anemosphere Опубликовано 4 декабря, 2015 (изменено) · Жалоба Настроил BDCom станцию. Настроек пока не очень много. Мне нужно проверить только как работает инет через нее. Собственно вот конфиг: Порт Gi0/1: Switch#show running-config int gi0/1 Building configuration... Current configuration: ! interface GigaEthernet0/1 switchport trunk vlan-allowed 4012,4014 switchport mode trunk Порт EPON 0/1: interface EPON0/1 epon bind-onu mac fcfa.f718.f5a8 1 switchport trunk vlan-allowed 4014 switchport mode trunk Настройка ONU EPON 0/1:1 Switch#show running-config int epoN 0/1:1 Building configuration... Current configuration: ! interface EPON0/1:1 onu-configuration description Test epon onu description Test epon onu port 1 ctc vlan mode tag 4014 epon onu port 2 ctc vlan mode tag 4014 epon onu port 3 ctc vlan mode tag 4014 epon onu port 4 ctc vlan mode tag 4014 !!onu-configuration-end Инет работает. С этим проблем нет. Вопрос по web-интерфейсу. Почему в поле статус указано значение "undefined", хотя ONU точно работает, так как я через него получаю инет и почему ссылка "detail" не работает? И еще, почему ее нет в разделе "ONU Interface Config"? ONU-шка же должна там появится? Как мне регулировать loopback detection, например? И еще вопрос. Можно каким-то образом привязать IP пользователя к конкретному порту ONU, чтобы только владелец данного IP мог проходить в сеть, а остальные дропаться? Может кто-нибудь помочь? Взял первый раз в руки сей девайс и долго ковыряться с ним нет времени. Заранее спасибо! Изменено 4 декабря, 2015 пользователем anemosphere Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wglazyrin Опубликовано 4 декабря, 2015 · Жалоба Раньше WEB интерфейс 3310B был вообще просто чистый лист с полем для ввода CLI команд. Сейчас сеть хоть какойто функционал. Все же, полноценно работать с ОЛТ через него не возможно. Так что - придется учиться и привыкать к CLI. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anemosphere Опубликовано 4 декабря, 2015 · Жалоба То есть, я так понимаю, что это просто буковки? И там ничего не работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Reanemator Опубликовано 4 декабря, 2015 · Жалоба Инет работает. С этим проблем нет. Вопрос по web-интерфейсу. Почему в поле статус указано значение "undefined", хотя ONU точно работает, так как я через него получаю инет и почему ссылка "detail" не работает? И еще, почему ее нет в разделе "ONU Interface Config"? ONU-шка же должна там появится? Как мне регулировать loopback detection, например? Даже при наличии WEB интерфейса, BDCOM OLT, да и любой вменяемый коммутатор, управляются всё таки через CLI (Command Line Interface). (D-Link-и не в счёт - у них пользование WEB-ом - вынужденная необходимость, т.к. при работе c CLI можно неожиданно для себя пополнить запас нецензурных слов. ) Поэтому Вам придётся изучить CLI - иначе эту железку не приручить. Но пугаться консоли не стоит. BDCOM имеет Cisco лайк комманды, поэтому осваивается быстро. И еще вопрос. Можно каким-то образом привязать IP пользователя к конкретному порту ONU, чтобы только владелец данного IP мог проходить в сеть, а остальные дропаться? Да, можно. При помощи списков доступа (Access List - ACL). Switch_config#ip access-list extended Client1 Switch_config_ext_Client1#permit ip 192.168.45.8 255.255.255.255 any Switch_config_ext_Client1#deny ip any any Switch_config#int epon 0/1:2 Switch_config_epon0/1:2#epon onu port 1 ip access-group Client1 Вот как то так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anemosphere Опубликовано 4 декабря, 2015 · Жалоба А помимо ACL этого сделать, видимо, больше никак не получится? ACL-ями я уже делал. Думал, может, как-то попроще можно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Reanemator Опубликовано 4 декабря, 2015 (изменено) · Жалоба А помимо ACL этого сделать, видимо, больше никак не получится? ACL-ями я уже делал. Думал, может, как-то попроще можно. Других вариантов нет. Т.е. если хотите, чтобы через ОНУ шёл только конкретный IP, то придётся на ОЛТе создавать 256 ACL, а потом каждой ОНУшке прописывать свой ACL. Хотя я ни разу не видел, чтобы админы так делали. Уж лучше тогда повесьте на каждый EPON порт ACL, в котором будет перечень IP_ов. Это конечно не столько надёжное решение, но его проще реализовать. Изменено 4 декабря, 2015 пользователем Reanemator Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 4 декабря, 2015 · Жалоба D-Link-и не в счёт - у них пользование WEB-ом - вынужденная необходимость, т.