[umike]

Коллеги, использующие SNR на доступе, поделитесь пожалуйста как используете SNR ALC аналогично D-Link PCF (в основном для фильтрации мусора)? На руках "поиграться" SNR-2965-24T.

Возможно, кто-то опубликует или вышлет в личку свои ACL для примера? У D-Link наиболее подходящей оказалась конструкция из двух профилей (по этому посту):

первый - ethertype + src mac + dst mac

второй - PCF на L3/L4

 

Как с этим на SNR?

 

1) Имеет ли смысл по аналогии с D-Link создавать единый userdefined-access-list, покрывающий всё (11 смещений по 2 байте по идее должно хватить на все хотелки)

или для простоты и переносимости между моделями можно создать обычные отдельные ACL, фильтрующие отдельно MAC, Ether Proto, IP-адреса, tcp/udp порты и это будет работать?

 

2) Не понял из беглого изучения мануалов, SNR UAL также как и D-Link PCF создаётся единственный на весь коммутатор? Несколько UAL разного вида создать нельзя?

 

3)Вопрос скорее к НАГу: у некоторых других производителей на этих-же dcn-платформах указывается, что есть ограничения на одновременное использование разных фич, например ip multicast destination-control и разных ACL. Не просвятите? Не хочется наткнуться на такие лимиты "потом".

Изменено 30 сентября, 2016 пользователем umike

[umike]

хм. Неужели все используют SNR только на дистрибьюшене и в ядре, где подобные фильтры не нужны? :)

[ShyLion]

3)Вопрос скорее к НАГу: у некоторых других производителей на этих-же dcn-платформах указывается, что есть ограничения на одновременное использование разных фич, например ip multicast destination-control и разных ACL. Не просвятите? Не хочется наткнуться на такие лимиты "потом".

Буквально вчера столкнулся с лимитами такими.

TCAM побит на 8 слайсов и все оказались заняты так, что не включался ip multicast source-control.

Спасибо поддержке, что рассказали как смотреть занятость TCAM.

[umike]

Ок, для EoIP начнём с банальных

 

# ip
access-list 1100 permit any-source-mac any-destination-mac ethertype 2048
# arp
access-list 1100 permit any-source-mac any-destination-mac ethertype 2054

# RARP и собственный loopdetect судя по счетчикам не нужны
access-list 1100 permit any-source-mac any-destination-mac ethertype 32821
access-list 1100 permit f8:f0:82:00:00:00 000000FFFFFF f8:f0:82:00:00:00 000000FFFFFF ethertype 56329

# block all other
access-list 1100 deny any-source-mac any-destination-mac



# igmp в довесок к прочим фичам (source/destination control и т.д.) по желанию с type
access-list 110 permit igmp any-source host-destination 224.0.0.2
access-list 110 permit igmp any-source 239.x.x.0 0.0.0.255
access-list 110 deny igmp any-source any-destination

# permit dhcp client, deny any other ip broadcast
access-list 110 permit udp any-source s-port 68 any-destination d-port 67
access-list 110 deny ip any-source host-destination 255.255.255.255

# не нужные подсетки (или наоборот, только нужные)  вида 
access-list 110 deny ip 169.254.0.0 0.0.255.255 any-destination
access-list 110 deny ip any-source 169.254.0.0 0.0.255.255

# ip протокол to multicast dst ip
access-list 110 deny ip any-source 224.0.0.0 15.255.255.255

# DHCP server и так и сяк
access-list 110 deny udp any-source s-port 67 any-destination
access-list 110 deny udp any-source any-destination d-port 68

# NetBIOS, SSDP и прочее
access-list 110 deny tcp any-source any-destination d-port 135
access-list 110 deny tcp any-source any-destination d-port 136
access-list 110 deny tcp any-source any-destination d-port 137
access-list 110 deny tcp any-source any-destination d-port 138
access-list 110 deny tcp any-source any-destination d-port 139
access-list 110 deny tcp any-source any-destination d-port 445
access-list 110 deny tcp any-source any-destination d-port 1900
access-list 110 deny tcp any-source any-destination d-port 2869

access-list 110 deny udp any-source any-destination d-port 135
access-list 110 deny udp any-source any-destination d-port 136
access-list 110 deny udp any-source any-destination d-port 137
access-list 110 deny udp any-source any-destination d-port 138
access-list 110 deny udp any-source any-destination d-port 139
access-list 110 deny udp any-source any-destination d-port 445
access-list 110 deny udp any-source any-destination d-port 1900
access-list 110 deny udp any-source any-destination d-port 2869
access-list 110 permit ip any-source any-destination

 

 

в некоторых местах могло пригодиться такое

#deny to dst ip 172.16.x.255/12

access-list 110 deny ip any-source 172.16.0.255 0.15.255.0
ERROR: destination wildcard is invalid!

