umike Опубликовано 27 сентября, 2016 (изменено) · Жалоба Коллеги, использующие SNR на доступе, поделитесь пожалуйста как используете SNR ALC аналогично D-Link PCF (в основном для фильтрации мусора)? На руках "поиграться" SNR-2965-24T. Возможно, кто-то опубликует или вышлет в личку свои ACL для примера? У D-Link наиболее подходящей оказалась конструкция из двух профилей (по этому посту): первый - ethertype + src mac + dst mac второй - PCF на L3/L4 Как с этим на SNR? 1) Имеет ли смысл по аналогии с D-Link создавать единый userdefined-access-list, покрывающий всё (11 смещений по 2 байте по идее должно хватить на все хотелки) или для простоты и переносимости между моделями можно создать обычные отдельные ACL, фильтрующие отдельно MAC, Ether Proto, IP-адреса, tcp/udp порты и это будет работать? 2) Не понял из беглого изучения мануалов, SNR UAL также как и D-Link PCF создаётся единственный на весь коммутатор? Несколько UAL разного вида создать нельзя? 3)Вопрос скорее к НАГу: у некоторых других производителей на этих-же dcn-платформах указывается, что есть ограничения на одновременное использование разных фич, например ip multicast destination-control и разных ACL. Не просвятите? Не хочется наткнуться на такие лимиты "потом". Изменено 30 сентября, 2016 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 29 сентября, 2016 · Жалоба хм. Неужели все используют SNR только на дистрибьюшене и в ядре, где подобные фильтры не нужны? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 29 сентября, 2016 · Жалоба 3)Вопрос скорее к НАГу: у некоторых других производителей на этих-же dcn-платформах указывается, что есть ограничения на одновременное использование разных фич, например ip multicast destination-control и разных ACL. Не просвятите? Не хочется наткнуться на такие лимиты "потом". Буквально вчера столкнулся с лимитами такими. TCAM побит на 8 слайсов и все оказались заняты так, что не включался ip multicast source-control. Спасибо поддержке, что рассказали как смотреть занятость TCAM. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 29 сентября, 2016 (изменено) · Жалоба Ок, для EoIP начнём с банальных # ip access-list 1100 permit any-source-mac any-destination-mac ethertype 2048 # arp access-list 1100 permit any-source-mac any-destination-mac ethertype 2054 # RARP и собственный loopdetect судя по счетчикам не нужны access-list 1100 permit any-source-mac any-destination-mac ethertype 32821 access-list 1100 permit f8:f0:82:00:00:00 000000FFFFFF f8:f0:82:00:00:00 000000FFFFFF ethertype 56329 # block all other access-list 1100 deny any-source-mac any-destination-mac # igmp в довесок к прочим фичам (source/destination control и т.д.) по желанию с type access-list 110 permit igmp any-source host-destination 224.0.0.2 access-list 110 permit igmp any-source 239.x.x.0 0.0.0.255 access-list 110 deny igmp any-source any-destination # permit dhcp client, deny any other ip broadcast access-list 110 permit udp any-source s-port 68 any-destination d-port 67 access-list 110 deny ip any-source host-destination 255.255.255.255 # не нужные подсетки (или наоборот, только нужные) вида access-list 110 deny ip 169.254.0.0 0.0.255.255 any-destination access-list 110 deny ip any-source 169.254.0.0 0.0.255.255 # ip протокол to multicast dst ip access-list 110 deny ip any-source 224.0.0.0 15.255.255.255 # DHCP server и так и сяк access-list 110 deny udp any-source s-port 67 any-destination access-list 110 deny udp any-source any-destination d-port 68 # NetBIOS, SSDP и прочее access-list 110 deny tcp any-source any-destination d-port 135 access-list 110 deny tcp any-source any-destination d-port 136 access-list 110 deny tcp any-source any-destination d-port 137 access-list 110 deny tcp any-source any-destination d-port 138 access-list 110 deny tcp any-source any-destination d-port 139 access-list 110 deny tcp any-source any-destination d-port 445 access-list 110 deny tcp any-source any-destination d-port 1900 access-list 110 deny tcp any-source any-destination d-port 2869 access-list 110 deny udp any-source any-destination d-port 135 access-list 110 deny udp any-source any-destination d-port 136 access-list 110 deny udp any-source any-destination d-port 137 access-list 110 deny udp