AlKov Опубликовано 16 октября, 2019 · Жалоба А подскажите, пожалуйста, реально ли написать ACL, запрещающий поддельные PPPoE сервера? Никак не могу обрести понимание их работы.. Запрет IP (0х0800) сочинил, а вот с PPPoE затык.. Задача такая - разрешить клиентам только PPPoE, запретить левые dhcp и PPPoE сервера. В дилинковских коммутаторах сиё на раз-два делается, т.к. там есть понятие "порт" и фильтруется входящий траф на этот порт. Здесь же вроде как ACL на порт не повесишь.. Вообщем, запутался.. :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 16 октября, 2019 · Жалоба 33 минуты назад, AlKov сказал: В дилинковских коммутаторах сиё на раз-два делается, т.к. там есть понятие "порт" и фильтруется входящий траф на этот порт. Здесь же вроде как ACL на порт не повесишь.. Вообщем, запутался.. :( Тут это понятие ложится на порт ONU, то есть uni. То есть самой onu не запретить, а то что к ней подключается - да. С этими OLT onu-шки надо использовать как медюки, а абонов подключать за ними. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 16 октября, 2019 · Жалоба 4 часа назад, sherwood сказал: То есть самой onu не запретить, а то что к ней подключается - да. А каким образом это осуществить? 4 часа назад, sherwood сказал: С этими OLT onu-шки надо использовать как медюки, а абонов подключать за ними. Именно так и подключаем. ONU в режиме Bridge. P.S. Нашёл в EMS такой "пунктик" - "ONU to ONU Enable",который по-дефолту в disable. Это случаем не "изоляция" ONU (т.е. traffic segmentation в синтаксисе dlink)? Если это так, то есть ли смысл вообще заморачиваться с фильтрацией? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 16 октября, 2019 · Жалоба такое впечатление, что человек, обещавший поэтапно разбираться, тихо слился ушел. очередной баг, которым красуется и бдком, и, вот, ц-дата FD1216, прошивка V1.4.1_190422 требуется повесить свитч (DGS-1100-10/ME) на онушку. на свитче настроен свой собственный dhcp_relay + option82 в управляющий влан, который на ц-дате не упомянут ни в dhcp-snooping vlan, ни в dhcp-relay vlanif. при этом на ц-дате также стоит "dhcp-snooping option82 policy replace". иии... на дхцп-сервере вижу пакеты с интерфейса свитча, НО с добавленной опцией 82 от ц-даты (id порта, id онушки и т.д.) включение "options82 policy keep" на ц-дате дало нужный эффект, но оставило некоторый осадочек (какого хрена оно лезет туда, куда не спросили, и как мне через ц-дату пускать последнюю милю с dhcp клиента, если потребуется? правильно, никак) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AKim Опубликовано 24 октября, 2019 (изменено) · Жалоба Народ, на прошивке Software Version : 2.4.06_000(Sep 23 2019 не у кого нет проблем с snmp ? стояла 2.4.05 прошивка и проц головы был нагружен на максимум на 50%, snmp работал удовлетворительно. На 2.4.06 стоит обратиться по snmp и голова нагружена на 80%, snmp тупит и отваливается временами по таймауту. А так как его забикс опрашивает и внешний скрипт, отвалы snmp почти постоянные график cpu до обновления и после Изменено 24 октября, 2019 пользователем AKim Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artom_12 Опубликовано 24 октября, 2019 · Жалоба On 10/16/2019 at 12:21 PM, AlKov said: А подскажите, пожалуйста, реально ли написать ACL, запрещающий поддельные PPPoE сервера? Никак не могу обрести понимание их работы.. Запрет IP (0х0800) сочинил, а вот с PPPoE затык.. Задача такая - разрешить клиентам только PPPoE, запретить левые dhcp и PPPoE сервера. В дилинковских коммутаторах сиё на раз-два делается, т.к. там есть понятие "порт" и фильтруется входящий траф на этот порт. Здесь же вроде как ACL на порт не повесишь.. Вообщем, запутался.. :( не удалось найти ответ по вопросу: фильтра для левых pppoe \ dhcp \ и некого traffic segmentation? