MES-3124F igmp_snooping

[Helios]

Здравствуйте!
есть коммутатор длинк на котором никого нет. вообще никого. пустой он. только аплинк там.
однако он показывает, по sh igmp_snooping group, что ему eltex наливает в порт много-много мультикаст групп которых там и запрашивать то некому.
вопрос - зачем элтекс, с активированным снупингом, так делает.

на элтексе по sh ip igmp snooping groups в этом порту нету ни одной группы
включен bridge multicast filtering

SW version 2.5.18 ( date 03-Feb-2014 time 09:54:37 )
Boot version 0.0.1.2 ( date 12-Dec-2012 time 19:10:41 )

bridge multicast mode ipv4-group не помогает..

и ваще стойкое впечатление что снупинг на 3124F живет своей собственной жизнью!
вернее показывать то показывает почти правильно по подпискам а вот в порты льет лишнего много что ему вздумается

[str]

Здравствуйте. Приведите, пожалуйста, конфигурацию коммутатора, состояние IGMP-групп на нем, укажите какой из портов смотрит в сторону D-Link, а какой - является аплинковым.

[Helios]

port jumbo-frame
!
bridge multicast filtering
!
vlan database
vlan 30,998-999
exit
!
ip igmp snooping
ip igmp snooping vlan 1
ip igmp snooping vlan 30
ip igmp snooping vlan 30 static 239.100.0.1 interface gi1/0/23
ip igmp snooping vlan 30 static 239.100.0.2 interface gi1/0/23
ip igmp snooping vlan 30 static 239.100.0.3 interface gi1/0/23
ip igmp snooping vlan 30 querier
!
multicast snooping profile emr101
match ip 239.1.1.111
match ip 239.104.1.2
match ip 239.104.1.1
match ip 239.111.1.2
match ip 239.103.0.9
match ip 239.103.0.10
match ip 239.102.0.4
match ip 239.102.0.5
match ip 239.102.0.6
match ip 239.102.0.7
match ip 239.111.0.2
match ip 239.111.0.1
match ip 224.1.1.11

!
interface vlan 30
name IpTV-Multicast
bridge multicast mode ipv4-group
bridge multicast address 01:00:5e:64:00:01 add gi1/0/23
bridge multicast address 01:00:5e:64:00:02 add gi1/0/23
bridge multicast address 01:00:5e:64:00:03 add gi1/0/23
bridge multicast address 01:00:5e:64:00:04 add gi1/0/23
bridge multicast forbidden forward-all add gi1/0/23
ip igmp robustness 4
ip igmp query-interval 100
ip igmp query-max-response-time 15
exit
!


ip igmp filter
!

[Helios]

четко выраженного аплинк порта нет. В 3124F включено 4 шасси EMR 3.0 каждое из которых формирует на выход по 70-80 мультикаст потоков вида 239.100.0.1 239.101.0.1 и т.д.
также зтим же шасси требуется принимать часть потоков которые формируют другие шасси (там QAM модулятор стоит).
также планируется через 10 гигабитные порты отдавать весь сформированный мультикаст в ядро, а также принимать с другого оператора еще 700-800 мбит мультикаста ( с другой нумерацией)

