D-Link • Просмотр темы - DES-3200-28F

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

DES-3200-28F - Фильтрация IGMP Query

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 1

[ Сообщений: 11 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

xneo

Заголовок сообщения: DES-3200-28F - Фильтрация IGMP Query

Добавлено: Ср мар 18, 2015 19:01

Зарегистрирован: Пт май 23, 2008 00:26
Сообщений: 60

Здравствуйте.
Задача отфильтровать IGMP Query на клиентских портах.
Конфиг:

Скрытый текст: показать

Код:

# IGMP_MULTICAST_VLAN

enable igmp_snooping multicast_vlan
config igmp_snooping multicast_vlan forward_unmatched disable
create igmp_snooping multicast_vlan_group_profile iptv
config igmp_snooping multicast_vlan_group_profile iptv add 234.0.0.1-234.0.0.250
create igmp_snooping multicast_vlan VLAN200 200
config igmp_snooping multicast_vlan VLAN200 state enable replace_source_ip 0.0.0.0 remap_priority 7 replace_priority 
config igmp_snooping multicast_vlan VLAN200 add member_port 1-26,28 
config igmp_snooping multicast_vlan VLAN200 add source_port 27 
config igmp_snooping multicast_vlan_group VLAN200 add profile_name iptv 

# VLAN

enable pvid auto_assign
config vlan default delete 1-28
config vlan default add tagged 27
config vlan default add untagged 1-3,5-12,14-23,25-26,28
config vlan default advertisement enable
create vlan Oschad tag 570
config vlan Oschad add tagged 27
config vlan Oschad add untagged 13 advertisement disable
create vlan Ukrsoc tag 572
config vlan Ukrsoc add tagged 27
config vlan Ukrsoc add untagged 24 advertisement disable
create vlan Bank_Nadra tag 596
config vlan Bank_Nadra add tagged 27
config vlan Bank_Nadra add untagged 4 advertisement disable
disable qinq
disable gvrp
config gvrp nni_bpdu_addr dot1d
disable vlan_trunk
config port_vlan 1-3,5-12,14-23,25-28 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 1
config port_vlan 4 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 596
config port_vlan 13 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 570
config port_vlan 24 gvrp_state disable ingress_checking enable acceptable_frame admit_all pvid 572