но похоже что коммутатор не хочет принимать несплошные wildcard mask.

 

Навесил на 24 порта, судя по

The unit0 tcam details is below
-----------------------------------------------------------
Type    	rule	Total   Used	free	available
 	mac-fw	120 	128 	120 	8   	1160
  mac-ip-fw	744 	768 	744 	24  	1176

The unit0 total tcam number is:2048  used: 864 free:1184, utilization:42%

ресурсов должно хватить, но вот на 48/52-портовую версию уже не факт что хватит если там tcam столько-же

Изменено 29 сентября, 2016 пользователем umike

[umike]

Буквально вчера столкнулся с лимитами такими. TCAM побит на 8 слайсов и все оказались заняты так, что не включался ip multicast source-control.

можно вообще пример конфига source-control и ситуации? В SNR-2965-24T я так и не понял что именно он фильтрует (группы к которым разрешается/запрещается igmp join?) и добиться работоспособности

Изменено 29 сентября, 2016 пользователем umike

[Mikhail Burnin]

Доброго дня,

 

пример ограничения подписок на мультикаст группы на порту:

 

access-list 6000 permit ip any-source 239.1.1.0 0.0.0.255

!

multicast destination-control

!

Interface Ethernet1/0/1

ip multicast destination-control access-group 6000

[umike]

пример ограничения подписок на мультикаст группы на порту:

 

с destination-control я разобрался. Хотелось понять зачем нужен именно source-control и как его применять

А также как запретить клиенту транслировать мультики.

Изменено 29 сентября, 2016 пользователем umike

[ShyLion]

Хотелось понять зачем нужен именно source-control и как его применять

А также как запретить клиенту транслировать мультики.

Затем и нужен.

Мы столкнулись с тем, что у абонента 100 мегабит мультикаста в ЛАНе, и они еще к нам подключились, чтобы от нас мультикаст брать.

Поскольку мы имспользуем MVR, на аксес-вилане снупинг был выключен, и все 100 мегабит летели до ядра.

Включили source-control и разрешили только наши группы и только на аплинке. Все как рукой сняло.

[umike]

Включили source-control и разрешили только наши группы и только на аплинке. Все как рукой сняло.

какая у вас модель? Пример работоспособной настройки source-control покажите пожалуйста?

ACL для фильтрации трафика от абонента не используете или на мультикаст они не влияют?

[umike]

По конфигу абонентского порта для EoIP набралось следующее полезное:

Комментарии приветствуются.

 

# stp,lacp,gvrp bpdu 
bridge-protocol filter

# drop tagged traf on access port
switchport discard packet tag

# limit kbps in hardware
storm-control broadcast 16
storm-control multicast 16
storm-control unicast 16

# limit pps in software (цифры с потолка, непонятно это per second или  per port-rate-statistics interval)
rate-violation broadcast 200
rate-violation multicast 200
rate-violation unicast 20000
rate-violation control shutdown

# do not flood unknown unicast as broadcast
switchport flood-control ucast

# limit multicast
ip multicast destination-control access-group 6000
igmp snooping drop query

# vlans
switchport access vlan xx
switchport association multicast-vlan yyyy

# ACL (см выше)
ip access-group 110 in traffic-statistic
mac access-group 1110 in traffic-statistic

#loopdetect
loopback-detection specified-vlan 1-4094
loopback-detection control shutdown

# limit mac address count per port
switchport port-security
switchport port-security maximum 64
switchport port-security violation restrict
#либо  switchport mac-address dynamic maximum 64

[ShyLion]

Включили source-control и разрешили только наши группы и только на аплинке. Все как рукой сняло.

какая у вас модель? Пример работоспособной настройки source-control покажите пожалуйста?

ACL для фильтрации трафика от абонента не используете или на мультикаст они не влияют?

