VLAN mapy a multicasty

[m4ver]

Cześć,

potrzebuję pomocy w następującym temacie. Chcę zablokować multicasty na switchu dostępowym, bo ilość ruchu który dostaje CPU jest czasem tak duża, że obciążenie dobija do 80%. Jest to 4K, supII+ i moduły 4448. Normalnie zrobiłbym multicast suppression ale supII+ nie wspiera takiej funkcjonalności.

Najwięcej pakietów idzie do 224.0.0.252 (SSDP) i 239.255.255.250 (LMNRR) więc chciałem zacząć od zablokowania ruchu do nich poprzez nałożenie VLAN mapy na wybrany VLAN.

Mapa wygląda tak:

Kod: Zaznacz cały

!
vlan access-map SSDP_LMNRR_Disable 10
 action drop
 match mac address SSDP_LMNRR_Disable
vlan access-map SSDP_LMNRR_Disable 11
 action drop
 match ip address SSDP_LMNRR_Disable_by_IP
vlan access-map SSDP_LMNRR_Disable 20
 action forward
!

ACLki wyglądają tak:

Kod: Zaznacz cały

!
mac access-list extended SSDP_LMNRR_Disable
 permit any host 0100.5e7f.fffa
 permit any host 0100.5e00.00fc
!
ip access-list extended SSDP_LMNRR_Disable_by_IP
 permit ip any host 224.0.0.252
 permit ip any host 239.255.255.250
!

a nałożenie tak:

Kod: Zaznacz cały

vlan filter SSDP_LMNRR_Disable vlan-list 142

Z komend "show..." wynika, że VLAN mapa jest nałożona poprawnie i ACLka przechwytuje pakiety.

Kod: Zaznacz cały

#sh vlan filter      
VLAN Map SSDP_LMNRR_Disable is filtering VLANs:
  142

#sh vlan access-map                        
Vlan access-map "SSDP_LMNRR_Disable"  10
  Match clauses:
    mac address: SSDP_LMNRR_Disable
  Action:
    drop
Vlan access-map "SSDP_LMNRR_Disable"  11
  Match clauses:
    ip  address: SSDP_LMNRR_Disable_by_IP
  Action:
    drop
Vlan access-map "SSDP_LMNRR_Disable"  20
  Match clauses:
  Action:
    forward

#show access-lists SSDP_LMNRR_Disable_by_IP
Extended IP access list SSDP_LMNRR_Disable_by_IP
    10 permit ip any host 224.0.0.252 (6677870 matches)
    20 permit ip any host 239.255.255.250 (222088 matches)

NOTE: jest tam też nałożona MAC access-lista do blokowania maców multicastowych bo pierw próbowałem tak to zrobić ale bez efektu. Pewnie przez to, że to ruch IP i wtedy z automatu MAC access-lista nie działa.

Problem polega na tym, że jeżeli przyjrzę się pakietom, które dochodzą do CPU poprzez "debug platform packet all receive buffer" to widzę te, które próbuje zablokować czyli tak jakby VLAN mapa ich nie dropowała:

Kod: Zaznacz cały

Index 84: 
116 days 19:22:45:313884 - RxVlan: 142, RxPort: Gi2/47 
Priority: Normal, Tag: No Tag, Event: Input Acl, Flags: 0x40, Size: 73 
Eth: Src 00:25:90:CA:FC:6B Dst 01:00:5E:00:00:FC Type/Len 0x0800 
Ip: ver:IpVersion4 len:20 tos:0 totLen:55 id:17975 fragOffset:0 ttl:1 proto:udp 
    src: 192.168.12.241 dst: 224.0.0.252 firstFragment lastFragment 
Remaining data: 
 0: 0xD9 0xF7 0x14 0xEB 0x0  0x23 0x60 0xE7 0x66 0x52 
10: 0x0  0x0  0x0  0x1  0x0  0x0  0x0  0x0  0x0  0x0  
20: 0x9  0x6C 0x61 0x64 0x77 0x37 0x2D 0x31 0x39 0x30 

Czy ktoś może wie dlaczego tak się dzieje i co robię źle? może nie da się zablokować multicastów poprzez VLAN mapy?

