Remplacer la LiveBox par un routeur => Discussion démarrée par: pinomat le 17 août 2019 à 21:16:11 Remplacer la LiveBox par un routeur => Discussion démarrée par: pinomat le 17 août 2019 à 21:16:11configure
set interfaces ethernet eth0 address 192.168.3.1/24
set interfaces ethernet eth5 description WAN
set interfaces ethernet eth0 description LAN
commit;save
exit
configure
set system time-zone Europe/Paris
set system traffic-analysis dpi enable
set system traffic-analysis export enable
set system offload ipv4 forwarding enable
set system offload ipv4 vlan enable
set system offload ipsec enable
set system offload ipv6 forwarding enable
set system offload ipv6 vlan enable
commit;save
exit
configure
set firewall name WAN_IN default-action drop
set firewall name WAN_IN description "WAN to internal"
set firewall name WAN_IN rule 1 action accept
set firewall name WAN_IN rule 1 description "Allow established/related"
set firewall name WAN_IN rule 1 log disable
set firewall name WAN_IN rule 1 protocol all
set firewall name WAN_IN rule 1 state established enable
set firewall name WAN_IN rule 1 state invalid disable
set firewall name WAN_IN rule 1 state new disable
set firewall name WAN_IN rule 1 state related enable
set firewall name WAN_IN rule 2 action drop
set firewall name WAN_IN rule 2 description "Drop invalid state"
set firewall name WAN_IN rule 2 log disable
set firewall name WAN_IN rule 2 protocol all
set firewall name WAN_IN rule 2 state established disable
set firewall name WAN_IN rule 2 state invalid enable
set firewall name WAN_IN rule 2 state new disable
set firewall name WAN_IN rule 2 state related disable
set firewall name WAN_LOCAL default-action drop
set firewall name WAN_LOCAL description "WAN to router"
set firewall name WAN_LOCAL rule 1 action accept
set firewall name WAN_LOCAL rule 1 description "Allow established/related"
set firewall name WAN_LOCAL rule 1 log disable
set firewall name WAN_LOCAL rule 1 protocol all
set firewall name WAN_LOCAL rule 1 state established enable
set firewall name WAN_LOCAL rule 1 state invalid disable
set firewall name WAN_LOCAL rule 1 state new disable
set firewall name WAN_LOCAL rule 1 state related enable
set firewall name WAN_LOCAL rule 2 action drop
set firewall name WAN_LOCAL rule 2 description "Drop invalid state"
set firewall name WAN_LOCAL rule 2 log disable
set firewall name WAN_LOCAL rule 2 protocol all
set firewall name WAN_LOCAL rule 2 state established disable
set firewall name WAN_LOCAL rule 2 state invalid enable
set firewall name WAN_LOCAL rule 2 state new disable
set firewall name WAN_LOCAL rule 2 state related disable
commit;save
exit
configure
set service dhcp-server shared-network-name LAN1 authoritative enable
set service dhcp-server shared-network-name LAN1 subnet 192.168.3.0/24 start 192.168.3.200 stop 192.168.3.240
set service dhcp-server shared-network-name LAN1 subnet 192.168.3.0/24 default-router 192.168.3.1
set service dhcp-server shared-network-name LAN1 subnet 192.168.3.0/24 lease 86400
set service dhcp-server shared-network-name LAN1 subnet 192.168.3.0/24 dns-server 192.168.3.1
commit;save
exit
configure
set interfaces ethernet eth5 vif 832 address dhcp
set interfaces ethernet eth5 vif 832 description "eth5.832 Internet"
set interfaces ethernet eth5 vif 832 firewall in name WAN_IN
set interfaces ethernet eth5 vif 832 firewall local name WAN_LOCAL
set interfaces ethernet eth5 vif 832 dhcp-options client-option "send vendor-class-identifier "sagem";"
set interfaces ethernet eth5 vif 832 dhcp-options client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
set interfaces ethernet eth5 vif 832 dhcp-options client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx:3c:12:7c:68:55:78:21:78:2e:75:30:60:36:33:37:40:73:67:03:13:3c:0a:12:10:32:52:73:be:72:5f:8f:21:a5:74:02:02:c0;"
set interfaces ethernet eth5 vif 832 dhcp-options client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;"
set interfaces ethernet eth5 vif 832 dhcp-options client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search;" #, SIP, V-I are not supported
set interfaces ethernet eth5 vif 832 dhcp-options default-route update
set interfaces ethernet eth5 vif 832 dhcp-options default-route-distance 210
set interfaces ethernet eth5 vif 832 dhcp-options global-option "option rfc3118-auth code 90 = string;"
