[semop]

Так вот не хотелось бы их.

Если бы это обнаружилось во время переключения, то было бы печально.

 

[vurd]

1 час назад, semop сказал:

Так вот не хотелось бы их.

Если бы это обнаружилось во время переключения, то было бы печально.

 

 

Предлагаю обновить логотип :)

[semop]

Я ведь целый рабочий день потратил на дебаг этой штуки.

Уже начал изобретать, конфигурить ненужными вещами, переживать, обзывать себя идиотом и тд)

А потом психанул и вернул стенд полностью на неделю назад. Вот и обнаружилось. Облегчение невероятное. Как будто конец света отменили...

[semop]

Здравствуйте.

 

Подскажите пожалуйста по ситуации)

 

Есть конфиг:

 

ip multicast source-control
multicast destination-control

 

access-list 5000 permit ip any-source 239.195.0.0 0.0.31.255
access-list 5000 permit ip any-source 224.0.0.0 0.0.0.255
access-list 5000 deny ip any-source any-destination

 

access-list 6000 permit ip any-source 239.195.0.0 0.0.31.255
access-list 6000 permit ip any-source 224.0.0.0 0.0.0.255
access-list 6000 deny ip any-source any-destination

 

====

Магистральный порт "наверх":

 

Interface Ethernet1/0/1
 ip multicast source-control access-group 5000

 

Магистральный порт "вниз":

 

Interface Ethernet1/0/2
ip multicast destination-control access-group 6000

 

 

 

 

Со стороны 1/0/1 приходит транспортный влан для LDP.

На порту "вниз" настроен L2VPN. 

При таком конфиге находясь внутри L2VPN я не пингую все хосты дальше шлюза. Шлюз пингуется ОК.

Если убрать ip multicast source-control то все начинает пинговаться.

 

Этими ACL я разрешаю свои igmp группы и служебный трафик osfp/ldp. Что я мог зафильтровать ACL'ом 5000?

[Evgeny Mirhasanov]

@semop Добрый день. Можете на всякий случай убрать запрещающие правила 'access-list 5000 deny ip any-source any-destination' и 'access-list 6000 deny ip any-source any-destination',? В статье "Настройка DCSCM (Destination Control Source Control Multicast) на коммутаторах SNR" сказано:
 

Quote

По умолчанию весь непопавший в ACL трафик будет заблокирован, поэтому после разрешающих правил нет необходимости явно создавать запрещающие.

В остальном не понятно, каким обпазом ACL 5000 мешает успешной работе ICMP.

[semop]

В 23.08.2022 в 11:37, Evgeny Mirhasanov сказал:

@semop Добрый день. Можете на всякий случай убрать запрещающие правила 'access-list 5000 deny ip any-source any-destination' и 'access-list 6000 deny ip any-source any-destination',? В статье "Настройка DCSCM (Destination Control Source Control Multicast) на коммутаторах SNR" сказано:
 

В остальном не понятно, каким обпазом ACL 5000 мешает успешной работе ICMP.

Он не мешает ICMP.

Он мешает L2VPN.

Если убрать ip multicast source-control, то все запингуется.

 

Грубо говоря я заколотил IP на ноутбук и проключил влан по l2vpn. В итоге дальше шлюза я не хожу (интернета нет). Если отключить ip multicast source-control - то хожу (интернет есть).

Вот это непонятно.

 

ACL 5000 висят только на магистральных портах, где живет LDP. Связности MPLS они не мешают, ОСПФ тоже поднимается. 

 

Единственное что я не очень понял, это то что при включенном ip multicast source-control - SNR говорит что он включен и на LOOPBACK. Но на loopback этот ACL не повесить. Что же он там включает?

 

#sh ip multicast source-control interface lo1
ip multicast source-control is enabled

(config-if-loopback1)#ip ?
  address  Set IP Address
  ospf     OSPF interface commands
  vrf      VPN Routing/Forwarding instance
 

[Evgeny Mirhasanov]

@semop Предлагаю завести тикет на support.nag.ru с полными выводами 'sh run', 'sh ver' и схемой. Сходу тут не разобраться, а захламлять тему кучей сопутствующих вопросов и файлами лучшне не надо. По итогу отпишемся, что было причиной.