[anemosphere]

Настроил BDCom станцию. Настроек пока не очень много. Мне нужно проверить только как работает инет через нее. Собственно вот конфиг:

 

Порт Gi0/1:

Switch#show running-config int gi0/1

Building configuration...

 

Current configuration:

!

interface GigaEthernet0/1

switchport trunk vlan-allowed 4012,4014

switchport mode trunk

 

Порт EPON 0/1:

interface EPON0/1

epon bind-onu mac fcfa.f718.f5a8 1

switchport trunk vlan-allowed 4014

switchport mode trunk

 

Настройка ONU EPON 0/1:1

Switch#show running-config int epoN 0/1:1

Building configuration...

 

Current configuration:

!

interface EPON0/1:1

onu-configuration

description Test

epon onu description Test

epon onu port 1 ctc vlan mode tag 4014

epon onu port 2 ctc vlan mode tag 4014

epon onu port 3 ctc vlan mode tag 4014

epon onu port 4 ctc vlan mode tag 4014

!!onu-configuration-end

 

Инет работает. С этим проблем нет. Вопрос по web-интерфейсу.

 

Почему в поле статус указано значение "undefined", хотя ONU точно работает, так как я через него получаю инет и почему ссылка "detail" не работает?

 

И еще, почему ее нет в разделе "ONU Interface Config"? ONU-шка же должна там появится? Как мне регулировать loopback detection, например?

 

И еще вопрос. Можно каким-то образом привязать IP пользователя к конкретному порту ONU, чтобы только владелец данного IP мог проходить в сеть, а остальные дропаться?

 

Может кто-нибудь помочь? Взял первый раз в руки сей девайс и долго ковыряться с ним нет времени.

Заранее спасибо!

Edited December 4, 2015 by anemosphere

[wglazyrin]

Раньше WEB интерфейс 3310B был вообще просто чистый лист

с полем для ввода CLI команд. Сейчас сеть хоть какойто функционал.

Все же, полноценно работать с ОЛТ через него не возможно.

Так что - придется учиться и привыкать к CLI.

[anemosphere]

То есть, я так понимаю, что это просто буковки? И там ничего не работает?

[Reanemator]

Инет работает. С этим проблем нет. Вопрос по web-интерфейсу.

Почему в поле статус указано значение "undefined", хотя ONU точно работает, так как я через него получаю инет и почему ссылка "detail" не работает?

И еще, почему ее нет в разделе "ONU Interface Config"? ONU-шка же должна там появится? Как мне регулировать loopback detection, например?

 

Даже при наличии WEB интерфейса, BDCOM OLT, да и любой вменяемый коммутатор, управляются всё таки через CLI (Command Line Interface).

(D-Link-и не в счёт - у них пользование WEB-ом - вынужденная необходимость, т.к. при работе c CLI можно неожиданно для себя пополнить запас нецензурных слов. )

Поэтому Вам придётся изучить CLI - иначе эту железку не приручить. Но пугаться консоли не стоит. BDCOM имеет Cisco лайк комманды, поэтому осваивается быстро.

 

И еще вопрос. Можно каким-то образом привязать IP пользователя к конкретному порту ONU, чтобы только владелец данного IP мог проходить в сеть, а остальные дропаться?

 

Да, можно. При помощи списков доступа (Access List - ACL).

 

Switch_config#ip access-list extended Client1

Switch_config_ext_Client1#permit ip 192.168.45.8 255.255.255.255 any

Switch_config_ext_Client1#deny ip any any

 

Switch_config#int epon 0/1:2

Switch_config_epon0/1:2#epon onu port 1 ip access-group Client1

 

Вот как то так.

[anemosphere]

А помимо ACL этого сделать, видимо, больше никак не получится?

ACL-ями я уже делал. Думал, может, как-то попроще можно.

[Reanemator]

А помимо ACL этого сделать, видимо, больше никак не получится?

ACL-ями я уже делал. Думал, может, как-то попроще можно.

 

 

Других вариантов нет. Т.е. если хотите, чтобы через ОНУ шёл только конкретный IP, то придётся на ОЛТе создавать 256 ACL, а потом каждой ОНУшке прописывать свой ACL.

Хотя я ни разу не видел, чтобы админы так делали. Уж лучше тогда повесьте на каждый EPON порт ACL, в котором будет перечень IP_ов. Это конечно не столько надёжное решение, но его проще реализовать.

Edited December 4, 2015 by Reanemator

[NiTr0]

D-Link-и не в счёт - у них пользование WEB-ом - вынужденная необходимость, т.к. при работе c CLI можно неожиданно для себя пополнить запас нецензурных слов

У бдкома тоже с CLI не все гладко. К примеру, пропустил add при добавлении влана на аплинк порт - и все, приплыли, надо бежать ребутать.

