BlackVetal Posted October 7, 2016 (edited) · Report post Всем привет! Это мое первое сообщение на данном форуме, поэтому прошу строго не судить, и если пишу "не туда", то админы надеюсь спасут меня. В общем, имеем два источника мультикастового трафика. Не будем кривить душой, и скажем что один из них Summavision EMR, и второй это Chamelion. Хотим этот мультикаст раздавать десяти клентам с аксесс-листами. Вот так выглядят порты десяти клиентов (с 1 по 10). Каждый порт в своем вилане, дабы клиенты друг другу не мешали. (если я в чем-то ошибаюсь, критику приветствую!!! пишите не стесняйтесь). config vlan 201 name klient_1 switchport interface ethernet 1/0/1 ! vlan 202 name klient_2 switchport interface ethernet 1/0/2 ... ... vlan 210 name klient_10 switchport interface ethernet 1/0/10 ! Потом создаем мультикастовый вилан, и ассоциируем его с клиентскими виланами. (или клиентские виланы ассоциируем с ним), я не знаю как правильно говорить, и как это воообще приосиходит... не поняно, но делаю это так: vlan 100 name contora_multicast multicast-vlan multicast-vlan mode dynamic multicast-vlan association 201-210 ! Затем два порта, в которые втыкаются наши два источника мультикаста прописываем вот так. interface ethernet 1/0/21 switchport mode access switchport access vlan 100 switchport association multicast-vlan 100 ! interface ethernet 1/0/22 switchport mode access switchport access vlan 100 сомневаюсь, а нужна ли вообще эта строка??? switchport association multicast-vlan 100 ! Потом делаем вот так: ip multicast destination-control (не восем ясно что это. как работает этот механизм, если можно, обьясните подробнее, документацию по всем командам я читал, но нет уверенного понимания что делаю). ip igmp snooping (тут вроде все просто, тупо включаем IGMP без которого все остальное было бы не важно). no ip igmp snooping proxy (здесь запрещаем работу протокола IGMP в отношении прокси). Для чего? Что бы в сторону прокси не летели разные запросы QUERY и что бы не возвращались Report, и всякие join??? Но если честно, именно на модели данного коммутатора я не нашел вообще где бы можно было прописать прокси. Поэтому победил данную проблему просто статическими маршрутами. Но это не важно... ip igmp snooping vlan 100 (вот эта команда говорит конкретно что бы протокол IGMP работал с нашим мультикастовым виланом. Этот вилан всегда должен быть именно источником трафика? ip igmp snooping vlan сделать на клиенском порту не надо? Не понимаю этой команды. ip igmp snooping vlan 100 l2-general-querier (тоже не понимаю этой команды. Понимаю что кто-то должен генерить запросы Query и получать Rreport, Ну и обрабатывать join), но в моем случае кто это должен делать, не ясно. exit wr Я рассуждаю так, либо мои два источника мультикастового трафика не имеют на борту IGMP и нагло льют из своих портов мультикасты, сидят в одном вилане, валят друг друга своим мультикастом, и допустим это нормально, хотя я сомневаюсь, ну и далее SNR должен сам становиться источником QUERY. Либо же на каждом источнике мультикаста Summavision EMR, Chamelion, должен быть включен IGMP, тогда каждый из них выступает в роли источника Query, и надо бы коммутатору сказать где эти источники ? Если так, ip igmp snooping vlan 100 l2-general-querier то коммутатор будет работать с двумя Query-рами сразу? Пока предлагаю оставить вопросы в таком виде. Надеюсь дальше с вашей помощью начну разговаривать на нормальном языке. Хочется добавить еще что по клиенствким портам делают акссес листы, вот так. Config multicast destination-control access-list 6001 permit ip any-source host-destination 224.20.5.11 access-list 6001 permit ip any-source host-destination 224.20.5.12 access-list 6001 permit ip