umike Posted September 27, 2016 (edited) Коллеги, использующие SNR на доступе, поделитесь пожалуйста как используете SNR ALC аналогично D-Link PCF (в основном для фильтрации мусора)? На руках "поиграться" SNR-2965-24T. Возможно, кто-то опубликует или вышлет в личку свои ACL для примера? У D-Link наиболее подходящей оказалась конструкция из двух профилей (по этому посту): первый - ethertype + src mac + dst mac второй - PCF на L3/L4 Как с этим на SNR? 1) Имеет ли смысл по аналогии с D-Link создавать единый userdefined-access-list, покрывающий всё (11 смещений по 2 байте по идее должно хватить на все хотелки) или для простоты и переносимости между моделями можно создать обычные отдельные ACL, фильтрующие отдельно MAC, Ether Proto, IP-адреса, tcp/udp порты и это будет работать? 2) Не понял из беглого изучения мануалов, SNR UAL также как и D-Link PCF создаётся единственный на весь коммутатор? Несколько UAL разного вида создать нельзя? 3)Вопрос скорее к НАГу: у некоторых других производителей на этих-же dcn-платформах указывается, что есть ограничения на одновременное использование разных фич, например ip multicast destination-control и разных ACL. Не просвятите? Не хочется наткнуться на такие лимиты "потом". Edited September 30, 2016 by umike Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
umike Posted September 29, 2016 хм. Неужели все используют SNR только на дистрибьюшене и в ядре, где подобные фильтры не нужны? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 29, 2016 3)Вопрос скорее к НАГу: у некоторых других производителей на этих-же dcn-платформах указывается, что есть ограничения на одновременное использование разных фич, например ip multicast destination-control и разных ACL. Не просвятите? Не хочется наткнуться на такие лимиты "потом". Буквально вчера столкнулся с лимитами такими. TCAM побит на 8 слайсов и все оказались заняты так, что не включался ip multicast source-control. Спасибо поддержке, что рассказали как смотреть занятость TCAM. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
umike Posted September 29, 2016 (edited) Ок, для EoIP начнём с банальных # ip access-list 1100 permit any-source-mac any-destination-mac ethertype 2048 # arp access-list 1100 permit any-source-mac any-destination-mac ethertype 2054 # RARP и собственный loopdetect судя по счетчикам не нужны access-list 1100 permit any-source-mac any-destination-mac ethertype 32821 access-list 1100 permit f8:f0:82:00:00:00 000000FFFFFF f8:f0:82:00:00:00 000000FFFFFF ethertype 56329 # block all other access-list 1100 deny any-source-mac any-destination-mac # igmp в довесок к прочим фичам (source/destination control и т.д.) по желанию с type access-list 110 permit igmp any-source host-destination 224.0.0.2 access-list 110 permit igmp any-source 239.x.x.0 0.0.0.255 access-list 110 deny igmp any-source any-destination # permit dhcp client, deny any other ip broadcast access-list 110 permit udp any-source s-port 68 any-destination d-port 67 access-list 110 deny ip any-source host-destination 255.255.255.255 # не нужные подсетки (или наоборот, только нужные) вида access-list 110 deny ip 169.254.0.0 0.0.255.255 any-destination access-list 110 deny ip any-source 169.254.0.0 0.0.255.255 # ip протокол to multicast dst ip access-list 110 deny ip any-source 224.0.0.0 15.255.255.255 # DHCP server и так и сяк access-list 110 deny udp any-source s-port 67 any-destination access-list 110 deny udp any-source any-destination d-port 68 # NetBIOS, SSDP и прочее access-list 110 deny tcp any-source any-destination d-port 135 access-list 110 deny tcp any-source any-destination d-port 136 access-list 110 deny tcp any-source any-destination d-port 137 access-list 110 deny tcp any-source any-destination d-port 138 access-list 110 deny tcp any-source any-destination d-port 139 access-list 110 deny tcp any-source any-destination d-port 445 access-list 110 deny tcp any-source any-destination d-port 1900 access-list 110 deny tcp any-source any-destination d-port 2869 access-list 110 deny udp any-source any-destination d-port 135 access-list 110 deny udp any-source any-destination d-port 136 access-list 110 deny udp any-source any-destination d-port 137 access-list 110 deny udp