А еще помню был у DGS3100 веселый баг в веб-морде, когда при правке вланов внезапно они начинали удаляться сами собой :)

[anemosphere]

У бдкома тоже с CLI не все гладко. К примеру, пропустил add при добавлении влана на аплинк порт - и все, приплыли, надо бежать ребутать.

А еще помню был у DGS3100 веселый баг в веб-морде, когда при правке вланов внезапно они начинали удаляться сами собой :)

 

Ну это просто потому, что у них цисковский CLI. У Цисок тоже самое. Правда, я привык после первого раза, когда положил целый сегмент :)

 

Других вариантов нет. Т.е. если хотите, чтобы через ОНУ шёл только конкретный IP, то придётся на ОЛТе создавать 256 ACL, а потом каждой ОНУшке прописывать свой ACL.

Хотя я ни разу не видел, чтобы админы так делали. Уж лучше тогда повесьте на каждый EPON порт ACL, в котором будет перечень IP_ов. Это конечно не столько надёжное решение, но его проще реализовать.

 

Не, на EPON-порт не вариант. Мне нужно резать на порту ONU, чтобы абонент в случае, если взял чужой айпи, не смог пробиться в сеть. Дабы не юзать чужой интернет и не создавать конфликтов в айпи-адресах.

[Reanemator]

У бдкома тоже с CLI не все гладко. К примеру, пропустил add при добавлении влана на аплинк порт - и все, приплыли, надо бежать ребутать.

А еще помню был у DGS3100 веселый баг в веб-морде, когда при правке вланов внезапно они начинали удаляться сами собой :)

 

Ну это просто потому, что у них цисковский CLI. У Цисок тоже самое. Правда, я привык после первого раза, когда положил целый сегмент :)

 

Других вариантов нет. Т.е. если хотите, чтобы через ОНУ шёл только конкретный IP, то придётся на ОЛТе создавать 256 ACL, а потом каждой ОНУшке прописывать свой ACL.

Хотя я ни разу не видел, чтобы админы так делали. Уж лучше тогда повесьте на каждый EPON порт ACL, в котором будет перечень IP_ов. Это конечно не столько надёжное решение, но его проще реализовать.

 

Не, на EPON-порт не вариант. Мне нужно резать на порту ONU, чтобы абонент в случае, если взял чужой айпи, не смог пробиться в сеть. Дабы не юзать чужой интернет и не создавать конфликтов в айпи-адресах.

 

Это решается включением на OLT-е DCHP Snooping и IP Source Guard (ISG). Если клиент заменит IP или MAC - ОЛТ проверит комбинацию MAC+IP+VLAN. Если комбинация в таблице привязок не найдена, то клиент идёт ... и пополняет счёт. Правда клиент может изменить у себя и МАК и ИП - вот тогда беда. Только вот откуда он узнает МАК соседа !? Т.е. обойти ISG можно, но это нужно постараться.

[anemosphere]

И еще вопрос. Подключил "левую" ONU (Mini G/EPON ONU) - такая цилиндрическая хрень. У нее один порт PON, один порт Ethernet.

Не могу повесить ACL порт Ethernet:

Switch_config_epon0/1:2#epon onu port 1 ip access-group deny_all

(_cortinaPortOnuIPAclClassifyAdd, 3678) HAL: Failed to add onu port's acl classifier, rc = 2

@err: set ip access-group deny_all failed, rc = -2

 

С чем это может быть связано? Другие правила спокойно применяются и работают:

 

interface EPON0/1:2

onu-configuration

epon onu port 1 ctc vlan mode tag 4014

epon onu port 1 loopback detect

!!onu-configuration-end

[Reanemator]

И еще вопрос. Подключил "левую" ONU (Mini G/EPON ONU) - такая цилиндрическая хрень. У нее один порт PON, один порт Ethernet.

Не могу повесить ACL порт Ethernet:

Switch_config_epon0/1:2#epon onu port 1 ip access-group deny_all

(_cortinaPortOnuIPAclClassifyAdd, 3678) HAL: Failed to add onu port's acl classifier, rc = 2

@err: set ip access-group deny_all failed, rc = -2

 

С чем это может быть связано? Другие правила спокойно применяются и работают:

 

interface EPON0/1:2

onu-configuration

epon onu port 1 ctc vlan mode tag 4014

epon onu port 1 loopback detect

!!onu-configuration-end

 

Вы как раз столкнулись с "прелестями" не родных ОНУшек. У Вас в руках, скорее всего, ОНУ от компании Alistar. На ней ACL работать не будет - она не поддерживает такой функционал.