# ACL

create access_profile profile_id 10 packet_content_mask offset_chunk_1 3 0xFFFF offset_chunk_2 4 0xFFFFFFFF offset_chunk_3 7 0xFFFFFFFF offset_chunk_4 8 0xFFFF0000 
config access_profile profile_id 10 add access_id 1 packet_content offset_chunk_1 0x800 offset_chunk_2 0x45000000 mask 0xFF000000 offset_chunk_3 0xA0B004B port 11 permit 
config access_profile profile_id 10 add access_id 2 packet_content offset_chunk_1 0x806 offset_chunk_2 0x800 mask 0xFFFF offset_chunk_3 0xA0B mask 0xFFFF offset_chunk_4 0x4B0000 port 11 permit 
config access_profile profile_id 10 add access_id 3 packet_content offset_chunk_1 0x800 offset_chunk_2 0x45000000 mask 0xFF000000 offset_chunk_3 0xA0B0230 port 11 permit 
config access_profile profile_id 10 add access_id 4 packet_content offset_chunk_1 0x806 offset_chunk_2 0x800 mask 0xFFFF offset_chunk_3 0xA0B mask 0xFFFF offset_chunk_4 0x2300000 port 11 permit 
config access_profile profile_id 10 add access_id 5 packet_content offset_chunk_1 0x800 offset_chunk_2 0x45000000 mask 0xFF000000 offset_chunk_3 0xA0B022E port 11 permit 
config access_profile profile_id 10 add access_id 6 packet_content offset_chunk_1 0x806 offset_chunk_2 0x800 mask 0xFFFF offset_chunk_3 0xA0B mask 0xFFFF offset_chunk_4 0x22E0000 port 11 permit 
config access_profile profile_id 10 add access_id 7 packet_content offset_chunk_1 0x800 offset_chunk_2 0x45000000 mask 0xFF000000 offset_chunk_3 0xA0B00B4 port 11 permit 
config access_profile profile_id 10 add access_id 8 packet_content offset_chunk_1 0x806 offset_chunk_2 0x800 mask 0xFFFF offset_chunk_3 0xA0B mask 0xFFFF offset_chunk_4 0xB40000 port 11 permit 
config access_profile profile_id 10 add access_id 9 packet_content offset_chunk_1 0x800 offset_chunk_2 0x45000000 mask 0xFF000000 offset_chunk_3 0xA0B0223 port 11 permit 
config access_profile profile_id 10 add access_id 10 packet_content offset_chunk_1 0x806 offset_chunk_2 0x800 mask 0xFFFF offset_chunk_3 0xA0B mask 0xFFFF offset_chunk_4 0x2230000 port 11 permit 
config access_profile profile_id 10 add access_id 11 packet_content offset_chunk_1 0x800 offset_chunk_2 0x45000000 mask 0xFF000000 offset_chunk_3 0xA0B029B port 14 permit 
config access_profile profile_id 10 add access_id 12 packet_content offset_chunk_1 0x806 offset_chunk_2 0x800 mask 0xFFFF offset_chunk_3 0xA0B mask 0xFFFF offset_chunk_4 0x29B0000 port 14 permit 
config access_profile profile_id 10 add access_id 13 packet_content offset_chunk_1 0x800 offset_chunk_2 0x45000000 mask 0xFF000000 offset_chunk_3 0xA0B0009 port 5 permit 
config access_profile profile_id 10 add access_id 14 packet_content offset_chunk_1 0x806 offset_chunk_2 0x800 mask 0xFFFF offset_chunk_3 0xA0B mask 0xFFFF offset_chunk_4 0x90000 port 5 permit 
config access_profile profile_id 10 add access_id 15 packet_content offset_chunk_1 0x800 offset_chunk_2 0x45000000 mask 0xFF000000 offset_chunk_3 0xA0B0222 port 12 permit 
config access_profile profile_id 10 add access_id 16 packet_content offset_chunk_1 0x806 offset_chunk_2 0x800 mask 0xFFFF offset_chunk_3 0xA0B mask 0xFFFF offset_chunk_4 0x2220000 port 12 permit 
config access_profile profile_id 10 add access_id 17 packet_content offset_chunk_1 0x800 offset_chunk_2 0x45000000 mask 0xFF000000 offset_chunk_3 0xA0B012A port 8 permit 
config access_profile profile_id 10 add access_id 18 packet_content offset_chunk_1 0x806 offset_chunk_2 0x800 mask 0xFFFF offset_chunk_3 0xA0B mask 0xFFFF offset_chunk_4 0x12A0000 port 8 permit 
config access_profile profile_id 10 add access_id 19 packet_content offset_chunk_1 0x800 offset_chunk_2 0x45000000 mask 0xFF000000 offset_chunk_3 0xA0B0129 port 6 permit 
config access_profile profile_id 10 add access_id 20 packet_content offset_chunk_1 0x806 offset_chunk_2 0x800 mask 0xFFFF offset_chunk_3 0xA0B mask 0xFFFF offset_chunk_4 0x1290000 port 6 permit 
config access_profile profile_id 10 add access_id 21 packet_content offset_chunk_1 0x800 offset_chunk_2 0x45000000 mask 0xFF000000 offset_chunk_3 0xA0B013F port 1 permit 
config access_profile profile_id 10 add access_id 22 packet_content offset_chunk_1 0x806 offset_chunk_2 0x800 mask 0xFFFF offset_chunk_3 0xA0B mask 0xFFFF offset_chunk_4 0x13F0000 port 1 permit 
config access_profile profile_id 10 add access_id 23 packet_content offset_chunk_1 0x800 offset_chunk_2 0x45000000 mask 0xFF000000 offset_chunk_3 0xA0B0012 port 2 permit 
config access_profile profile_id 10 add access_id 24 packet_content offset_chunk_1 0x806 offset_chunk_2 0x800 mask 0xFFFF offset_chunk_3 0xA0B mask 0xFFFF offset_chunk_4 0x120000 port 2 permit 
config access_profile profile_id 10 add access_id 25 packet_content offset_chunk_1 0x800 offset_chunk_2 0x45000000 mask 0xFF000000 offset_chunk_3 0xA0D002C port 2 permit 
config access_profile profile_id 10 add access_id 26 packet_content offset_chunk_1 0x806 offset_chunk_2 0x800 mask 0xFFFF offset_chunk_3 0xA0D mask 0xFFFF offset_chunk_4 0x2C0000 port 2 permit 
config access_profile profile_id 10 add access_id 27 packet_content offset_chunk_1 0x800 offset_chunk_2 0x45000000 mask 0xFF000000 offset_chunk_3 0x0 port 1-2,5-6,8-9,11-12,14 permit 
config access_profile profile_id 10 add access_id 28 port 1-2,5-6,8-9,11-12,14 deny 
create access_profile profile_id 15 ip destination_ip_mask 255.0.0.0 
config access_profile profile_id 15 add access_id 1 ip destination_ip 234.0.0.0 port 1-28 permit priority 7 replace_priority 