set interfaces ethernet eth5 vif 832 dhcp-options name-server update
commit;save
exit
configure
set service dns forwarding listen-on eth0
commit;save
exit
configure
set service nat rule 5000 description "masquerade for WAN"
set service nat rule 5000 outbound-interface eth5.832
set service nat rule 5000 type masquerade
commit;save
exit
configure
set interfaces ethernet eth5 vif 840 description "eth5.840 TV - Multicast"
set interfaces ethernet eth5 vif 840 address 192.168.255.254/32
commit;save
exit
configure
set protocols igmp-proxy interface eth5.840 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth5.840 role upstream
set protocols igmp-proxy interface eth5.840 threshold 1
set protocols igmp-proxy interface eth0 alt-subnet 0.0.0.0/0
set protocols igmp-proxy interface eth0 role downstream
set protocols igmp-proxy interface eth0 threshold 1
commit;save
exit
configure
edit firewall ipv6-name WANv6_IN
set description "WAN inbound traffic forwarded to LAN"
set default-action drop
set rule 10 action accept
set rule 10 description "Allow established/related sessions"
set rule 10 state established enable
set rule 10 state related enable
set rule 20 action accept
set rule 20 description "allow ICMPv6"
set rule 20 protocol ipv6-icmp
set rule 30 action drop
set rule 30 description "Drop invalid state"
set rule 30 state invalid enable
exit
edit firewall ipv6-name WANv6_LOCAL
set default-action drop
set description "WAN inbound traffic to the router"
set rule 10 action accept
set rule 10 description "Allow established/related sessions"
set rule 10 state established enable
set rule 10 state related enable
set rule 20 action drop
set rule 20 description "Drop invalid state"
set rule 20 state invalid enable
set rule 30 action accept
set rule 30 description "Allow IPv6 icmp"
set rule 30 protocol ipv6-icmp
set rule 40 action accept
set rule 40 description "Allow dhcpv6"
set rule 40 destination port 546
set rule 40 source port 547
set rule 40 protocol udp
exit
set interfaces ethernet eth5 vif 832 firewall in ipv6-name WANv6_IN
set interfaces ethernet eth5 vif 832 firewall local ipv6-name WANv6_LOCAL
commit;save
exit
configure
set interfaces ethernet eth0 ipv6 router-advert prefix ::/64
commit;save
exit
option dhcp6.auth code 11 = string;
option dhcp6.vendorclass code 16 = string;
option dhcp6.userclass code 15 = string;
#Replace eth5 with your external interface (VLAN must be 832 for Orange)
interface "eth5.832" {
#Orange France specific options
send dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;
send dhcp6.userclass 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:34;
send dhcp6.vendor-opts 00:00:05:58:00:06:00:0e:49:50:56:36:5f:52:45:51:55:45:53:54:45:44;
#Authentication to Orange France DHCP server (meme valeur pour ipv4)
send dhcp6.auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx:3c:12:7c:68:55:78:21:78:2e:75:30:60:36:33:37:40:73:67:03:13:3c:0a:12:10:32:52:73:be:72:5f:8f:21:a5:74:02:02:c0;
#Replace xx:xx:xx:xx:xx:xx with the MAC address of your external interface
send dhcp6.client-id 00:03:00:01:xx:xx:xx:xx:xx:xx;
request dhcp6.auth, dhcp6.vendor-opts, dhcp6.name-servers, dhcp6.domain-search;
}
### Entête du fichier dhclient-ipv6 uniquement, fichier attaché en PJ de ce POST ###
leasefile='/var/run/dhclient6_eth5_832.leases' #On retrouve se fichier dans la configuration du service dhclient6 à l'étape suivante
EXT_IFACE='eth5.832' #Interface WAN : une seule interface possible
INT_IFACE=('eth0') #Interfaces LAN : plusieurs interfaces autorisées ex : INT_IFACE=('eth0' 'eth0.10')
INT_PREFIX=('01') #Préfixes IPv6 des interfaces : plusieurs prefixes autorisés (chaque interface doit avoir un préfixe) ex : INT_PREFIX=('01' '02')
[Unit]
Description=dhclient for sending DUID IPv6
Before=network.target auditd.service vyatta-router.service netplug.service
[Service]
Type=forking
ExecStart=/sbin/dhclient -6 -P -nw -cf /etc/dhcp3/dhclient6_eth5_832.conf -pf /var/run/dhclient6_eth5_832.pid -lf /var/run/dhclient6_eth5_832.leases eth5.832
NonBlocking=yes
Restart=always
RestartSec=60
[Install]
WantedBy=multi-user.target
sudo -i systemctl daemon-reload
sudo -i systemctl enable dhclient6
sudo -i systemctl start dhclient6
Bravo quel travail une config complete avec un ER6 et a jour !!!!
