Добавление ONT в Huawei iManager U2000

Приведу пример добавления ONT через Huawei iManager U2000.
На тесте использую ONT Alcatel-Lucent I-010G и OLT Huawei SmartAX MA5683T, на некоторых других ONT типа TP-Link возможно в последних пунктах нужно немного по другому настроить Service Port.

Предположим что мы настроили профили в iManager U2000 либо в консоли Huawei OLT, я же настроил их через консоль как писал в этой статье — Настройка Huawei SmartAX MA5683T через консоль.

Если настроили через консоль, то профили нужно сгенерировать в iManager U2000 открыв «NE Profile Management» — «GPON Profile«, далее где «GPON Line Profile«, «GPON Service Profile» и «DBA Profile» выбрать напротив нужных профилей «Generate Global Profile«.

И так, для добавления ONT после открытия U2000 Client:

1) Открываем Main Topology
2) Два раза нажимаем левой клавишей мыши по нужному OLT (например MA5683T)
3) Два раза нажимаем левой клавишей мыши по нужной GPBD плате
4) Один раз нажимаем левой клавишей мыши по нужному GPON порту чтобы выделить его
5) Внизу выбираем вкладку «ONU Info» и в правом нижнем углу жмем клавишу «Auto Discover ONUs»
6) В открывшемся окне выберем новый непрописанный ONT и нажмем кнопку «Confirm»
7) Укажем сгенерированные ранее профили «GPON Line Profile» и «GPON Service Profile«, в «Alias» напишем английскими буквами описание ONT, например адрес клиента, жмем «ОК«.
8) Теперь вверху два раза нажимаем левой клавишей мыши по нужному GPON порту, чтобы открыть его.
9) Скорее всего в самом низу списка будет новый прописанный только что ONT, выделим его левой клавишей мыши, выберем внизу вкладку «Service Port Info«, нажмем правую клавишу мыши по пустому месту этой вкладки и выберем «Add…»
10) В поле «Network Side«, где «VLAN ID (1-4095)» укажем номер клиентского VLAN, а в «User Side«, где «Service Type» выберем «Multi-Service VLAN» и укажем тот же номер клиентского VLAN, жмем «ОК».

Все, ONT прописан.
Осталось сохранить настройки, вернувшись вверху во вкладку «Main Topology» и после нажатия правой кнопки мыши по OLT (например MA5683T), выберем «Save Date Immediately«.

Установка Open-AudIT в Linux

Open-Audit — система для сбора информации о имеющемся оборудовании и создания отчетов.

На примере опишу процесс установки в Linux Ubuntu:

1) Скачаем последнюю версию с официального сайта http://www.open-audit.org/downloads.php

2) Переключимся на пользователя root, сделаем скачанный файл с Open-AudIT выполняемым и запустим его:

sudo -i
chmod u+x ./OAE-Linux-x86_64-release_1.12.10.1.run
sh ./OAE-Linux-x86_64-release_1.12.10.1.run

В процессе установке следуем инструкциям, соглашаясь с вопросами нажимая «y» или «Enter«.
Дополнительные компоненты такие как apache2, mysql-server и т.д. будут автоматически установлены.

3) Откроем в браузере web-интерфейс Open-AudIT по ссылке http://ХОСТ/omk/oae/
Стандартный логин и пароль — admin/password

Все.

Установка и использование Net-SNMP

Установить Net-SNMP в Centos можно командой:

sudo yum install net-snmp-utils net-snmp

В Ubuntu/Debian так:

sudo apt-get install snmp snmpd

Сделаем копию стандартного файл конфигурации на всякий случай:

sudo mv /etc/snmp/snmpd.conf /etc/snmp/snmpd.conf.default

Далее например в текстовом редакторе nano откроем конфигурацию (Ctrl+X для выхода, y/n для сохранения или отмены изменений):

sudo nano /etc/snmp/snmpd.conf

И откроем доступ к snmp для localhost и указанной подсети (где public — комьюнити (пароль), rocommunity определяет доступ только для чтения, rwcommunity — чтение и запись):

rocommunity public  localhost
rocommunity public 192.168.1.0/24

Перезапустим snmpd чтобы применить изменения в конфигурации:

sudo service snmpd restart

Выполним проверку с локального сервера или указанной выше подсети:

snmpwalk -v 1 -c public 127.0.0.1

Смотрите также:
Linux snmp OIDs

Блокировка социальных сетей на Cisco

На тесте использую коммутатор Cisco Catalyst 6509-E.
Допустим нам необходимо заблокировать доступ пользователям к определенному сайту, узлу сети, или например социальной сети ВКонтакте.