sh ip igmp snooping groups

30 224.1.1.11 * gi1/0/4,gi1/0/8, v2
te1/0/1
30 239.1.1.50 * gi1/0/4,te1/0/1 v2
30 239.1.1.111 * gi1/0/4,gi1/0/8, v2
gi1/0/19,te1/0/1
30 239.1.2.102 * gi1/0/3,gi1/0/19, v2
te1/0/1
30 239.1.2.104 * gi1/0/4,te1/0/1 v2
30 239.1.2.105 * gi1/0/4,te1/0/1 v2
30 239.100.0.1 * gi1/0/23,te1/0/1 v2
30 239.100.0.2 * gi1/0/23,te1/0/1 v2
30 239.100.0.3 * gi1/0/23,te1/0/1 v2
30 239.101.1.2 * gi1/0/3,te1/0/1 v2
30 239.102.0.4 * gi1/0/4,te1/0/1 v2
30 239.102.0.5 * gi1/0/4,gi1/0/8, v2
te1/0/1
30 239.102.0.6 * gi1/0/4,te1/0/1 v2
30 239.102.0.7 * gi1/0/4,te1/0/1 v2
30 239.102.0.8 * gi1/0/4-5,te1/0/1 v2
30 239.103.0.9 * gi1/0/3-4,te1/0/1 v2
30 239.103.0.10 * gi1/0/4,te1/0/1 v2
30 239.103.1.1 * gi1/0/3,te1/0/1 v2
30 239.104.1.1 * gi1/0/2,gi1/0/4, v2
te1/0/1
30 239.104.1.2 * gi1/0/2,gi1/0/4, v2
te1/0/1
30 239.111.0.1 * gi1/0/2,gi1/0/4, v2
te1/0/1
30 239.111.0.2 * gi1/0/4,te1/0/1 v2
30 239.111.1.2 * gi1/0/4,te1/0/1 v2
30 239.194.75.4 * gi1/0/8-9 v2
8
30 239.255.255. * gi1/0/8-9 v2
250

проблема в том, что мультикаст рассылается на порты на которые он идти в принципе не должен

console#sh interfaces utilization
Port Period, s Sent, Kbit/s Recv, Kbit/s Frames sent Frames recv
--------- ------------ ---------------- ---------------- ------------- -------------
gi1/0/1 15 513139 296315 706504 407946
gi1/0/2 15 644260 366526 887012 504598
gi1/0/3 15 663874 238496 914012 328346
gi1/0/4 15 952548 204427 1311416 281444
gi1/0/5 15 682458 31025 939607 42724
gi1/0/7 15 98315 51622 135366 71072
gi1/0/8 15 778547 0 1071919 0
gi1/0/9 15 690726 0 951011 9
gi1/0/18 15 0 0 0 0
gi1/0/19 15 983159 0 1353567 4
gi1/0/20 15 0 0 0 0
gi1/0/21 15 0 0 0 0
gi1/0/22 15 0 0 0 0
gi1/0/23 15 708335 4716 972385 6496
gi1/0/24 15 6 4 104 113
te1/0/1 15 983224 0 1353663 1
te1/0/2 15 0 0 0 0

на тот же gi1/0/1 вообще нет никаких подписок а туда валится 500 мбит

Длинк уже был включен для проверки в gi/0/23 и туда реально статически отправили 30 мбит(!) - всего 5 групп мультикаста
а наливается туда 600-700

[Helios]

также не работает почему-то multicast snooping profile

!
multicast snooping profile emr101
match ip 239.1.1.111
match ip 239.104.1.2
match ip 239.104.1.1
match ip 239.111.1.2
match ip 239.103.0.9
match ip 239.103.0.10
match ip 239.102.0.4
match ip 239.102.0.5
match ip 239.102.0.6
match ip 239.102.0.7
match ip 239.111.0.2
match ip 239.111.0.1
match ip 224.1.1.11
exit
!

console#config
console(config)#interface GigabitEthernet 0/4
console(config-if)#multicast snooping profile
WORD<1-32> Specify the profile name.
тут слова add нет почему-то, как написано в базе знаний

console(config-if)#multicast snooping profile emr101
console(config-mc-profile)#exit
console(config)#exit

ну и в конфигурации ничего не поменялось
!
interface gigabitethernet 1/0/4
switchport access vlan 30
exit
!

[str]

Включите фильтрацию незарегистрированного multicast на необходимых интерфейсах:
G(config-if-range)#bridge multicast unregistered filtering

[str]

Команда multicast snooping profile - для глобального режима конфигурирования. Команды глобального режима конфигурирования доступны в неявном виде в подразделах, по подсказке они не видны, но если набрать ключевой префикс команды, которого нет в данном подразделе - он будет отображаться, для него будет работать табуляция и т.д.

Команда для добавления существующего профиля на интерфейс: G(config-if-range)#multicast snooping add . Данная команда работает для фильтрации IGMP-report'ов, и не позволяет регистрировать определенные группы.

