Имеем на uplink`е DSLAM`a несколько мультикастовых потоков, например 225.10.10.10:12345, 225.11.11.11:12345, 225.12.12.12:12345.
При этом соединившись на любой порт DSLAMa можно стать членом этой рассылки либо всех их вместе.
Так вот вопрос. Можно ли с помощью фильтров или как-нибудь по другому ограничить это, до вида:

1 порт только 225.10.10.10:12345
2 порт только 225.11.11.11:12345
3 порт только 225.12.12.12:12345
4 порт только 225.11.11.11:12345 и 225.12.12.12:12345

Спасибо за ответы.

Cамый простой вариант -разнести Multicast потоки по разным VLAN,и прописать портам членство в определенных VLAN.

Цитата из руководства по экплуатации
ftp://ftp.dlink.ru/pub/IPDSLAM/DAS-3248 ... _1.04a.pdf

"DAS-3248 имеет базу данных коммутации трафика групповой рассылки – Multicast Database. Данная база данных обновляется модулем IGMP Snooping и Static multicast. Поиск в данной базе данных осуществляется по multicast MAC адресу и VLANID. Результатом поиска будет список портов, являющихся членами данной группы множественной рассылки и входящих в данную VLAN."

Настройке работы с мультикаст-потоками посвящена глава -7.5.Групповая рассылка (IGMP Snooping)

_________________
С уважением, Гакало Алексей

А правильно ли будет следующее?
create filter rule entry ruleid 3 action allow description IGMP3
create filter subrule ip ruleid 3 subruleid 1 srcaddrcmp any dstaddrcmp exrange dstipaddrfrom 224.1.1.1 dstipaddrto 224.1.1.3 subruleprio asinrule
create filter rule map ifname eoa-1 stageid 1 ruleid 3 orderid 3
create filter rule entry ruleid 4 action drop description IGMP4
create filter subrule ip ruleid 4 subruleid 1 srcaddrcmp any dstaddrcmp any
create filter rule map ifname eoa-1 stageid 1 ruleid 4 orderid 4
modify filter rule entry ruleid 3 status enable
modify filter rule entry ruleid 4 status enable
т.е. я хочу на определенный порт пропустить только несколько определенных каналов, а остальные запретить!

И как будет правильно сделать ?
Если можно то приведите рабочий вариант для примера!
С уважением Алексей!

Пожалуйста, подробно опишите схему Вашей сети:
1. Что у Вас стоит за DSLAM (коммутаторы)?
2. Настроены ли на них дополнительные VLAN?
3. Настроены ли QoS политики?

После этого мы сможем предложить Вам оптимальное решение.

Спасибо!

_________________
С уважением, Давыдов Денис.

На Uplink DAS3248 С видеосервера приходит мультикаст в 6-ом vlan.
Диапазон каналов с 224.1.1.1 до 224.1.1.32.

Требуется на определенный порт пропустить только несколько определенных каналов, а остальные запретить!
Я попробовал сделать следующим образом:


DSLAM принял эти команды, но результат не достигнут, на указанных портах DSLAM по прежнему можно просмотреть любой канал.
(Необходимые порны разумеется были включены в 6-ой vlan.)
Вопрос :
Правильно ли я задал вышеуказанные команды?
Если этот пример не правильный, просьба привести правильный пример конфигурации DSLAM!
QoS политики на DAS не настроены.
прошивка последняя v2.12.

Правила построеные вами "не совсем" корректны.
1. Для фильтрации IGMP пакетов существует специальная ветка подправил ( create filter subrule igmp )

Пример:
create filter subrule igmp ruleid 1 subruleid 2 igmptype 0 igmpcode 0 groupaddrfrom 224.0.2.3 groupaddrto 224.10.20.30 igmptypecmp eq igmpcodecmp eq
igmpgroupaddrcmp inrange subruleprio high

2. Cудя по написанным вами правилам вы пытаетесь "отсечь" именно мультикастовый поток, идущий от сервера к клиенту, а не IGMP запросы ( от клиента к серверу).
Однако правило, построенное вами действует именно как входящее на интерфейсе, поэтому вы им фильтруете поток от клиента к серверу, что явно противоречит замыслу.
Для указания направления правил при его создании (create filter rule entry) cуществует параметр ruledir : In – для входящих интерфейсов Out– для исходящих интерфейсов.
По умолчанию ( при отсутствии это параметра) правило считается входящим.

3.Также для указания, что фильтруется только мультикаст, можно использовать параметр pkttype при создании правила (признак выбора типа пакетов pkttype Bcast/Mcast/Ucast).
Он позволяет выбрать тип передачи пакетов, на который будет распространяться правило (действителен только для исходящих правил)).

