Jump to content
Калькуляторы

cisco acl и мульикаст

Reply to this topic

Sergey R.   

Sergey R.
Posted

Всем привет!

 

Есть задача отдавать в порт мультикаст потоки по статической подписке, и не принимать НИЧЕГО.

Делаю так:

 

interface Vlan45

no shutdown

ip access-group iptv_vlan45 in

ip address 10.45.45.1/24

ip pim sparse-mode

ip igmp static-oif 2XX.3.3.134

ip igmp static-oif 2XX.3.3.135

 

nexus2# sh access-lists iptv_vlan45

 

IPV4 ACL iptv_vlan45

10 deny ip any any

 

В итоге конструкция не работает. Входящие igmp не фильтруются, с хоста, подключенного к свитчу, можно спокойно запрашивать потоки, отличные от 2XX.3.3.134 и 2XX.3.3.135.

 

Попробовал такой вариант:

 

interface Vlan45

no shutdown

ip address 10.45.45.1/24

ip pim sparse-mode

ip igmp access-group iptv_vlan45

ip igmp static-oif 2XX.3.3.134

ip igmp static-oif 2XX.3.3.135

 

Так всё заработало.

 

Вопрос, почему первый вариант не отрабатывает?

Цисковские ACL не умеют с мультикастом работать или ещё что?

Хочу перекрыть ВСЁ входящее.

Вариант с ip igmp access-group iptv_vlan45 не нравиться тем что он только с igmp работает.

Не хотелось бы городить кучу настроек.

Share this post

Link to post
Share on other sites

Sergey R.   

Sergey R.
Posted

ip multicast boundary посмотрите

 

ip multicast boundary

это я пробовал, вопросов нет, работает

 

Больше интересует почему ACL не отрабатывает.

Ему ведь сказано всё блокировать. И тем не менее на интерфейс igmp джоины летят, и он всё пропускает.

 

nexus2# sh access-lists iptv_vlan45

 

IPV4 ACL iptv_vlan45

statistics per-entry

10 deny ip any any [match=0]

 

На екстримах ACL срубает весь входящий трафик и ему всё равно что там, igmp, мультикаст или броадкаст. А тут получается ACL висит а толку мало. Пропускает igmp.

Share this post

Link to post
Share on other sites

zi_rus   

zi_rus
Posted

особенности работы устройства, как правило такое задумано специально для удобства

 

например, я точно знаю для ipv6 в циске в ацл есть скрытые строки которые разрешают некоторые icmpv6 пакеты, это сделано специально, если админ сделает ацл с одним пермитом, роутер все же мог адрес через slaac, и админу не придется колупатьсяс ацл создавая кейсы в ТАС и ругаться матом из-за собственной некомпетентности

 

скорее всего дырку для igmp сделали тоже специально

Share this post

Link to post
Share on other sites

Sergey R.   

Sergey R.
Posted

Дальше ещё интереснее.

Ну ладно мультикаст.

Вешаю на хосте ip и просто пингую интерфейс кошака: 10.45.45.1/24

И даже счётчик начинает считать в acl но пинги проходят.

 

IPV4 ACL iptv_vlan45

statistics per-entry

10 deny ip any any [match=8]

 

:-) почему он не блокирует трафик?

Share this post

Link to post
Share on other sites

Sergey R.   

Sergey R.
Posted

IPV4 ACL iptv_vlan45

statistics per-entry

5 deny igmp any any [match=0]

10 deny ip any any [match=101]

20 deny icmp any any [match=0]

 

не работает

даже не считает :-)

вообще deny ip должен включать в себя igmp

Share this post

Link to post
Share on other sites

Sergey R.   

Sergey R.
Posted

да похоже именно igmp пакетики он не воспринимает

сами потоки мультикастовые UDP он блокирует...

 

т.е. получается пользоваться надо

ip igmp access-group

 

не очень удобно это

чтобы например пим нейбора нежелательного заблокировать придётся ещё одно правило рисовать

ip pim neighbor-policy

 

было бы куда удобнее если ACL всё делал

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...