По сути это плата любого провайдера, который решил сэкономить на ОНУшках. Базовый функционал, типа ВЛАН на порт, на них работает, а вот шаг вправо-влево - расстрел.

[anemosphere]

Понятно.

Жалко... Спасибо за ответ.

[anemosphere]

И еще вопрос. Мне нужно по SNMP передавать команды на проверку интерфейса с ONU (show run int epon 0/1:1, например), а также на подключение к ней нужного acl (epon onu port 1 ip access-group allowed_ip, например). Плюс к этому необходимо просматривать список мак-адресов на портах ONU (show mac address-table interface epoN 0/1:1).

 

На сколько я понял, мне на BDCOM нужно активироваться соответствующие MIB'ы, так как по умолчанию они отключены для всех community. А какие именно мне надо активировать?

[Reanemator]

И еще вопрос. Мне нужно по SNMP передавать команды на проверку интерфейса с ONU (show run int epon 0/1:1, например), а также на подключение к ней нужного acl (epon onu port 1 ip access-group allowed_ip, например). Плюс к этому необходимо просматривать список мак-адресов на портах ONU (show mac address-table interface epoN 0/1:1).

 

На сколько я понял, мне на BDCOM нужно активироваться соответствующие MIB'ы, так как по умолчанию они отключены для всех community. А какие именно мне надо активировать?

 

Первый раз слышу, чтобы на BDCOM нужно было активировать MIB-ы.

[anemosphere]

Вот, к примеру, команда на включение MIB interfaces. Без нее я не могу получить командой get дерево OID'ов

snmp-server view *name_of_view* interfaces included

[anemosphere]

И вообще, где мне взять правильную библиотеку MIB'ов для BDCOM P3310B? Та, которая у меня есть, по ходу, не для этой железки.

[ShyLion]

И вообще, где мне взять правильную библиотеку MIB'ов для BDCOM P3310B? Та, которая у меня есть, по ходу, не для этой железки.

 

Вот, коечто, выдрал из своего мониторинга

 

# index is TimeMark.Port.Sequence
 table hex     lldpRemChassisId        .1.0.8802.1.1.2.1.4.1.1.5
 table int     lldpRemChassisIdSubtype .1.0.8802.1.1.2.1.4.1.1.4
 table int     lldpRemPortIdSubtype    .1.0.8802.1.1.2.1.4.1.1.6
 table hex     lldpRemPortId           .1.0.8802.1.1.2.1.4.1.1.7
 table str     lldpRemPortDescr        .1.0.8802.1.1.2.1.4.1.1.8
 table str     lldpRemSysName          .1.0.8802.1.1.2.1.4.1.1.9
 table str     lldpRemSysDescr         .1.0.8802.1.1.2.1.4.1.1.10
 table hex     lldpRemSysCaps          .1.0.8802.1.1.2.1.4.1.1.11
# index is TimeMark.Port.Sequence.address_family.address_length.a.d.d.r.e.s.s...
#                                .1.4.ipv4_address_185.46.196.5
#                                .2.16.a.ipv6_address_42.1.137.96.0.0.0.0.0.0.0.0.0.0.0.32
 table int     lldpRemMgmtIfIndex      .1.0.8802.1.1.2.1.4.2.1.3
#
#
 table int     oltRxPower              .1.3.6.1.4.1.3320.9.183.1.1.5
 table int     onuRxPower              .1.3.6.1.4.1.3320.101.10.5.1.5
 table int     onuStatus               .1.3.6.1.4.1.3320.101.10.1.1.26
 table int     onuDistance             .1.3.6.1.4.1.3320.101.10.1.1.27
#
 table hex     onuMAC                  .1.3.6.1.4.1.3320.101.10.1.1.76
#
 one   str     BDCOMlocChassisId       .1.3.6.1.4.1.3320.127.1.3.2.0
 one   int     locChassisIdSubtype     .1.3.6.1.4.1.3320.127.1.3.1.0
 one   str     locChassisSysName       .1.3.6.1.4.1.3320.127.1.3.3.0
#
 table int     locPortIdSubtype .1.3.6.1.4.1.3320.127.1.3.7.1.2
 table hex     locPortId       .1.3.6.1.4.1.3320.127.1.3.7.1.3
#
 table int     BDCOMlldpRemTimeMark    .1.3.6.1.4.1.3320.127.1.4.1.1.1
 table int     BDCOMlldpRemLocalPortNum .1.3.6.1.4.1.3320.127.1.4.1.1.2
 table int     BDCOMlldpRemChassisIdSubType .1.3.6.1.4.1.3320.127.1.4.1.1.4
 table str     BDCOMlldpRemChassisId   .1.3.6.1.4.1.3320.127.1.4.1.1.5
 table int     BDCOMlldpRemPortIdSubtype .1.3.6.1.4.1.3320.127.1.4.1.1.6
 table hex     BDCOMlldpRemPortId      .1.3.6.1.4.1.3320.127.1.4.1.1.7
 table str     BDCOMlldpRemPortDescr   .1.3.6.1.4.1.3320.127.1.4.1.1.8
 table str     BDCOMlldpRemSysName     .1.3.6.1.4.1.3320.127.1.4.1.1.9
 table str     BDCOMlldpRemSysDescr    .1.3.6.1.4.1.3320.127.1.4.1.1.10
 table hex     BDCOMlldpRemCaps        .1.3.6.1.4.1.3320.127.1.4.1.1.11
#
 table int     BDCOMlldpRemMgmtSubtype .1.3.6.1.4.1.3320.127.1.4.2.1.1
 table str     BDCOMlldpRemMgmtAddress .1.3.6.1.4.1.3320.127.1.4.2.1.2
#
 table int     portVlanMacTable        .1.3.6.1.4.1.3320.152.1.1.1
#

