Jump to content

Поддержка Option 82 на OLT

prototip

By prototip,
in PON

 Share Followers 6

Recommended Posts

  • Replies 133
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

passer

Я думал некие китайские поделия. А эти - чистый бридж. Не надо фантазировать.

passer

passer 67

Posted
Posted (edited)

Я думал некие китайские поделия. А эти - чистый бридж. Не надо фантазировать.

Edited by passer
Link to post
Share on other sites
  • 3 weeks later...
prototip

prototip 284

Posted
  • Author
Posted

Расскажите кто тестил опцию 82 о результатах защиты от подмены IP and MAC как функционал не отемлемый при применении опт 82 .  Из вышеприведенных конфигов  ip arp inspection vlan , ip verify source vlan  насколько мне логика позволяет судить , заставляет коммутатор просматривать таблицу связок мака/влана/айпи  защищая от подмены  .  Работает ли данный функционал корректно ?  Ибо тут  некоторые городят влан на юзера , что конечно не элегантно и гиморно и сводит на нет весь смысл опт82 .

Link to post
Share on other sites
martin

martin 170

Posted
Posted

Ну вот почему вдруг гиморно ?? Просто шикарно, выдал юзеру 6 ип адресов и зарезал влан на скорость тарифа и все! Никто ничего не поменяет и ненужно никаких опций82. Еще и график юзеру можно показать по его влану

Влан на юзера наше все )

Link to post
Share on other sites
prototip

prototip 284

Posted
  • Author
Posted

А потому батенька гиморно , что сильно много железок нужно мучить . Ручками оно никогда не поздно прописать , тогда и билинга не нужно , в тетрадке тоже все неплохо получается , ан глядь а на дворе 21 век  и  теперь каждый школьник хочет не книжки в рюкзаке носить а планшет :) .  Просто банальщина в том , что опт82 без source guard  это как автомобиль без тормозов . А сказки петь про влан на юзера легко тем у кого юзеров чуть больше чем пальцев на руках и ногах - эт так к юмору .

Link to post
Share on other sites
2Garin

2Garin 5

Posted
Posted
ip arp inspection vlan  XX

ip verify source vlan  XX

 

Ну и соответственно на аплинке :


dhcp snooping trust

arp inspection trust

 ip-source trust

 


И все нормально. Функционал отрабатывает честно. Прописанный статикой адрес никуда не пускает. Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.
Link to post
Share on other sites
Zolks

Zolks 24

Posted
Posted

 

Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

 

на прошивке 16688 мультик работает нормально

Link to post
Share on other sites
prototip

prototip 284

Posted
  • Author
Posted (edited)

 

ip arp inspection vlan  XX
ip verify source vlan  XX
 
Ну и соответственно на аплинке :
dhcp snooping trust
arp inspection trust
 ip-source trust
 
И все нормально. Функционал отрабатывает честно. Прописанный статикой адрес никуда не пускает. Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

 

Я чет не понял насчет "Ну и соответственно на аплинке" :

arp inspection trust
 ip-source trust
Не понятно мне - ОЛТ на уровне порта клиента  подделку  мака и айпи секет или это должно реализовываться как у сиськи на уровне агрегации то бишь на железке L3 ?  А есть вообще какая то документация по данному моменту или все как всегда ?  Например у сиськи данное правило применяется  ДЛЯ ПОРТА и ежели у вас какие виланы бегали по аплинку транзитные то получите вы проблему .  Поэтому вопрос зачем сии команды для аплинкового порта ?
Edited by prototip
Link to post
Share on other sites
2Garin

2Garin 5

Posted
Posted (edited)

2Garin, а сколько у вас на олте записей ip dhcp snoo bind в ЧНН?

