Имеем следующую схему сети (см.картинку). des3200-26 настроен как querier, des-1228me на доступ. При подключении к 26 порту des3200-26 NATа картинка у абонента начинает сыпаться. После долгих тестирований выяснили (заснеферили трафик на stalker), что в общий канал c 25 порта (в сторону сталкера и сервера вещания) в 1398 vlanе начинает переть трафик с ната - broadcast и unicast PC сети - 10.10.5.X. Так как уже перепробовали все варианты, думаем что именно это является причиной рассыпания картинки (левый траф сети 10.10.5.X просто забивает канал для мультикаста и 10.10.50.X сети). Вынести NAT и PC подсеть в другой vlan не можем так как на доступе должно быть только два vlan - для мультикаста (multicast vlan1399) и остального трафика (vlan1398) (iptv приставкам и PC тоже нужен интернет). Сейчас хотим просто проверить эту теорию запретив на 25 порту des3200-26 в сторону канала весь трафик из левых подсетей (т.е. PC - 10.10.5.X). Т.е. чтобы был только multicast в канале и трафик приставка<->stalker.

Пробовали ограничивать вот этими правилами, но ничего не помогло. Сниффер на сталкере показывает что левый траффик c 25 порта все равно прет в канал:

create access_profile ip destination_ip_mask 255.255.255.255 source_ip_mask 255.255.255.0 profile_id 1
config access_profile profile_id 1 add access_id 1 ip destination_ip 10.10.50.10 source_ip 10.10.50.1 port 25 permit

create access_profile ip source_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id 2 ip source_ip 0.0.0.0 port 25 deny

Помогите пжлс с alc правилами чтобы на 25 порту пропускать траф только 10.10.50.X подсети ну и мультикаст. Если что не понятно по схеме - спрашивайте.

Покрасьте мультикаст поближе к источнику, и будет вам счастье.

Так он от самого сервера вещания идет тегированным на querier в vlan1399. Или я чего то не понимаю?

man QoS

Это одна из первых тем за которую мы начали цепляться. У нас два свитча l2 в схеме (доступ и querier). Использовали acl правила для повышения приоритета и не помогло ни на сколько.

Правила правильные, всё, кроме сети 10.10.50.0 должно на 25-м порту отбрасываться. Проверьте, что левый тафик действительно идёт через 25-й порт.
Какой у Вас объём левого трафика?
Какая прошивка на DES-3200?

Значит, запускали tcpdump со сталкера, по ip видим что пакеты из наших подсетей идут. (10.10.5.X и 10.10.6.X) им больше неоткуда взяться кроме как через с 26 на 25й порт придти. Не могу сказать про объем траффика, но по скорости мелькания пакетов сделали вывод что достаточно большой. Стоит отключить 26 порт и всё нормализуется.
Прошивку ставили последнюю (1,86 вроде), как только столкнулись с проблемой.

Мы построили правила так что мы сначала разрешаем траффик с 10.10.50.0

А потом

create access_profile ip source_ip_mask 0.0.0.0 profile_id 2
config access_profile profile_id 2 add access_id 2 ip source_ip 0.0.0.0 port 25 deny

запрещает траффик со всех остальных подсетей.

>всё, кроме сети 10.10.50.0 должно на 25-м порту отбрасываться.

Какое правило не корректное?

Значит вешайте правила на 26-й порт

Так а чем наши правила не верные? нам нужно все те же правила, но применить к 26му порту и сразу левый траффик перестанет идти на 25порт?
Еще раз, с 26го порта все пакеты должны идти через свитч но на 25й в вилане 1398 не должны попадать. Мы посчитали опасным трогать 26й порт
и что правильнее будет запретить пакетам "входить" в 25й порт

ACL правила применяются только ко входящему трафику

Ко входящему на порт. У нас вроде так и сделано. Траф что входит в 25й порт мы пытаемся фильтровать.