Multicast на MES3116F

[maxf9]

Здравствуйте, недавно столкнулся с проблемой настройки маршрутизации мультикастового трафика на коммутаторах агрегации MES3116F. Проблема такая: есть кольцо из 3-х коммутаторов MES3116F, к двум из них подключено по одному коммутатору MES2208P, а в них включаются компьютеры. В сети организованы 2 влана. Vlan 2 - для управления, vlan 100 - для мультикаста. Прикладываю схему.
Подскажите, пожалуйста, какими командами можно поставить маршрутизацию мультикастового трафика в кольце из MES3116F так, чтобы вещание,например с ПК 2, без проблем достигало ПК, включенные в SW5? Достаточно ли имеющихся настроек?

Для SW1

Код: Выделить всё

 
console(config)# vlan database
console(config-vlan)# vlan 2
console(config-vlan)# vlan 100
console(config-vlan)# exit
console(config)# interface vlan 2
console(config-if)# ip address 10.0.0.11 /24
console(config-if)# exit
console(config)# ip default-gateway 10.0.0.1
console(config)# interface range gi1/0/7-9
console(config-if)# switchport mode access
console(config-if)# switchport access vlan 100
console(config)# interface gi1/0/6
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan 2,100
console(config-if)# bridge multicast unregistered forwarding
console(config-if)# exit
console(config)# bridge multicast filtering
console(config)# ip igmp snooping
console(config)# ip igmp snooping vlan 100


Для SW2

Код: Выделить всё

console(config)# vlan database
console(config-vlan)# vlan 2
console(config-vlan)# vlan 100
console(config-vlan)# exit
console(config)# interface vlan 2
console(config-if)# ip address 10.0.0.2 /24
console(config-if)# exit
console(config)# ip default-gateway 10.0.0.1
console(config)# interface gi1/0/7
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan 2,100
console(config-if)# bridge multicast unregistered forwarding
console(config)# interface gi1/0/15
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan 2,100
console(config-if)# bridge multicast unregistered forwarding
console(config)# interface gi1/0/16
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan 2,100
console(config-if)# bridge multicast unregistered forwarding
console(config-if)# exit
console(config)# bridge multicast filtering
console(config)# ip igmp snooping
console(config)# ip igmp snooping vlan 100


Для SW3

Код: Выделить всё

console(config)# vlan database
console(config-vlan)# vlan 2
console(config-vlan)# vlan 100
console(config-vlan)# exit
console(config)# interface vlan 2
console(config-if)# ip address 10.0.0.3 /24
console(config-if)# exit
console(config)# ip default-gateway 10.0.0.1
console(config)# interface gi1/0/7
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan 2,100
console(config-if)# bridge multicast unregistered forwarding
console(config)# interface gi1/0/8
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan 2,100
console(config-if)# bridge multicast unregistered forwarding
console(config)# interface gi1/0/16
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan 2,100
console(config-if)# bridge multicast unregistered forwarding
console(config-if)# exit
console(config)# bridge multicast filtering
console(config)# ip igmp snooping
console(config)# ip igmp snooping vlan 100


Для SW4

Код: Выделить всё

console(config)# vlan database
console(config-vlan)# vlan 2
console(config-vlan)# vlan 100
console(config-vlan)# exit
console(config)# interface vlan 2
console(config-if)# ip address 10.0.0.4 /24
console(config-if)# exit
console(config)# ip default-gateway 10.0.0.1
console(config)# interface gi1/0/8
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan 2,100
console(config-if)# bridge multicast unregistered forwarding
console(config)# interface gi1/0/15
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan 2,100
console(config-if)# bridge multicast unregistered forwarding
console(config)# interface gi1/0/16
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan 2,100
console(config-if)# bridge multicast unregistered forwarding
console(config-if)# exit
console(config)# bridge multicast filtering
console(config)# ip igmp snooping
console(config)# ip igmp snooping vlan 100


Для SW5

Код: Выделить всё

console(config)# vlan database
console(config-vlan)# vlan 2
console(config-vlan)# vlan 100
console(config-vlan)# exit
console(config)# interface vlan 2
console(config-if)# ip address 10.0.0.12 /24
console(config-if)# exit
console(config)# ip default-gateway 10.0.0.1
console(config)# interface range gi1/0/7-9
console(config-if)# switchport mode access
console(config-if)# switchport access vlan 100
console(config)# interface gi1/0/6
console(config-if)# switchport mode trunk
console(config-if)# switchport trunk allowed vlan 2,100
console(config-if)# bridge multicast unregistered forwarding
console(config-if)# exit
console(config)# bridge multicast filtering
console(config)# ip igmp snooping
console(config)# ip igmp snooping vlan 100


[Евгений Т]

Добрый день.

