i目录1IGMPSnooping配置.
1-11.
1IGMPSnooping简介1-11.
1.
1IGMPSnooping原理.
1-11.
1.
2IGMPSnooping基本概念.
1-11.
1.
3IGMPSnooping工作机制.
1-31.
1.
4IGMPSnoopingProxying.
1-41.
1.
5协议规范1-51.
2IGMPSnooping配置任务简介.
1-61.
3配置IGMPSnooping基本功能.
1-71.
3.
1配置准备1-71.
3.
2使能IGMPSnooping.
1-71.
3.
3配置IGMPSnooping版本.
1-81.
3.
4配置静态组播MAC地址表项1-91.
4配置IGMPSnooping端口功能.
1-101.
4.
1配置准备1-101.
4.
2配置动态端口老化定时器.
1-101.
4.
3配置静态端口.
1-111.
4.
4配置模拟主机加入.
1-121.
4.
5配置端口快速离开.
1-121.
4.
6禁止端口成为动态路由器端口.
1-131.
5配置IGMPSnooping查询器.
1-141.
5.
1配置准备1-141.
5.
2使能IGMPSnooping查询器.
1-141.
5.
3配置IGMP查询和响应1-151.
5.
4配置IGMP查询报文源IP地址1-161.
6配置IGMPSnoopingProxying1-171.
6.
1配置准备1-171.
6.
2使能IGMPSnoopingProxying.
1-171.
6.
3配置代理发送IGMP报文的源IP地址.
1-171.
7配置IGMPSnooping策略1-171.
7.
1配置准备1-171.
7.
2配置组播组过滤器.
1-181.
7.
3配置组播数据报文源端口过滤.
1-181.
7.
4配置丢弃未知组播数据报文1-19ii1.
7.
5配置IGMP成员关系报告报文抑制.
1-201.
7.
6配置端口加入的组播组最大数量.
1-201.
7.
7配置组播组替换1-211.
7.
8配置IGMP报文的802.
1p优先级1-221.
7.
9配置组播用户控制策略1-221.
8IGMPSnooping显示和维护.
1-231.
9IGMPSnooping典型配置举例.
1-241.
9.
1组策略及模拟主机加入配置举例.
1-241.
9.
2静态端口配置举例.
1-261.
9.
3IGMPSnooping查询器配置举例.
1-291.
9.
4IGMPSnoopingProxying配置举例.
1-311.
9.
5组播源与组播用户控制策略配置举例.
1-341.
10常见配置错误举例1-381.
10.
1交换机不能实现二层组播.
1-381.
10.
2配置的组播组策略不生效.
1-391.
11附录.
1-391.
11.
1交换机对组播协议报文的特殊处理规则1-391-11IGMPSnooping配置1.
1IGMPSnooping简介IGMPSnooping是InternetGroupManagementProtocolSnooping(互联网组管理协议窥探)的简称,它是运行在二层设备上的组播约束机制,用于管理和控制组播组.
1.
1.
1IGMPSnooping原理运行IGMPSnooping的二层设备通过对收到的IGMP报文进行分析,为端口和MAC组播地址建立起映射关系,并根据这样的映射关系转发组播数据.
如图1-1所示,当二层设备没有运行IGMPSnooping时,组播数据在二层被广播;当二层设备运行了IGMPSnooping后,已知组播组的组播数据不会在二层被广播,而在二层被组播给指定的接收者.
图1-1二层设备运行IGMPSnooping前后的对比MulticastpackettransmissionwithoutIGMPSnoopingSourceMulticastrouterHostAReceiverHostBHostCReceiverMulticastpacketsLayer2switchMulticastpackettransmissionwhenIGMPSnoopingrunsSourceMulticastrouterHostAReceiverHostBHostCReceiverLayer2switchIGMPSnooping通过二层组播将信息只转发给有需要的接收者,可以带来以下好处:z减少了二层网络中的广播报文,节约了网络带宽;z增强了组播信息的安全性;z为实现对每台主机的单独计费带来了方便.
1.
1.
2IGMPSnooping基本概念1.
IGMPSnooping相关端口如图1-2所示,RouterA连接组播源,在SwitchA和SwitchB上分别运行IGMPSnooping,HostA和HostC为接收者主机(即组播组成员).