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 28 октября, 2019 · Жалоба В 25.10.2019 в 00:02, Artom_12 сказал: не удалось найти ответ по вопросу: фильтра для левых pppoe \ dhcp \ и некого traffic segmentation? Именно так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artom_12 Опубликовано 28 октября, 2019 (изменено) · Жалоба нашёл такой пункт: Quote 6.1.4 Enable/Disable P2P Function Command Syntax epon(olt-1)# p2p <enable | disable> Function Description Enable/Disable OLT P2P function, when this function is enabled, each ONU of the PON port can communicate with each other without uplink switch, or not when disabled <eable> Enable P2P function <disable> Disable P2P function [Configuration Case] Case1: Enable P2P function of the PON port: epon(olt-1)# p2p enable Set slot 1 olt 1 p2p status to Enable successfully. epon(olt-1)# вроде как если сделать epon(olt-1)# p2p <enable|disable> enable – онушки видят друг друга disable – онушки не видят друг друга Изменено 28 октября, 2019 пользователем Artom_12 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 29 октября, 2019 · Жалоба 18 часов назад, Artom_12 сказал: нашёл такой пункт: вроде как если сделать epon(olt-1)# p2p <enable|disable> enable – онушки видят друг друга disable – онушки не видят друг друга Так походу, это тоже самое - В 16.10.2019 в 16:32, AlKov сказал: P.S. Нашёл в EMS такой "пунктик" - "ONU to ONU Enable",который по-дефолту в disable. Это случаем не "изоляция" ONU (т.е. traffic segmentation в синтаксисе dlink)? Значит будем считать, что сиё (левые сервера) нам не грозит. Сейчас пытаюсь решить другую беду - ограничить доступ к ОЛТ по IP. Наваял вроде как всё так, по мануалу: 1. epon# system mgmt-ip access-control <admin> 2. epon# system mgmt-ip access-ip-add <ip-addr> <mask> Однако, ОЛТ пускает в телнет с любого IP.. Что сделал не так? P.S. Зайти пытаюсь на outband IP с MGMT порта. Может для него (MGMT порта) это не действует? P.P.S. Сконфигурёно так: olt-1# show system access-control ----------------------------------------------------------------------------- Access control admin : enable ---------------------------------------------------------------------------- Access IP : 1XX.1XX.48.130, MASK : 255.255.255.255 Access IP : 1XX.1XX.49.44, MASK : 255.255.255.255 Access IP : 192.168.7.254, MASK : 255.255.255.255 ----------------------------------------------------------------------------- olt-1# show system ipconfig Outband IP address : 1XX.2XX.107.200 Outband IP netmask : 255.255.255.240 Inband IP address : 192.168.4.13 Inband IP netmask : 255.255.252.0 Gateway : 192.168.7.254 MGMT VLAN : 3 1XX.1XX... - публичные IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artom_12 Опубликовано 30 октября, 2019 (изменено) · Жалоба незнаю, никогда не парился, что с мгмт порта может кто то зайти, если он уже перед железкой, его мало кто остановит :) Изменено 30 октября, 2019 пользователем Artom_12 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 30 октября, 2019 · Жалоба 1 час назад, Artom_12 сказал: незнаю, никогда не парился, что с мгмт порта может кто то зайти, если он уже перед железкой, его мало кто остановит :) Вообще-то, это не консольный (RS232) порт, а обычный ethernet, у которого есть IP. И в данном случае доступен он с "внешки" ВСЕМ. Да и с Ge-портов, как оказалось, тоже всё нараспашку.. Хотел обновить прошивку, и тут тоже облом - саппорт НАГа прислал FD1104B_V2.4.04_171127_X000, у железки - 2.4.05_001(May 17 2018). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AKim Опубликовано 5 ноября, 2019 · Жалоба В 30.10.2019 в 09:07, AlKov сказал: у железки - 2.4.05_001(May 17 2018). вот эта прошивка самая беспроблемная, если от железки ничего кроме вланов не надо. Выше мой пост и проблема с прошивкой 2.4.06 последней. С разработчиками сейчас общаюсь, проблему увидели. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
seregatum Опубликовано 12 ноября, 2019 · Жалоба Всем привет!Есть такой вопрос,есть ли какой-то конфиг чтоб при петле onu автоматически блочило,а не ложило всю голову?!))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artom_12 Опубликовано 12 ноября, 2019 · Жалоба 11 hours ago, seregatum said: Всем привет!Есть такой вопрос,есть ли какой-то конфиг чтоб при петле onu автоматически блочило,а не ложило всю голову?!))) меня тоже такое интересует Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wicked Опубликовано 13 ноября, 2019 · Жалоба Всем привет! Ни у кого не было на FD1104B такой проблемы: при использовании IPoE VLAN на OLT возникает ситуация, что абоненту на вход летит трафик соседних абонентов с этой OLT? Прошивка 2.4.05. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nixx Опубликовано 13 ноября, 2019 · Жалоба господа, а поделитесь, пожалуйста, сокровенным знанием (может оно на поверхности, но я не одолел )) как в головах FD12xx включить логирование событий вида 19:10:03 PON 0/0/6 ONU 15 UNI 0/1 uni link up 19:10:08 PON 0/0/6 ONU 15 UNI 0/1 uni link down 19:10:13 PON 0/0/6 ONU 15 UNI 0/1 uni link up в тот лог, который выводится в консоли самой головы по команде "show log"? у меня там видится только лог вводимых на консоли команд, а упомянутое содержимое - льется на ремотный syslog, без каких-либо доп настроек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