2990, 2965

 

...
ip multicast source-control
multicast destination-control
!
access-list 5000 permit ip any 239.185.46.0 0.0.0.255
access-list 6000 permit ip any 239.185.46.0 0.0.0.255
!
interface Eth1/0/25
descritpion Uplink
ip multicast source-control access-group 5000
igmp snooping drop report 
!
interface Eth1/0/x
description Client
ip multicast destination-control access-group 6000
igmp snooping drop query
!
...

 

Таким образом абоненты могут подписаться только на наши группы, а мультик может приходить в свитч только с аплинка. Никакой левоты после таких настроек нет.

[umike]

ShyLion, с точно таким конфигом сразу после включения ip multicast source-control картинка пропадает и больше не появляется.

 

  SNR-S2965-24T Device, Compiled on Sep 14 14:14:25 2016

 SoftWare Version 7.0.3.5(R0241.0122)
 BootRom Version 7.2.25
 HardWare Version 1.0.2

Изменено 30 сентября, 2016 пользователем umike

[ShyLion]

У вас "точно такие" группы?

Конфиг в студию :)

 

сразу после включения ip multicast source-control картинка пропадает и больше не появляется.

А на аплинке прописывал access-group ?

[umike]

Группы, конечно, прописывал свои,

конфиг привожу только для двух портов,

ACL расписаны выше, такой-же эффект был и без ACL. У Вас пример или с другой модели или с другой прошивки т.к. у меня вместо "any any" синтаксис "any-source any-destination"

 

делаю по Вашему примеру

 

ip multicast source-control

int e 1/0/28

ip multicast source-control access-group 5000

 

SNRt#show ip multicast source-control detail
ip multicast source-control is enabled
Interface Ethernet1/0/28 use multicast source control access-list 5000
access-list 5000 permit ip any-source 239.255.100.0 0.0.0.255

 

ранее пробовал тоже самое по мануалу. Мультики пропадают и не появляются.

 

 

!
service password-encryption
!
hostname SNR2965
sysLocation SNR2965
sysContact xxx@xxx
!
authentication line console login local
!
!
!
clock timezone MSK add 3 0
!
!
no ip http server
!
snmp-server enable
snmp-server host ...
snmp-server host ...
snmp-server community rw ...
snmp-server community ro ...
snmp-server enable traps
!
!
mtu 1600
!
loopback-detection control-recovery timeout 600
!
!
vlan 1 
!
vlan 2
name managment
!
vlan 3
name customers
!
vlan 1500
name TV
multicast-vlan
!
access-list 5000 permit ip any-source 239.255.100.1 0.0.0.255
access-list 6000 permit ip any-source host-destination 224.0.0.1 range 2 
access-list 6000 permit ip any-source 239.255.100.1 0.0.0.255
access-list 6000 deny ip any-source any-destination
!
multicast-vlan group 239.255.100.1 255
multicast destination-control
!
Interface Ethernet1/0/1
bridge-protocol filter
storm-control broadcast 16
storm-control multicast 16
storm-control unicast 16
switchport flood-control ucast
rate-violation broadcast 200
rate-violation multicast 200
rate-violation unicast 20000
rate-violation control shutdown
ip multicast destination-control access-group 6000
switchport access vlan 3
switchport association multicast-vlan 1500
ip access-group 110 in traffic-statistic
mac access-group 1110 in traffic-statistic
loopback-detection specified-vlan 1-4094
loopback-detection control shutdown
igmp snooping drop query
switchport port-security
switchport port-security maximum 64
switchport port-security violation restrict
!
!
Interface Ethernet1/0/28
mls qos trust dscp
mls qos queue algorithm sp
switchport mode trunk
switchport trunk allowed vlan 2;3;1500 
!
interface Vlan1
!
interface Vlan2
ip address x.x.x.x
!
ip igmp snooping
ip igmp snooping vlan 1500
ip igmp snooping vlan 1500 limit group 100
ip igmp snooping vlan 1500 mrouter-port interface Ethernet1/0/28
ip igmp snooping vlan 1500 interface Ethernet1/0/1 limit group 5 strategy replace
!
ip default-gateway x.x.x.x
!
sntp polltime 3600
sntp server x.x.x.x
!
no login
!
captive-portal
!
end  

[ShyLion]

т.к. у меня вместо "any any" синтаксис "any-source any-destination"

Да это я от руки писал. У меня и 2940 есть и 2960 и 2980 и 2990 и 2965, все одинаково там более-менее.

