Общая информация

Функционал IP Source-Guard позволяет ограничить несанкционированное использование IP-адресов в сети путем привязки IP- и МАС-адресов клиента к конкретному сервису на конкретной ONT. Существует два режима работы:

Статический — для возможности прохождения какого-либо трафика от клиента необходимо задать соответствие IP- и MAC-адресов клиентского оборудования вручную в конфигурации.
Динамический — подразумевает получение адреса клиентским оборудованием по протоколу DHCP. На основании обмена клиентского оборудования с DHCP-сервером на OLT формируется таблица DHCP snooping, содержащая в себе соответствие МАС-IP-GEM-порт, а также информацию о времени аренды. Пропускаются только те пакеты от клиента, в которых поля «МАС источника» и «IP источника» совпадают с записями в таблице DHCP snooping. Для обеспечения работы клиентского оборудования, IP-адрес на котором был задан статически, в динамическом режиме возможно создание статических записей.

GEM-port — это виртуальный канал между OLT и ONT. По умолчанию для каждого сервиса на каждой ONT выделяется уникальный GEM-порт.

Для обеспечения работы IP Source Guard должен быть включен DHCP snooping.

Схема подключения

Базовая конфигурация

Минимальная базовая конфигурация для настройки данного функционала должна включать настройки параметров управления, настройки DHCP snooping, а также настройки, необходимые для регистрации ONT.

LTP-N

configure terminal
    management ip 10.10.0.4
    management mask 255.255.0.0
    management gateway 10.10.0.1
    management vid 100
    profile cross-connect Internet
        outer vid 999
    exit
    ip dhcp
        snooping enable vlan 1-4094
    exit
    interface ont 1/1
        serial ELTX12345678
        service 1 profile cross-connect "Internet" dba "dba1"
    exit
    interface front-port 1
        vlan allow 100,999
    exit
commit
exit

Пояснение

Переход в режим конфигурирования OLT
Указание адреса управления
Указание маски подсети управления
Указание шлюза по умолчанию
Указание VLAN-управления
Переход в режим конфигурирования сервисного профиля cross-connect "Internet"
Указание сервисного vlan 999
Выход из режима конфигурирования сервисного профиля cross-connect "Internet"
Переход в режим настройки DHCP Snooping
Включение DHCP Snooping во всех VLAN (может быть включен только в необходимых VLAN)
Выход из режима настройки DHCP Snooping
Переход в режим конфигурирования интерфейса ont 1/1 (pon-port 1 / ont id 1)
Указание PON serial ONT
Назначение сервисного профиля cross-connect "Internet" на ONT
Выход из режима конфигурирования интерфейса ont 1/1
Переход в режим конфигурирования uplink-интерфейса front-port 1
Указание VLAN 100 (management), 999 (Internet) в режиме tagged на uplink-интерфейсе
Выход из режима конфигурирования front-port 1
Применение конфигурации
Выход из CLI

Если приведенная конфигурация загружается на OLT из файла по протоколам FTP/TFTP/HTTP, выполнение сохранения конфигурации в энергонезависимую память произойдет автоматически.

Если конфигурация применяется путем вставки приведенных команд в CLI, необходимо дополнительно выполнить команду save.

При изменении сетевых настроек устройства убедитесь в корректности применяемой конфигурации во избежание потери удаленного доступа до устройства.

Настройка IP Source Guard