any-source any-destination d-port 138 access-list 110 deny udp any-source any-destination d-port 139 access-list 110 deny udp any-source any-destination d-port 445 access-list 110 deny udp any-source any-destination d-port 1900 access-list 110 deny udp any-source any-destination d-port 2869 access-list 110 permit ip any-source any-destination в некоторых местах могло пригодиться такое #deny to dst ip 172.16.x.255/12 access-list 110 deny ip any-source 172.16.0.255 0.15.255.0 ERROR: destination wildcard is invalid! но похоже что коммутатор не хочет принимать несплошные wildcard mask. Навесил на 24 порта, судя по The unit0 tcam details is below ----------------------------------------------------------- Type rule Total Used free available mac-fw 120 128 120 8 1160 mac-ip-fw 744 768 744 24 1176 The unit0 total tcam number is:2048 used: 864 free:1184, utilization:42% ресурсов должно хватить, но вот на 48/52-портовую версию уже не факт что хватит если там tcam столько-же Edited September 29, 2016 by umike Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
umike Posted September 29, 2016 (edited) Буквально вчера столкнулся с лимитами такими. TCAM побит на 8 слайсов и все оказались заняты так, что не включался ip multicast source-control. можно вообще пример конфига source-control и ситуации? В SNR-2965-24T я так и не понял что именно он фильтрует (группы к которым разрешается/запрещается igmp join?) и добиться работоспособности Edited September 29, 2016 by umike Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mikhail Burnin Posted September 29, 2016 Доброго дня, пример ограничения подписок на мультикаст группы на порту: access-list 6000 permit ip any-source 239.1.1.0 0.0.0.255 ! multicast destination-control ! Interface Ethernet1/0/1 ip multicast destination-control access-group 6000 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
umike Posted September 29, 2016 (edited) пример ограничения подписок на мультикаст группы на порту: с destination-control я разобрался. Хотелось понять зачем нужен именно source-control и как его применять А также как запретить клиенту транслировать мультики. Edited September 29, 2016 by umike Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 30, 2016 Хотелось понять зачем нужен именно source-control и как его применятьА также как запретить клиенту транслировать мультики. Затем и нужен. Мы столкнулись с тем, что у абонента 100 мегабит мультикаста в ЛАНе, и они еще к нам подключились, чтобы от нас мультикаст брать. Поскольку мы имспользуем MVR, на аксес-вилане снупинг был выключен, и все 100 мегабит летели до ядра. Включили source-control и разрешили только наши группы и только на аплинке. Все как рукой сняло. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
umike Posted September 30, 2016 Включили source-control и разрешили только наши группы и только на аплинке. Все как рукой сняло. какая у вас модель? Пример работоспособной настройки source-control покажите пожалуйста? ACL для фильтрации трафика от абонента не используете или на мультикаст они не влияют? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
umike Posted September 30, 2016 По конфигу абонентского порта для EoIP набралось следующее полезное: Комментарии приветствуются. # stp,lacp,gvrp bpdu bridge-protocol filter # drop tagged traf on access port switchport discard packet tag # limit kbps in hardware storm-control broadcast 16 storm-control multicast 16 storm-control unicast 16 # limit pps in software (цифры с потолка, непонятно это per second или per port-rate-statistics interval) rate-violation broadcast 200 rate-violation multicast 200 rate-violation unicast 20000 rate-violation control shutdown # do not flood unknown unicast as broadcast switchport flood-control ucast # limit multicast ip multicast destination-control access-group 6000 igmp snooping drop query # vlans switchport access vlan xx switchport association multicast-vlan yyyy # ACL (см выше) ip access-group 110 in traffic-statistic mac access-group 1110 in traffic-statistic #loopdetect loopback-detection specified-vlan 1-4094 loopback-detection control shutdown # limit mac address count per port switchport port-security switchport port-security maximum 64 switchport port-security violation restrict #либо switchport mac-address dynamic maximum 64 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 30, 2016 Включили source-control и разрешили только наши группы и только на аплинке. Все как рукой сняло. какая у вас модель? Пример работоспособной настройки source-control покажите пожалуйста? ACL для фильтрации трафика от абонента не используете или на мультикаст они не влияют? 