Перейти до

Вопросы по ACL на 3310B


passer

Рекомендованные сообщения

Вопросы по ACL на 3310B:

1. приписка log в acl влияет на что-то или нет?

2. как глянуть свободный и не только tcam, дабы иметь представление о том что можно делать, а когда надо остановиться?

Ссылка на сообщение
Поделиться на других сайтах

Вопросы по ACL на 3310B:

1. приписка log в acl влияет на что-то или нет?

2. как глянуть свободный и не только tcam, дабы иметь представление о том что можно делать, а когда надо остановиться?

 

Добрый день. Первый вопрос не понял. На счёт второго - если я правильно, Вы хотите знать сколько уже записей в DHCP binding table и сколько ещё осталось свободного места в этой таблице? Если так, то этот вопрос уточню.

Ссылка на сообщение
Поделиться на других сайтах

1. Пишу по памяти, т.к. олт сейчас мне недоступен:

ip access-class extended Something
deny udp any any eq 137 log
deny udp any any eq 138 log
deny tcp any any eq 139 log
deny tcp any any eq 445 log
permit ip any any log

и подключил к пон-интерфейсу

Вот это окончание log обычно позволяет посмотреть кол-во совпадений с этим правилом. На олте я не смог этого увидеть.

 

2. Что ip acl, что ip source guard (записи DHCP snooping binding) тратит на коомутаторах tcam, объем которого ограничен. Вот хотелось бы иметь возможность знать аппетиты и возможности олта, который по сути тот же коммутатор с плюшками в виде пон-чипов.

Ссылка на сообщение
Поделиться на других сайтах

судя по всему 1 запись в DHCP snooping binding = 2 tcam (как и на коммутаторах Edge-Core)

т.к. в последней прошивке внесли следующее изменение:

"Enlarge the binding entry of dhcp snooping to 300 .The old version only support 100"

а при количестве записей в DHCP snooping binding = 50 следующий абонент уже не получал ip (т.е. заканчивался tcam)

Ссылка на сообщение
Поделиться на других сайтах

Дорогие товарищи. Хватит догадок. По нашей просьбе BDCOM сделал тест. 1 запись = 1 tcam, т.е. если опустить acl, то 300 клиентов можно забиндить в таблице при помощи IP Source Guard (он же IP Verify).

 

На счёт просмотра информации о доступном tcam - такой команды нет, но BDCOM обнадёжил, что сделать её они планируют.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

ACL сейчас у меня по сути 2 шт., но возможно что-то потребуется в будущем. Поэтому я и спросил о подобной команде.

Грубо говоря интересует сколько и каких ACL можно добавить с учетом 250 клиентов.

 

И спросите, пожалуйста, о модификаторе log в правилах ACL. Работает ли он или это только планируется. На данном этапе это совсем не критично, но подобный модификатор бывает полезен при отладке каких-то проблем.

Відредаговано passer
Ссылка на сообщение
Поделиться на других сайтах

возникла идея по поводу измерения tcam (т.к. я похоже единственный на форуме, кто столкнулся с этим ограничением)

 

если получить по dhcp ip на устройство с маком хх.хх.хх.хх.хх.01 - то при отключении этого устройства запись в DHCP snooping binding останется до истечения времени лизинга, правильно?

а если теперь 150+ раз изменить мак на сетевушке - появится ли соответствующее количество записей в DHCP snooping binding?

 

собственно это и собираюсь завтра проверить.

Ссылка на сообщение
Поделиться на других сайтах

Офигеть, сколько у людей свободного времени.

Это шутка.

 

У некоторых вендоров кусок tcam, отводимый под IP Source Guard (он же IP Verify) фиксирован. И больше определенного стать не может. Даже если tcam остальной пустует.

Так что фактически ваш опыт покажет сколько записей биндинга может держать олт, но никак не распределение tcam.

 

А по сути - прояснить ситуацию может только команда отобрающая доступный tcam. Посему предлагаю не графоманить, а дождаться реакции из Китая.