#CPU Interface Filter

create cpu access_profile profile_id 1 ip igmp type 
config cpu access_profile profile_id 1 add access_id 1 ip igmp type 17 port 1-3,5-12,14-23,25-26,28 deny 
enable cpu_interface_filtering 

# MULTICAST_FILTER

create mcast_filter_profile profile_id 1 profile_name iptv
config mcast_filter_profile profile_id 1 add 234.0.0.1-234.0.0.250
create mcast_filter_profile profile_id 10 profile_name deny
config limited_multicast_addr ports 1 add profile_id 1
config limited_multicast_addr ports 1 access permit
config max_mcast_group ports 1 max_group 3
config limited_multicast_addr ports 2 add profile_id 1
config limited_multicast_addr ports 2 access permit
config max_mcast_group ports 2 max_group 3
config limited_multicast_addr ports 3 add profile_id 10
config limited_multicast_addr ports 3 access permit
config max_mcast_group ports 3 max_group 1
config limited_multicast_addr ports 4 add profile_id 10
config limited_multicast_addr ports 4 access permit
config max_mcast_group ports 4 max_group 1
config limited_multicast_addr ports 5 add profile_id 1
config limited_multicast_addr ports 5 access permit
config max_mcast_group ports 5 max_group 3
config limited_multicast_addr ports 6 add profile_id 1
config limited_multicast_addr ports 6 access permit
config max_mcast_group ports 6 max_group 3
config limited_multicast_addr ports 7 add profile_id 10
config limited_multicast_addr ports 7 access permit
config max_mcast_group ports 7 max_group 1
config limited_multicast_addr ports 8 add profile_id 10
config limited_multicast_addr ports 8 access permit
config max_mcast_group ports 8 max_group 1
config limited_multicast_addr ports 9 add profile_id 1
config limited_multicast_addr ports 9 access permit
config max_mcast_group ports 9 max_group 1
config limited_multicast_addr ports 10 add profile_id 10
config limited_multicast_addr ports 10 access permit
config max_mcast_group ports 10 max_group 1
config limited_multicast_addr ports 11 add profile_id 10
config limited_multicast_addr ports 11 access permit
config max_mcast_group ports 11 max_group 1
config limited_multicast_addr ports 12 add profile_id 1
config limited_multicast_addr ports 12 access permit
config max_mcast_group ports 12 max_group 1
config limited_multicast_addr ports 13 add profile_id 10
config limited_multicast_addr ports 13 access permit
config max_mcast_group ports 13 max_group 1
config limited_multicast_addr ports 14 add profile_id 1
config limited_multicast_addr ports 14 access permit
config max_mcast_group ports 14 max_group 1
config limited_multicast_addr ports 15 add profile_id 10
config limited_multicast_addr ports 15 access permit
config max_mcast_group ports 15 max_group 1
config limited_multicast_addr ports 16 add profile_id 10
config limited_multicast_addr ports 16 access permit
config max_mcast_group ports 16 max_group 1
config limited_multicast_addr ports 17 add profile_id 10
config limited_multicast_addr ports 17 access permit
config max_mcast_group ports 17 max_group 1
config limited_multicast_addr ports 18 add profile_id 10
config limited_multicast_addr ports 18 access permit
config max_mcast_group ports 18 max_group 1
config limited_multicast_addr ports 19 add profile_id 10
config limited_multicast_addr ports 19 access permit
config max_mcast_group ports 19 max_group 1
config limited_multicast_addr ports 20 add profile_id 10
config limited_multicast_addr ports 20 access permit
config max_mcast_group ports 20 max_group 1
config limited_multicast_addr ports 21 add profile_id 10
config limited_multicast_addr ports 21 access permit
config max_mcast_group ports 21 max_group 1
config limited_multicast_addr ports 22 add profile_id 10
config limited_multicast_addr ports 22 access permit
config max_mcast_group ports 22 max_group 1
config limited_multicast_addr ports 23 add profile_id 10
config limited_multicast_addr ports 23 access permit
config max_mcast_group ports 23 max_group 1
config limited_multicast_addr ports 24 add profile_id 10
config limited_multicast_addr ports 24 access permit
config max_mcast_group ports 24 max_group 1
config limited_multicast_addr ports 25 add profile_id 10
config limited_multicast_addr ports 25 access permit
config max_mcast_group ports 25 max_group 1
config limited_multicast_addr ports 26 add profile_id 10
config limited_multicast_addr ports 26 access permit
config max_mcast_group ports 26 max_group 1
config limited_multicast_addr ports 27 add profile_id 10
config limited_multicast_addr ports 27 access permit
config max_mcast_group ports 27 max_group 1
config limited_multicast_addr ports 28 add profile_id 10
config limited_multicast_addr ports 28 access permit
config max_mcast_group ports 28 max_group 1
config control_pkt ipv4 igmp replace priority none dscp none
config control_pkt ipv4 vrrp replace priority none dscp none
config control_pkt ipv4 rip replace priority none dscp none
config control_pkt ipv4 pim replace priority none dscp none
config control_pkt ipv4 dvmrp replace priority none dscp none
config control_pkt ipv4 ospf replace priority none dscp none
config control_pkt ipv6 mld replace priority none dscp none
config control_pkt ipv6 pim replace priority none dscp none
config control_pkt ipv6 ospf replace priority none dscp none
config control_pkt ipv6 ripng replace priority none dscp none
config control_pkt ipv6 nd replace priority none dscp none

