в сети для iptv используются адреса 172.16.xxx.0/24. Также на коммутаторах есть acl где известное пропускаем, неизвестное не пропускаем.

На одном из коммутаторов (он периодически пингуется с огромными задержками), заметил вот что:

des1210-28
show igmp_snooping h
.........
800 224.0.42.16 10 172.16.210.16
800 224.0.42.17 25 2.2.2.2 - кто вообще такой и как его вычислить непонятно. (uplink)

и подписок аж за 500, и в мультикаст влане кучу маков.

Зашел на вышестоящий dgs 3000-10 - магистралка, где мультикаст просто во влане шлётся выше.
Там та же картина.
Зашел ещё выше на DGS-3120, там уже можно посмотреть только группы, хосты не показывает. И тут я поник.
Непонятка в том, что фиг знает кто подключается к группам, и кажись из за этого происходит перегруз на коммутаторе. Причем на мультикаст роутере этого адреса 2.2.2.2 нет. Возможно и ни из-за этого.

Очень хелп. Коммутатор 1210 уже меняли на новый, проблема остается.

Это стандартная ситуация. В windows и не только многие сервисы используют мультикаст. Это все надо просто срезать ACL или mcast-фильтерингом. Не забыть разрешить служебный диапазон.

_________________
D-Link Switches: Tips & Tricks

Так это и сделано вот к примеру кусок acl для пропуска известных ip:
create access_profile ip source_ip 255.255.192.0 profile_id 15
config access_profile profile_id 15 add access_id 100 ip source_ip 192.168.192.0 port 1-28 permit
config access_profile profile_id 15 add access_id 2 ip source_ip 172.16.192.0 port 1-28 permit

ну и сам конфиг igmp:
enable igmp_snooping
enable igmp_snooping multicast_vlan
create igmp_snooping multicast_vlan 800 800
config igmp_snooping multicast_vlan 800 add member_port 1-24
config igmp_snooping multicast_vlan 800 state enable
config igmp_snooping vlan_name 800 fa en

config igmp_snooping multicast_vlan 800 add source_port 25
#config igmp_snooping multicast_vlan 800 add tag_member_port <ports-list>
config igmp_snooping multicast_vlan_group 800 add ipv4_range 224.0.42.0 224.0.45.255
config igmp_snooping querier vlan_name 800 state disable
config igmp_snooping data_driven_learning vlan_name 800 aged_out enable
config multicast port_filtering_mode 1-28 filter_unregistered_group
config multicast filter 1-28 filter


config igmp_snooping data_driven_learning vlan_name 800 aged_out enable
config max_mcast_group port 1-24 ipv4 max_group 5
config router_ports_forbidden vlan_name 800 add 1-24


Что тут не хватает пока непонятно. А коммутатор опять отвалился час назад(

Схема сегмента такая:

dgs3120-24sc----->dgs3000-10----->dgs3000-10 - 1210-28 доступ 5шт - (беда тут на одном)
..................................|
........................1210-28 доступ 5 шт

Надеюсь схема внятно получилась). В общем беда за вторым dgs-3000 на одном из 5 коммутаторов доступа 1210. Всё это огромное количество груп передается на оба dgs3000, а на остальных 1210 в этом сегменте все гуд.
Я подумал может беда с 3120, но проверив другие сегменты, на них все отлично.
Кто сталкивался с такой бедой хелп. Коммутатор отваливается, тв работает плохо

Есть такая настройка/свойство мультикаста на свичах - Router Ports (порт источника мультикаста)
Вы говорите это не ваш мультикаст, по свойству Router Ports можно перебором найти порт - это пользовательский порт и имеет статус Router Port для 224.0.42.17 группы. На странице 43 мануала есть "To view the Multicast Entry Table for a given VLAN" ниже картинка - Multicast MAC address - по этому маку тоже можно поискать. Принцип поиска - как ищется мак адрес в сети. Так же при помощи настройки можно принудительно включить Router Ports (благо мало свичей).
Совет:
Моветон использовать 224.х.х.х для пользовательского мультикаста - используй 239.х.х.х - http://xgu.ru/wiki/IP_Multicast

IGMP пакетики проходят обработку процессором, поэтому фильтровать их обычными ACL не получится. Нужно использовать CPU ACL.

