LTE-8x DHCP snooping Op82 addr binding

[iros]

Добрый день.

Начали эксперименты по внедрению " DHCP snooping+Op82", на LTE-8x.
Адреса выдаются. Op82 срабатывает.
Теперь не хватает механизма привязки выданного по DHCP IP адреса абоненту к ONU. (ip source guard)
3 вопроса.
1. Предусмотрен ли функционал привязки IP адреса/мак адреса абонента к ONU ? (для избежания IP-spoofing)
2. Если привязка возможна - возможна ли она только статически или так же на основе DHCP-snooping ?
3. Возможно ли показать примеры настройки привязок ?

[VeDi]

+1

[Dirks G]

Добрый день.
На LTE-8x нет функции привязки мака к IP, это выполняется на вышестоящем оборудовании согласно вашей биллинг системы.

[iros]

А я не спрашивал о привязке МАС адреса к IP адресу.
Я спрашивал как избежать IP спуфинга ? Т.е. как привязать IP адрес к ONU ?
И можно ли делать это автоматически (по данным DHCP-snooping`а) ? Обычно это стандарт для коммутаторов...

[denaie]

сделайте как мы, авторизуем по id онтшки.
Вариант что кто то ее украдет и притащит установит к себе мне кажется маловероятным. Тем паче что все равно нужно платить за то что бы был интернет.

[iros]

Я не против по ID.
Опишите пожалуйста подробнее схему.
И что делать, что б на соседней ONT не могли использовать IP адрес другого абонента ? (IP-spoofing)

[Александр Д]

ID указывается при прописывании ONT на OLT, соответственно абонент не сможет его изменить, далее OLT вставляет в пакеты DHCP от конкретной ONT принадлежащий ей id и уже на DHCP сервере в зависимости от id выдается адрес.

Т.е на определенной ONT будет всегда жестко заданный Вами id.

[Lucky SB]

Поставим вопрос проще.

юзер неплательщик пришел к соседу, подсмотрел у него ip адрес, который выдается соседу
и поставил его себе руками. не через DHCP.

интернетик заработал у неплательщика. Пусть хреновенько, но работает.

Как этого избежать ?

[Александр Д]

LTE это L2+ устройство, поэтому организовать защиту от всего на ней не получится.
Для такого случая можно попробовать назначить на конкретную ONT правило, что если IP не равен конкретному, то отбрасывать трафик.

[Евгений Т]

Добрый день.
Возможны следующие варианты решения проблемы:
1. Включение через Web-интерфейс в меню Layer 3 флага arp snooping (привязка будет осуществляться по таблице dhcp snooping)
2. Привязка руками через telnet/ssh(привязка осуществляется по номеру uni порта)
lte-101(ONT-x/1602/02:00:22:03:A2:D0)# add static client entry UNI0 192.168.100.100 e0:3f:49:54:78:2c
3. Сделать получение адреса по ID ONT (предварительно рекомендую обновиться на версию 3.14.2.ххх, т.к. начиная с данной версии ID ONT сдвинуты на +900 в связи с реализацией функционала 128 ONT на дерево)
4. Сделать получение адреса по PON Serial ONT(доступно начиная с версии 3.14.2.941)

[iros]

>LTE это L2+ устройство, поэтому организовать защиту от всего на ней не получится.
Любой L2 коммутатор с DHCP-Snooping это умеет.

>Для такого случая можно попробовать назначить на конкретную ONT правило, что если IP не равен конкретному, то отбрасывать трафик.

Т.е. статичная привязка. ?
Иными словами сам LTE этого не умеет (на основе DHCP-Snooping-a) ?

>1. Включение через Web-интерфейс в меню Layer 3 флага arp snooping (привязка будет осуществляться по таблице dhcp snooping)
В этом случае, если записи в таблице "dhcp snooping" нет - трафик будет ограничен ? Т.е. если абонент не запрашивал DHCP

[Dirks G]

>LTE это L2+ устройство, поэтому организовать защиту от всего на ней не получится.
Любой L2 коммутатор с DHCP-Snooping это умеет.

>Для такого случая можно попробовать назначить на конкретную ONT правило, что если IP не равен конкретному, то отбрасывать трафик.

Т.е. статичная привязка. ?
Иными словами сам LTE этого не умеет (на основе DHCP-Snooping-a) ?

Ответ на этот вопрос дан в предыдущем комментарии под пунктом 1. Защиту можно осуществить динамически на основе DHCP snooping'a.

1. Включение через Web-интерфейс в меню Layer 3 флага arp snooping (привязка будет осуществляться по таблице dhcp snooping)
В этом случае, если записи в таблице "dhcp snooping" нет - трафик будет ограничен ? Т.е. если абонент не запрашивал DHCP

Если записи в таблице нет, то трафик ходить не будет. Т.е. при включенном DHCP snooping'e выставить статикой чужой адрес и работать не получится.

[iros]

Благодарю за разъяснения.

Т.е. если на чипе задействован "ARP snooping" - нужен успешный DHCP запрос.Тогда трафик пропускается. Это понятно.
Что посоветуете если отдельные абоненты не могут выполнять DHCP запросы ? Редко но такое бывает. Т.е. когда на том же чипе где "ARP snooping" есть абонент у которого IP адрес прописан явно, вручную ?

[Dirks G]

Благодарю за разъяснения.

Т.е. если на чипе задействован "ARP snooping" - нужен успешный DHCP запрос.Тогда трафик пропускается. Это понятно.
Что посоветуете если отдельные абоненты не могут выполнять DHCP запросы ? Редко но такое бывает. Т.е. когда на том же чипе где "ARP snooping" есть абонент у которого IP адрес прописан явно, вручную ?

Данную схему реализовать не получится. При включенном snoopinge статика работать не будет, необходим успешный DHCP запрос.

[Stitch]

Привязка руками через телнет/ssh не работает. Прошивка версии 3.16.1. Осуществляю привязку по IP/MAC, меняю на компе IP и интернет как работал, так и работает. Хотя такого не должно быть. Есть варианты почему?