NVMikhail Posted January 27, 2014 Posted January 27, 2014 Имеем следующую схему сети (см.картинку). des3200-26 настроен как querier, des-1228me на доступ. При подключении к 26 порту des3200-26 NATа картинка у абонента начинает сыпаться. После долгих тестирований выяснили (заснеферили трафик на stalker), что в общий канал c 25 порта (в сторону сталкера и сервера вещания) в 1398 vlanе начинает переть трафик с ната - broadcast и unicast PC сети - 10.10.5.X. Так как уже перепробовали все варианты, думаем что именно это является причиной рассыпания картинки (левый траф сети 10.10.5.X просто забивает канал для мультикаста и 10.10.50.X сети). Вынести NAT и PC подсеть в другой vlan не можем так как на доступе должно быть только два vlan - для мультикаста (vlan1399) и broadcast (vlan1398) (iptv приставкам и PC тоже нужен интернет). Сейчас хотим просто проверить эту теорию запретив на 25 порту des3200-26 в сторону канала весь трафик из левых подсетей (т.е. PC - 10.10.5.X). Т.е. чтобы был только multicast в канале и трафик приставка<->stalker. Пробовали ограничивать вот этими правилами, но ничего не помогло. Левый траф c 25 порта все равно прет в канал: create access_profile ip destination_ip_mask 255.255.255.255 source_ip_mask 255.255.255.0 profile_id 1 config access_profile profile_id 1 add access_id 1 ip destination_ip 10.10.50.10 source_ip 10.10.50.1 port 25 permit create access_profile ip source_ip_mask 0.0.0.0 profile_id 2 config access_profile profile_id 2 add access_id 2 ip source_ip 0.0.0.0 port 25 deny Помогите пжлс с alc правилами чтобы на 25 порту пропускать траф только 10.10.50.X подсети ну и мультикаст P.S это продолжение темы http://forum.nag.ru/forum/index.php?showtopic=91357 Вставить ник Quote
alibek Posted January 28, 2014 Posted January 28, 2014 Какая-то загадочная схема. Если это операторский IPTV, то обычно мультикаст идет в отдельном VLAN и этот VLAN на портах доступа абонента не прописан. Для мультикастового VLAN настраивается MVR. Если не используется L3-доступ, то ACL вообще не нужны, делается сегментация трафика по портам. Вставить ник Quote
NVMikhail Posted January 28, 2014 Author Posted January 28, 2014 (edited) Какая-то загадочная схема. Если это операторский IPTV, то обычно мультикаст идет в отдельном VLAN и этот VLAN на портах доступа абонента не прописан. Для мультикастового VLAN настраивается MVR. Если не используется L3-доступ, то ACL вообще не нужны, делается сегментация трафика по портам. Ну собственно у это у нас и настроено ISM vlan (аналог MVR на Dlink). Просто в vlan1398 входят подсети 10.10.50.X и 10.10.5.X, а в vlan1399 - мультикаст. Так вот вопрос был в следующем - как на 25 порту 3200-26 запретить весь траф из 10.10.5.X подсети и пропускать только 10.10.50.X, т.е. траф от приставки к сталкеру. А про схему согласен да, немножко кривовата. Когда сталкер стоит на уровене ната (подключен к 3200-26 как и NAT) никаких проблем нет. Но переставить пока не можем - хотим один сталкер на всю нашу сеть запилить (на рисунке не показана еще одна ветка которая так же идет к другому NAT из канала) Edited January 28, 2014 by NVMikhail Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.