До 40, еще мало абонентов подключили. Про ограничение в 100 записей я помню. Никак руки не дойдут переписать конфиг под новую прошивку. Видимо как то синтаксис команд отличается ибо стоит залить 16688 мультикаст пропадает. Ну или конфиг у меня кривой)

 

 

 

 

 

ip arp inspection vlan  XX
ip verify source vlan  XX
 
Ну и соответственно на аплинке :
dhcp snooping trust
arp inspection trust
 ip-source trust
 
И все нормально. Функционал отрабатывает честно. Прописанный статикой адрес никуда не пускает. Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

 

Я чет не понял насчет "Ну и соответственно на аплинке" :

arp inspection trust
 ip-source trust
Не понятно мне - ОЛТ на уровне порта клиента  подделку  мака и айпи секет или это должно реализовываться как у сиськи на уровне агрегации то бишь на железке L3 ?  А есть вообще какая то документация по данному моменту или все как всегда ?  Например у сиськи данное правило применяется  ДЛЯ ПОРТА и ежели у вас какие виланы бегали по аплинку транзитные то получите вы проблему .  Поэтому вопрос зачем сии команды для аплинкового порта ?

 

 

В каком то из примеров по настройке олт были эти команды, нужны для нормальной работы DHCP. Т.к. за портом  на котором нет ip source trust  DHCP сервер работать не будет. Защита от левых DHCP, типа роутеров абонентских включенных LAN портом.

Вся документация  тут https://www.dropbox.com/sh/tkfm2crdyr28dlx/XqWGZnrCLZ .

Edited by 2Garin
Link to post
Share on other sites
prototip

prototip 284

Posted
  • Author
Posted

Да эт вы чет запутали батенька басню . Дело в том , что контроль адреса источника - это функционал L3 и ежели асике чипа его нет то и не будет никогда , как пример например коммутаторы от сиськи 2950\2960 .  Хотя конечно ежели бы наши китайские братья хотя бы мало мальскую документацию прилагали к своим поделкам было бы вообще замечательно . Приходиться тут понимаешь опыты ставить и домыслы устраивать .  Спасибо и на этом .

Link to post
Share on other sites
Lynx100

Lynx100 90

Posted
Posted (edited)

А потому батенька гиморно , что сильно много железок нужно мучить .

зачем мучать много железок ?

на олт - влан на ону - скажем так

с олт попадает на агрегацию и упаковывается в q-in-q - и летит к брасу... на брасе (нормальном-правильном) терминируется с автоподнятием интерфейсов в зависимости от того какие вланы прилетели.

Edited by Lynx100
Link to post
Share on other sites
martin

martin 170

Posted
Posted

Ну вот хоть один вменяемый человек нашелся )

И кроме предложенного варианта Lynx100 , еще можна поставить за ОЛТ сразу маленькую Л3 аггрегацию и зарезервировать трафик как угодно.

 

2 prototip - а вот про юзеров так и не понял.. Или ты думаешь что я пришел к выводу что влан на юзера проще с десятком юзеров ?? )))

Link to post
Share on other sites
KaYot

KaYot 3,708

Posted
Posted

А сказки петь про влан на юзера легко тем у кого юзеров чуть больше чем пальцев на руках и ногах - эт так к юмору.

Странный школьный юмор. У меня влан на юзера работает, юзеров много. Очень классно все получается, любые другие схемы с костылями на коммутаторах - двоч и амонизм.
Link to post
Share on other sites
Sergek

Sergek 123

Posted
Posted

 

А потому батенька гиморно , что сильно много железок нужно мучить .

зачем мучать много железок ?

на олт - влан на ону - скажем так

с олт попадает на агрегацию и упаковывается в q-in-q - и летит к брасу... на брасе (нормальном-правильном) терминируется с автоподнятием интерфейсов в зависимости от того какие вланы прилетели.

Так и готовим )

Олтов уже под 10 шт. летит и не кашляет

Link to post
Share on other sites
  • 2 months later...
masterzep

masterzep 9

Posted
Posted (edited)

ip arp inspection vlan  XX

ip verify source vlan  XX

 

Ну и соответственно на аплинке :

 

dhcp snooping trust

arp inspection trust

 ip-source trust

 

 

И все нормально. Функционал отрабатывает честно. Прописанный статикой адрес никуда не пускает. Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

 

 

