Очень нужен совет
Мульткастинг построен на основе PIM-SM. Этот протокол включен на L3 (DGS-3627). Доступ либо DES-3028 либо DES-3010, на них включен снупинг. Не регистрированные группы фильтруются!

Как запретить пользователям мультикастить??? ACL?, но на 3010 не сделаешь, только на агрегации L3, а хотелось бы универсальное решение.

P/S/ Есть предположение, что мультикаст абонентов каким либо образом влияет на зависание групп на агрегациях L3. Ну и вообще в этом (мультикастинге клиентов) ничего хорошего нет.

Попробуйте создать правила в CPU ACL (CPU Interface Filtering).

Это должно избавить от мультикастинга или от зависания широковещательных групп? И какого рода ACL (пример)???

Должно запретить вещание мультикаста с абонентских портов + запрещает подключение к "левым" группам

с 1 по 24 абонентские порты

Первое правило разрешаыет подключаться к группам 235.10.10.0-235.10.10.255
Второе разрешает отключение от этих групп
Третье блокирует всё остальное

create cpu access_profile profile_id 1 ip destination_ip 255.255.255.0 igmp type
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 235.10.10.0 igmp type 22 port 1-24 permit

create cpu access_profile profile_id 2 ip destination_ip 255.255.255.255 igmp type
config cpu access_profile profile_id 2 add access_id 1 ip destination_ip 224.0.0.2 igmp type 23 port 1-24 permit

create cpu access_profile profile_id 3 ip destination_ip 240.0.0.0
config cpu access_profile profile_id 3 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 deny


или такой же вариант с packet content mask

cr cpu access_profile profile_id 1 packet_content offset_32-47 0xffff 0xfe00ff00 0x0 0x0
co cpu access_profile profile_id 1 add access_id 1 packet_content offset_32-47 0xeb0a 0xa001600 0x0 0x0 port 1-24 permit

cr cpu access_profile profile_id 2 packet_content offset_32-47 0xffff 0xffffff00 0x0 0x0
co cpu access_profile profile_id 2 add access_id 1 packet_content offset_32-47 0xe000 0x21700 0x0 0x0 port 1-24 permit

create cpu access_profile profile_id 3 ip destination_ip 240.0.0.0
config cpu access_profile profile_id 3 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 deny

Попробывал этот вариант - все равно регистрируюсь в запрещенных группах.

create cpu access_profile profile_id 1 ip destination_ip 255.255.255.0 igmp type
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 235.10.10.0 igmp type 22 port 1-24 permit

create cpu access_profile profile_id 2 ip destination_ip 255.255.255.255 igmp type
config cpu access_profile profile_id 2 add access_id 1 ip destination_ip 224.0.0.2 igmp type 23 port 1-24 permit

create cpu access_profile profile_id 3 ip destination_ip 240.0.0.0
config cpu access_profile profile_id 3 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 deny

Пробывал и этот вариант:

create access_profile ip destination_ip 255.255.255.0 igmp profile_id 1
config access_profile profile_id 1 add access_id 1 ip destination_ip 238.1.1.0 igmp port 1-24 permit
create access_profile ip destination_ip 240.0.0.0 igmp profile_id 2
config access_profile profile_id 2 add access_id 1 ip destination_ip 224.0.0.0 port 1-24 deny

И оба одновременно.

Все равно это позволяет регистрироваться в группах, по крайней мере об этом говорит "show igmp_snopping group"

А нет! Помогло - забыл вот это :

enable cpu_interface_filtering

Спасибо!!!

Жалко только что больше нет профилей свободных ( ( (

Еще вопрос остался - что это вообще такое cpu_interface_filtering. Эти ACL фильтруют только то что идет к CPU, то есть транзитные пакеты эти ACL не могут фильтровать?

Да, в CPU interface filtering попадают те пакеты которые идут на обработку в CPU, как раз то что не фильтруют обычные ACL. CPU Interface Filtering

На всех доступах прописал эти команды, но на DES-3010 отказывается корректно работать 1 профиль:

create cpu access_profile profile_id 1 ip destination_ip 255.255.255.0 igmp type
config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 235.10.10.0 igmp type 22 port 1-24 permit

Корректно работает только так (без указания igmp type):

create cpu access_profile profile_id 1 ip destination_ip 255.255.255.0 config cpu access_profile profile_id 1 add access_id 1 ip destination_ip 235.10.10.0 port 1-24 permit


как будто для регистрации в группе требуются еще какие нить пакеты, или он не понимает что такое igmp.
На 3028 все то же самое без проблем, кто сталкивался? Версия прошивки des-3010 Build 4.30.B21
Попробую еще 2 предложенный выше вариант - вариант с фильтрацией по содержимому пакетов

странно, на DES-3828 не дает привязать профиль к портам. То есть "port 1-24" невозможно указать.
Только вот в таком виде:


Можно указывать vlan, но их 24... чувствую, как то это неправильно. Не создавать же 24 одинаковых профиля...

Хелп плиз...

_________________
Хочу все знать!!!

Я переживаю за запрещающий профиль


к чему он будет применен? и как применить их к портам....

_________________
Хочу все знать!!!

Хм, уважаемые сотрудники D-link, может Вы подскажете?

_________________
Хочу все знать!!!

На некоторых можелях коммутаторов действительно нельзя задать номера портов для cpu профилей, они будут применяться для всех портов.

на всех портах, это и аплинках (25-28) тоже?
но ведь некоторые протоколы работают с использованием мультикаст диапазона... RIP например и тд
Они будут работать?

_________________
Хочу все знать!!!

Пока на аксесных свичах выполнил


надеюсь, этого будет достаточно

_________________
Хочу все знать!!!