к. при работе c CLI можно неожиданно для себя пополнить запас нецензурных слов У бдкома тоже с CLI не все гладко. К примеру, пропустил add при добавлении влана на аплинк порт - и все, приплыли, надо бежать ребутать. А еще помню был у DGS3100 веселый баг в веб-морде, когда при правке вланов внезапно они начинали удаляться сами собой :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anemosphere Опубликовано 7 декабря, 2015 · Жалоба У бдкома тоже с CLI не все гладко. К примеру, пропустил add при добавлении влана на аплинк порт - и все, приплыли, надо бежать ребутать. А еще помню был у DGS3100 веселый баг в веб-морде, когда при правке вланов внезапно они начинали удаляться сами собой :) Ну это просто потому, что у них цисковский CLI. У Цисок тоже самое. Правда, я привык после первого раза, когда положил целый сегмент :) Других вариантов нет. Т.е. если хотите, чтобы через ОНУ шёл только конкретный IP, то придётся на ОЛТе создавать 256 ACL, а потом каждой ОНУшке прописывать свой ACL. Хотя я ни разу не видел, чтобы админы так делали. Уж лучше тогда повесьте на каждый EPON порт ACL, в котором будет перечень IP_ов. Это конечно не столько надёжное решение, но его проще реализовать. Не, на EPON-порт не вариант. Мне нужно резать на порту ONU, чтобы абонент в случае, если взял чужой айпи, не смог пробиться в сеть. Дабы не юзать чужой интернет и не создавать конфликтов в айпи-адресах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Reanemator Опубликовано 7 декабря, 2015 · Жалоба У бдкома тоже с CLI не все гладко. К примеру, пропустил add при добавлении влана на аплинк порт - и все, приплыли, надо бежать ребутать. А еще помню был у DGS3100 веселый баг в веб-морде, когда при правке вланов внезапно они начинали удаляться сами собой :) Ну это просто потому, что у них цисковский CLI. У Цисок тоже самое. Правда, я привык после первого раза, когда положил целый сегмент :) Других вариантов нет. Т.е. если хотите, чтобы через ОНУ шёл только конкретный IP, то придётся на ОЛТе создавать 256 ACL, а потом каждой ОНУшке прописывать свой ACL. Хотя я ни разу не видел, чтобы админы так делали. Уж лучше тогда повесьте на каждый EPON порт ACL, в котором будет перечень IP_ов. Это конечно не столько надёжное решение, но его проще реализовать. Не, на EPON-порт не вариант. Мне нужно резать на порту ONU, чтобы абонент в случае, если взял чужой айпи, не смог пробиться в сеть. Дабы не юзать чужой интернет и не создавать конфликтов в айпи-адресах. Это решается включением на OLT-е DCHP Snooping и IP Source Guard (ISG). Если клиент заменит IP или MAC - ОЛТ проверит комбинацию MAC+IP+VLAN. Если комбинация в таблице привязок не найдена, то клиент идёт ... и пополняет счёт. Правда клиент может изменить у себя и МАК и ИП - вот тогда беда. Только вот откуда он узнает МАК соседа !? Т.е. обойти ISG можно, но это нужно постараться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anemosphere Опубликовано 11 декабря, 2015 · Жалоба И еще вопрос. Подключил "левую" ONU (Mini G/EPON ONU) - такая цилиндрическая хрень. У нее один порт PON, один порт Ethernet. Не могу повесить ACL порт Ethernet: Switch_config_epon0/1:2#epon onu port 1 ip access-group deny_all (_cortinaPortOnuIPAclClassifyAdd, 3678) HAL: Failed to add onu port's acl classifier, rc = 2 @err: set ip access-group deny_all failed, rc = -2 С чем это может быть связано? Другие правила спокойно применяются и работают: interface EPON0/1:2 onu-configuration epon onu port 1 ctc vlan mode tag 4014 epon onu port 1 loopback detect !!onu-configuration-end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Reanemator Опубликовано 11 декабря, 2015 · Жалоба И еще вопрос. Подключил "левую" ONU (Mini G/EPON ONU) - такая цилиндрическая хрень. У нее один порт PON, один порт Ethernet. Не могу повесить ACL порт Ethernet: Switch_config_epon0/1:2#epon onu port 1 ip access-group deny_all (_cortinaPortOnuIPAclClassifyAdd, 3678) HAL: Failed to add onu port's acl classifier, rc = 2 @err: set ip access-group deny_all