Alexandr Zaitsev писал(а):
Проверили, ACL (по крайней мере те несколько штук что мы используем) теперь отрабатывают корректно, спасибо.
Но пока тестировал работу ACL, всплыла очередная проблема, причем её обнаружить можно двумя разными путями.
Имеем свич после сброса настроек, прошивка b92.
Начальная настройка:
Код:
config ipif System ipaddress 10.90.90.95/255.0.0.0
enable igmp_snooping multicast_vlan
enable mld_snooping multicast_vlan
create igmp_snooping multicast_vlan "IPTV" 777
config igmp_snooping multicast_vlan "IPTV" state enable replace_source_ip 0.0.0.0
config igmp_snooping multicast_vlan "IPTV" add member_port 8 source_port 10
config igmp_snooping multicast_vlan_group "IPTV" add ipv4_range 225.3.1.1 225.3.255.255
config igmp_snooping multicast_vlan_group "IPTV" add ipv4_range 239.254.1.1 239.254.255.255
IPTV не работает, хотя раньше ISM VLAN работал и без включенного IGMP Snooping (при этом мультикаст-трафик дублировался на все порты, что логично). Сложно сказать является ли (?) это багом... Далее
Код:
enable igmp_snooping
IPTV начинает работать.
Затем
Код:
disable igmp_snooping
Через несколько минут IPTV перестает показывать. И еще через какое-то время происходит самое интересное:
Вложение:
Скриншот 2018-05-22 12.51.29.png [ 62.82 KiB | Просмотров: 5842 ]
Коммутатор зачем-то посылает IGMP General Query от своего заводского стандартного (10.90.90.90) IP-адреса. Хотя IP-адрес коммутатора сменён на другой. На какое-то время IPTV опять начинает показывать, потом пропадает окончательно.
Эту же проблему можно воспроизвести по-другому. Первоначальная настройка такая же, igmp snooping включаем.
Далее создаем CPU ACL, который запретит обработку IGMP пакетов, которые идут не от мультикаст-маршрутизатора:
Код:
create cpu_access_profile ethernet source_mac ffffffffffff profile_id 1
create cpu_access_profile ip igmp profile_id 3
config cpu_access_profile profile_id 1 add access_id 1 ethernet source_mac 88-F0-31-55-89-C0 port 1-10 permit
config cpu_access_profile profile_id 3 add access_id 5 ip igmp port 9-10 deny
Всё нормально, IPTV работает. Далее в первом правиле меняем MAC-адрес на любой другой и через какое-то время (как и при отключении igmp snooping) пропадает IPTV (т.к. query пакеты от маршрутизатора начинают отбрасываться CPU ACL) и через несколько минут от коммутатора прилетает точно такой же пакет как было описано выше:
Вложение:
Скриншот 2018-05-22 15.27.27.png [ 72.05 KiB | Просмотров: 5842 ]
Собственно вопрос - что это за "прощальный" IGMP Query от коммутатора и почему от адреса 10.90.90.90?