Jump to content

Вопросы по ACL на 3310B

passer

By passer,
in PON

 Share Followers 1

Recommended Posts

passer

passer 67

Posted
Posted

Вопросы по ACL на 3310B:

1. приписка log в acl влияет на что-то или нет?

2. как глянуть свободный и не только tcam, дабы иметь представление о том что можно делать, а когда надо остановиться?

Link to post
Share on other sites
Reanemator_ua

Reanemator_ua 21

Posted
Posted

Вопросы по ACL на 3310B:

1. приписка log в acl влияет на что-то или нет?

2. как глянуть свободный и не только tcam, дабы иметь представление о том что можно делать, а когда надо остановиться?

 

Добрый день. Первый вопрос не понял. На счёт второго - если я правильно, Вы хотите знать сколько уже записей в DHCP binding table и сколько ещё осталось свободного места в этой таблице? Если так, то этот вопрос уточню.

Link to post
Share on other sites
passer

passer 67

Posted
  • Author
Posted

1. Пишу по памяти, т.к. олт сейчас мне недоступен:

ip access-class extended Something
deny udp any any eq 137 log
deny udp any any eq 138 log
deny tcp any any eq 139 log
deny tcp any any eq 445 log
permit ip any any log

и подключил к пон-интерфейсу

Вот это окончание log обычно позволяет посмотреть кол-во совпадений с этим правилом. На олте я не смог этого увидеть.

 

2. Что ip acl, что ip source guard (записи DHCP snooping binding) тратит на коомутаторах tcam, объем которого ограничен. Вот хотелось бы иметь возможность знать аппетиты и возможности олта, который по сути тот же коммутатор с плюшками в виде пон-чипов.

Link to post
Share on other sites
Zolks

Zolks 24

Posted
Posted

судя по всему 1 запись в DHCP snooping binding = 2 tcam (как и на коммутаторах Edge-Core)

т.к. в последней прошивке внесли следующее изменение:

"Enlarge the binding entry of dhcp snooping to 300 .The old version only support 100"

а при количестве записей в DHCP snooping binding = 50 следующий абонент уже не получал ip (т.е. заканчивался tcam)

Link to post
Share on other sites
Reanemator_ua

Reanemator_ua 21

Posted
Posted

Дорогие товарищи. Хватит догадок. По нашей просьбе BDCOM сделал тест. 1 запись = 1 tcam, т.е. если опустить acl, то 300 клиентов можно забиндить в таблице при помощи IP Source Guard (он же IP Verify).

 

На счёт просмотра информации о доступном tcam - такой команды нет, но BDCOM обнадёжил, что сделать её они планируют.

Link to post
Share on other sites
passer

passer 67

Posted
  • Author
Posted (edited)

ACL сейчас у меня по сути 2 шт., но возможно что-то потребуется в будущем. Поэтому я и спросил о подобной команде.

Грубо говоря интересует сколько и каких ACL можно добавить с учетом 250 клиентов.

 

И спросите, пожалуйста, о модификаторе log в правилах ACL. Работает ли он или это только планируется. На данном этапе это совсем не критично, но подобный модификатор бывает полезен при отладке каких-то проблем.

Edited by passer
Link to post
Share on other sites
Zolks

Zolks 24

Posted
Posted

возникла идея по поводу измерения tcam (т.к. я похоже единственный на форуме, кто столкнулся с этим ограничением)

 

если получить по dhcp ip на устройство с маком хх.хх.хх.хх.хх.01 - то при отключении этого устройства запись в DHCP snooping binding останется до истечения времени лизинга, правильно?

а если теперь 150+ раз изменить мак на сетевушке - появится ли соответствующее количество записей в DHCP snooping binding?

 

собственно это и собираюсь завтра проверить.

Link to post
Share on other sites
passer

passer 67

Posted
  • Author
Posted

Офигеть, сколько у людей свободного времени.

Это шутка.

 

У некоторых вендоров кусок tcam, отводимый под IP Source Guard (он же IP Verify) фиксирован. И больше определенного стать не может. Даже если tcam остальной пустует.

Так что фактически ваш опыт покажет сколько записей биндинга может держать олт, но никак не распределение tcam.

 

А по сути - прояснить ситуацию может только команда отобрающая доступный tcam. Посему предлагаю не графоманить, а дождаться реакции из Китая.

