Sergey R. Опубликовано 21 октября, 2016 Всем привет! Есть задача отдавать в порт мультикаст потоки по статической подписке, и не принимать НИЧЕГО. Делаю так: interface Vlan45 no shutdown ip access-group iptv_vlan45 in ip address 10.45.45.1/24 ip pim sparse-mode ip igmp static-oif 2XX.3.3.134 ip igmp static-oif 2XX.3.3.135 nexus2# sh access-lists iptv_vlan45 IPV4 ACL iptv_vlan45 10 deny ip any any В итоге конструкция не работает. Входящие igmp не фильтруются, с хоста, подключенного к свитчу, можно спокойно запрашивать потоки, отличные от 2XX.3.3.134 и 2XX.3.3.135. Попробовал такой вариант: interface Vlan45 no shutdown ip address 10.45.45.1/24 ip pim sparse-mode ip igmp access-group iptv_vlan45 ip igmp static-oif 2XX.3.3.134 ip igmp static-oif 2XX.3.3.135 Так всё заработало. Вопрос, почему первый вариант не отрабатывает? Цисковские ACL не умеют с мультикастом работать или ещё что? Хочу перекрыть ВСЁ входящее. Вариант с ip igmp access-group iptv_vlan45 не нравиться тем что он только с igmp работает. Не хотелось бы городить кучу настроек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 21 октября, 2016 ip multicast boundary посмотрите Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey R. Опубликовано 21 октября, 2016 ip multicast boundary посмотрите ip multicast boundary это я пробовал, вопросов нет, работает Больше интересует почему ACL не отрабатывает. Ему ведь сказано всё блокировать. И тем не менее на интерфейс igmp джоины летят, и он всё пропускает. nexus2# sh access-lists iptv_vlan45 IPV4 ACL iptv_vlan45 statistics per-entry 10 deny ip any any [match=0] На екстримах ACL срубает весь входящий трафик и ему всё равно что там, igmp, мультикаст или броадкаст. А тут получается ACL висит а толку мало. Пропускает igmp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 21 октября, 2016 особенности работы устройства, как правило такое задумано специально для удобства например, я точно знаю для ipv6 в циске в ацл есть скрытые строки которые разрешают некоторые icmpv6 пакеты, это сделано специально, если админ сделает ацл с одним пермитом, роутер все же мог адрес через slaac, и админу не придется колупатьсяс ацл создавая кейсы в ТАС и ругаться матом из-за собственной некомпетентности скорее всего дырку для igmp сделали тоже специально Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey R. Опубликовано 21 октября, 2016 Дальше ещё интереснее. Ну ладно мультикаст. Вешаю на хосте ip и просто пингую интерфейс кошака: 10.45.45.1/24 И даже счётчик начинает считать в acl но пинги проходят. IPV4 ACL iptv_vlan45 statistics per-entry 10 deny ip any any [match=8] :-) почему он не блокирует трафик? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey R. Опубликовано 21 октября, 2016 Так, с icmp разобрался :-) ip access-list match-local-traffic с igmp так и не работает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 21 октября, 2016 deny igmp any any ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey R. Опубликовано 21 октября, 2016 IPV4 ACL iptv_vlan45 statistics per-entry 5 deny igmp any any [match=0] 10 deny ip any any [match=101] 20 deny icmp any any [match=0] не работает даже не считает :-) вообще deny ip должен включать в себя igmp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey R. Опубликовано 21 октября, 2016 да похоже именно igmp пакетики он не воспринимает сами потоки мультикастовые UDP он блокирует... т.е. получается пользоваться надо ip igmp access-group не очень удобно это чтобы например пим нейбора нежелательного заблокировать придётся ещё одно правило рисовать ip pim neighbor-policy было бы куда удобнее если ACL всё делал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...