OpenForum RSS: Защита сети от постороннего вещания IPTV (All Groups) https://www.opennet.ru/openforum/vsluhforumID10/5306.html Здравствуйте!<br>Может кто поможет, посоветует что нибудь полезное)<br>Имеется сеть, не маленькая, топология - дерево. Головная боль, это IPTV. Проблема в том, что клиенты толи по своей воле, толи нет, бывают включают ненужное оборудование в порт телевиденья в последствии чего от него начинает идти флуд в сеть (он запрашивает All Group), забивается канал и у всех абонентов начинает сыпать тв. Вопрос заключается в том, как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по макам? Или еще что нибудь.....<br>Краткая схемка:<br><br>Стримеры---&gt;Cisco Multicast---&gt;Switch1 L2---&gt;Switch2 L2---&gt;Switch3 L2---&gt;IPTV Box Abonent<br> Защита сети от постороннего вещания IPTV (All Groups) (fantom) https://www.opennet.ru/openforum/vsluhforumID10/5306.html#6 Mon, 16 Feb 2015 07:22:34 GMT &gt;[оверквотинг удален]<br>&gt;&gt; К сожалению кнопки "сделать все зашибись" стоят баснословных денег и при этом <br>&gt;&gt; ак правило все равно неработают :) <br>&gt;&gt; Для начала "как это работает" <br>&gt;&gt; http://habrahabr.ru/post/217585/ <br>&gt; А вы не путаете с MVR?<br>&gt; На практике группы-профили на IGMP Snooping использовали? Я про обычные коммутаторы, не <br>&gt; 4 и 6 - тонники <br>&gt; ....Позже добавил: <br>&gt; Действительно, похоже что механизмы у снупинга есть тоже <br>&gt; http://www.opennet.ru/openforum/vsluhforumID6/859.html <br><br>Конечно есть, даже в дешевых L2 noname китаезах (может не у всех поголовно) железяках уже лет 5 как есть по крайней мере ограничение на количество подписок на порт, например ставите максимум 3 подписки - и более 3-х каналов за раз абон не увидит...<br> Защита сети от постороннего вещания IPTV (All Groups) (rusadmin) https://www.opennet.ru/openforum/vsluhforumID10/5306.html#5 Mon, 16 Feb 2015 07:03:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним <br>&gt;&gt;&gt; Если свичи управляемые - го ту зе igmp snooping....<br>&gt;&gt; А там что?) У нас он просто включён, да и всё, никаких <br>&gt;&gt; замутов, разве что нужно какой то фильтр для портов седать, это <br>&gt;&gt; имеетс яввиду?) <br>&gt; фильтры-профили...<br>&gt; К сожалению кнопки "сделать все зашибись" стоят баснословных денег и при этом <br>&gt; ак правило все равно неработают :) <br>&gt; Для начала "как это работает" <br>&gt; http://habrahabr.ru/post/217585/ <br><br>А вы не путаете с MVR?<br>На практике группы-профили на IGMP Snooping использовали? Я про обычные коммутаторы, не 4 и 6 - тонники<br><br>....Позже добавил:<br>Действительно, похоже что механизмы у снупинга есть тоже<br>http://www.opennet.ru/openforum/vsluhforumID6/859.html<br> Защита сети от постороннего вещания IPTV (All Groups) (fantom) https://www.opennet.ru/openforum/vsluhforumID10/5306.html#4 Fri, 13 Feb 2015 09:29:06 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; Краткая схемка: <br>&gt;&gt;&gt;&gt; Стримеры---&gt;Cisco Multicast---&gt;Switch1 L2---&gt;Switch2 L2---&gt;Switch3 L2---&gt;IPTV Box <br>&gt;&gt;&gt;&gt; Abonent <br>&gt;&gt;&gt; В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на <br>&gt;&gt;&gt; портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных <br>&gt;&gt;&gt; адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним <br>&gt;&gt; Если свичи управляемые - го ту зе igmp snooping....