Sergey R. Опубликовано 21 октября, 2016 · Жалоба Всем привет! Есть задача отдавать в порт мультикаст потоки по статической подписке, и не принимать НИЧЕГО. Делаю так: interface Vlan45 no shutdown ip access-group iptv_vlan45 in ip address 10.45.45.1/24 ip pim sparse-mode ip igmp static-oif 2XX.3.3.134 ip igmp static-oif 2XX.3.3.135 nexus2# sh access-lists iptv_vlan45 IPV4 ACL iptv_vlan45 10 deny ip any any В итоге конструкция не работает. Входящие igmp не фильтруются, с хоста, подключенного к свитчу, можно спокойно запрашивать потоки, отличные от 2XX.3.3.134 и 2XX.3.3.135. Попробовал такой вариант: interface Vlan45 no shutdown ip address 10.45.45.1/24 ip pim sparse-mode ip igmp access-group iptv_vlan45 ip igmp static-oif 2XX.3.3.134 ip igmp static-oif 2XX.3.3.135 Так всё заработало. Вопрос, почему первый вариант не отрабатывает? Цисковские ACL не умеют с мультикастом работать или ещё что? Хочу перекрыть ВСЁ входящее. Вариант с ip igmp access-group iptv_vlan45 не нравиться тем что он только с igmp работает. Не хотелось бы городить кучу настроек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 21 октября, 2016 · Жалоба ip multicast boundary посмотрите Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey R. Опубликовано 21 октября, 2016 · Жалоба ip multicast boundary посмотрите ip multicast boundary это я пробовал, вопросов нет, работает Больше интересует почему ACL не отрабатывает. Ему ведь сказано всё блокировать. И тем не менее на интерфейс igmp джоины летят, и он всё пропускает. nexus2# sh access-lists iptv_vlan45 IPV4 ACL iptv_vlan45 statistics per-entry 10 deny ip any any [match=0] На екстримах ACL срубает весь входящий трафик и ему всё равно что там, igmp, мультикаст или броадкаст. А тут получается ACL висит а толку мало. Пропускает igmp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 21 октября, 2016 · Жалоба особенности работы устройства, как правило такое задумано специально для удобства например, я точно знаю для ipv6 в циске в ацл есть скрытые строки которые разрешают некоторые icmpv6 пакеты, это сделано специально, если админ сделает ацл с одним пермитом, роутер все же мог адрес через slaac, и админу не придется колупатьсяс ацл создавая кейсы в ТАС и ругаться матом из-за собственной некомпетентности скорее всего дырку для igmp сделали тоже специально Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey R. Опубликовано 21 октября, 2016 · Жалоба Дальше ещё интереснее. Ну ладно мультикаст. Вешаю на хосте ip и просто пингую интерфейс кошака: 10.45.45.1/24 И даже счётчик начинает считать в acl но пинги проходят. IPV4 ACL iptv_vlan45 statistics per-entry 10 deny ip any any [match=8] :-) почему он не блокирует трафик? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey R. Опубликовано 21 октября, 2016 · Жалоба Так, с icmp разобрался :-) ip access-list match-local-traffic с igmp так и не работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 21 октября, 2016 · Жалоба deny igmp any any ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey R. Опубликовано 21 октября, 2016 · Жалоба IPV4 ACL iptv_vlan45 statistics per-entry 5 deny igmp any any [match=0] 10 deny ip any any [match=101] 20 deny icmp any any [match=0] не работает даже не считает :-) вообще deny ip должен включать в себя igmp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey R. Опубликовано 21 октября, 2016 · Жалоба да похоже именно igmp пакетики он не воспринимает сами потоки мультикастовые UDP он блокирует... т.е. получается пользоваться надо ip igmp access-group не очень удобно это чтобы например пим нейбора нежелательного заблокировать придётся ещё одно правило рисовать ip pim neighbor-policy было бы куда удобнее если ACL всё делал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...