NETGEAR is aware of a growing number of phone and online scams. To learn how to stay safe click here.
Forum Discussion
Solved
GC110 / Wie kann ich alle IGMP-Pakete an einem Port ausfilitern / blockieren ?
Hallo Leute, ich habe bei einem Bekannten einen "o2 Satellite Home" Access Point installiert, weil man dieses Gerät derzeit für einen sehr günstigen Preis kaufen kann. Obwohl der Router eine Frit...
So, hier die versprochene Rückmeldung:
Ich habe zuerst eine ACL-ID erstellt, welche ich "Block-IGMP" genannt habe.
Dann habe ich unter dieser ACL-ID bei "IP-Erweiterte Regeln" eine Filterregel mit Sequenznummer 1 erstellt, welche alle IGMP-Pakete mit der Quell-IP des o2 Accesspoint blockiert ( siehe oben); diese hat die Sequenznummer 1. Danach habe dann ich unter der gleichen ACL-ID eine zweite Filterregel mit Sequenznummer 2 erstellt, welche alle Pakete, die nicht von der ersten Regel erfasst wurden, durchlässt ( Match every = wahr ). Diese zweite Regel ist zwingend erforderlich, weil der Switch sonst alle Pakete, auf die keine der Filterregeln zutrifft, per default blockieren würde.
Anschliessend habe ich diese ACL-ID an den physischen Port gebunden, an dem der o2 AP angesteckt ist, und es funktioniert wie es soll:
Die IGMPv2 Membership querys, welche der o2 AP obskurer Weise sendet, gelangen nicht mehr in den Rest des LANs, so daß Magenta TV nicht gestört wird. Gleichzeitig funktioniert der AP völlig problemlos.
Bis dann, Picobot
Hi DamianM,
Der GC110 soll zwischen dem Hauptrouter ( FB7590 ) und den o2 AP geschaltet werden und verhindern, daß sich der o2 AP im LAN als
IGMPv2 fähiger Router "anbietet". Deshalb möchte ich jeglichen IGMP-Traffic zwischen dem o2 AP und dem Rest des LANs unterbinden. Natürlich soll der Switch in dem Raum, wo der o2 Accesspoint genutzt werden soll, auch das LAN per Kabel an verschiedene Geräte in diesem Raum verteilen.
Die Situation ist im Moment die folgende: Sobald der o2 AP eingeschaltet wird, erscheint nach einem kurzen Moment im Ereignislog der Fritz!Box die Meldung "IGMPv2 multicast router [IP-Adresse des o2 AP] active". Hierdurch wird, sofern ich die Specs zu IGMP richtig verstanden habe, das gesamte LAN, also auch die anderen Switches, welche an sich IMGPv3 snooping beherrschen, auf IGMPv2 "heruntergestuft". Sobald ich den o2 AP abschalte, erscheint auf der FB7590 nach kurzer Zeit die Meldung "IGMPv3 multicast router [IP-Adresse der Fritz!Box] active" und Magenta TV geht wieder.
Ich habe mir mal die Anleitung des GC110 angesehen und vermute, daß ich durch eine ACL Regel erreichen kann, daß der o2 AP sich nicht per als IGMP fähiger Router "anbietet". Dabei scheidet eine MAC-basierende Regel offenbar aus, da ich bei diesen Regeln nicht festlegen kann, daß nur IGMP-Pakete gefiltert werden sollen. Ich habe daher jetzt zum Test mal eine erweiterte IPv4-basierende Regel erstellt, in welcher ich jeglichen IGMP-Traffic von der IP-Adresse des o2 APs verbiete und binde diese Regel ( bisher ) nur an den physischen Port 8, an dem der O2 AP angeschlossen werden soll.
Kurze Zusammenfassung: Die Regel heißt "Block-IGMP" und sieht so aus:
Sequenznummer 1
Action verbieten
Keine Portspiegelung oder Umleitung
Match every = falsch
Protokolltyp = IGMP
Quell-IP = 192.160.0.250 ( der o2 AP ) / Maske 255.255.255.255
Ziel-IP = leer
die restlichen Einstellungen stehen auf den Default-Werten.
Diese Regel gilt für nur für den Physischen Port 8, an den der o2 angeschlossen werden soll und die Richtung steht auf "Eingehend", was ich so interpretiere, daß alle Pakete die in den Switch am Port 8 hineingehen, gemäß der Regel blockiert werden ?
Ob dies den gewünschten Erfolg haben wird kann ich noch nicht sagen, weil sich der o2 AP bei einem Bekannten befindet. Der muß jetzt erstmal den o2 AP, welcher im Moment nicht angeschlossen ist, an den Port 8 des GC110 anstecken und mit Strom versorgen. Daher kann ich erst später berichten, ob die vermutete Einstellung hilft.
So, hier die versprochene Rückmeldung:
Ich habe zuerst eine ACL-ID erstellt, welche ich "Block-IGMP" genannt habe.
Dann habe ich unter dieser ACL-ID bei "IP-Erweiterte Regeln" eine Filterregel mit Sequenznummer 1 erstellt, welche alle IGMP-Pakete mit der Quell-IP des o2 Accesspoint blockiert ( siehe oben); diese hat die Sequenznummer 1. Danach habe dann ich unter der gleichen ACL-ID eine zweite Filterregel mit Sequenznummer 2 erstellt, welche alle Pakete, die nicht von der ersten Regel erfasst wurden, durchlässt ( Match every = wahr ). Diese zweite Regel ist zwingend erforderlich, weil der Switch sonst alle Pakete, auf die keine der Filterregeln zutrifft, per default blockieren würde.
Anschliessend habe ich diese ACL-ID an den physischen Port gebunden, an dem der o2 AP angesteckt ist, und es funktioniert wie es soll:
Die IGMPv2 Membership querys, welche der o2 AP obskurer Weise sendet, gelangen nicht mehr in den Rest des LANs, so daß Magenta TV nicht gestört wird. Gleichzeitig funktioniert der AP völlig problemlos.
Bis dann, Picobot
Hallo @Picobot,
ich freue mich sehr, dass Du das Problem gelöst hast und dass das Gerät wie gewünscht funktioniert.
Ich wünsche Dir einen schönen Nachmittag!
Freundliche Grüße,
DamianM
NETGEAR Team
NETGEAR Academy
Steigern Sie Ihre Fähigkeiten mit der Netgear Academy - Lassen Sie sich schulen, zertifizieren und bleiben Sie mit der neuesten Netgear-Technologie auf dem neuesten Stand!
Machen Sie mit!
ProSupport for Business
Umfassende Supportpläne für maximale Netzwerkverfügbarkeit und geschäftliche Sicherheit