как не крутил, не работает. Запросы юникастом на DHCP сервер получаю. Но ответ до клиента перестает доходить как только включаю функцию

ip arp inspection vlan  XX
или

ip verify source vlan  XX
Рабочий конфиг Opt 82 таков

Current configuration:
!
!version 10.1.0B build 17696

ip default-gateway 10.10.10.1
!

no spanning-tree
!

aaa authentication login default local
aaa authentication enable default none
aaa authorization exec default local
!


epon onu-config-template T1
 cmd-sequence 1 epon onu port 1 ctc vlan mode tag 201
 cmd-sequence 2 epon onu port 1 loopback detect
 cmd-sequence 3 epon onu port 2 ctc shutdown
 cmd-sequence 4 epon onu port 3 ctc shutdown
 cmd-sequence 5 epon onu port 4 ctc shutdown
 cmd-sequence 6 no epon onu spanning-tree
 cmd-sequence 7 epon onu port 1 storm-control mode 2 threshold 1024
 cmd-sequence 8 exit
 cmd-sequence 9 exit
 cmd-sequence 10 write
!
!
!!slot 0 84
interface GigaEthernet0/1
 switchport trunk vlan-allowed 1,201
 switchport trunk vlan-untagged 1
 switchport mode trunk
!


interface EPON0/1
 epon onu-authen-method manual
 epon pre-config-template T1 binded-onu-llid 1-64
 epon bind-onu mac fcfa.f7c5.9d85 1
 switchport trunk vlan-allowed 2,201
 switchport trunk vlan-untagged none
 switchport mode trunk
 switchport pvid 2
  dhcp snooping trust
!

interface EPON0/1:1
 onu-configuration
  epon onu port 1 ctc vlan mode tag 201
!!onu-configuration-end


interface VLAN1
 ip address 10.10.10.21 255.255.255.0
!


vlan 2
 name ONU_manage_vlan
!

vlan 201
 name vlan201
!

vlan 1-2,201

!
ip dhcp-relay snooping
ip dhcp-relay snooping information option format hn-type
ip dhcp-relay agent
ip dhcp-relay helper-address 1.2.3.4 vlan 201

 

Регистрация видна

 

PON_OLT#sh ip dhcp-relay snooping binding

Hardware Address   IP Address      Surplus Time  Type    VLAN  interface

b8-70-f4-f9-1a-8b  1.6.7.7     86040         DHCP_SN 201   EPON0/1
Edited by masterzep
Link to post
Share on other sites
2Garin

2Garin 5

Posted
Posted (edited)

 

ip arp inspection vlan  XX

ip verify source vlan  XX

 

Ну и соответственно на аплинке :

 

dhcp snooping trust

arp inspection trust

 ip-source trust

 

 

И все нормально. Функционал отрабатывает честно. Прописанный статикой адрес никуда не пускает. Прошивка старая  10.1.0B Build 14297,  с новой у меня проблемы с мультикастом возникли.

 

 

как не крутил, не работает. Запросы юникастом на DHCP сервер получаю. Но ответ до клиента перестает доходить как только включаю функцию

ip arp inspection vlan  XX
или

ip verify source vlan  XX
Рабочий конфиг Opt 82 таков

Current configuration:
!
!version 10.1.0B build 17696

ip default-gateway 10.10.10.1
!

no spanning-tree
!

aaa authentication login default local
aaa authentication enable default none
aaa authorization exec default local
!


epon onu-config-template T1
 cmd-sequence 1 epon onu port 1 ctc vlan mode tag 201
 cmd-sequence 2 epon onu port 1 loopback detect
 cmd-sequence 3 epon onu port 2 ctc shutdown
 cmd-sequence 4 epon onu port 3 ctc shutdown
 cmd-sequence 5 epon onu port 4 ctc shutdown
 cmd-sequence 6 no epon onu spanning-tree
 cmd-sequence 7 epon onu port 1 storm-control mode 2 threshold 1024
 cmd-sequence 8 exit
 cmd-sequence 9 exit
 cmd-sequence 10 write
!
!
!!slot 0 84
interface GigaEthernet0/1
 switchport trunk vlan-allowed 1,201
 switchport trunk vlan-untagged 1
 switchport mode trunk
!