1-2图1-2IGMPSnooping相关端口RouterASwitchASwitchBGE1/0/1GE1/0/2GE1/0/3GE1/0/1GE1/0/2ReceiverReceiverHostAHostBHostCHostDSourceMulticastpacketsRouterportMemberport结合图1-2,介绍一下IGMPSnooping相关的端口概念:z路由器端口(RouterPort):交换机上朝向三层组播设备(DR或IGMP查询器)一侧的端口,如SwitchA和SwitchB各自的GigabitEthernet1/0/1端口.
交换机将本设备上的所有路由器端口都记录在路由器端口列表中.
z成员端口(MemberPort):又称组播组成员端口,表示交换机上朝向组播组成员一侧的端口,如SwitchA的GigabitEthernet1/0/2和GigabitEthernet1/0/3端口,以及SwitchB的GigabitEthernet1/0/2端口.
交换机将本设备上的所有成员端口都记录在IGMPSnooping转发表中.
z本文中提到的路由器端口都是指交换机上朝向组播路由器的端口,而不是指路由器上的端口.
z如不特别指明,本文中提到的路由器/成员端口均包括动态和静态端口.
z在运行了IGMPSnooping的交换机上,所有收到源地址不为0.
0.
0.
0的IGMP普遍组查询报文或PIMHello报文的端口都将被视为动态路由器端口.
有关PIMHello报文的详细介绍,请参见"IP组播配置指导"中的"PIM配置".
2.
IGMPSnooping动态端口老化定时器表1-1IGMPSnooping动态端口老化定时器定时器说明超时前应收到的报文超时后交换机的动作动态路由器端口老化定时器交换机为其每个动态路由器端口都启动一个定时器,其超时时间就是动态路由器端口老化时间源地址不为0.
0.
0.
0的IGMP普遍组查询报文或PIMHello报文将该端口从路由器端口列表中删除动态成员端口老化定时器当一个端口动态加入某组播组时,交换机为该端口启动一个定时器,其超时时间就是动态成员端口老化时间IGMP成员关系报告报文将该端口从IGMPSnooping转发表中删除1-3IGMPSnooping端口老化机制只针对动态端口,静态端口永不老化.
1.
1.
3IGMPSnooping工作机制运行了IGMPSnooping的交换机对不同IGMP动作的具体处理方式如下:本节中所描述的增删端口动作均只针对动态端口,静态端口只能通过相应的配置进行增删,具体步骤请参见"1.
4.
3配置静态端口".
1.
普遍组查询IGMP查询器定期向本地网段内的所有主机与路由器(224.
0.
0.
1)发送IGMP普遍组查询报文,以查询该网段有哪些组播组的成员.
在收到IGMP普遍组查询报文时,交换机将其通过VLAN内除接收端口以外的其它所有端口转发出去,并对该报文的接收端口做如下处理:z如果在路由器端口列表中已包含该动态路由器端口,则重置其老化定时器.
z如果在路由器端口列表中尚未包含该动态路由器端口,则将其添加到路由器端口列表中,并启动其老化定时器.
2.
报告成员关系以下情况,主机会向IGMP查询器发送IGMP成员关系报告报文:z当组播组的成员主机收到IGMP查询报文后,会回复IGMP成员关系报告报文.
z如果主机要加入某个组播组,它会主动向IGMP查询器发送IGMP成员关系报告报文以声明加入该组播组.
在收到IGMP成员关系报告报文时,交换机将其通过VLAN内的所有路由器端口转发出去,从该报文中解析出主机要加入的组播组地址,并对该报文的接收端口做如下处理:z如果不存在该组播组所对应的转发表项,则创建转发表项,将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;z如果已存在该组播组所对应的转发表项,但其出端口列表中不包含该端口,则将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;z如果已存在该组播组所对应的转发表项,且其出端口列表中已包含该动态成员端口,则重置其老化定时器.
1-4交换机不会将IGMP成员关系报告报文通过非路由器端口转发出去,因为根据主机上的IGMP成员关系报告抑制机制,如果非路由器端口下还有该组播组的成员主机,则这些主机在收到该报告报文后便抑制了自身的报告,从而使交换机无法获知这些端口下还有该组播组的成员主机.
有关主机上的IGMP成员关系报告抑制机制的详细介绍,请参见"IP组播配置指导"中的"IGMP配置".
3.
离开组播组运行IGMPv1的主机离开组播组时不会发送IGMP离开组报文,因此交换机无法立即获知主机离开的信息.
但是,由于主机离开组播组后不会再发送IGMP成员关系报告报文,因此当其对应的动态成员端口的老化定时器超时后,交换机就会将该端口对应的转发表项从转发表中删除.
