cmd-sequence 7 epon onu port 1 storm-control mode 2 threshold 1024
 cmd-sequence 8 exit
 cmd-sequence 9 exit
 cmd-sequence 10 write
!
!
!!slot 0 84
interface GigaEthernet0/1
 switchport trunk vlan-allowed 1,201
 switchport trunk vlan-untagged 1
 switchport mode trunk
!


interface EPON0/1
 epon onu-authen-method manual
 epon pre-config-template T1 binded-onu-llid 1-64
 epon bind-onu mac fcfa.f7c5.9d85 1
 switchport trunk vlan-allowed 2,201
 switchport trunk vlan-untagged none
 switchport mode trunk
 switchport pvid 2
  dhcp snooping trust
!

interface EPON0/1:1
 onu-configuration
  epon onu port 1 ctc vlan mode tag 201
!!onu-configuration-end


interface VLAN1
 ip address 10.10.10.21 255.255.255.0
!


vlan 2
 name ONU_manage_vlan
!

vlan 201
 name vlan201
!

vlan 1-2,201

!
ip dhcp-relay snooping
ip dhcp-relay snooping information option format hn-type
ip dhcp-relay agent
ip dhcp-relay helper-address 1.2.3.4 vlan 201
Регистрация видна

 

PON_OLT#sh ip dhcp-relay snooping binding

Hardware Address   IP Address      Surplus Time  Type    VLAN  interface

b8-70-f4-f9-1a-8b  1.6.7.7     86040         DHCP_SN 201   EPON0/1
Я бы попробовал добавить еще вот это.
 
interface GigaEthernet0/1
  dhcp snooping trust
  arp inspection trust
  ip-source trust
 
И это 
 
ip dhcp-relay snooping vlan 201

если даже в основной конфигурации напишу ip dhcp-relay snooping vlan 201 - все ломается

А вот это интересно...

 

А если попробовать убрать ip dhcp-relay helper-address ? Или без него никак?

Відредаговано 2Garin
Ссылка на сообщение
Поделиться на других сайтах

 

 

 

как не крутил, не работает. Запросы юникастом на DHCP сервер получаю. Но ответ до клиента перестает доходить как только включаю функцию

Рабочий конфиг Opt 82 таков

Current configuration:
!
!version 10.1.0B build 17696



Попробуйте откатить прошивку на version 10.1.0B build 16688

 

Позже увидел, а что у вас делает на interface EPON0/1 dhcp snooping trust ? Разве это аплинк? Это должно быть указано на interface GigaEthernet0/1

 

Сделайте так:

 

interface GigaEthernet0/1

 switchport trunk vlan-allowed 1-2,201

 switchport trunk vlan-untagged 1 # это вообще не желательно, лучше пригнать тегом vlan 2 и соответственно switchport trunk vlan-untagged none

 switchport mode trunk

 switchport pvid 2

  dhcp snooping trust

  arp inspection trust

  ip-source trust

 

interface EPON0/1

epon onu-authen-method manual

 epon pre-config-template T1 binded-onu-llid 1-64

 switchport trunk vlan-allowed 2,201

 switchport trunk vlan-untagged none

 switchport mode trunk

 switchport pvid 2

 switchport protected

  dhcp snooping trust

 

и соответственно (соль перец по вкусу)

 

ip dhcp-relay snooping

ip dhcp-relay snooping vlan  2,201

ip arp inspection vlan 2,201

ip verify source vlan 2,201

Відредаговано Darth Vader2
Ссылка на сообщение
Поделиться на других сайтах

Все, победил. Действительно стоило перевесить все на gi0/1

 

Спасибо!

 

interface GigaEthernet0/1
 switchport trunk vlan-allowed 1,201
 switchport trunk vlan-untagged 1
 switchport mode trunk
  dhcp snooping trust
  arp inspection trust
  ip-source trust
!


interface EPON0/1
 epon onu-authen-method manual
 epon pre-config-template T1 binded-onu-llid 1-64
 epon bind-onu mac fcfa.f7c5.9d85 1
 epon bind-onu mac fcfa.f7c5.9d86 2
 switchport trunk vlan-allowed 2,201
 switchport trunk vlan-untagged none
 switchport mode trunk
 switchport pvid 2
 epon inner-onu-switch
!


ip dhcp-relay snooping
ip arp inspection vlan  201
ip verify source vlan  201
ip dhcp-relay snooping information option format hn-type
ip dhcp-relay agent
ip dhcp-relay helper-address 1.2.3.4 vlan 201
Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від jaroslav2r
      Добрий день,
      Виникла проблема з DHCP snooping на одному з наших OLT DASAN V5808. При його увімкненні клієнти перестають отримувати IP-адреси через DHCP. Оновлення прошивки до версії V5808 NOS 1.12p1 не допомогло. На інших OLT така проблема не спостерігається.
      DHCP snooping налаштовано за допомогою наступних команд, де uplink — порт 15:
      Copy code
      ip dhcp snooping
      ip dhcp snooping vlan 665
      ip dhcp snooping trust 15
      Хтось стикався з подібною проблемою і знайшов рішення?
       
      We’re experiencing an issue with DHCP snooping on one of our DASAN V5808 OLTs. When DHCP snooping is enabled, clients stop receiving DHCP offers. Updating the firmware to version V5808 NOS 1.12p1 didn’t resolve the problem. Other OLTs don’t seem to have this issue.
      The DHCP snooping configuration was done with the following commands:

      ip dhcp snooping
      ip dhcp snooping vlan 665
      ip dhcp snooping trust 15
       
      uplink —  15 port
       
      Has anyone encountered this problem and managed to fix it?
    • Від Rico3110
      ПРОДАМ НОВІ OLT
      нова C-DATA EPON FD1204S-R2-DAP - 1шт
      нова C-DATA GPON FD1604S-2AC - 1шт
       
      Блоки живлення нові EF9012 і EF6012
       

       
       
      UP!!!  По ціні, та наявності, уточнюйте в приватних повідомленнях!
       
    • Від Oumpi
      Продам 2 олта
      p3310B 8к
      p3310D 11к

      Не ремонтировались полностью исправные, сняти в связи обновления оборудования.
      На одном менял БП 
      Харьков 
       


    • Від Quella
      Шукаєте місцевого постачальника OLT, ONU з України,  зв’яжіться з нашими дистриб’юторами для  цих пристроїв  і технічної підтримки!
       
       
      Looking for OLT, ONU supplier from Ukraine local,  contact our distributors for these device and technical support!
       
      330UAH/pcs
       
       
      Contact:
      Вадим Whatsapp/Viber:  +380 99 179 6389
      website: 
      https://smartfiber.com.ua/
       
       
       

    • Від Diter_ua
      после модернизации.
      хотелка 15к грн


×
×
  • Створити нове...