О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

LTE-8x DHCP snooping Op82 addr binding

ONT NTE / NTP, OLT LTE / LTP / MA4000-PX
iros
Сообщения: 12
Зарегистрирован: 22 ноя 2014 23:12
Reputation: 0

LTE-8x DHCP snooping Op82 addr binding

Сообщение iros » 23 ноя 2014 14:56

Добрый день.

Начали эксперименты по внедрению " DHCP snooping+Op82", на LTE-8x.
Адреса выдаются. Op82 срабатывает.
Теперь не хватает механизма привязки выданного по DHCP IP адреса абоненту к ONU. (ip source guard)
3 вопроса.
1. Предусмотрен ли функционал привязки IP адреса/мак адреса абонента к ONU ? (для избежания IP-spoofing)
2. Если привязка возможна - возможна ли она только статически или так же на основе DHCP-snooping ?
3. Возможно ли показать примеры настройки привязок ?

VeDi
Сообщения: 9
Зарегистрирован: 30 июл 2014 18:42
Reputation: 0

Re: LTE-8x DHCP snooping Op82 addr binding

Сообщение VeDi » 24 ноя 2014 12:27

+1

Dirks G
Сообщения: 524
Зарегистрирован: 28 июл 2014 10:47
Reputation: 0
Откуда: Элтекс

Re: LTE-8x DHCP snooping Op82 addr binding

Сообщение Dirks G » 24 ноя 2014 14:30

Добрый день.
На LTE-8x нет функции привязки мака к IP, это выполняется на вышестоящем оборудовании согласно вашей биллинг системы.
Геннадий Диркс / Элтекс / Сервисный центр ШПД

iros
Сообщения: 12
Зарегистрирован: 22 ноя 2014 23:12
Reputation: 0

Re: LTE-8x DHCP snooping Op82 addr binding

Сообщение iros » 25 ноя 2014 02:07

А я не спрашивал о привязке МАС адреса к IP адресу.
Я спрашивал как избежать IP спуфинга ? Т.е. как привязать IP адрес к ONU ?
И можно ли делать это автоматически (по данным DHCP-snooping`а) ? Обычно это стандарт для коммутаторов...

denaie
Сообщения: 11
Зарегистрирован: 30 июл 2014 08:03
Reputation: 0

Re: LTE-8x DHCP snooping Op82 addr binding

Сообщение denaie » 25 ноя 2014 07:31

сделайте как мы, авторизуем по id онтшки.
Вариант что кто то ее украдет и притащит установит к себе мне кажется маловероятным. Тем паче что все равно нужно платить за то что бы был интернет.

iros
Сообщения: 12
Зарегистрирован: 22 ноя 2014 23:12
Reputation: 0

Re: LTE-8x DHCP snooping Op82 addr binding

Сообщение iros » 25 ноя 2014 12:48

Я не против по ID.
Опишите пожалуйста подробнее схему.
И что делать, что б на соседней ONT не могли использовать IP адрес другого абонента ? (IP-spoofing)

Александр Д
Сообщения: 1109
Зарегистрирован: 14 июн 2011 10:11
Reputation: 2
Откуда: Элтекс
Контактная информация:

Re: LTE-8x DHCP snooping Op82 addr binding

Сообщение Александр Д » 25 ноя 2014 15:59

ID указывается при прописывании ONT на OLT, соответственно абонент не сможет его изменить, далее OLT вставляет в пакеты DHCP от конкретной ONT принадлежащий ей id и уже на DHCP сервере в зависимости от id выдается адрес.

Т.е на определенной ONT будет всегда жестко заданный Вами id.
Александр Диркс / Элтекс / Сервисный центр ШПД /

Lucky SB
Сообщения: 59
Зарегистрирован: 15 апр 2012 01:44
Reputation: 0

Re: LTE-8x DHCP snooping Op82 addr binding

Сообщение Lucky SB » 27 ноя 2014 02:58

Поставим вопрос проще.

юзер неплательщик пришел к соседу, подсмотрел у него ip адрес, который выдается соседу
и поставил его себе руками. не через DHCP.

интернетик заработал у неплательщика. Пусть хреновенько, но работает.

Как этого избежать ?

Александр Д
Сообщения: 1109
Зарегистрирован: 14 июн 2011 10:11
Reputation: 2
Откуда: Элтекс
Контактная информация:

Re: LTE-8x DHCP snooping Op82 addr binding

Сообщение Александр Д » 27 ноя 2014 17:29

LTE это L2+ устройство, поэтому организовать защиту от всего на ней не получится.
Для такого случая можно попробовать назначить на конкретную ONT правило, что если IP не равен конкретному, то отбрасывать трафик.
Александр Диркс / Элтекс / Сервисный центр ШПД /

Евгений Т
Сообщения: 1613
Зарегистрирован: 18 мар 2013 09:48
Reputation: 7
Откуда: Элтекс

