drovorub Опубликовано 6 декабря, 2018 · Жалоба Собственно смысл проблемы. Имеется нексус 5596. С определенных транковых портов необходимо по входу фильтровать igmp. Соорудил для этого ACL: ip access-list NOMCAST 10 deny igmp any any 20 permit igmp any any 30 permit ip any any statistics Применил на нужный порт int eth1/1 ip port access-group NOMCAST in Все в общем-то стандартно. В мурзилках ничего необычного по этому поводу не написано. В дебаге вижу, что на порт igmp прилетают и в сторону порта начинают стримиться запрошенные мультикаст группы. Но в счетчиках ACL по нулям и получается фильтрация не работает. Абсолютно та же конструкция на нексусе 9372 работает на ура. Пробовал разные версии софта, не помогло. В этой же ACL пробую фильтровать ICMP - фильтруется. Может все-таки есть какая-то хитрая команда, чтоб заставить работать пятитысячник? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 6 декабря, 2018 · Жалоба а зачем 20 permit igmp any any ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
drovorub Опубликовано 6 декабря, 2018 · Жалоба это я уже игрался с правилами. при отсутствии 20 правила, все равно ничего не матчится. т.е. в статистике я вижу рост счетчиков на 30 permit ip any any, а 10 deny igmp any any по нулям Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 6 декабря, 2018 · Жалоба Версия: igmp обрабатывается процОм, а для него бывают отдельные АЦЛ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
drovorub Опубликовано 7 декабря, 2018 · Жалоба логика в этом есть. но тут надо фильтровать не все IGMP, а только с определенных портов. ну и нексус 9000 и 4900М отлично с этим справляются при помощи обычных ACL. в общем ступор. и саппорта конечно же нету. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...