URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5306
[ Назад ]
Исходное сообщение
"Защита сети от постороннего вещания IPTV (All Groups)"
Отправлено sanmiron , 12-Фев-15 18:47 
Здравствуйте!
Может кто поможет, посоветует что нибудь полезное)
Имеется сеть, не маленькая, топология - дерево. Головная боль, это IPTV. Проблема в том, что клиенты толи по своей воле, толи нет, бывают включают ненужное оборудование в порт телевиденья в последствии чего от него начинает идти флуд в сеть (он запрашивает All Group), забивается канал и у всех абонентов начинает сыпать тв. Вопрос заключается в том, как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по макам? Или еще что нибудь.....
Краткая схемка:

Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box Abonent

Содержание
Сообщения в этом обсуждении
"Защита сети от постороннего вещания IPTV (All Groups)"
Отправлено rusadmin , 13-Фев-15 11:34 
>[оверквотинг удален]
> Имеется сеть, не маленькая, топология - дерево. Головная боль, это IPTV. Проблема
> в том, что клиенты толи по своей воле, толи нет, бывают
> включают ненужное оборудование в порт телевиденья в последствии чего от него
> начинает идти флуд в сеть (он запрашивает All Group), забивается канал
> и у всех абонентов начинает сыпать тв. Вопрос заключается в том,
> как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по
> макам? Или еще что нибудь.....
> Краткая схемка:
> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box
> Abonent

В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним

"Защита сети от постороннего вещания IPTV (All Groups)"
Отправлено fantom , 13-Фев-15 12:13 
>[оверквотинг удален]
>> начинает идти флуд в сеть (он запрашивает All Group), забивается канал
>> и у всех абонентов начинает сыпать тв. Вопрос заключается в том,
>> как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по
>> макам? Или еще что нибудь.....
>> Краткая схемка:
>> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box
>> Abonent
> В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на
> портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных
> адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним

Если свичи управляемые  - го ту зе igmp snooping....

"Защита сети от постороннего вещания IPTV (All Groups)"
Отправлено sanmiron , 13-Фев-15 12:22 
>[оверквотинг удален]
>>> и у всех абонентов начинает сыпать тв. Вопрос заключается в том,
>>> как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по
>>> макам? Или еще что нибудь.....
>>> Краткая схемка:
>>> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box
>>> Abonent
>> В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на
>> портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных
>> адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним
> Если свичи управляемые  - го ту зе igmp snooping....

А там что?) У нас он просто включён, да и всё, никаких замутов, разве что нужно какой то фильтр для портов седать, это имеетс яввиду?)

"Защита сети от постороннего вещания IPTV (All Groups)"
Отправлено fantom , 13-Фев-15 12:29 
>[оверквотинг удален]
>>>> Краткая схемка:
>>>> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box
>>>> Abonent
>>> В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на
>>> портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных
>>> адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним
>> Если свичи управляемые  - го ту зе igmp snooping....
> А там что?) У нас он просто включён, да и всё, никаких
> замутов, разве что нужно какой то фильтр для портов седать, это
> имеетс яввиду?)

фильтры-профили...
К сожалению кнопки "сделать все зашибись" стоят баснословных денег и при этом ак правило все равно неработают :)

Для начала "как это работает"
http://habrahabr.ru/post/217585/

"Защита сети от постороннего вещания IPTV (All Groups)"
Отправлено rusadmin , 16-Фев-15 10:03 
>[оверквотинг удален]
>>>> адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним
>>> Если свичи управляемые  - го ту зе igmp snooping....
>> А там что?) У нас он просто включён, да и всё, никаких
>> замутов, разве что нужно какой то фильтр для портов седать, это
>> имеетс яввиду?)
> фильтры-профили...
> К сожалению кнопки "сделать все зашибись" стоят баснословных денег и при этом
> ак правило все равно неработают :)
> Для начала "как это работает"
> http://habrahabr.ru/post/217585/

А вы не путаете с MVR?
На практике группы-профили на IGMP Snooping использовали? Я про обычные коммутаторы, не 4 и 6 - тонники

....Позже добавил:
Действительно, похоже что механизмы у снупинга есть тоже
http://www.opennet.me/openforum/vsluhforumID6/859.html

"Защита сети от постороннего вещания IPTV (All Groups)"
Отправлено fantom , 16-Фев-15 10:22 
>[оверквотинг удален]
>> К сожалению кнопки "сделать все зашибись" стоят баснословных денег и при этом
>> ак правило все равно неработают :)
>> Для начала "как это работает"
>> http://habrahabr.ru/post/217585/
> А вы не путаете с MVR?
> На практике группы-профили на IGMP Snooping использовали? Я про обычные коммутаторы, не
> 4 и 6 - тонники
> ....Позже добавил:
> Действительно, похоже что механизмы у снупинга есть тоже
> http://www.opennet.me/openforum/vsluhforumID6/859.html

Конечно есть, даже в дешевых L2 noname китаезах (может не у всех поголовно) железяках уже лет 5 как есть по крайней мере ограничение на количество подписок на порт, например ставите максимум 3 подписки - и более 3-х каналов за раз абон не увидит...