Страница 1 из 2
LTE-8x DHCP snooping Op82 addr binding
Добавлено: 23 ноя 2014 14:56
iros
Добрый день.
Начали эксперименты по внедрению " DHCP snooping+Op82", на LTE-8x.
Адреса выдаются. Op82 срабатывает.
Теперь не хватает механизма привязки выданного по DHCP IP адреса абоненту к ONU. (ip source guard)
3 вопроса.
1. Предусмотрен ли функционал привязки IP адреса/мак адреса абонента к ONU ? (для избежания IP-spoofing)
2. Если привязка возможна - возможна ли она только статически или так же на основе DHCP-snooping ?
3. Возможно ли показать примеры настройки привязок ?
Re: LTE-8x DHCP snooping Op82 addr binding
Добавлено: 24 ноя 2014 12:27
VeDi
+1
Re: LTE-8x DHCP snooping Op82 addr binding
Добавлено: 24 ноя 2014 14:30
Dirks G
Добрый день.
На LTE-8x нет функции привязки мака к IP, это выполняется на вышестоящем оборудовании согласно вашей биллинг системы.
Re: LTE-8x DHCP snooping Op82 addr binding
Добавлено: 25 ноя 2014 02:07
iros
А я не спрашивал о привязке МАС адреса к IP адресу.
Я спрашивал как избежать IP спуфинга ? Т.е. как привязать IP адрес к ONU ?
И можно ли делать это автоматически (по данным DHCP-snooping`а) ? Обычно это стандарт для коммутаторов...
Re: LTE-8x DHCP snooping Op82 addr binding
Добавлено: 25 ноя 2014 07:31
denaie
сделайте как мы, авторизуем по id онтшки.
Вариант что кто то ее украдет и притащит установит к себе мне кажется маловероятным. Тем паче что все равно нужно платить за то что бы был интернет.
Re: LTE-8x DHCP snooping Op82 addr binding
Добавлено: 25 ноя 2014 12:48
iros
Я не против по ID.
Опишите пожалуйста подробнее схему.
И что делать, что б на соседней ONT не могли использовать IP адрес другого абонента ? (IP-spoofing)
Re: LTE-8x DHCP snooping Op82 addr binding
Добавлено: 25 ноя 2014 15:59
Александр Д
ID указывается при прописывании ONT на OLT, соответственно абонент не сможет его изменить, далее OLT вставляет в пакеты DHCP от конкретной ONT принадлежащий ей id и уже на DHCP сервере в зависимости от id выдается адрес.
Т.е на определенной ONT будет всегда жестко заданный Вами id.
Re: LTE-8x DHCP snooping Op82 addr binding
Добавлено: 27 ноя 2014 02:58
Lucky SB
Поставим вопрос проще.
юзер неплательщик пришел к соседу, подсмотрел у него ip адрес, который выдается соседу
и поставил его себе руками. не через DHCP.
интернетик заработал у неплательщика. Пусть хреновенько, но работает.
Как этого избежать ?
Re: LTE-8x DHCP snooping Op82 addr binding
Добавлено: 27 ноя 2014 17:29
Александр Д
LTE это L2+ устройство, поэтому организовать защиту от всего на ней не получится.
Для такого случая можно попробовать назначить на конкретную ONT правило, что если IP не равен конкретному, то отбрасывать трафик.
Re: LTE-8x DHCP snooping Op82 addr binding
Добавлено: 27 ноя 2014 17:59
Евгений Т
Добрый день.
Возможны следующие варианты решения проблемы:
1. Включение через Web-интерфейс в меню Layer 3 флага arp snooping (привязка будет осуществляться по таблице dhcp snooping)
2. Привязка руками через telnet/ssh(привязка осуществляется по номеру uni порта)
lte-101(ONT-x/1602/02:00:22:03:A2:D0)# add static client entry UNI0 192.168.100.100 e0:3f:49:54:78:2c
3. Сделать получение адреса по ID ONT (предварительно рекомендую обновиться на версию 3.14.2.ххх, т.к. начиная с данной версии ID ONT сдвинуты на +900 в связи с реализацией функционала 128 ONT на дерево)
4. Сделать получение адреса по PON Serial ONT(доступно начиная с версии 3.14.2.941)
Re: LTE-8x DHCP snooping Op82 addr binding
Добавлено: 01 дек 2014 13:49
iros
>LTE это L2+ устройство, поэтому организовать защиту от всего на ней не получится.
Любой L2 коммутатор с DHCP-Snooping это умеет.
>Для такого случая можно попробовать назначить на конкретную ONT правило, что если IP не равен конкретному, то отбрасывать трафик.
Т.е. статичная привязка. ?
Иными словами сам LTE этого не умеет (на основе DHCP-Snooping-a) ?
>1. Включение через Web-интерфейс в меню Layer 3 флага arp snooping (привязка будет осуществляться по таблице dhcp snooping)
В этом случае, если записи в таблице "dhcp snooping" нет - трафик будет ограничен ? Т.е. если абонент не запрашивал DHCP
Re: LTE-8x DHCP snooping Op82 addr binding
Добавлено: 02 дек 2014 11:41
Dirks G
iros писал(а):>LTE это L2+ устройство, поэтому организовать защиту от всего на ней не получится.
Любой L2 коммутатор с DHCP-Snooping это умеет.
>Для такого случая можно попробовать назначить на конкретную ONT правило, что если IP не равен конкретному, то отбрасывать трафик.
Т.е. статичная привязка. ?
Иными словами сам LTE этого не умеет (на основе DHCP-Snooping-a) ?
Ответ на этот вопрос дан в предыдущем комментарии под пунктом 1. Защиту можно осуществить динамически на основе DHCP snooping'a.
iros писал(а): 1. Включение через Web-интерфейс в меню Layer 3 флага arp snooping (привязка будет осуществляться по таблице dhcp snooping)
В этом случае, если записи в таблице "dhcp snooping" нет - трафик будет ограничен ? Т.е. если абонент не запрашивал DHCP
Если записи в таблице нет, то трафик ходить не будет. Т.е. при включенном DHCP snooping'e выставить статикой чужой адрес и работать не получится.
Re: LTE-8x DHCP snooping Op82 addr binding
Добавлено: 03 дек 2014 16:18
iros
Благодарю за разъяснения.
Т.е. если на чипе задействован "ARP snooping" - нужен успешный DHCP запрос.Тогда трафик пропускается. Это понятно.
Что посоветуете если отдельные абоненты не могут выполнять DHCP запросы ? Редко но такое бывает. Т.е. когда на том же чипе где "ARP snooping" есть абонент у которого IP адрес прописан явно, вручную ?
Re: LTE-8x DHCP snooping Op82 addr binding
Добавлено: 04 дек 2014 08:53
Dirks G
iros писал(а):Благодарю за разъяснения.
Т.е. если на чипе задействован "ARP snooping" - нужен успешный DHCP запрос.Тогда трафик пропускается. Это понятно.
Что посоветуете если отдельные абоненты не могут выполнять DHCP запросы ? Редко но такое бывает. Т.е. когда на том же чипе где "ARP snooping" есть абонент у которого IP адрес прописан явно, вручную ?
Данную схему реализовать не получится. При включенном snoopinge статика работать не будет, необходим успешный DHCP запрос.
Re: LTE-8x DHCP snooping Op82 addr binding
Добавлено: 30 дек 2018 16:19
Stitch
Привязка руками через телнет/ssh не работает. Прошивка версии 3.16.1. Осуществляю привязку по IP/MAC, меняю на компе IP и интернет как работал, так и работает. Хотя такого не должно быть. Есть варианты почему?