faq обучение настройка
Текущее время: Вс июл 06, 2025 09:20

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 6 ] 
Автор Сообщение
 Заголовок сообщения: igmp access_authentication + limited_multicast_addr
СообщениеДобавлено: Пт апр 27, 2012 17:16 
Не в сети

Зарегистрирован: Чт дек 27, 2007 12:11
Сообщений: 77
Доброго времени суток!

Внедряем на сети услугу IPTV.

Сеть построена на базе коммутаторов DES-3526, DES-3552, DES-3052/3028, DES-3200, DES-3010G. На всех коммутаторах стоят последние версии прошивок. По всей сети организован multicast vlan (кроме 3010G).

Для авторизации подключения пользователя к мультикаст группе используем функционал igmp access_authentication (авторизация через RADIUS сервер). Мультикаст группы, не входящие в диапазон вещания, блокируем на свичах через mcast_filter_profile + limited_multicast_addr (*на 3010G фильтрации нет).

В ходе испытаний выяснилось следующее:

DES-3526: Юзер включает канал, посылает IGMP Join. Пакет достигает коммутатора, проверяется фильтром mcast_filter_profile. Если mcast_filter_profile пакет не зарубил - идет запрос авторизации на RADIUS сервер. Все отлично.

DES-3552, DES-3052/3028, DES-3200, DES-3010G: Юзер включает канал, посылает IGMP Join. Пакет достигает коммутатора и идет запрос авторизации на RADIUS сервер. Если RADIUS отвечает Access-Accept - проверяется фильтром mcast_filter_profile. Вот тут не все так, как хотелось бы. В результате в часы пик на RADIUS сервер поступает шквал запросов. Откровенный флуд.

Можно ли сделать логику проверки как на DES-3526? Т.е. сначала проверять пакет через mcast_filter_profile и уже потом через RADIUS сервер?

Это в РАЗЫ сократит ненужную нагрузку на RADIUS сервер.

Спасибо за внимание.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: igmp access_authentication + limited_multicast_addr
СообщениеДобавлено: Сб апр 28, 2012 10:39 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
Я уточню это вопрос в штаб-квартире и сообщу Вам по результатам.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: igmp access_authentication + limited_multicast_addr
СообщениеДобавлено: Вс апр 29, 2012 11:04 
Не в сети

Зарегистрирован: Чт дек 27, 2007 12:11
Сообщений: 77
Замечены баги:

- на свичах D-Link DES-3052 (Firmware: 2.90.B09) в RADIUS Accounting Start/Stop пакетах отсутствует атрибут Acct-Session-Id.

- на свичах D-Link DES-3010G (Firmware: Build 4.30.B25) в RADIUS Accounting Start/Stop пакетах атрибут Acct-Session-Id работает не корректно. А именно - юзер подключился к группе 233.173.129.2 - Acct-Session-Id = e9ad81025, подключился к группе 233.173.129.6 - Acct-Session-Id = e9ad81065. Вернулся опять на группу 233.173.129.2 - Acct-Session-Id = опять e9ad81025 !!! хотя по идее должно быть уникальное значение для каждой сессии). При отключении от группы нужно в базе обновлять запись для юзера, фиксировать время отключения от мультикаст группы - но т.к. ключом является Acct-Session-Id - это обновит все записи, старые, новые этого юзера по данной мультикаст группе.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: igmp access_authentication + limited_multicast_addr
СообщениеДобавлено: Ср май 02, 2012 11:07 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
По оригинальному вопросу для DES-3200 на прошивке, которую можно скачать здесь такого не обнаружено: http://forum.dlink.ru/viewtopic.php?f=2&t=92700
Для других указанных серий это нужно запрашивать как расширение функционала, которое уже не планируется осуществлять.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: igmp access_authentication + limited_multicast_addr
СообщениеДобавлено: Ср май 02, 2012 11:14 
Не в сети

Зарегистрирован: Чт дек 27, 2007 12:11
Сообщений: 77
Да это скорее маленький фикс, чем расширение функционала. 3526 тоже не поддерживаете, но прошивка B10 как-то появилась. Может все же пофиксите? Я думаю многим пригодится.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: igmp access_authentication + limited_multicast_addr
СообщениеДобавлено: Ср май 02, 2012 11:22 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan
По второму Вашему посту вот здесь почитайте, пожалуйста: http://forum.dlink.ru/viewtopic.php?f=2&t=149405


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 6 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 33


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB