[AlKov]

А подскажите, пожалуйста, реально ли написать ACL, запрещающий поддельные PPPoE сервера?

Никак не могу обрести понимание их работы..

Запрет IP (0х0800) сочинил, а вот с PPPoE затык..

Задача такая - разрешить клиентам только PPPoE, запретить левые dhcp и PPPoE сервера.

В дилинковских коммутаторах сиё на раз-два делается, т.к. там есть понятие "порт" и фильтруется входящий траф на этот порт.

Здесь же вроде как ACL на порт не повесишь.. Вообщем, запутался.. :(

[sherwood]

33 минуты назад, AlKov сказал:

В дилинковских коммутаторах сиё на раз-два делается, т.к. там есть понятие "порт" и фильтруется входящий траф на этот порт.

Здесь же вроде как ACL на порт не повесишь.. Вообщем, запутался.. :(

Тут это понятие ложится на порт ONU, то есть uni. То есть самой onu не запретить, а то что к ней подключается - да. С этими OLT onu-шки надо использовать как медюки, а абонов подключать за ними.

[AlKov]

4 часа назад, sherwood сказал:

То есть самой onu не запретить, а то что к ней подключается - да. 

А каким образом это осуществить?

4 часа назад, sherwood сказал:

С этими OLT onu-шки надо использовать как медюки, а абонов подключать за ними.

Именно так и подключаем. ONU в режиме Bridge.

 

P.S. Нашёл в EMS такой "пунктик" - "ONU to ONU Enable",который по-дефолту в disable. 

Это случаем не "изоляция" ONU (т.е. traffic segmentation в синтаксисе dlink)?

Если это так, то есть ли смысл вообще заморачиваться с фильтрацией?

[nixx]

такое впечатление, что человек, обещавший поэтапно разбираться, тихо слился ушел.

очередной баг, которым красуется и бдком, и, вот, ц-дата FD1216, прошивка V1.4.1_190422

требуется повесить свитч (DGS-1100-10/ME) на онушку.

на свитче настроен свой собственный dhcp_relay + option82 в управляющий влан, который на ц-дате не упомянут ни в dhcp-snooping vlan, ни в dhcp-relay vlanif. при этом на ц-дате также стоит "dhcp-snooping option82 policy replace".

 

иии... на дхцп-сервере вижу пакеты с интерфейса свитча, НО с добавленной опцией 82 от ц-даты (id порта, id онушки и т.д.)

 

включение "options82 policy keep" на ц-дате дало нужный эффект, но оставило некоторый осадочек (какого хрена оно лезет туда, куда не спросили, и как мне через ц-дату пускать последнюю милю с dhcp клиента, если потребуется? правильно, никак)

[AKim]

Народ, на прошивке 

Software Version   : 2.4.06_000(Sep 23 2019

 

не у кого нет проблем с snmp ?

 

стояла 2.4.05 прошивка и проц головы был нагружен  на максимум на 50%, snmp работал удовлетворительно.

На 2.4.06 стоит обратиться по snmp и голова нагружена на 80%, snmp тупит и отваливается временами по таймауту. А так как его забикс опрашивает и внешний скрипт, отвалы snmp почти постоянные

 

график cpu до обновления и после

Изменено 24 октября, 2019 пользователем AKim

[Artom_12]

On 10/16/2019 at 12:21 PM, AlKov said:

А подскажите, пожалуйста, реально ли написать ACL, запрещающий поддельные PPPoE сервера?

Никак не могу обрести понимание их работы..

Запрет IP (0х0800) сочинил, а вот с PPPoE затык..

Задача такая - разрешить клиентам только PPPoE, запретить левые dhcp и PPPoE сервера.

В дилинковских коммутаторах сиё на раз-два делается, т.к. там есть понятие "порт" и фильтруется входящий траф на этот порт.

Здесь же вроде как ACL на порт не повесишь.. Вообщем, запутался.. :(

не удалось найти ответ по вопросу:

фильтра для левых pppoe \ dhcp \ и некого traffic segmentation?

[AlKov]

В 25.10.2019 в 00:02, Artom_12 сказал:

не удалось найти ответ по вопросу:

фильтра для левых pppoe \ dhcp \ и некого traffic segmentation?

Именно так.