Настройки верные, но не очень понятна схема.
1. Какой кольцевой протокол используется в схеме?
Какой линк при нормальной работе кольца заблокирован?
2. В чем заключается цель настройки? Вещать мультикаст с любого ПК на любой? Или со второго на остальные?
Распишите более подробно пожалуйста.
3. А с такими настройками что-то не работает? Или не пробовали пока?

[maxf9]

Здравствуйте.

1. В кольце по умолчанию используется STP, правда подробностей сказать не могу, т.к самостоятельно ничего не ставил. Поэтому планирую использовать RSTP на SW2, SW3 и SW4. В качестве root будет выступать SW2, линк между SW3 и SW4 заблокирован. К сожалению, лишь относительно недавно начал работать с коммутаторами Eltex, не совсем понял как в данном синтаксисе задать root, от которого будет строится дерево, в топологии которого линк между SW3 и SW4 заблокирован.
2. Цель следующая: вещать мультикаст с ПК2 на все остальные ПК в данной сети. Т.е. предполагается, что ПК2 это головная станция, а все остальные ПК являются клиентами. Вещание производится с помощью VLC.
3. Пока что произвел только те настройки, о которых писал в первом сообщении. Работу сети пока что не проверял.

[Евгений Т]

1.

В кольце по умолчанию используется STP

По умолчанию используется RSTP

не совсем понял как в данном синтаксисе задать root, от которого будет строится дерево

spanning-tree priority 0
2. Теперь понятно. Тогда везде в вашей конфиге поменяйте
bridge multicast unregistered forwarding
на
bridge multicast unregistered filtering
На SW1 включите квериер
ip igmp snooping vlan 100 querier
ip igmp snooping vlan 100 querier address aaa.bbb.ccc.ddd

А в остальном все хорошо.

[maxf9]

Большое спасибо за разъяснение

[maxf9]

Извиняюсь за рассеянность, не обратил внимания, в команде
ip igmp snooping vlan 100 querier address aaa.bbb.ccc.ddd
aaa.bbb.ccc.ddd - это Ip-адрес компьютера, с которого ведется вещание (ПК2)?

[Евгений Т]

Нет. Это адрес квериера. Можете любой ip адрес указать. Например 10.10.10.10

[maxf9]

Здравствуйте.

Недавно довелось собрать вышеописанную схему. Возникли проблемы с настройкой ESR-1000. В него в 22-й порт подключается SW3, а 24-й порт используется для выхода на локальную сеть с другой адресацией. Я так понимаю на 22-м порту нужно задать субинтерфейсы с адресами 172.16.1.1 (для vlan 100) и 10.0.0.1 (для vlan 2). Подскажите пожалуйста, как эти интерфейсы привязать к соответствующим vlan.

Код: Выделить всё

esr-1000(config)# interface gi1/0/24
esr-1000(config-if)# ip address 172.16.0.10/24
esr-1000(config-if)# exit
esr-1000(config)# interface gi1/0/22.2
esr-1000(config-if)# ip address 10.0.0.1/24
esr-1000(config-if)# exit
esr-1000(config)# interface gi1/0/22.100
esr-1000(config-if)# ip address 172.16.1.1/24
esr-1000(config-if)# exit 


Для доступа к Интернету еще нужно поставить SNAT. Все ПК, входящие в создаваемую сеть имеют статические адреса из диапазона 172.16.1.2 - 172.16.1.254 /24. Устройства, входящие во внешнюю сеть, имеют адреса из диапазона 172.16.0.2 - 172.16.0.200 /24. Нужно чтобы адреса из создаваемой сети транслировались в адрес 172.16.0.250 внешней сети. Будет ли работать SNAT cо следующими настройками?

