Bonik Опубликовано 3 марта, 2020 · Жалоба Коллеги, всем привет! Столкнулся с интересной ситуацией: на сети в качестве узлов доступа установлены SNR-S2985G-48T. На днях выявил на коммутаторах подозрительно высокую загрузку процессора, в процессе диагностики нашел 2 коммутатора с абонентами, которые активно 24/7 в мою сеть шлют 8-10 мегабит мультикастового трафика: sh int ethernet 1/0/16 | i 5 minute 5 minute input rate 8903806 bits/sec, 6747 packets/sec 5 minute output rate 8976 bits/sec, 3 packets/sec и при этом нагрузка на процессор перманентна и находится в районе 50-60%. Если потушить порт - нагрузка сразу спадает до 8-10% (в том числе на вышестоящих коммутаторах, к которым подключены проблемные). Подскажите, как я могу ограничить входящий мультикастовый трафик от абонента? Пробовал навешивать ACL: access-list 1100 deny any-source-mac 01-00-5e-00-00-00 00-00-00-ff-ff-ff access-list 1100 permit any-source-mac any-destination-mac Пробовал настраивать storm-control на интерфейсе: storm-control multicast 16 Но эффекта никакого. Трафик как лился, так и льется. Если смотреть статистику, работает только второе правило: sh access-group in interface name:Ethernet1/0/16 MAC Ingress access-list used is 1100, packet(s) number is 5219250. Rule ID 1 packet(s) number is 0. Rule ID 2 packet(s) number is 5219250. Подскажите, пожалуйста, куда копать? Софт на коммутаторах более-менее свежий: 7.0.3.5(R0241.0306), в статистике интерфейса вижу, что растет счетчик именно входящих мультикастовых пакетов. Вот что набежало за 10 минут: sh int e1/0/16 Interface brief: Ethernet1/0/16 is up, line protocol is up Ethernet1/0/16 is layer 2 port, alias name is (null), index is 16 Hardware is Gigabit-TX, address is f8-f0-82-75-94-d0 PVID is 1016 MTU 4096 bytes, BW 100000 Kbit Time since last status change:0w-0d-0h-23m-29s (1409 seconds) Encapsulation ARPA, Loopback not set Auto-duplex: Negotiation full-duplex, Auto-speed: Negotiation 100M bits FlowControl is off, MDI type is auto Statistics: 5 minute input rate 8905180 bits/sec, 6746 packets/sec 5 minute output rate 3875 bits/sec, 2 packets/sec The last 5 second input rate 9075040 bits/sec, 6253 packets/sec The last 5 second output rate 368 bits/sec, 1 packets/sec Input packets statistics: 7017578 input packets, 1158669737 bytes, 0 no buffer 1489 unicast packets, 7016089 multicast packets, 0 broadcast packets 0 input errors, 0 CRC, 0 frame alignment, 0 overrun, 0 ignored, 0 abort, 0 length error, 0 undersize 0 jabber, 0 fragments, 0 pause frame Output packets statistics: 2261 output packets, 788665 bytes, 0 underruns 1888 unicast packets, 373 multicast packets, 0 broadcast packets 0 output errors, 0 collisions, 0 late collisions, 0 pause frame Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 3 марта, 2020 · Жалоба Во-первых, ACL 6xxx. Во-вторых, multicast destination-control. В третьих, drop query на абонентских портах. vlan 60 name IPTV multicast-vlan ... access-list 6010 permit ip any-source 224.0.0.0 0.0.0.255 access-list 6010 permit ip any-source 239.0.0.0 0.0.255.255 access-list 6010 permit ip any-source 239.195.0.0 0.0.255.255 access-list 6010 deny ip any-source any-destination ... multicast destination-control ... Interface ... ip multicast destination-control access-group 6010 switchport access vlan ... switchport association multicast-vlan 60 igmp snooping drop query 11 минут назад, Bonik сказал: Подскажите, как я могу ограничить входящий мультикастовый трафик от абонента? Какой входящий мультикастовый трафик может быть от абонента? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 4 марта, 2020 · Жалоба @Bonik добавлю к ответу выше, что если не получится решить проблему - напишите на support.nag.ru. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bonik Опубликовано 4 марта, 2020 · Жалоба @alibek все вышеперечисленное у нас в качестве дефолтных конфигов на узлах доступа. Увы, не помогло. По поводу мультикаста от абонента - самому очень интересно. Поэтому, собственно, и хочу его заблочить. @Aleksey Sonkin сейчас напишу Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aleksey Sonkin Опубликовано 4 марта, 2020 · Жалоба @Bonik только приложите сразу в качестве диагностики вывод 'sh cpu-rx protocol all' в момент проблемы и совсем было бы отлично - дамп трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bonik Опубликовано 4 марта, 2020 · Жалоба @Aleksey Sonkin точно!!! я совсем забыл про sh cpu-rx protocol all Type Rate-limit TotPkts DropPkts DelayCount CurState DHCPv6-SNOOPING 200 11637247 380482903 165 allowed Проблему можно решить, либо ограничив rate-limit, либо навесив extended acl для ipv6 (deny all). В целом, конечно же это костыль, надо решать проблему на стороне абонента, явно у него что-то сломали (было подобное с другими абонентами). Спасибо за наводку show cpu utilization Last 5 second CPU USAGE: 7% Last 30 second CPU USAGE: 7% Last 5 minute CPU USAGE: 8% From running CPU USAGE: 62% ipv6 access-list 600 deny any-source any-destination sh access-group in interface ethernet 1/0/16 interface name:Ethernet1/0/16 IPv6 Ingress access-list used is 600, packet(s) number is 3040210. Rule ID 1 packet(s) number is 3040210. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...