运行IGMPv2或IGMPv3的主机离开组播组时,会通过发送IGMP离开组报文,以通知组播路由器自己离开了某个组播组.
当交换机从某动态成员端口上收到IGMP离开组报文时,首先判断要离开的组播组所对应的转发表项是否存在,以及该组播组所对应转发表项的出端口列表中是否包含该接收端口:z如果不存在该组播组对应的转发表项,或者该组播组对应转发表项的出端口列表中不包含该端口,交换机不会向任何端口转发该报文,而将其直接丢弃;z如果存在该组播组对应的转发表项,且该组播组对应转发表项的出端口列表中包含该端口,交换机会将该报文通过VLAN内的所有路由器端口转发出去.
同时,由于并不知道该接收端口下是否还有该组播组的其它成员,所以交换机不会立刻把该端口从该组播组所对应转发表项的出端口列表中删除,而是重置其老化定时器.
当IGMP查询器收到IGMP离开组报文后,从中解析出主机要离开的组播组的地址,并通过接收端口向该组播组发送IGMP特定组查询报文.
交换机在收到IGMP特定组查询报文后,将其通过VLAN内的所有路由器端口和该组播组的所有成员端口转发出去.
对于IGMP离开组报文的接收端口(假定为动态成员端口),交换机在其老化时间内:z如果从该端口收到了主机响应该特定组查询的IGMP成员关系报告报文,则表示该端口下还有该组播组的成员,于是重置其老化定时器;z如果没有从该端口收到主机响应特定组查询的IGMP成员关系报告报文,则表示该端口下已没有该组播组的成员,则在其老化时间超时后,将其从该组播组所对应转发表项的出端口列表中删除.
1.
1.
4IGMPSnoopingProxying为了减少上游设备收到的IGMP报告报文和离开报文的数量,可以通过在边缘设备上配置IGMPSnoopingProxying(IGMPSnooping代理)功能,使其能够代理下游主机来向上游设备发送报告报文和离开报文.
配置了IGMPSnoopingProxying功能的设备称为IGMPSnooping代理设备,在其上游设备看来,它就相当于一台主机.
1-5尽管在其上游设备看来,IGMPSnooping代理设备相当于一台主机,但主机上的IGMP成员关系报告抑制机制在IGMPSnooping代理设备上并不会生效.
有关主机上的IGMP成员关系报告抑制机制的详细介绍,请参见"IP组播配置指导"中的"IGMP配置".
图1-3IGMPSnoopingProxying组网图如图1-3所示,作为IGMPSnooping代理设备的SwitchA,对其上游的IGMP查询器RouterA来说相当于一台主机,代理下游主机向RouterA发送报告报文和离开报文.
IGMPSnooping代理设备对IGMP报文的处理方式如表1-2所示.
表1-2IGMPSnooping代理设备对IGMP报文的处理方式IGMP报文类型处理方式普遍组查询报文收到普遍组查询报文后,向本VLAN内除接收端口以外的所有端口转发;同时根据本地维护的组成员关系生成报告报文,并向所有路由器端口发送特定组查询报文收到针对某组播组的特定组查询报文时,若该组对应的转发表项中还有成员端口,则向所有路由器端口回复该组的报告报文报告报文从某端口收到某组播组的报告报文时,若已存在该组对应的转发表项,且其出端口列表中已包含该动态成员端口,则重置其老化定时器;若已存在该组对应的转发表项,但其出端口列表中不包含该端口,则将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;若尚不存在该组对应的转发表项,则创建转发表项,将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器,然后向所有路由器端口发送该组的报告报文离开报文从某端口收到某组播组的离开报文后,向该端口发送针对该组的特定组查询报文.
只有当删除某组播组对应转发表项中的最后一个成员端口时,才会向所有路由器端口发送该组的离开报文1.
1.
5协议规范与IGMPSnooping相关的协议规范有:1-6zRFC4541:ConsiderationsforInternetGroupManagementProtocol(IGMP)andMulticastListenerDiscovery(MLD)SnoopingSwitches1.
2IGMPSnooping配置任务简介表1-3IGMPSnooping配置任务简介配置任务说明详细配置使能IGMPSnooping必选1.
3.
2配置IGMPSnooping版本可选1.
3.
3配置IGMPSnooping基本功能配置静态组播MAC地址表项可选1.
3.
4配置动态端口老化定时器可选1.
4.
2配置静态端口可选1.
4.
3配置模拟主机加入可选1.
4.
4配置端口快速离开可选1.
4.
