Cisco SG350 - Multicast TV VLAN - EntertainTV - Draytek Vigor2860

Hallo aqui,

Vielen Dank für Deine Nachricht.

So habe ich das auch verstanden, nur die u.g. Funktion habe ich noch nirgends näher beschrieben gesehen. Diese hat übrigens auch der SG500 mit an Bord.
Ich sehe aber mein Problem. Mein Artikel war zu lang und meine Frage zu ungenau gestellt. Sorry.

Meine Frage:
Habe ich die Funktion „Multicast TV VLAN“ des Cisco SG350 richtig verstanden und richtig konfiguriert?

Mehrere Clients befinden sich dabei in unterschiedlichen VLANs , der Multicast Traffic soll dabei trotzdem nur in einem, davon unabhängigen VLAN transportiert werden. Das Routing des Multicast WAN -> ein VLAN übernimmt der vorgeschalteter Router.

Die Multicast Clients sollen sich in unterschiedlichen VLANs befinden. Mm ohne die Funktion "Multicast TV VLAN" würde der Stream auch in alle diese VLANs vom Router gestreamt. Entschuldige, dieses Detail habe ich offensichtlich „verheimlicht“.
Ich möchte den „unsicherer Multimedia Krempel" (MR400) in einem anderen VLAN haben, als weitere Multicast Clients (z.B. einer meiner Server, der auch noch andere Aufgaben erfüllt).

Nach meiner Verständnis filtert der Switch mit dieser Funktionalität die Multicast Group Joint Nachrichten, die an einem so konfigurierten Accessport eintreffen, ab und leitet diese in das so konfigurierte "Multicast TV VLAN" um.
Ein angeschlossener Router streamt damit den Multicast-Traffic direkt ins richtige "Multicast TV VLAN", da die Joint Nachricht ja aus diesem VLAN kommt und damit nur noch dorthin.
Am Accessport wird dann sowohl normaler Traffic aus den normalen VLAN, als auch der Mutlicast-Traffic aus den Multicast TV VLAN zur Verfügung gestellt, so dass der Client zwar eine IP aus einem VLAN ohne Multicast bekommt, in diesem VLAN aber kein Multicast-Traffic transportiert wird.
Kann dieses Verständnis jemand bestätigen?

Licht am Ende des Tunnels? Hoffentlich ist es kein entgegenkommender Zug...

Da müsste ich wohl auch nochmal mit nem Wireshark dran.

Entschuldige, da habe ich mich offensichtlich missverständlich ausgedrückt.

Dass der Router den IPTV Mutlicast schon direkt vom WAN ins richtige VLAN routet (bzw. die Anforderung im richtigen VLAN gestellt wird) und nicht der Switch zwischen den VLANs, darin sehe ich eigentlich erstmal keinen Nachteil. Vielleicht bin ich hier wieder falsch.
Aber ich sehe derzeit keinen Bedarf, zwischen meinen VLANs IPTV Multicast routen zu müssen. WOL und Bonjour sind eine andere Baustelle.
Klar, ich kann dann den Router nicht auf das Routen zwischen WAN und LAN beschränken, sondern muss zumindest ein VLAN für den Multicast-Verkehr und ein weiteres VLAN für den Rest vom Router verwalten lassen. Die LV3 Funktionalitäten des Switches wollte ich für das Intervlan-Routing des Nicht-Multicast-Verkehrs nutzen, um die „Perlen" nicht ganz zu verschwenden.

OT: Zugegeben, vor dem Kauf des SG350 habe ich nicht genau verstanden, was er diesbezüglich genau kann, mein Fehler. Es war anfangs schwierig ins Thema reinzukommen. Aber nun hab ich ihn erstmal da und ich versuche die Funktionen bestmöglich auszunutzen und das Beste draus zu machen. Solange ich das hinbekomme, was ich mir vorstelle und die Kompromisse für mich akzeptable sind, darf er bleiben.

