Уважаемые господа, помогите решить проблему. В сети завелся хулиган (либо глючный дивайс) отправляющий мусор в существующие multicast группы по которым транслируются iptv каналы, в результате картина начиет сыпатся.

Сейчас конфигурация мультикаста на свичах доступа выглядит прмерно так:

enable igmp_snooping multicast_vlan
config igmp_snooping multicast_vlan forward_unmatched disable
create igmp_snooping multicast_vlan ISM-XXX 21
config igmp_snooping multicast_vlan ISM-XXX tate enable replace_source_ip 10.x.x.x <== это адрес из сети PIM роутера, у каждого свича он свой
config igmp_snooping multicast_vlan ISM-XXX add member_port 1-24
config igmp_snooping multicast_vlan ISM-XXX add source_port 25-28

config multicast vlan_filtering_mode vlanid <all-vlans> filter_unregistered_groups

enable igmp_snooping
config igmp_snooping vlan_name ISM-XXX fast_leave enable report_suppression disable


Я честно говоря думал что при включенном multicast_vlan пользователь сможет только получать multicast но не отправлять т.к. на роутере терминирующем пользовательские vlan-ы отключен igmp и pim (они включены только в multicast vlan-е). До последнего момента был уверен что в multicast vlan-е должны светится исключительно МАС адреса свичей, в место этого к своему удивлению обнаруживаю там МАС-и клиентов. Либо это какойто баг либо я чтото неправильно понимаю в функционировании multicast vlan-а.

Подскажите как наиболее канонично зафильтровать левые источники multicast траффика на свичах доступа ?

маки клиентов должны быть в мультикаст влане, это нормально.

насчет "фильтров" я приводил свои в этой теме:
viewtopic.php?f=2&t=162471&p=880606#p880606

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

А с какого перепугу маки клиентов появляются в мультиксат vlan-е ? Мне почемуто казалось что свич в данном случае работает как igmp proxy между клиентом и querrier-ом.

Вы предлагаете фильтровать multicast с использованием acl по dst адресам , однако забываете что на групповой адрес поступает не только собственно траффик данных, а еще и igmp reports пакеты фильтровать которые не есть правильно

уточните пожалуйсто, что я не так фильтрую) в более развернутой форме

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

Читаем rfc2236 по IGMPv2:

9. Message destinations

This information is provided elsewhere in the document, but is
summarized here for convenience.

Message Type Destination Group
------------ -----------------
General Query ALL-SYSTEMS (224.0.0.1)
Group-Specific Query The group being queried
Membership Report The group being reported
Leave Message ALL-ROUTERS (224.0.0.2)


Соответственно Group-Specific Query и Membership Report отправляются на адрес группы в которую идет вещание. Если вы зафильтруете ее на абонентском порту то до роутера не дойдет Membership Report соответственно igmpv2 будет работать не корректно.

ну делайте как считаете нужным
именно такие правила помогли мне избавиться от "прерываний" мультикаста.

и все работает как-то корректно...

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

fastleave тоже работает ? У вас прерывания имели место при включеном multicast vlan-е или без него ?

fast leave я отключаю т.к. у нас в сети осталось не мало 2108
и если кто-то за ним переключит/остановит канал, то и у другого хомячка за ним он заткнется
прерывания были при включенном мультикаст влане (у нас без него и не было телевидения никогда)

_________________
2008-2015г. компания Экстрим Интернет. Технический директор/Главный системный администратор.
2015-по н.в. компания "Подряд". Инженер сети ШПД

Странно как мультикаст поток (именно поток а не igmp) из абонентского влана может перетечь в multicast vlan ? Это сильно похоже на баг. Ктото из представителей Длинк-а может прокомментировать ситуацию ?

Столкнулся с аналогичной проблемой. Будут ли комментарии от представителей D-Link?

У нас вот такие фильные есть на 3028:

create mcast_filter_profile profile_id 1 profile_name 1
config mcast_filter_profile profile_id 1 add <диапазон IP адресов ваших групп>
config max_mcast_group port 1-24 max_group 3
config max_mcast_group port 25-28 max_group 128
config limited_multicast_addr ports 1-24 add profile_id 1
config limited_multicast_addr ports 25-28 delete profile_id 1