Код: Выделить всё

esr-1000# configure
esr-1000(config)# security zone UNTRUST
esr-1000(config-zone)# exit
esr-1000(config)# security zone TRUST
esr-1000(config-zone)# exit
esr-1000(config)# interface gigabitethernet 1/0/24
esr-1000(config-if-gi)# security-zone UNTRUST
esr-1000(config-if-gi)# exit
esr-1000(config)# interface gigabitethernet 1/0/22.2
esr-1000(config-if-gi)# security-zone TRUST
esr-1000(config-if-gi)# exit
esr-1000(config)# interface gigabitethernet 1/0/22.100
esr-1000(config-if-gi)# security-zone TRUST
esr-1000(config-if-gi)# exit
esr-1000(config)# object-group network LOCAL_NET
esr-1000(config-object-group-network)# ip address-range 172.16.1.2-172.16.1.254
esr-1000(config-object-group-network)# exit
esr-1000(config)# object-group network PUBLIC_POOL
esr-1000(config-object-group-network)# ip address-range 172.16.0.2-172.16.0.200
esr-1000(config-object-group-network)# exit
esr-1000(config)# security zone-pair TRUST UNTRUST
esr-1000(config-zone-pair)# rule 1
esr-1000(config-zone-rule)# match source-address LOCAL_NET
esr-1000(config-zone-rule)# match destination-address any
esr-1000(config-zone-rule)# match protocol any
esr-1000(config-zone-rule)# action permit
esr-1000(config-zone-rule)# enable
esr-1000(config-zone-rule)# exit
esr-1000(config-zone-pair)# exit
esr-1000(config)# service nat source
esr-1000(config-snat)# pool TRANSLATE_ADDRESS
esr-1000(config-snat-pool)# ip address 172.16.0.250
esr-1000(config-snat-pool)# exit
esr-1000(config-snat)# ruleset SNAT
esr-1000(config-snat-ruleset)# to zone UNTRUST
esr-1000(config-snat-ruleset)# rule 1
esr-1000(config-snat-rule)# match source-address LOCAL_NET
esr-1000(config-snat-rule)# match destination-address any
esr-1000(config-snat-rule)# match destination-port any
esr-1000(config-snat-rule)# action source-nat pool TRANSLATE_ADDRESS
esr-1000(config-snat-rule)# enable
esr-1000(config-snat-rule)# exit
esr-1000(config-snat-ruleset)# exit
esr-1000(config)# interface gi 1/0/24
esr-1000(config-if-te)# ip nat proxy-arp PUBLIC_POOL
esr-1000(config)# ip route 0.0.0.0/0 172.16.0.10
esr-1000(config)# exit
esr-1000# commit
esr-1000# confirm


[leonid_zarkov]

Недавно довелось собрать вышеописанную схему. Возникли проблемы с настройкой ESR-1000. В него в 22-й порт подключается SW3, а 24-й порт используется для выхода на локальную сеть с другой адресацией. Я так понимаю на 22-м порту нужно задать субинтерфейсы с адресами 172.16.1.1 (для vlan 100) и 10.0.0.1 (для vlan 2). Подскажите пожалуйста, как эти интерфейсы привязать к соответствующим vlan.

Здравствуйте.
При создании субинтерфейса, VLAN создается и привязывается автоматически ( прямая зависимость индекс sub - VID)
После применения можно наблюдать информационные сообщения:
2000-08-25T00:46:24+00:00 %VLAN: creating VLAN 2
2000-08-25T00:46:24+00:00 %VLAN: creating VLAN 100

Для доступа к Интернету еще нужно поставить SNAT. Все ПК, входящие в создаваемую сеть имеют статические адреса из диапазона 172.16.1.2 - 172.16.1.254 /24. Устройства, входящие во внешнюю сеть, имеют адреса из диапазона 172.16.0.2 - 172.16.0.200 /24. Нужно чтобы адреса из создаваемой сети транслировались в адрес 172.16.0.250 внешней сети. Будет ли работать SNAT cо следующими настройками?

NAT работать будет, можно посмотреть соответствующей командой текущие трансляции:

Код: Выделить всё

esr-1000# sh ip nat translations
Prot   Inside source           Inside destination      Outside source          Outside destination     Pkts         Bytes       
----   ---------------------   ---------------------   ---------------------   ---------------------   ----------   ----------   
icmp   172.16.1.2              172.16.0.1              172.16.0.250            172.16.0.1              --           --   


Но при такой конфигурации трафик не пойдет.
Дополнительно необходимо открыть доступ в FIrewall для трафика из зоны UNTRUST в TRUST:

Код: Выделить всё

security zone-pair UNTRUST TRUST
  rule 1
    action permit
    match protocol any
    match source-address any
    match destination-address any
    enable
  exit
exit


Обратите внимание, что правило 1 открыло доступ для всего.
Вам необходимо открыть доступ в соответствии с требованиями к сети.

Так же у Вас неверно настроен proxy-arp, нужно сделать так:

Код: Выделить всё

object-group network PUBLIC_POOL
  ip address-range 172.16.0.2-172.16.0.9
  ip address-range 172.16.0.11-172.16.0.250
exit


172.16.0.10 нужно исключить, т.к. он уже навешен на интерфейс gi 1/0/24

Код: Выделить всё

interface gigabitethernet 1/0/24
  security-zone UNTRUST
  ip address 172.16.0.10/24
  ip nat proxy-arp PUBLIC_POOL
exit


Проксировать нужно для адресов из PUBLIC_POOL, т.к. в UNTRUST после отработки SNAT будут уже внешние IP, что наблюдается при выводе # sh ip nat translations.

