cherednik писал(а):
xcme писал(а):
Скорее всего прилетает левый мультикаст. Его надо резать ACL-ками на влете в абонентские порты. Если это ваш собственный мультикаст, следует настроить IGMP Snooping.
Телек не гоняем у себя. Так что мультик видимо левый.
Подскажите что именно написать в acl.
Спасибо.
Для новых моделей:
Код:
create access_profile profile_id 3 profile_name security ip destination_ip_mask 240.0.0.0 tcp dst_port_mask 0xFFFF
#deny multicast from subscribers
config access_profile profile_name security add access_id auto_assign ip destination_ip 224.0.0.0 port 1-24 deny
#deny TCP 135,139,445,2869,3587,5357,5358
config access_profile profile_name security add access_id auto_assign ip tcp dst_port 135 port 1-24 deny
config access_profile profile_name security add access_id auto_assign ip tcp dst_port 139 port 1-24 deny
config access_profile profile_name security add access_id auto_assign ip tcp dst_port 445 port 1-24 deny
config access_profile profile_name security add access_id auto_assign ip tcp dst_port 2869 port 1-24 deny
config access_profile profile_name security add access_id auto_assign ip tcp dst_port 3587 port 1-24 deny
config access_profile profile_name security add access_id auto_assign ip tcp dst_port 5357 port 1-24 deny
config access_profile profile_name security add access_id auto_assign ip tcp dst_port 5358 port 1-24 deny
(Правила для блокировки портов можно удалить. Я просто скопировал свой старый профиль as is.)
Для старых:
Код:
#deny multicast from subscribers
create access_profile ip destination_ip_mask 240.0.0.0 profile_id 8
config access_profile profile_id 8 add access_id auto_assign ip destination_ip 224.0.0.0 port 1-24 deny
Еще можно служебные пакеты запретить (этот трафик обрабатывается CPU, поэтому нужны CPU ACL):
Код:
enable cpu_interface_filtering
create cpu access_profile profile_id 1 ip destination_ip_mask 255.255.255.255
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.2 port all permit
...
create cpu access_profile profile_id 3 ip destination_ip_mask 240.0.0.0
config cpu access_profile profile_id 3 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 deny