Отвечу себе сам. Все новое - хорошо забытое старое. Вот viewtopic.php?f=2&t=153594 и viewtopic.php?f=2&t=146119 обсуждалось. Решение такое же как и выше - блокировать 224.0.0.1 на 1-24.

Еще, возможно, ISM Vlan решает проблему на корню. У вас, Владимир, он не используется, верно? У нас используется.

_________________
D-Link Switches: Tips & Tricks

Я делаю обычно так
config cpu_filter l3_control_pkt 1-26 dvmrp pim igmp_query ospf rip vrrp state enable
config cpu_filter l3_control_pkt 25-26 igmp_query state disable

_________________
D-Link User: DGS-3120-24, DGS-3324SR, DGS-3627G, DGS-3612G, DGS-3312SR, DGS-3100-24TG, DGS-3200-10, DES-3200-26, DES-3200-28, DES-3200-18, DES-3528, DES-3526, DES-3028, DES-1228, DES-2108, DES-2110, DES-3326SR, DMC-920, DMC-810.

Спасибо, запишу. Жаль не на всех ревизиях работает.

_________________
D-Link Switches: Tips & Tricks

Querier -- это маршрутизатор, который отвечает за отправку multicast трафика в сегмент. Querier становится маршрутизатор у которого меньше IP-адрес.

Это я ещё давно читал и в памяти осталось. дело в том что у меня Querier - 10.7.10.1, а оказался вдруг 10.135.211..... У меня то меньший адрес. И тут вспоминается адрес 2.2.2.2, который и появлялся почти во всех группах в проблемном сегменте. Думаю скорее всего весь сыр бор из-за этого. Чуть позже поправлю acl, напишу результат.

Не совсем так - когда в сети 2 квирера, то к абоненту будет литься мультикаст с обеих маршрутизаторов. А свич будет по очереди их менять и будет мультикаст-хаос

Что у меня и происходило)

Но каким-то образом просочился в Querier ip клиентский ip адрес. Я уж точного его не выставлял). Тем более нужный Querier ip стал просто после выключения и включения igmp_snooping во влане и этот адрес "2.2.2.2" видимо кашу и заваривал, так как уж слишком он вездесущим в группах был.

Мое предположение у этого клиента с инетовским адресом 10.135.211... стоит какой-то настроенный роутер с ip 2.2.2.2 из-за которого его ip "10.135.211..." и стал Querier ip.

Ну что помогли фильтры ACL или cpu_l3?

_________________
D-Link Switches: Tips & Tricks

пока сделал:
create cpu_access_profile ip destination_ip_mask 255.255.255.255 profile_id 1
config cpu_access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.2 port 1-28 permit
config cpu_access_profile profile_id 1 add access_id 2 ip destination_ip 224.0.0.1 port 25-28 permit

create cpu_access_profile ip destination_ip_mask 255.255.248.0 profile_id 2
config cpu_access_profile profile_id 2 add access_id 1 ip destination_ip 224.0.42.0 port 1-28 permit

create cpu_access_profile ip destination_ip_mask 240.0.0.0 profile_id 3
config cpu_access_profile profile_id 3 add access_id 1 ip destination_ip 224.0.0.0 port 1-28 deny

целый день пока нет трафика от проблемного клиента). как трафик появится увидим)


по поводу cpu_l3 чет на 1210 такого не получается выставить, на 1228 получается

Наблюдаю картину, пока все стабильно). Посмотрю до понедельника и там уже на всей сети пропишу cpu_acl, что давно уже нужно было сделать). Отпишусь в понедельник.

Ночью опять все тоже самое начало происходит, опять по 700 подписок на коммутаторе, опять вездесущий 2.2.2.2 . Положил порт клиенту о_О

на 1210-28 не пробовали это выставить?

А сам функционал включен? Я, бывало, забывал иногда при тестах - ACL напишу, а включить забуду.

Если да - тогда предложу грубую, но эффективную меру - положить в тот же бокс бук с удаленным управлением, настроить зеркалирование и включить Wireshark. Мы похожим способом проверяем качество мультикаста в сомнительных случаях. Где то раз в полгода такое требуется.


У меня нет 1210, только 3028, 3200-28 всех ревизий и пара десятков 3200-18 тех же ревизий. Еще 3258 штук 8, но они на складе и в работу не ставим никогда.

_________________
D-Link Switches: Tips & Tricks

"enable cpu_interface_filtering" такого на 1210 нету. Просто добавил ACL и уже работает. Проверял запретом всех адресов мультикаста на портах

не заметил вопроса.

1.Абонентский влан на районе.
2.мультикаст влан использую на магистральных свичах. на сичах доступах уже мультикаст в абон влан.

кто нибудь сталкивался с такими acl?
сreate cpu_access_profile ip igmp type profile_id 1
config cpu_access_profile profile_id 1 add access_id 1 ip igmp type 17 port 1-24 deny

type 17 судя по всему - это Leave Group (значение поля = 0x17) — отправляется членом группы для того чтобы сообщить маршрутизатору, что хост покидает группу. Не особа понял взаимосвязи, почему закрыв данный тип сообщения у меня сейчас на коммутаторе все гуд.
И как тогда совмсетить с этими acl:
create cpu_access_profile ip destination_ip_mask 255.255.255.255 profile_id 1
config cpu_access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.2 port 1-28 permit
config cpu_access_profile profile_id 1 add access_id 2 ip destination_ip 224.0.0.1 port 25-28 permit

create cpu_access_profile ip destination_ip_mask 255.255.248.0 profile_id 2
config cpu_access_profile profile_id 2 add access_id 1 ip destination_ip 224.0.42.0 port 1-28 permit

create cpu_access_profile ip destination_ip_mask 240.0.0.0 profile_id 3
config cpu_access_profile profile_id 3 add access_id 1 ip destination_ip 224.0.0.0 port 1-28 deny

так как левые группы тоже нужно закрывать, а profile_id можно тока 3. Хелп