# IGMP_SNOOPING

enable igmp_snooping
config igmp_snooping data_driven_learning max_learned_entry 1024
config igmp_snooping vlan_name default fast_leave enable report_suppression enable state enable 
config igmp_snooping querier vlan_name default query_interval 125  max_response_time 10 robustness_variable 2 last_member_query_interval 1 state enable version 2 
config router_ports default add 27
config router_ports_forbidden default add 1-3,5-12,14-23,25-26,28
config igmp_snooping data_driven_learning vlan_name default expiry_time 260 state disable aged_out disable 
config igmp_snooping vlan_name VLAN200 fast_leave enable report_suppression enable 
config igmp_snooping querier vlan_name VLAN200 query_interval 125  max_response_time 10 robustness_variable 2 last_member_query_interval 1 state disable version 2 
config igmp_snooping data_driven_learning vlan_name VLAN200 expiry_time 260 state enable aged_out disable 
config igmp_snooping vlan_name Oschad fast_leave enable report_suppression enable state disable 
config igmp_snooping querier vlan_name Oschad query_interval 125  max_response_time 10 robustness_variable 2 last_member_query_interval 1 state disable version 2 
config igmp_snooping data_driven_learning vlan_name Oschad expiry_time 260 state enable aged_out disable 
config igmp_snooping vlan_name Ukrsoc fast_leave enable report_suppression enable state disable 
config igmp_snooping querier vlan_name Ukrsoc query_interval 125  max_response_time 10 robustness_variable 2 last_member_query_interval 1 state disable version 2 
config igmp_snooping data_driven_learning vlan_name Ukrsoc expiry_time 260 state enable aged_out disable 
config igmp_snooping vlan_name Bank_Nadra fast_leave enable report_suppression enable state disable 
config igmp_snooping querier vlan_name Bank_Nadra query_interval 125  max_response_time 10 robustness_variable 2 last_member_query_interval 1 state disable version 2 
config igmp_snooping data_driven_learning vlan_name Bank_Nadra expiry_time 260 state enable aged_out disable 
config cpu_filter l3_control_pkt 1-28 all state disable

Соответственно IGMP Query вроде как должно отфильтроваться согласно CPU Access Profile ID 1, но проходит от клиента на 11 порту.
Что не так?