Meine Frage war, warum sich die Funktionen "Querier" und "Proxy" in der Konfiguration des Switches ausschließen. Das habe ich nicht verstanden.
Derzeit ist auf dem Router ein IGMP Proxy auf dem WAN-Interface konfiguriert. Ich wollte diese Funktionalität eigentlich auf den Switch verlegen, ohne den Proxy im Router geht es aber nicht.
Ich dachte (umgangssprachlich), der Querier fragt an, wer Multicast haben möchte, der Proxy ist halt ein Proxy. Habe ich mehrere Querier im Netz verständigen diese sich untereinander, wer die Aufgabe übernimmt (im optimalen Fall, wenn die unterschiedlichen Ausprägungen der Hersteller "zusammen können").

Und hier verlässt es meinen Verständnisbereich, warum sich die beiden, meinem Verständnis nach vollkommen unterschiedlichen Funktionen auf dem Switch (Querier und Proxy) gegenseitig ausschließen sollen. Den Wireshark und Port Mirrors könnte ich natürlich auch noch einmal bemühen. Es wäre interessant, ich muss aber auch nicht alles verstehen. Ich hoffe, Du verstehst, was ich damit meine (siehe vorletzter Absatz). Daher ignoriere gerne diese Frage.

Entschuldige, ich meinte das nicht als Frage und es ist natürlich ein Typo.

Ich war dem noch nicht weiter nachgegangen, weil die Tatsache, wie mein WAN-Anschluss aussieht, meiner Meinung nach nichts mit meinem internen Aufbau zu tun hat. Trotzdem Danke für den Link, lese ich mir durch, dann muss ich zukünftig sowas nicht nochmal schreiben
Die unbewusste Botschaft zwischen den Zeile war vermutlich doch Ausdruck einer Frage

OT: Ja, das liegt an der Routerfirmware und der Support ist schon dran. Das ist aber eine andere Baustelle. Soviel ist nur sicher, dieser Router hat noch kein dauerhaftes Bleiberecht... Oder er läuft kastriert ohne WLan und für WLan gibts noch nen separaten AP. So war das allerdings ursprünglich nicht gedacht.

Eigentlich hatte ich den Artikel schon gelesen, aber beim vielen Lesen vergesse ich Dinge derzeit auch schon wieder (zuviel gleichzeitiger Input und zu steile Lernkurve).
Ich schaue da gerne nochmal rein. Danke für den Link.

Hm, mir war nicht klar, dass das an einem 26-Port Switch dieser Preisklasse mit nur 3 aktiven Ports schon passieren kann. Selbst der Router kann das. Aber wenn dem so sein soll,... ich bin überrascht. U.a knüpft es mM hieran an (oder droht hier wieder der Holzweg?):

Wenn es für Dich von Interesse ist, gehe ich dem gerne noch einmal nach und schaue mir die CPU-Auslastung in dieser Konfiguraiton an, ob es tatsächlich daran liegt.
Auf der anderen Seite bin ich mit der Antwort auch erstmal zufrieden, da ich der Meinung bin, die Aktivierung des Snooping ist eh die sinnvolle und notwendige Konfiguration.
Und ich muss nicht immer wissen, warum etwas nicht nicht funktioniert. Bitte verstehe das nicht als Desinteresse, sondern nur als Versuch, sich auf die richtigen Prioritäten zu konzentrieren. Bei der derzeit vielen offenen Baustellen bin ich, wenn es so läuft, wie ich denke, dass es laufen sollte.

OT:
Dass ein Catalyst mich vermutlich in keiner Weise eingeschränkt hätte, ist mir bewusst. Vielleicht wäre mir eine ungünstigen Konfiguration dann aber auch garnicht aufgefallen . Ich fand das für mein Netz aber auch mit "Elefanten auf Spatzen" geschossen und meiner Erwartung nach dürfte das eine ganz andere Preisklasse sein.
Irgendwie sehe ich derzeit noch nicht ein, für mein kleines Heimnetz mit ein paar Servern, dem Wunsch nach Segmentierung in VLANs und EntertainTV einen Catalyst Switch zu brauchen. Zugegeben, vielleicht ist auch der SG350 dafür nicht ganz der richtige , aber ich wollte auch ein wenig Luft nach oben. Vielleicht stellt sich diese Wahl aber auch noch als falsch heraus.