any-source host-destination 224.20.5.13 access-list 6001 permit ip any-source host-destination 224.20.5.14 access-list 6001 permit ip any-source host-destination 224.20.5.15 access-list 6001 permit ip any-source host-destination 224.20.5.16 access-list 6001 permit ip any-source host-destination 234.0.0.1 access-list 6001 permit ip any-source host-destination 234.0.0.2 access-list 6001 deny ip any any interface ethernet 1/0/1 ip multicast destination-control access-group 6001 ! Как-то это все хозяйство даже работает... вот только если wyreshark-ом подсмотреть через зеркальный порт коммутатора то в качестве quereera у меня выступает воообще какой-то d-link который поставляет для summavision разные ТВ программы в виде мультикаста. А суммавижен в свою очередь подписывается на эти источники, и потом уже на выходе гонит тот же мультикаст, только уже с нашими адресами. Собственно это безобразие и заставляет писать меня данную тема. Еще один момент, если посмотреть show ip igmp snooping vlan 100, то кроме нормальных клиентских подписок со стороны клиентских портов, в SNR есть еще подписки самого summavision, на порту источника. Groups Sources Ports Exptime SrcMac System Level 234.0.0.1 * Ethernet1/0/3 00:04:13 00:24:68:04:D3: AD V2 234.0.0.2 * Ethernet1/0/3 00:04:15 00:24:68:04:D3: AD V2 224.20.5.11 * Ethernet1/0/3 00:04:14 00:24:68:04:D3: AD V2 224.20.5.12 * Ethernet1/0/3 00:04:15 00:24:68:04:D3: AD V2 224.20.5.13 * Ethernet1/0/3 00:04:15 00:24:68:04:D3: AD V2 224.20.5.14 * Ethernet1/0/3 00:04:16 00:24:68:04:D3: AD V2 224.20.5.15 * Ethernet1/0/3 00:04:16 00:24:68:04:D3: AD V2 224.20.5.19 * Ethernet1/0/3 00:04:17 00:24:68:04:D3: AD V2 224.20.5.21 * Ethernet1/0/3 00:04:18 00:24:68:04:D3: AD V2 224.20.5.22 * Ethernet1/0/3 00:04:20 00:24:68:04:D3: AD V2 224.20.5.30 * Ethernet1/0/22 00:03:37 00:24:68:02:C7: B5 V3 224.20.5.31 * Ethernet1/0/22 00:03:37 00:24:68:02:C7: B5 V3 224.20.5.32 * Ethernet1/0/22 00:03:36 00:24:68:02:C7: B5 V3 224.20.5.33 * Ethernet1/0/22 00:03:38 00:24:68:02:C7: B5 V3 238.2.5.40 * Ethernet1/0/22 00:03:38 00:24:68:02:C7: B5 V3 238.2.5.41 * Ethernet1/0/22 00:03:30 00:24:68:02:C7: B5 V3 238.2.4.80 * Ethernet1/0/22 00:03:39 00:24:68:02:C7: B5 V3 Igmp snooping vlan 100 mrouter port Note:"!"-static mrouter port Тоесть все подписки на третьем порту, ладно, я согласен. там сидит клиент как-будто, и смотри мультикаст. А вот подписки в порт 22, это нехорошо. Это подписки summavision на входные по отношению к нему мультикасты, которые SNR не раздает. Кроме того, если эти записи из таблицы удалить, например вот так clear ip igmp snooping vlan 100 groups 238.2.4.80 то через некоторое время, (после я так полагаю Qurey, а может и нет), но они нова появляются. Edited October 7, 2016 by BlackVetal Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BlackVetal Posted October 7, 2016 (edited) · Report post Ребята, как все это должно по вашему нормально выглядеть, или что бы мне можно было допилить? Нужна четкая рабочая концепция... вероятно она может быть и не одна... Дописываю вопросы которые возникали давно.. Имея два источника мультикаста, как их правильно включить в коммутатор, что бы они не мешали друг другу, и не засыпали друг друга своим трафиком. Мультикастовый вилан, он на коммутаторе создается один единственный??? Edited October 7, 2016 by BlackVetal Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted October 7, 2016 · Report post Каждый порт в своем вилане, дабы клиенты друг другу не мешали. (если я в чем-то ошибаюсь, критику приветствую!!! пишите не стесняйтесь). Можно просто isolation-group использовать. Все абонентские порты в одну группу и они не смогут друг-дружке что либо слать напрямую. На портах с источниками "igmp snooping drop report", на абоентских портах "igmp snooping drop query". Имея два источника мультикаста, как их правильно включить в коммутатор, что бы они не мешали друг другу, и не засыпали друг друга своим трафиком. Опять-же isolation-group, с другим номером чем абонентские порты. Мультикастовый вилан, он на коммутаторе создается один единственный??? Нет, можно разные. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
