IlyaR писал(а):
Добрый день.
Не получается на коммутаторе DES-1228/ME Rev. B1 Fw. 2.64.B002 заблокировать входящий мультикаст от пользователей.
В cторону пользователя подается тегированый VLAN в котором идет услуга IPTV. STB, которые устанавливают на оконечных точках, посылают в сеть приличное количество MDNS запросов на адрес 224.0.0.251. Мне необходимо заблокировать этот траффик, а лучше любой входящий (еще лучше - входящий в любом vlan) мультикаст траффик, который не влияет на работоспособность услуги ТВ.
Настройки IGMP Snooping и фильтрации мультикаста
Код:
Command: show igmp_snooping vlan 1704
IGMP Snooping Global State : Enabled
Multicast Router Only : Disabled
Data Driven Learning Max Entries : 1
VLAN Name : 1704
Query Interval : 125
Max Response Time : 10
Robustness Value : 2
Last Member Query Interval : 1
Querier State : Disabled
Querier Role : Non-Querier
Querier IP : 10.66.176.1
Querier Expiry Time : 1 secs
State : Enabled
Fast Leave : Disabled
Version : 3
Data Driven Learning Aged Out : Enabled
Command: show multicast port_filtering_mode
Multicast Filter Mode For Unregistered Group:
Forwarding List:
Filtering List: 1-28
Command: show limited_multicast_addr ports 1
Port : 1
Access: permit
Profile ID Name Multicast Addresses
---------- -------------------------------- -------------------------------
1 1 239.255.2.0-239.255.5.255
Command: show router_ports vlan 1704
VLAN Name : 1704
Static Router Port :
Dynamic Router Port: 25
Forbidden Router Port:
Все мои попытки написать access profile который бы блокировал входящий мультикаст окончились неудачей. Даже при создании профиля который блокирует вообще весь мультикаст, коммутатор получает от приставки MDNS пакеты и передает их дальше в сеть.
Вариант ip access_profile
Код:
create access_profile ip destination_ip 240.0.0.0 profile_id 1
config access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.0 port 1 deny
Вариант cpu access_profile
Код:
create cpu access_profile profile_id 1 ip destination_ip 240.0.0.0
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.0 port 1 deny
Так же создавал pcf access_profile, но результат был тем же.
Подскажите как правильно блокировать подобный траффик, если вообще возможно.
Добрый день, пример ACL:
create cpu access_profile profile_id 2 ip igmp destination_ip_mask 255.255.255.0
config cpu access_profile profile_id 2 add access_id 10 ip igmp destination_ip 228.101.12.0 port 1-24 permit
create cpu access_profile profile_id 3 ip igmp destination_ip_mask 255.255.255.255
config cpu access_profile profile_id 3 add access_id 10 ip igmp destination_ip 224.0.0.2 port 1-24 permit
create cpu access_profile profile_id 4 ip igmp destination_ip_mask 0.0.0.0
config cpu access_profile profile_id 4 add access_id 10 ip igmp destination_ip 0.0.0.0 port 1-24 deny
create cpu access_profile profile_id 5 ipv6 source_ipv6_mask ::
config cpu access_profile profile_id 5 add access_id 10 ipv6 source_ipv6 :: port 1-24 deny