Дело в том, что коммутаторы DES-3526 и DES-3028 аппаратно не поддерживают IGMPv3, но при определённых настройках они реагируют на пакеты IGMPv3, но отвечают в IGMPv2.

_________________
С уважением,
Бигаров Руслан.

ACL'ем порезать это возможно? по идее абонентам нужно только 224.0.0.1-224.0.0.2 и 232.0.0.0/24 в котором iptv вещается, остальное получается можно тупо порезать в acl вообще скопом? чтобы даже igmp там не летало

Да.

_________________
С уважением,
Бигаров Руслан.

стандартный ACL ip dest поможет? или это надо cpu filter делать?

Часть задачи решается через ACL, а часть через CPU IF.

_________________
С уважением,
Бигаров Руслан.

Подскажите, пожалуйста, примеры cpu access_profile, для фильтрации ненужных multicast потоков от пользователей. Если можно, то вынести все это в FAQ.

Заодно, если можно, то примеры использования cpu access_profile для фильтрации "левых" dhcp запросов, arp spoofing'а и т.п.

У меня стоят несколько сотен DES-3010, DES-3016 и DES-3028. Хотелось бы часть ненужного трафика блокировать на них, чтобы он не доходил к вышестоящим свичам.

Через ACL на клиентских портах можно разрешить и приоритезировать 224.0.0.1 и 224.0.0.2 группы, остальной multicast заблокировать. И через CPU IF блокировать по dst ip левые группы, такие как win upnp и т.д.



Не совсем понял про "левые" dhcp запросы, для блокировки левых dhcp есть функция dhcp screening в коммутаторах, от arp spoofing-а есть arp spoofing prevention.

P.S.: На L2 коммутаторах не весь трафик попадает под CPU IF, также как и не весь под ACL, по-этому некоторые задачи через CPU IF на коммутаторах DES-3010G и DES-3016 не решить.

_________________
С уважением,
Бигаров Руслан.

было бы неплохо увидеть пример как заблокировать всё (включая левые igmp query) и оставить только нужные 224.0.0.1-2 и, скажем, 232.0.0.0/24, иначе сейчас не очень понятно что писать в cpu if, а что в acl, времени эксперементировать и выяснять, к сожалению, нет

"Левые" запросы от клиентов режутся с помощью Limited Multicast Addresses.

_________________
С уважением,
Бигаров Руслан.

На 3010, 3016 и 3028 нет dhcp screening и arp spoofing prevention
Хотелось бы узнать, что можно сделать на этих коммутаторах для решения вышенаписанных проблем.
На DGS-3627G мне подсказали команду, с помощью которой можно посмотреть, какой траффик проходит через CPU.
Как можно посмотреть на вышеперечисленный свичах, какой трафик проходит через CPU ?

хех... как оказалось на igmp v3 query от абонентов они особо никак не влияют - igmp пакетики летают по влану как ни в чем не бывало, поэтому и спрашивал как бы правильно порезать с помощью acl

У Вас точно DES-3028 или DES-3026?



В этой презентации:
ftp://ftp.dlink.ru/pub/Trainings/D-Link ... vanced.rar
описано какой трафик может грузить CPU.

_________________
С уважением,
Бигаров Руслан.

Например так:

create access_profile ip destination_ip_mask 255.255.255.252 profile_id 11
config access_profile profile_id 11 add access_id 1 ip destination_ip 224.0.0.1 port 1-24 permit priority 5 replace_priority


create access_profile ip destination_ip_mask 240.0.0.0 profile_id 12
config access_profile profile_id 12 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 deny

create cpu access_profile ip destination_ip_mask 255.255.255.255 profile_id 1
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 239.255.255.250 port 1-24 deny

create multicast_range 1 from 233.0.0.1 to 224.0.0.254
config limited_multicast_addr ports 1-24 add multicast_range 1
config limited_multicast_addr ports 1-24 access permit state enable

_________________
С уважением,
Бигаров Руслан.

спасибо, будем тестить

У меня ОГРОМНАЯ куча DES-3010G, DES-3016 и DES-3026
К сожалению, DES-3028 нету.

А как-то по подробней? Обычный трафик, идущий на порт, я могу отзеркалить. А вот если бы можно было отзеркалить трафик идущий на CPU - то моему счастью не было бы предела.
P.S.
На DGS-3627 есть такая возможность. Мне в свое время очень помогла.