Да обычный ACL тоже работает. У меня в том числе. Вопрос в другом - почему свитч обособленно рассматривает некоторые мультикастовые адреса, даже если их не использует...

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Именно по причине что это служебные группы.

Да, льётся и никак нельзя заставить перестать литься.

КАким образом cpu interface filtering применить?

Сначала попробуйте обычные ACL. Нужно написать правило, которое блокирует по destination IP.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Правило правилом, а нам ещё лет 10 играться с вариантами прошивок и быть пожизненными бететестерами?

Тем более на 3028 количество ACL правил итак на вес золота. Пока пофильтруешь основные порты - уже уйдёт большая часть правил.

И это учитывая, что таких свитчей уже практически десяток тысяч куплено.

Причём здесь это? Вы хотите решить конкретную задачу решение которой здесь и советуют. И свитч себя ведёт абсолютно правильно. Как верно подмечено попробуйте обычными ACL-ми закрыть destination IP ваших групп. Если правильно распределять правил и общие правила фильтрации назначать на все порты включая магистральные то поверьте правил Вам хватит.

на железке D-Link DES3526 FW-5.01.B52 и 6.00.B23 не могу с помощью cpu ACL отфильтровать трафик по полю IGMP Type

create cpu access_profile ip destination_ip_mask 255.255.255.255 igmp type profile_id 1
config cpu access_profile profile_id 1 add access_id 2 ip destination_ip 224.0.0.2 igmp type 17 permit

данное правило не работает, т.к. похоже не учитывается наличие поля IP Router Alert Option в пакете. Это заключение я делаю из того факта что правило созданное по packet_content_mask с учётом IP Router Alert Option работает.

В модели DES-3028G такй проблемы не наблюдаю, правило созданное по packet_content_mask без учёта Option работает.

Отписал Вам в почту

Пробовал включить- через некоторое время отваливается IGMP Snooping если лимитировать. Конфиг следующий
config max_mcast_group port 1 max_group 2
config max_mcast_group port 2 max_group 2
config max_mcast_group port 3 max_group 2
config max_mcast_group port 4 max_group 2
config max_mcast_group port 5 max_group 2
config max_mcast_group port 6 max_group 2
config max_mcast_group port 7 max_group 2
config max_mcast_group port 8 max_group 2
config max_mcast_group port 9 max_group 2
config max_mcast_group port 10 max_group 2
config max_mcast_group port 11 max_group 2
config max_mcast_group port 12 max_group 2
config max_mcast_group port 13 max_group 2
config max_mcast_group port 14 max_group 2
config max_mcast_group port 15 max_group 2
config max_mcast_group port 16 max_group 2
config max_mcast_group port 17 max_group 2
config max_mcast_group port 18 max_group 2
config max_mcast_group port 19 max_group 2
config max_mcast_group port 20 max_group 2
config max_mcast_group port 21 max_group 2
config max_mcast_group port 22 max_group 2
config max_mcast_group port 23 max_group 2
config max_mcast_group port 24 max_group 2
config max_mcast_group port 25 max_group 256
config max_mcast_group port 26 max_group 256
config max_mcast_group port 27 max_group 256
config max_mcast_group port 28 max_group 256



enable igmp_snooping
config igmp_snooping data_driven_learning max_learned_entry 256
enable igmp_snooping multicast_vlan
create igmp_snooping multicast_vlan iptv 400
config igmp_snooping multicast_vlan iptv state enable
config igmp_snooping multicast_vlan iptv add member_port 1-24
config igmp_snooping multicast_vlan iptv add source_port 25-26
config igmp_snooping multicast_vlan_group iptv add 239.0.0.1-239.0.0.150
config igmp_snooping vlan_name default host_timeout 260 router_timeout 260 leave_timer 2 state enable fast_leave disable
config igmp_snooping data_driven_learning vlan_name default aged_out enable
config igmp_snooping querier all query_interval 125 max_response_time 10 robustness_variable 2 last_member_query_interval 1 state enable
config igmp_snooping vlan_name iptv host_timeout 260 router_timeout 260 leave_timer 2 fast_leave disable
config igmp_snooping data_driven_learning vlan_name iptv aged_out disable
config igmp_snooping querier vlan_name iptv query_interval 125 max_response_time 10 robustness_variable 2 last_member_query_interval 1 state disable


Порты 1-24 клиентские. 25-28- uplink. Если начать переключать каналы, то первые два показывают, дальше- ничего. В чем бок подскажите. Firmware: Build 2.00.B27

config igmp_snooping vlan_name iptv fast_leave enable

_________________
С уважением,
Бигаров Руслан.

Но тогда при переключении каналов в пределах одного свича картинка останавливается у абонента, который вкл. в другой порт, но остается на томже канале

1. Нужно обновить прошивку, чтобы была поддержка функции Host-Based Fast Leave
2. Ещё забыл указать, что нужно на коммутаторах доступа querier отключить. Достаточно одно querier-а для работы мультикаста.

_________________
С уважением,
Бигаров Руслан.

А можно получить прошивку на мыло?
И что значит

?
Если я отключу на коммутаторах доступа querier, то не смогу ограничить количество одновременно просматриваемых каналов на порту- не есть хорошо

Выслал.



На тестовом стенде не замечал, что max_mcast_group завязан на querier. У меня и без включённого querier-а нормально отрабатывает max_mcast_group.

_________________
С уважением,
Бигаров Руслан.

Спасибо, ушел пробовать. О результатах отпишу