failed, rc = -2 С чем это может быть связано? Другие правила спокойно применяются и работают: interface EPON0/1:2 onu-configuration epon onu port 1 ctc vlan mode tag 4014 epon onu port 1 loopback detect !!onu-configuration-end Вы как раз столкнулись с "прелестями" не родных ОНУшек. У Вас в руках, скорее всего, ОНУ от компании Alistar. На ней ACL работать не будет - она не поддерживает такой функционал. По сути это плата любого провайдера, который решил сэкономить на ОНУшках. Базовый функционал, типа ВЛАН на порт, на них работает, а вот шаг вправо-влево - расстрел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anemosphere Опубликовано 14 декабря, 2015 · Жалоба Понятно. Жалко... Спасибо за ответ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anemosphere Опубликовано 21 декабря, 2015 · Жалоба И еще вопрос. Мне нужно по SNMP передавать команды на проверку интерфейса с ONU (show run int epon 0/1:1, например), а также на подключение к ней нужного acl (epon onu port 1 ip access-group allowed_ip, например). Плюс к этому необходимо просматривать список мак-адресов на портах ONU (show mac address-table interface epoN 0/1:1). На сколько я понял, мне на BDCOM нужно активироваться соответствующие MIB'ы, так как по умолчанию они отключены для всех community. А какие именно мне надо активировать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Reanemator Опубликовано 21 декабря, 2015 · Жалоба И еще вопрос. Мне нужно по SNMP передавать команды на проверку интерфейса с ONU (show run int epon 0/1:1, например), а также на подключение к ней нужного acl (epon onu port 1 ip access-group allowed_ip, например). Плюс к этому необходимо просматривать список мак-адресов на портах ONU (show mac address-table interface epoN 0/1:1). На сколько я понял, мне на BDCOM нужно активироваться соответствующие MIB'ы, так как по умолчанию они отключены для всех community. А какие именно мне надо активировать? Первый раз слышу, чтобы на BDCOM нужно было активировать MIB-ы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anemosphere Опубликовано 21 декабря, 2015 · Жалоба Вот, к примеру, команда на включение MIB interfaces. Без нее я не могу получить командой get дерево OID'ов snmp-server view *name_of_view* interfaces included Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anemosphere Опубликовано 21 декабря, 2015 · Жалоба И вообще, где мне взять правильную библиотеку MIB'ов для BDCOM P3310B? Та, которая у меня есть, по ходу, не для этой железки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 21 декабря, 2015 (изменено) · Жалоба И вообще, где мне взять правильную библиотеку MIB'ов для BDCOM P3310B? Та, которая у меня есть, по ходу, не для этой железки. Вот, коечто, выдрал из своего мониторинга # index is TimeMark.Port.Sequence table hex lldpRemChassisId .1.0.8802.1.1.2.1.4.1.1.5 table int lldpRemChassisIdSubtype .1.0.8802.1.1.2.1.4.1.1.4 table int lldpRemPortIdSubtype .1.0.8802.1.1.2.1.4.1.1.6 table hex lldpRemPortId .1.0.8802.1.1.2.1.4.1.1.7 table str lldpRemPortDescr .1.0.8802.1.1.2.1.4.1.1.8 table str lldpRemSysName .1.0.8802.1.1.2.1.4.1.1.9 table str lldpRemSysDescr .1.0.8802.1.1.2.1.4.1.1.10 table hex lldpRemSysCaps .1.0.8802.1.1.2.1.4.1.1.11 # index is TimeMark.Port.Sequence.address_family.address_length.a.d.d.r.e.s.s... # .1.4.ipv4_address_185.46.196.5 # .2.16.a.ipv6_address_42.1.137.96.0.0.0.0.0.0.0.0.0.0.0.32 table int lldpRemMgmtIfIndex .1.0.8802.1.1.2.1.4.2.1.3 # # table int oltRxPower .1.3.6.1.4.1.3320.9.183.1.1.5 table int onuRxPower .1.3.6.1.4.1.3320.101.10.5.1.5 table int onuStatus .1.3.6.1.4.1.3320.101.10.1.1.26 table int onuDistance .1.3.6.1.4.1.3320.101.10.1.1.27 # table hex onuMAC .1.3.6.1.4.1.3320.101.10.1.1.76 # one str BDCOMlocChassisId .1.3.6.1.4.1.3320.127.1.3.2.0 one int locChassisIdSubtype .1.3.6.1.4.1.3320.127.1.3.1.0 one str locChassisSysName .1.3.6.1.4.1.3320.127.1.3.3.0 # table int locPortIdSubtype .1.3.6.1.4.1.3320.127.1.3.7.1.2 table hex locPortId .1.3.6.1.4.1.3320.127.1.3.7.1.3 # table int BDCOMlldpRemTimeMark .1.3.6.1.4.1.3320.127.1.4.1.1.1 table int BDCOMlldpRemLocalPortNum .1.3.6.1.4.1.3320.127.1.4.1.1.2 table int BDCOMlldpRemChassisIdSubType .1.3.6.1.4.1.3320.127.1.4.1.1.4 table str BDCOMlldpRemChassisId .1.3.6.1.4.1.3320.127.1.4.1.1.5 