Juste une question pourquoi c'est le Cisco qui la Cos pour le DHCP sur le Wan ?
On peut pas le faire dans l'ER6 ?
Super travail.
Nicolas
On peut pas le faire dans l'ER6 ?
Pas sans patcher le client DHCP. Ce sera possible sans patch le jour où le kernel du routeur supportera les "network priority cgroup".
Déjà, le SFP Orange dans du matériel Ubiquiti tu oublies, à ma connaissance aucun routeur/switch du fabriquant ne le supporte.
set interfaces ethernet eth0 ipv6 router-advert prefix 2a01:xxxx:xxxx:xxxx::/64Peut être remplacer par
set interfaces ethernet eth0 ipv6 router-advert prefix ::/64Le prefix associé à la première ipv6 non local sera distribué. Je pense que dans la majorité c'est config c'est suffisant, et cela ne cassera pas en cas de changement de prefix.
set interfaces ethernet eth4 vif 832 dhcpv6-pd prefix-only
set interfaces ethernet eth4 vif 832 dhcpv6-pd pd 0 interface eth0 service slaac
set interfaces ethernet eth4 vif 832 dhcpv6-pd pd 0 interface eth0 prefix-id 0
set interfaces ethernet eth4 vif 832 dhcpv6-pd pd 0 interface eth0 host-address ::1
set interfaces ethernet eth4 vif 832 dhcpv6-pd pd 0 prefix-length 56
Pour la partie ipv6 :
Peut être remplacer par Le prefix associé à la première ipv6 non local sera distribué. Je pense que dans la majorité c'est config c'est suffisant, et cela ne cassera pas en cas de changement de prefix.
Il n'y a pas de raison d'avoir cela, justement ça ne fonctionne pas avec dhcpv6-pd, d'où les fichiers de config pour isc-dhcp.
Donc à priori on est passé d'une connexion RJ45 à une Connexion SFP pour le WAN entre le Router <-> Switch ? donc full SFP pour le WAN ?
Donc la première partie est à reprendre/adapter?
Chris
config-file-header
SG300-10
v1.4.10.6 / R800_NIK_1_4_214_020
CLI v1.0
set system mode switch
!
[...]
!
vlan database
default-vlan vlan 51
exit
vlan database
vlan 1,832,840
exit
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
mac access-list extended "VLAN832"
permit any any vlan 832 ace-priority 1
exit
mac access-list extended "VLAN840"
permit any any vlan 840 ace-priority 1
exit
ip access-list extended DHCP
permit udp any bootpc any bootps ace-priority 1
exit
ip access-list extended TV
exit
ipv6 access-list DHCPv6
permit udp any 546 any 547 ace-priority 1
exit
hostname SG300-10
!
[...]
!
interface vlan 1
name DATA
!
interface vlan 51
name Administration
ip address 192.168.51.1 255.255.255.0
no ip address dhcp
!
interface vlan 832
name Internet
!
interface vlan 840
name IPTV
!
interface gigabitethernet1
switchport mode access
!
interface gigabitethernet2
switchport mode access
!
interface gigabitethernet3
switchport mode access
!
interface gigabitethernet4
switchport mode access
!
interface gigabitethernet5
switchport mode access
!
interface gigabitethernet6
switchport mode access
!
interface gigabitethernet7
switchport mode access
!
interface gigabitethernet8
description ###PortEspion###
port monitor GigabitEthernet 10
switchport mode access
!
interface gigabitethernet9
description ###WANLivebox###
switchport trunk allowed vlan add 832,840
!
interface gigabitethernet10
description ###SFP-Orange###
switchport trunk allowed vlan add 832,840
!
Bonjour pinomat,
J'ai suivi ta démarche pour l'appliquer sur mon switch Cisco SG300-10 (SRW2008-K9 V02).
Je voudrais savoir si tu as évolué ?
Mon 1er objectif étant de connecter l'arrivée fibre (par SFP GPON) sur le port G10 (en SFP) et de le faire repartir sur la livebox en utilisant le port G9 (en Ethernet).
