Jump to content
Калькуляторы

CRS1xx/CRS2xx, IGMP Snooping при влан-фильтрации средствами switch

Друзья, всем привет!

Постараюсь быть краток, надеюсь на вашу помощь.

Нужно на CRS1xx/CRS2xx настроить влан-фильтрацию, да так, чтобы igmp-snooping продолжал работать.

Задача как бы проста: разрешать хождение вланов (управляющий и прочие) только там, где нужно.

Настраивать вланы на бридже нельзя, потеряю HW Offloading, поэтому пытаюсь средствами switch.

 

После чтения мануалов дошел до того, что делать надо навроде так:

/interface ethernet switch vlan
add ports=switch1-cpu,sfp1,uplink,sfp2,sfp3,sfp4,sfp5 vlan-id=0
add ports=switch1-cpu,sfp1,uplink vlan-id=99

/interface ethernet switch egress-vlan-tag
add tagged-ports=switch1-cpu,sfp1,uplink vlan-id=99

/interface ethernet switch
set forward-unknown-vlan=no

То есть разрешаю нетегированный трафик на всех портах и управляющий влан на некоторых.

Указываю с каких портов трафик какого влана должен уходить в теге.

Отключаю хождение прочих тегированных кадров.

 

При таком раскладе и включенном igmp-snooping на бридже я вдруг обнаружил, что мультикаст пошел во все порты. И уже после, наткнулся на это:

Quote

CRS series switches are capable of running IGMP Snooping along with hardware offloading, but CRS1xx and CRS2xx series switches will not work properly with IGMP Snooping if VLAN switching is configured on the switch chip. It is possible to use IGMP Snooping along with VLAN switching, but then you must make sure that IGMP packets are sent out with the correct VLAN tag using egress ACL rules.

То есть выходит, что при свитч-фильтрации вланов работа igmp-snooping нарушается, но все можно запустить, если igmp-пакеты будут уходить через нужный влан, что делается настройкой acl для egress трафика на свитче.

Я в лоб попробовал как-то так:

/interface ethernet switch acl
add ip-dst=224.0.0.0/4 mac-protocol=ip new-customer-vid=0 table=egress

Не вышло..

Прошу помощи, какой-такой ACL нужно написать, чтобы igmp-пакеты выходили в нужном направлении?

 

-

Ps: пробовал еще как-то так (трафик с нетегированных портов принимать скажем в влан 1:

/interface ethernet switch vlan
add ports=switch1-cpu,sfp1-uplink,sfp2 vlan-id=99
add ports=switch1-cpu,sfp1-uplink,combo,sfp2,sfp3,sfp4,sfp5 vlan-id=1

/interface ethernet switch ingress-vlan-translation
add customer-vid=0 new-customer-vid=1 ports=sfp1-uplink,sfp2,sfp3,sfp4,sfp5,combo

/interface ethernet switch egress-vlan-tag
add tagged-ports=switch1-cpu,sfp1-uplink,sfp2 vlan-id=99
add tagged-ports=switch1-cpu vlan-id=1

/interface ethernet switch
set forward-unknown-vlan=no

/interface ethernet switch acl
add dst-ports=sfp1-uplink ip-dst=224.0.0.0/4 mac-protocol=ip new-customer-vid=1 src-ports=switch1-cpu table=egress

Но в общем тоже ничего не вышло. Отключаю igmp-snooping на бридже - ТВ идет, но во все порты. Включаю - не идет вообще (не вижу ответов квериера, хотя igmp запросы на ТВ вайршарком вижу)

Edited by gard

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.