Умеют ли 1210-28 cpu_filter l3?

А именно интересует:
config cpu_filter l3_control_pkt 1-28 dvmrp pim igmp_query ospf rip vrrp state enable
config cpu_filter l3_control_pkt 25-28 igmp_query state disable

на 1228 выставить получается.

Данный функционал отсутствует, но можно использовать cpu acl

Тогда ещё один вопрос. Я использую:
create cpu_access_profile ip destination_ip_mask 255.255.255.255 profile_id 1
config cpu_access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.2 port 1-28 permit
config cpu_access_profile profile_id 1 add access_id 2 ip destination_ip 224.0.0.1 port 25-28 permit

create cpu_access_profile ip destination_ip_mask 255.255.248.0 profile_id 2
config cpu_access_profile profile_id 2 add access_id 1 ip destination_ip 224.0.42.0 port 1-28 permit

create cpu_access_profile ip destination_ip_mask 240.0.0.0 profile_id 3
config cpu_access_profile profile_id 3 add access_id 1 ip destination_ip 224.0.0.0 port 1-28 deny

И получается, что я этим фильтрую клиентские порты, чтобы, например, клиентский роутер не стал Querier IP и не устроил хаос.
- имеется ли такая команда как на 1228 "enable cpu_interface_filtering" или cpu_acl на 1210 сразу вступают в силу?
-и при таких acl все-равно просачивается клиентский Querier IP.

Это мой где-то косяк, или 1210 не отрабатывают?

а также пропишите клиентские порты как forbidden router ports.

так оно и есть:
VLAN Name : 800
Static router port : 25
Dynamic router port :
Forbidden router port : 1-24

Поправил свое сообщение - см. cpu access lists

Включаю порт клиента и со временем клиентский ip становится вторым Querier IP. Это же не есть хорошо, если верить что cpu_acl должны это все фильтровать, что я и сделал при помощи форума и советов пользователей этого форума

при этом мне мои acl использовать? А то правил тока 3 можно сделать

и я правильно понимаю, что данный acl закрывает адрес 224.0.0.2?

кто нибудь сталкивался с такими acl?
сreate cpu_access_profile ip igmp type profile_id 1
config cpu_access_profile profile_id 1 add access_id 1 ip igmp type 17 port 1-24 deny

type 17 судя по всему - это Leave Group (значение поля = 0x17) — отправляется членом группы для того чтобы сообщить маршрутизатору, что хост покидает группу. Не особа понял взаимосвязи, почему закрыв данный тип сообщения у меня сейчас на коммутаторе все гуд.
И как тогда совмсетить с этими acl:
create cpu_access_profile ip destination_ip_mask 255.255.255.255 profile_id 1
config cpu_access_profile profile_id 1 add access_id 1 ip destination_ip 224.0.0.2 port 1-28 permit
config cpu_access_profile profile_id 1 add access_id 2 ip destination_ip 224.0.0.1 port 25-28 permit

create cpu_access_profile ip destination_ip_mask 255.255.248.0 profile_id 2
config cpu_access_profile profile_id 2 add access_id 1 ip destination_ip 224.0.42.0 port 1-28 permit

create cpu_access_profile ip destination_ip_mask 240.0.0.0 profile_id 3
config cpu_access_profile profile_id 3 add access_id 1 ip destination_ip 224.0.0.0 port 1-28 deny

так как левые группы тоже нужно закрывать, а profile_id можно тока 3. Хелп

Совмещать необязательно, т.к. ACL решают более общую задачу - заблокировать вообще все из ненужных диапазонов. Но в том числе должны отсекаться и левые квериеры, так советовала делать сама техподдержка D-Link (см. соседнюю тему). Если стоит задача только отсечь квериеров, то полные ACL не нужны. А вот ситуация с type 17 непонятна, согласен. Слежу за темой, может сотрудники D-Link подскажут в чем дело.

_________________
D-Link Switches: Tips & Tricks

Сотрудники D-link, подскажите, пожалуйста, что мы делаем данным acl. Прочитав про igmp, я так и не понял каким образом это решило мою проблему с левым квериером.

"create cpu_access_profile ip igmp type profile_id 1
config cpu_access_profile profile_id 1 add access_id 1 ip igmp type 17 port 1-24 deny"

зайдя на свич я вижу этот левый кверирер, из за которого, судя по всему у меня были проблемы:
800 239.255.17.18 25 2.2.2.2
но трафик получается заблочен на него. Вопрос очень открыт, так как хочу acl внедрить на всех железках

Type 0x11 (hex) или 17 (dex) - это Membership Query.

Посмотрел снифером, такой тип присутствует в адресе 224.0.0.1, который блокируется 3-м профилем ACL из примера выше.
Смотрю RFC 2236:

Получается, что согласно RFC, квериер отправляет запросы на 224.0.0.1, указывая групповой адрес равный 0 и поле Max Response Time. Данный пакет блокируется 3-м профилем ACL, но, видимо, абонент отправляет еще и пакет внутри валидного диапазона и/или на 224.0.0.2 и коммутатор начинает считать его квериером?

Владимир, можете отзеркалировать трафик и отловить пакеты по фильтру IGMP?

_________________
D-Link Switches: Tips & Tricks

Не увидел сообщения.
Это мне получается нужно ехать на место где была проблема и подключаться к порту свича, пока сложно сказать, но думаю, что доеду так как непонятки: либо 1210 не отрабатывает cpu_acl, либо есть ходы обхода этих cpu_acl. В итоге я пробежался по всем свичам 1210, 3028, 1228:
create cpu access_profile profile_id 1 ip igmp type
config cpu access_profile profile_id 1 add access_id 1 ip igmp type 17 port 1-24 deny

отпишусь по результату

Артем, проясните ситуацию с квериером? Утверждения ниже верны?
1. Согласно RFC, квериер отправляет запросы на 224.0.0.1 с определенными полями.
2. Несмотря на это, коммутатор, ориентируясь на содержимое пакета, может признать квериером устройство, отправляющее пакеты на другой адрес (например 239.8.9.10).

Иначе получается, что CPU ACL просто не отрабатывают.

_________________
D-Link Switches: Tips & Tricks