Und – ich muss erstmal kleine Brötchen Backen, bevor ich mich an einen Catalysten wagen möchte.

In jedem Fall - wenn Du bis hierher gelesen hast - danke, dass Du Dir das anschaust.

Schöne Grüße,
joshi04

Hallo Zusammen,

ich gebe hier einmal selbst ein kurzes Feedback.

Die Konfiguration des SG350 läuft nun seit einiger Zeit recht stabil in der beschriebenen Weise:
- Der Draytek-Router verwaltet 3 VLANs, davon eines für den "normalen" Internetverkehr, ein weiteres für den "Multicast"-Verkehr und ein drittes fürs Management. Statische Routen leiten den Verkehr an das entsprechende Interface am Switch weiter.
- Der SG350 hat Interfaces in diese VLANs und spannt weitere VLANs fürs lokale Netz auf. Für letztere übernimmt er ebenfalls das Routing samt DHCP, sowie übernimmt das Routing zwischen diesen VLANs und dem VLAN für den "normalen" Internetverkehr. Die Defaultroute weist auf den Router.
- An den entsprechenden Accessports des SG350 ist das "Multicast TV VLAN" konfiguriert und der Multicast-Verkehr wird nur innerhalb dieses VLANs transportiert.
Nach meinem Verständnis tut es also genau so, wie ich erhofft hatte. Damit ist meine Frage gelöst.

Eine interessante Eigenschaft hat der SG350 allerdings, die mich ziemlich viel Zeit gekostet hat:
Anders als z.B. beim SG300 scheint es beim SG350 keine systemweite Konfiguration zu geben, den Switch von Layer 2 auf Layer 3 umzuschalten.
Es gibt eine Einstell-Möglichkeit pro Port, deren genaue Funktion hat sich mir aber nicht erschlossen, bzw. war für mich sehr irreführend. Im "Layer 3"-Modus habe ich überhaupt keine Verbindung bekommen. Zwischen den Subnetz routen tut er aber auch im "Layer 2" Modus (???). Sehr fragwürdig.
Ich muss allerdings auch zugeben, dass ich den Wireshark nicht mehr bemüht habe, um dem weiter auf den Grund zu geben, ebensowenig, um die genaue Funktion des "Multicast TV VLAN"s zu ergründen. Hier galt eher das Motto, "testen" statt "glauben zu wissen", was passiert.

Ein paar Herausforderungen bestehen zwar noch, diese haben mit der ursprünglichen Frage allerdings weniger zu tun, daher werde ich den Thread trotzdem als gelöst markieren:
- Der SG350 verzögert DHCP-Antworten: Habe bereits Hinweise darauf gelesen, dass es an der Konfiguration des STP liegen könnte.
- Der Draytek Router schafft es nicht, den Multicast-Verkehr aus dem WLAN fern zu halten (völlig unabhängig von der VLAN Konfiguration). Die Einschränkung der WLan-Konfiguration, wie vereinzelt beschrieben, half bei mir leider nicht.

@ aqui,
vielen Dank noch einmal für Deinen Beitrag, nicht nur in diesem Thread!

Schöne Grüße,
joshi04

Hmm. Eigentlich wollte ich nur sagen, dass es geht und meine Frage als beantwortet markieren. Vielleicht hätte ich es dabei belassen sollen.

