Jump to content
Калькуляторы

igmp snooping защита от левый querier

Заметил на некоторых влана появляются левые querier, абонентские компы

core#sh ip igmp snooping querier
Vlan      IP Address               IGMP Version   Port
-------------------------------------------------------------
51        10.7.51.7               v2            Gi0/27
170       10.7.111.117            v2            Gi0/1
200       10.7.200.249            v3            Gi0/1
201       10.7.111.117            v2            Gi0/1

у меня querier находится в влане 201 и все iptv летил в нем.

Как затитть iptv сеть от левых querier ?

Share this post


Link to post
Share on other sites

Тогда уж по dst mac: 01:00:e0:00:00:1,  01:00:e0:00:00:16 - вроде они должны соответствовать этим IP адресам.

Share this post


Link to post
Share on other sites

каким образом ?

примеры есть ?

всё зависит от оборудования - то есть коммутаторов на которых собираетесь фильтровать

фильтровать навешиванием ACL на портах ( для начала изучить что могут именно ваши коммутаторы)

Edited by Lynx10

Share this post


Link to post
Share on other sites

стоят edge-core

читал тему на форуме длинка,предлагается фильтровать dist 224.0.0.1 , но так и не решили окончательно, тк фильтруются все querier запросы

Share this post


Link to post
Share on other sites

М-м-м, напомните, чем опасны/плохи "левые" querier?

Share this post


Link to post
Share on other sites

Тем, что на порт левого querier валится весь мультикаст.

Т.е. аплинк свитча будет прилично забит.

 

Только 224.0.0.1 фильтровать мало.

224.0.0.22 - весь igmpv3. Абсолютно не нужный провайдеру. Проще зафильтровать все.

Share this post


Link to post
Share on other sites

config multicast port_filtering_mode all filter_unregistered_groups - как то так на длинках, если я правильно понял.

Edited by mrsaygo

Share this post


Link to post
Share on other sites

"config multicast port_filtering_mode all filter_unregistered_groups "

 

Иди читай что такое мультикаст, и как на него подписываются.

Все описанное выше использется при условии, что неподписанные группы и так не квериерам не уходят. ХЗ почему у гогнодлинка данная команда по-умолчанию не включена.

 

А квериеру обязательно должен уходить весь igmp трафик. А с ним L2 свитчи отсылают и вообще весь мультикаст.

Share this post


Link to post
Share on other sites

нашел решение на 3510МА IGMP Query Drop- функционал-работает

но вот на более старых моделях -нужно дополнительно реализовать

подскажите как через Ip acl сделать ?

по каким адресам уходит igmp v1-3 ?

Share this post


Link to post
Share on other sites

можно еще абонентские порты в forbidden router port переводить явно, если это конечно коммутатор поддерживает

Share this post


Link to post
Share on other sites

Тут ещё вопрос "а что делает в этих вланах мультикаст?", если это клиентский влан между его точками, то может он ему нужен? Если это ваш влан и там должен ходить мультикаст, то запустите свой квеирер с приоритетом повыше, другие квериеры должны затыкаться как только услышат запрос от квериера с меньшим, чем их, IP. А вообще написали же: фильтруйте igmp на 224.0.0.1, 224.0.0.22, 224.0.0.2 (угу, на DVMRP тоже igmp snooping смотрит) и, возможно, 224.0.0.13 (ALL-PIM-ROUTERS).

 

Вообще не понял как это левый мультикаст к querier'у может идти. sh ip ig sn mr скорее всего там мультикастные маршрутизаторы определились, а то, что квериер -- это не страшно. При чем порт как маршрутизаторный определился не на этом коммутаторе, а на том, что дальше, тот что потупее и увидев querier сразу его в mrouter'ы записал, вот и шлет в этот порт весь мультикаст, что видит.

 

А вообще решение от левых квериеров (неправильно сконфигурированного оборудования клиента) -- запустить свой там где ему и место, исходя из топологии сети. Если это не негодяй какой-нить, от негодяев уже эксес листы только помогут. Да вообще, зачем негодяям мультикаст?

Share this post


Link to post
Share on other sites

А вообще написали же: фильтруйте igmp на 224.0.0.1, 224.0.0.22, 224.0.0.2 (угу, на DVMRP тоже igmp snooping смотрит) и, возможно, 224.0.0.13 (ALL-PIM-ROUTERS).

224.0.0.2 нужен для отписок. Иначе трафик остается в порту и зафлуживает клиентские STB: 5-7 переключений каналов и приставка захлебывается.

Share this post


Link to post
Share on other sites

224.0.0.22 - весь igmpv3. Абсолютно не нужный провайдеру.

Интересно, почему?

Share this post


Link to post
Share on other sites

Наверное потому, что большинство железа аппаратно поддерживает IGMPv2.

Share this post


Link to post
Share on other sites

Наверное потому, что большинство железа аппаратно поддерживает IGMPv2.

Т.е. в момент, когда IGMPv3 поддерживается железом - он становится нужен провайдеру? Какая-то странная логика получается :)

Share this post


Link to post
Share on other sites

Наверное потому, что большинство железа аппаратно поддерживает IGMPv2.

Т.е. в момент, когда IGMPv3 поддерживается железом - он становится нужен провайдеру? Какая-то странная логика получается :)

 

igmpv3 это как ipv6, сейчас его закладывают в устройства "на будущее". вот прямо сейчас он не нужен или его не получается внедрить полноценно

Share this post


Link to post
Share on other sites

прямо сейчас он не нужен или его не получается внедрить полноценно

Ну, фиг знает. ВТ с ним работают.

Share this post


Link to post
Share on other sites

прямо сейчас он не нужен или его не получается внедрить полноценно

Ну, фиг знает. ВТ с ним работают.

 

Конечно кто-то с ним работает, не зря ж он существует. Я ж говоря о большинстве, а не исключениях из правил, которые всегда есть.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this