2990, 2965 ... ip multicast source-control multicast destination-control ! access-list 5000 permit ip any 239.185.46.0 0.0.0.255 access-list 6000 permit ip any 239.185.46.0 0.0.0.255 ! interface Eth1/0/25 descritpion Uplink ip multicast source-control access-group 5000 igmp snooping drop report ! interface Eth1/0/x description Client ip multicast destination-control access-group 6000 igmp snooping drop query ! ... Таким образом абоненты могут подписаться только на наши группы, а мультик может приходить в свитч только с аплинка. Никакой левоты после таких настроек нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
umike Posted September 30, 2016 (edited) ShyLion, с точно таким конфигом сразу после включения ip multicast source-control картинка пропадает и больше не появляется. SNR-S2965-24T Device, Compiled on Sep 14 14:14:25 2016 SoftWare Version 7.0.3.5(R0241.0122) BootRom Version 7.2.25 HardWare Version 1.0.2 Edited September 30, 2016 by umike Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted September 30, 2016 У вас "точно такие" группы? Конфиг в студию :) сразу после включения ip multicast source-control картинка пропадает и больше не появляется. А на аплинке прописывал access-group ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
umike Posted September 30, 2016 Группы, конечно, прописывал свои, конфиг привожу только для двух портов, ACL расписаны выше, такой-же эффект был и без ACL. У Вас пример или с другой модели или с другой прошивки т.к. у меня вместо "any any" синтаксис "any-source any-destination" делаю по Вашему примеру ip multicast source-control int e 1/0/28 ip multicast source-control access-group 5000 SNRt#show ip multicast source-control detail ip multicast source-control is enabled Interface Ethernet1/0/28 use multicast source control access-list 5000 access-list 5000 permit ip any-source 239.255.100.0 0.0.0.255 ранее пробовал тоже самое по мануалу. Мультики пропадают и не появляются. ! service password-encryption ! hostname SNR2965 sysLocation SNR2965 sysContact xxx@xxx ! authentication line console login local ! ! ! clock timezone MSK add 3 0 ! ! no ip http server ! snmp-server enable snmp-server host ... snmp-server host ... snmp-server community rw ... snmp-server community ro ... snmp-server enable traps ! ! mtu 1600 ! loopback-detection control-recovery timeout 600 ! ! vlan 1 ! vlan 2 name managment ! vlan 3 name customers ! vlan 1500 name TV multicast-vlan ! access-list 5000 permit ip any-source 239.255.100.1 0.0.0.255 access-list 6000 permit ip any-source host-destination 224.0.0.1 range 2 access-list 6000 permit ip any-source 239.255.100.1 0.0.0.255 access-list 6000 deny ip any-source any-destination ! multicast-vlan group 239.255.100.1 255 multicast destination-control ! Interface Ethernet1/0/1 bridge-protocol filter storm-control broadcast 16 storm-control multicast 16 storm-control unicast 16 switchport flood-control ucast rate-violation broadcast 200 rate-violation multicast 200 rate-violation unicast 20000 rate-violation control shutdown ip multicast destination-control access-group 6000 switchport access vlan 3 switchport association multicast-vlan 1500 ip access-group 110 in traffic-statistic mac access-group 1110 in traffic-statistic loopback-detection specified-vlan 1-4094 loopback-detection control shutdown igmp snooping drop query switchport port-security switchport port-security maximum 64 switchport port-security violation restrict ! ! Interface Ethernet1/0/28 mls qos trust dscp mls qos queue algorithm sp switchport mode trunk switchport trunk allowed vlan 2;3;1500 ! interface Vlan1 ! interface Vlan2 ip address x.x.x.x ! ip igmp snooping ip igmp snooping vlan 1500 ip igmp snooping vlan 1500 limit group 100 ip igmp snooping vlan 1500 mrouter-port interface Ethernet1/0/28 ip igmp snooping vlan 1500 interface Ethernet1/0/1 limit group 5 strategy replace ! ip default-gateway x.x.x.x ! sntp polltime 3600 sntp server x.x.x.x ! no login ! captive-portal ! end Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted October 3, 2016 т.к. у меня вместо "any any" синтаксис "any-source any-destination" Да это я от руки писал. У меня и 2940 есть и 2960 и 2980 и 2990 и 2965, все одинаково там более-менее. Судя по количеству включеных фич у вас точно так-же как у меня мог закончиться TCAM. Покаж TCAM: # su (sdiag)#tshell debug call dumpslice Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