any-source any-destination d-port 138 access-list 110 deny udp any-source any-destination d-port 139 access-list 110 deny udp any-source any-destination d-port 445 access-list 110 deny udp any-source any-destination d-port 1900 access-list 110 deny udp any-source any-destination d-port 2869 access-list 110 permit ip any-source any-destination в некоторых местах могло пригодиться такое #deny to dst ip 172.16.x.255/12 access-list 110 deny ip any-source 172.16.0.255 0.15.255.0 ERROR: destination wildcard is invalid! но похоже что коммутатор не хочет принимать несплошные wildcard mask. Навесил на 24 порта, судя по The unit0 tcam details is below ----------------------------------------------------------- Type rule Total Used free available mac-fw 120 128 120 8 1160 mac-ip-fw 744 768 744 24 1176 The unit0 total tcam number is:2048 used: 864 free:1184, utilization:42% ресурсов должно хватить, но вот на 48/52-портовую версию уже не факт что хватит если там tcam столько-же Изменено 29 сентября, 2016 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 29 сентября, 2016 (изменено) · Жалоба Буквально вчера столкнулся с лимитами такими. TCAM побит на 8 слайсов и все оказались заняты так, что не включался ip multicast source-control. можно вообще пример конфига source-control и ситуации? В SNR-2965-24T я так и не понял что именно он фильтрует (группы к которым разрешается/запрещается igmp join?) и добиться работоспособности Изменено 29 сентября, 2016 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikhail Burnin Опубликовано 29 сентября, 2016 · Жалоба Доброго дня, пример ограничения подписок на мультикаст группы на порту: access-list 6000 permit ip any-source 239.1.1.0 0.0.0.255 ! multicast destination-control ! Interface Ethernet1/0/1 ip multicast destination-control access-group 6000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 29 сентября, 2016 (изменено) · Жалоба пример ограничения подписок на мультикаст группы на порту: с destination-control я разобрался. Хотелось понять зачем нужен именно source-control и как его применять А также как запретить клиенту транслировать мультики. Изменено 29 сентября, 2016 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 30 сентября, 2016 · Жалоба Хотелось понять зачем нужен именно source-control и как его применятьА также как запретить клиенту транслировать мультики. Затем и нужен. Мы столкнулись с тем, что у абонента 100 мегабит мультикаста в ЛАНе, и они еще к нам подключились, чтобы от нас мультикаст брать. Поскольку мы имспользуем MVR, на аксес-вилане снупинг был выключен, и все 100 мегабит летели до ядра. Включили source-control и разрешили только наши группы и только на аплинке. Все как рукой сняло. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 30 сентября, 2016 · Жалоба Включили source-control и разрешили только наши группы и только на аплинке. Все как рукой сняло. какая у вас модель? Пример работоспособной настройки source-control покажите пожалуйста? ACL для фильтрации трафика от абонента не используете или на мультикаст они не влияют? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 30 сентября, 2016 · Жалоба По конфигу абонентского порта для EoIP набралось следующее полезное: Комментарии приветствуются. # stp,lacp,gvrp bpdu bridge-protocol filter # drop tagged traf on access port switchport discard packet tag # limit kbps in hardware storm-control broadcast 16 storm-control multicast 16 storm-control unicast 16 # limit pps in software (цифры с потолка, непонятно это per second или per port-rate-statistics interval) rate-violation broadcast 200 rate-violation multicast 200 rate-violation unicast 20000 rate-violation control shutdown # do not flood unknown unicast as broadcast switchport flood-control ucast # limit multicast ip multicast destination-control access-group 6000 igmp snooping drop query # vlans switchport access vlan xx switchport association multicast-vlan yyyy # ACL (см выше) ip access-group 110 in traffic-statistic mac access-group 1110 in traffic-statistic #loopdetect loopback-detection specified-vlan 1-4094 loopback-detection control shutdown # limit mac address count per port switchport port-security switchport port-security maximum 64 switchport port-security violation restrict #либо switchport mac-address dynamic maximum 64 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 30 сентября, 2016 · Жалоба Включили source-control и разрешили только наши группы и только на аплинке. Все как рукой сняло. какая у вас модель? Пример работоспособной настройки source-control покажите пожалуйста? ACL для фильтрации трафика от абонента не используете или на мультикаст они не влияют? 