Защита сети от постороннего вещания IPTV (All Groups), sanmiron, 12-Фев-15, 18:47 [смотреть все]Здравствуйте! Может кто поможет, посоветует что нибудь полезное) Имеется сеть, не маленькая, топология - дерево. Головная боль, это IPTV. Проблема в том, что клиенты толи по своей воле, толи нет, бывают включают ненужное оборудование в порт телевиденья в последствии чего от него начинает идти флуд в сеть (он запрашивает All Group), забивается канал и у всех абонентов начинает сыпать тв. Вопрос заключается в том, как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по макам? Или еще что нибудь..... Краткая схемка:Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box Abonent
|
- Защита сети от постороннего вещания IPTV (All Groups), rusadmin, 11:34 , 13-Фев-15 (1)
>[оверквотинг удален] > Имеется сеть, не маленькая, топология - дерево. Головная боль, это IPTV. Проблема > в том, что клиенты толи по своей воле, толи нет, бывают > включают ненужное оборудование в порт телевиденья в последствии чего от него > начинает идти флуд в сеть (он запрашивает All Group), забивается канал > и у всех абонентов начинает сыпать тв. Вопрос заключается в том, > как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по > макам? Или еще что нибудь..... > Краткая схемка: > Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box > Abonent В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним
- Защита сети от постороннего вещания IPTV (All Groups), fantom, 12:13 , 13-Фев-15 (2)
>[оверквотинг удален] >> начинает идти флуд в сеть (он запрашивает All Group), забивается канал >> и у всех абонентов начинает сыпать тв. Вопрос заключается в том, >> как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по >> макам? Или еще что нибудь..... >> Краткая схемка: >> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box >> Abonent > В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на > портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных > адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним Если свичи управляемые - го ту зе igmp snooping....
- Защита сети от постороннего вещания IPTV (All Groups), sanmiron, 12:22 , 13-Фев-15 (3)
>[оверквотинг удален] >>> и у всех абонентов начинает сыпать тв. Вопрос заключается в том, >>> как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по >>> макам? Или еще что нибудь..... >>> Краткая схемка: >>> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box >>> Abonent >> В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на >> портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных >> адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним > Если свичи управляемые - го ту зе igmp snooping....А там что?) У нас он просто включён, да и всё, никаких замутов, разве что нужно какой то фильтр для портов седать, это имеетс яввиду?)
- Защита сети от постороннего вещания IPTV (All Groups), fantom, 12:29 , 13-Фев-15 (4)
>[оверквотинг удален] >>>> Краткая схемка: >>>> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box >>>> Abonent >>> В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на >>> портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных >>> адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним >> Если свичи управляемые - го ту зе igmp snooping.... > А там что?) У нас он просто включён, да и всё, никаких > замутов, разве что нужно какой то фильтр для портов седать, это > имеетс яввиду?) фильтры-профили... К сожалению кнопки "сделать все зашибись" стоят баснословных денег и при этом ак правило все равно неработают :) Для начала "как это работает" http://habrahabr.ru/post/217585/
- Защита сети от постороннего вещания IPTV (All Groups), rusadmin, 10:03 , 16-Фев-15 (5)
>[оверквотинг удален] >>>> адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним >>> Если свичи управляемые - го ту зе igmp snooping.... >> А там что?) У нас он просто включён, да и всё, никаких >> замутов, разве что нужно какой то фильтр для портов седать, это >> имеетс яввиду?) > фильтры-профили... > К сожалению кнопки "сделать все зашибись" стоят баснословных денег и при этом > ак правило все равно неработают :) > Для начала "как это работает" > http://habrahabr.ru/post/217585/ А вы не путаете с MVR? На практике группы-профили на IGMP Snooping использовали? Я про обычные коммутаторы, не 4 и 6 - тонники ....Позже добавил: Действительно, похоже что механизмы у снупинга есть тоже https://www.opennet.ru/openforum/vsluhforumID6/859.html
- Защита сети от постороннего вещания IPTV (All Groups), fantom, 10:22 , 16-Фев-15 (6)
>[оверквотинг удален] >> К сожалению кнопки "сделать все зашибись" стоят баснословных денег и при этом >> ак правило все равно неработают :) >> Для начала "как это работает" >> http://habrahabr.ru/post/217585/ > А вы не путаете с MVR? > На практике группы-профили на IGMP Snooping использовали? Я про обычные коммутаторы, не > 4 и 6 - тонники > ....Позже добавил: > Действительно, похоже что механизмы у снупинга есть тоже > https://www.opennet.ru/openforum/vsluhforumID6/859.html Конечно есть, даже в дешевых L2 noname китаезах (может не у всех поголовно) железяках уже лет 5 как есть по крайней мере ограничение на количество подписок на порт, например ставите максимум 3 подписки - и более 3-х каналов за раз абон не увидит...
|