5配置IGMPSnooping端口功能禁止端口成为动态路由器端口可选1.
4.
6使能IGMPSnooping查询器可选1.
5.
2配置IGMP查询和响应可选1.
5.
3配置IGMPSnooping查询器配置IGMP查询报文源IP地址可选1.
5.
4使能IGMPSnoopingProxying可选1.
6.
2配置IGMPSnoopingProxying配置代理发送IGMP报文的源IP地址可选1.
6.
3配置组播组过滤器可选1.
7.
2配置组播数据报文源端口过滤可选1.
7.
3配置丢弃未知组播数据报文可选1.
7.
4配置IGMP成员关系报告报文抑制可选1.
7.
5配置端口加入的组播组最大数量可选1.
7.
6配置组播组替换可选1.
7.
7配置IGMP报文的802.
1p优先级可选1.
7.
8配置IGMPSnooping策略配置组播用户控制策略可选1.
7.
9对于IGMPSnooping的相关配置来说:1-7zIGMP-Snooping视图下的配置对所有VLAN都有效,VLAN视图下的配置只对当前VLAN有效.
对于某VLAN来说,优先采用该VLAN视图下的配置,只有当在该VLAN视图下没有进行配置时,才采用IGMP-Snooping视图下的相应配置.
zIGMP-Snooping视图下的配置对所有端口都有效;二层以太网端口视图下的配置只对当前端口有效;二层聚合接口视图下的配置只对当前接口有效;端口组视图下的配置对当前端口组中的所有端口有效.
对于某端口来说,优先采用二层以太网端口视图、二层聚合接口视图或端口组视图下的配置,只有当在上述视图下没有进行配置时,才采用IGMP-Snooping视图下的相应配置.
z二层聚合接口与其各成员端口上的配置互不影响,且成员端口上的配置只有当该端口退出聚合组后才会生效,二层聚合接口上的配置也不会参与聚合计算.
1.
3配置IGMPSnooping基本功能1.
3.
1配置准备在配置IGMPSnooping基本功能之前,需完成以下任务:z配置相应VLAN在配置IGMPSnooping基本功能之前,需准备以下数据:zIGMPSnooping的版本1.
3.
2使能IGMPSnooping表1-4使能IGMPSnooping操作命令说明进入系统视图system-view-全局使能IGMPSnooping,并进入IGMP-Snooping视图igmp-snooping必选缺省情况下,IGMPSnooping处于关闭状态退回系统视图quit-进入VLAN视图vlanvlan-id-在VLAN内使能IGMPSnoopingigmp-snoopingenable必选缺省情况下,VLAN内的IGMPSnooping处于关闭状态1-8z在VLAN内使能IGMPSnooping之前,必须先在系统视图下全局使能IGMPSnooping,否则将无法在VLAN内使能IGMPSnooping.
z在VLAN内使能IGMPSnooping之后,不允许在该VLAN所对应的VLAN接口上再使能IGMP和PIM,反之亦然.
z在指定VLAN内使能了IGMPSnooping之后,该功能只在属于该VLAN的端口上生效.
z在没有开启MPLS功能前,最多可建立4000个组播转发表项(包括IPv4的二、三层组播转发表项和IPv6的二、三层组播转发表项);当交换机建立的组播转发表项超过3000个以后,MPLS功能将无法开启.
z当开启MPLS功能后,交换机最多只能建立3000个组播转发表项.
有关MPLS的详细介绍,请参见"MPLS配置指导"中的"MPLS基础配置".
1.
3.
3配置IGMPSnooping版本配置IGMPSnooping的版本,实际上就是配置IGMPSnooping可以处理的IGMP报文的版本:z当IGMPSnooping的版本为2时,IGMPSnooping能够对IGMPv1和IGMPv2的报文进行处理,对IGMPv3的报文则不进行处理,而是在VLAN内将其广播;z当IGMPSnooping的版本为3时,IGMPSnooping能够对IGMPv1、IGMPv2和IGMPv3的报文进行处理.
表1-5配置IGMPSnooping版本操作命令说明进入系统视图system-view-进入VLAN视图vlanvlan-id-配置IGMPSnooping的版本igmp-snoopingversionversion-number可选缺省情况下,IGMPSnooping的版本为21-9当IGMPSnooping的版本由版本3切换到版本2时,系统将清除所有通过动态加入的IGMPSnooping转发表项;对于在版本3下通过手工配置而静态加入的IGMPSnooping转发表项,则分为以下两种情况进行不同的处理:z如果配置的仅仅是静态加入组播组,而没有指定组播源,则这些转发表项将不会被清除;z如果配置的是指定了组播源的静态加入组播源组,则这些转发表项将会被清除,并且当再次切换回版本3时,这些转发表项将被重新恢复.