 

Судя по количеству включеных фич у вас точно так-же как у меня мог закончиться TCAM.

Покаж TCAM:

 

# su
(sdiag)#tshell debug call dumpslice

[umike]

SNR(sdiag)#tshell debug call dumpslice
the func return 0xffffffff

и это без source-control

я так понимаю, что судя по 0xffffffff ресурсы какой-то части TCAM использованы целиком? Несмотря на

 

SNR(sdiag)#show tcam usage
The unit0 tcam details is below
-----------------------------------------------------------
Type    	rule	Total   Used	free	available
 	mac-fw	120 	128 	120 	8   	1160
  mac-ip-fw	750 	768 	756 	12  	1164

The unit0 total tcam number is:2048  used: 876 free:1172, utilization:42%

 

 

По максимуму, конечно, хотелось бы получить фильтрацию мусора от абонента начиная с bpdu-служебных протоколов, igmp, неиспользуемых ipx и прочего барахла и заканчивая виндовыми netbios и ssdp/upnp.

 

 

На DLink используются следующие фичи, хочется понимать как/что из этого набора можно скомбинировать, чтобы получить максимум на SRN, а чем прийдется жертвовать.

 

- loopdetect;

- bpdu filter;

- broadcast/mulitcast/unicast storm по kbps (плюс/либо pps);

- port security;

- unicast flooding;

 

- igmp snooping + multicast vlan (MVR);

- фильтрация igmp querier от абонента (igmp snooping drop query)

- а также в идеале разрешить только подписку только на нужные TV группы, остальное дропать как на уровне igmp, так и ip;

- фильтрация мусора по ether proto + ip proto/tcp/udp/ports (типа приведенной выше - netbios, dhcp от абонента, ip broadcast и т.д.)

- опционально, dhcp snooping;

- опционально ограничение доступа ACL на VTY/Managment vlan;

- опционально - перекраска части трафика

 

snmp, syslog, ntp надеюсь, tcam не требуют.

 

На DES-3200 всё это вместе работает, правда насчет фильтрации мультикаста и мусора не полностью (но это больше особенность нашего PCF&CPU ruleset из за ограничения на кол-во offset в PCF) и, пожалуй, кроме программных rate-violation по pps которых там нет.

Изменено 3 октября, 2016 пользователем umike

[ShyLion]

SNR(sdiag)#tshell debug call dumpslice
the func return 0xffffffff

и это без source-control

я так понимаю, что судя по 0xffffffff ресурсы какой-то части TCAM использованы целиком?

 

Ничего это не значит. Возможно на этой платформе просто такой команды нет.

 

Вот такой-же свитч:

 

ss-pe-7103#show tcam usage
The unit0 tcam details is below
-----------------------------------------------------------
   Type        rule    Total   Used    free    available
 vlan-trans    1       128     1       127     1151
 mac-ip-app    2       128     2       126     1150
      DCSCM    5       128     5       123     1147

The unit0 total tcam number is:1408  used: 8 free:1400, utilization:0%

 

Точнее SNR-S2965-8T

[Mikhail Burnin]

приветствую,

 

SNR-S2990G и SNR-S2965 аппаратно разные железки, TCAM на SNR-S2965 в два раза больше и команда tshell debug call dumpslice не показывает на 2965 никакой полезной информации.

(К слову о SNR-S2990, разработчики сейчас занимаются оптимизацией TCAM для этой серии) .

 

umike

1)в Вашем конфиге мультикаст от абонентов уже блокируется правилом access-list 110 deny ip any-source 224.0.0.0 15.255.255.255

2) Весь перечисленный функционал будет одновременно работать на SNR-S2965, ничем жертвовать не надо.

3) Навешивание ACL на на VTY/Managment vlan производится командой "authentication ip access-class".

4) Проверил source-сontrol c вашим конфигом на стенде - отрабатывает нормально, если он у Вас не работает, создайте обращение в нашем TAC - support.nag.ru, мы обязательно поможем.

[ShyLion]

umike

1)в Вашем конфиге мультикаст от абонентов уже блокируется правилом access-list 110 deny ip any-source 224.0.0.0 15.255.255.255

У него там предварительно разрешается IGMP на нужную группу.

 

А вот 224.0.0.22 блокируется, хотя должен быть открыт.

[umike]

umike

1)в Вашем конфиге мультикаст от абонентов уже блокируется правилом access-list 110 deny ip any-source 224.0.0.0 15.255.255.255

 

это не совсем так, традиционно если состоялась igmp-подписка, то мультикаст льётся "мимо" ip/mac ACL.

Например, убираем из конфига 15 порта "клиентские" ограничения, оставляем ACL:

 bridge-protocol filter
switchport flood-control ucast
switchport access vlan 151
switchport association multicast-vlan 1500
ip access-group 110 in traffic-statistic
mac access-group 1110 in traffic-statistic
loopback-detection specified-vlan 1-4094
loopback-detection control shutdown

 

Включаем в этот15 порт кабель с IPTV и querier'ом, в 1 порту STBшка прекрасно подписывается и показывает мультики, льющиеся из этого порта

SNR#show ip igmp snooping mrouter-port

Igmp snooping vlan 1500 mrouter port
Note:"!"-static mrouter port
Ethernet1/0/15  !Ethernet1/0/28

 

добавляем в 13й порт машину в wireshark и видим, что этот-же мультикаст неуправляемо разливается во все порты.

 

добавляем обратно ip multicast destination-control access-group 6000 при этом мультики сразу не пропадают пока подписка не протухла. Как только подписка протухнет, мультик пропадает.

 

Делаем выводы:

1) destination/source control фильтрует только igmp-запросы

2) применение destination/source control необходимо, иначе может состояться подписка и разлив мультика по всей сети, несмотря на ACL.

 

тикет сейчас пересоздам :)

[umike]

А вот 224.0.0.22 блокируется, хотя должен быть открыт.

 

для IGMP v1/2 не должен. К тому-же часто служебные .1, .2, .22, бывает вся 224.0.0.0/24 (или даже больше) вообще не фильтруется ACLями и подписки нормально работают.

Изменено 3 октября, 2016 пользователем umike

[ShyLion]

Ну лично я бы сделал стенд с только ip multicast source-control и проверил, потом постепенно добавлял фичи.

А не включать все сразу.

[umike]

сделал совсем "без нихто". Мультиков нету.

При этом STBшка и VLC подписались и подписка обновляется.

IGMP Snooping Connect Group Membership
Note:*-All Source, (S)- Include Source, [s]-Exclude Source
Groups      	Sources     		Ports       		Exptime  SrcMac          	System Level
239.255.100.6   *           		Ethernet1/0/13  	00:04:07 00:90:27:8B:9F:5D   V2
239.255.100.35  *           		Ethernet1/0/1   	00:04:20 00:1A:79:2E:C4:D3   V2

 

 

SNR_Test#sh run
!
service password-encryption
!
authentication line console login local
!
!
!
clock timezone MSK add 3 0
!
!
no ip http server
!
!
!
mtu 1600
!
loopback-detection control-recovery timeout 600
!
!
vlan 1
!
vlan 132
name managment
!
vlan 151
name customers
!
vlan 1500
name IPTV
multicast-vlan
!
firewall disable
!
access-list 5000 permit ip any-source 239.255.100.0 0.0.0.255
!
multicast-vlan group 239.255.100.1 255
ip multicast source-control
!
Interface Ethernet1/0/1
switchport access vlan 151
switchport association multicast-vlan 1500
loopback-detection specified-vlan 1-4094
loopback-detection control shutdown
switchport port-security
switchport port-security maximum 64
switchport port-security violation restrict
!
Interface Ethernet1/0/28
ip multicast source-control access-group 5000
mls qos trust dscp
mls qos queue algorithm sp
switchport mode trunk
switchport trunk allowed vlan 132;151;1500
!
interface Vlan1
!
interface Vlan132
!
ip igmp snooping
ip igmp snooping vlan 1500
ip igmp snooping vlan 1500 limit group 100
!
!
no login
!
captive-portal
!
end

[ShyLion]

Хм, чудеса.

Отпиши потом, что саппорт насаппортит.

У меня вон с 2960 проблема, там наоборот ничего не блокирует соурс-контрол, хотя НАГ у себя точно такой-же стенд делает и у них все работает.

[ShyLion]

Прикол. На 2965 точно такая-же фигня как у umike. Включаешь соурс-контрол и привет, не пропускает мультик.

Изменено 4 октября, 2016 пользователем ShyLion