Ссылка на сообщение
Поделиться на других сайтах

после того, как я потратил более 3-х месяцев на выяснение очевидной проблемы - я уже боюсь чихнуть лишний раз )

и лучше я потрачу один день на модуляцию возможных неприятностей, чем в час пик подключения новых абонов буду пожарить.

Ссылка на сообщение
Поделиться на других сайтах
  • 9 months later...

Продолжу тему :))

 

Есть задача отфильтровать трафик с ONU оставив только IPv4 / ARPv4. С IPv4 всё просто. А вот ARP в правилах ACL не учтён, его не возможно указать(на сколько я понял).

ARP не инкапсулируется в IP, выходит что ACL фильтр типа permit ip xxx.xxx.xxx.xxx 255.255.255.255 any результата не принесёт. При включении устройства с левым IP в сеть улетит пакет с ARP-запросом, как результат сообщение о "конфликте IP" у другого юзера.

 

Я прав? Как быть?

Ссылка на сообщение
Поделиться на других сайтах

Такс... задача усложняется :))

config#interface epon 0/1:10
config_epon0/1:10#ip access-group test
ip access-group failed

Выходит нельзя установить правило ACL на интерфейс связанный с конкретной ONU?

Ссылка на сообщение
Поделиться на других сайтах

Сначала надо создать ACL на ОЛТе а потом повесить его на ОНУ. По поводу ARP, а зачем вам его блочить, как ОНУ узнает МАК того или иного устройства? То о чем вы говорите лечится корректной настройкой DHCP сервера (option 82, или выдача IP на основе мака клиента).
,

Ссылка на сообщение
Поделиться на других сайтах

Сначала надо создать ACL на ОЛТе а потом повесить его на ОНУ. 

ACL я создал конечно же, просто не указал в примере. Суть в том что этот ACL не применяется к интерфейсу epon0/1:10, к интерфейсу epon0/1 без проблем, но это не совсем то что нужно.

 

 

По поводу ARP, а зачем вам его блочить, как ОНУ узнает МАК того или иного устройства? То о чем вы говорите лечится корректной настройкой DHCP сервера (option 82, или выдача IP на основе мака клиента).

Суть же не в DHCP. Провайдер выделил клиенту1 IP 10.10.10.10. А этот клиент взял и поставил у себя на компе руками 10.10.10.11, который принадлежит клиенту2 и воткнул кабель. В этот момент от клиента1 в сеть улетит широковещательный пакет ARP-REQ запрос "У кого тут 10.10.10.11?". Комп клиента2 поймает этот запрос и ответит "у меня!", а на экране клиент2 увидит сообщение "Конфликт IP 10.10.10.11 с другим компьютером в сети...".

Так вот, задача отфильтровать все исходящие пакеты от клиента1, чтобы в них адрес источника был ТОЛЬКО 10.10.10.10.

Другими словами нужна жёсткая привязка IP к порту. В данном случае порт находится на ONU.

Відредаговано XNeo
Ссылка на сообщение
Поделиться на других сайтах

так блокани общение между онушками и все.

Это очень "полезный" совет  :) Можно ещё патчкорд из OLTхи выдернуть  :lol:

Но мы не ищем простых путей. Интересует именно фильтрация трафика на виртуальном интерфейсе ONU.

Ссылка на сообщение
Поделиться на других сайтах

Во-первых, наличие acl на онушках и функционал зависит от модели онушек.

Во-вторых, то что вы жаждете получить - называется arp inspection и ip source guard (ip mac port binding).

Ссылка на сообщение
Поделиться на других сайтах
  • 7 months later...

 

Такс... задача усложняется :))

config#interface epon 0/1:10
config_epon0/1:10#ip access-group test
ip access-group failed

Выходит нельзя установить правило ACL на интерфейс связанный с конкретной ONU?