有关静态加入的详细配置,请参见"1.
4.
3配置静态端口".
1.
3.
4配置静态组播MAC地址表项在二层组播中,除了可通过二层组播协议(如IGMPSnooping)动态建立组播MAC地址表项外,还可以通过手工方式配置组播MAC地址表项,将端口与组播MAC地址进行静态绑定,以便灵活控制组播信息送达的目的端口.
1.
系统视图下配置静态组播MAC地址表项表1-6系统视图下配置静态组播MAC地址表项操作命令说明进入系统视图system-view-配置静态组播MAC地址表项mac-addressmulticastmac-addressinterfaceinterface-listvlanvlan-id必选缺省情况下,没有配置静态组播MAC地址表项2.
接口视图下配置静态组播MAC地址表项表1-7接口视图下配置静态组播MAC地址表项操作命令说明进入系统视图system-view-进入二层以太网端口或二层聚合接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一进入二层以太网端口或二层聚合接口视图后,下面进行的配置只在当前接口生效;进入端口组视图后,下面进行的配置将在端口组的所有接口生效配置静态组播MAC地址表项mac-addressmulticastmac-addressvlanvlan-id必选缺省情况下,没有配置静态组播MAC地址表项1-10z系统视图下的配置对指定端口有效,而断口视图下的配置只对当前端口(或当前端口组内的所有端口)有效.
z可手工配置的组播MAC地址表项为除0100-5Exx-xxxx以外的任意的组播MAC地址(组播MAC地址就是最高字节的最低比特位为1的MAC地址),其中x代表0~F的任意一个十六进制数.
1.
4配置IGMPSnooping端口功能1.
4.
1配置准备在配置IGMPSnooping端口功能之前,需完成以下任务:z在VLAN内使能IGMPSnoopingz配置相应端口组在配置IGMPSnooping端口功能之前,需准备以下数据:z动态路由器端口老化时间z动态成员端口老化时间z组播组和组播源的地址1.
4.
2配置动态端口老化定时器对于动态路由器端口,如果在其老化时间超时前没有收到IGMP普遍组查询报文或者PIMHello报文,交换机将把该端口从路由器端口列表中删除.
对于动态成员端口,如果在其老化时间超时前没有收到该组播组的IGMP成员关系报告报文,交换机将把该端口从该组播组所对应转发表项的出端口列表中删除.
如果组播组成员的变动比较频繁,可以把动态成员端口老化时间设置小一些,反之亦然.
1.
全局配置动态端口老化定时器表1-8全局配置动态端口老化定时器操作命令说明进入系统视图system-view-进入IGMP-Snooping视图igmp-snooping-配置动态路由器端口老化时间router-aging-timeinterval可选缺省情况下,动态路由器端口的老化时间为105秒配置动态成员端口老化时间host-aging-timeinterval可选缺省情况下,动态成员端口的老化时间为260秒1-112.
在VLAN内配置动态端口老化定时器表1-9在VLAN内配置动态端口老化定时器操作命令说明进入系统视图system-view-进入VLAN视图vlanvlan-id-配置动态路由器端口老化时间igmp-snoopingrouter-aging-timeinterval可选缺省情况下,动态路由器端口的老化时间为105秒配置动态成员端口老化时间igmp-snoopinghost-aging-timeinterval可选缺省情况下,动态成员端口的老化时间为260秒1.
4.
3配置静态端口如果某端口所连接的主机需要固定接收发往某组播组或组播源组的组播数据,可以配置该端口静态加入该组播组或组播源组,成为静态成员端口.
可以通过将交换机上的端口配置为静态路由器端口,从而使交换机上所有收到的组播数据可以通过该端口被转发出去.
表1-10配置静态端口操作命令说明进入系统视图system-view-进入二层以太网端口或二层聚合接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一配置静态成员端口igmp-snoopingstatic-groupgroup-address[source-ipsource-address]vlanvlan-id必选缺省情况下,端口不是静态成员端口配置静态路由器端口igmp-snoopingstatic-router-portvlanvlan-id必选缺省情况下,端口不是静态路由器端口z只有当IGMPSnooping的版本为3时,配置参数source-ipsource-address才会有实际的意义.
z静态成员端口不会对IGMP查询器发出的查询报文进行响应;当配置静态成员端口或取消静态成员端口的配置时,端口也不会主动发送IGMP成员关系报告报文或IGMP离开组报文.
z静态成员端口和静态路由器端口都不会老化,只能通过相应的undo命令删除.