 

Соответственно гугли .1.3.6.1.4.1.3320

Edited December 21, 2015 by ShyLion

[anemosphere]

Так с OID'ами разобрался. Все нашел, которые нужны.

Другой вопрос. Может кто-то подсказать, как можно быстренько проверить Opt.82? Никогда подобным не занимался. Пока в растерянности, куда копать.

[NiTr0]

tcpdump/dhcpdump

[Reanemator]

Так с OID'ами разобрался. Все нашел, которые нужны.

Другой вопрос. Может кто-то подсказать, как можно быстренько проверить Opt.82? Никогда подобным не занимался. Пока в растерянности, куда копать.

 

Вас интересует, как её правильно настроить или как проверить структуру уже сформированного пакета?

[anemosphere]

Хм... наверное и то, и другое

[Reanemator]

Хм... наверное и то, и другое

 

Чтобы включить добавление опции 82, достаточно прописать такие команды

 

Switch_config#ip dhcp-relay snooping

Switch_config#ip dhcp-relay snooping vlan 200

Switch_config#ip dhcp-relay snooping information option format hn-type host

 

В этом случае ОЛТ будет добавлять опцию 82 в формате Cisco.

 

Вот скрин структуры DHCP OPtion 82

 

 

Вас должны интересовать Remote ID и Curcuit ID. Remote ID хранит MAC ОНУ, а Curcuit ID содержит номер ВЛАНа, LLID ОНУшки.

 

В примере Curcuit ID = 00:c8:00:07:01.

 

00с8 - номер ВЛАНа (200)

00 - не знаю, за что отвечает

07 - номер EPON порта (07 - EPON 0/1, 08 - EPON 0/2 и т.д.)

01 - LLID ONU

[vurd]

Формат опции 82

В ходе посиделок со снифером был разобран формат опции 82 в типе ‘hn-type host’. В скобках фактические байты пакета, начиная с самой опции 82. Мы определяем абонента по mac-адресу ONU, поэтому этот формат нам подходит больше всего.

 

[52] - Опция 82

[27] - Длина данных опции 82

[01] - Под-опция номер 1 (agent circuit id) опции 82

[05] - Длина под-опции 1

[0001000702] - Данные о номере "порта" на OLT, точно не знаю как распарсить

[02] - Подопция номер 2 (agent remote id) опции 82

[06] - Длина подопции 2

[fcfaf7d854b7] - MAC ONU

[09] - Подопция номер 9 опции 82

 

[15] - Длина данных всей подопции

[00000cf8] - Код вендора (3320)

[10] - Длина данных хоста

[01] - Код 1

[00] - Длина данных в коде 1

[02] - Код 2

[06] - Длина данных в коде 2

[424454455354] - hostname устройства (BDTEST)

[03] - Код 3

[04] - Длина данных в коде 3

[ac100c0a] - IP-адрес хоста (172.16.12.10)

 

см. http://nag.ru/articles/article/26698/bdcom-p3310b-v-ipoe-seti-so-shemoy-s-vlan.html

[NiTr0]

Данные о номере "порта" на OLT, точно не знаю как распарсить

парсится без особых проблем, вроде номер порта, номер влана и LLID.

[anemosphere]

Да, пытался я так настроить. Но в сниффере не вижу данных опции 82. Вообще ничего.

Switch_config#ip dhcp-relay snooping vlan 200 - вот не совсем понятно. Это влан пользователей?

Есть еще такая настройка в конфигурации ONU:

epon onu dhcp snooping enable

epon onu dhcp snooping opt82 enable apend-and-forward default

Для чего она нужна в таком случае?

И если мы определяем клиента по маку ONU, то как быть с ONU на 4 порта. Как определить с какого порта ONU пришел запрос?