1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Чт апр 18, 2024 16:30

Сообщения без ответов | Активные темы


Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 5 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
IlyaR
СообщениеДобавлено: Вт июн 01, 2021 17:33 
Не в сети

Зарегистрирован: Вт июн 01, 2021 16:03
Сообщений: 3
Добрый день.
Не получается на коммутаторе DES-1228/ME Rev. B1 Fw. 2.64.B002 заблокировать входящий мультикаст от пользователей.
В cторону пользователя подается тегированый VLAN в котором идет услуга IPTV. STB, которые устанавливают на оконечных точках, посылают в сеть приличное количество MDNS запросов на адрес 224.0.0.251. Мне необходимо заблокировать этот траффик, а лучше любой входящий (еще лучше - входящий в любом vlan) мультикаст траффик, который не влияет на работоспособность услуги ТВ.

Настройки IGMP Snooping и фильтрации мультикаста
Скрытый текст: показать
Код:
 Command: show igmp_snooping vlan 1704
 IGMP Snooping Global State            : Enabled
 Multicast Router Only                 : Disabled
 Data Driven Learning Max Entries      : 1

 VLAN  Name                    : 1704
 Query Interval                : 125
 Max Response Time             : 10
 Robustness Value              : 2
 Last Member Query Interval    : 1
 Querier State                 : Disabled
 Querier Role                  : Non-Querier
 Querier IP                    : 10.66.176.1
 Querier Expiry Time           : 1 secs
 State                         : Enabled
 Fast Leave                    : Disabled
 Version                       : 3
 Data Driven Learning Aged Out : Enabled

Command: show multicast port_filtering_mode
Multicast Filter Mode For Unregistered Group:
         Forwarding List:
         Filtering  List: 1-28

Command: show limited_multicast_addr ports 1
Port  : 1
Access: permit

Profile ID Name                             Multicast Addresses
---------- -------------------------------- -------------------------------
1          1                                239.255.2.0-239.255.5.255

Command: show router_ports vlan 1704
 VLAN Name          : 1704
 Static Router Port :                         
 Dynamic Router Port: 25                     
 Forbidden Router Port:     


Все мои попытки написать access profile который бы блокировал входящий мультикаст окончились неудачей. Даже при создании профиля который блокирует вообще весь мультикаст, коммутатор получает от приставки MDNS пакеты и передает их дальше в сеть.

Вариант ip access_profile
Скрытый текст: показать
Код:
create access_profile  ip  destination_ip 240.0.0.0  profile_id 1
config access_profile profile_id 1  add access_id 1  ip  destination_ip 224.0.0.0  port 1 deny

Вариант cpu access_profile
Скрытый текст: показать
Код:
create cpu access_profile profile_id 1 ip  destination_ip 240.0.0.0
config cpu access_profile profile_id 1  add access_id 1  ip  destination_ip 224.0.0.0  port 1 deny

Так же создавал pcf access_profile, но результат был тем же.

Подскажите как правильно блокировать подобный траффик, если вообще возможно.
Вернуться наверх
 Профиль  
 
Artem_Nekrasov
СообщениеДобавлено: Чт июн 03, 2021 17:03 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср апр 01, 2020 10:06
Сообщений: 182
IlyaR писал(а):
Добрый день.
Не получается на коммутаторе DES-1228/ME Rev. B1 Fw. 2.64.B002 заблокировать входящий мультикаст от пользователей.
В cторону пользователя подается тегированый VLAN в котором идет услуга IPTV. STB, которые устанавливают на оконечных точках, посылают в сеть приличное количество MDNS запросов на адрес 224.0.0.251. Мне необходимо заблокировать этот траффик, а лучше любой входящий (еще лучше - входящий в любом vlan) мультикаст траффик, который не влияет на работоспособность услуги ТВ.

Настройки IGMP Snooping и фильтрации мультикаста
Скрытый текст: показать
Код:
 Command: show igmp_snooping vlan 1704
 IGMP Snooping Global State            : Enabled
 Multicast Router Only                 : Disabled
 Data Driven Learning Max Entries      : 1

 VLAN  Name                    : 1704
 Query Interval                : 125
 Max Response Time             : 10
 Robustness Value              : 2
 Last Member Query Interval    : 1
 Querier State                 : Disabled
 Querier Role                  : Non-Querier
 Querier IP                    : 10.66.176.1
 Querier Expiry Time           : 1 secs
 State                         : Enabled
 Fast Leave                    : Disabled
 Version                       : 3
 Data Driven Learning Aged Out : Enabled

Command: show multicast port_filtering_mode
Multicast Filter Mode For Unregistered Group:
         Forwarding List:
         Filtering  List: 1-28

Command: show limited_multicast_addr ports 1
Port  : 1
Access: permit

Profile ID Name                             Multicast Addresses
---------- -------------------------------- -------------------------------
1          1                                239.255.2.0-239.255.5.255

Command: show router_ports vlan 1704
 VLAN Name          : 1704
 Static Router Port :                         
 Dynamic Router Port: 25                     
 Forbidden Router Port:     


Все мои попытки написать access profile который бы блокировал входящий мультикаст окончились неудачей. Даже при создании профиля который блокирует вообще весь мультикаст, коммутатор получает от приставки MDNS пакеты и передает их дальше в сеть.

Вариант ip access_profile
Скрытый текст: показать
Код:
create access_profile  ip  destination_ip 240.0.0.0  profile_id 1
config access_profile profile_id 1  add access_id 1  ip  destination_ip 224.0.0.0  port 1 deny

Вариант cpu access_profile
Скрытый текст: показать
Код:
create cpu access_profile profile_id 1 ip  destination_ip 240.0.0.0
config cpu access_profile profile_id 1  add access_id 1  ip  destination_ip 224.0.0.0  port 1 deny

Так же создавал pcf access_profile, но результат был тем же.

Подскажите как правильно блокировать подобный траффик, если вообще возможно.






Добрый день, пример ACL:

create cpu access_profile profile_id 2 ip igmp destination_ip_mask 255.255.255.0
config cpu access_profile profile_id 2 add access_id 10 ip igmp destination_ip 228.101.12.0 port 1-24 permit
create cpu access_profile profile_id 3 ip igmp destination_ip_mask 255.255.255.255
config cpu access_profile profile_id 3 add access_id 10 ip igmp destination_ip 224.0.0.2 port 1-24 permit
create cpu access_profile profile_id 4 ip igmp destination_ip_mask 0.0.0.0
config cpu access_profile profile_id 4 add access_id 10 ip igmp destination_ip 0.0.0.0 port 1-24 deny
create cpu access_profile profile_id 5 ipv6 source_ipv6_mask ::
config cpu access_profile profile_id 5 add access_id 10 ipv6 source_ipv6 :: port 1-24 deny
Вернуться наверх
 Профиль  
 
IlyaR
СообщениеДобавлено: Пт июн 04, 2021 09:31 
Не в сети

Зарегистрирован: Вт июн 01, 2021 16:03
Сообщений: 3
Переписал аксесс профили по вашему примеру. Выглядит это так:
Код:
create cpu access_profile profile_id 1 ip  destination_ip 255.255.254.0 igmp
config cpu access_profile profile_id 1  add access_id 1  ip  destination_ip 235.255.2.0 igmp  port 1 permit                                                             
config cpu access_profile profile_id 1  add access_id 2  ip  destination_ip 235.255.4.0 igmp  port 1 permit
create cpu access_profile profile_id 2 ip  destination_ip 255.255.255.255 igmp
config cpu access_profile profile_id 2  add access_id 1  ip  destination_ip 224.0.0.2 igmp  port 1 permit
create cpu access_profile profile_id 3 ip  destination_ip 0.0.0.0 igmp
config cpu access_profile profile_id 3  add access_id 1  ip  destination_ip 0.0.0.0 igmp  port 1 deny


Но никакого эффекта это не дало, пакеты со стороны пользователя на адрес 224.0.0.251 продолжают проходить через коммутатор.

Хочу уточнить, не акцентировал в первом сообщении на этом внимания, но пакеты от STB которые необходимо отфильтровать, это не IGMP, а Multicast DNS. По фильтрации именно IGMP у меня вопросов нет, она отрабатывает. Но вот другой тип траффик, отправляемый пользователем на мультикаст адреса, у меня заблокировать не получается.
Вернуться наверх
 Профиль  
 
Artem_Nekrasov
СообщениеДобавлено: Пт июн 04, 2021 17:14 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср апр 01, 2020 10:06
Сообщений: 182
IlyaR писал(а):
Переписал аксесс профили по вашему примеру. Выглядит это так:
Код:
create cpu access_profile profile_id 1 ip  destination_ip 255.255.254.0 igmp
config cpu access_profile profile_id 1  add access_id 1  ip  destination_ip 235.255.2.0 igmp  port 1 permit                                                             
config cpu access_profile profile_id 1  add access_id 2  ip  destination_ip 235.255.4.0 igmp  port 1 permit
create cpu access_profile profile_id 2 ip  destination_ip 255.255.255.255 igmp
config cpu access_profile profile_id 2  add access_id 1  ip  destination_ip 224.0.0.2 igmp  port 1 permit
create cpu access_profile profile_id 3 ip  destination_ip 0.0.0.0 igmp
config cpu access_profile profile_id 3  add access_id 1  ip  destination_ip 0.0.0.0 igmp  port 1 deny


Но никакого эффекта это не дало, пакеты со стороны пользователя на адрес 224.0.0.251 продолжают проходить через коммутатор.

Хочу уточнить, не акцентировал в первом сообщении на этом внимания, но пакеты от STB которые необходимо отфильтровать, это не IGMP, а Multicast DNS. По фильтрации именно IGMP у меня вопросов нет, она отрабатывает. Но вот другой тип траффик, отправляемый пользователем на мультикаст адреса, у меня заблокировать не получается.




Я попробую уточнить у разработчиков есть ли возможность фильтрации подобного типа траффика, но скорее всего сделать с этим ни чего не получится, так как устройства давно сняты с производства.
Вернуться наверх
 Профиль  
 
IlyaR
СообщениеДобавлено: Ср июн 16, 2021 10:11 
Не в сети

Зарегистрирован: Вт июн 01, 2021 16:03
Сообщений: 3
От разработчиков ответа не поступало?

Для архивных целей.
Пытался сделать блокировку по destination MAC адресам - результат отрицательный.
Вообще конечно странное поведение, что входящий мультикаст траффик (не IGMP) вообще никакими стредствами отфильтровать не получается.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 5 ] 

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 39

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB