S5710交换机对下游组播流量限制未生效问题

发布时间:  2016-11-25 浏览次数:  134 下载次数:  0
问题描述

业务组网图:

版本信息

S5710 V200R003c00SPC300

设备型号:

S5710-52C-EI


问题现象:

某局点客户在内网使用pim sm模式部署组播网络,分发组播流量。

客户希望通过在上游的S5710交换机做acl并通过traffic-filter vlan x inbound acl 3xxx的命令使下游对应vlan的用户只可以访问相应acl里允许的组播流量。但当前下游用户仍然可以收到对应acl规则允许之外的组播流量,上游网络对下游用户的限制未能生效。

告警信息

处理过程

当前客户配置如下:

#

acl number 3153                               

 description TO_TaiYouXianWang_01                

 rule 0 permit ip destination 239.0.101.2 0      

 rule 1 permit ip destination 239.0.102.2 0      

 rule 2 permit ip destination 239.0.103.2 0      

 rule 3 permit ip destination 239.0.104.2 0      

 rule 4 permit ip destination 239.0.121.2 0      

 rule 5 permit ip destination 239.0.122.2 0      

 rule 6 permit ip destination 239.0.123.2 0      

 rule 7 permit ip destination 239.0.124.2 0      

 rule 8 permit ip destination 239.0.125.2 0      

 rule 9 permit ip destination 239.0.126.2 0      

 rule 10 permit ip destination 239.0.129.2 0     

 rule 11 permit ip destination 239.0.130.2 0     

 rule 9998 permit ospf                           

 rule 9999 permit icmp                           

 rule 10000 deny ip                              

#                                      

traffic-filter vlan 153 inbound acl 3153

#

经分析当前有多余的组播流量可以下去,是因为下挂的交换机或路由器发送的pim join协议报文来请求拉流,这个协议报文目的IP是固定的224.0.0.13,其PIM协议报文内部包含请求的多个组播组地址信息;

当前使用的traffic-filter vlan 153 inbound acl 3153可以过滤对应ACL的组播数据报文从该VLAN 153转发,但无法过滤PIM join协议报文,所以当前的配置不生效,造成下游仍然可以收到已经在acl中被限制了的组播流。

根因

当前使用的traffic-filter vlan 153 inbound acl 3153可以过滤对应ACL的组播数据报文从该VLAN 153转发,但无法过滤PIM join协议报文。

要想限制三层组播的pim join报文,需要通过join-policy来进行限制。

解决方案

通过在对应的vlanif接口下配置pim join-policy来调用acl规则对组播流量进行限制,进而从根本上解决此问题。

#

acl number 3XXX                                 

 description TO_TaiYouXianWang_01                

 rule 0 permit ip destination 239.0.101.2 0      

 rule 1 permit ip destination 239.0.102.2 0      

 rule 2 permit ip destination 239.0.103.2 0      

 rule 3 permit ip destination 239.0.104.2 0      

 rule 4 permit ip destination 239.0.121.2 0      

 rule 5 permit ip destination 239.0.122.2 0      

 rule 6 permit ip destination 239.0.123.2 0      

 rule 7 permit ip destination 239.0.124.2 0      

 rule 8 permit ip destination 239.0.125.2 0      

 rule 9 permit ip destination 239.0.126.2 0      

 rule 10 permit ip destination 239.0.129.2 0     

 rule 11 permit ip destination 239.0.130.2 0     

 rule 10000 deny ip                              

#                                        

interface Vlanif153

ip address 10.101.59.138 255.255.255.252

pim sm

pim join-policy 3XXX

#

END