OT
@ aqui, viele von meinen Antworten scheinen in Deiner Antwort aus dem Zusammenhang gerissen. Ich gebe zu, die Formulierung ist teilweise irreführend. Ich werde versuchen, das nach meinen Möglichkeiten zu korrigieren. Alles Weitere lasse ich unkommentiert, da mM nicht sachdienlich.
/OT

Die Konfiguration sieht folgendermaßen aus:

• Der Draytek übernimmt das Routing zwischen WAN und 2 VLANs (VIDs 210 und 250).
• Das VLAN VID 250 ist für den Multicast Traffic vorgesehen.
• Das VLAN VID 210 ist für den restlichen Internet-Verkehr vorgesehen.
• Das administrative VLAN lasse ich außen vor, da es nicht zur Fragestellung des Routings oder der Multicastbehandlung aus den anderen VLANs beiträgt.
• Wer DHCP macht lasse ich außen vor, da es je nach VLAN mal auf dem SG350 ist, mal auf dem Draytek und nicht zur ursprünglichen Fragestellung des Mutlicast TV VLAN beiträgt. Die verzögerte Adressvergabe per DHCP ist eine andere Fragestellung, die ich nicht als Teil dieses Threads verstanden habe. Trotzdem danke für die Hinweise, denen ich separat nachgehen werde.
• Dass ein Routing zwischen VLANs vom Switch oder Router grundsätzlich Interfaces des Geräts in diese VLANs benötigt, setzte ich als bekannt voraus.
• Dass für die Routing-Aktivitäten des SG350 statische Routen auf den Draytek und die Default-Route auf dem SG350 notwendig sind, setzte ich ebenfalls als bekannt voraus.
• Der Switch übernimmt das Routing zwischen VLAN VID 210 und weiteren internen VLANs.
• Der Switch agiert bzgl. VLAN VID 250 nur als Layer 2 Switch, womit der Multicast Traffic nur vom Router zwischen WAN und VLAN VID 250 geroutet wird.

Noch ein paar weitere Dinge, die vielleicht anderen SG350 Besitzern helfen könnte:

• Auf der Web-Management-Seite gibt es unter VLAN Management -> Interface Settings für jedes Interface (Port) die Möglichkeit, einen "Switchport Mode" zu konfigurieren. Bei mir steht dieser auf „Layer 2“. Davon komplett unabhängig sind unter IP Configuration -> IPv4 Management and Interfaces -> IPv4 Interfaces entsprechende Interfaces für pro VLAN definiert, zwischen denen ich Routen möchte. Das Routing zwischen diesen Interfaces ist von der Einstellung Switchport Mode auf "Layer 2“ nicht beeinträchtigt. Was die Einstellung „Layer 3“ für "Switchport Mode“ bewirkt, außer, dass ich keine Verbindung mehr zum Netz oder DHCP-Server habe, hat sich mir bislang nicht erschlossen.
• Eine Umschaltung des „system mode“ von L2 nach L3 scheint es beim SG350 nicht mehr zu geben. Der Switch funktioniert per Default auf Layer 3, ohne dass ich weitere Konfigurationsschritte unternommen habe. Das herauszufinden hat mich ziemlich viel Zeit gekostet.

Was macht der Draytek mit seinem WLAN:

• Die WLAN Interfaces des Draytek sollen nicht brach liegen, sondern für einige der internen VLANs, für die der SG350 das Routing übernimmt, als AP dienen.
• Obwohl der Multicast-Traffic nur im VLAN ID 250 verteilt wird, strahlen die WLAN Interfaces des Draytek, diesen Traffic fröhlich über alle SSIDs aus, obwohl anderen VLANs zugeordnet.
• Das dieses eine Frage der Draytek-Firmware ist, ist mir bewusst und dem Support mittlerweile auch.

Abschließend, alles tut, was es soll und ich bin der Meinung, das maximale aus den „Perlen“ herausgeholt zu haben.

Hier geht es um den Erfahrungsaustausch zum Feature „Multicast TV VLAN" des SG350 (oder auch SG5X0). Dazu habe ich bislang im Netz nur sehr wenig gefunden und davon sind wir abgekommen.
Hat jemand dieses Feature schon eingesetzt und Erfahrungen damit gemacht?

