gard Posted January 10, 2019 (edited) · Report post Друзья, всем привет! Постараюсь быть краток, надеюсь на вашу помощь. Нужно на CRS1xx/CRS2xx настроить влан-фильтрацию, да так, чтобы igmp-snooping продолжал работать. Задача как бы проста: разрешать хождение вланов (управляющий и прочие) только там, где нужно. Настраивать вланы на бридже нельзя, потеряю HW Offloading, поэтому пытаюсь средствами switch. После чтения мануалов дошел до того, что делать надо навроде так: /interface ethernet switch vlan add ports=switch1-cpu,sfp1,uplink,sfp2,sfp3,sfp4,sfp5 vlan-id=0 add ports=switch1-cpu,sfp1,uplink vlan-id=99 /interface ethernet switch egress-vlan-tag add tagged-ports=switch1-cpu,sfp1,uplink vlan-id=99 /interface ethernet switch set forward-unknown-vlan=no То есть разрешаю нетегированный трафик на всех портах и управляющий влан на некоторых. Указываю с каких портов трафик какого влана должен уходить в теге. Отключаю хождение прочих тегированных кадров. При таком раскладе и включенном igmp-snooping на бридже я вдруг обнаружил, что мультикаст пошел во все порты. И уже после, наткнулся на это: Quote CRS series switches are capable of running IGMP Snooping along with hardware offloading, but CRS1xx and CRS2xx series switches will not work properly with IGMP Snooping if VLAN switching is configured on the switch chip. It is possible to use IGMP Snooping along with VLAN switching, but then you must make sure that IGMP packets are sent out with the correct VLAN tag using egress ACL rules. То есть выходит, что при свитч-фильтрации вланов работа igmp-snooping нарушается, но все можно запустить, если igmp-пакеты будут уходить через нужный влан, что делается настройкой acl для egress трафика на свитче. Я в лоб попробовал как-то так: /interface ethernet switch acl add ip-dst=224.0.0.0/4 mac-protocol=ip new-customer-vid=0 table=egress Не вышло.. Прошу помощи, какой-такой ACL нужно написать, чтобы igmp-пакеты выходили в нужном направлении? - Ps: пробовал еще как-то так (трафик с нетегированных портов принимать скажем в влан 1: /interface ethernet switch vlan add ports=switch1-cpu,sfp1-uplink,sfp2 vlan-id=99 add ports=switch1-cpu,sfp1-uplink,combo,sfp2,sfp3,sfp4,sfp5 vlan-id=1 /interface ethernet switch ingress-vlan-translation add customer-vid=0 new-customer-vid=1 ports=sfp1-uplink,sfp2,sfp3,sfp4,sfp5,combo /interface ethernet switch egress-vlan-tag add tagged-ports=switch1-cpu,sfp1-uplink,sfp2 vlan-id=99 add tagged-ports=switch1-cpu vlan-id=1 /interface ethernet switch set forward-unknown-vlan=no /interface ethernet switch acl add dst-ports=sfp1-uplink ip-dst=224.0.0.0/4 mac-protocol=ip new-customer-vid=1 src-ports=switch1-cpu table=egress Но в общем тоже ничего не вышло. Отключаю igmp-snooping на бридже - ТВ идет, но во все порты. Включаю - не идет вообще (не вижу ответов квериера, хотя igmp запросы на ТВ вайршарком вижу) Edited January 10, 2019 by gard Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...