J'ai configuré un port monitoring du port G10 vers le port G8 pour espérer voir le démarrage de la livebox, ...
qos advanced
mac access-list extended "VLAN832"
permit any any vlan 832 ace-priority 1
exit
mac access-list extended "VLAN840"
permit any any vlan 840 ace-priority 1
exit
ip access-list extended DHCP
permit udp any bootpc any bootps ace-priority 1
exit
ip access-list extended TV
exit
ipv6 access-list DHCPv6
permit udp any 546 any 547 ace-priority 1
exit
class-map DHCPv4
match access-group DHCP
match access-group "VLAN832"
exit
class-map DHCPv6
match access-group DHCPv6
match access-group "VLAN832"
exit
class-map TV
match access-group "VLAN840"
match access-group DHCP
match access-group DHCPv6
exit
policy-map DHCP+TV
class DHCPv4
set cos 6
exit
class DHCPv6
set cos 6
exit
class TV
set cos 5
exit
[...]
interface gigabitethernet10
description ###SFP-Orange###
service-policy input DHCP+TV default-action permit-any
switchport trunk allowed vlan add 832,840
v1.4.10.6 / R800_NIK_1_4_214_020
CLI v1.0
set system mode switch
!
no spanning-tree
vlan database
default-vlan vlan 51
exit
vlan database
vlan 1,832,840
exit
[...]
qos advanced
mac access-list extended "VLAN832"
permit any any vlan 832 ace-priority 1
exit
mac access-list extended "VLAN840"
permit any any vlan 840 ace-priority 1
exit
ip access-list extended DHCP
permit udp any bootpc any bootps ace-priority 1
exit
ip access-list extended TV
exit
ipv6 access-list DHCPv6
permit udp any 546 any 547 ace-priority 1
exit
class-map DHCPv4
match access-group DHCP
match access-group "VLAN832"
exit
class-map DHCPv6
match access-group DHCPv6
match access-group "VLAN832"
exit
class-map TV
match access-group "VLAN840"
exit
policy-map DHCP+TV
class DHCPv4
set cos 6
exit
class DHCPv6
set cos 6
exit
class TV
set cos 6
exit
!
interface vlan 1
name DATA
!
interface vlan 51
name Administration
ip address 192.168.x.x 255.255.255.0
no ip address dhcp
!
interface vlan 832
name Internet
!
interface vlan 840
name IPTV
!
interface gigabitethernet1
switchport mode access
!
[...]
!
interface gigabitethernet7
switchport mode access
!
interface gigabitethernet8
description ###PortEspion###
port monitor GigabitEthernet 10
switchport mode access
!
interface gigabitethernet9
description ###WANLivebox###
switchport trunk allowed vlan add 832,840
!
interface gigabitethernet10
negotiation 1000f
description ###SFP-Orange###
service-policy input DHCP+TV default-action permit-any
switchport trunk allowed vlan add 832,840
!
exit
Si j'ai bien compris les modifications à faire, voilà ce que donne la configuration.Il y a un problème dans ta configuration : tu as class TV set cos 6. Cela doit être set cos 5.
Je n'ai toujours rien, j'ai cherché à débugger et il semblerait que le SFP ne soit pas reconnu par le switch.
Il y a un problème dans ta configuration : tu as class TV set cos 6. Cela doit être set cos 5.
Le SFP a fonctionné sans modification sur le SG350. Je ne sais pas s'il y a une différence entre les deux versions. Il est peut-être incompatible avec le SG350. Le port Gi10 n'est pas shutdown dans ta config. As-tu mis à jour le firmware du SG300 ?
Solution workaround : acheté un TP-LINK MC220L, un module SFP RJ45 compatible avec le SG300. J'ai testé le TPLINK ça marchait parfaitement.
Dis-moi si tu veux que je poste des résultats (avant dimanche) pour t'aider, parce que là, je ne vois pas ce que je peux faire de plus...
Je ne pourrais reprendre qu'à partir de lundi. Je testerai la modification de la CoS TV.
Tu peux toujours m'envoyer ton fichier de configuration pour vérifier si je n'ai pas oublié un truc.
config-file-header
sg350
v2.5.0.83 / RTESLA2.5_930_364_091
CLI v1.0
file SSD indicator excluded
@
!
unit-type-control-start
unit-type unit 1 network gi uplink none
unit-type-control-end
!
bridge multicast filtering
vlan database
vlan 832,840
exit
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
no ip routing
bonjour interface range vlan 1
qos advanced
ip access-list extended DHCPv4
permit udp any bootpc any bootps ace-priority 1
exit
ipv6 access-list DHCPv6
permit udp any 546 any 547 ace-priority 1
exit
mac access-list extended "VLAN840"
permit any any vlan 840 ace-priority 1
exit
mac access-list extended "VLAN832"
permit any any vlan 832 ace-priority 1
exit
class-map DHCP
match access-group "VLAN832"
match access-group DHCPv6
match access-group DHCPv4
exit
class-map TV match-any
match access-group "VLAN840"
exit
policy-map DHCP+TV
class DHCP
set cos 6
exit
class TV
set cos 5
exit
exit
hostname sg350
logging buffered warnings
ip ssh server
snmp-server location france
clock timezone fr +2
!