Mein derzeitiges Design ist von diesem Thread übernommen (Konfiguration Cisco 886VA-J und SG300), dem ein weiteres VLAN (VID 250) für den Multicast hinzugefügt wurde. Der SG350 fungiert für dieses VLAN nur als Level 2 Switch. Dieses VLAN ist als zusätzliches „Multicast TV VLAN“ an den entsprechenden Accessports des SG350 konfiguriert.

Da der SG350 kein PIM beherrscht, kann das Design des genannten Threads nicht 1 zu 1 übernommen werden, sondern musste um ein VLAN erweitert werden, um Multicast an unterschiedliche Hosts in unterschiedlichen VLANs weiterzuleiten. Nach meinem Verständnis ist das die Funktion und der eigentliche Vorteil des Features „Multicast TV VLAN“, womit die Notwendigkeit für PIM entfällt.

Der SG300 ist im Default im Layer 2 Modus:
https://sbkb.cisco.com/CiscoSB/GetArticle.aspx?docid=4d28f0d529c14798a11 ...
Wenn man vom SG300 diesbezüglich auf den SG350 schließt (siehe 1. Antwort), führt einen das ziemlich in die Irre, denn der SG350 verhält sich komplett anders. Eine Konfiguration für einen „System Mode“ gibt es beim SG350 nicht.

Schöne Grüße
joshi04

Hey Christophe,

Main objective of this thread had been the exchange of experience with other users using the SG350 regarding the specific feature "Multicast TV VLAN". Therefore no problem respectively perfect.

First of all you need to understand that the SG350 is not capable to route multicast traffic between different VLANs. Meaning if you want to have the multicast traffic within one specific VLAN only and have all the other traffic within other VLANs, you'll need to ensure this routing performed outside of the SG350 to the specific VLANs. Within my application this is performed by my router.

As far as I've understood,

• For a port you want to separate the multicast traffic from the rest of the traffic, you configure a "normal" VLAN AND a "Mutlicast TV VLAN" on the SG350.
• For the uplink to the router you configure the port as trunk or general, nevertheless both VLANs as tagged on the SG350.
• The router needs to be configured accordingly with at least the 2 VLANs tagged on the downlink port.

My interpretation of the feature is that on the port you've both VLANs configured, all traffic is handled within the "normal" VLAN except the multicast group join message. This one is redirected to the multicast TV VLAN. Accordingly the message is transported to the router within the Multicast TV VLAN and the multicast traffic is requested respectively provided to the multicast TV VLAN.

My experience is, that the SG350 does not transport the multicast traffic without an interface within the specific VLAN even thoug I would have expected this as being a layer 2 function. Nevertheless my assumption is than the specific feature "Multicast TV VLAN" is performed as a layer 3 function. Very interesting and I would be interested if you'll suffer the same experience.

In my configuration the Vigor has an interface within 2 productive VLANs (VID250 for the multicast traffic, VID210 for the rest of the internet traffic) and one administrativ VLAN (VID 1, default for administrative access).
The SG350 has interfaces within 8 VLANs

• one administrative VLAN VID1: administrative
• 5 "internal" VLANs (VID10: Home_Automation, VID20: IP_Tel, VID30: normal computers, VID40: TV_Server, VID60: Guest)
• 2 "uplink VLANs (VID210: Internet, VID250: TV_Net (Multicast TV VLAN))

Routing for the normal traffic is done by the SG350 by inter-VLAN routing between the specific internal VLANs (10, 20, 30, 40 and 60) and the internet VLAN VID210. Routing for the multicast traffic is done by the Vigor directly for the VLAN VID250.

Thats it. Hoping this helps to understand the operation.

Btw which kind of router do you have? Hopefully it is multicast capable and VLAN capable and I assume your multicast IPTV receiver work properly at least connected directly to the router.

regards,
joshi04

Hey Christophe,

just a short feedback because you'll need to decide how to proceed.