Firmware Version: 4.35.B011
Hardware Version: C1

Вернуться наверх

Alexander Gavrilin

Заголовок сообщения: Re: DES-3200-28F - Фильтрация IGMP Query

Добавлено: Чт мар 19, 2015 11:48

Сотрудник D-LINK

Зарегистрирован: Ср апр 23, 2014 12:45
Сообщений: 1017

Проблема возникает только с 1 конкретным портом?

Вернуться наверх

xneo

Заголовок сообщения: Re: DES-3200-28F - Фильтрация IGMP Query

Добавлено: Чт мар 19, 2015 12:39

Зарегистрирован: Пт май 23, 2008 00:26
Сообщений: 60

Нет, 11-й порт просто попался как пример.
Переключил клиента в 3-й. То же самое.

Вернуться наверх

Alexander Gavrilin

Заголовок сообщения: Re: DES-3200-28F - Фильтрация IGMP Query

Добавлено: Чт мар 19, 2015 12:48

Сотрудник D-LINK

Зарегистрирован: Ср апр 23, 2014 12:45
Сообщений: 1017

Попробуйте обычные ACL.

Вернуться наверх

xneo

Заголовок сообщения: Re: DES-3200-28F - Фильтрация IGMP Query

Добавлено: Чт мар 19, 2015 14:31

Зарегистрирован: Пт май 23, 2008 00:26
Сообщений: 60

Код:

create access_profile profile_id 8 ip igmp type
config access_profile profile_id 8 add access_id 1 ip igmp type 17 port 11 deny

Так тоже пропускает. Больше никаких ACL правил небыло при тесте.
Пробовал отключить cpu_interface_filtering. Никак не повлияло.

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: DES-3200-28F - Фильтрация IGMP Query

Добавлено: Пт мар 20, 2015 14:49

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

На DES-3200/C1 нужно выполнить команду:

Код:

config cpu_filter l3_control_pkt 1-24 igmp_query state enable

После этого Query пакеты от клиентов будут блокироваться. Прошивку на коммутаторе стоит обновить до актуальной версии.

Вернуться наверх

xneo

Заголовок сообщения: Re: DES-3200-28F - Фильтрация IGMP Query

Добавлено: Пт мар 20, 2015 17:41

Зарегистрирован: Пт май 23, 2008 00:26
Сообщений: 60

Я так понимаю для использования данной опции тоже должна быть включена cpu_interface_filtering?

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: DES-3200-28F - Фильтрация IGMP Query

Добавлено: Пн мар 23, 2015 12:43

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Нет, это делать не требуется.

Вернуться наверх

xneo

Заголовок сообщения: Re: DES-3200-28F - Фильтрация IGMP Query

Добавлено: Пн мар 23, 2015 14:11

Зарегистрирован: Пт май 23, 2008 00:26
Сообщений: 60

Такс... не фильтрует.
На DES-1228-28/ME вроде нормально фильтруются с использованием CPU ACL, а на DES-3200-28F ни с использованием CPU ACL, ни с l3_control_pkt не получается. Пропускает.

Вернуться наверх

xneo

Заголовок сообщения: Re: DES-3200-28F - Фильтрация IGMP Query

Добавлено: Пн мар 23, 2015 14:33

Зарегистрирован: Пт май 23, 2008 00:26
Сообщений: 60

Так, сорри, забыл обновить прошивку

Обновился. Вроде заработало. Наблюдаю

Вернуться наверх

Denis Evgraphov

Заголовок сообщения: Re: DES-3200-28F - Фильтрация IGMP Query

Добавлено: Пн мар 23, 2015 15:45

Сотрудник D-LINK

Зарегистрирован: Чт фев 12, 2009 14:59
Сообщений: 9482
Откуда: Ryazan

Ждем Ваших результатов.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 11 ]

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 10

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения