Megas Posted February 25, 2012 Posted February 25, 2012 Архитектура vlan на свич, чистый интернет, присел поглядеть что творится в сети и увидил: 17:35:20.307861 00:26:2d:95:f6:3b > 01:00:5e:40:00:00, ethertype IPv4 (0x0800), length 60: 192.168.1.15 > 239.192.0.0: igmp v2 report 239.192.0.0 Этим дамс завален, в сети нету igmp DES-3200-10:5#show igmp_snoopingCommand: show igmp_snooping IGMP Snooping Global State : Disabled Multicast Router Only : Disabled Data Driven Learning Max Entries : 56 VLAN Name : default Query Interval : 125 Max Response Time : 10 Robustness Value : 2 Last Member Query Interval : 1 Querier State : Disabled Querier Role : Non-Querier Querier IP : 0.0.0.0 Querier Expiry Time : 0 secs State : Disabled Fast Leave : Disabled Version : 3 Data Driven Learning Aged Out : Disabled Получается это надо подрезать, где лучше и каким способом, на доступе в des3200 или в ядре? может у кого есть пример правил, как от этого лучше избавиться. Вставить ник Quote
martini Posted February 25, 2012 Posted February 25, 2012 все режется на доступе, forwarding and filtering - multicast filtering mode - filter unregistered group, на всех клиентских портах Вставить ник Quote
xcme Posted February 25, 2012 Posted February 25, 2012 Получается это надо подрезать, где лучше и каким способом, на доступе в des3200 или в ядре? может у кого есть пример правил, как от этого лучше избавиться. Резать на доступе однозначно. К тому же, если будете использовать IGMP Authentication вся эта каша будет валиться на RADIUS - мало не покажется. Уже не помню почему, но в результате тестов остановились на следующей схеме. Всякие там query попадают на CPU свича, потому для них надо использовать CPU ACL: enable cpu_interface_filtering 1. Разрешаем отписки, чтобы не флудились клиентские STB: create cpu access_profile profile_id 1 ip destination_ip_mask 255.255.255.252config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 permit 2. Разрешаем валидные диапазон (к примеру): create cpu access_profile profile_id 2 ip destination_ip_mask 255.255.255.0config cpu access_profile profile_id 2 add access_id 1 ip destination_ip 239.1.10.0 port 1-24 permit 3. Запрещаем остальные query и т.д. create cpu access_profile profile_id 3 ip destination_ip_mask 240.0.0.0config cpu access_profile profile_id 3 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 deny Если сами что-то вещаем, можем повесить свою метку DSCP: create access_profile ip destination_ip_mask 255.255.255.0 profile_id 7config access_profile profile_id 7 add access_id auto_assign ip destination_ip 239.1.10.0 port 25-28 permit priority 6 replace_priority replace_dscp_with 48 Сам мультикаст от абонентов следует фильтровать обычными ACL: create access_profile ip destination_ip_mask 240.0.0.0 profile_id 8config access_profile profile_id 8 add access_id auto_assign ip destination_ip 224.0.0.0 port 1-24 deny Как в деталях работает мультикаст-фильтр не разобрались, потому он используется "до кучи": create mcast_filter_profile profile_id 1 profile_name iptvconfig mcast_filter_profile profile_id 1 add 239.1.10.1-239.1.10.254 config limited_multicast_addr ports 1-24 add profile_id 1 filter unregistered group, на всех клиентских портах А вот эта штука у нас сильно глючила. Проблема возникала редко и внезапно, потому: config multicast port_filtering_mode all forward_unregistered_groups Ну это если самим надо что-то вещать, а у ТС вещание не организовано, потому может и без разницы. Вставить ник Quote
Megas Posted February 26, 2012 Author Posted February 26, 2012 Спасибо, сегодня буду пробовать и более детально разбираться, с мультикастом к сожалению не сталкивалсЯ, по этому и возникает куча вопросов. Вставить ник Quote
Dyr Posted March 1, 2012 Posted March 1, 2012 Не надо резать мультикаст access-profile'ами. Хотя бы по той простой причине, что ни обычные, ни cpu-профили мультикаст отрабатывать не будут :D Вставить ник Quote
xcme Posted March 3, 2012 Posted March 3, 2012 Все будет блокироваться замечательно. Вставить ник Quote
Dyr Posted March 4, 2012 Posted March 4, 2012 Пффф...соберите стенд и проверьте. Я проверял. А вы? Вставить ник Quote
xcme Posted March 4, 2012 Posted March 4, 2012 (edited) Естественно. И не раз. :) Вчера как раз понадобилось вещать поток с одной раб станции. Все настроено, но клиенты поток не видят. Потом вспомнили про ACL, удалили их - все ок. Так что фильтрация работает. Плюс можно смотреть по show igmp_snooping host/(group). При включенных фильтрах исчезает мусор вида 239.255.255.250 и т.д. p.s. Плюс можно смотреть на маршрутизаторе: Warning! counter packets with TTL=1 = 1069855 На тех L3, куда подключены коммутаторы с ACL, такого нет. Имхо это как раз абонентский мультикаст. Edited March 4, 2012 by xcme Вставить ник Quote
Dyr Posted March 5, 2012 Posted March 5, 2012 xcme, так у вас limited_multicast_addr отрабатывает, а не ACLки. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.