Subnets.ru

Hi All
В cisco/linksys не очень давно, поэтому не очень бейте.
Есть офисная сеть на базе свичей SRW2048 и SPS224G4. В сети стоит 5 WIFI точек. Когда комуто хочется посмотреть iptv(multicast) то wifi умирает на глухо. Было решено на портах зарезать трафик с сервера вещания по ip. Для чего были написаны ACL

Код: Выделить всё

ip access-list iptv
deny any 192.168.1.34 255.255.255.255 10.4.0.0 255.255.0.0

и добавлено правило

Код: Выделить всё

interface ethernet e24
service-acl input iptv

Получается, что при этом весь трафик на порту пропадает. Что я делаю не так?

buryanov писал(а):Есть офисная сеть на базе свичей SRW2048 и SPS224G4. В сети стоит 5 WIFI точек. Когда комуто хочется посмотреть iptv(multicast) то wifi умирает на глухо. Было решено на портах зарезать трафик с сервера вещания по ip. Для чего были написаны ACLКод: Выделить всёip access-list iptvdeny any 192.168.1.34 255.255.255.255 10.4.0.0 255.255.0.0и добавлено правило

Вы режите все из сети 10.4.0.0/16 для хоста 192.168.1.34. Другими словами вы не пускаете узел с ip 192.168.1.34 в указанную ранее сеть.
Попробуйте блокировать трафик на multicast адреса с 224.0.0.0 до 239.255.255.255.
Роутеры мультикаста, хочты мультикаста и т.п.
Должно помочь.

а почему я тогда не могу с 10.4/16 достучатся до хоста 10.4.22.5

buryanov писал(а):а почему я тогда не могу с 10.4/16 достучатся до хоста 10.4.22.5

про это ничего не было сказано.
Вообще вариантов есть несколько, но все они сводятся к одному - настройки ифейса:
1. Относится ли ифейс к вилану на котором 10.4/16.
2. Статус ифейса (enable/disable).

Вообще надо больше информации к примеру конфиг ифейса, влана, роутящго ифейса и АЦЛ на ифейсе.

buryanov писал(а):а почему я тогда не могу с 10.4/16 достучатся до хоста 10.4.22.5

Потому что ACL в циске заканчивается неявным

Код: Выделить всё

deny any any

. Т.е., в твоем случае нужно добавить еще

Код: Выделить всё

permit any any

последним правилом.

с этими свичами не работали, но:

lehisnoe писал(а):Потому что ACL в циске заканчивается неявным

+1000000000000000

buryanov писал(а):Когда комуто хочется посмотреть iptv(multicast)

если вещается мультикастом то:

IPv4 address space
Addresses in the range 224.0.0.0 to 239.255.255.255 are set aside for the special purpose of providing multicast services in the Internet.

а так же можно зарубить IGMP запросы на портах, без них мультикаст не будет работать
спросишь как ? а это надо читать мануал по свичам

root писал(а):с этими свичами не работали, но:

lehisnoe писал(а):Потому что ACL в циске заканчивается неявным

+1000000000000000

buryanov писал(а):Когда комуто хочется посмотреть iptv(multicast)

если вещается мультикастом то:

IPv4 address space
Addresses in the range 224.0.0.0 to 239.255.255.255 are set aside for the special purpose of providing multicast services in the Internet.

а так же можно зарубить IGMP запросы на портах, без них мультикаст не будет работать
спросишь как ? а это надо читать мануал по свичам

про аклы не знал, спасибо, сеть 224/4, также ,как и igmp пакеты рубить не получалось на свичах. завтра буду пробывать.

всёравно не работает

Код: Выделить всё

Home Shitch SPS224G4# sh run
port jumbo-frame
vlan database
vlan 1901
exit
interface vlan 1901
exit
interface vlan 1
ip igmp snooping querier enable
exit
interface vlan 1
ip address 10.4.250.7 255.255.0.0
exit
ip access-list iptv
deny any 192.168.1.34 255.255.255.255 10.4.0.0 255.255.0.0
deny any 10.4.250.1 255.255.255.255 10.4.30.85 255.255.255.255
permit any any any
exit
interface ethernet e24
service-acl input iptv
exit
hostname "Home Shitch SPS224G4"
snmp-server location "Kharkiv, Ukraine"


кидаю пинги с 10.4.250.1 на 10.4.30.85 - нету, с 10.4.30.128 - тоже нету

buryanov писал(а):

Код: Выделить всё

deny any 192.168.1.34 255.255.255.255 10.4.0.0 255.255.0.0

а что-то типа

Код: Выделить всё

deny ip any any

поможет?

Кстати, почему бы не и использовать Ip access-group для маршрутизирующего интефейса?
Может поможет:

Код: Выделить всё

vlan 12 by port
 tagged ethe 2/7
 router-interface ve 12
!
interface ve 11
 ip access-group 111 in
 ip address 10.1.1.1 255.255.255.0
!
access-list 111 perm udp any any eq bootps
access-list 111 perm ip 10.1.1.0 0.0.0.255 10.10.0.0 0.0.255.255
access-list 111 perm ip 10.1.1.0 0.0.0.255 host 10.1.1.1
access-list 111 deny ip any any


У меня так сделано, может поможет и вам. только свои цифры подставьте.

Андрей писал(а):Кстати, почему бы не и использовать Ip access-group для маршрутизирующего интефейса?

а этот свич может выступать в кач-ве маршрутизатора ? помоему нет.

у него нет маршрутизаци, т.к. у него маска 255.255.0.0, а значит это коммутация

buryanov писал(а):кидаю пинги с 10.4.250.1 на 10.4.30.85 - нету, с 10.4.30.128 - тоже нету

а мак 10.4.30.128 видно ?

buryanov писал(а):interface ethernet e24
service-acl input iptv

а что за этим интерфейсом находится ?
повесь аксес лист на vlan 1, т.к. на нем обрабатывается третий уровень, а порт это второй уровень

так же в циске, в аксес листах, маска указывается в wildcard`е, а не как обычно
т.е. привычная маска 255.255.0.0 в wildcard выглядит как 0.0.255.255

ct-01(config-std-nacl)#permit 10.4.0.0 ?
A.B.C.D Wildcard bits
log Log matches against this entry
<cr>