<br>&gt; А там что?) У нас он просто включён, да и всё, никаких <br>&gt; замутов, разве что нужно какой то фильтр для портов седать, это <br>&gt; имеетс яввиду?) <br><br>фильтры-профили... <br>К сожалению кнопки "сделать все зашибись" стоят баснословных денег и при этом ак правило все равно неработают :) <br><br>Для начала "как это работает" <br>http://habrahabr.ru/post/217585/<br> Защита сети от постороннего вещания IPTV (All Groups) (sanmiron) https://www.opennet.ru/openforum/vsluhforumID10/5306.html#3 Fri, 13 Feb 2015 09:22:21 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; и у всех абонентов начинает сыпать тв. Вопрос заключается в том, <br>&gt;&gt;&gt; как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по <br>&gt;&gt;&gt; макам? Или еще что нибудь.....<br>&gt;&gt;&gt; Краткая схемка: <br>&gt;&gt;&gt; Стримеры---&gt;Cisco Multicast---&gt;Switch1 L2---&gt;Switch2 L2---&gt;Switch3 L2---&gt;IPTV Box <br>&gt;&gt;&gt; Abonent <br>&gt;&gt; В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на <br>&gt;&gt; портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных <br>&gt;&gt; адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним <br>&gt; Если свичи управляемые - го ту зе igmp snooping....<br><br>А там что?) У нас он просто включён, да и всё, никаких замутов, разве что нужно какой то фильтр для портов седать, это имеетс яввиду?)<br> Защита сети от постороннего вещания IPTV (All Groups) (fantom) https://www.opennet.ru/openforum/vsluhforumID10/5306.html#2 Fri, 13 Feb 2015 09:13:54 GMT &gt;[оверквотинг удален]<br>&gt;&gt; начинает идти флуд в сеть (он запрашивает All Group), забивается канал <br>&gt;&gt; и у всех абонентов начинает сыпать тв. Вопрос заключается в том, <br>&gt;&gt; как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по <br>&gt;&gt; макам? Или еще что нибудь.....<br>&gt;&gt; Краткая схемка: <br>&gt;&gt; Стримеры---&gt;Cisco Multicast---&gt;Switch1 L2---&gt;Switch2 L2---&gt;Switch3 L2---&gt;IPTV Box <br>&gt;&gt; Abonent <br>&gt; В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на <br>&gt; портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных <br>&gt; адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним <br><br>Если свичи управляемые - го ту зе igmp snooping....<br> Защита сети от постороннего вещания IPTV (All Groups) (rusadmin) https://www.opennet.ru/openforum/vsluhforumID10/5306.html#1 Fri, 13 Feb 2015 08:34:55 GMT &gt;[оверквотинг удален]<br>&gt; Имеется сеть, не маленькая, топология - дерево. Головная боль, это IPTV. Проблема <br>&gt; в том, что клиенты толи по своей воле, толи нет, бывают <br>&gt; включают ненужное оборудование в порт телевиденья в последствии чего от него <br>&gt; начинает идти флуд в сеть (он запрашивает All Group), забивается канал <br>&gt; и у всех абонентов начинает сыпать тв. Вопрос заключается в том, <br>&gt; как обезопасить уже сформированую сеть от этого...?) Вариант с 802.1х по <br>&gt; макам? Или еще что нибудь.....<br>&gt; Краткая схемка: <br>&gt; Стримеры---&gt;Cisco Multicast---&gt;Switch1 L2---&gt;Switch2 L2---&gt;Switch3 L2---&gt;IPTV Box <br>&gt; Abonent <br><br>В пределах одного VLAN сомневаюсь, что есть возможность запрета. Может быть на портах абонента повесить фильтр, на котором разрешено принимать мултикаст только определенных адресов? Сами адреса можно привести к MAC-ам и фильтрануть по ним<br>