GPON huawei a blokace DHCP

[peckma]

Ahoj, máte někdo zkušenosti s gponkou od hua a blokování dhcp, RA a podobných nechtěných věcí od klientů?

[helapc]

Podle mých znalostí klienti mezi sebou nemohou komunikovat už v základu.

[peckma]

Mezi sebou v základu komunikovat nemůžou. (Pokud se to nepovolí z nějakého důvodu...) To je pravda. Avšak DHCP server od klienta může prolézt skrze uplink oltčka do vlany. A skrze vlan se pak dostat
tam kam nemá. Neohrozí teda klienty na daném OLT. Může ohrozit ostatní zařízení ve vlan.

[peckma]

Nikdo žádný nápad?

[rsaf]

Třeba mít samostatnou VLAN pro GPON?

[miso7711]

čo tak prečítat si dokumnetaciu ?

[S_a_M]

Myslis ten manual co ma be mala 10248 stran kazdopadne samostana vlan az na crs vubec neni zlej napad. Zkusenost rika jak by sakra mohlo prolezt dhcpko do ponky to by ten technik musel bejt sakra blbej prihodit tam i ten interface co kdyz koukam na terminal ani nejde.

[rsaf]

Běžným domácím zákazníkům dáváme vždy ONT v režimu router a nemají přístup do nastavení WAN strany ONT - takto je zajištěno celkem solidní zabezpečení dané VLANy. Pokud někde potřebujeme nějakou specialitu (veřejka přímo na vlastní router...) dáváme to do jiné vlany přip. pr odanou situaci vytváříme ad-hoc vlanu.

[peckma]

Nejde mi o vlastní techniky. Spíš o situaci kdy budu mít vlan s veřejnýma IP a IPv6 a pak se najde firma která bude mít gpon sfp v mikrotiku a nějakej mamlas tam pustí RA a stáhne si provoz na sebe. Hledám věci co jsou na cisco/hua switchích běžné ale na té gponě to nějak nemůžu najít.

Myslis ten manual co ma be mala 10248 stran kazdopadne samostana vlan az na crs vubec neni zlej napad. Zkusenost rika jak by sakra mohlo prolezt dhcpko do ponky to by ten technik musel bejt sakra blbej prihodit tam i ten interface co kdyz koukam na terminal ani nejde.

[helapc]

Jak psal rsaf klientům dáváme ONT L3. Zařízení je naše a zákazník do něj nemá přístup. Na optický kabel si pak může připojit co chce, ale OLT snim nebude komunikovat, tudiž nic nezpůsobí.

[johnyboi]

Mezi sebou v základu komunikovat nemůžou. (Pokud se to nepovolí z nějakého důvodu...) To je pravda. Avšak DHCP server od klienta může prolézt skrze uplink oltčka do vlany. A skrze vlan se pak dostat
tam kam nemá. Neohrozí teda klienty na daném OLT. Může ohrozit ostatní zařízení ve vlan.

tzn. ze zapnuti dhcp snoopingu na switchportu, do ktereho je gpon pripojeny by mnelo problem vyresit nebo ne?

[hafieror]

Firemnímu zákazníkovi ale přece nevysvětlíte, že veřejná adresa, kterou si platí, bude na vašem prvku a on se k ni nedostane. My dáváme bránu lidem, kteří nechtějí nic řešit a bridge těm co chtějí mít své zařízení. Jedeme ale pppoe, tak problém s DHCP řešit nemusíme.

[helapc]

Firemní zákazníky připojujem na aktivku.

[rsaf]

Firemnímu zákazníkovi ale přece nevysvětlíte, že veřejná adresa, kterou si platí, bude na vašem prvku a on se k ni nedostane. My dáváme bránu lidem, kteří nechtějí nic řešit a bridge těm co chtějí mít své zařízení. Jedeme ale pppoe, tak problém s DHCP řešit nemusíme.

Ale však firemnímu zákazníkovi dám klidně bridge ONT a statickou adresou s maskou /30 a připojím ho buďto do oddělené VLANy nebo do VLANy kde mám takových firemních zákazníků pár. Bude ho to ale něco stát, bude mít aktivní dohled, SLA, techniky v pozoru... Když bude trvat na službě za 300, má peška.

[S_a_M]

Nejde mi o vlastní techniky. Spíš o situaci kdy budu mít vlan s veřejnýma IP a IPv6 a pak se najde firma která bude mít gpon sfp v mikrotiku a nějakej mamlas tam pustí RA a stáhne si provoz na sebe. Hledám věci co jsou na cisco/hua switchích běžné ale na té gponě to nějak nemůžu najít.

Myslis ten manual co ma be mala 10248 stran kazdopadne samostana vlan az na crs vubec neni zlej napad. Zkusenost rika jak by sakra mohlo prolezt dhcpko do ponky to by ten technik musel bejt sakra blbej prihodit tam i ten interface co kdyz koukam na terminal ani nejde.

Ses si 100% jistej ze ti v mk bude chodit sfp proti huawei ja si tim nejsem tak jisty. Doma to mam tak ze ont je jen prevodnikem kterym projde vlana ktera konci az na crs v servrovne takze na tom switchi je zariznuty dhcpko z vlany. A klidek pohoda nikdy jsem se nesetkal s tim ze by se dhcpko sirili ponem.