umike Posted October 3, 2016 (edited) SNR(sdiag)#tshell debug call dumpslice the func return 0xffffffff и это без source-control я так понимаю, что судя по 0xffffffff ресурсы какой-то части TCAM использованы целиком? Несмотря на SNR(sdiag)#show tcam usage The unit0 tcam details is below ----------------------------------------------------------- Type rule Total Used free available mac-fw 120 128 120 8 1160 mac-ip-fw 750 768 756 12 1164 The unit0 total tcam number is:2048 used: 876 free:1172, utilization:42% По максимуму, конечно, хотелось бы получить фильтрацию мусора от абонента начиная с bpdu-служебных протоколов, igmp, неиспользуемых ipx и прочего барахла и заканчивая виндовыми netbios и ssdp/upnp. На DLink используются следующие фичи, хочется понимать как/что из этого набора можно скомбинировать, чтобы получить максимум на SRN, а чем прийдется жертвовать. - loopdetect; - bpdu filter; - broadcast/mulitcast/unicast storm по kbps (плюс/либо pps); - port security; - unicast flooding; - igmp snooping + multicast vlan (MVR); - фильтрация igmp querier от абонента (igmp snooping drop query) - а также в идеале разрешить только подписку только на нужные TV группы, остальное дропать как на уровне igmp, так и ip; - фильтрация мусора по ether proto + ip proto/tcp/udp/ports (типа приведенной выше - netbios, dhcp от абонента, ip broadcast и т.д.) - опционально, dhcp snooping; - опционально ограничение доступа ACL на VTY/Managment vlan; - опционально - перекраска части трафика snmp, syslog, ntp надеюсь, tcam не требуют. На DES-3200 всё это вместе работает, правда насчет фильтрации мультикаста и мусора не полностью (но это больше особенность нашего PCF&CPU ruleset из за ограничения на кол-во offset в PCF) и, пожалуй, кроме программных rate-violation по pps которых там нет. Edited October 3, 2016 by umike Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted October 3, 2016 SNR(sdiag)#tshell debug call dumpslice the func return 0xffffffff и это без source-control я так понимаю, что судя по 0xffffffff ресурсы какой-то части TCAM использованы целиком? Ничего это не значит. Возможно на этой платформе просто такой команды нет. Вот такой-же свитч: ss-pe-7103#show tcam usage The unit0 tcam details is below ----------------------------------------------------------- Type rule Total Used free available vlan-trans 1 128 1 127 1151 mac-ip-app 2 128 2 126 1150 DCSCM 5 128 5 123 1147 The unit0 total tcam number is:1408 used: 8 free:1400, utilization:0% Точнее SNR-S2965-8T Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Mikhail Burnin Posted October 3, 2016 приветствую, SNR-S2990G и SNR-S2965 аппаратно разные железки, TCAM на SNR-S2965 в два раза больше и команда tshell debug call dumpslice не показывает на 2965 никакой полезной информации. (К слову о SNR-S2990, разработчики сейчас занимаются оптимизацией TCAM для этой серии) . umike 1)в Вашем конфиге мультикаст от абонентов уже блокируется правилом access-list 110 deny ip any-source 224.0.0.0 15.255.255.255 2) Весь перечисленный функционал будет одновременно работать на SNR-S2965, ничем жертвовать не надо. 3) Навешивание ACL на на VTY/Managment vlan производится командой "authentication ip access-class". 4) Проверил source-сontrol c вашим конфигом на стенде - отрабатывает нормально, если он у Вас не работает, создайте обращение в нашем TAC - support.nag.ru, мы обязательно поможем. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted October 3, 2016 umike 1)в Вашем конфиге мультикаст от абонентов уже блокируется правилом access-list 110 deny ip any-source 224.0.0.0 15.255.255.255 У него там предварительно разрешается IGMP на нужную группу. А вот 224.0.0.22 блокируется, хотя должен быть открыт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
