есть к вам вопрос.
"1. Разрешить подписки/отписки" - тут указывается какой-то служебный диапазон?
я мультикаст беру от другого оператора через bgp на cisco...
получается для:
224.0.0.1 Все узлы данного сегмента
224.0.0.2 Все мультикастовые узлы данного сегмента

"2. Разрешить свой диапазон" - тут понятно, у меня используется - 224.0.42.0-224.0.45.255

3. Запретить все остальное - ну и тут тоже понятно

честно я не особа углублялся в мультикаст и некоторых деталей возможно не знаю

IGMP Snooping Global State : Enabled
Data Driven Learning Max Entries : 128
-----------------------------------------------
VLAN Name : 800
Query Interval : 125
Max Response Time : 10
Robustness Value : 2
Last Member Query Interval : 1
Querier State : Disabled
Querier Role : Non-Querier
Querier IP : 10.7.10.1
Querier Expiry Time : 253 secs
State : Enabled
Fast Leave : Enabled
Rate Limit : No Limitation
Report Suppression : Disabled
Proxy Reporting : Disabled
Proxy Reporting Source IP : 0.0.0.0
Version : 3
Data Driven Learning State : Enabled
Data Driven Learning Aged Out : Disabled
Data Driven Group Expiry Time : 260
-----------------------------------------------------------
800 /800 filter_unregistered_groups

224.0.0.1 The All Hosts multicast group that contains all systems on the same network segment
224.0.0.2 The All Routers multicast group that contains all routers on the same network segment

Если правильно помню то:
На 224.0.0.1 уходят сообщения от querier'а всем хостам для проверки нужна ли еще кому-нибудь группа или ее можно не вещать.
На 224.0.0.2 идут сообщения от потребителя querier'у о том, что группа больше не нужна. Если это последний потребитель, то см строку выше.
Сами подписки осуществляются непосредственно на адрес группы, так что "подписки/отписки" я не совсем правильно выразился. Моим первым профилем описывается служебный диапазон 224.0.0.0/30.


Попробуйте таки вещать в 239.x.x.x. Использовать 224.x.x.x не очень хорошо. Интереса ради пустите один канал в 224.0.0.x - результат вас удивит.


Настройка свичика это кунг-фу. Решение, которое идеально в одной схеме, уже совершенно не годится в чуть-чуть отличающейся. Соберите стенд, проверьте разные схемы в разных сочетаниях, потом перепроверьте еще. С мультикастом очень много подводных камней. Например, при одних неправильных настройках два потребителя на одном порту, смотрящие один канал, начинают мешать друг другу. При других - начинают мешать друг другу, даже если они в разных портах. Дожидаться появления такой ситуации в сети не следует - надо уметь воспроизводить это на стенде. Я очень долго мучился с тестами в 2012 году, но зато 99% "плавающих" проблем у абонентов мы научились решать.

_________________
D-Link Switches: Tips & Tricks

Data Driven Learning Aged Out сделайте enable раз у вас driven включен
версия igmp 3 в сети используется? Если нет - переделайте на 2

cделал на всех 1210-28 в сегменте:

create cpu_access_profile ip destination_ip_mask 255.255.255.252 profile_id 1
config cpu_access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.0 port 1-28 permit

create cpu_access_profile ip destination_ip_mask 255.255.248.0 profile_id 2
config cpu_access_profile profile_id 2 add access_id 1 ip destination_ip 224.0.42.0 port 1-28 permit

create cpu_access_profile ip destination_ip_mask 240.0.0.0 profile_id 3
config cpu_access_profile profile_id 3 add access_id 1 ip destination_ip 224.0.0.0 port 1-28 deny
----------------------------------
Прошло минут 5, с примерно 500 подписок упало до 120... Смотрел на 1210, и все они висят на магистральном порту:
800 224.0.42.171 25 172.16.198.35
800 224.0.42.172 25 10.135.231.158
800 224.0.42.172 25 172.16.193.239
800 224.0.42.172 25 172.16.232.160

Видимо стоит ещё подождать, посмотримс чуть позже


буквально через час опять на 3000-10:
800 239.255.255.246 9 10.135.223.180
800 239.255.255.246 9 192.168.29.4
800 239.255.255.250 9 192.168.29.4
800 239.255.255.250 9 192.168.29.224
800 239.255.255.250 9 192.168.29.238

Total Entries : 559
появляются ip "192.168.29.238" из очень далекого сегмента.. На коммутаторе где этот ip тоже добавил cpu acl, так как не моё это - 239.255.255.250

Видимо нужно рыть где-то ещё.. или есть повод включить эти acl на всей сети? И такой вопрос, у вас на магистральных коммутаторах включена функция cpu acl или нет необходимости?

aged_out что я писал включили?

