Добрый день,
у меня такая проблема, ADSL абоненты DSLAM МА5300
находятся в одном Vlan и выходят через Cisco 6506
на сервер авторизации BRAS. Хочу повесить на MA5300
ACL чтобы абоненты могли выходить только на мак адреса
этих устройств и внутри DSLAM друг друга не видели.ACL на доступ к DSLAMу сделал, а как посесить абонентам
не разберусь если кто делал, напишите. заранее Спасибо.
>Добрый день,
>у меня такая проблема, ADSL абоненты DSLAM МА5300
>находятся в одном Vlan и выходят через Cisco 6506
>на сервер авторизации BRAS. Хочу повесить на MA5300
>ACL чтобы абоненты могли выходить только на мак адреса
>этих устройств и внутри DSLAM друг друга не видели.
>
>ACL на доступ к DSLAMу сделал, а как посесить абонентам
>не разберусь если кто делал, напишите. заранее Спасибо.
>С ACL на МАК адреса я бы не стал связываться.
На MA5300 стоит прописать MAC static БРАСа.
Юзеры друг-друга не видят в пределах одного Huawei MA5300,
что-то у вас не то, либо в конфиге самого дслама, либо в этот vlan
ещё что-то в другом месте незаизолированно втыкнуто.
>С ACL на МАК адреса я бы не стал связываться.
>
>На MA5300 стоит прописать MAC static БРАСа.
>
>Юзеры друг-друга не видят в пределах одного Huawei MA5300,
>что-то у вас не то, либо в конфиге самого дслама, либо в
>этот vlan
>ещё что-то в другом месте незаизолированно втыкнуто.Спасибо, что ответили, у меня задача как раз в том, чтобы пользователи из одного vlan
к примеру 930 vlan авторизации находящиеся на одном дсламе друг друга не видели. Но могли выходить на cisco 6506 и брас. Сейчас ситуация как раз такая, что они могут авторизоваться на брасе, а когда не авторизованы , т.к находятся в одном vlan сыплются конфликты ip адресов (ip-шники то все стандартные ставят 2,3,4, ... и т.д) также могут сканировать этот vlan и заходить на другие ПК. К примеру на 5600 создал, acl, все в нём
запретил, для 930 vlana и разрешил по мак- адресам выходить только на cisco 6506 и брас,
если поняли проблему подскажите как, сделать такой acl на 5300, сам разобраться не могу.
заранее спасибо, а проводить эксперименты на рабочем оборудовании сами понимаете...
>>Юзеры друг-друга не видят в пределах одного Huawei MA5300,
>>что-то у вас не то, либо в конфиге самого дслама, либо в
>>этот vlan
>>ещё что-то в другом месте незаизолированно втыкнуто.
>
>... т.к находятся в одном vlan сыплются
>конфликты ip адресов (ip-шники то все стандартные ставят 2,3,4, ... и
>т.д) также могут сканировать этот vlan и заходить на другие ПК.Если вы его сконфигурили правильно, а изоляции всё равно нет, то тут только к производителю. MA5300 понятие очень широкое, по железу,софту,патчам...
Если у кого-то другого юзеры друг-друга не видят в пределах одного Huawei MA5300 и даже в пределах одного vlan на нем, то не факт что так должно быть и на вашем железе без "напильника" от самого производителя.
>
> Если у кого-то другого юзеры друг-друга не видят в пределах
>одного Huawei MA5300 и даже в пределах одного vlan на нем,
>то не факт что так должно быть и на вашем железе
> без "напильника" от самого производителя.ACL по МАКам - это не верный путь.
Правильный путь - "изоляция портов" в хуавеевской терминологии (или "switchport protected" в цисковской терминологии).
>[оверквотинг удален]
>>т.д) также могут сканировать этот vlan и заходить на другие ПК.
>
> Если вы его сконфигурили правильно, а изоляции всё равно нет,
>то тут только к производителю. MA5300 понятие очень широкое, по железу,софту,патчам...
>
>
> Если у кого-то другого юзеры друг-друга не видят в пределах
>одного Huawei MA5300 и даже в пределах одного vlan на нем,
>то не факт что так должно быть и на вашем железе
> без "напильника" от самого производителя.Понятно, буду разбираться, если разберусь напишу.
>[оверквотинг удален]
>> Если вы его сконфигурили правильно, а изоляции всё равно нет,
>>то тут только к производителю. MA5300 понятие очень широкое, по железу,софту,патчам...
>>
>>
>> Если у кого-то другого юзеры друг-друга не видят в пределах
>>одного Huawei MA5300 и даже в пределах одного vlan на нем,
>>то не факт что так должно быть и на вашем железе
>> без "напильника" от самого производителя.
>
>Понятно, буду разбираться, если разберусь напишу.Чёт у меня не получилось с изоляцией портов. А ты как настроил? Разобрался?
>Чёт у меня не получилось с изоляцией портов. А ты как настроил?
>Разобрался?При проверке оказалось, что пользователи внутри 5300 действительно друг друга не видят, даже если абоненты сидят в одном vlane. Выяснили, что если два или более 5300 находятся с одним и тем же vlan-ом авторизации в пределах одного маршрутизатора то вот тогда и начинаются конфликты и абоненты видят друг друга. Проблему решили так, Посадили Все 5300 в разные vlan.
Т.е изоляция портов действует когда Абоненты даже с одним VLAn сидят на одном 5300, а когда такой же vlan есть и на соседнем 5300 ( в пределах маршрутизатора) сыпятся конфликты и доступны абоненты с соседнего 5300.
Потом нашли ещё выход на ADSL порту можно разрешить только определённое ко-во маков
mac-address-table max-mac-count 1 adsl 1/0/0 to adsl 2/0/47 для диапазона или конкретно для какого нибудь порта.
>[оверквотинг удален]
>
>Т.е изоляция портов действует когда Абоненты даже с одним VLAn сидят на
>одном 5300, а когда такой же vlan есть и на соседнем
>5300 ( в пределах маршрутизатора) сыпятся конфликты и доступны абоненты с
>соседнего 5300.
>
>Потом нашли ещё выход на ADSL порту можно разрешить только определённое
>ко-во маков
>mac-address-table max-mac-count 1 adsl 1/0/0 to adsl 2/0/47 для диапазона или конкретно
>для какого нибудь порта.Спасибо за ответ. Особоенно насчёт mac-address-table - обязательно попробуем.
Насчёт разных VLAN-ов для каждого DSLAM-a - мы тоже по началу так решили, а потом решили на BRAS-e настроить функцию DHCP-сервера, чтоб модемы по DHCP получали адреса - таким образом хотим уйти от конфликтов с адресами.
Ребята у меня Анологичная пролема на DSLAM-ах MA5105 и MA5605, изоляция портов не помогло...,
У меня тоже были мысли поднять DHCP но помогло ли вам оно ? опишитесь пожалуйста.