ситуация: есть DGS-3627 с актуальной прошивкой. является источником мультикаста от множества стримеров, однако один из потоков приходит вланом из города и устройство на том конце мне не подконтрольно. как-то так получается что оно запрашивает все группы. т.е. всё что вертится на 3627 пытается утечь в порт с этим чужим стримером.
нужно: продолжать получать от стримера поток, при этом запретить какой либо обратный трафик.
подскажите плз как быть.
и попутный вопрос: как так может быть что к стримеру спустя примерно минуту после включения порта начинает течь всё что есть на свитче, при том что igmp_snooping включен и стоит политика фильтрования незарегистрированных групп. нагрузка на порт возрастает с нуля до максимума одним моментальным скачком.

Просто на том устройстве включён igmp querier и вполне резонно, что DGS-3627 начинает слать на него весь трафик.
Можно попробовать добавить этот порт в forbidden_router_port либо с помощью CPU ACL запретить на нём весь igmp трафик.

в router_port_forbidden порт попал сразу же, но никакой разницы нет. а ацл пока не получается правильно составить)

помогите составить acl. бился, бился, не получается
create access_profile profile_id 1 ip igmp
config access_profile profile_id 1 add access_id 1 ip igmp port 6 deny
не работает,
create access_profile profile_id 1 ethernet destination 000000000000
config access_profile profile_id 1 add access_id 1 ethernet destination 000000000000 port 6 deny
по source таже история. такое ощущение что аксесс листы вообще не применяются.
и вопрос: аксесс лист применяется к каждому пакету или только на выходе/входе со свитча
грубо говоря задача зарезать весь исходящий трафик на 6 порту, тип трафика поидее не имеет значения

CPU ACL настраиваются через cpu access profile, а не через access_profile

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.

enable cpu_interface_filtering
create cpu access_profile profile_id 1 ip igmp
config cpu access_profile profile_id 1 add access_id 1 ip igmp port 6 deny

никаких результатов

нашёл информацию в сети, что мультикаст не обрабатывается acl листами. это правда? и если так, то КАК тогда запретить отдачу групп на порт? при сохранении возможности получать с этого порта мультикаст и filtering_mode forward_unregistered_groups на этом порту?

А если так:

enable cpu_interface_filtering
create cpu access_profile profile_id 1 ip source_ip 255.255.255.0
config cpu access_profile profile_id 1 add access_id 1 ip source_ip 224.0.0.0 port 6 deny

Это запретит входящие мульт-пакеты многих управляющих протоколов. Если это сильно жестко, то можно запретить только igmp-query - 224.0.0.1/32

Или попробовать LMA:

create mcast_filter_profile profile_id 1 profile_name MULTIC #создаем профиль для фильтра мультика
config mcast_filter_profile profile_id 1 add 239.0.0.0-239.0.0.100 #разрешаем только те группы, которые надо
config limited_multicast_addr ports 6 add profile_id 1 #вешаем фильтр на порт 6

Не уверен на счет синтаксиса, ибо это LMA для свичей 3200. Но наверное в 3627 что-то подобное должно быть.

не катит) 10 мбит остаётся. сегодня миррором гляну что это именно за трафик, но кроме мультикаста там быть ничего не может