Элтекс

Добрый день.

Начали эксперименты по внедрению " DHCP snooping+Op82", на LTE-8x.
Адреса выдаются. Op82 срабатывает.
Теперь не хватает механизма привязки выданного по DHCP IP адреса абоненту к ONU. (ip source guard)
3 вопроса.
1. Предусмотрен ли функционал привязки IP адреса/мак адреса абонента к ONU ? (для избежания IP-spoofing)
2. Если привязка возможна - возможна ли она только статически или так же на основе DHCP-snooping ?
3. Возможно ли показать примеры настройки привязок ?

+1

Добрый день.
На LTE-8x нет функции привязки мака к IP, это выполняется на вышестоящем оборудовании согласно вашей биллинг системы.

А я не спрашивал о привязке МАС адреса к IP адресу.
Я спрашивал как избежать IP спуфинга ? Т.е. как привязать IP адрес к ONU ?
И можно ли делать это автоматически (по данным DHCP-snooping`а) ? Обычно это стандарт для коммутаторов...

сделайте как мы, авторизуем по id онтшки.
Вариант что кто то ее украдет и притащит установит к себе мне кажется маловероятным. Тем паче что все равно нужно платить за то что бы был интернет.

Я не против по ID.
Опишите пожалуйста подробнее схему.
И что делать, что б на соседней ONT не могли использовать IP адрес другого абонента ? (IP-spoofing)

ID указывается при прописывании ONT на OLT, соответственно абонент не сможет его изменить, далее OLT вставляет в пакеты DHCP от конкретной ONT принадлежащий ей id и уже на DHCP сервере в зависимости от id выдается адрес.

Т.е на определенной ONT будет всегда жестко заданный Вами id.

Поставим вопрос проще.

юзер неплательщик пришел к соседу, подсмотрел у него ip адрес, который выдается соседу
и поставил его себе руками. не через DHCP.

интернетик заработал у неплательщика. Пусть хреновенько, но работает.

Как этого избежать ?

LTE это L2+ устройство, поэтому организовать защиту от всего на ней не получится.
Для такого случая можно попробовать назначить на конкретную ONT правило, что если IP не равен конкретному, то отбрасывать трафик.

Добрый день.
Возможны следующие варианты решения проблемы:
1. Включение через Web-интерфейс в меню Layer 3 флага arp snooping (привязка будет осуществляться по таблице dhcp snooping)
2. Привязка руками через telnet/ssh(привязка осуществляется по номеру uni порта)
lte-101(ONT-x/1602/02:00:22:03:A2:D0)# add static client entry UNI0 192.168.100.100 e0:3f:49:54:78:2c
3. Сделать получение адреса по ID ONT (предварительно рекомендую обновиться на версию 3.14.2.ххх, т.к. начиная с данной версии ID ONT сдвинуты на +900 в связи с реализацией функционала 128 ONT на дерево)
4. Сделать получение адреса по PON Serial ONT(доступно начиная с версии 3.14.2.941)

>LTE это L2+ устройство, поэтому организовать защиту от всего на ней не получится.
Любой L2 коммутатор с DHCP-Snooping это умеет.

>Для такого случая можно попробовать назначить на конкретную ONT правило, что если IP не равен конкретному, то отбрасывать трафик.

Т.е. статичная привязка. ?
Иными словами сам LTE этого не умеет (на основе DHCP-Snooping-a) ?

>1. Включение через Web-интерфейс в меню Layer 3 флага arp snooping (привязка будет осуществляться по таблице dhcp snooping)
В этом случае, если записи в таблице "dhcp snooping" нет - трафик будет ограничен ? Т.е. если абонент не запрашивал DHCP

iros писал(а):>LTE это L2+ устройство, поэтому организовать защиту от всего на ней не получится.
Любой L2 коммутатор с DHCP-Snooping это умеет.

>Для такого случая можно попробовать назначить на конкретную ONT правило, что если IP не равен конкретному, то отбрасывать трафик.

Т.е. статичная привязка. ?
Иными словами сам LTE этого не умеет (на основе DHCP-Snooping-a) ?

Ответ на этот вопрос дан в предыдущем комментарии под пунктом 1. Защиту можно осуществить динамически на основе DHCP snooping'a.

iros писал(а): 1. Включение через Web-интерфейс в меню Layer 3 флага arp snooping (привязка будет осуществляться по таблице dhcp snooping)
В этом случае, если записи в таблице "dhcp snooping" нет - трафик будет ограничен ? Т.е. если абонент не запрашивал DHCP

Если записи в таблице нет, то трафик ходить не будет. Т.е. при включенном DHCP snooping'e выставить статикой чужой адрес и работать не получится.

Благодарю за разъяснения.

Т.е. если на чипе задействован "ARP snooping" - нужен успешный DHCP запрос.Тогда трафик пропускается. Это понятно.
Что посоветуете если отдельные абоненты не могут выполнять DHCP запросы ? Редко но такое бывает. Т.е. когда на том же чипе где "ARP snooping" есть абонент у которого IP адрес прописан явно, вручную ?

iros писал(а):Благодарю за разъяснения.

Т.е. если на чипе задействован "ARP snooping" - нужен успешный DHCP запрос.Тогда трафик пропускается. Это понятно.
Что посоветуете если отдельные абоненты не могут выполнять DHCP запросы ? Редко но такое бывает. Т.е. когда на том же чипе где "ARP snooping" есть абонент у которого IP адрес прописан явно, вручную ?

Данную схему реализовать не получится. При включенном snoopinge статика работать не будет, необходим успешный DHCP запрос.

Привязка руками через телнет/ssh не работает. Прошивка версии 3.16.1. Осуществляю привязку по IP/MAC, меняю на компе IP и интернет как работал, так и работает. Хотя такого не должно быть. Есть варианты почему?