Jump to content

заблокировать multicast

RN3DCX
 Share

Recommended Posts

alibek

alibek

Posted
Posted

В каком смысле заблокировать?

Можно вообще отключить форвардинг мультикаста.

Можно настроить ACL/фильтры.

Можно включить снупинг и настроить порт, на котором разрешены query (или report).

RN3DCX

RN3DCX

Posted
  • Author
Posted
В 04.06.2023 в 20:44, alibek сказал:

В каком смысле заблокировать?

А что тут не понятного?

 

В 04.06.2023 в 20:44, alibek сказал:

Можно вообще отключить форвардинг мультикаста.

Вот это походу как раз то, что я ищу! Буду признателен инфу.

 

В 04.06.2023 в 20:44, alibek сказал:

Можно настроить ACL/фильтры

Настраивать ACL -  ну это уж совсем от безвыходности....

alibek

alibek

Posted
Posted

Это все-таки решение, основанное на процессорной обработке.

Если нужно просто выключить мультикаст вообще, то скорее что-то вроде no switchport flood-forwarding mcast на портах.

Только конкретная реализация будет зависеть от устройства.

Vladimir Efimtsev

Vladimir Efimtsev

Posted
Posted

@RN3DCX, добрый день.

Вижу, что вам уже подсказали в принципе по вашему вопросу выше, но все же я бы внес некоторые корректировки.

1) Все-таки зависит, какую именно цель вы преследуете. Вы хотите вообще в принципе запретить пересылку мультикаста (абсолютно любых мультикастовых пакетов) через коммутатор пусть даже на аппаратном уровне, либо просто ограничить поступающий мультикастовый трафик определенных групп / определенных протоколов на какие-либо порты?

2) Если второй вариант (ограничить поступающий мультикастовый трафик определенных групп / определенных протоколов на какие-либо порты), то можно использовать "ip multicast destination-control", а после этого можно применять multicast ACL на интерфейсах, и при включении технологии IGMP Snooping эти ACL будут применяться при регистрации multicast-групп (более подробно с работой функционала можно ознакомиться здесь https://nag.wiki/x/Bx1-AQ).

Причем я бы не сказал, что функционал "ip multicast destination-control" реализован именно засчет средств CPU. Да, сначала пакет в любом случае попадет в CPU, а затем будет обработан аппартным функционалом, т.к. используются ACL.

А "ip multicast source-control" вообще не подойдет в данном случае.

3) Если первый вариант (вообще в принципе запретить пересылку мультикаста через коммутатор), то может вам подойдет функционал "switchport flood-control mcast", который также предложили выше. Данный функционал полностью исключает отправку multicast трафика с порта откуда будет отправлен трафик (на egress) в сторону того порта, где эта команда включена (грубо говоря, порт, на котором применяется команда - исключается из broadcast домена). Можете попробовать, конечно, применить его абсолютно на всех портах коммутатора, проверить, поможет ли это.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.