Я так понял, что первый список относится к 1210, а второй к 3000?

После применения CPU ACL на коммутаторе должны остаться подписки только с вашего диапазона. Судя по первому списку так оно и вышло. Теперь надо разобраться с группами с аплинка. То, что они там есть объяснимо - вы сами разрешили их вторым профилем. Надо понять, как они просачиваются через магистральный свич. Завтра я попробую отыскать веточку 3028 (если такие остались) и проверить на них, мне уже самому интересно.

На магистральных коммутаторах CPU ACL не включаем - не где. У нас магистральный либо маршрутизатор, который и есть квериер, либо 3100. Как настроено на 3100 посмотрю завтра.

Alexey Mishenko, а что такое Data Driven Learning Aged Out? Эта штука вроде нужна для кольцевой топологии или я путаю?

_________________
D-Link Switches: Tips & Tricks

да, тока честно говоря эту функцию я не трогал вообще, как было по дефолту так ниче и не менял.
VLAN Name : 800
Query Interval : 125
Max Response Time : 10
Robustness Value : 2
Last Member Query Interval : 1
Querier State : Disabled
Querier Role : Non-Querier
Querier IP : 10.7.10.1
Querier Expiry Time : 254 secs
State : Enabled
Fast Leave : Enabled
Rate Limit : No Limitation
Report Suppression : Enabled
Proxy Reporting : Disabled
Proxy Reporting Source IP : 0.0.0.0
Version : 3
Data Driven Learning State : Enabled
Data Driven Learning Aged Out : Enabled
Data Driven Group Expiry Time : 260

Верно, первый список к 1210 - аплинк 25 порт, второй спискок 3000 - аплинк 9 порт.
Все 1210 собираются на 3000 и далее выше на 3120 и так далее. Вот как они просачиваются в этом то и беда). По всей сети пробежал и нигде такого бреда нет, хотя настройки одинаковые везде. И беда в том что на магистральном порту висят ip адреса тех, кто вообще не должен быть например:
10.135.223.180 - это просто для инета выдаем, ну и вообще мне не понятные адреса как 2.2.2.2 - кто такой неизвестно. Вся муть висит на магистральных портах в очень большом кол-ве

смотрю на 3000-10:
800 224.0.42.17 9 10.135.193.186
800 224.0.42.17 9 10.135.193.246
800 224.0.42.17 9 10.135.222.83
800 224.0.42.17 9 10.135.225.41
800 224.0.42.17 9 10.135.225.43
800 224.0.42.17 9 10.135.226.133
800 224.0.42.17 9 10.135.235.18
800 224.0.42.17 9 10.135.240.117
800 224.0.42.17 9 10.135.241.84
800 224.0.42.17 9 10.135.243.155
800 224.0.42.17 9 10.135.244.162
800 224.0.42.17 9 10.135.246.33
800 224.0.42.17 9 10.135.247.226
800 224.0.42.17 9 10.135.250.125
800 224.0.42.17 9 10.135.254.39
800 224.0.42.17 9 10.135.254.163
800 224.0.42.17 9 89.255.68.7
800 224.0.42.17 9 172.16.192.7
800 224.0.42.17 9 172.16.192.195
800 224.0.42.17 9 172.16.193.166
800 224.0.42.17 9 172.16.225.177
800 224.0.42.17 9 172.16.225.178

С разных сегментов сети подписаны на одну группу.. Ерунда полная. 10.135 вообще не должен быть подписан, за исключение единичных случаев, но не в таком кол-ве да и собираются на одном коммутаторе, причем ладно бы это был какой-нить главный коммутатор где много сегментом собираются, но это просто так скажем один из "низов" сети..