interface vlan 1
name LAN
!
interface vlan 832
name "Orange Internet"
!
interface vlan 840
name "Orange TV"
!
interface GigabitEthernet27
description ONT/SFP
service-policy output DHCP+TV default-action permit-any
switchport mode trunk
switchport trunk native vlan none
switchport trunk allowed vlan 832,840
!
interface GigabitEthernet28
description WAN_ER-6P
switchport mode trunk
switchport trunk native vlan none
switchport trunk allowed vlan 832,840
!
exit
ip igmp snooping
ip igmp snooping vlan 1
ip igmp snooping vlan 1 immediate-leave
ip igmp snooping vlan 1 querier
sg350#show fiber-ports optical-transceiver
Port Temp Voltage Current Output Input LOS
[C] [Volt] [mA] Power Power
[mWatt] [mWatt]
----------- ------ ------- ------- ------- ------- ---
gi25 N/A N/A N/A N/A N/A N/A
gi26 N/A N/A N/A N/A N/A N/A
gi27 41 3.30 6.54 1.53 0.00 No
gi28 27 3.39 5.33 0.20 0.16 No
Temp - Internally measured transceiver temperature
Voltage - Internally measured supply voltage
Current - Measured TX bias current
Output Power - Measured TX output power in milliWatts
Input Power - Measured RX received power in milliWatts
LOS - Loss of signal
N/A - Not Available, N/S - Not Supported, W - Warning, E - Error
sg350#
config-file-header
SG300-10
v1.4.10.6 / R800_NIK_1_4_214_020
CLI v1.0
set system mode switch
file SSD indicator encrypted
@
ssd-control-start
ssd config
ssd file passphrase control unrestricted
no ssd file integrity control
ssd-control-end cb0a3fdb1f3a1af4e4430033719968c0
!
bridge multicast filtering
vlan database
vlan 832,840
exit
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
qos advanced
ip access-list extended DHCPv4
permit udp any bootpc any bootps ace-priority 1
exit
ipv6 access-list DHCPv6
permit udp any 546 any 547 ace-priority 1
exit
mac access-list extended "VLAN840"
permit any any vlan 840 ace-priority 1
exit
mac access-list extended "VLAN832"
permit any any vlan 832 ace-priority 1
exit
class-map DHCP
match access-group "VLAN832"
match access-group DHCPv6
match access-group DHCPv4
exit
class-map TV match-any
match access-group "VLAN840"
exit
policy-map DHCP+TV
class DHCP
set cos 6
exit
class TV
set cos 5
exit
exit
hostname SG300-10
logging buffered warnings
username RW password encrypted 9e7c97801cb4cce87b6c02f98291a6420e6400ad privilege 15
ip ssh server
snmp-server location Blagnac
snmp-server contact "Antoine VERNIER"
clock timezone CET +1
clock summer-time CEST recurring last sun mar 02:00 last sun oct 03:00
!
interface vlan 832
name "Orange Internet"
!
interface vlan 840
name "Orange TV"
!
interface gigabitethernet1
negotiation 1000f
!
interface gigabitethernet2
negotiation 1000f
!
interface gigabitethernet3
negotiation 1000f
!
interface gigabitethernet4
negotiation 1000f
!
interface gigabitethernet5
negotiation 1000f
!
interface gigabitethernet6
negotiation 1000f
!
interface gigabitethernet7
negotiation 1000f
!
interface gigabitethernet8
negotiation 1000f
description ###PortEspion###
port monitor GigabitEthernet 10
!
interface gigabitethernet9
negotiation 1000f
description ###WAN_Livebox###
switchport trunk allowed vlan add 832,840
!
interface gigabitethernet10
negotiation 1000f
description ###WAN_SFP###
service-policy input DHCP+TV default-action permit-any
switchport trunk allowed vlan add 832,840
!
exit
ip igmp snooping
ip igmp snooping vlan 1
ip igmp snooping vlan 1 immediate-leave
ip igmp snooping vlan 1 querier
Bonjour
Y a une conf particulière pour essayer de mettre la téléphonie avec le 350SG + ER6P ?