 

некропостинг 

Switch_config_epon0/1:1#epon onu port 1 ip access-group test

правильней 

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від ikoko
      Продам olt bdcom 3310b з 2 блоками живлення б.у.
      2 порта epon не працює і 1 порт езернет порт також не працює - 4 000 грн. за олт.
    • Від grapefruit
      Можливо хтось має оіди для BDCOM P3310B 
      LastDeregTime
      LastDeregReason
      Absenttime
      Помітив, що з P3310С не співпадають
    • Від Dilan
      Доброго дня, собственно есть железка 3310б которая проработала 4+ года без перерыва. При отключении питания слетел конфиг и выдала что то типа такого(смотрите ниже). Хотелось бы обслужить и дать вторую жизнь. Кто из сервисов возьмется пожалуйста в личку. Заранее спасибо.
       
       System Bootstrap, Version 0.3.8, Serial No:00313006012
      Copyright (c) by Shanghai Baud Data Communication Co., Ltd.
      Current time: 1970-1-1 0:00:00
      SDRAM Fast Test...............................PASS!
      Flash Fast Test...............................PASS!
      RTC Test......................................PASS!
      Error: Cannot find a boot image file.
    • Від ikoko
      Продам Olt BDCOM 3310B б.у. - 2 шт. в кожній по одному не працюючому порту epon, за 1 olt - 5000 грн. Торг !
    • Від Daniil_
      Привествую
      Bdcom P3310B работал годами без проблем, неделю назад началось следующее:
      в вечернее время (примерно с 21 до 23) пон начинает циклично перезагружаться и делает это на протяжении 30 минут, потом загружается и работает нормально до следующего вечера
      от времени аптайма не зависит, даже если вечером его вручную перезагрузить, то все равно будет циклично перезагружаться
      Прошивка стояла 13ххх, обновили до 33463 и добавили loopback detect на ону - но это ничего не дало
       
      service timestamps log date service timestamps debug date logging buffered 102400 ! error-disable-recovery 10800 ! ! ! ! epon mpcp-timeout 60 ! ! ! ! ! ! ! ! ! no spanning-tree ! ! ! ! ! epon dba hardware cycletime 25000 discovery-frequence 60 discovery-length 1024 ! aaa authentication login default local aaa authentication enable default none ! ! ! epon dynamic-binding-timeout 40 ! !!slot 0 84 interface GigaEthernet0/1 shutdown ! interface GigaEthernet0/2 shutdown ! interface GigaEthernet0/3 shutdown ! interface GigaEthernet0/4 shutdown ! interface GigaEthernet0/5 shutdown ! interface GigaEthernet0/6 switchport trunk vlan-allowed 78,98-99,114,1306 switchport mode trunk ! interface EPON0/1 epon mpcp-registration ctc 30 epon bind-onu mac a0c6.ec00.0963 1 epon bind-onu mac fcfa.f7c5.0dcf 2 switchport trunk vlan-allowed 78,98,114,1306 switchport mode trunk ! interface EPON0/1:1 onu-configuration epon onu port 1 ctc vlan mode tag 114 epon onu port 1 ctc loopback detect !!onu-configuration-end ! interface EPON0/1:2 onu-configuration epon onu port 1 ctc vlan mode tag 114 epon onu port 1 ctc loopback detect !!onu-configuration-end ! ! interface EPON0/2 epon mpcp-registration ctc 30 epon bind-onu mac fcfa.f796.67bf 1 switchport trunk vlan-allowed 98,114 switchport mode trunk ! interface EPON0/2:1 onu-configuration epon onu port 1 ctc vlan mode tag 114 epon onu ip address static 10.10.98.3 255.255.255.0 gateway 10.10.98.1 vlan 98 epon onu port 1 ctc loopback detect epon onu port 2 ctc loopback detect epon onu port 3 ctc loopback detect epon onu port 4 ctc loopback detect !!onu-configuration-end interface EPON0/3 shutdown ! interface EPON0/4 shutdown ! !!slot end ! interface VLAN99 ip address 10.10.99.42 255.255.255.0 ! ! filter igmp filter dhcp filter enable ! vlan 98 ! vlan 99 ! vlan 114 ! vlan 1,78,98-99,114 ! ! ! ! ! ip http language chinese ! ! snmp-server community 0 public RO snmp-server location PON ! ! ip sshd save ip sshd enable ! time-zone Kyiv 2 0 sntp master 4 sntp query-interval 5  
×
×
  • Створити нове...