2990, 2965 ... ip multicast source-control multicast destination-control ! access-list 5000 permit ip any 239.185.46.0 0.0.0.255 access-list 6000 permit ip any 239.185.46.0 0.0.0.255 ! interface Eth1/0/25 descritpion Uplink ip multicast source-control access-group 5000 igmp snooping drop report ! interface Eth1/0/x description Client ip multicast destination-control access-group 6000 igmp snooping drop query ! ... Таким образом абоненты могут подписаться только на наши группы, а мультик может приходить в свитч только с аплинка. Никакой левоты после таких настроек нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 30 сентября, 2016 (изменено) · Жалоба ShyLion, с точно таким конфигом сразу после включения ip multicast source-control картинка пропадает и больше не появляется. SNR-S2965-24T Device, Compiled on Sep 14 14:14:25 2016 SoftWare Version 7.0.3.5(R0241.0122) BootRom Version 7.2.25 HardWare Version 1.0.2 Изменено 30 сентября, 2016 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 30 сентября, 2016 · Жалоба У вас "точно такие" группы? Конфиг в студию :) сразу после включения ip multicast source-control картинка пропадает и больше не появляется. А на аплинке прописывал access-group ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 30 сентября, 2016 · Жалоба Группы, конечно, прописывал свои, конфиг привожу только для двух портов, ACL расписаны выше, такой-же эффект был и без ACL. У Вас пример или с другой модели или с другой прошивки т.к. у меня вместо "any any" синтаксис "any-source any-destination" делаю по Вашему примеру ip multicast source-control int e 1/0/28 ip multicast source-control access-group 5000 SNRt#show ip multicast source-control detail ip multicast source-control is enabled Interface Ethernet1/0/28 use multicast source control access-list 5000 access-list 5000 permit ip any-source 239.255.100.0 0.0.0.255 ранее пробовал тоже самое по мануалу. Мультики пропадают и не появляются. ! service password-encryption ! hostname SNR2965 sysLocation SNR2965 sysContact xxx@xxx ! authentication line console login local ! ! ! clock timezone MSK add 3 0 ! ! no ip http server ! snmp-server enable snmp-server host ... snmp-server host ... snmp-server community rw ... snmp-server community ro ... snmp-server enable traps ! ! mtu 1600 ! loopback-detection control-recovery timeout 600 ! ! vlan 1 ! vlan 2 name managment ! vlan 3 name customers ! vlan 1500 name TV multicast-vlan ! access-list 5000 permit ip any-source 239.255.100.1 0.0.0.255 access-list 6000 permit ip any-source host-destination 224.0.0.1 range 2 access-list 6000 permit ip any-source 239.255.100.1 0.0.0.255 access-list 6000 deny ip any-source any-destination ! multicast-vlan group 239.255.100.1 255 multicast destination-control ! Interface Ethernet1/0/1 bridge-protocol filter storm-control broadcast 16 storm-control multicast 16 storm-control unicast 16 switchport flood-control ucast rate-violation broadcast 200 rate-violation multicast 200 rate-violation unicast 20000 rate-violation control shutdown ip multicast destination-control access-group 6000 switchport access vlan 3 switchport association multicast-vlan 1500 ip access-group 110 in traffic-statistic mac access-group 1110 in traffic-statistic loopback-detection specified-vlan 1-4094 loopback-detection control shutdown igmp snooping drop query switchport port-security switchport port-security maximum 64 switchport port-security violation restrict ! ! Interface Ethernet1/0/28 mls qos trust dscp mls qos queue algorithm sp switchport mode trunk switchport trunk allowed vlan 2;3;1500 ! interface Vlan1 ! interface Vlan2 ip address x.x.x.x ! ip igmp snooping ip igmp snooping vlan 1500 ip igmp snooping vlan 1500 limit group 100 ip igmp snooping vlan 1500 mrouter-port interface Ethernet1/0/28 ip igmp snooping vlan 1500 interface Ethernet1/0/1 limit group 5 strategy replace ! ip default-gateway x.x.x.x ! sntp polltime 3600 sntp server x.x.x.x ! no login ! captive-portal ! end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 3 октября, 2016 · Жалоба т.