Сначала узнаем диапазон IP адресов на которых находится сайт, например поищем VKontakte на bgp.he.net, вот к примеру список подсетей для одной из AS принадлежащей ВКонтакте http://bgp.he.net/AS47541#_prefixes

И создадим расширенный ACL например с именем BLOCKSOCIAL:

ip access-list extended BLOCKSOCIAL
deny ip any 87.240.128.0 0.0.63.255
deny ip any 93.186.224.0 0.0.7.255
deny ip any 93.186.232.0 0.0.7.255
deny ip any 95.142.192.0 0.0.15.255
deny ip any 95.213.0.0 0.0.63.255
deny ip any 185.29.130.0 0.0.0.255
deny ip any 185.32.248.0 0.0.3.255
permit ip any any
exit

В правиле выше указано что нужно блокировать трафик к указанным сетям идущий от всех (any) источников.
Можно в качестве источника указать определенную сеть или например одному адресу запретить доступ к другому адресу:

deny ip host 192.168.5.1 host 192.168.11.54

Строчка permit ip any any должна быть обязательно именно в конце.

Вместо маски подсети нужно указывать Wildcard, например для маски /24 указывать 0.0.0.255, для /22 — 0.0.3.255 и т.д., можно посмотреть и посчитать на любом IP калькуляторе.

Если нужно блокировать еще какие-то сайты, то допишем адреса в этот же ACL, так как применить к интерфейсу ACL можно только один.

Применим созданный ACL на порт смотрящий в сторону клиентов:

interface GigabitEthernet1/1
ip access-group BLOCKSOCIAL in

Либо, чтоб меньше писать только к порту сервера смотрящего в интернет, если такой есть:

interface TenGigabitEthernet3/2
ip access-group BLOCKSOCIAL in

Отменить ACL интерфейсу можно так:

no ip access-group BLOCKSOCIAL in

Удалить ACL так:

no ip access-list extended BLOCKSOCIAL

Настройка MikroTik пополам как роутер и свич

Приведу пример настройки MikroTik как два разных устройства, коммутатор(свич) и маршрутизатор(роутер).
Порты 1-5 и sfp1 будут работать как свич, в качестве роутера будут порты: LAN 6-9 и wlan1, WAN — 10.
Интернет будет приходить по двум кабелям, первый в свич к sfp1, второй в 10 порт, если кабель интернета только один — соединим пачкордом 10 порт роутера с любым портов свича.

Сделаем два бриджа:

/interface bridge
add name=bridge-router
add name=bridge-switch

Настроим порты:

/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
set [ find default-name=ether6 ] name=ether6-master
set [ find default-name=ether7 ] master-port=ether6-master
set [ find default-name=ether8 ] master-port=ether6-master
set [ find default-name=ether9 ] master-port=ether6-master
set [ find default-name=ether10 ] name=ether10-Gataway
set [ find default-name=sfp1 ] name=sfp1-toNetwork1
set [ find default-name=ether1 ] master-port=ether2-master

Добавим порты к бриджам:

/interface bridge port
add bridge=bridge-switch interface=ether2-master
add bridge=bridge-switch interface=sfp1-toNetwork1
add bridge=bridge-router interface=wlan1
add bridge=bridge-router interface=ether6-master

Настроим беспроводную сеть:

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=WiFi tx-power=30 tx-power-mode=all-rates-fixed wireless-protocol=802.11

Настроим диапазон адресов для DHCP сервера:

/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.254

Настроим DHCP сервер:

/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-router name=dhcp
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.0.1 netmask=24

Пропишем внутренний IP роутеру:

/ip address
add address=192.168.0.1/24 interface=bridge-router network=192.168.0.0

Включим DHCP клиент WAN порту роутера:

/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether10-Gataway

Настроим DNS:

/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.0.1 name=router

Включим NAT роутеру:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether10-Gataway
Настроим стандартные правила Firewall, разрешим пинг и доступ к web из вне:
/ip firewall filter
add chain=input comment="defconf: accept ICMP" protocol=icmp
add chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether10-Gataway
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether10-Gataway
add chain=input dst-port=80 protocol=tcp

Все.