 Защита сети от постороннего вещания IPTV (All Groups),  sanmiron, 12-Фев-15, 18:47 [смотреть все]Здравствуйте!
Может кто поможет, посоветует что нибудь полезное)
Имеется сеть, не маленькая, топология - дерево. Головная боль, это IPTV. Проблема в том, что клиенты толи по своей воле, толи нет, бывают включают ненужное оборудование в порт телевиденья в последствии чего от него начинает идти флуд в сеть (он запрашивает All Group), забивается канал и у всех абонентов начинает сыпать тв. Вопрос заключается в том, как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по макам? Или еще что нибудь.....
Краткая схемка:Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box Abonent
|
- Защита сети от постороннего вещания IPTV (All Groups), rusadmin, 11:34 , 13-Фев-15 (1)
>[оверквотинг удален]
> Имеется сеть, не маленькая, топология - дерево. Головная боль, это IPTV. Проблема
> в том, что клиенты толи по своей воле, толи нет, бывают
> включают ненужное оборудование в порт телевиденья в последствии чего от него
> начинает идти флуд в сеть (он запрашивает All Group), забивается канал
> и у всех абонентов начинает сыпать тв. Вопрос заключается в том,
> как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по
> макам? Или еще что нибудь.....
> Краткая схемка:
> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box
> Abonent В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним
- Защита сети от постороннего вещания IPTV (All Groups), fantom, 12:13 , 13-Фев-15 (2)
>[оверквотинг удален]
>> начинает идти флуд в сеть (он запрашивает All Group), забивается канал
>> и у всех абонентов начинает сыпать тв. Вопрос заключается в том,
>> как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по
>> макам? Или еще что нибудь.....
>> Краткая схемка:
>> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box
>> Abonent
> В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на
> портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных
> адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним Если свичи управляемые - го ту зе igmp snooping....
- Защита сети от постороннего вещания IPTV (All Groups), sanmiron, 12:22 , 13-Фев-15 (3)
>[оверквотинг удален]
>>> и у всех абонентов начинает сыпать тв. Вопрос заключается в том,
>>> как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по
>>> макам? Или еще что нибудь.....
>>> Краткая схемка:
>>> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box
>>> Abonent
>> В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на
>> портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных
>> адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним
> Если свичи управляемые - го ту зе igmp snooping....А там что?) У нас он просто включён, да и всё, никаких замутов, разве что нужно какой то фильтр для портов седать, это имеетс яввиду?)
- Защита сети от постороннего вещания IPTV (All Groups), fantom, 12:29 , 13-Фев-15 (4)
>[оверквотинг удален]
>>>> Краткая схемка:
>>>> Стримеры--->Cisco Multicast--->Switch1 L2--->Switch2 L2--->Switch3 L2--->IPTV Box
>>>> Abonent
>>> В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на
>>> портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных
>>> адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним
>> Если свичи управляемые - го ту зе igmp snooping....
> А там что?) У нас он просто включён, да и всё, никаких
> замутов, разве что нужно какой то фильтр для портов седать, это
> имеетс яввиду?) фильтры-профили...
К сожалению кнопки "сделать все зашибись" стоят баснословных денег и при этом ак правило все равно неработают :) Для начала "как это работает"
http://habrahabr.ru/post/217585/
- Защита сети от постороннего вещания IPTV (All Groups), rusadmin, 10:03 , 16-Фев-15 (5)
>[оверквотинг удален]
>>>> адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним
>>> Если свичи управляемые - го ту зе igmp snooping....
>> А там что?) У нас он просто включён, да и всё, никаких
>> замутов, разве что нужно какой то фильтр для портов седать, это
>> имеетс яввиду?)
> фильтры-профили...
> К сожалению кнопки "сделать все зашибись" стоят баснословных денег и при этом
> ак правило все равно неработают :)
> Для начала "как это работает"
> http://habrahabr.ru/post/217585/ А вы не путаете с MVR?
На практике группы-профили на IGMP Snooping использовали? Я про обычные коммутаторы, не 4 и 6 - тонники ....Позже добавил:
Действительно, похоже что механизмы у снупинга есть тоже
https://www.opennet.ru/openforum/vsluhforumID6/859.html
- Защита сети от постороннего вещания IPTV (All Groups), fantom, 10:22 , 16-Фев-15 (6)
>[оверквотинг удален]
>> К сожалению кнопки "сделать все зашибись" стоят баснословных денег и при этом
>> ак правило все равно неработают :)
>> Для начала "как это работает"
>> http://habrahabr.ru/post/217585/
> А вы не путаете с MVR?
> На практике группы-профили на IGMP Snooping использовали? Я про обычные коммутаторы, не
> 4 и 6 - тонники
> ....Позже добавил:
> Действительно, похоже что механизмы у снупинга есть тоже
> https://www.opennet.ru/openforum/vsluhforumID6/859.html Конечно есть, даже в дешевых L2 noname китаезах (может не у всех поголовно) железяках уже лет 5 как есть по крайней мере ограничение на количество подписок на порт, например ставите максимум 3 подписки - и более 3-х каналов за раз абон не увидит...
|
Версия для распечатки
