[RN3DCX]

Подскажите, как заблокировать multicast ?

Через ACL или может есть какая-то волшебная команда?

[alibek]

В каком смысле заблокировать?

Можно вообще отключить форвардинг мультикаста.

Можно настроить ACL/фильтры.

Можно включить снупинг и настроить порт, на котором разрешены query (или report).

[RN3DCX]

В 04.06.2023 в 20:44, alibek сказал:

В каком смысле заблокировать?

А что тут не понятного?

 

В 04.06.2023 в 20:44, alibek сказал:

Можно вообще отключить форвардинг мультикаста.

Вот это походу как раз то, что я ищу! Буду признателен инфу.

 

В 04.06.2023 в 20:44, alibek сказал:

Можно настроить ACL/фильтры

Настраивать ACL -  ну это уж совсем от безвыходности....

[alibek]

Коммутатор какой?

[andpuxa]

ip multicast source-control глобально?

[alibek]

Это все-таки решение, основанное на процессорной обработке.

Если нужно просто выключить мультикаст вообще, то скорее что-то вроде no switchport flood-forwarding mcast на портах.

Только конкретная реализация будет зависеть от устройства.

[andpuxa]

тогда уже 

switchport flood-control mcast

 

[RN3DCX]

13 часов назад, alibek сказал:

Коммутатор какой?

 

SNR-S2985G-48T

SNR-S2985G-8T

[Vladimir Efimtsev]

@RN3DCX, добрый день.

Вижу, что вам уже подсказали в принципе по вашему вопросу выше, но все же я бы внес некоторые корректировки.

1) Все-таки зависит, какую именно цель вы преследуете. Вы хотите вообще в принципе запретить пересылку мультикаста (абсолютно любых мультикастовых пакетов) через коммутатор пусть даже на аппаратном уровне, либо просто ограничить поступающий мультикастовый трафик определенных групп / определенных протоколов на какие-либо порты?

2) Если второй вариант (ограничить поступающий мультикастовый трафик определенных групп / определенных протоколов на какие-либо порты), то можно использовать "ip multicast destination-control", а после этого можно применять multicast ACL на интерфейсах, и при включении технологии IGMP Snooping эти ACL будут применяться при регистрации multicast-групп (более подробно с работой функционала можно ознакомиться здесь https://nag.wiki/x/Bx1-AQ).

Причем я бы не сказал, что функционал "ip multicast destination-control" реализован именно засчет средств CPU. Да, сначала пакет в любом случае попадет в CPU, а затем будет обработан аппартным функционалом, т.к. используются ACL.

А "ip multicast source-control" вообще не подойдет в данном случае.

3) Если первый вариант (вообще в принципе запретить пересылку мультикаста через коммутатор), то может вам подойдет функционал "switchport flood-control mcast", который также предложили выше. Данный функционал полностью исключает отправку multicast трафика с порта откуда будет отправлен трафик (на egress) в сторону того порта, где эта команда включена (грубо говоря, порт, на котором применяется команда - исключается из broadcast домена). Можете попробовать, конечно, применить его абсолютно на всех портах коммутатора, проверить, поможет ли это.

[RN3DCX]

Благодарю всех, кто по участвовал в данной теме.

 

Цитата

switchport flood-control mcast

Вот то, что мне нужно было!