Перейти к содержимому
Калькуляторы

igmp snooping защита от левый querier

Заметил на некоторых влана появляются левые querier, абонентские компы

core#sh ip igmp snooping querier
Vlan      IP Address               IGMP Version   Port
-------------------------------------------------------------
51        10.7.51.7               v2            Gi0/27
170       10.7.111.117            v2            Gi0/1
200       10.7.200.249            v3            Gi0/1
201       10.7.111.117            v2            Gi0/1

у меня querier находится в влане 201 и все iptv летил в нем.

Как затитть iptv сеть от левых querier ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

фильтровать....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

каким образом ?

примеры есть ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

dst 224.0.0.1 и dst 224.0.0.22 на портах пользователей.

Изменено пользователем Дегтярев Илья

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда уж по dst mac: 01:00:e0:00:00:1,  01:00:e0:00:00:16 - вроде они должны соответствовать этим IP адресам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

каким образом ?

примеры есть ?

всё зависит от оборудования - то есть коммутаторов на которых собираетесь фильтровать

фильтровать навешиванием ACL на портах ( для начала изучить что могут именно ваши коммутаторы)

Изменено пользователем Lynx10

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

стоят edge-core

читал тему на форуме длинка,предлагается фильтровать dist 224.0.0.1 , но так и не решили окончательно, тк фильтруются все querier запросы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

М-м-м, напомните, чем опасны/плохи "левые" querier?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тем, что на порт левого querier валится весь мультикаст.

Т.е. аплинк свитча будет прилично забит.

 

Только 224.0.0.1 фильтровать мало.

224.0.0.22 - весь igmpv3. Абсолютно не нужный провайдеру. Проще зафильтровать все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

config multicast port_filtering_mode all filter_unregistered_groups - как то так на длинках, если я правильно понял.

Изменено пользователем mrsaygo

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"config multicast port_filtering_mode all filter_unregistered_groups "

 

Иди читай что такое мультикаст, и как на него подписываются.

Все описанное выше использется при условии, что неподписанные группы и так не квериерам не уходят. ХЗ почему у гогнодлинка данная команда по-умолчанию не включена.

 

А квериеру обязательно должен уходить весь igmp трафик. А с ним L2 свитчи отсылают и вообще весь мультикаст.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нашел решение на 3510МА IGMP Query Drop- функционал-работает

но вот на более старых моделях -нужно дополнительно реализовать

подскажите как через Ip acl сделать ?

по каким адресам уходит igmp v1-3 ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Mechanic, их уже 3 раза в этой ветке написали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

можно еще абонентские порты в forbidden router port переводить явно, если это конечно коммутатор поддерживает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тут ещё вопрос "а что делает в этих вланах мультикаст?", если это клиентский влан между его точками, то может он ему нужен? Если это ваш влан и там должен ходить мультикаст, то запустите свой квеирер с приоритетом повыше, другие квериеры должны затыкаться как только услышат запрос от квериера с меньшим, чем их, IP. А вообще написали же: фильтруйте igmp на 224.0.0.1, 224.0.0.22, 224.0.0.2 (угу, на DVMRP тоже igmp snooping смотрит) и, возможно, 224.0.0.13 (ALL-PIM-ROUTERS).

 

Вообще не понял как это левый мультикаст к querier'у может идти. sh ip ig sn mr скорее всего там мультикастные маршрутизаторы определились, а то, что квериер -- это не страшно. При чем порт как маршрутизаторный определился не на этом коммутаторе, а на том, что дальше, тот что потупее и увидев querier сразу его в mrouter'ы записал, вот и шлет в этот порт весь мультикаст, что видит.

 

А вообще решение от левых квериеров (неправильно сконфигурированного оборудования клиента) -- запустить свой там где ему и место, исходя из топологии сети. Если это не негодяй какой-нить, от негодяев уже эксес листы только помогут. Да вообще, зачем негодяям мультикаст?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вообще написали же: фильтруйте igmp на 224.0.0.1, 224.0.0.22, 224.0.0.2 (угу, на DVMRP тоже igmp snooping смотрит) и, возможно, 224.0.0.13 (ALL-PIM-ROUTERS).

224.0.0.2 нужен для отписок. Иначе трафик остается в порту и зафлуживает клиентские STB: 5-7 переключений каналов и приставка захлебывается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

224.0.0.22 - весь igmpv3. Абсолютно не нужный провайдеру.

Интересно, почему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Наверное потому, что большинство железа аппаратно поддерживает IGMPv2.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Наверное потому, что большинство железа аппаратно поддерживает IGMPv2.

Т.е. в момент, когда IGMPv3 поддерживается железом - он становится нужен провайдеру? Какая-то странная логика получается :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Наверное потому, что большинство железа аппаратно поддерживает IGMPv2.

Т.е. в момент, когда IGMPv3 поддерживается железом - он становится нужен провайдеру? Какая-то странная логика получается :)

 

igmpv3 это как ipv6, сейчас его закладывают в устройства "на будущее". вот прямо сейчас он не нужен или его не получается внедрить полноценно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

прямо сейчас он не нужен или его не получается внедрить полноценно

Ну, фиг знает. ВТ с ним работают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

прямо сейчас он не нужен или его не получается внедрить полноценно

Ну, фиг знает. ВТ с ним работают.

 

Конечно кто-то с ним работает, не зря ж он существует. Я ж говоря о большинстве, а не исключениях из правил, которые всегда есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.