Появился пользовательский роутер Shenzhen Gongjin Electronics Co и сломал почти у всех IPv6, и так неоднозначно работающий в сети:

Итак, для нормального функционирования Ipv6 в сети должен нормально функционировать мультикаст трафик. Все задачи в сети от обнаружения соседей, до получения IP адреса решаются с использованием мультикаста. Даже когда надо просто спросить адрес соседа - аналог APR, то из последних 24х битов IP адреса искомого хоста вычисляется адрес группы и именно туда шлется запрос на получение mac адреса, а клиент обязан входить в эту свою группу. В общем мультикаст для IPv6 очень важен.

Для обеспечения работы мультикаста в ethernet Ipv6 сетях используется в чем-то похожий на igmp snooping протокол - MLD.

Квериер постоянно отсылает запросы, и каждый коммутатор получает его адрес, как адрес мультикаст роутера. Чем меньше адрес квериера - тем он приоритенее, и вот в сети разделенной трафик сегментейшеном появился пользовательский квериер на одной из ветвей дерева! Его МАС как назло меньше текущего нашего Квериера, и он выигрывает выборы, наш квериер замолкает.

Пример пакета:


Юзер висит на 22м порту DES-3528 (прошивка уже 3.10.B052)

Фигня война, думаю счас поможет: , не помогло, так и сыпятся от юзера multicast listener query, хотя аналогичной команды в ipv4 было достаточно. Коммутатор абонента не назначает этот порт как роутерный себе, но коммутаторы в округе которые его слышат продолжают назначать.

Ну думаю так легко не взять, Wireshark в зубы, часик времени и получились packet_content_mask ACL - не работают, переделал для CPU ALC не работают, подвигал на vlan ибо фиг знает как там у 3528 packet_content_mask работает, не получил результата.

Перепроверил себя, ошибок не нашел, и сделал обычное и CPU правило ethernet ACL и запретил ходить на MAC 33:33:00:00:00:01 - нет результата, пакеты летят как летели. Создал ipv6 CPU правило - тоже не помогает. А вот стоит отключить MLD snooping на коммутаторе, данные больше не ходят.

В общем чего, я прошу, блокируйте отправку пакетов похожих на пакеты мультикаст маршрутизаторов с портов отмеченных как mld_snooping mrouter_ports_forbidden .


P.S. Не смог DGS-3620 настроить для рассылки multicast listener query с адреса fe80::0, чтобы уж точно никто не мог выиграть выборы квериера в сегменте. При настройке IPv6 адреса на коммутаторе, автоматически создается link local из мас адреса и только он используется как mld источник. Тупик.

Коллеги, еще раз, это реальная проблема приводящая к полной неработоспособности ipv6 протокола, на очень популярном девайсе. Комментарии хотя бы будут?

Коллеги ну не прилично вообще

Коллеги, подскажите как так получается, у юзеров в одно и тоже время начали глючить роутеры, их мак адреса бьются как Shenzhen Gongjin Electronics Co , при это по виду и по форме это D-Link Dir-300 ?! Как такое может быть, это что мы подделку купили? У нас их у юзеров 36 штук, из них с десяток пользователей обратились к нам с запросом на плохую работу и нета за последние 2 недели, видим потери и растущий пинг до 200-300 мс даже до роутера. И это те самые роутеры которые рушат нам ipv6! О чем так доблестно молчит D-Link.

Пришлите, пожалуйста, конфигурацию DES-3528 и дамп рассылаемого пакета в формате pcap.
Также уточните аппаратную ревизию и версию прошивки проблемных DIR-300.

С роутером напишу позже, выменяем экземпляр у клиентов. 10 пакетов записал.