В нашей сети настроено вещание iptv через multicast vlan. Имеется несколько десятков мультикастовых каналов с адресами 239.71.x.x. Все работает замечательно, до тех пор пока какой нибудь умник не попробует подписаться на группу 224.0.0.2 (!).

В этом случае ему на порт начинает валиться весь поток со всех групп. При этом он продолжает валиться вечно - отписаться от этой группы нельзя. Причем валится не только на клиентский порт, но и на входящий на свитче, что совсем плохо. И продолжает валится, даже если клиент выключит свой комп. Помогает только ребут всех устройств в цепочке, либо отключение/включение соответствующих портов.

Есть ли шанс избавиться от этой заразы? Прошивка 3550 - 6.00.B17, 3526 - 6.00.B14. Если есть новые прошивки - просьба выслать на vlad(а)vtx.ru. Заранее спасибо!

Конфиг одного из свитчей ниже (они все однотипные):

# SNOOP
enable igmp_snooping
create igmp_snooping multicast_vlan vlan97 97
config igmp_snooping multicast_vlan vlan97 state enable replace_source_ip 192.168.97.4 member_port 1-24 source_port 25-26
config igmp_snooping vlan97 host_timeout 260 router_timeout 260 leave_timer 2 state enable
config igmp_snooping querier vlan97 query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier vlan97 last_member_query_interval 1 state enable
create multicast_range basic from 224.0.0.0 to 224.255.255.255
create multicast_range update from 234.4.4.0 to 234.4.4.255
create multicast_range g91 from 239.71.91.1 to 239.71.91.255
create multicast_range g92 from 239.71.92.1 to 239.71.92.255
create multicast_range g93 from 239.71.93.1 to 239.71.93.255
create multicast_range g94 from 239.71.94.1 to 239.71.94.255
config limited_multicast_addr ports 2-24 add multicast_range basic
config limited_multicast_addr ports 2-24 add multicast_range update
config limited_multicast_addr ports 2-24 add multicast_range g91
config limited_multicast_addr ports 13 add multicast_range g92
config limited_multicast_addr ports 13 add multicast_range g93
config limited_multicast_addr ports 13 add multicast_range g94
config limited_multicast_addr ports 1,25-26 access deny state disable
config limited_multicast_addr ports 2-24 access permit state enable

запросите свежие прошивки в соответствующей теме: viewtopic.php?t=92700

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Получили новые прошивки, самые свежие, прошили свитч. Проблема забитости на 100% входящего линка осталась. Копаю дальше. Оказывается, свитч самостоятельно начинает подписываться на мультикастовые группы!

DES-3526:admin#show igmp_snooping forwarding

VLAN Name : vlan97
Multicast group : 224.0.0.9
MAC address : 01-00-5E-00-00-09
Port Member : 25

VLAN Name : vlan97
Multicast group : 224.0.0.22
MAC address : 01-00-5E-00-00-16
Port Member : 25
.....
VLAN Name : vlan97
Multicast group : 239.71.91.1
MAC address : 01-00-5E-47-5B-01
Port Member : 25

VLAN Name : vlan97
Multicast group : 239.71.91.2
MAC address : 01-00-5E-47-5B-02
Port Member : 25

VLAN Name : vlan97
Multicast group : 239.71.91.4
MAC address : 01-00-5E-47-5B-04
Port Member : 25

VLAN Name : vlan97
Multicast group : 239.71.91.5
MAC address : 01-00-5E-47-5B-05
Port Member : 25

VLAN Name : vlan97
Multicast group : 239.71.91.6
MAC address : 01-00-5E-47-5B-06
Port Member : 25
....
Total Entries : 50


Здесь 25 - это входящий порт. Как видно, никто на все эти группы не подписывался, они сами появились (кроме 25 порта в member нигде никого нет). И так продолжается все время. Если отрубить 25 порт, группы исчезают, после включения появляются сами и сразу в таком количестве. Каким образом такое может быть?

На вышестоящем (3550) свитче тоже самое:
....
VLAN Name : vlan97
Multicast group : 239.71.91.4
MAC address : 01-00-5E-47-5E-21
Port Member : 12,50
....

Где 12 - исходящий порт на проблемный свитч, 50 - входящий.

Какие еще могут быть причины? Уже все перерыл..

2 vladd49 > У Вас есть sniff в формате pcap данного пакетика? И querier на данном коммутаторе включён?

_________________
С уважением,
Бигаров Руслан.

vladd49: и попробуйте настроить router_ports_forbidden на вышестоящих свитчах

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

Разобрался - оказалось дело в querier. На некоторых коммутаторах в сети он был включен, а центральная циска (6509) каким-то образом выбирала из всех доступных квериеров один, самый дальний и на самом медленном линке. И весь igmp-трафик начинал роутится через этот несчастный DES-3526 в дальнем конце сети. Отключил на всех коммутаторах в сети querier и все заработало нормально - циска наконец-то сама стала querier-ом.

Действительно, в одной подсети должен быть только один querier. Рад слышать, что Вы разобрались.

_________________
С уважением,
Бигаров Руслан.

А что можно сделать против таких умников?

_________________
не важно, из какого места растут золотые руки

для начала можно удалить вот эту строчку из конфига:
create multicast_range basic from 224.0.0.0 to 224.255.255.255

можно ещё написать соответствующие ACL запрещающие подключаться к этой группе.