Chúng tôi có một vấn đề kỳ lạ mà tôi hy vọng ai đó có thể giúp đỡ. Chúng tôi có một tòa nhà có mạch cáp quang và mạch Comcast dự phòng (đồng trục).
Hệ thống được thiết lập như thế này:
Fiber NID (cáp cat6 sang switch) Comcast (cáp cat6 sang switch) | chuyển đổi không được quản lý | Unbuntu Linux Box as router (cáp cat6 từ cổng WAN sang Switch) | Cổng LAN ra OLT cáp quang | 4 cổng GPON sợi quang đi đến nhiều ONT
Chúng tôi đã viết một tập lệnh bash sẽ kiểm tra mỗi phút để xem cổng chính (mạch sợi quang) có hoạt động hay không và nếu không, nó sẽ thay đổi cổng mặc định thành bộ định tuyến Comcast 10.1.10.1. Khi Cổng chính hoạt động trở lại, nó sẽ tự động chuyển về cổng đó.
Chúng tôi đã thiết lập điều này tương tự ở nhiều tòa nhà và nó hoạt động hoàn hảo, nhưng chúng tôi có một vài tòa nhà mà một khi cổng mặc định chuyển sang mạch Comcast dự phòng, DNS sẽ không phân giải được hầu hết thời gian và đôi khi nó sẽ giải quyết sau như 4 giây mà hầu hết các trình duyệt đã hết thời gian.
Điều kỳ lạ là nếu chúng ta ngắt kết nối cáp từ OLT đi đến cổng LAN trên bộ định tuyến hộp linux, DNS sẽ phân giải tốt từ dòng lệnh trên hộp linux và từ máy tính xách tay cắm vào cổng LAN của bộ định tuyến hộp Linux.
Nếu chúng tôi cắm máy tính xách tay vào cổng rj45 trên OLT, điều kỳ lạ là nó sẽ nhận được địa chỉ IPV6 (Comcast, ngay cả khi chúng tôi đã rút phích cắm bộ định tuyến Comcast trước). Từ đây, nếu chúng tôi ngắt kết nối các cổng GPON sợi quang để loại bỏ cư dân khỏi phương trình, Comcast dự phòng sẽ giải quyết đúng cách và mọi thứ hoạt động tốt và chúng tôi không nhận được địa chỉ ipv6 (chúng tôi chỉ sử dụng ipv4 ở phía lan). Cắm lại các cổng GPON cáp quang cho cư dân và ngay lập tức DNS sẽ không phân giải được nữa.
OLT được thiết lập với cổng cách ly để cư dân không thể "nhìn thấy" nhau. Chúng tôi đã cố gắng thiết lập ACL để chặn tất cả lưu lượng truy cập IPv6 cũng như tất cả ipv4 riêng tư không có trên mạng con 172.16.0.0/16, nhưng điều đó không hiệu quả.
/etc/resolv.conf
máy chủ định danh 8.8.8.8
máy chủ định danh 8.8.4.4
máy chủ định danh 1.1.1.1
/etc/resolv.conf giống nhau cho dù trên mạch Dự phòng hay mạch chính.
/etc/mạng/giao diện
# Tệp này mô tả các giao diện mạng có sẵn trên hệ thống của bạn
# và cách kích hoạt chúng. Để biết thêm thông tin, xem giao diện (5).
# Giao diện mạng loopback
tự động lo
vòng lặp iface lo inet
#Giao diện mạng LAN (cổng bên phải)
cho phép cắm nóng enp2s0
iface enp2s0 inet tĩnh
địa chỉ 172.16.1.1
mặt nạ mạng 255.255.0.0
######## KẾT THÚC THIẾT LẬP LAN ###################################### #############
############ CÀI ĐẶT MẠNG WAN CHÍNH ################################### #############
#WAN
cho phép cắm nóng enp3s0
iface enp3s0 inet tĩnh
địa chỉ xxx.xxx.xxx.xxx
mặt nạ mạng 255.255.255.252
cổng xxx.xxx.xxx.xxx
máy chủ định danh dns 8.8.8.8 8.8.4.4 1.1.1.1
########### KẾT THÚC THIẾT LẬP WAN CHÍNH
#Mạch dự phòng WAN
cho phép cắm nóng enp3s0
iface enp3s0 inet dhcp
máy chủ định danh dns 8.8.8.8 8.8.4.4 1.1.1.1
####### END SAO LƯU WAN SETUP FAILOVER ###################################
Chúng tôi đã thực hiện tcpdump, chúng tôi thấy nhiều modem/bộ định tuyến "Comcast" ở phía mạng LAN (chúng tôi đã tra cứu địa chỉ mac). Có vẻ như một số cư dân có Internet Comcast và đã cắm ONT của chúng tôi vào bộ định tuyến Comcast của họ và nó đang rò rỉ vào hệ thống. Nếu tôi đặt IP tĩnh là 10.0.0.xx và cắm vào cổng ONT rj45, tôi có thể ping và duyệt đến modem/bộ định tuyến Comcast của ai đó. Khi chúng tôi thiết lập ACL, điều này hiện đã bị chặn, nhưng chúng tôi vẫn gặp sự cố tương tự.
Tóm lại, có vẻ như có điều gì đó (có thể là modem/bộ định tuyến Comcast của cư dân) đến từ một hoặc nhiều ONT của cư dân đang can thiệp vào độ phân giải DNS, nhưng chỉ khi hệ thống của chúng tôi đã chuyển cổng mặc định sang bộ định tuyến dự phòng Comcast của chúng tôi. Xin nhắc lại rằng điều này chỉ xảy ra ở hai trong số nhiều tòa nhà có cùng cách bố trí. Tại các tòa nhà khác, chúng tôi dường như không thấy bất kỳ "modem/bộ định tuyến Comcast" nào đến từ các cư dân đã kết nối nhầm vào hệ thống của chúng tôi.
Bất kỳ ý tưởng?