_________________
D-Link Switches: Tips & Tricks

Дело в том, что неизвестный хост оказался в подписчиках группы и каким-то образов количество групп на коммутаторе растет порой до 1000 и потом виснет управление.
Выполнял команду show router_ports ну и вижу :
VLAN Name : 800
Static Router Port :
Dynamic Router Port : 9
Router IP : 10.7.10.1
Forbidden Router Port :

Мультикаст мой, вот хост 2.2.2.2 не мой. И обычно выполнив команды show igmp_snooping h можно посмотреть кто и к какой группе подключен, например:
VLAN ID Group Port No IGMP Host
------ ---------------------- --------- ------------
800 224.0.42.1 12 172.16.210.21
тут я вижу, что известный мне адрес, сидящий на 12 порту, смотрит такой канал, а что касается хоста 2.2.2.2, то его я могу наблюдать тока на магистральных портах 3000-10 в схеме, где коммутатор с коммутатором соединен. Как искать непонятно.

Однажды я столкнулся с тем, что когда включаешь тв приставку с роутером в неуправляемый свич, для разделения услуг, то роутер подписывался на те же группы, что и тв приставка, тем самым подписки росли, а отписываться роутер не хотел. Тем самым роутер являлся так скажем несанкционированным подписчиком). Решалась проблема отключением igmp на роутере.

Тут видимо похожая ситуация, но адрес 2.2.2.2 больно похож на Querier IP, я в замешательстве

Как предположение - у хоста есть vpn c ip 2.2.2.2 и он им регистрируется т.к. наименьший ip в системе. На счет неуправляемых свитчей - для них мультикаст и броадкаст одно и тоже - мультикаст работает по принципу броадкаста.

Появился вопрос о запрете мультикаста со стороны клиента.
Приведите, плиз, примеры сpu acl, очень интересно у кого как организованно.
И я как понимаю, это лучше делать, на коммутаторах доступа?

пробую команду enable cpu_interface_filtering на 1210 и видимо такого тут нет и ничего похожего тоже нет. вопрос в том как тогда организованна данная функция на 1210 коммутаторе?

для 1228/3028 решил использовать запрет от клиентского мультикаста:

create cpu access_profile profile_id 1 ip source_ip_mask 240.0.0.0
config cpu access_profile profile_id 1 add access_id 1 ip source_ip 224.0.0.0 port 1-24 deny
enable cpu_interface_filtering

стоит ли что-нибудь добавить? И для коммутатора 1210-28 вопрос остается открытым

Надо:
1. Разрешить подписки/отписки
2. Разрешить свой диапазон
3. Запретить все остальное

Можно применять правила прямо ко всем портам. Обязателен ли второй профиль уже не помню - тестировал все достаточно давно. Но сейчас вливаем так.

В вашем варианте вы запрещаете отписки, тем самым потребители быстро зафлудятся трафиком, которым им уже не нужен. STB начнет глючить, закачки на компе - тормозить.

p.s. И да, нужен destination, а не source, т.к. мы работаем с трафиком ОТ абонента К адресам групп.

p.p.s. Здесь мы говорим об запросах той или иной группы, т.е. об удалении "странных" подписок. Дополнительно к этому можно фильтровать и сам мультикаст. Это делается уже обычными ACL.