Chris
# Configuration de l'interface vif pour la livebox <> 832 et <> du réseau IP principal
# Il faut une MAC différente de ce qui existe sur le LAN
configure
edit interfaces ethernet eth0 vif 200
set address 192.168.200.1/24
set description VoIP
set mac FC:EC:DA:47:BF:C8
set mtu 1500
commit;save
# Configuration du dns forwarding
set service dns forwarding listen-on eth0.200
# Configuration du DHCP
# Les serveurs DNS qui peuvent changer
# Les paramètres subnet-parameters en hexa ont été récupérés directement via un dump des packets DHCP Offer des serveurs orange
edit service dhcp-server shared-network-name VoIP
set authoritative enable
edit subnet 192.168.200.0/24
set default-router 192.168.200.1
set dns-server 192.168.200.1
set lease 259200
set start 192.168.200.10 stop 192.168.200.20
set subnet-parameters "option domain-search "NCY.access.orange-multimedia.net.";"
set subnet-parameters "option domain-name "orange.fr";"
set subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
set subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff;"
set subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:4e:43:59:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
commit;save
# Configuration des codes pour les paramètres subnet
set service dhcp-server global-parameters "option rfc3118-auth code 90 = string;"
set service dhcp-server global-parameters "option SIP code 120 = string;"
set service dhcp-server global-parameters "option Vendor-specific code 125 = string;"
commit;save
je reçois du matériel la semaine prochaine , je vais me pencher sur l'affaire de la téléphonie ...même si cette partie est pour ma femme :) car moi je téléphone jamais LOL
possibilité d'utiliser n'importe quel autre routeur (asus, netgear, tp-link, ...) ? ou il y a des restrictions ?
possibilité de mettre tous les ports en POE avec un équipement derrière ou le switch n'a pas la patate pour ?
J'ai 2-3 questions pour clarifié les choses dans ma tête au vu des dizaines de tuto plus ou moins anciens que j'ai écumé :
1) Avec le cisco 350-28P possibilité de connecter le SFP directement dessus et de configurer les différent VLANs pour communiqué avec Orange ? ( j'ai juste besoin d'internet, voir le décodeur mais clairement pas de la voip)
2) ensuite on ressort un RJ du switch vers un routeur un minimum évolué avec la conf qui va bien (me faudrait un peu plus de précision ici pour la configuration)
3) Tout fonctionne plus qu'à brasser les différents équipements depuis le switch ?
Est-ce que jusque qu'ici tout va bien ? :D
| Nom du modèle | |Puissance dédiée au PoE | |Nombre de ports prenant en charge |
| SG350-28P | |195 | |24 |
| SG350-28MP | |382 | |24 |
Merci KalNightmare pour ta réponse
je vais faire les essais ce Week et faire gérer le 840 par le SG350 néanmoins je pense que cela doit venir de la connexion SFP Orange qui doit se déconnecter furtivement .
Je viens de déplacer les cos du SG350 vers l'UBIQUITI pour test.
chris
J'ai effectivement l'IGMP Snoop sur tous les Switchs/Vlan
Mais à priori s'est le SFP qui se déconnecte de temps à autre .
(http://)
configure
set interfaces ethernet eth5 speed 1000
commit
A voir si ça t'aide.
J'avais des problèmes aussi de déco. J'ai donc forcer la vitesse du SFP Ubiquiti à 1000.Quel est l'intérêt de connecter l'ER au Cisco par SFP pour la patte WAN ? Ce n'est pas possible par un cable ethernet ?
Quel est l'intérêt de connecter l'ER au Cisco par SFP pour la patte WAN ? Ce n'est pas possible par un cable ethernet ?En pratique, pas grand chose sauf qu'il libère un port RJ45. En théorie, la fibre est moins sujette aux ondes électromagnétiques. Schématiquement, toute la partie WAN est en fibre le LAN en RJ45.
En pratique, pas grand chose sauf qu'il libère un port RJ45. En théorie, la fibre est moins sujette aux ondes électromagnétiques. Schématiquement, toute la partie WAN est en fibre le LAN en RJ45.En fait je pensais à une obscure contrainte liée à l'utilisation du SG350 pour bridger les VLAN orange. Rien à voir donc, merci.
Ne serait-il pas possible de partir sur configuration suivante : TP-Link MC220L -- > Raspberry pi4 --> switchLAN ? pour administrer le FTTH orange ? en adaptant le parametrage sur Rasbian ?
