Sokolov blog » multicast

D-Link ACL

pavel — Fri, 19 Mar 2010 13:05:54 +0000

Копирайт данной статьи – kfx

delete access_profile profile_id 2 # критерием выборки трафика считаем dscp метку create access_profile ip dscp profile_id 2 # трафику с 25 и 26 порта с dscp 32 и 56 назначаем приоритет 4 и 7 config access_profile profile_id 2 add access_id 1 ip dscp 32 port 25-26 permit priority 4 config access_profile profile_id 2 add access_id 3 ip dscp 56 port 25-26 permit priority 7


delete access_profile profile_id 5

#  критерием выборки трафика считаем адрес получателя

create access_profile ip destination_ip_mask 255.255.255.255 profile_id 5

# поднимаем приоритет трафика адресованного серврам телефонии

config access_profile profile_id 5 add access_id 1 ip destination_ip XXX.XXX.XXX.XXX port 1-26 permit priority 7

config access_profile profile_id 5 add access_id 27 ip destination_ip ip XXX.XXX.XXX.XXX port 1-26 permit priority 7
# фильтруем трафик на основание протокола и порта получателя

delete access_profile profile_id 6

create access_profile packet_content_mask offset_16-31 0x0 0x0 0x000000ff 0x0 offset_32-47 0x0 0x0 0xffff0000 0x0 profile_id 6

# фильтруем 139 , 445 ,135 порты tcp на всех портах

config access_profile profile_id 6 add access_id 1 packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x01bd0000 0x0 port 1-26 deny

config access_profile profile_id 6 add access_id 27 packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x00870000 0x0 port 1-26 deny

config access_profile profile_id 6 add access_id 53 packet_content_mask offset_16-31 0x0 0x0 0x00000006 0x0 offset_32-47 0x0 0x0 0x008b0000 0x0 port 1-26 deny

# фильтруем 137 138 1900 UDP на всех портах

config access_profile profile_id 6 add access_id 79 packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x00890000 0x0 port 1-26 deny

config access_profile profile_id 6 add access_id 105 packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x008a0000 0x0 port 1-26 deny

config access_profile profile_id 6 add access_id 131 packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x076c0000 0x0 port 1-26 deny

# фильтруем 1234  UDP на портах 1-24

config access_profile profile_id 6 add access_id 157 packet_content_mask offset_16-31 0x0 0x0 0x00000011 0x0 offset_32-47 0x0 0x0 0x04d20000 0x0 port 1-24 deny
#занижаем приоритет трафика с 10/8 -> 10/8

# при этом хождение трафика автоматом разрешается

# по этому эти правила после всех фильтров

delete access_profile profile_id 7

create access_profile ip source_ip_mask 255.0.0.0 destination_ip_mask 255.0.0.0 profile_id 7

config access_profile profile_id 7 add access_id 1 ip destination_ip 10.0.0.0 source_ip 10.0.0.0 port 1-26 permit priority 1
# включаем igmp_snooping и фильтруем левый мультикаст трафик

# юзеры в влане "default"

enable igmp_snooping

config igmp_snooping querier default state disable

config igmp_snooping default state enable

config multicast port_filtering_mode all filter_unregistered_groups

# фильтры на мультикаст группы # диапазоны вещания и обновления прошивки create multicast_range 1 from 224.0.0.2 to 224.0.0.2 create multicast_range 2 from 225.100.0.0 to 225.100.255.255 create multicast_range 4 from 239.60.8.1 to 239.60.8.1 config limited_multicast_addr ports 1-26 add multicast_range 1 config limited_multicast_addr ports 1-26 add multicast_range 2 config limited_multicast_addr ports 1-26 add multicast_range 4 config limited_multicast_addr ports 1-26 access permit state enable

iperf: Тестирование потерь и задержек multicast

pavel — Mon, 01 Feb 2010 01:34:24 +0000

На Сервере:
iperf -u -c 225.100.180.200 -p 1234 -T 10 -b 4M -t 10000000 -i 5 -l 1316

На Клиенте:
iperf -u -s -B 225.100.180.200 -i 10 -p 1234

Настройка IGMP proxy на FreeBSD

pavel — Wed, 13 Jan 2010 19:32:19 +0000

копирайт данной статьи – Дмитрий Козьменко

Перепробовал всё, что можно, и routed и pimdd и xorp для мультикаста – ничего не работает. Кстати на xorp решил остановиться в будущем, многофункциональная программа, поможет во всем, но она, при запуске, рушила маршрутизацию quagga, поэтому запускать её на рабочей машине и эксперементировать не стал.

После запуска igmpproxy, заметил что стал идти трафик, вроде и хорошо что стал идти, а вроде и плохо что идет впустую – дальше машины на которой запущен никуда не уходит (на этот трафик никто не подписан). Ну по крайнее мере работает. Кстати работает только одна версия из трех что пробовал -http://lin.spb.ru/igmpproxy-freebsd-06122008.tar.gz (по имени, можно и в сети найти), она и компилируется на ура, и в архиве есть всё, что надо.
Пробовал на freebsd 7 stable и freebsd 7 svn.

Поток получаю через две машины, одна непосредственно воткнута точку обмена трафика (peer), другая – обслуживает наш сегмент нашей сети (router), ниже рабочие конфиги. Кстати, значения altnet, набраны избыточно, все сети, которые можно – надо будет убрать лишнее.

Заметил, что почти любая программа, и routed и xorp, когда у меня много вланов (6), почему то последний влан просто не видят, пришлось убрать из конфигов – иначе ругается.

Обязательно в ядро нужно добавить:
options MROUTING

для 7ки не нужно:
options PIM

Не забыть разрешить ipfw и pf трафик – igmp и udp на порт 1234 (у меня оба фаэрвола)

Странно, но всё заработало

Ссылки на конфиги:
http://blog.sokolov.me/wp-content/uploads/2010/01/igmpproxy.peer_.conf
http://blog.sokolov.me/wp-content/uploads/2010/01/igmpproxy.router.conf