[Helios]

bridge multicast unregistered filtering включил. нагрузка на порты упала. спасибо. не помешало бы добавить в faq )

console#sh interfaces utilization
Port Period, s Sent, Kbit/s Recv, Kbit/s Frames sent Frames recv
--------- ------------ ---------------- ---------------- ------------- -------------
gi1/0/1 2356 225161 3311 309985
gi1/0/2 112193 278517 154516 383439
gi1/0/3 65122 181232 89718 249510
gi1/0/4 356664 155342 491072 213864
gi1/0/5 2 23574 74 32466
gi1/0/6 0 0 0 0
gi1/0/7 2356 39228 3319 54009
gi1/0/8 69097 0 95218 0
gi1/0/9 2359 0 3336 6
gi1/0/19 384171 0 528967 5
gi1/0/22 0 0 0 0
gi1/0/23 14169 3584 19545 4954
gi1/0/24 1 1 30 28
te1/0/1 384193 0 528999 0

и всеравно нижестоящий длинк показывает группы которые ему в принципе не положены. 23 порт в сторону элтекса.
трафик вроде-как туда не идет лишний, но почему видны группы непонятно

VLAN Name : IpTV-mcast
Multicast group : 224.1.1.11
MAC address : 01:00:5e:01:01:0b
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.1.1.50
MAC address : 01:00:5e:01:01:32
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.1.1.111
MAC address : 01:00:5e:01:01:6f
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.1.2.102
MAC address : 01:00:5e:01:02:66
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.1.2.104
MAC address : 01:00:5e:01:02:68
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.1.2.105
MAC address : 01:00:5e:01:02:69
Source address : N/A
Port Member include : 1:23
Port Member exclude :


вот эти тут действительно должны быть
VLAN Name : IpTV-mcast
Multicast group : 239.100.0.1
MAC address : 01:00:5e:64:00:01
Source address : N/A
Port Member include : 1:(7,23)
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.100.0.2
MAC address : 01:00:5e:64:00:02
Source address : N/A
Port Member include : 1:(7,23)
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.100.0.3
MAC address : 01:00:5e:64:00:03
Source address : N/A
Port Member include : 1:(7,23)
Port Member exclude :
---------------------------------


VLAN Name : IpTV-mcast
Multicast group : 239.101.1.2
MAC address : 01:00:5e:65:01:02
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.102.0.4
MAC address : 01:00:5e:66:00:04
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.102.0.5
MAC address : 01:00:5e:66:00:05
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.102.0.6
MAC address : 01:00:5e:66:00:06
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.102.0.7
MAC address : 01:00:5e:66:00:07
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.102.0.8
MAC address : 01:00:5e:66:00:08
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.103.0.9
MAC address : 01:00:5e:67:00:09
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.103.0.10
MAC address : 01:00:5e:67:00:0a
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.103.1.1
MAC address : 01:00:5e:67:01:01
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.104.1.1
MAC address : 01:00:5e:68:01:01
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.104.1.2
MAC address : 01:00:5e:68:01:02
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.111.0.1
MAC address : 01:00:5e:6f:00:01
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.111.0.2
MAC address : 01:00:5e:6f:00:02
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.111.1.2
MAC address : 01:00:5e:6f:01:02
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.194.75.48
MAC address : 01:00:5e:42:4b:30
Source address : N/A
Port Member include : 1:23
Port Member exclude :

VLAN Name : IpTV-mcast
Multicast group : 239.255.255.250
MAC address : 01:00:5e:7f:ff:fa
Source address : N/A
Port Member include : 1:23
Port Member exclude :
Total Entries : 25