Cordialement
Pour remplacement livebox avec raspberry pi4, j'ai installé openWRT dessus et suivi ce tuto (en cours) :
https://lafibre.info/remplacer-livebox/remplacement-de-la-livebox-par-un-routeur-openwrt-18-dhcp-v4v6-tv/
Ca reglera l'igmp et le problème du client ISC-DHCP, des raw sockets et le marquage CoS/802.1p etc ... sans réinventer la roue.
Solution assez économique car remplace un routeur et fourni un point d'accès WIFI 802.11bgnac... :-* pour moins de 10W et 70euros de config....
je pense qu'il manque un bout qui s'est perdu dans un copier coller , pour la création du service : (en gras) cf. plus basBien vu ! Merci, j'ai corrigé.
Ben voila, c'est fait (je n'ai fait que de l'adaptation)
ethernet eth1 {
address dhcp
description WAN
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 Internet"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03: blablablabla......
client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
[b] egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0" [/b]
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
../..
dns {
forwarding {
cache-size 10000
listen-on lo
listen-on eth0
[b] name-server 80.10.246.3
name-server 81.253.149.10 [/b]
}
}
../..
nat {
rule 5000 {
description "masquerade for WAN"
outbound-interface eth1.832
log disable
[b] protocol all [/b]
type masquerade
}
}
Dans l’ERL il y a surtout un ASIC qui effectue tout le travail de routage en hardware à la place du CPU... Quand on désactive l’acceleration matérielle les perfs sont catastrophiques...
#activation
configure
set system offload ipv4 forwarding enable
set system offload ipv4 vlan enable
set system offload ipv6 forwarding enable
set system offload ipv6 vlan enable
set system offload ipsec enable
commit ; save#desactivation
configure
set system offload ipv4 forwarding disable
set system offload ipv4 gre disable
set system offload ipv4 pppoe disable
set system offload ipv4 vlan disable
set system offload ipv4 bonding disable
set system offload ipv6 forwarding disable
set system offload ipv6 pppoe disable
set system offload ipv6 vlan disable
set system offload ipsec disable
commit ; save@PinomatHello,
Pour faire le marquage de la CoS avec un switch, dans la gamme cisco, les SG300 et 350 peuvent le faire, je me demandais si le Cisco SG250-xx pouvait le faire également ? :-\
Pinomat fait le marquage de la CoS avec son switch. Il n’a donc pas besoin de la ligne egress-qos dans sa configuration, ni du client dhcp patché.
Je pourrais donc faire cela avec ce type de branchement ? (la box TV étant sur le LAN avec les autres équipements avec IGMP Snooping activé sur des switch2 TL-SG108E)
Est-ce-que qu'on peut uniquement utiliser le cisco pour tout ? vu que c'est un switch de niveau 3, il est capable de faire du routage, mais est-ce-qu'il peut faire le même boulot qu'un routeur ou il faut vraiment passer par un routeur dédié ?je crois pas que le cisco suppoete les options demandées par Orange..
et si vous me confirmer que oui, est-ce-que quelqu'un sait comment configurer ça ? l'interface graphique est bien sympathique mais j'ai pas vu de partie WAN
Du coup ça me ferait gagner un paquet d'heures de recherche xD
Je viens de réessayer et rien n'y fait :Code: [Sélectionner]config-file-header
SG300-10
v1.4.10.6 / R800_NIK_1_4_214_020
CLI v1.0
set system mode switch
file SSD indicator encrypted
@
ssd-control-start
ssd config
ssd file passphrase control unrestricted
no ssd file integrity control
ssd-control-end cb0a3fdb1f3a1af4e4430033719968c0
!
bridge multicast filtering
vlan database
vlan 832,840
exit
voice vlan oui-table add 0001e3 Siemens_AG_phone________
voice vlan oui-table add 00036b Cisco_phone_____________
voice vlan oui-table add 00096e Avaya___________________
voice vlan oui-table add 000fe2 H3C_Aolynk______________
voice vlan oui-table add 0060b9 Philips_and_NEC_AG_phone
voice vlan oui-table add 00d01e Pingtel_phone___________
voice vlan oui-table add 00e075 Polycom/Veritel_phone___
voice vlan oui-table add 00e0bb 3Com_phone______________
qos advanced
ip access-list extended DHCPv4
permit udp any bootpc any bootps ace-priority 1
exit
ipv6 access-list DHCPv6
permit udp any 546 any 547 ace-priority 1
exit
mac access-list extended "VLAN840"
permit any any vlan 840 ace-priority 1
exit
mac access-list extended "VLAN832"
permit any any vlan 832 ace-priority 1
exit
class-map DHCP
match access-group "VLAN832"
match access-group DHCPv6
match access-group DHCPv4
exit
class-map TV match-any
match access-group "VLAN840"
exit
policy-map DHCP+TV
class DHCP
set cos 6
exit
class TV
set cos 5
exit
exit
hostname SG300-10
logging buffered warnings
username RW password encrypted 9e7c97801cb4cce87b6c02f98291a6420e6400ad privilege 15
ip ssh server
snmp-server location Blagnac
snmp-server contact "Antoine VERNIER"
clock timezone CET +1
clock summer-time CEST recurring last sun mar 02:00 last sun oct 03:00
!
