[drovorub]

Собственно смысл проблемы. Имеется нексус 5596. С определенных транковых портов необходимо по входу фильтровать igmp. Соорудил для этого ACL:

ip access-list NOMCAST

10 deny igmp any any

20 permit igmp any any

30 permit ip any any

statistics

 

Применил на нужный порт

int eth1/1

ip port access-group NOMCAST in

 

Все в общем-то стандартно. В мурзилках ничего необычного по этому поводу не написано.

В дебаге вижу, что на порт igmp прилетают и в сторону порта начинают стримиться запрошенные мультикаст группы. Но в счетчиках ACL по нулям и получается фильтрация не работает.

Абсолютно та же конструкция на нексусе 9372 работает на ура.

Пробовал разные версии софта, не помогло. В этой же ACL пробую фильтровать ICMP - фильтруется.

Может все-таки есть какая-то хитрая команда, чтоб заставить работать пятитысячник?

[stalker86]

а зачем 20 permit igmp any any  ?

[drovorub]

это я уже игрался с правилами. 

при отсутствии 20 правила, все равно ничего не матчится. т.е. в статистике я вижу рост счетчиков на 30 permit ip any any, а 10 deny igmp any any по нулям

[azhur]

Версия: igmp обрабатывается процОм, а для него бывают отдельные АЦЛ.

[drovorub]

логика в этом есть. но тут надо фильтровать не все IGMP, а только с определенных портов.

ну и нексус 9000 и 4900М отлично с этим справляются при помощи обычных ACL. 

в общем ступор. 

и саппорта конечно же нету.