к. у меня вместо "any any" синтаксис "any-source any-destination" Да это я от руки писал. У меня и 2940 есть и 2960 и 2980 и 2990 и 2965, все одинаково там более-менее. Судя по количеству включеных фич у вас точно так-же как у меня мог закончиться TCAM. Покаж TCAM: # su (sdiag)#tshell debug call dumpslice Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 3 октября, 2016 (изменено) · Жалоба SNR(sdiag)#tshell debug call dumpslice the func return 0xffffffff и это без source-control я так понимаю, что судя по 0xffffffff ресурсы какой-то части TCAM использованы целиком? Несмотря на SNR(sdiag)#show tcam usage The unit0 tcam details is below ----------------------------------------------------------- Type rule Total Used free available mac-fw 120 128 120 8 1160 mac-ip-fw 750 768 756 12 1164 The unit0 total tcam number is:2048 used: 876 free:1172, utilization:42% По максимуму, конечно, хотелось бы получить фильтрацию мусора от абонента начиная с bpdu-служебных протоколов, igmp, неиспользуемых ipx и прочего барахла и заканчивая виндовыми netbios и ssdp/upnp. На DLink используются следующие фичи, хочется понимать как/что из этого набора можно скомбинировать, чтобы получить максимум на SRN, а чем прийдется жертвовать. - loopdetect; - bpdu filter; - broadcast/mulitcast/unicast storm по kbps (плюс/либо pps); - port security; - unicast flooding; - igmp snooping + multicast vlan (MVR); - фильтрация igmp querier от абонента (igmp snooping drop query) - а также в идеале разрешить только подписку только на нужные TV группы, остальное дропать как на уровне igmp, так и ip; - фильтрация мусора по ether proto + ip proto/tcp/udp/ports (типа приведенной выше - netbios, dhcp от абонента, ip broadcast и т.д.) - опционально, dhcp snooping; - опционально ограничение доступа ACL на VTY/Managment vlan; - опционально - перекраска части трафика snmp, syslog, ntp надеюсь, tcam не требуют. На DES-3200 всё это вместе работает, правда насчет фильтрации мультикаста и мусора не полностью (но это больше особенность нашего PCF&CPU ruleset из за ограничения на кол-во offset в PCF) и, пожалуй, кроме программных rate-violation по pps которых там нет. Изменено 3 октября, 2016 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 3 октября, 2016 · Жалоба SNR(sdiag)#tshell debug call dumpslice the func return 0xffffffff и это без source-control я так понимаю, что судя по 0xffffffff ресурсы какой-то части TCAM использованы целиком? Ничего это не значит. Возможно на этой платформе просто такой команды нет. Вот такой-же свитч: ss-pe-7103#show tcam usage The unit0 tcam details is below ----------------------------------------------------------- Type rule Total Used free available vlan-trans 1 128 1 127 1151 mac-ip-app 2 128 2 126 1150 DCSCM 5 128 5 123 1147 The unit0 total tcam number is:1408 used: 8 free:1400, utilization:0% Точнее SNR-S2965-8T Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikhail Burnin Опубликовано 3 октября, 2016 · Жалоба приветствую, SNR-S2990G и SNR-S2965 аппаратно разные железки, TCAM на SNR-S2965 в два раза больше и команда tshell debug call dumpslice не показывает на 2965 никакой полезной информации. (К слову о SNR-S2990, разработчики сейчас занимаются оптимизацией TCAM для этой серии) . umike 1)в Вашем конфиге мультикаст от абонентов уже блокируется правилом access-list 110 deny ip any-source 224.0.0.0 15.255.255.255 2) Весь перечисленный функционал будет одновременно работать на SNR-S2965, ничем жертвовать не надо. 3) Навешивание ACL на на VTY/Managment vlan производится командой "authentication ip access-class". 