open_box Опубликовано 17 ноября, 2019 · Жалоба Хто поможет реанимировать olt fd1104sn. Слетел mac. epon# show system infor-----------------------------------------------------------------------------System Description : GEPON OLTSoftware Version : 2.4.05_000(May 17 2018)Hardware Version :MAC : 00-00-00-00-00-00Serial Number :System Time : 2000/01/01 00:24:28 +08:00Location : Contact : Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 29 ноября, 2019 · Жалоба В 13.11.2019 в 10:34, wicked сказал: Всем привет! Ни у кого не было на FD1104B такой проблемы: при использовании IPoE VLAN на OLT возникает ситуация, что абоненту на вход летит трафик соседних абонентов с этой OLT? Прошивка 2.4.05. Я сейчас борюсь с такой ситуацией, что у абонента с тарифом в 100 мегабит, на вход идет только ~85, на исход все норм. Возможно эти проблемы как-то связаны. OLT 8 портовая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 2 декабря, 2019 · Жалоба В 29.11.2019 в 16:01, roma33rus сказал: у абонента с тарифом в 100 мегабит, на вход идет только ~85, на исход все норм. А у абонента на "входе" какая сетевая карта? Не 100 Мбит., случаем? Если так, то вполне себе рабочая ситуация и OLT тут совсем не при делах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 2 декабря, 2019 (изменено) · Жалоба 49 минут назад, AlKov сказал: А у абонента на "входе" какая сетевая карта? Не 100 Мбит., случаем? Если так, то вполне себе рабочая ситуация и OLT тут совсем не при делах. Да, там после onu стоит 100 мегабитный роутер tp-link. Я понял, что вы имеете ввиду. Сначала линк гигабитным, а потом до сотки сужается. Здесь и узкое место? Тогда почему с исходом все норм. хотя при этом мы еще используем пон от eltex и huawei, и там таких проблем не наблюдается. Изменено 2 декабря, 2019 пользователем roma33rus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 2 декабря, 2019 · Жалоба 1 час назад, roma33rus сказал: Тогда почему с исходом все норм. Потому, что в этом случае линк РАСШИРЯЕТСЯ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 2 декабря, 2019 · Жалоба 1 минуту назад, sol сказал: Потому, что в этом случае линк РАСШИРЯЕТСЯ. Да, точно, логика в этом есть. Тогда какой в нашем случае выход? гигабитные роутеры чтоли ставить людям? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 2 декабря, 2019 · Жалоба 12 минут назад, roma33rus сказал: Тогда какой в нашем случае выход? гигабитные роутеры чтоли ставить людям? Ну для начала убедиться, что проблема именно в этом. Подключив временно у клиента хотя-бы ноут с гигабитной сетевой картой. P.S. " хотя при этом мы еще используем пон от eltex и huawei, и там таких проблем не наблюдается." Возможно у ONU eltex и huawei размер буфера больше, чем у CDATA. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roma33rus Опубликовано 2 декабря, 2019 · Жалоба 50 минут назад, AlKov сказал: Ну для начала убедиться, что проблема именно в этом. Подключив временно у клиента хотя-бы ноут с гигабитной сетевой картой. да, сразу станет ясно. 51 минуту назад, AlKov сказал: Возможно у ONU eltex и huawei размер буфера больше, чем у CDATA. Буфер именно у ONU получается здесь важен? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AlKov Опубликовано 2 декабря, 2019 · Жалоба 2 часа назад, roma33rus сказал: Буфер именно у ONU получается здесь важен? Ну, судя по вашей информации, насчёт того, что eltex и huawei этим не страдают и причина проблемы подтвердится именно стыком 1G-100М, то вполне может быть, что так.. Но всё это пока только мои предположения, т.к. в PON сам ещё хожу в детских штанишках. :-) Все предположения сделаны на основании опыта работы с Ethernet. Не факт, конечно, что этот буфер находится в ONU, вполне допускаю, что он может жить в OLT, т.к. по сути, голова GePON - это тот же самый Ethernet коммутатор. Соответственно, и "болячки" живут там же. И если у вас ONU включены в режиме BRIDGE, то буфер - скорее всего - просто обязан жить в OLT. P.S. У себя в GePON я реализую только PPPoE, чтобы избежать всех возможных ограничений_железа/болячек/недоработок на L3 в PON. В PON только "голый пистолет L2". :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...