umike Posted October 3, 2016 umike 1)в Вашем конфиге мультикаст от абонентов уже блокируется правилом access-list 110 deny ip any-source 224.0.0.0 15.255.255.255 это не совсем так, традиционно если состоялась igmp-подписка, то мультикаст льётся "мимо" ip/mac ACL. Например, убираем из конфига 15 порта "клиентские" ограничения, оставляем ACL: bridge-protocol filter switchport flood-control ucast switchport access vlan 151 switchport association multicast-vlan 1500 ip access-group 110 in traffic-statistic mac access-group 1110 in traffic-statistic loopback-detection specified-vlan 1-4094 loopback-detection control shutdown Включаем в этот15 порт кабель с IPTV и querier'ом, в 1 порту STBшка прекрасно подписывается и показывает мультики, льющиеся из этого порта SNR#show ip igmp snooping mrouter-port Igmp snooping vlan 1500 mrouter port Note:"!"-static mrouter port Ethernet1/0/15 !Ethernet1/0/28 добавляем в 13й порт машину в wireshark и видим, что этот-же мультикаст неуправляемо разливается во все порты. добавляем обратно ip multicast destination-control access-group 6000 при этом мультики сразу не пропадают пока подписка не протухла. Как только подписка протухнет, мультик пропадает. Делаем выводы: 1) destination/source control фильтрует только igmp-запросы 2) применение destination/source control необходимо, иначе может состояться подписка и разлив мультика по всей сети, несмотря на ACL. тикет сейчас пересоздам :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
umike Posted October 3, 2016 (edited) А вот 224.0.0.22 блокируется, хотя должен быть открыт. для IGMP v1/2 не должен. К тому-же часто служебные .1, .2, .22, бывает вся 224.0.0.0/24 (или даже больше) вообще не фильтруется ACLями и подписки нормально работают. Edited October 3, 2016 by umike Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted October 3, 2016 Ну лично я бы сделал стенд с только ip multicast source-control и проверил, потом постепенно добавлял фичи. А не включать все сразу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
umike Posted October 3, 2016 сделал совсем "без нихто". Мультиков нету. При этом STBшка и VLC подписались и подписка обновляется. IGMP Snooping Connect Group Membership Note:*-All Source, (S)- Include Source, [s]-Exclude Source Groups Sources Ports Exptime SrcMac System Level 239.255.100.6 * Ethernet1/0/13 00:04:07 00:90:27:8B:9F:5D V2 239.255.100.35 * Ethernet1/0/1 00:04:20 00:1A:79:2E:C4:D3 V2 SNR_Test#sh run ! service password-encryption ! authentication line console login local ! ! ! clock timezone MSK add 3 0 ! ! no ip http server ! ! ! mtu 1600 ! loopback-detection control-recovery timeout 600 ! ! vlan 1 ! vlan 132 name managment ! vlan 151 name customers ! vlan 1500 name IPTV multicast-vlan ! firewall disable ! access-list 5000 permit ip any-source 239.255.100.0 0.0.0.255 ! multicast-vlan group 239.255.100.1 255 ip multicast source-control ! Interface Ethernet1/0/1 switchport access vlan 151 switchport association multicast-vlan 1500 loopback-detection specified-vlan 1-4094 loopback-detection control shutdown switchport port-security switchport port-security maximum 64 switchport port-security violation restrict ! Interface Ethernet1/0/28 ip multicast source-control access-group 5000 mls qos trust dscp mls qos queue algorithm sp switchport mode trunk switchport trunk allowed vlan 132;151;1500 ! interface Vlan1 ! interface Vlan132 ! ip igmp snooping ip igmp snooping vlan 1500 ip igmp snooping vlan 1500 limit group 100 ! ! no login ! captive-portal ! end Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted October 4, 2016 Хм, чудеса. Отпиши потом, что саппорт насаппортит. У меня вон с 2960 проблема, там наоборот ничего не блокирует соурс-контрол, хотя НАГ у себя точно такой-же стенд делает и у них все работает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted October 4, 2016 (edited) Прикол. На 2965 точно такая-же фигня как у umike. Включаешь соурс-контрол и привет, не пропускает мультик. Edited October 4, 2016 by ShyLion Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