Re: LTE-8x DHCP snooping Op82 addr binding

Сообщение Евгений Т » 27 ноя 2014 17:59

Добрый день.
Возможны следующие варианты решения проблемы:
1. Включение через Web-интерфейс в меню Layer 3 флага arp snooping (привязка будет осуществляться по таблице dhcp snooping)
2. Привязка руками через telnet/ssh(привязка осуществляется по номеру uni порта)
lte-101(ONT-x/1602/02:00:22:03:A2:D0)# add static client entry UNI0 192.168.100.100 e0:3f:49:54:78:2c
3. Сделать получение адреса по ID ONT (предварительно рекомендую обновиться на версию 3.14.2.ххх, т.к. начиная с данной версии ID ONT сдвинуты на +900 в связи с реализацией функционала 128 ONT на дерево)
4. Сделать получение адреса по PON Serial ONT(доступно начиная с версии 3.14.2.941)
Евгений Тур / Элтекс / Сервисный центр ШПД / https://eltex-co.ru/support/

iros
Сообщения: 12
Зарегистрирован: 22 ноя 2014 23:12
Reputation: 0

Re: LTE-8x DHCP snooping Op82 addr binding

Сообщение iros » 01 дек 2014 13:49

>LTE это L2+ устройство, поэтому организовать защиту от всего на ней не получится.
Любой L2 коммутатор с DHCP-Snooping это умеет.

>Для такого случая можно попробовать назначить на конкретную ONT правило, что если IP не равен конкретному, то отбрасывать трафик.

Т.е. статичная привязка. ?
Иными словами сам LTE этого не умеет (на основе DHCP-Snooping-a) ?

>1. Включение через Web-интерфейс в меню Layer 3 флага arp snooping (привязка будет осуществляться по таблице dhcp snooping)
В этом случае, если записи в таблице "dhcp snooping" нет - трафик будет ограничен ? Т.е. если абонент не запрашивал DHCP

Dirks G
Сообщения: 524
Зарегистрирован: 28 июл 2014 10:47
Reputation: 0
Откуда: Элтекс

Re: LTE-8x DHCP snooping Op82 addr binding

Сообщение Dirks G » 02 дек 2014 11:41

iros писал(а):>LTE это L2+ устройство, поэтому организовать защиту от всего на ней не получится.
Любой L2 коммутатор с DHCP-Snooping это умеет.

>Для такого случая можно попробовать назначить на конкретную ONT правило, что если IP не равен конкретному, то отбрасывать трафик.

Т.е. статичная привязка. ?
Иными словами сам LTE этого не умеет (на основе DHCP-Snooping-a) ?


Ответ на этот вопрос дан в предыдущем комментарии под пунктом 1. Защиту можно осуществить динамически на основе DHCP snooping'a.

iros писал(а): 1. Включение через Web-интерфейс в меню Layer 3 флага arp snooping (привязка будет осуществляться по таблице dhcp snooping)
В этом случае, если записи в таблице "dhcp snooping" нет - трафик будет ограничен ? Т.е. если абонент не запрашивал DHCP


Если записи в таблице нет, то трафик ходить не будет. Т.е. при включенном DHCP snooping'e выставить статикой чужой адрес и работать не получится.
Геннадий Диркс / Элтекс / Сервисный центр ШПД

iros
Сообщения: 12
Зарегистрирован: 22 ноя 2014 23:12
Reputation: 0

Re: LTE-8x DHCP snooping Op82 addr binding

Сообщение iros » 03 дек 2014 16:18

Благодарю за разъяснения.

Т.е. если на чипе задействован "ARP snooping" - нужен успешный DHCP запрос.Тогда трафик пропускается. Это понятно.
Что посоветуете если отдельные абоненты не могут выполнять DHCP запросы ? Редко но такое бывает. Т.е. когда на том же чипе где "ARP snooping" есть абонент у которого IP адрес прописан явно, вручную ?

Dirks G
Сообщения: 524
Зарегистрирован: 28 июл 2014 10:47
Reputation: 0
Откуда: Элтекс

Re: LTE-8x DHCP snooping Op82 addr binding

Сообщение Dirks G » 04 дек 2014 08:53

iros писал(а):Благодарю за разъяснения.

Т.е. если на чипе задействован "ARP snooping" - нужен успешный DHCP запрос.Тогда трафик пропускается. Это понятно.
Что посоветуете если отдельные абоненты не могут выполнять DHCP запросы ? Редко но такое бывает. Т.е. когда на том же чипе где "ARP snooping" есть абонент у которого IP адрес прописан явно, вручную ?

Данную схему реализовать не получится. При включенном snoopinge статика работать не будет, необходим успешный DHCP запрос.
Геннадий Диркс / Элтекс / Сервисный центр ШПД

Stitch
Сообщения: 11
Зарегистрирован: 30 дек 2018 16:16
Reputation: 0

Re: LTE-8x DHCP snooping Op82 addr binding

Сообщение Stitch » 30 дек 2018 16:19

Привязка руками через телнет/ssh не работает. Прошивка версии 3.16.1. Осуществляю привязку по IP/MAC, меняю на компе IP и интернет как работал, так и работает. Хотя такого не должно быть. Есть варианты почему?


Вернуться в «Оборудование PON»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 17 гостей