[maxf9]

Столкнулся с тем, что по какой-то причине субинтерфейсы ESR, которые смотрят в сторону создаваемой сети, не пингуются с устройств этой сети (да и с внешней тоже). Единственное можно отметить, что внешний интерфейс gi 1/0/24 (172.16.0.10) отвечает на пинг с устройств внешней сети. С чем это может быть связано? Устройства сети пингуются между собой, но не пингуют ESR. Прописал следующую конфигурацию:

Код: Выделить всё

esr-1000(config)# interface gi1/0/24
esr-1000(config-if)# ip address 172.16.0.10/24
esr-1000(config-if)# exit
esr-1000(config)# interface gi1/0/22.2
esr-1000(config-if)# ip address 10.0.0.1/24
esr-1000(config-if)# exit
esr-1000(config)# interface gi1/0/22.100
esr-1000(config-if)# ip address 172.16.1.1/24
esr-1000(config-if)# exit
esr-1000# commit
esr-1000# confirm


Применение настроек прошло успешно. Vlan были созданы. При воде команды show ip interfaces выдается следующая информация. Подскажите, пожалуйста, в чем может быть подвох.
Если я правильно понял, конфигурация SNAT должна быть следующей:

Код: Выделить всё

esr-1000# configure
esr-1000(config)# security zone UNTRUST
esr-1000(config-zone)# exit
esr-1000(config)# security zone TRUST
esr-1000(config-zone)# exit
esr-1000(config)# interface gigabitethernet 1/0/24
esr-1000(config-if-gi)# security-zone UNTRUST
esr-1000(config-if-gi)# exit
esr-1000(config)# interface gigabitethernet 1/0/22.2
esr-1000(config-if-gi)# security-zone TRUST
esr-1000(config-if-gi)# exit
esr-1000(config)# interface gigabitethernet 1/0/22.100
esr-1000(config-if-gi)# security-zone TRUST
esr-1000(config-if-gi)# exit
esr-1000(config)# object-group network LOCAL_NET
esr-1000(config-object-group-network)# ip address-range 172.16.1.2-172.16.1.254
esr-1000(config-object-group-network)# exit
esr-1000(config)# object-group network PUBLIC_POOL
esr-1000(config-object-group)# ip address-range 172.16.0.2-172.16.0.9
esr-1000(config-object-group)# ip address-range 172.16.0.11-172.16.0.250
esr-1000(config-object-group-network)# exit
esr-1000(config)# security zone-pair TRUST UNTRUST
esr-1000(config-zone-pair)# rule 1
esr-1000(config-zone-rule)# match source-address LOCAL_NET
esr-1000(config-zone-rule)# match destination-address any
esr-1000(config-zone-rule)# match protocol any
esr-1000(config-zone-rule)# action permit
esr-1000(config-zone-rule)# enable
esr-1000(config-zone-rule)# exit
esr-1000(config-zone-pair)# exit
esr-1000(config)# security zone-pair UNTRUST TRUST
esr-1000(config-zone-pair) rule 1
esr-1000(config-zone-rule)#action permit
esr-1000(config-zone-rule)#match protocol any
esr-1000(config-zone-rule)#match source-address PUBLIC_POOL
esr-1000(config-zone-rule)# match destination-address any
esr-1000(config-zone-rule)#enable
esr-1000(config-zone-rule)# exit
esr-1000(config-zone-pair)# exit
esr-1000(config)# nat source
esr-1000(config-snat)# pool TRANSLATE_ADDRESS
esr-1000(config-snat-pool)# ip address 172.16.0.250
esr-1000(config-snat-pool)# exit
esr-1000(config-snat)# ruleset SNAT
esr-1000(config-snat-ruleset)# to zone UNTRUST
esr-1000(config-snat-ruleset)# rule 1
esr-1000(config-snat-rule)# match source-address LOCAL_NET
esr-1000(config-snat-rule)# match destination-address any
esr-1000(config-snat-rule)# action source-nat pool TRANSLATE_ADDRESS
esr-1000(config-snat-rule)# enable
esr-1000(config-snat-rule)# exit
esr-1000(config-snat-ruleset)# exit
esr-1000(config)# interface gi 1/0/24
esr-1000(config-if)# ip nat proxy-arp PUBLIC_POOL
esr-1000(config-if)# exit
esr-1000(config)# ip route 0.0.0.0/0 172.16.0.10
esr-1000(config)# exit
esr-1000# commit
esr-1000# confirm


[leonid_zarkov]

Разрешите прохождение icmp в зоне TRUST.

Код: Выделить всё

security zone-pair TRUST TRUST
  rule 1
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
exit


Обычно для этой зоны разрешают прохождение любого трафика ( вместо icmp выставить any )

[maxf9]

Большое спасибо, проблема решена