olezhik85 Posted October 10, 2016 · Report post Я бы сделал 1 мультикастовый влан. Что бы клиенты и источники не мешали друг другу настроил сегментацию трафика. Что бы одним клиентам разрешить подписку, другим запретить использовал бы acl. Настройки коммутатора с источником: ip igmp snooping ip igmp snooping vlan 80 ip igmp snooping vlan 80 l2-general-querier ip igmp snooping vlan 80 l2-general-querier-version 2 ip igmp snooping vlan 80 l2-general-querier-source 10.10.1.1 ip igmp snooping vlan 80 mrouter-port interface Ethernet1/0/24 ip igmp snooping vlan 80 mrouter-port interface Port-Channel1 isolate-port group g1 switchport interface Ethernet1/0/24 isolate-port group g1 switchport interface port-channel 1 Настройки коммутатора с пользователями: access-list 6010 permit ip any-source 230.0.0.0 0.0.0.255 access-list 6010 deny ip any-source any-destination access-list 6020 permit ip any-source 230.0.1.0 0.0.0.255 access-list 6020 deny ip any-source any-destination Interface Ethernet1/0/17 ip multicast destination-control access-group 6010 switchport association multicast-vlan 80 igmp snooping drop query Interface Ethernet1/0/18 ip multicast destination-control access-group 6020 switchport association multicast-vlan 80 igmp snooping drop query ip igmp snooping no ip igmp snooping proxy ip igmp snooping vlan 80 ip igmp snooping vlan 80 immediately-leave ip igmp snooping vlan 80 l2-general-querier-version 2 ip igmp snooping vlan 80 mrouter-port interface Ethernet1/0/25 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BlackVetal Posted October 10, 2016 · Report post olezhik85, только прочел Ваше сообщение, еще не сильно думал. Но от себя ниже прилагаю конфиг (без аксесс листов, у меня с ними проблем нет, поэтому упускаю). Собрал стенд. Два ноута в качестве двух источников мультикаста. В порты 1 и 2. В 21 порту третий ноут в качестве клиента, смотрит оба сервера. Гляньте плиз ниже конфиг... пожелания, замечания?! ! vlan 200 name klient_vlan switchport interface ethernet 1/0/1-10 ! ! interface ethernet 1/0/1 name Klient_1 igmp snooping drop query ! ! interface ethernet 1/0/2 name Klient_2 igmp snooping drop query ! ! interface ethernet 1/0/3 name Klient_3 igmp snooping drop query ! ! interface ethernet 1/0/4 name Klient_4 igmp snooping drop query ! ! interface ethernet 1/0/5 name Klient_5 igmp snooping drop query ! ! interface ethernet 1/0/6 name Klient_6 igmp snooping drop query ! ! interface ethernet 1/0/7 name Klient_7 igmp snooping drop query ! ! interface ethernet 1/0/8 name Klient_8 igmp snooping drop query ! ! interface ethernet 1/0/9 name Klient_9 igmp snooping drop query ! ! interface ethernet 1/0/10 name Klient_10 igmp snooping drop query ! vlan 100 name kontora_multicast multicast-vlan multicast-vlan mode dynamic multicast-vlan association 200 ! interface ethernet 1/0/21 switchport mode access switchport access vlan 100 switchport association multicast-vlan 100 igmp snooping drop report ! interface ethernet 1/0/22 switchport mode access switchport access vlan 100 switchport association multicast-vlan 100 igmp snooping drop report ! ! isolate-port group klient_isolator isolate-port group klient_isolator switchport interface ethernet 1/0/1-10 ! ! isolate-port group kontora_isolator isolate-port group kontora_isolator switchport interface ethernet 1/0/21-22 ! ! ip multicast destination-control ip igmp snooping no ip igmp snooping proxy ip igmp snooping vlan 100 ip igmp snooping vlan 100 l2-general-querier ip igmp snooping vlan 100 l2-general-querier-source 192.168.5.5 exit wr Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
