Sergey R. Posted October 21, 2016 Всем привет! Есть задача отдавать в порт мультикаст потоки по статической подписке, и не принимать НИЧЕГО. Делаю так: interface Vlan45 no shutdown ip access-group iptv_vlan45 in ip address 10.45.45.1/24 ip pim sparse-mode ip igmp static-oif 2XX.3.3.134 ip igmp static-oif 2XX.3.3.135 nexus2# sh access-lists iptv_vlan45 IPV4 ACL iptv_vlan45 10 deny ip any any В итоге конструкция не работает. Входящие igmp не фильтруются, с хоста, подключенного к свитчу, можно спокойно запрашивать потоки, отличные от 2XX.3.3.134 и 2XX.3.3.135. Попробовал такой вариант: interface Vlan45 no shutdown ip address 10.45.45.1/24 ip pim sparse-mode ip igmp access-group iptv_vlan45 ip igmp static-oif 2XX.3.3.134 ip igmp static-oif 2XX.3.3.135 Так всё заработало. Вопрос, почему первый вариант не отрабатывает? Цисковские ACL не умеют с мультикастом работать или ещё что? Хочу перекрыть ВСЁ входящее. Вариант с ip igmp access-group iptv_vlan45 не нравиться тем что он только с igmp работает. Не хотелось бы городить кучу настроек. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted October 21, 2016 ip multicast boundary посмотрите Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey R. Posted October 21, 2016 ip multicast boundary посмотрите ip multicast boundary это я пробовал, вопросов нет, работает Больше интересует почему ACL не отрабатывает. Ему ведь сказано всё блокировать. И тем не менее на интерфейс igmp джоины летят, и он всё пропускает. nexus2# sh access-lists iptv_vlan45 IPV4 ACL iptv_vlan45 statistics per-entry 10 deny ip any any [match=0] На екстримах ACL срубает весь входящий трафик и ему всё равно что там, igmp, мультикаст или броадкаст. А тут получается ACL висит а толку мало. Пропускает igmp. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted October 21, 2016 особенности работы устройства, как правило такое задумано специально для удобства например, я точно знаю для ipv6 в циске в ацл есть скрытые строки которые разрешают некоторые icmpv6 пакеты, это сделано специально, если админ сделает ацл с одним пермитом, роутер все же мог адрес через slaac, и админу не придется колупатьсяс ацл создавая кейсы в ТАС и ругаться матом из-за собственной некомпетентности скорее всего дырку для igmp сделали тоже специально Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey R. Posted October 21, 2016 Дальше ещё интереснее. Ну ладно мультикаст. Вешаю на хосте ip и просто пингую интерфейс кошака: 10.45.45.1/24 И даже счётчик начинает считать в acl но пинги проходят. IPV4 ACL iptv_vlan45 statistics per-entry 10 deny ip any any [match=8] :-) почему он не блокирует трафик? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey R. Posted October 21, 2016 Так, с icmp разобрался :-) ip access-list match-local-traffic с igmp так и не работает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted October 21, 2016 deny igmp any any ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey R. Posted October 21, 2016 IPV4 ACL iptv_vlan45 statistics per-entry 5 deny igmp any any [match=0] 10 deny ip any any [match=101] 20 deny icmp any any [match=0] не работает даже не считает :-) вообще deny ip должен включать в себя igmp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey R. Posted October 21, 2016 да похоже именно igmp пакетики он не воспринимает сами потоки мультикастовые UDP он блокирует... т.е. получается пользоваться надо ip igmp access-group не очень удобно это чтобы например пим нейбора нежелательного заблокировать придётся ещё одно правило рисовать ip pim neighbor-policy было бы куда удобнее если ACL всё делал Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...