Всем добрый день! Вопрос чисто теоретический:можно ли на 3526 запретить на всех портах прохождение пакетов на сеть 224.0.0.0/4 ( т.е прибить мультикаст на корню), прописав вот-такой вот acl:

create access_profile packet_content_mask offset_0-15 0xffffff00 0x0 0x0 0x0 profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content_mask offset_0-15 0x01005e00 0x0 0x0 0x0 port 1-25 deny

?
Зарание спасибо за участие...

Надо использовать limited multicast address ranges.

ответ в принципе понятен, но всё-же : будет ли работать данное правило ?

Вы же по destination MAC запрещаете?

все мултикастовые пакеты, которые я видел tcpdumpом имели dst mac , начинающийся с 01005е... а в качестве src mac - физический адрес nic источника мультикаста, вот и родилась мысль отбрасывать пакеты с этими первыми 3 байтами в dst mac. К сожалению не могу проверить это на практике, поэтому и решил спросить, мож я не понимаю природу мультикаста на канальном уровне... ?

В принципе можно, но этим Вы запретите сам поток Multiacast и только от источника. Хотя вообще-то для этого используются специальные средства.

Тогда такой еще вопрос. Правило:

create access_profile profile_id 2 ip protocol_id_mask 0xFF
config access_profile profile_id 2 add access_id auto_assign ip protocol_id 67 port 9 deny

по идее должно запрещал протокол IP 67 (PIM), но PIM идет мультикастом, который в свитче разрешен. Свитч DGS-3200-10. Судя по снифферу, PIM пакеты проходят. Можно, наверное, порезать по mac_dst, но почему не режется по ip_id?

Добавлю: по mac_dst тоже не запрещается. Чем же закрыть ненужный мультикаст PIMv2 на адрес 224.0.0.13 с порта провайдера?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Как я и говорил Multicast фильтрами. Обычные ACL в таком случае работаю не всегда.

А они могут разве запретить что-то определенное? Насколько я понял, там можно только прописать разрешенные, включив при этом фильтр на все остальные. Верно?
Да, и я говорю про устройство DGS-3200-10. Что-то не вижу функции limited multicast address ranges, вижу только Multicast Filtering Mode и Multicast Forwarding. Не подскажите, как отфильтровать ненужное?

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Подниму темку наверх.
Так есть возможность ограничить в DGS-3200-10 мультикаст-группы или нельзя?

Спасибо.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)

Мы уточняем эту возможность. Как только будут новости сообщу.

Мерси. Буду ждать.

_________________
DFL-860E (10.22.01.04), DFL-210 (2.27.08.03-22678), DGS-1210-20/ME/B1A (7-03-B043), DGS-3200-10 (2.21.B018), DES-3200-10 (4.38.B012), DWL-2100AP (250eu-rc358), DNS-323 (1.10), DI-824VUP (1.06b21), DSL-300T (2.00B01T01.EU.20071227)