Jump to content

2950T Multicast. Часть вторая

Roman Ivanov
 Share

Recommended Posts

Roman Ivanov

Roman Ivanov

Posted
Posted

Сделал очередные тесты.

на этот раз все намного интереснее.

При 3-х исходящих и двух принимающих (все по одному Mbit, UDP, videolan) НИКАКИХ проблем с CPU. Т.е. изменение +- 0.2% - что ерунда.

 

Но когда послал поток на системный 224.0.0.1 - 14% CPU с одного Mbit.

В данный момент ищю, как это избежать.

Guest

Guest

Posted
Posted

Адрес 224.0.0.1 предназначен для обращения ко всем группам (все узлы и серверы, вовлеченные в данный момент в мультикастинг-обмен, например, участвующие в видеоконференции). ЭВМ может участвовать в мультикастинг-процессе на одном из следующих уровней:

Roman Ivanov

Roman Ivanov

Posted
  • Author
Posted
Адрес 224.0.0.1 предназначен для обращения ко всем группам (все узлы и серверы, вовлеченные в данный момент в мультикастинг-обмен, например, участвующие в видеоконференции). ЭВМ может участвовать в мультикастинг-процессе на одном из следующих уровней:

 

Это понятно.

Беда в другом. Простой юзер может вывести сеть из строя.

Даже если стоит broadcast storm control, он режет все ПОСЛЕ обработки пакета.

 

Т.е. сделать 100% загрузку CPU на свитче юзеру не проблема.

olebedev

olebedev

Posted
Posted

Сорри ошибся, имел ввиду igmp filter

 

ip igmp profile 1

range 224.0.0.0 239.255.255.255

 

interface Fa 0/5

ip igmp filter 1

end

 

По умолчанию профиль имеет значение deny! То есть описаная схема предписывает гасить все igmp в диапазоне от 224.0.0.0 до 239.255.255.255, если Вы хотите разрешить только отдельные группы, то тогда делаем так:

 

ip igmp profile 2

permit

range 224.0.0.5 224.0.0.5

repa

repa

Posted
Posted

Полностью фильтровать 224.0.0.1 неполучится. Любое мультикаст совместимое устройство должно его слушать, чтобы коректно обрабатывать мультикаст.

Roman Ivanov, если только в фильтре прописать адрес+протокол, то ты защитишся от тупого направления трафика на этот адрес. Но это не поможет от хацкеров.

В политики безопасности есть правило: затраты средств на обеспечение безопасности не должны превышать ущерб от атаки. Так или иначе всегда можно столкнуться с не универсальностью железа. Как только появятся DoS атака, тогда придется выкатывать свою артелерию в виде выключения мультикаст роутинга в VLAN-е и создании такого роутера на мощном компе. И пусть себе накручивает счетчик трафика и "моней" в твоем кошельке.

Roman Ivanov

Roman Ivanov

Posted
  • Author
Posted
Сорри ошибся, имел ввиду igmp filter

 

ip igmp profile 1

   range 224.0.0.0 239.255.255.255

 

interface Fa 0/5

ip igmp filter 1

end

 

По умолчанию профиль имеет значение deny! То есть описаная схема предписывает гасить все igmp в диапазоне от 224.0.0.0 до 239.255.255.255, если Вы хотите разрешить только отдельные группы, то тогда делаем так:

 

ip igmp profile 2

   permit

   range 224.0.0.5 224.0.0.5

 

ОТ нагрузки 224.0.0.1 не спасает, проверил.

olebedev

olebedev

Posted
Posted

Тогда странно почему кошка продолжает принимать пакеты на эту группу, надо будет поковырять в лабе, а не пробовали задушить ACL'ем на входящие адреса?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.