[Artom_12]

нашёл такой пункт:

 

Quote

6.1.4 Enable/Disable P2P Function
Command
Syntax

epon(olt-1)# p2p <enable | disable>

Function
Description

Enable/Disable OLT P2P function, when this function is enabled, each
ONU of the PON port can communicate with each other without
uplink switch, or not when disabled

<eable> Enable P2P function

<disable> Disable P2P function

[Configuration Case]
Case1: Enable P2P function of the PON port:
epon(olt-1)# p2p enable
Set slot 1 olt 1 p2p status to Enable successfully.
epon(olt-1)#

 

вроде как если сделать 

epon(olt-1)# p2p <enable|disable>

enable – онушки видят друг друга

disable – онушки не видят друг друга

Изменено 28 октября, 2019 пользователем Artom_12

[AlKov]

18 часов назад, Artom_12 сказал:

нашёл такой пункт:

 

вроде как если сделать 

epon(olt-1)# p2p <enable|disable>

enable – онушки видят друг друга

disable – онушки не видят друг друга

 

Так походу, это тоже самое -

В 16.10.2019 в 16:32, AlKov сказал:

P.S. Нашёл в EMS такой "пунктик" - "ONU to ONU Enable",который по-дефолту в disable. 

Это случаем не "изоляция" ONU (т.е. traffic segmentation в синтаксисе dlink)?

Значит будем считать, что сиё (левые сервера) нам не грозит.

 

Сейчас пытаюсь решить другую беду - ограничить доступ к ОЛТ по IP.

Наваял вроде как всё так, по мануалу:

1. epon# system mgmt-ip access-control <admin>

2. epon# system mgmt-ip access-ip-add <ip-addr> <mask>

Однако, ОЛТ пускает в телнет с любого IP.. 

Что сделал не так?

 

P.S. Зайти пытаюсь на outband IP с MGMT порта.

Может для него (MGMT порта) это не действует?

 

P.P.S. Сконфигурёно так:

olt-1# show system access-control
-----------------------------------------------------------------------------
  Access control admin : enable
 ----------------------------------------------------------------------------
  Access IP  : 1XX.1XX.48.130, MASK : 255.255.255.255
  Access IP  : 1XX.1XX.49.44, MASK : 255.255.255.255
  Access IP  : 192.168.7.254, MASK : 255.255.255.255
-----------------------------------------------------------------------------
olt-1# show system ipconfig
Outband IP address    : 1XX.2XX.107.200
Outband IP netmask    : 255.255.255.240
Inband IP address     : 192.168.4.13
Inband IP netmask     : 255.255.252.0
Gateway               : 192.168.7.254
MGMT VLAN             : 3

1XX.1XX... - публичные IP.

[Artom_12]

незнаю, никогда не парился, что с мгмт порта может кто то зайти, если он уже перед железкой, его мало кто остановит :)

Изменено 30 октября, 2019 пользователем Artom_12

[AlKov]

1 час назад, Artom_12 сказал:

незнаю, никогда не парился, что с мгмт порта может кто то зайти, если он уже перед железкой, его мало кто остановит :)

 

Вообще-то, это не консольный (RS232) порт, а обычный ethernet, у которого есть IP. И в данном случае доступен он с "внешки" ВСЕМ.

Да и с Ge-портов, как оказалось, тоже всё нараспашку..

Хотел обновить прошивку, и тут тоже облом - саппорт НАГа прислал FD1104B_V2.4.04_171127_X000, у железки -  2.4.05_001(May 17 2018).

[AKim]

В 30.10.2019 в 09:07, AlKov сказал:

у железки -  2.4.05_001(May 17 2018).

вот эта прошивка самая беспроблемная, если от железки ничего кроме вланов не надо.

Выше мой пост и проблема с прошивкой 2.4.06 последней. С разработчиками сейчас общаюсь, проблему увидели. 

[seregatum]

Всем привет!Есть такой вопрос,есть ли какой-то конфиг чтоб при петле onu автоматически блочило,а не ложило всю голову?!)))

[Artom_12]

11 hours ago, seregatum said:

Всем привет!Есть такой вопрос,есть ли какой-то конфиг чтоб при петле onu автоматически блочило,а не ложило всю голову?!)))

меня тоже такое интересует

[wicked]

Всем привет! Ни у кого не было на FD1104B такой проблемы:

при использовании IPoE VLAN на OLT возникает ситуация, что абоненту на вход летит трафик соседних абонентов с этой OLT? Прошивка 2.4.05.

 

[nixx]

господа, а поделитесь, пожалуйста, сокровенным знанием (может оно на поверхности, но я не одолел ))

как в головах FD12xx включить логирование событий вида

19:10:03 PON 0/0/6 ONU 15 UNI 0/1 uni link up
19:10:08 PON 0/0/6 ONU 15 UNI 0/1 uni link down
19:10:13 PON 0/0/6 ONU 15 UNI 0/1 uni link up

в тот лог, который выводится в консоли самой головы по команде "show log"?