Even though the Fritz!Box is capable to handle tagged packets on the WAN interface it is not capable doing that on the LAN interfaces. Internally I assume the "Guest" functionality is done by a VLAN but you cannot configure one of the ports as trunk port.

You've configured the SG350 with the VLAN 10 as tagged on the trunk port which is generally the right way but the Fritz!Box will drop these packets which is the main reason that you'll not get any connection within VLAN 10.

From my point of view you only have two solutions:

• Change the router to a VLAN capable one (my advise is to make a well investigated selection as not every router works perfectly with multicast traffic, the Vigor not also).
• Maybe with the alternative firmware Freetz you're able to configure VLANs keeping your hardware. Nevertheless for me this wouldn't be an option as I'd like avoiding the stress keeping this one updated every time there is a new Fritz!OS.

You're right, there is also something to configure for the multicast grouping, the membership and the forwarding option. Nevertheless with the above mentioned issue, my understanding is you'll need to ensure the general capabilities first which are not given with the Fritz!Box. Sorry about that.

For the question "Access Port Multicast TV VLAN" or "Customer Port Multicast TV VLAN" my understanding is that both features could be used but are completely independent not to be mixed features. Meaning if you decide to configure your port as "Access Port Multicast TV VLAN", all other configurations also need to be done in relation with this one any you can completely ignore all configurations in terms of "Customer Port Multicast TV VLAN".
Moreover the SG350 is capable to work with three different types of additional VLANs "Voice VLAN", "Access Port Multicast TV VLAN" and "Customer Port Multicast TV VLAN". But these types work independent and are not to be mixed.
In my configuration I decided to use the "Access Port Multicast TV VLAN" for the IPTV.

Best regards,
joshi04

Hello Christophe,

at least you'll need to configure your uplink to the router as access port with untagged traffic like to any other client. Traffic between the iptv receiver and the router is than handled as on layer 2 without routing on the SG350.

But you constraint made me think about my topology also. In the beginning I thought also to do so. What I mean is, even though the SG350 is not capable to route multicast, it is capable to route all the rest of the traffic between the vlans.

It is only an idea and what could be done. Nevertheless I'd like to highlight that aqui within the conversation above had not been convinced about my network design. I didn't figure out if this has been a communication issue or really technically based. Therefore you should make your own opinion about what is provided (as always within a forum ).

I do see two other alternatives with the Fritz!Box. As you've mentioned, iptv receiver and Fritz!Box need to be within the same vlan. This keeps valid for both solutions.

• Nevertheless this does not prevent you having additional vlans on the SG350 for other type of clients and combine the data traffic from these vlans with the vlan connection to the Fritz!Box. For the multicast traffic and even though it could work with the default setting you might need to configure the uplink access port to the Fritz!Box within "Multicast Router Port" as static and the "Forward all" for the iptv receiver port. My opinion is that this is nothing which will change from day to day, therefore could be configured statically.
• As a one step more advance approach, on the port to the IPTV receiver you configure the vlan containing the router as multicast TV VLAN and another vlan for the data traffic. Traffic from this data vlan is that again routed as within the example above. Anyway from my point of view the use of the feature "Multicast TV VLAN" is reasonable only for client with multicast and data traffic like e.g. a TV headend server, streaming recorded shows to other client within your network. For a single IPTV receiver there might not be the need for separation. Example, my MR400 does have a DLNA port open but does not provide any content to usual clients here. In combination with a MR200 which connects to the MR400 this might look different. I'm not sure how you're IPTV receiver looks like and which kind of iptv offer you use.

Finally maybe also important, I configured
-> Multicast -> Properties

• Bridge Multicast Filtering Status: enables
• Forwarding Method for IPv4: "IP Group Address" for each configured vlan (let you see whats going on below "IP Multicast Group Address" and "IGMP/MLD Snooping IP Multicast Group"

and activated the IGMP snooping status and IGMP Querier status.

I did not manage to configure a working IGMP proxy yet on the SG350.

I would be interested in the solution you'll decide for.
Best regards
joshi04