День добрый,
перерыл много всего, но так и не могу найти решение следующих вопросов:

- иногда какой-то умный абонент запрашивает все группы мультикаста, в результате чего ему в порт начинает валить добрый гигабит мультикаста.

В связи с этим хотелось бы понимать, каким образом:
- запретить абоненту анонсировать свои мультикаст группы
- разрешать посылать igmp запросы только на конкретные группы
- разрешать присоединятся к 1-3 программам максимум одновременно, и не запрашивать All groups.

Спасибо.

config router_ports_forbidden default add 1-24


Разрешаем только 233.33.33.1-233.33.33.255:

create multicast_range 1 from 233.33.33.1 to 233.33.33.255
config limited_multicast_addr ports 1-24 add multicast_range 1
config limited_multicast_addr ports 1-24 access permit state enable


Вот здесь не подскажу. На DGS-3200-10 это config max_mcast_group. Посмотрите, нет ли на DES такой же.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Всё правильно в этом плане. В серии DES-35XX не отграничения на кол-во Multicast групп на порту, а в серии DES-3028/3052 есть.

Подобавлял в router_ports_forbidden все абонентские порты с 1 по 24,
но на уровне аггрегации вижу следующее:

VLAN (1463) Snooping=Enabled
Group Sender Age
239.192.152.143 10.35.11.89 19

Доп. информация:

DES-3526:admin#show router_ports
Command: show router_ports

VLAN Name : default
Static router port :
Dynamic router port :
Forbidden router port: 1-24
VLAN Name : GREY
Static router port :
Dynamic router port : 26
Forbidden router port: 1-24
VLAN Name : switches1484
Static router port :
Dynamic router port : 26
Forbidden router port: 1-24
VLAN Name : REAL
Static router port :
Dynamic router port : 26
Forbidden router port: 1-24

Device Type : DES-3526 Fast-Ethernet Switch
Boot PROM Version : Build 5.00.009
Firmware Version : Build 6.00.B21

И что? Forbidden_router_ports запрещает клиенту создать вещания этих же каналов а не подключиться к ним.

Я понял, спасибо!
Тестируем дальше.

Да нет, всё правильно.

Group Sender Age
239.192.152.143 10.35.11.69 2
239.192.152.143 10.35.11.89 11
239.192.152.143 10.35.11.214 17
239.255.255.250 10.35.11.89 2
239.255.255.250 10.35.11.109 16
5 Incoming multicast streams

Вот эти красавчики создают группы.
Всё в той же конфигурации.
Присоединённых к группе нет, они все инициаторы.

Покажите настройки IGMP Snooping пожалуйста.

# SNOOP

enable igmp_snooping
config igmp_snooping default host_timeout 260 router_timeout 260 leave_timer 2 state enable
config igmp_snooping querier default query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier default last_member_query_interval 1 state disable
config igmp_snooping GREY host_timeout 260 router_timeout 260 leave_timer 2 state enable
config igmp_snooping querier GREY query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier GREY last_member_query_interval 1 state disable
config igmp_snooping switches1484 host_timeout 260 router_timeout 260 leave_timer 2 state enable
config igmp_snooping querier switches1484 query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier switches1484 last_member_query_interval 1 state disable
config igmp_snooping Real host_timeout 260 router_timeout 260 leave_timer 2 state enable
config igmp_snooping querier Real query_interval 125 max_response_time 10 robustness_variable 2
config igmp_snooping querier Real last_member_query_interval 1 state disable
config router_ports_forbidden GREY add 1-24
create multicast_range 1 from 239.1.1.1 to 239.1.3.0
config limited_multicast_addr ports 1-24 add multicast_range 1
config limited_multicast_addr ports 1-24 access permit state enable
config limited_multicast_addr ports 25-26 access deny state disable

Попробуйте включить IGMP Snooping Querier во всех нужных VLAN-ах.

Так, для справки: 239.192.152.143 - это торренты ищут пиры локальные, 239.255.255.250 - винда рассылает SSDP уведомления.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Те же разультаты, точнее ничего не изменилось.

Так у Вас Multicast в сеть от них льётся? Как правильно заметили это служебные группы.

Иван, но тем не менее эти служебные группы идут мультикастом и ничто не мешает начать вещание в эту группу...
На DGS3200-10 я тоже не мог блокировать эту группу стандартными профилями. Даже профиль не позволяет создать. Потому и придумали в ДЛинке софтовое решение в виде галочек, какой мультикаст-сервис блокировать (OSPF, IGMP Query, VRRP и т.д.). Однако это лишь несколько распространенных стандартных пакетов в диапазоне 224.0.0.x

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Попробуйте CPU Interface filtering.