Общая информация
Функционал IP Source-Guard позволяет ограничить несанкционированное использование IP-адресов в сети путем привязки IP- и МАС-адресов клиента к конкретному сервису на конкретной ONT. Существует два режима работы:
- Статический — для возможности прохождения какого-либо трафика от клиента необходимо задать соответствие IP- и MAC-адресов клиентского оборудования вручную в конфигурации.
- Динамический — подразумевает получение адреса клиентским оборудованием по протоколу DHCP. На основании обмена клиентского оборудования с DHCP-сервером на OLT формируется таблица DHCP snooping, содержащая в себе соответствие МАС-IP-GEM-порт, а также информацию о времени аренды. Пропускаются только те пакеты от клиента, в которых поля «МАС источника» и «IP источника» совпадают с записями в таблице DHCP snooping. Для обеспечения работы клиентского оборудования, IP-адрес на котором был задан статически, в динамическом режиме возможно создание статических записей.
| GEM-port — это виртуальный канал между OLT и ONT. По умолчанию для каждого сервиса на каждой ONT выделяется уникальный GEM-порт. |
Для обеспечения работы IP Source Guard должен быть включен DHCP snooping. |
Схема подключения
Базовая конфигурация
Минимальная базовая конфигурация для настройки данного функционала должна включать настройки параметров управления, настройки DHCP snooping, а также настройки, необходимые для регистрации ONT.
configure terminal
management ip 10.10.0.4
management mask 255.255.0.0
management gateway 10.10.0.1
management vid 100
profile cross-connect Internet
outer vid 999
exit
ip dhcp
snooping enable vlan 1-4094
exit
interface ont 1/1
serial ELTX12345678
service 1 profile cross-connect "Internet" dba "dba1"
exit
interface front-port 1
vlan allow 100,999
exit
commit
exit |
Переход в режим конфигурирования OLT Указание адреса управления Указание маски подсети управления Указание шлюза по умолчанию Указание VLAN-управления Переход в режим конфигурирования сервисного профиля cross-connect "Internet" Указание сервисного vlan 999 Выход из режима конфигурирования сервисного профиля cross-connect "Internet" Переход в режим настройки DHCP Snooping Включение DHCP Snooping во всех VLAN (может быть включен только в необходимых VLAN) Выход из режима настройки DHCP Snooping Переход в режим конфигурирования интерфейса ont 1/1 (pon-port 1 / ont id 1) Указание PON serial ONT Назначение сервисного профиля cross-connect "Internet" на ONT Выход из режима конфигурирования интерфейса ont 1/1 Переход в режим конфигурирования uplink-интерфейса front-port 1 Указание VLAN 100 (management), 999 (Internet) в режиме tagged на uplink-интерфейсе Выход из режима конфигурирования front-port 1 Применение конфигурации Выход из CLI |
Если приведенная конфигурация загружается на OLT из файла по протоколам FTP/TFTP/HTTP, выполнение сохранения конфигурации в энергонезависимую память произойдет автоматически. Если конфигурация применяется путем вставки приведенных команд в CLI, необходимо дополнительно выполнить команду |
При изменении сетевых настроек устройства убедитесь в корректности применяемой конфигурации во избежание потери удаленного доступа до устройства. |
Настройка IP Source Guard
LTP-16N# configure terminal LTP-16N(configure)# ip source-guard enable LTP-16N(configure)# ip source-guard enable vlan 999 LTP-16N(configure)# ip source-guard one-dynamic-binding-for-mac enable LTP-16N(configure)# ip source-guard bind ip 172.16.10.100 mac AB:AB:AB:AB:AB:AB interface-ont 1/1 service 1 LTP-16N(configure)# ip source-guard mode static LTP-16N(configure)# exit LTP-16N# commit LTP-16N# save |
Переход в режим конфигурирования OLT Включение IPSG для всех VLAN Опционально: вместо глобального включения IPSG можно включить его в отдельном VLAN Опционально: разрешить получение разных IP для одного MAC Опционально: формирование статической записи IP+MAC+ONT+Номер сервиса Опционально: Разрешить работу только со статическими записями, игнорировать динамические из таблицы Snooping Выход из режима конфигурирования OLT Применение выполненных изменений Сохранение изменений в энергонезависимую память |