Особенности реализации ACL для IGMP на коммутаторах QSW-4610/3750/2850
На коммутаторах серий QSW-4610/3470/2850, если появляется задача отфильтровать конкретные типы запросов IGMP, можно столкнутся с различной реализацией реакции на задание параметра IGMP type
Данные реализации зависят от версии ПО
Это связано с различием в версией модуля.
В обоих случаях данный параметр смотрит на поле IGMP Type в пакете IGMP
Но особенность реализации старого модуля состоит в том, что из двух байт IGMP Type которые используются в поле IGMP Type, ACL смотрит исключительно последний.
Так как Whireshark по умолчанию отображает все hex формате то для получения десятичного, данные hex необходимо перевести в десятичный вид. Именно в десятичном виде и производится ввод в строке ACL.
Наиболее частым использованием ACL для IGMP является необходимость заблокировать в сети взаимодействие по IGMPv1 и IGMPv3 оставив только взаимодействие в IGMPv2
Для этого необходимо прервать IGMP Membership Report версий 1 и 3 и разрешить прохождение версии 2
Для этого рассмотрим все варианты Join IGMP для различных версий IGMP
Join IGMPv1 = 0x12 = 18
Join IGMPv2 = 0x16 = 22
Join IGMPv3 = 0x22 = 34
Исходя из представленной информации давайте создадим необходимый ACL
Данные реализации зависят от версии ПО
Это связано с различием в версией модуля.
В старой версии данный параметр задается от 0 до 15 QSW-4610-28F(config)#access-list 201 deny igmp any-source any-destination ? <0-15> IGMP type <0-15>и
В новой версии данный параметр задается от 0 до 255 QSW-4610-28T-AC(config)#access-list 201 deny igmp any-source any-destination ? <0-255> IGMP type <0-255>
В обоих случаях данный параметр смотрит на поле IGMP Type в пакете IGMP
Но особенность реализации старого модуля состоит в том, что из двух байт IGMP Type которые используются в поле IGMP Type, ACL смотрит исключительно последний.
Так как Whireshark по умолчанию отображает все hex формате то для получения десятичного, данные hex необходимо перевести в десятичный вид. Именно в десятичном виде и производится ввод в строке ACL.
Наиболее частым использованием ACL для IGMP является необходимость заблокировать в сети взаимодействие по IGMPv1 и IGMPv3 оставив только взаимодействие в IGMPv2
Для этого необходимо прервать IGMP Membership Report версий 1 и 3 и разрешить прохождение версии 2
Для этого рассмотрим все варианты Join IGMP для различных версий IGMP
Join IGMPv1 = 0x12 = 18
Join IGMPv2 = 0x16 = 22
Join IGMPv3 = 0x22 = 34
Исходя из представленной информации давайте создадим необходимый ACL
Для старой версии модуля access-list 201 deny igmp any-source any-destination 2 access-list 201 permit ip any-source any-destination
И для новой версии модуля access-list 201 deny igmp any-source any-destination 18 access-list 201 deny igmp any-source any-destination 34 access-list 201 permit ip any-source any-destination
Смотрите так же
Для данной линейки коммутаторов, если у вас появилась необходимость организовать динамически назначаемый Voice Vlan, вам необходимо
Разрешить получение LLDP информации.
Создать Voice vlan
перевести порт в режим работы Trunk
Проверить что на порту разрешено LLDP
Указать Voice Vlan на пор...
Vlan-translation
VLAN-translation - это функция, которая позволяет преобразовать тэг VLAN пакета в новый в соответствии с требованиями. Это позволяет обмениваться данными в разных VLAN.
VLAN-translation может быть использован на обоих направлениях трафика.
Ниж...
Виртуальное тестирование кабеля(VCT) на коммутаторах QSW-2850/3470/4610
Virtual Cable Tester. Функция коммутатора, благодаря которой можно провести виртуальный тест медного кабеля.
Для ввода команды, переходим в привилегированный режим. (enable ) Далее вводим команду:
...
К списку
