zdanevichs

Вопрос решился. DHCP-mode во vlan service-profile нужно было перевести в режим L2 и выключить proxy c opt82. Пример конфигурации vlan service-profile для беспрепятственного прохождения DHCP через OLT в определенном VLAN: MA5608T#display vlan service-profile profile-id 1 Profile ID: 1 Profile Name: srvprof-1 --------------------------------------------------------------------- Parameter Committed Not Committed --------------------------------------------------------------------- Forwarding mode NotConfig - Anti-macspoofing NotConfig - Anti-ipspoofing enable - PPPoE MAC mode NotConfig - BPDU tunnel NotConfig - RIP tunnel NotConfig - VTP-CDP tunnel NotConfig - DHCP mode layer-2 - DHCP proxy disable - DHCP option82 disable - PITP enable - Broadcast packet policy NotConfig - Unknown multicast packet policy NotConfig - Unknown unicast packet policy NotConfig - User-bridging disable - IPoE VMAC NotConfig - PPPoE VMAC NotConfig - PPPoA VMAC NotConfig - Mismatch IGMP packet policy discard - VMAC aging mode MAC-learning - OSPF tunnel enable - Layer-3 protocol tunnel enable - MAC-address learning fabric enable - DHCPv6 mode NotConfig - DHCPv6 option enable - PPPoA MAC mode NotConfig - Anti-IPv6spoofing enable - IPv6 DAD proxy disable - Bind route and ND disable - NS-reply function disable - ARP-reply function disable - DHCP relay-interface relay-agent NotConfig - Unknown multicast policy fabric forward - RIPng tunnel disable - ARP-unicast function disable - ARP-unicast unknown-policy forward - NS-unicast function disable - NS-unicast unknown-policy forward - IGMP user max VLAN tag number unaware - Router-Redirect reverse enable - MAC-authen DHCP trigger enable - MAC-authen DHCPv6 trigger enable - --------------------------------------------------------------------- Binding VLAN list : 2 ---------------------------------------------------------------------

На текущий момент стоит onu-sfp модуль (порт один), оба сервис порта работают (так как весь остальной трафик в обоих VLAN проходит без проблем), проблема только в прохождении DHCP пакетов unicast от коммутатора до DHCP сервера во 2 vlan-e сквозняком через OLT (на DHCP сервер запрос не прилетает ни от коммутатора, ни от OLT).

Да, под каждый vlan отдельный сервис порт. В одном VLAN служебка (в том числе и dhcp), в другом пользовательский трафик.

Приветствую. Кто нибудь подключал L2 коммутатор с включенным DHCP Relay через Huawei MA5608T у которого тоже включен Relay на тот же DHCP сервер? В моем случае DHCP запрос от коммутатора не проходит через MA5608T. Видимо DHCP Relay на MA5608T перехватывает и блокирует запрос от коммутатора. Не могу найти как изменить такое поведение в определенном VLAN. Текущие глобальные настройки DHCP: Command: display dhcp config DHCP relay mode : layer-3 DHCP server select mode : standard DHCP relay-interface src-ip : send DHCP relay-interface relay-agent: send DHCP proxy state : enable DHCP proxy lease-time : not configured DHCP priority : not configured DHCP l3-relay cascade-port : disable ---------------------------- VLAN DHCP server mode ---------------------------- 2 standard 3 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 ---------------------------- Total: 18 Настройки для VLAN в котором находиться DHCP сервер: MA5608T(config)#display vlan service-profile profile-id 235 Profile ID: 235 Profile Name: srvprof-235 --------------------------------------------------------------------- Parameter Committed Not Committed --------------------------------------------------------------------- Forwarding mode VLAN-MAC - Anti-macspoofing disable - Anti-ipspoofing disable - PPPoE MAC mode NotConfig - BPDU tunnel NotConfig - RIP tunnel NotConfig - VTP-CDP tunnel NotConfig - DHCP mode layer-3 standard - DHCP proxy enable - DHCP option82 enable - PITP enable - Broadcast packet policy forward - Unknown multicast packet policy NotConfig - Unknown unicast packet policy forward - User-bridging enable - IPoE VMAC NotConfig - PPPoE VMAC NotConfig - PPPoA VMAC NotConfig - Mismatch IGMP packet policy discard - VMAC aging mode MAC-learning - OSPF tunnel enable - Layer-3 protocol tunnel enable - MAC-address learning fabric enable - DHCPv6 mode NotConfig - DHCPv6 option enable - PPPoA MAC mode NotConfig - Anti-IPv6spoofing enable - IPv6 DAD proxy disable - Bind route and ND disable - NS-reply function disable - ARP-reply function enable - DHCP relay-interface relay-agent send - Unknown multicast policy fabric forward - RIPng tunnel disable - ARP-unicast function disable - ARP-unicast unknown-policy forward - NS-unicast function disable - NS-unicast unknown-policy forward - IGMP user max VLAN tag number unaware - Router-Redirect reverse enable - MAC-authen DHCP trigger disable - MAC-authen DHCPv6 trigger enable - --------------------------------------------------------------------- Binding VLAN list : 2 ---------------------------------------------------------------------

Спасибо, вполне рабочий вариант :).

