Mechanic Опубликовано 8 января, 2012 · Жалоба Заметил на некоторых влана появляются левые querier, абонентские компы core#sh ip igmp snooping querier Vlan IP Address IGMP Version Port ------------------------------------------------------------- 51 10.7.51.7 v2 Gi0/27 170 10.7.111.117 v2 Gi0/1 200 10.7.200.249 v3 Gi0/1 201 10.7.111.117 v2 Gi0/1 у меня querier находится в влане 201 и все iptv летил в нем. Как затитть iptv сеть от левых querier ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 9 января, 2012 · Жалоба фильтровать.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 9 января, 2012 · Жалоба каким образом ? примеры есть ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 9 января, 2012 (изменено) · Жалоба dst 224.0.0.1 и dst 224.0.0.22 на портах пользователей. Изменено 9 января, 2012 пользователем Дегтярев Илья Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 9 января, 2012 · Жалоба Тогда уж по dst mac: 01:00:e0:00:00:1, 01:00:e0:00:00:16 - вроде они должны соответствовать этим IP адресам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 9 января, 2012 (изменено) · Жалоба каким образом ? примеры есть ? всё зависит от оборудования - то есть коммутаторов на которых собираетесь фильтровать фильтровать навешиванием ACL на портах ( для начала изучить что могут именно ваши коммутаторы) Изменено 9 января, 2012 пользователем Lynx10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 9 января, 2012 · Жалоба стоят edge-core читал тему на форуме длинка,предлагается фильтровать dist 224.0.0.1 , но так и не решили окончательно, тк фильтруются все querier запросы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 10 января, 2012 · Жалоба М-м-м, напомните, чем опасны/плохи "левые" querier? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 10 января, 2012 · Жалоба Тем, что на порт левого querier валится весь мультикаст. Т.е. аплинк свитча будет прилично забит. Только 224.0.0.1 фильтровать мало. 224.0.0.22 - весь igmpv3. Абсолютно не нужный провайдеру. Проще зафильтровать все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrsaygo Опубликовано 10 января, 2012 (изменено) · Жалоба config multicast port_filtering_mode all filter_unregistered_groups - как то так на длинках, если я правильно понял. Изменено 10 января, 2012 пользователем mrsaygo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 10 января, 2012 · Жалоба "config multicast port_filtering_mode all filter_unregistered_groups " Иди читай что такое мультикаст, и как на него подписываются. Все описанное выше использется при условии, что неподписанные группы и так не квериерам не уходят. ХЗ почему у гогнодлинка данная команда по-умолчанию не включена. А квериеру обязательно должен уходить весь igmp трафик. А с ним L2 свитчи отсылают и вообще весь мультикаст. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 10 января, 2012 · Жалоба нашел решение на 3510МА IGMP Query Drop- функционал-работает но вот на более старых моделях -нужно дополнительно реализовать подскажите как через Ip acl сделать ? по каким адресам уходит igmp v1-3 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 11 января, 2012 · Жалоба Mechanic, их уже 3 раза в этой ветке написали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
6PATyCb Опубликовано 12 января, 2012 · Жалоба можно еще абонентские порты в forbidden router port переводить явно, если это конечно коммутатор поддерживает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RealResident Опубликовано 12 января, 2012 · Жалоба Тут ещё вопрос "а что делает в этих вланах мультикаст?", если это клиентский влан между его точками, то может он ему нужен? Если это ваш влан и там должен ходить мультикаст, то запустите свой квеирер с приоритетом повыше, другие квериеры должны затыкаться как только услышат запрос от квериера с меньшим, чем их, IP. А вообще написали же: фильтруйте igmp на 224.0.0.1, 224.0.0.22, 224.0.0.2 (угу, на DVMRP тоже igmp snooping смотрит) и, возможно, 224.0.0.13 (ALL-PIM-ROUTERS). Вообще не понял как это левый мультикаст к querier'у может идти. sh ip ig sn mr скорее всего там мультикастные маршрутизаторы определились, а то, что квериер -- это не страшно. При чем порт как маршрутизаторный определился не на этом коммутаторе, а на том, что дальше, тот что потупее и увидев querier сразу его в mrouter'ы записал, вот и шлет в этот порт весь мультикаст, что видит. А вообще решение от левых квериеров (неправильно сконфигурированного оборудования клиента) -- запустить свой там где ему и место, исходя из топологии сети. Если это не негодяй какой-нить, от негодяев уже эксес листы только помогут. Да вообще, зачем негодяям мультикаст? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 28 января, 2012 · Жалоба А вообще написали же: фильтруйте igmp на 224.0.0.1, 224.0.0.22, 224.0.0.2 (угу, на DVMRP тоже igmp snooping смотрит) и, возможно, 224.0.0.13 (ALL-PIM-ROUTERS). 224.0.0.2 нужен для отписок. Иначе трафик остается в порту и зафлуживает клиентские STB: 5-7 переключений каналов и приставка захлебывается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Ars- Опубликовано 28 января, 2012 · Жалоба 224.0.0.22 - весь igmpv3. Абсолютно не нужный провайдеру. Интересно, почему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 28 января, 2012 · Жалоба Наверное потому, что большинство железа аппаратно поддерживает IGMPv2. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Ars- Опубликовано 28 января, 2012 · Жалоба Наверное потому, что большинство железа аппаратно поддерживает IGMPv2. Т.е. в момент, когда IGMPv3 поддерживается железом - он становится нужен провайдеру? Какая-то странная логика получается :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 28 января, 2012 · Жалоба Наверное потому, что большинство железа аппаратно поддерживает IGMPv2. Т.е. в момент, когда IGMPv3 поддерживается железом - он становится нужен провайдеру? Какая-то странная логика получается :) igmpv3 это как ipv6, сейчас его закладывают в устройства "на будущее". вот прямо сейчас он не нужен или его не получается внедрить полноценно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Ars- Опубликовано 29 января, 2012 · Жалоба прямо сейчас он не нужен или его не получается внедрить полноценно Ну, фиг знает. ВТ с ним работают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 29 января, 2012 · Жалоба прямо сейчас он не нужен или его не получается внедрить полноценно Ну, фиг знает. ВТ с ним работают. Конечно кто-то с ним работает, не зря ж он существует. Я ж говоря о большинстве, а не исключениях из правил, которые всегда есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...