_________________
D-Link Switches: Tips & Tricks

Дело в том, что, как я писал выше, у меня растут подписки в диком кол-ве в одном сегменте из двух каскадно подключенных DGS3000-10 и 10 DES1210-28-доступ.
Смотреть подписки на 1210 я пока не решаюсь, так как сваливается управление и надо грузить, а вот на 3000 посмотреть могу:
800 224.0.42.147 9 2.2.2.2
800 224.0.42.255 3 172.16.231.182
800 224.0.42.255 9 10.135.217.234
800 224.0.42.255 9 10.135.218.28
800 224.0.42.255 9 10.135.218.76
800 224.0.42.255 9 10.135.218.134
800 224.0.42.255 9 10.135.218.186
800 224.0.42.255 9 10.135.219.20
800 224.0.42.255 9 10.135.228.13
800 224.0.42.255 9 10.135.228.121
800 224.0.42.255 9 10.135.228.175
800 224.0.42.255 9 10.135.233.72
800 224.0.42.255 9 10.135.234.111
800 224.0.42.255 9 10.135.234.200
800 224.0.42.255 9 10.135.234.250
800 224.0.42.255 9 10.135.235.28
800 224.0.42.255 9 10.135.235.84
800 224.0.42.255 9 10.135.235.122
800 224.0.42.255 9 10.135.236.222
800 224.0.42.255 9 10.135.238.170
800 224.0.42.255 9 10.135.238.213
800 224.0.42.255 9 10.135.238.218
800 224.0.42.255 9 10.135.239.26
800 224.0.42.255 9 10.135.239.148
800 224.0.42.255 9 10.135.241.115
800 224.0.42.255 9 10.135.244.140
800 224.0.42.255 9 10.135.244.180
800 224.0.42.255 9 10.135.250.40
800 224.0.42.255 9 89.255.68.168
800 224.0.42.255 9 172.16.210.9
800 224.0.42.255 9 172.16.226.29
800 224.0.42.255 9 172.16.226.205
800 224.0.42.255 9 172.16.230.4
800 224.0.42.255 9 172.16.230.6
800 224.0.42.255 9 172.16.232.109
800 224.0.42.255 9 172.16.234.8
800 224.0.42.255 9 172.16.237.9
800 224.0.42.255 9 172.16.237.237
800 224.0.42.255 9 172.16.238.28
800 224.0.42.255 9 172.16.239.8
800 224.0.42.255 9 172.16.239.21
800 224.0.42.255 9 172.16.240.84
800 224.0.42.255 9 172.16.240.236
800 224.0.42.255 9 172.16.250.176
800 224.0.42.255 9 192.168.0.198
800 224.0.42.255 9 192.168.0.254
800 224.0.42.255 9 192.168.69.6
800 224.0.42.255 9 192.168.69.8
800 224.0.42.255 9 192.168.69.9
800 224.0.42.255 9 192.168.217.59
800 224.0.42.255 9 192.168.218.14
800 224.0.42.255 9 192.168.218.159
800 224.0.42.255 9 192.168.222.59
800 224.0.42.255 9 192.168.223.31

Total Entries : 298

Появляются вообще левые адреса: 2.2.2.2 и адреса вообще из далёкой, другой части сети, которые никак тут не должны быть и не были никогда. Да и что это такое 300 подписок. Куда копать до сих пор непонятно.

И поможет ли ваш пример, пока не знаю, завтра попробую. Но подписки то происходят с непонятных адресов к тем группам к которым подписываются все остальные, то есть не левые группы, а левые адреса

Адреса с другой части сети прилетают с аплинка где нет фильтрации. У меня была похожая ситуация - на первом свиче в цепочке куча всего, на втором/третьем нормально, т.к. левак срезался порт_фильтерингом.

Вот моя табличка с фильтрами для 1-24:


Заливаю ACL, приведенные выше, и через несколько минут:

Осталась только одна подписка, трафик в порт идет. (Тут надо сказать, что подписка сама по себе не означает поступление в порт трафика соответствующей группы. Подписка говорит о том, что коммутатор зарегистрировал клиента, желающего получать эту группу, даже если сам трафик не поступает на коммутатор.)

Попробуйте это решение и покажите, что осталось в итоге. Может подписки с неправильными IP тоже пропадут.
p.s. Хорошо, что в свое время мы решили не связываться с 1210.

_________________
D-Link Switches: Tips & Tricks

Покажите настройки мультикаста с dgs-3000