Возникла необходимость ограничить доступ к управлению железкой. Собрав всю информацию которую получилось (в силу моих возможностей), решил это сделать при помощи COPP (как мне кажется для этого предназначенной фичи). Текущий конфиг COPP (он по сути дефолтный) выглядит так: version 7.0(3)I7(2) class-map type control-plane match-any copp-icmp match access-group name copp-system-acl-icmp class-map type control-plane match-any copp-ntp match access-group name copp-system-acl-ntp class-map type control-plane match-any copp-s-arp class-map type control-plane match-any copp-s-bfd class-map type control-plane match-any copp-s-bpdu class-map type control-plane match-any copp-s-dai class-map type control-plane match-any copp-s-default class-map type control-plane match-any copp-s-dhcpreq class-map type control-plane match-any copp-s-dhcpresp match access-group name copp-system-dhcp-relay class-map type control-plane match-any copp-s-dpss class-map type control-plane match-any copp-s-eigrp match access-group name copp-system-acl-eigrp match access-group name copp-system-acl-eigrp6 class-map type control-plane match-any copp-s-glean class-map type control-plane match-any copp-s-igmp match access-group name copp-system-acl-igmp class-map type control-plane match-any copp-s-ipmcmiss class-map type control-plane match-any copp-s-l2switched class-map type control-plane match-any copp-s-l3destmiss class-map type control-plane match-any copp-s-l3mtufail class-map type control-plane match-any copp-s-l3slowpath class-map type control-plane match-any copp-s-pimautorp class-map type control-plane match-any copp-s-pimreg match access-group name copp-system-acl-pimreg class-map type control-plane match-any copp-s-ping match access-group name copp-system-acl-ping class-map type control-plane match-any copp-s-ptp class-map type control-plane match-any copp-s-routingProto1 match access-group name copp-system-acl-routingproto1 match access-group name copp-system-acl-v6routingproto1 class-map type control-plane match-any copp-s-routingProto2 match access-group name copp-system-acl-routingproto2 class-map type control-plane match-any copp-s-selfIp class-map type control-plane match-any copp-s-ttl1 class-map type control-plane match-any copp-s-v6routingProto2 match access-group name copp-system-acl-v6routingProto2 class-map type control-plane match-any copp-s-vxlan class-map type control-plane match-any copp-snmp match access-group name copp-system-acl-snmp class-map type control-plane match-any copp-ssh match access-group name copp-system-acl-ssh class-map type control-plane match-any copp-stftp match access-group name copp-system-acl-stftp class-map type control-plane match-any copp-tacacsradius match access-group name copp-system-acl-tacacsradius class-map type control-plane match-any copp-telnet match access-group name copp-system-acl-telnet policy-map type control-plane copp-system-policy class copp-s-selfIp police pps 500 class copp-s-default police pps 400 class copp-s-l2switched police pps 200 class copp-s-ping police pps 100 class copp-s-l3destmiss police pps 100 class copp-s-glean police pps 500 class copp-s-l3mtufail police pps 100 class copp-s-ttl1 police pps 100 class copp-s-ipmcmiss police pps 400 class copp-s-l3slowpath police pps 100 class copp-s-dhcpreq police pps 300 class copp-s-dhcpresp police pps 300 class copp-s-dai police pps 300 class copp-s-igmp police pps 400 class copp-s-routingProto2 police pps 1300 class copp-s-v6routingProto2 police pps 1300 class copp-s-eigrp police pps 200 class copp-s-pimreg police pps 200 class copp-s-pimautorp police pps 200 class copp-s-routingProto1 police pps 1000 class copp-s-arp police pps 200 class copp-s-ptp police pps 1000 class copp-s-vxlan police pps 1000 class copp-s-bfd police pps 350 class copp-s-bpdu police pps 12000 class copp-s-dpss police pps 1000 class copp-icmp police pps 200 class copp-telnet police pps 500 class copp-ssh police pps 500 class copp-snmp police pps 500 class copp-ntp police pps 100 class copp-tacacsradius police pps 400 class copp-stftp police pps 400 control-plane service-policy input copp-system-policy Из него видно что политики доступа ssh прописаны в access-list copp-system-acl-ssh в котором по умолчанию всем можно ходить на 22 порт: IP access list copp-system-acl-ssh 10 permit tcp any any eq 22 20 permit tcp any eq 22 any Изменил acl до следующего состояния: IP access list copp-system-acl-ssh 10 permit tcp 10.1.1.0/24 any eq 22 Но доступ к ssh не пропадает даже при 1 deny tcp any any eq 22 Подскажите, каким рабочим способом можно выполнить мою задачу на этом коммутаторе?