Все это описано в руководстве пользователя (Глава 9.1.Generic Filter)

_________________
С уважением, Гакало Алексей

Попробовал сделать с учетом ваших рекоммендаций:

создал правило для пропуска мультикаст пакетов
create filter rule entry ruleid 3 action allow ruledir out pkttype Mcast

указал в подправиле диапазон адресов от которых пакеты проходят
create filter subrule igmp ruleid 3 subruleid 1 igmptype 0 igmpcode 0 groupaddrfrom 224.1.1.1 groupaddrto 224.1.1.3 igmptypecmp eq igmpcodecmp eq igmpgroupaddrcmp inrange subruleprio high

применил к интерфейсу
create filter rule map ifname eoa-0 stageid 1 ruleid 3 orderid 3

создал правило для отброса пакетов
create filter rule entry ruleid 4 action drop ruledir out pkttype Mcast

задал в подправиле условие отброса всех пакетов которые находятся за пределами заданного диапазона
create filter subrule igmp ruleid 4 subruleid 1 igmptype 0 igmpcode 0 groupaddrfrom 224.1.1.1 groupaddrto 224.1.1.3 igmptypecmp eq igmpcodecmp eq igmpgroupaddrcmp exrange subruleprio high

применил к интерфейсу
create filter rule map ifname eoa-0 stageid 1 ruleid 4 orderid 4

включил в работу правила
modify filter rule entry ruleid 3 status enable
modify filter rule entry ruleid 4 status enable

но по прежнему я могу просматривать любые каналы как лежащие в указанном мной диапазоне так и все остальные .
Помогите !!!
Что же я сделал не правильно!
Если можно приведите рабочий пример! Плз!!!
С уважением Алексей!

Удачным оказался следующий вариант:
create filter rule entry ruleid 3 action allow ruledir out ruleprio high statsstatus enable pkttype Mcast

разрешает мультикаст в пределах данного диапазона
create filter subrule ip ruleid 3 subruleid 1 srcaddrcmp any dstipaddrfrom 224.1.1.1 dstipaddrto 224.1.1.3 dstaddrcmp inrange subruleprio asinrule
create filter rule map ifname eoa-0 stageid 1 ruleid 3 orderid 3

создаем правило для отброса
create filter rule entry ruleid 4 action drop ruledir out ruleprio high statsstatus enable pkttype Mcast

запрещает остальной мультикаст т.е. за пределами указанного диапазона
create filter subrule ip ruleid 4 subruleid 1 srcaddrcmp any dstipaddrfrom 224.1.1.1 dstipaddrto 224.1.1.3 dstaddrcmp exrange subruleprio asinrule

включаем правила в работу
modify filter rule entry ruleid 3 status enable
modify filter rule entry ruleid 4 status enable

все работает , но правда разрешенные каналы могут периодически подвисать !?!
Если кто сталкивался порсьба подскажите как с этим бороться!

А вот с igmp запросами пока не получается!
Такая же просьба если кто знает подскажите на примере как их блокировати на определенном канале!

Наконец-то нашлось время заняться этой проблемой вплотную, и решил ее пока следующим образом:

1. Правило которое разрешает весь мультикаст вешаю на порт в самый конец, например с orderId 100

2. Создаю еще ряд правил вида:

3. И привязываю на нужный интерфейс до разрешающего правила

В итоге получаем, что все кроме 225.1.1.6 разрешено на 41 порту, что и требывалось первоночально.

PS
Если у кого имеются другие решения, то очень бы хотелось посмотреть на них.

Что-то у меня не отрабатывает как надо на 3248 rev. A.
На порту с мультикастом висят правила
orderid 90 - стандартное заводское ruleid 1 заворачивающее мультикаст в процессор.
orderid 100 - блок вообще всего остального. Оно нам не надо, в этом eoa только мультикаст должен ходить.

В этой конфигурации всё работает как надо, доступны, естественно, все группы.
Для ограничения доступных групп создаю правило, которое должно дропать всё, за исключением списка разрешенных групп:
create filter rule entry ruleid 50 action drop status disable snooplevel interface
create filter subrule igmp ruleid 50 subruleid 50 groupaddrfrom 224.0.0.1 groupaddrto 227.255.255.255 igmpgroupaddrcmp exrange
modify filter rule entry ruleid 50 status enable
Как только подключаю это правило к порту с orderid 50 перестает проходить подписка на все группы. Что же я делаю не так?

Так что, ни у кого никаких идей? Да, забыл сказать, что используется IGMP версии 3. С в2 вроде бы такой проблемы не было, всё работало.