interface EPON0/1
 epon onu-authen-method manual
 epon pre-config-template T1 binded-onu-llid 1-64
 epon bind-onu mac fcfa.f7c5.9d85 1
 switchport trunk vlan-allowed 2,201
 switchport trunk vlan-untagged none
 switchport mode trunk
 switchport pvid 2
  dhcp snooping trust
!

interface EPON0/1:1
 onu-configuration
  epon onu port 1 ctc vlan mode tag 201
!!onu-configuration-end


interface VLAN1
 ip address 10.10.10.21 255.255.255.0
!


vlan 2
 name ONU_manage_vlan
!

vlan 201
 name vlan201
!

vlan 1-2,201

!
ip dhcp-relay snooping
ip dhcp-relay snooping information option format hn-type
ip dhcp-relay agent
ip dhcp-relay helper-address 1.2.3.4 vlan 201
Регистрация видна

 

PON_OLT#sh ip dhcp-relay snooping binding

Hardware Address   IP Address      Surplus Time  Type    VLAN  interface

b8-70-f4-f9-1a-8b  1.6.7.7     86040         DHCP_SN 201   EPON0/1
Я бы попробовал добавить еще вот это.
 
interface GigaEthernet0/1
  dhcp snooping trust
  arp inspection trust
  ip-source trust
 
И это 
 
ip dhcp-relay snooping vlan 201

если даже в основной конфигурации напишу ip dhcp-relay snooping vlan 201 - все ломается

А вот это интересно...

 

А если попробовать убрать ip dhcp-relay helper-address ? Или без него никак?

Edited by 2Garin
Link to post
Share on other sites
Darth Vader2

Darth Vader2 33

Posted
Posted (edited)

 

 

 

как не крутил, не работает. Запросы юникастом на DHCP сервер получаю. Но ответ до клиента перестает доходить как только включаю функцию

Рабочий конфиг Opt 82 таков

Current configuration:
!
!version 10.1.0B build 17696

Попробуйте откатить прошивку на version 10.1.0B build 16688

 

Позже увидел, а что у вас делает на interface EPON0/1 dhcp snooping trust ? Разве это аплинк? Это должно быть указано на interface GigaEthernet0/1

 

Сделайте так:

 

interface GigaEthernet0/1

 switchport trunk vlan-allowed 1-2,201

 switchport trunk vlan-untagged 1 # это вообще не желательно, лучше пригнать тегом vlan 2 и соответственно switchport trunk vlan-untagged none

 switchport mode trunk

 switchport pvid 2

  dhcp snooping trust

  arp inspection trust

  ip-source trust

 

interface EPON0/1

epon onu-authen-method manual

 epon pre-config-template T1 binded-onu-llid 1-64

 switchport trunk vlan-allowed 2,201

 switchport trunk vlan-untagged none

 switchport mode trunk

 switchport pvid 2

 switchport protected

  dhcp snooping trust

 

и соответственно (соль перец по вкусу)

 

ip dhcp-relay snooping

ip dhcp-relay snooping vlan  2,201

ip arp inspection vlan 2,201

ip verify source vlan 2,201

Edited by Darth Vader2
Link to post
Share on other sites
masterzep

masterzep 9

Posted
Posted

Все, победил. Действительно стоило перевесить все на gi0/1

 

Спасибо!

 

interface GigaEthernet0/1
 switchport trunk vlan-allowed 1,201
 switchport trunk vlan-untagged 1
 switchport mode trunk
  dhcp snooping trust
  arp inspection trust
  ip-source trust
!


interface EPON0/1
 epon onu-authen-method manual
 epon pre-config-template T1 binded-onu-llid 1-64
 epon bind-onu mac fcfa.f7c5.9d85 1
 epon bind-onu mac fcfa.f7c5.9d86 2
 switchport trunk vlan-allowed 2,201
 switchport trunk vlan-untagged none
 switchport mode trunk
 switchport pvid 2
 epon inner-onu-switch
!


ip dhcp-relay snooping
ip arp inspection vlan  201
ip verify source vlan  201
ip dhcp-relay snooping information option format hn-type
ip dhcp-relay agent
ip dhcp-relay helper-address 1.2.3.4 vlan 201
Link to post
Share on other sites
  • 1 month later...

