Добрый день.
Столкнулись с необходимостью блокировать multicast трафик от клиентов. Обычные acl/multicast filter предотвращают его распространение по портам, но, т.к. мы используем IGMP_MULTICAST_VLAN, на процессор коммутатора он все же попадает, вызывая высокую загрузку cpu (порядка 60%), не смотря на включенный cpu acl. Проблема наблюдается при генерации multicast трафика с клиентских портов на адреса любых multicast групп кроме сети 224.0.0.0/24, на которой cpu acl волшебным образом срабатывает и загрузка cpu не превышает 5-6%. Собственно хотелось бы видеть такое же поведение на всем диапазоне multicast адресов.
Для чистоты эксперимента коммутатор был сброшен в default.
show sw:
Command: show switch
Device Type : DES-3528 Fast Ethernet Switch
MAC Address : F0-7D-68-1C-06-C0
IP Address : 172.31.173.243 (Manual)
VLAN Name : default
Subnet Mask : 255.255.255.248
Default Gateway : 172.31.173.241
Boot PROM Version : Build 1.00.B008
Firmware Version : Build 3.00.B034
Hardware Version : A4
Serial Number : PVIH2A9001542
System Name :
System Location :
System Uptime : 6 days, 6 hours, 51 minutes, 51 seconds
System Contact :
Spanning Tree : Disabled
GVRP : Disabled
IGMP Snooping : Disabled
MLD Snooping : Disabled
VLAN Trunk : Disabled
Telnet : Enabled (TCP 23)
Web : Enabled (TCP 80)
SNMP : Disabled
SSL Status : Disabled
SSH Status : Disabled
802.1x : Disabled
Jumbo Frame : Off
CLI Paging : Enabled
MAC Notification : Disabled
Port Mirror : Disabled
SNTP : Disabled
HOL Prevention State : Enabled
Syslog Global State : Disabled
Single IP Management : Disabled
Dual Image : Supported
Password Encryption Status : Disabled
что было добавлено в конфигурации:
# VLAN
enable pvid auto_assign
config vlan default delete 1-28
config vlan default add untagged 25-28
config vlan default add forbidden 1-24
config vlan default advertisement disable
create vlan LOCAL_HN_STB tag 2511
config vlan LOCAL_HN_STB add tagged 25-28
config vlan LOCAL_HN_STB add untagged 1-24 advertisement disable
disable gvrp
config gvrp nni_bpdu_addr dot1d
disable asymmetric_vlan
disable vlan_trunk
config port_vlan 1-24 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 2511
config port_vlan 25-28 gvrp_state disable ingress_checking disable acceptable_frame admit_all pvid 1
# IGMP_MULTICAST_VLAN
enable igmp_snooping multicast_vlan
config igmp_snooping multicast_vlan forward_unmatched disable
create igmp_snooping multicast_vlan IPTV 889
config igmp_snooping multicast_vlan IPTV state enable replace_source_ip 0.0.0.0
config igmp_snooping multicast_vlan IPTV add member_port 1-24
config igmp_snooping multicast_vlan IPTV add source_port 25-28
#CPU Interface Filter
create cpu access_profile profile_id 4 ip destination_ip_mask 240.0.0.0
config cpu access_profile profile_id 4 add access_id 1 ip destination_ip 224.0.0.0 port 1-28 deny # блокируем любому multicast траффику доступ к cpu
enable cpu_interface_filtering
# IP
config ipif System ipaddress 172.31.173.243/29 vlan default
config ipif System proxy_arp disable local disable
config ipif System dhcpv6_client disable
config ipif System dhcp_option12 state disable
disable autoconfig
# ROUTE
enable local_route ipv4
disable local_route ipv6
create iproute default 172.31.173.241 1 primary
Генерируем с помощью iperf 50 мбит multicast траффика:
iperf -c 239.191.254.2 -u -t 10000000 -i 1 -b 50M
видим:
Command: show utilization ports
Port TX/sec RX/sec Util Port TX/sec RX/sec Util
----- ---------- ---------- ---- ----- ---------- ---------- ----
1 7 4242 26
Command: show utilization cpu
CPU Utilization
-------------------------------------------------------------------------------
Five seconds - 59 % One minute - 53 % Five minutes - 23 %
меняем адрес на 224.0.0.33:
iperf -c 224.0.0.33 -u -t 10000000 -i 1 -b 50M
видим:
Command: show utilization ports
Port TX/sec RX/sec Util Port TX/sec RX/sec Util
----- ---------- ---------- ---- ----- ---------- ---------- ----
1 18 4260 26
Command: show utilization cpu
CPU Utilization
-------------------------------------------------------------------------------
Five seconds - 6 % One minute - 17 % Five minutes - 33 %
Нормально ли такое поведение ?
Вход
Регистрация
FAQ
Поиск
