[Sergey R.]

Всем привет!

 

Есть задача отдавать в порт мультикаст потоки по статической подписке, и не принимать НИЧЕГО.

Делаю так:

 

interface Vlan45

no shutdown

ip access-group iptv_vlan45 in

ip address 10.45.45.1/24

ip pim sparse-mode

ip igmp static-oif 2XX.3.3.134

ip igmp static-oif 2XX.3.3.135

 

nexus2# sh access-lists iptv_vlan45

 

IPV4 ACL iptv_vlan45

10 deny ip any any

 

В итоге конструкция не работает. Входящие igmp не фильтруются, с хоста, подключенного к свитчу, можно спокойно запрашивать потоки, отличные от 2XX.3.3.134 и 2XX.3.3.135.

 

Попробовал такой вариант:

 

interface Vlan45

no shutdown

ip address 10.45.45.1/24

ip pim sparse-mode

ip igmp access-group iptv_vlan45

ip igmp static-oif 2XX.3.3.134

ip igmp static-oif 2XX.3.3.135

 

Так всё заработало.

 

Вопрос, почему первый вариант не отрабатывает?

Цисковские ACL не умеют с мультикастом работать или ещё что?

Хочу перекрыть ВСЁ входящее.

Вариант с ip igmp access-group iptv_vlan45 не нравиться тем что он только с igmp работает.

Не хотелось бы городить кучу настроек.

[zhenya`]

ip multicast boundary посмотрите

[Sergey R.]

ip multicast boundary посмотрите

 

ip multicast boundary

это я пробовал, вопросов нет, работает

 

Больше интересует почему ACL не отрабатывает.

Ему ведь сказано всё блокировать. И тем не менее на интерфейс igmp джоины летят, и он всё пропускает.

 

nexus2# sh access-lists iptv_vlan45

 

IPV4 ACL iptv_vlan45

statistics per-entry

10 deny ip any any [match=0]

 

На екстримах ACL срубает весь входящий трафик и ему всё равно что там, igmp, мультикаст или броадкаст. А тут получается ACL висит а толку мало. Пропускает igmp.

[zi_rus]

особенности работы устройства, как правило такое задумано специально для удобства

 

например, я точно знаю для ipv6 в циске в ацл есть скрытые строки которые разрешают некоторые icmpv6 пакеты, это сделано специально, если админ сделает ацл с одним пермитом, роутер все же мог адрес через slaac, и админу не придется колупатьсяс ацл создавая кейсы в ТАС и ругаться матом из-за собственной некомпетентности

 

скорее всего дырку для igmp сделали тоже специально

[Sergey R.]

Дальше ещё интереснее.

Ну ладно мультикаст.

Вешаю на хосте ip и просто пингую интерфейс кошака: 10.45.45.1/24

И даже счётчик начинает считать в acl но пинги проходят.

 

IPV4 ACL iptv_vlan45

statistics per-entry

10 deny ip any any [match=8]

 

:-) почему он не блокирует трафик?

[Sergey R.]

Так, с icmp разобрался :-)

 

ip access-list match-local-traffic

 

с igmp так и не работает

[zhenya`]

deny igmp any any ?

[Sergey R.]

IPV4 ACL iptv_vlan45

statistics per-entry

5 deny igmp any any [match=0]

10 deny ip any any [match=101]

20 deny icmp any any [match=0]

 

не работает

даже не считает :-)

вообще deny ip должен включать в себя igmp

[Sergey R.]

да похоже именно igmp пакетики он не воспринимает

сами потоки мультикастовые UDP он блокирует...

 

т.е. получается пользоваться надо

ip igmp access-group

 

не очень удобно это

чтобы например пим нейбора нежелательного заблокировать придётся ещё одно правило рисовать

ip pim neighbor-policy

 

было бы куда удобнее если ACL всё делал