igmp snooping

[Mechanic]

Заметил на некоторых влана появляются левые querier, абонентские компы

core#sh ip igmp snooping querier
Vlan      IP Address               IGMP Version   Port
-------------------------------------------------------------
51        10.7.51.7               v2            Gi0/27
170       10.7.111.117            v2            Gi0/1
200       10.7.200.249            v3            Gi0/1
201       10.7.111.117            v2            Gi0/1

у меня querier находится в влане 201 и все iptv летил в нем.

Как затитть iptv сеть от левых querier ?

[Lynx10]

фильтровать....

[Mechanic]

каким образом ?

примеры есть ?

[Дегтярев Илья]

dst 224.0.0.1 и dst 224.0.0.22 на портах пользователей.

Edited January 9, 2012 by Дегтярев Илья

[Ivan_83]

Тогда уж по dst mac: 01:00:e0:00:00:1,  01:00:e0:00:00:16 - вроде они должны соответствовать этим IP адресам.

[Lynx10]

каким образом ?

примеры есть ?

всё зависит от оборудования - то есть коммутаторов на которых собираетесь фильтровать

фильтровать навешиванием ACL на портах ( для начала изучить что могут именно ваши коммутаторы)

Edited January 9, 2012 by Lynx10

[Mechanic]

стоят edge-core

читал тему на форуме длинка,предлагается фильтровать dist 224.0.0.1 , но так и не решили окончательно, тк фильтруются все querier запросы

[Dyr]

М-м-м, напомните, чем опасны/плохи "левые" querier?

[Дегтярев Илья]

Тем, что на порт левого querier валится весь мультикаст.

Т.е. аплинк свитча будет прилично забит.

 

Только 224.0.0.1 фильтровать мало.

224.0.0.22 - весь igmpv3. Абсолютно не нужный провайдеру. Проще зафильтровать все.

[mrsaygo]

config multicast port_filtering_mode all filter_unregistered_groups - как то так на длинках, если я правильно понял.

Edited January 10, 2012 by mrsaygo

[Дегтярев Илья]

"config multicast port_filtering_mode all filter_unregistered_groups "

 

Иди читай что такое мультикаст, и как на него подписываются.

Все описанное выше использется при условии, что неподписанные группы и так не квериерам не уходят. ХЗ почему у гогнодлинка данная команда по-умолчанию не включена.

 

А квериеру обязательно должен уходить весь igmp трафик. А с ним L2 свитчи отсылают и вообще весь мультикаст.

[Mechanic]

нашел решение на 3510МА IGMP Query Drop- функционал-работает

но вот на более старых моделях -нужно дополнительно реализовать

подскажите как через Ip acl сделать ?

по каким адресам уходит igmp v1-3 ?

[Дегтярев Илья]

Mechanic, их уже 3 раза в этой ветке написали.

[6PATyCb]

можно еще абонентские порты в forbidden router port переводить явно, если это конечно коммутатор поддерживает

[RealResident]

Тут ещё вопрос "а что делает в этих вланах мультикаст?", если это клиентский влан между его точками, то может он ему нужен? Если это ваш влан и там должен ходить мультикаст, то запустите свой квеирер с приоритетом повыше, другие квериеры должны затыкаться как только услышат запрос от квериера с меньшим, чем их, IP. А вообще написали же: фильтруйте igmp на 224.0.0.1, 224.0.0.22, 224.0.0.2 (угу, на DVMRP тоже igmp snooping смотрит) и, возможно, 224.0.0.13 (ALL-PIM-ROUTERS).

 

Вообще не понял как это левый мультикаст к querier'у может идти. sh ip ig sn mr скорее всего там мультикастные маршрутизаторы определились, а то, что квериер -- это не страшно. При чем порт как маршрутизаторный определился не на этом коммутаторе, а на том, что дальше, тот что потупее и увидев querier сразу его в mrouter'ы записал, вот и шлет в этот порт весь мультикаст, что видит.

 

А вообще решение от левых квериеров (неправильно сконфигурированного оборудования клиента) -- запустить свой там где ему и место, исходя из топологии сети. Если это не негодяй какой-нить, от негодяев уже эксес листы только помогут. Да вообще, зачем негодяям мультикаст?

[xcme]

А вообще написали же: фильтруйте igmp на 224.0.0.1, 224.0.0.22, 224.0.0.2 (угу, на DVMRP тоже igmp snooping смотрит) и, возможно, 224.0.0.13 (ALL-PIM-ROUTERS).

224.0.0.2 нужен для отписок. Иначе трафик остается в порту и зафлуживает клиентские STB: 5-7 переключений каналов и приставка захлебывается.

[-Ars-]

224.0.0.22 - весь igmpv3. Абсолютно не нужный провайдеру.

Интересно, почему?

[snark]

Наверное потому, что большинство железа аппаратно поддерживает IGMPv2.

[-Ars-]

Наверное потому, что большинство железа аппаратно поддерживает IGMPv2.

Т.е. в момент, когда IGMPv3 поддерживается железом - он становится нужен провайдеру? Какая-то странная логика получается :)

[s.lobanov]

Наверное потому, что большинство железа аппаратно поддерживает IGMPv2.

Т.е. в момент, когда IGMPv3 поддерживается железом - он становится нужен провайдеру? Какая-то странная логика получается :)

 

igmpv3 это как ipv6, сейчас его закладывают в устройства "на будущее". вот прямо сейчас он не нужен или его не получается внедрить полноценно

[-Ars-]

прямо сейчас он не нужен или его не получается внедрить полноценно

Ну, фиг знает. ВТ с ним работают.

[s.lobanov]

прямо сейчас он не нужен или его не получается внедрить полноценно

Ну, фиг знает. ВТ с ним работают.

 

Конечно кто-то с ним работает, не зря ж он существует. Я ж говоря о большинстве, а не исключениях из правил, которые всегда есть.