Mechanic Опубликовано 8 января, 2012 Заметил на некоторых влана появляются левые querier, абонентские компы core#sh ip igmp snooping querier Vlan IP Address IGMP Version Port ------------------------------------------------------------- 51 10.7.51.7 v2 Gi0/27 170 10.7.111.117 v2 Gi0/1 200 10.7.200.249 v3 Gi0/1 201 10.7.111.117 v2 Gi0/1 у меня querier находится в влане 201 и все iptv летил в нем. Как затитть iptv сеть от левых querier ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 9 января, 2012 фильтровать.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 9 января, 2012 каким образом ? примеры есть ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 9 января, 2012 (изменено) dst 224.0.0.1 и dst 224.0.0.22 на портах пользователей. Изменено 9 января, 2012 пользователем Дегтярев Илья Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 9 января, 2012 Тогда уж по dst mac: 01:00:e0:00:00:1, 01:00:e0:00:00:16 - вроде они должны соответствовать этим IP адресам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 9 января, 2012 (изменено) каким образом ? примеры есть ? всё зависит от оборудования - то есть коммутаторов на которых собираетесь фильтровать фильтровать навешиванием ACL на портах ( для начала изучить что могут именно ваши коммутаторы) Изменено 9 января, 2012 пользователем Lynx10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 9 января, 2012 стоят edge-core читал тему на форуме длинка,предлагается фильтровать dist 224.0.0.1 , но так и не решили окончательно, тк фильтруются все querier запросы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 10 января, 2012 М-м-м, напомните, чем опасны/плохи "левые" querier? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 10 января, 2012 Тем, что на порт левого querier валится весь мультикаст. Т.е. аплинк свитча будет прилично забит. Только 224.0.0.1 фильтровать мало. 224.0.0.22 - весь igmpv3. Абсолютно не нужный провайдеру. Проще зафильтровать все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrsaygo Опубликовано 10 января, 2012 (изменено) config multicast port_filtering_mode all filter_unregistered_groups - как то так на длинках, если я правильно понял. Изменено 10 января, 2012 пользователем mrsaygo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 10 января, 2012 "config multicast port_filtering_mode all filter_unregistered_groups " Иди читай что такое мультикаст, и как на него подписываются. Все описанное выше использется при условии, что неподписанные группы и так не квериерам не уходят. ХЗ почему у гогнодлинка данная команда по-умолчанию не включена. А квериеру обязательно должен уходить весь igmp трафик. А с ним L2 свитчи отсылают и вообще весь мультикаст. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 10 января, 2012 нашел решение на 3510МА IGMP Query Drop- функционал-работает но вот на более старых моделях -нужно дополнительно реализовать подскажите как через Ip acl сделать ? по каким адресам уходит igmp v1-3 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 11 января, 2012 Mechanic, их уже 3 раза в этой ветке написали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
6PATyCb Опубликовано 12 января, 2012 можно еще абонентские порты в forbidden router port переводить явно, если это конечно коммутатор поддерживает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RealResident Опубликовано 12 января, 2012 Тут ещё вопрос "а что делает в этих вланах мультикаст?", если это клиентский влан между его точками, то может он ему нужен? Если это ваш влан и там должен ходить мультикаст, то запустите свой квеирер с приоритетом повыше, другие квериеры должны затыкаться как только услышат запрос от квериера с меньшим, чем их, IP. А вообще написали же: фильтруйте igmp на 224.0.0.1, 224.0.0.22, 224.0.0.2 (угу, на DVMRP тоже igmp snooping смотрит) и, возможно, 224.0.0.13 (ALL-PIM-ROUTERS). Вообще не понял как это левый мультикаст к querier'у может идти. sh ip ig sn mr скорее всего там мультикастные маршрутизаторы определились, а то, что квериер -- это не страшно. При чем порт как маршрутизаторный определился не на этом коммутаторе, а на том, что дальше, тот что потупее и увидев querier сразу его в mrouter'ы записал, вот и шлет в этот порт весь мультикаст, что видит. А вообще решение от левых квериеров (неправильно сконфигурированного оборудования клиента) -- запустить свой там где ему и место, исходя из топологии сети. Если это не негодяй какой-нить, от негодяев уже эксес листы только помогут. Да вообще, зачем негодяям мультикаст? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 28 января, 2012 А вообще написали же: фильтруйте igmp на 224.0.0.1, 224.0.0.22, 224.0.0.2 (угу, на DVMRP тоже igmp snooping смотрит) и, возможно, 224.0.0.13 (ALL-PIM-ROUTERS). 224.0.0.2 нужен для отписок. Иначе трафик остается в порту и зафлуживает клиентские STB: 5-7 переключений каналов и приставка захлебывается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Ars- Опубликовано 28 января, 2012 224.0.0.22 - весь igmpv3. Абсолютно не нужный провайдеру. Интересно, почему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 28 января, 2012 Наверное потому, что большинство железа аппаратно поддерживает IGMPv2. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Ars- Опубликовано 28 января, 2012 Наверное потому, что большинство железа аппаратно поддерживает IGMPv2. Т.е. в момент, когда IGMPv3 поддерживается железом - он становится нужен провайдеру? Какая-то странная логика получается :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 28 января, 2012 Наверное потому, что большинство железа аппаратно поддерживает IGMPv2. Т.е. в момент, когда IGMPv3 поддерживается железом - он становится нужен провайдеру? Какая-то странная логика получается :) igmpv3 это как ipv6, сейчас его закладывают в устройства "на будущее". вот прямо сейчас он не нужен или его не получается внедрить полноценно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Ars- Опубликовано 29 января, 2012 прямо сейчас он не нужен или его не получается внедрить полноценно Ну, фиг знает. ВТ с ним работают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 29 января, 2012 прямо сейчас он не нужен или его не получается внедрить полноценно Ну, фиг знает. ВТ с ним работают. Конечно кто-то с ним работает, не зря ж он существует. Я ж говоря о большинстве, а не исключениях из правил, которые всегда есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...