4) Проверил source-сontrol c вашим конфигом на стенде - отрабатывает нормально, если он у Вас не работает, создайте обращение в нашем TAC - support.nag.ru, мы обязательно поможем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 3 октября, 2016 · Жалоба umike 1)в Вашем конфиге мультикаст от абонентов уже блокируется правилом access-list 110 deny ip any-source 224.0.0.0 15.255.255.255 У него там предварительно разрешается IGMP на нужную группу. А вот 224.0.0.22 блокируется, хотя должен быть открыт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 3 октября, 2016 · Жалоба umike 1)в Вашем конфиге мультикаст от абонентов уже блокируется правилом access-list 110 deny ip any-source 224.0.0.0 15.255.255.255 это не совсем так, традиционно если состоялась igmp-подписка, то мультикаст льётся "мимо" ip/mac ACL. Например, убираем из конфига 15 порта "клиентские" ограничения, оставляем ACL: bridge-protocol filter switchport flood-control ucast switchport access vlan 151 switchport association multicast-vlan 1500 ip access-group 110 in traffic-statistic mac access-group 1110 in traffic-statistic loopback-detection specified-vlan 1-4094 loopback-detection control shutdown Включаем в этот15 порт кабель с IPTV и querier'ом, в 1 порту STBшка прекрасно подписывается и показывает мультики, льющиеся из этого порта SNR#show ip igmp snooping mrouter-port Igmp snooping vlan 1500 mrouter port Note:"!"-static mrouter port Ethernet1/0/15 !Ethernet1/0/28 добавляем в 13й порт машину в wireshark и видим, что этот-же мультикаст неуправляемо разливается во все порты. добавляем обратно ip multicast destination-control access-group 6000 при этом мультики сразу не пропадают пока подписка не протухла. Как только подписка протухнет, мультик пропадает. Делаем выводы: 1) destination/source control фильтрует только igmp-запросы 2) применение destination/source control необходимо, иначе может состояться подписка и разлив мультика по всей сети, несмотря на ACL. тикет сейчас пересоздам :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 3 октября, 2016 (изменено) · Жалоба А вот 224.0.0.22 блокируется, хотя должен быть открыт. для IGMP v1/2 не должен. К тому-же часто служебные .1, .2, .22, бывает вся 224.0.0.0/24 (или даже больше) вообще не фильтруется ACLями и подписки нормально работают. Изменено 3 октября, 2016 пользователем umike Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 3 октября, 2016 · Жалоба Ну лично я бы сделал стенд с только ip multicast source-control и проверил, потом постепенно добавлял фичи. А не включать все сразу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
umike Опубликовано 3 октября, 2016 · Жалоба сделал совсем "без нихто". Мультиков нету. При этом STBшка и VLC подписались и подписка обновляется. IGMP Snooping Connect Group Membership Note:*-All Source, (S)- Include Source, [s]-Exclude Source Groups Sources Ports Exptime SrcMac System Level 239.255.100.6 * Ethernet1/0/13 00:04:07 00:90:27:8B:9F:5D V2 239.255.100.35 * Ethernet1/0/1 00:04:20 00:1A:79:2E:C4:D3 V2 SNR_Test#sh run ! service password-encryption ! authentication line console login local ! ! ! clock timezone MSK add 3 0 ! ! no ip http server ! ! ! mtu 1600 ! loopback-detection control-recovery timeout 600 ! ! vlan 1 ! vlan 132 name managment ! vlan 151 name customers ! vlan 1500 name IPTV multicast-vlan ! firewall disable ! access-list 5000 permit ip any-source 239.255.100.0 0.0.0.255 ! multicast-vlan group 239.255.100.1 255 ip multicast source-control ! Interface Ethernet1/0/1 switchport access vlan 151 switchport association multicast-vlan 1500 loopback-detection specified-vlan 1-4094 loopback-detection control shutdown switchport port-security switchport port-security maximum 64 switchport port-security violation restrict ! Interface Ethernet1/0/28 ip multicast source-control access-group 5000 mls qos trust dscp mls qos queue algorithm sp switchport mode trunk switchport trunk allowed vlan 132;151;1500 ! interface Vlan1 ! interface Vlan132 ! ip igmp snooping ip igmp snooping vlan 1500 ip igmp snooping vlan 1500 limit group 100 ! ! no login ! captive-portal ! end Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 4 октября, 2016 · Жалоба Хм, чудеса. Отпиши потом, что саппорт насаппортит. У меня вон с 2960 проблема, там наоборот ничего не блокирует соурс-контрол, хотя НАГ у себя точно такой-же стенд делает и у них все работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 4 октября, 2016 (изменено) · Жалоба Прикол. На 2965 точно такая-же фигня как у umike. Включаешь соурс-контрол и привет, не пропускает мультик. Изменено 4 октября, 2016 пользователем ShyLion Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...