olezhik85 Posted October 10, 2016 · Report post Команда "igmp snooping drop query" наоборот запрещает становиться источниками. Её надо вешать на абонентские порты. Так же вы не используете полезную команду "ip igmp snooping vlan 80 mrouter-port interface ...." Обычно в мультикаст влане живёт только мультикаст, а Вы зачем то в него видимо и другой трафик пускаете (switchport access vlan 100) Если честно немного странный у Вас конфиг получается. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BlackVetal Posted October 10, 2016 (edited) · Report post Добрый день. Спасибо за ответы, мне это ценно. Команда "igmp snooping drop query" наоборот запрещает становиться источниками. Её надо вешать на абонентские порты. Так у меня эта команда и висит на всех клиентских портах. Вы не ошиблись? Так же вы не используете полезную команду "ip igmp snooping vlan 80 mrouter-port interface ...." Я бы с радостью ее использовал, но я не понимаю для чего данная команда? Я немного догадываюсь, что она актуальна когда есть коммутатор на доступе, который включается в сеть роутеров откуда приходит мультикаст, но у меня это не так. У меня два источника, нагло льют мультикаст в два порта, в 21 и в 22. И возникает резонный вопрос, на какой именно interface мне делать ip igmp snooping vlan 100 mrouter-port. Либо я совсем не понимаю данной команды, тогда прошу разьяснить. Обычно в мультикаст влане живёт только мультикаст, а Вы зачем то в него видимо и другой трафик пускаете (switchport access vlan 100) Это Вы видимо в этом разделе углядели. interface ethernet 1/0/22 switchport mode access switchport access vlan 100 switchport association multicast-vlan 100 igmp snooping drop report ! Тут наверняка нужно поверить Вам на слово... полагаю надо грохнуть эту строку "switchport access vlan 100". Хотя я не совсем понимаю что значит в мультикасте, живет только мультикаст. Даже вопроса поставить правильно не могу... В тех двух портах, живет то что живет. Если предположить что в тех двух портах живет только мультикаст, неужели конфиг в отношении "switchport access vlan 100" как-то изменится? И так, не прояснилось. 1. "igmp snooping drop query" - до сих пор полагаю что у меня все верно. 2. "ip igmp snooping vlan 80 mrouter-port interface" какой интерфейс указывать, если у меня два входа куда сыпется мультикаст. 3. "switchport access vlan 100" любезно прошу коммент, т.к. хочу Вас понять. Может вы не внимательно конфиг проглядели? 200 влан, это клиентский влан в котором живут 1-10 порты с изоляцией. 100 влан, это мультикастовый влан, в котором живут два порта с мультикастом 21 и 22. они тоже в изоляции. Edited October 10, 2016 by BlackVetal Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
olezhik85 Posted October 10, 2016 · Report post 1. Вы сами написали >>Два ноута в качестве двух источников мультикаста. В порты 1 и 2. Отсюда я и решил что там источники. ) 2. Порты указывайте те, откуда идёт мультикаст, т.е. где находятся источники. 3. switchport access vlan не нужна, т.к. широковещательный трафик (в том числе igmp) будет заворачиваться в association multicast-vlan 100 Обычно вешают switchport access vlan 10, если у Вас в 10 влане Static_IP например, или РРРоЕ живёт (ну или ещё что-то). То есть юникаст и бродкаст ходят в access vlan, а мультикаст уходит в multicast-vlan 100 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...