interface vlan 832
name "Orange Internet"
!
interface vlan 840
name "Orange TV"
!
interface gigabitethernet1
negotiation 1000f
!
interface gigabitethernet2
negotiation 1000f
!
interface gigabitethernet3
negotiation 1000f
!
interface gigabitethernet4
negotiation 1000f
!
interface gigabitethernet5
negotiation 1000f
!
interface gigabitethernet6
negotiation 1000f
!
interface gigabitethernet7
negotiation 1000f
!
interface gigabitethernet8
negotiation 1000f
description ###PortEspion###
port monitor GigabitEthernet 10
!
interface gigabitethernet9
negotiation 1000f
description ###WAN_Livebox###
switchport trunk allowed vlan add 832,840
!
interface gigabitethernet10
negotiation 1000f
description ###WAN_SFP###
service-policy input DHCP+TV default-action permit-any
switchport trunk allowed vlan add 832,840
!
exit
ip igmp snooping
ip igmp snooping vlan 1
ip igmp snooping vlan 1 immediate-leave
ip igmp snooping vlan 1 querier
J'ai même essayé avec un autre SFP orange que j'avais acheté.
Le SFP retourne aucune aucune information.
Je pense que mon switch n'alimente pas suffisamment le SFP, ...
En relisant les posts et en l'adaptant à ma config mais pour un Cisco SG350-10P, j'ai regardé la conf de FaceOfHorrOods et la COS est appliquée en input (service-policy input DHCP+TV default-action permit-any) alors qu'il me semble qu'elle doit l'être en outputLe mieux est effectivement de le fait en output (au cas où il y aurait un traitement entre l'interface input et l'interface output). En pratique, dans une configuration peu complexe, c'est la même chose.
j'aimerai savoir ce que vous utilisez comme référence SFP entre le switch et le routeurJ'avais acheté des SFP Ubiquiti UF-MM-1G.
J'avais acheté des SFP Ubiquiti UF-MM-1G.
Merci pour ton retour Pinomat
Est-il possible d'utiliser du monofibre avec les modules SFP adéquats.
Merci @pinomat
Super tuto comme d'habitude sur ce site ayant un ER-6P sous la main j'ai voulu tester cette config.
Je commence déjà par tester l'ipv4 ça fonctionne seul bémol pour moi comme sous pfsense le renew ne se fait pas mon ip reste fixe..
Je précise que j'ai pas besoin de COS6 et que j'ai changer eth5/eth0
Merci :)c'est bon a savoir en espérant que quelqu'un apporte une solution..
J'ai effectivement rencontré des problème avec le renew. Pourtant pour la partie IPv4, il n'y a aucune conf manuelle. Peut-être que quelqu'un a une explication (c'est peut-être un problème avec le lease). En général, ce que je faisais, c'était un disable de l'interface. Perso, cela arrive très rarement (genre tous les 3 mois sans redémarrage du routeur).
Tel que configuré il remplace un ONT Fibre/EthernetC'est un peu ça effectivement, sauf que, si je ne me trompe pas, l'ONT c'est le Sercomm techniquement parlant. Le SG350 permet juste de l'alimenter.
dans ce cas à la place du ER-6P je peux mettre un ORBI normalementJe ne connais pas l'ORBI, mais pour avoir l'IPv4, il y a certains prérequis dont la possibilité d'appliquer la priorité 6 sur les paquets dhcp du VLAN832 + certains paramètres DHCP comme l'option 90. Voir ici pour plus de pré-requis : https://lafibre.info/remplacer-livebox/pre-requis-et-configuration-orange-et-orange-pro/msg996787/#msg996787
Le serial du SFP a toujours son importance pour être reconnu coté OLT je suppose ?Oui, il est obligatoire.
Et niveau stabilité ça donne quoi dans le SG350Alors, niveau stabilité, je n'avais pas de problème de stabilité (jamais de déconnexion). J'ai tout remplacé aujourd'hui et mon bon vieux SG350 ne me sert plus que pour ma partie LAN, terminé le mic mac avec les VLAN tunnelling ou les ACL.