table int BDCOMlldpRemPortIdSubtype .1.3.6.1.4.1.3320.127.1.4.1.1.6 table hex BDCOMlldpRemPortId .1.3.6.1.4.1.3320.127.1.4.1.1.7 table str BDCOMlldpRemPortDescr .1.3.6.1.4.1.3320.127.1.4.1.1.8 table str BDCOMlldpRemSysName .1.3.6.1.4.1.3320.127.1.4.1.1.9 table str BDCOMlldpRemSysDescr .1.3.6.1.4.1.3320.127.1.4.1.1.10 table hex BDCOMlldpRemCaps .1.3.6.1.4.1.3320.127.1.4.1.1.11 # table int BDCOMlldpRemMgmtSubtype .1.3.6.1.4.1.3320.127.1.4.2.1.1 table str BDCOMlldpRemMgmtAddress .1.3.6.1.4.1.3320.127.1.4.2.1.2 # table int portVlanMacTable .1.3.6.1.4.1.3320.152.1.1.1 # Соответственно гугли .1.3.6.1.4.1.3320 Изменено 21 декабря, 2015 пользователем ShyLion Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anemosphere Опубликовано 22 декабря, 2015 · Жалоба Так с OID'ами разобрался. Все нашел, которые нужны. Другой вопрос. Может кто-то подсказать, как можно быстренько проверить Opt.82? Никогда подобным не занимался. Пока в растерянности, куда копать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 22 декабря, 2015 · Жалоба tcpdump/dhcpdump Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Reanemator Опубликовано 22 декабря, 2015 · Жалоба Так с OID'ами разобрался. Все нашел, которые нужны. Другой вопрос. Может кто-то подсказать, как можно быстренько проверить Opt.82? Никогда подобным не занимался. Пока в растерянности, куда копать. Вас интересует, как её правильно настроить или как проверить структуру уже сформированного пакета? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anemosphere Опубликовано 22 декабря, 2015 · Жалоба Хм... наверное и то, и другое Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Reanemator Опубликовано 23 декабря, 2015 · Жалоба Хм... наверное и то, и другое Чтобы включить добавление опции 82, достаточно прописать такие команды Switch_config#ip dhcp-relay snooping Switch_config#ip dhcp-relay snooping vlan 200 Switch_config#ip dhcp-relay snooping information option format hn-type host В этом случае ОЛТ будет добавлять опцию 82 в формате Cisco. Вот скрин структуры DHCP OPtion 82 Вас должны интересовать Remote ID и Curcuit ID. Remote ID хранит MAC ОНУ, а Curcuit ID содержит номер ВЛАНа, LLID ОНУшки. В примере Curcuit ID = 00:c8:00:07:01. 00с8 - номер ВЛАНа (200) 00 - не знаю, за что отвечает 07 - номер EPON порта (07 - EPON 0/1, 08 - EPON 0/2 и т.д.) 01 - LLID ONU Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 23 декабря, 2015 · Жалоба Формат опции 82 В ходе посиделок со снифером был разобран формат опции 82 в типе ‘hn-type host’. В скобках фактические байты пакета, начиная с самой опции 82. Мы определяем абонента по mac-адресу ONU, поэтому этот формат нам подходит больше всего. [52] - Опция 82 [27] - Длина данных опции 82 [01] - Под-опция номер 1 (agent circuit id) опции 82 [05] - Длина под-опции 1 [0001000702] - Данные о номере "порта" на OLT, точно не знаю как распарсить [02] - Подопция номер 2 (agent remote id) опции 82 [06] - Длина подопции 2 [fcfaf7d854b7] - MAC ONU [09] - Подопция номер 9 опции 82 [15] - Длина данных всей подопции [00000cf8] - Код вендора (3320) [10] - Длина данных хоста [01] - Код 1 [00] - Длина данных в коде 1 [02] - Код 2 [06] - Длина данных в коде 2 [424454455354] - hostname устройства (BDTEST) [03] - Код 3 [04] - Длина данных в коде 3 [ac100c0a] - IP-адрес хоста (172.16.12.10) см. http://nag.ru/articles/article/26698/bdcom-p3310b-v-ipoe-seti-so-shemoy-s-vlan.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 23 декабря, 2015 · Жалоба Данные о номере "порта" на OLT, точно не знаю как распарсить парсится без особых проблем, вроде номер порта, номер влана и LLID. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anemosphere Опубликовано 23 декабря, 2015 · Жалоба Да, пытался я так настроить. Но в сниффере не вижу данных опции 82. Вообще ничего. Switch_config#ip dhcp-relay snooping vlan 200 - вот не совсем понятно. Это влан пользователей? Есть еще такая настройка в конфигурации ONU: epon onu dhcp snooping enable epon onu dhcp snooping opt82 enable apend-and-forward default Для чего она нужна в таком случае? И если мы определяем клиента по маку ONU, то как быть с ONU на 4 порта. Как определить с какого порта ONU пришел запрос? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...