Link to post
Share on other sites
Zolks

Zolks 24

Posted
Posted

после того, как я потратил более 3-х месяцев на выяснение очевидной проблемы - я уже боюсь чихнуть лишний раз )

и лучше я потрачу один день на модуляцию возможных неприятностей, чем в час пик подключения новых абонов буду пожарить.

Link to post
Share on other sites
  • 9 months later...
XNeo

XNeo 0

Posted
Posted

Продолжу тему :))

 

Есть задача отфильтровать трафик с ONU оставив только IPv4 / ARPv4. С IPv4 всё просто. А вот ARP в правилах ACL не учтён, его не возможно указать(на сколько я понял).

ARP не инкапсулируется в IP, выходит что ACL фильтр типа permit ip xxx.xxx.xxx.xxx 255.255.255.255 any результата не принесёт. При включении устройства с левым IP в сеть улетит пакет с ARP-запросом, как результат сообщение о "конфликте IP" у другого юзера.

 

Я прав? Как быть?

Link to post
Share on other sites
XNeo

XNeo 0

Posted
Posted

Такс... задача усложняется :))

config#interface epon 0/1:10
config_epon0/1:10#ip access-group test
ip access-group failed

Выходит нельзя установить правило ACL на интерфейс связанный с конкретной ONU?

Link to post
Share on other sites
McLlaren

McLlaren 3

Posted
Posted

Сначала надо создать ACL на ОЛТе а потом повесить его на ОНУ. По поводу ARP, а зачем вам его блочить, как ОНУ узнает МАК того или иного устройства? То о чем вы говорите лечится корректной настройкой DHCP сервера (option 82, или выдача IP на основе мака клиента).
,

Link to post
Share on other sites
XNeo

XNeo 0

Posted
Posted (edited)

Сначала надо создать ACL на ОЛТе а потом повесить его на ОНУ. 

ACL я создал конечно же, просто не указал в примере. Суть в том что этот ACL не применяется к интерфейсу epon0/1:10, к интерфейсу epon0/1 без проблем, но это не совсем то что нужно.

 

 

По поводу ARP, а зачем вам его блочить, как ОНУ узнает МАК того или иного устройства? То о чем вы говорите лечится корректной настройкой DHCP сервера (option 82, или выдача IP на основе мака клиента).

Суть же не в DHCP. Провайдер выделил клиенту1 IP 10.10.10.10. А этот клиент взял и поставил у себя на компе руками 10.10.10.11, который принадлежит клиенту2 и воткнул кабель. В этот момент от клиента1 в сеть улетит широковещательный пакет ARP-REQ запрос "У кого тут 10.10.10.11?". Комп клиента2 поймает этот запрос и ответит "у меня!", а на экране клиент2 увидит сообщение "Конфликт IP 10.10.10.11 с другим компьютером в сети...".

Так вот, задача отфильтровать все исходящие пакеты от клиента1, чтобы в них адрес источника был ТОЛЬКО 10.10.10.10.

Другими словами нужна жёсткая привязка IP к порту. В данном случае порт находится на ONU.

Edited by XNeo
Link to post
Share on other sites
XNeo

XNeo 0

Posted
Posted

так блокани общение между онушками и все.

Это очень "полезный" совет  :) Можно ещё патчкорд из OLTхи выдернуть  :lol:

Но мы не ищем простых путей. Интересует именно фильтрация трафика на виртуальном интерфейсе ONU.

Link to post
Share on other sites
passer

passer 67

Posted
  • Author
Posted

Во-первых, наличие acl на онушках и функционал зависит от модели онушек.

Во-вторых, то что вы жаждете получить - называется arp inspection и ip source guard (ip mac port binding).

Link to post
Share on other sites
  • 7 months later...
supporer

supporer 25

Posted
Posted

 

Такс... задача усложняется :))

config#interface epon 0/1:10
config_epon0/1:10#ip access-group test
ip access-group failed

Выходит нельзя установить правило ACL на интерфейс связанный с конкретной ONU?

 

некропостинг 

Switch_config_epon0/1:1#epon onu port 1 ip access-group test

правильней 

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 1
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • ikoko
      Продам olt bdcom 3310b
      By ikoko
      Продам olt bdcom 3310b з 2 блоками живлення б.у.
      2 порта epon не працює і 1 порт езернет порт також не працює - 4 000 грн. за олт.
    • grapefruit
      оіди для BDCOM P3310B 
      By grapefruit
      Можливо хтось має оіди для BDCOM P3310B 
      LastDeregTime
      LastDeregReason
      Absenttime
      Помітив, що з P3310С не співпадають
    • Dilan
      Нужен ремонт и профилактика bdcom 3310b
      By Dilan
      Доброго дня, собственно есть железка 3310б которая проработала 4+ года без перерыва. При отключении питания слетел конфиг и выдала что то типа такого(смотрите ниже). Хотелось бы обслужить и дать вторую жизнь. Кто из сервисов возьмется пожалуйста в личку. Заранее спасибо.
       
       System Bootstrap, Version 0.3.8, Serial No:00313006012
      Copyright (c) by Shanghai Baud Data Communication Co., Ltd.
      Current time: 1970-1-1 0:00:00
      SDRAM Fast Test...............................PASS!
      Flash Fast Test...............................PASS!
      RTC Test......................................PASS!
      Error: Cannot find a boot image file.
    • ikoko
      Продам Olt BDCOM 3310B б.у. - 2 шт.
      By ikoko
      Продам Olt BDCOM 3310B б.у. - 2 шт. в кожній по одному не працюючому порту epon, за 1 olt - 5000 грн. Торг !
    • Daniil_
      Bdcom P3310B цикличный ребут
      By Daniil_
      Привествую
      Bdcom P3310B работал годами без проблем, неделю назад началось следующее:
      в вечернее время (примерно с 21 до 23) пон начинает циклично перезагружаться и делает это на протяжении 30 минут, потом загружается и работает нормально до следующего вечера
      от времени аптайма не зависит, даже если вечером его вручную перезагрузить, то все равно будет циклично перезагружаться
      Прошивка стояла 13ххх, обновили до 33463 и добавили loopback detect на ону - но это ничего не дало
       
      service timestamps log date service timestamps debug date logging buffered 102400 ! error-disable-recovery 10800 ! ! ! ! epon mpcp-timeout 60 ! ! ! ! ! ! ! ! ! no spanning-tree ! ! ! ! ! epon dba hardware cycletime 25000 discovery-frequence 60 discovery-length 1024 ! aaa authentication login default local aaa authentication enable default none ! ! ! epon dynamic-binding-timeout 40 ! !!slot 0 84 interface GigaEthernet0/1 shutdown ! interface GigaEthernet0/2 shutdown ! interface GigaEthernet0/3 shutdown ! interface GigaEthernet0/4 shutdown ! interface GigaEthernet0/5 shutdown ! interface GigaEthernet0/6 switchport trunk vlan-allowed 78,98-99,114,1306 switchport mode trunk ! interface EPON0/1 epon mpcp-registration ctc 30 epon bind-onu mac a0c6.ec00.0963 1 epon bind-onu mac fcfa.f7c5.0dcf 2 switchport trunk vlan-allowed 78,98,114,1306 switchport mode trunk ! interface EPON0/1:1 onu-configuration epon onu port 1 ctc vlan mode tag 114 epon onu port 1 ctc loopback detect !!onu-configuration-end ! interface EPON0/1:2 onu-configuration epon onu port 1 ctc vlan mode tag 114 epon onu port 1 ctc loopback detect !!onu-configuration-end ! ! interface EPON0/2 epon mpcp-registration ctc 30 epon bind-onu mac fcfa.f796.67bf 1 switchport trunk vlan-allowed 98,114 switchport mode trunk ! interface EPON0/2:1 onu-configuration epon onu port 1 ctc vlan mode tag 114 epon onu ip address static 10.10.98.3 255.255.255.0 gateway 10.10.98.1 vlan 98 epon onu port 1 ctc loopback detect epon onu port 2 ctc loopback detect epon onu port 3 ctc loopback detect epon onu port 4 ctc loopback detect !!onu-configuration-end interface EPON0/3 shutdown ! interface EPON0/4 shutdown ! !!slot end ! interface VLAN99 ip address 10.10.99.42 255.255.255.0 ! ! filter igmp filter dhcp filter enable ! vlan 98 ! vlan 99 ! vlan 114 ! vlan 1,78,98-99,114 ! ! ! ! ! ip http language chinese ! ! snmp-server community 0 public RO snmp-server location PON ! ! ip sshd save ip sshd enable ! time-zone Kyiv 2 0 sntp master 4 sntp query-interval 5  
×
×
  • Create New...