DHCP флуд в пон-сети

[cam-bat 49]

PON-сеть, авторизация по DHCP

OLT BDCOM, ONU также

 

Как бороться с DHCP-флудом от роутеров (кривых рук клиентов) в пон-сети?

 

в радио сети клиентскую антенну настраиваем в режим роутера (с нат) и всё, что за антенной не лезет в общую сеть.

 

А как тут поступить правильно?

 

*метод авторизации менять не собираемся, биллинг нодени

[rsst 406]

PON-сеть, авторизация по DHCP

OLT BDCOM, ONU также

 

Как бороться с DHCP-флудом от роутеров (кривых рук клиентов) в пон-сети?

 

в радио сети клиентскую антенну настраиваем в режим роутера (с нат) и всё, что за антенной не лезет в общую сеть.

 

А как тут поступить правильно?

 

*метод авторизации менять не собираемся, биллинг нодени

 

switchport protected

[cam-bat 49]

 

PON-сеть, авторизация по DHCP

OLT BDCOM, ONU также

 

Как бороться с DHCP-флудом от роутеров (кривых рук клиентов) в пон-сети?

 

в радио сети клиентскую антенну настраиваем в режим роутера (с нат) и всё, что за антенной не лезет в общую сеть.

 

А как тут поступить правильно?

 

*метод авторизации менять не собираемся, биллинг нодени

 

switchport protected

 

на OLT ?

[rsst 406]

 

 

PON-сеть, авторизация по DHCP

OLT BDCOM, ONU также

 

Как бороться с DHCP-флудом от роутеров (кривых рук клиентов) в пон-сети?

 

в радио сети клиентскую антенну настраиваем в режим роутера (с нат) и всё, что за антенной не лезет в общую сеть.

 

А как тут поступить правильно?

 

*метод авторизации менять не собираемся, биллинг нодени

 

switchport protected

 

на OLT ?

 

да, на ПОН порт олта

изолирует пользователей в порту друг от друга

[911 140]

или vlan на пользователя

[kissbohda 23]

в инструкции сказано, не уверен что это то что вам нужно  :

 

и инструкция ;

 

Manual_P3310_Rus_22022013.pdf

[prototip 284]

Да не пользует он опт 82 по всей видимости ... А зря батенька , зря - работает и ноудени тут не при чем , а swithport protected - рулит (аналог port isolated у циско) . 

Відредаговано 2015-01-11 10:06:19 prototip

[Sergek 123]

Vlan per customer совсем не кошерно?

[l1ght 377]

Да не пользует он опт 82 по всей видимости ... А зря батенька , зря - работает и ноудени тут не при чем , а swithport protected - рулит (аналог port isolated у циско) . 

У циско як раз таки switchport protected

[cam-bat 49]

ребята, какой командой прописать switchport protected в ОЛТ? в мануале не нашел

[Ромка 567]

ребята, какой командой прописать switchport protected в ОЛТ? в мануале не нашел

enable [enter], config [enter], interface range epon 0/1 - 4 [enter], switchport protected [enter] 

Відредаговано 2015-01-11 12:33:50 Ромка

[cam-bat 49]

Спасибо за помощь! Пропишем

[Avad0n 22]

Ну или как вариант можно зарубить через ACL:

 

ip access-list extended subs.filter
deny udp any any eq 68
permit ip any any

exit

interface range epon 0/1 - 4

ip access-group subs.filter

exit

[martin 170]

2 Avad0n - слишком много телодвижений ))

можно проще - на интерфейсе filter dhcp

[Reanemator_ua 21]

Фильтрация  - это хорошо (это я по поводу Filter DHCP), но она здесь не отработает. Я сомневаюсь, что у топик стартера прям по тысячи пакетов DHCP за секунду приходит. Чтобы оградить себя от пакетов со стороны клиентских роутеров, нужно включить DHCP Snooping и назначить доверительный порт, за которым находится DHCP сервер. При такой настройке клиентский роутер не сможет раздавать серверные DHCP пакеты в сеть (типа DHCP Offer, DHCP NACK, DHCP ACK). Также включение DHCP снупинга защитит от атаки типа DHCP Starvation. Также лучше сразу включите на всех ONU Storm-Control - полезная штука для защиты от всяких штормов со стороны клиенту.

[martin 170]

дык это.. а что тогда делает Filter DHCP ? он что не полностью фильтрует ?? потому как по моих тестах идет как раз полная фильтрация. По аналогии с Filter ICMP и прочими фильтрами

[Zura 3]

Фильтрация  - это хорошо (это я по поводу Filter DHCP), но она здесь не отработает. Я сомневаюсь, что у топик стартера прям по тысячи пакетов DHCP за секунду приходит. Чтобы оградить себя от пакетов со стороны клиентских роутеров, нужно включить DHCP Snooping и назначить доверительный порт, за которым находится DHCP сервер. При такой настройке клиентский роутер не сможет раздавать серверные DHCP пакеты в сеть (типа DHCP Offer, DHCP NACK, DHCP ACK). Также включение DHCP снупинга защитит от атаки типа DHCP Starvation. Также лучше сразу включите на всех ONU Storm-Control - полезная штука для защиты от всяких штормов со стороны клиенту.

Подскажите как включить DHCP Snooping и ONU Storm-Control

[morfey 82]

 

Фильтрация  - это хорошо (это я по поводу Filter DHCP), но она здесь не отработает. Я сомневаюсь, что у топик стартера прям по тысячи пакетов DHCP за секунду приходит. Чтобы оградить себя от пакетов со стороны клиентских роутеров, нужно включить DHCP Snooping и назначить доверительный порт, за которым находится DHCP сервер. При такой настройке клиентский роутер не сможет раздавать серверные DHCP пакеты в сеть (типа DHCP Offer, DHCP NACK, DHCP ACK). Также включение DHCP снупинга защитит от атаки типа DHCP Starvation. Также лучше сразу включите на всех ONU Storm-Control - полезная штука для защиты от всяких штормов со стороны клиенту.

Подскажите как включить DHCP Snooping и ONU Storm-Control

 

 

 Dhcp snooping

#ip dhcp-relay snooping
#int g0/1
#dhcp snooping trust

Storm control

#epon onu port 1 storm-control mode 2 threshold 256

[Zura 3]

Спасибо

[Abram 98]

+1 за vlan per user.

[Lynx100 90]

+1 за vlan per user.

+1

[Reanemator_ua 21]

дык это.. а что тогда делает Filter DHCP ? он что не полностью фильтрует ?? потому как по моих тестах идет как раз полная фильтрация. По аналогии с Filter ICMP и прочими фильтрами

 

Так если Вы полностью фильтруете DHCP пакеты, то под карающую руку фильтра попадут все DHCP, т.е. клиент не сможет получить IP ))) DHCP Snooping же отфильтрует только серверные DHCP пакеты, т.е. те пакеты, которые ну никак не могут прийти со стороны клиентских портов. Если же делать DHCP фильтрацию, то не полную, а по условию - если количество DHCP пакетов превысило Threshold (порог) в 100 пакетов (или другое число) в секунду, то остальные DHCP пакеты OLT отбрасывает. По аналогии можно фильтровать BPDU и ICMP пакеты.

[Zura 3]

Скажите пожалуйста как посмотреть на каком порту находится конкретный мак адрес?

[Tux 24]

sh mac address-table xxxx.xxxx.xxxx

[FTTH_VN 59]

 

+1 за vlan per user.

+1

 

И чем это все терминировать ? белые ипы как раздать?