При этом на самом элексе все красиво - на 23тий порт уходит то что надо

console#sh ip igmp snooping groups


Vlan Group Source Include Ports Exclude Ports Comp.
Address Address Mode
---- ------------ ------------ -------------------- -------------------- -----
30 224.1.1.11 * gi1/0/4,gi1/0/8, v2
te1/0/1
30 239.1.1.50 * gi1/0/4,te1/0/1 v2
30 239.1.1.111 * gi1/0/4,gi1/0/8, v2
gi1/0/19,te1/0/1
30 239.1.2.102 * gi1/0/3,gi1/0/19, v2
te1/0/1
30 239.1.2.104 * gi1/0/4,te1/0/1 v2
30 239.1.2.105 * gi1/0/4,te1/0/1 v2
30 239.100.0.1 * gi1/0/23,te1/0/1 v2
30 239.100.0.2 * gi1/0/23,te1/0/1 v2
30 239.100.0.3 * gi1/0/23,te1/0/1 v2
30 239.101.1.2 * gi1/0/3,te1/0/1 v2
30 239.102.0.4 * gi1/0/4,te1/0/1 v2
30 239.102.0.5 * gi1/0/4,gi1/0/8, v2
te1/0/1
30 239.102.0.6 * gi1/0/4,te1/0/1 v2
30 239.102.0.7 * gi1/0/4,te1/0/1 v2
30 239.102.0.8 * gi1/0/4-5,te1/0/1 v2
30 239.103.0.9 * gi1/0/3-4,te1/0/1 v2
30 239.103.0.10 * gi1/0/4,te1/0/1 v2
30 239.103.1.1 * gi1/0/3,te1/0/1 v2
30 239.104.1.1 * gi1/0/2,gi1/0/4, v2
te1/0/1
30 239.104.1.2 * gi1/0/2,gi1/0/4, v2
te1/0/1
30 239.111.0.1 * gi1/0/2,gi1/0/4, v2
te1/0/1
30 239.111.0.2 * gi1/0/4,te1/0/1 v2
30 239.111.1.2 * gi1/0/4,te1/0/1 v2
30 239.194.75.4 * gi1/0/8-9 v2
8
30 239.255.255. * gi1/0/8-9 v2
250

[str]

Как я понимаю, Вы повесили на 23 порт фильтр, который запрещает просмотр нежелательных групп с этого порта? MES не может регулировать работу протокола IGMP на нижестоящем коммутаторе, он фильтрует IGMP-report'ы, приходящие с него, не давая подписываться на данные группы на собственном порту. Нижестоящий коммутатор при этом будет показывать эти IGMP-руппы в собственной таблице IGMP-snooping, но трафика по данным группам он получать не будет. Или у Вас наблюдается прохождение multacast-трафика?

[Helios]

на нижестоящем длинке нету никаких мультикаст групп и запросов на них тоже. Но длинк почему-то видит мультикаст группы MES и подписывает на них свой аплинковский порт в сторону MES-3124F. Да, действительно, трафик этих групп он не получает. Но сами группы почему-то видит, причем не все )
Сильно работе это не мешает, включение bridge multicast unregistered filtering помогло, но понять почему так - хочется

Еще вопрос - как можно зафильтровать ip igmp query запросы на портах где им быть не положено.. есть какой-либо функционал навроде ip igmp query-drop на определенном интерфейсе ge ? Нужно зафильтровать querier провайдера источника мультикаста, чтобы MES сам стал querier
при этом возможность отправить запрос на подписку на определенные группы с этого порта и получать обычные query для группы хочется оставить (чтобы порт мог подписываться на мультикаст и получать его от провайдера)

[str]

Повесить на данный порт ACL, который бы фильтровал IGMP-query:

Код: Выделить всё

ip access-list extended ttt
 deny igmp any any host-query
 permit ip any any any any
exit
!


[Helios]

Если данное правило на порт привязать - на нем отваливаются подписки на группы (на порт через минуты 2 перестает литься мультикаст вообще)

[Dr_K]

Вы можете создать другое правило:
ip access-list extended blackl
deny igmp any 233.xx.xx.xx 0.0.0.0 host-query index 10
deny igmp any 233.xx.xx.xx 0.0.0.0 host-query index 20
deny igmp any 233.xx.xx.xx 0.0.0.0 host-query index 30
permit ip any any any any index 40
exit