D-Link • Просмотр темы - DES-3226S: ACL и IGMP-пакеты при включенном IGMP

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3226S: ACL и IGMP-пакеты при включенном IGMP_snooping

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 3 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

Vladimir Gerasimov

Заголовок сообщения: DES-3226S: ACL и IGMP-пакеты при включенном IGMP_snooping

Добавлено: Вт май 16, 2006 11:25

Зарегистрирован: Вт фев 01, 2005 20:22
Сообщений: 351
Откуда: Glazov

Темы, подобные этой, уже так или иначе затрагивались ранее, однако решения своей проблемы я так и не нашел. Поэтому возвращаюсь еще раз:

Имеется коммутатор DES-3226S:

Код:

Device Type       : DES-3226S Fast-Ethernet Switch
Module Type       : DES-132T   2-port 1000BASE-T Gigabit Ethernet Module
Boot PROM Version : Build 2.00.001
Firmware Version  : Build 4.02-B45
Hardware Version  : 2C1
Spanning Tree     : Disabled
GVRP              : Enabled
IGMP Snooping     : Enabled
Asymmetric VLAN   : Disabled

Изначально была поставлена задача: не пропускать через этот коммутатор IGMP-пакеты на определенный диапазон мультикаст-IP-адресов со значениями в поле IGMP-type, равными 0x11, 0x12, 0x16. Причем IGMP-snooping вклечен глобально, разрешен во всех VLAN'ах, используется non-querier режим.
Соответствующие правила ACL были вписаны, однако требуемый результат не был достигнут.
В ходе анализа проблемы правила ACL были максимально упрощены. Осталось следующее (пытаемся запретить ВЕСЬ IP-трафик, идущий на адрес 239.255.255.250):

Код:

delete access_profile profile_id 20
create access_profile ip destination_ip_mask 255.255.255.255 profile_id 20
config access_profile profile_id 20 add access_id 1 ip destination_ip 239.255.255.250 deny

Результат смотрим tcpdump'ом на машине, находящейся за этим коммутатором:

Код:

13:08:31 172.16.219.27 > 239.255.255.250: igmp v2 report 239.255.255.250 [ttl 1] (id 49105, len 32, optlen=4 RA)
13:10:36 172.16.219.38 > 239.255.255.250: igmp v2 report 239.255.255.250 [ttl 1] (id 4710, len 32, optlen=4 RA)

То есть для IGMP-пакетов этот ACL - не преграда.
Попробуем пофильтровать по МАС-адресу (запретить ВЕСЬ трафик идущий на MAC-адрес 01-00-5E-7F-FF-FA):

Код:

delete access_profile profile_id 20
create access_profile ethernet destination_mac FF-FF-FF-FF-FF-FF profile_id 20
config access_profile profile_id 20 add access_id 1 ethernet destination_mac 01-00-5E-7F-FF-FA deny

И снова результат контролируем tcpdump'ом:

Код:

13:16:51 172.16.219.39 > 239.255.255.250: igmp v2 report 239.255.255.250 [ttl 1] (id 14844, len 32, optlen=4 RA)
13:18:55 172.16.219.38 > 239.255.255.250: igmp v2 report 239.255.255.250 [ttl 1] (id 4827, len 32, optlen=4 RA)

И снова IGMP-пакеты свободно пролетают через коммутатор.

Вопрос: может я что-то делаю неправильно?
Каким способом (и можно ли это сделать в принципе) запретить прохождение (конкретного) IGMP-трафика?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вт май 16, 2006 17:23

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Только командами config limited multicast address на DES-3526 например, на DES-3226S эта опция недоступна.

Вернуться наверх

Vladimir Gerasimov

Заголовок сообщения:

Добавлено: Вт май 16, 2006 20:12

Зарегистрирован: Вт фев 01, 2005 20:22
Сообщений: 351
Откуда: Glazov

Ясно. Очень жаль.
Спасибо

Вернуться наверх

Страница 1 из 1

[ Сообщений: 3 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 33

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения