День добрый!

Имеем коммутатор A:

Выше над ним установлен точно такой же коммутатор B, с такой же версией ПО. Настройки одинаковые - управляющий VLAN, ACL, CPU ACL, traffic control, loopdetect, MVR, mcast_filtering, cpu l3 pkt filtering.
Абонент, подключенный в коммутатор A генерирует большой поток UDP трафика на мультикаст-адрес, в результате чего коммутатор A становится недоступен за пределами своего управляющего VLAN. Роста нагрузки CPU при этом нет. При этом коммутатор B (вышестоящий) спасают ACL коммутатора A - если их убрать, то коммутатор B тоже становится недоступен за пределами своего VLAN. То есть ACL успешно фильтруют поток от абонента, но не способны защитить собственный коммутатор.

Информация о кадре:

Src: 192.168.0.15 - это роутер D-Link у абонента, включенный кверху ножками.

Выключил на коммутаторе A все, что включено, чтобы привести его по максимуму к первоначальному виду. Отключил CPU ACL, traffic control, IGMP Snooping, DHCP Relay, mcast filtering, cpu l3 pkt filtering и т.п. - то есть все то, что могло бы теоретически нагружать проц - результата нет.

Что самое интересное - доступ от коммутатора пропадает не везде. Пример:

В такой схеме коммутатор A недоступен с PC, равно как и наоборот, но при этом ему доступен Gateway_PC. И в то же время коммутатор недоступен с Gateway_A!. Везде в ARP-талицах верные записи присутствуют. Примерно через 30 секунд после того, как флуд перестает поступать на порт, коммутатор отпускает и он становится доступен отовсюду.

На стенде собираюсь это воспроизвести, но может у кого будут какие мысли? Трафик ведь не должен попадать на процессор, да и он не нагружен, почему тогда такое поведение?

_________________
D-Link Switches: Tips & Tricks

Видимо всё-таки мультикаст обрабатывается цпу, с очевидными последствиями.