у меня там видится только лог вводимых на консоли команд, а упомянутое содержимое - льется на ремотный syslog, без каких-либо доп настроек.

[open_box]

Хто поможет реанимировать olt fd1104sn. Слетел mac.

 

epon# show system infor

-----------------------------------------------------------------------------

System Description :  GEPON OLT
Software Version   : 2.4.05_000(May 17 2018)
Hardware Version   :
MAC                : 00-00-00-00-00-00
Serial Number      :
System Time        : 2000/01/01 00:24:28 +08:00
Location           :

Contact            :

[roma33rus]

В 13.11.2019 в 10:34, wicked сказал:

Всем привет! Ни у кого не было на FD1104B такой проблемы:

при использовании IPoE VLAN на OLT возникает ситуация, что абоненту на вход летит трафик соседних абонентов с этой OLT? Прошивка 2.4.05.

 

Я сейчас борюсь с такой ситуацией, что у абонента с тарифом в 100 мегабит, на вход идет только ~85, на исход все норм. Возможно эти проблемы как-то связаны. OLT 8 портовая.

[AlKov]

В 29.11.2019 в 16:01, roma33rus сказал:

у абонента с тарифом в 100 мегабит, на вход идет только ~85, на исход все норм.

А у абонента на "входе" какая сетевая карта? Не 100 Мбит., случаем?

Если так, то вполне себе рабочая ситуация и OLT тут совсем не при делах.

[roma33rus]

49 минут назад, AlKov сказал:

А у абонента на "входе" какая сетевая карта? Не 100 Мбит., случаем?

Если так, то вполне себе рабочая ситуация и OLT тут совсем не при делах.

Да, там после onu стоит 100 мегабитный роутер tp-link. Я понял, что вы имеете ввиду. Сначала линк гигабитным, а потом до сотки сужается. Здесь и узкое место? Тогда почему с исходом все норм.

хотя при этом мы еще используем пон от eltex и huawei, и там таких проблем не наблюдается.

Изменено 2 декабря, 2019 пользователем roma33rus

[sol]

1 час назад, roma33rus сказал:

Тогда почему с исходом все норм.

Потому, что в этом случае линк РАСШИРЯЕТСЯ.

[roma33rus]

1 минуту назад, sol сказал:

Потому, что в этом случае линк РАСШИРЯЕТСЯ.

Да, точно, логика в этом есть. Тогда какой в нашем случае выход? гигабитные роутеры чтоли ставить людям?

[AlKov]

12 минут назад, roma33rus сказал:

Тогда какой в нашем случае выход? гигабитные роутеры чтоли ставить людям?

Ну для начала убедиться, что проблема именно в этом. Подключив временно у клиента хотя-бы ноут с гигабитной сетевой картой.

 

P.S. " хотя при этом мы еще используем пон от eltex и huawei, и там таких проблем не наблюдается."

Возможно у ONU eltex и huawei размер буфера больше, чем у CDATA.

[roma33rus]

50 минут назад, AlKov сказал:

Ну для начала убедиться, что проблема именно в этом. Подключив временно у клиента хотя-бы ноут с гигабитной сетевой картой.

 

да, сразу станет ясно.

 

51 минуту назад, AlKov сказал:

Возможно у ONU eltex и huawei размер буфера больше, чем у CDATA.

 

Буфер именно у ONU получается здесь важен?

[AlKov]

2 часа назад, roma33rus сказал:

Буфер именно у ONU получается здесь важен?

Ну, судя по вашей информации, насчёт того, что eltex и huawei этим не страдают и причина проблемы подтвердится именно стыком 1G-100М, то вполне может быть, что так..

Но всё это пока только мои предположения, т.к. в PON сам ещё хожу в детских штанишках. :-)

Все предположения сделаны на основании опыта работы с Ethernet.

Не факт, конечно, что этот буфер находится в ONU, вполне допускаю, что он может жить в OLT,

т.к. по сути, голова GePON - это тот же самый Ethernet коммутатор. Соответственно, и "болячки" живут там же.

И если у вас ONU включены в режиме BRIDGE, то буфер - скорее всего - просто обязан жить в OLT.

 

P.S. У себя в GePON я реализую только PPPoE, чтобы избежать всех возможных ограничений_железа/болячек/недоработок на L3 в PON.

В PON только "голый пистолет L2". :-)