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 6
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • alexeya
      Продам OLT Bdcom, Zte
      By alexeya
      Продам OLT ZTE C320. OLT укомплектован блоком живлення PRAM, двома платами GTGH(K00), платою керування SMXA(A31).

      Кожна GTGH-плата, це 16 GPON портів, 16 GPON модулів C++.
      SMXA-плата, це SFP+ (10G) порт, 1 гігабітний комбо порт.

      В наявності 2 одиниці. Один новий, один був у використанні (стан близький до нового)

      Ціна нового - 120000 грн
      Ціна вживаного - 105000 грн

      BDCOM GP-3600-08B куплявся в ДЕПСі в вересні 23 року. В ньому використовувались тільки 3 порти (тобто є тільки 3 GPON SFP модулі). 48к разом з модулями

      ОЛТИ без модулів:
      3310B-2AC - 1штука - 8000
      3310B - 2 штуки - 7500
      3310B + Proline UPS - 1 штука - 8500
      3310D + Proline UPS - 1 штука - 12500
      BDCOM P3600-04 + Proline UPS - 1 штука - 16500
      3616-2TE - 3 штуки - 53к

      Додам вживані EPON С++ модулі по 400 грн за штуку. Або нові по 750 грн за штуку
    • jaroslav2r
      DASAN V5808 проблема з DHCP snooping
      By jaroslav2r
      Добрий день,
      Виникла проблема з DHCP snooping на одному з наших OLT DASAN V5808. При його увімкненні клієнти перестають отримувати IP-адреси через DHCP. Оновлення прошивки до версії V5808 NOS 1.12p1 не допомогло. На інших OLT така проблема не спостерігається.
      DHCP snooping налаштовано за допомогою наступних команд, де uplink — порт 15:
      Copy code
      ip dhcp snooping
      ip dhcp snooping vlan 665
      ip dhcp snooping trust 15
      Хтось стикався з подібною проблемою і знайшов рішення?
       
      We’re experiencing an issue with DHCP snooping on one of our DASAN V5808 OLTs. When DHCP snooping is enabled, clients stop receiving DHCP offers. Updating the firmware to version V5808 NOS 1.12p1 didn’t resolve the problem. Other OLTs don’t seem to have this issue.
      The DHCP snooping configuration was done with the following commands:

      ip dhcp snooping
      ip dhcp snooping vlan 665
      ip dhcp snooping trust 15
       
      uplink —  15 port
       
      Has anyone encountered this problem and managed to fix it?
    • Rico3110
      Продам OLT GPON/EPON C-DATA + блоки живлення EF9012 EF6012
      By Rico3110
      ПРОДАМ НОВІ OLT
      нова C-DATA EPON FD1204S-R2-DAP - 1шт
      нова C-DATA GPON FD1604S-2AC - 1шт
       
      Блоки живлення нові EF9012 і EF6012
       

       
       
      UP!!!  По ціні, та наявності, уточнюйте в приватних повідомленнях!
       
    • Oumpi
      Продам Bdcom olt p3310B bdcom p3310D
      By Oumpi
      Продам 2 олта
      p3310B 8к
      p3310D 11к

      Не ремонтировались полностью исправные, сняти в связи обновления оборудования.
      На одном менял БП 
      Харьков 
       


    • Quella
      Шукаю OLT, XGSPON ONU --- Looking for OLT, XGSPON ONU
      By Quella
      Шукаєте місцевого постачальника OLT, ONU з України,  зв’яжіться з нашими дистриб’юторами для  цих пристроїв  і технічної підтримки!
       
       
      Looking for OLT, ONU supplier from Ukraine local,  contact our distributors for these device and technical support!
       
      330UAH/pcs
       
       
      Contact:
      Вадим Whatsapp/Viber:  +380 99 179 6389
      website: 
      https://smartfiber.com.ua/
       
       
       

×
×
  • Create New...