Пару вопросов:
1. Влан управления свитчами отдельный влан ?
2. Querier в вланах включен только на одном свитче в сети, а на других выключен? Обычно это центральный свитч.

Не только, я на агргегации у себя использую. После того, как все отписались от мультикаста он продолжает весеть на коммутаторе. А aged_out как раз отпишет неиспользуемые каналы по завершению Data Driven Group Expiry Time

Еще вопросы:
1. Абонентский vlan на порт, коммутатор или на район?
2. Мультикаст влан используете или мультикаст в абонентском влан?

Возникло предположение, что у вас размазанный абонентский влан, из-за чего query-пакетики разлетаются по всему доступному пространство. Поэтому они и регистрируется другими коммутаторами на аплинке.

У себя посмотрел - даже при отсутствии фильтров своих ненужных подписок на аплинках нет.

_________________
D-Link Switches: Tips & Tricks

1. Управление свичами в отдельном влане
2. Querier на всех коммутаторах выключен, все настроено на cisco:
interface Vlan800
ip address 10.7.10.1 255.255.255.0
ip pim sparse-mode
ip igmp query-interval 125
no ip mroute-cache
|
|
ip pim rp-address 77.246.98.58
ip msdp peer 77.246.98.57 remote-as 41842
ip msdp sa-filter out 77.246.98.57 list ip-access-list-extended-deny-all
ip msdp cache-sa-state

В общем мультикаст я беру от другого оператора через bgp, другими словами перепродаю, как и большинство операторов).
Ну и везде в 800 влане у меня должен светиться адрес 10.7.10.1 - Querier IP.

Но как тока вы спросили про "Querier в вланах включен только на одном свитче в сети", я начал рыть на магистралках и обнаружил, на первом коммутаторе после cisco, на котором собираются почти все сегменты сети DGS-3420-28SC:
IGMP Snooping Global State : Enabled
Data Driven Learning Max Entries : 120

VLAN Name : 800
Query Interval : 125
Max Response Time : 10
Robustness Value : 2
Last Member Query Interval : 1
Querier State : Disabled
Querier Role : Non-Querier
Querier IP : 10.135.211.35
Querier Expiry Time : 253 secs
State : Enabled
Fast Leave : Enabled
Rate Limit : No Limitation
Proxy Reporting : Disabled
Proxy Reporting Source IP : 0.0.0.0
Version : 3
Data Driven Learning State : Enabled
Data Driven Learning Aged Out : Disabled
Data Driven Group Expiry Time : 260


"Querier IP : 10.135.211.35" - ????????????????????.. Querier IP оказался просто клиентский ip адрес для инета.. Как такое произойти могло? Посмотрел где сидит этот ip и оказалось, что он сидит на 1210 где все проблемы и происходят.


Я перезапустил igmp_snooping на DGS-3420-28SC и сразу стало гуд:
Querier IP : 10.7.10.1

---------------------------------------------------------------
Через некоторое время группы уменьшились, но все равно оставалось примерно по 200 на каждом коммутаторе в проблемном сегменте).
Вылечилось окончательно, что я положил порт клиенту с этим адресом 10.135.211.35..

смотрю на 3000-10:
VLANID Group Port Host
------- --------------- --- ---------------
800 224.0.42.1 4 172.16.210.21
800 224.0.42.15 5 172.16.210.12
800 224.0.42.17 3 172.16.210.15

Total Entries : 3

все гуд.

Есть у кого-нибудь мысли по этому поводу? получается все заворачивалось на этого клиента, но тв у других клиентов работало, но с периодическими проблемами

Т.е. проблемы только на одном коммутаторе 1210 или на всех?

Попробуйте добиться, чтобы проблема появилась снова, а потом немного модернизировать ACL:

Быть может, абонентам не требуется 224.0.0.1, но на магистралях мы его оставим. Если поможет, я себе тоже переделаю, уберу .1 для абонентов.

to ALL: По какому признаку хост считается querier'ом? Если шлет query на 224.0.0.1 и только?

_________________
D-Link Switches: Tips & Tricks