Dzięki wielkie za pomoc i wszystkiego dobrego w Nowym Roku!

[martino76]

A nie probowales uzyc

Kod: Zaznacz cały

storm-control multicast level 0 

lub

Kod: Zaznacz cały

switchport block multicast

Pozdro,

[m4ver]

No właśnie "storm-control multicast level" nie jest wspierana na supII+ (dopiero od supV) niestety.

Co do tej drugiej komendy to z tego co wyczytałem to blokuje ona wysyłanie ruchu multicastowego z portu (w kierunku do hosta) a mi chodzi żeby dropować ten ruch na wejściu (przychodzący do portu). Rozważałem wrzucenie tej komendy na wszystkie porty ale to trochę ekstremalne rozwiązanie bo zablokuje całkowicie multicast na całym switchu dla wszystkich vlanów a czasem się przydaje

[martino76]

No właśnie "storm-control multicast level" nie jest wspierana na supII+ (dopiero od supV) niestety.

Co do tej drugiej komendy to z tego co wyczytałem to blokuje ona wysyłanie ruchu multicastowego z portu (w kierunku do hosta) a mi chodzi żeby dropować ten ruch na wejściu (przychodzący do portu). Rozważałem wrzucenie tej komendy na wszystkie porty ale to trochę ekstremalne rozwiązanie bo zablokuje całkowicie multicast na całym switchu dla wszystkich vlanów a czasem się przydaje

Dobrym rozwiazaniem bylby storm-control ale skoro nie jest wspierany to troche slabo bo takie rozwiazanie daj kontrole jaka ilosc danego trafiku mozna puscic.


Ale patrzac na output ponizej

Kod: Zaznacz cały

Index 36:
116 days 19:22:44:387666 - RxVlan: 142, RxPort: Gi2/47
Priority: High, Tag: No Tag, Event: Input Acl, Flags: 0x40, Size: 64
Eth: Src 00:00:5E:00:01:50 Dst 01:00:5E:00:00:12 Type/Len 0x0800
Ip: ver:IpVersion4 len:20 tos:192 totLen:40 id:26491 fragOffset:0 ttl:255 proto:112
    src: 192.168.14.241 dst: 224.0.0.18 firstFragment lastFragment
Remaining data:
 0: 0x21 0x50 0x64 0x1  0x0  0x1  0x5B 0xF5 0x8F 0xB9
10: 0x8E 0xFE 0x0  0x0  0x0  0x0  0x0  0x0  0x0  0x0 
20: 0x0  0x0  0x0  0x0  0x0  0x0  0x1E 0x81 0x68 0xA1 

multicas trafic przychodzi do 224.0.0.18 a ty go nie blokujesz a to jest VRRP wiec chyba jednak tamten trafic co chciales jest blokowany.


Pozdro,

[m4ver]

przepraszam, źle mi się skopiowało. Oto poprawna ramka:

Kod: Zaznacz cały

Index 84:
116 days 19:22:45:313884 - RxVlan: 142, RxPort: Gi2/47
Priority: Normal, Tag: No Tag, Event: Input Acl, Flags: 0x40, Size: 73
Eth: Src 00:25:90:CA:FC:6B Dst 01:00:5E:00:00:FC Type/Len 0x0800
Ip: ver:IpVersion4 len:20 tos:0 totLen:55 id:17975 fragOffset:0 ttl:1 proto:udp
    src: 192.168.12.241 dst: 224.0.0.252 firstFragment lastFragment
Remaining data: 
 0: 0xD9 0xF7 0x14 0xEB 0x0  0x23 0x60 0xE7 0x66 0x52 
10: 0x0  0x0  0x0  0x1  0x0  0x0  0x0  0x0  0x0  0x0  
20: 0x9  0x6C 0x61 0x64 0x77 0x37 0x2D 0x31 0x39 0x30