1-121.
4.
4配置模拟主机加入通常情况下,运行IGMP的主机会对IGMP查询器发出的查询报文进行响应.
如果主机由于某种原因无法响应,就可能导致组播路由器认为该网段没有该组播组的成员,从而取消相应的转发路径.
为避免这种情况的发生,可以将交换机的端口配置成为组播组成员(即配置模拟主机加入).
当收到IGMP查询报文时由模拟主机进行响应,从而保证该交换机能够继续收到组播报文.
模拟主机加入功能的实现原理如下:z在某端口上使能模拟主机加入功能时,交换机会通过该端口主动发送一个IGMP成员关系报告报文;z在某端口上使能了模拟主机加入功能后,当收到IGMP普遍组查询报文时,交换机会通过该端口响应一个IGMP成员关系报告报文;z在某端口上关闭模拟主机加入功能时,交换机会通过该端口发送一个IGMP离开组报文.
表1-11配置模拟主机加入操作命令说明进入系统视图system-view-进入二层以太网端口或二层聚合接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一配置模拟主机加入组播组或组播源组igmp-snoopinghost-joingroup-address[source-ipsource-address]vlanvlan-id必选缺省情况下,没有配置模拟主机加入组播组或组播源组z每配置一次模拟主机加入,即相当于启动了一台独立的主机.
例如,当收到IGMP查询报文时,每条配置所对应的模拟主机将分别进行响应.
z与静态成员端口不同,配置了模拟主机加入的端口会作为动态成员端口而参与动态成员端口的老化过程.
1.
4.
5配置端口快速离开端口快速离开是指当交换机从某端口收到主机发送的离开某组播组的IGMP离开组报文时,直接把该端口从对应转发表项的出端口列表中删除.
此后,当交换机收到对该组播组的IGMP特定组查询报文时,交换机将不再向该端口转发.
在交换机上,在只连接有一个接收者的端口上,可以通过使能端口快速离开功能来节约带宽和资源;而在连接有多个接收者的端口上,如果交换机或该端口所在的VLAN已使能了丢弃未知组播数据报文功能,则不要再使能端口快速离开功能,否则,一个接收者的离开将导致该端口下属于同一组播组的其它接收者无法收到组播数据.
1-131.
全局配置端口快速离开表1-12全局配置端口快速离开操作命令说明进入系统视图system-view-进入IGMP-Snooping视图igmp-snooping-使能端口快速离开功能fast-leave[vlanvlan-list]必选缺省情况下,端口快速离开功能处于关闭状态2.
在端口上配置端口快速离开表1-13在端口上配置端口快速离开操作命令说明进入系统视图system-view-进入二层以太网端口或二层聚合接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一使能端口快速离开功能igmp-snoopingfast-leave[vlanvlan-list]必选缺省情况下,端口快速离开功能处于关闭状态1.
4.
6禁止端口成为动态路由器端口目前,在组播用户接入网络中存在以下问题:z如果交换机收到了某用户主机发来的IGMP普遍组查询报文或PIMHello报文,那么该主机所在的端口就将成为动态路由器端口,从而使VLAN内的所有组播报文都会向该端口转发,导致该用户主机收到的组播报文失控.
z同时,用户主机发送IGMP普遍组查询报文或PIMHello报文,也会影响该接入网络中三层设备上的组播路由协议状态(如影响IGMP查询器或DR的选举),严重时可能导致网络中断.
当禁止某端口成为动态路由器端口后,即使该端口收到了IGMP普遍组查询报文或PIMHello报文,该端口也不会成为动态路由器端口,从而能够有效解决上述问题,提高网络的安全性和对组播用户的控制能力.
表1-14禁止端口成为动态路由器端口操作命令说明进入系统视图system-view-进入二层以太网端口或二层聚合接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一1-14操作命令说明禁止端口成为动态路由器端口igmp-snoopingrouter-port-deny[vlanvlan-list]必选缺省情况下,不禁止端口成为动态路由器端口本配置与静态路由器端口的配置互不影响.
1.
5配置IGMPSnooping查询器1.
5.
1配置准备在配置IGMPSnooping查询器之前,需完成以下任务:z在VLAN内使能IGMPSnooping在配置IGMPSnooping查询器之前,需准备以下数据:z发送IGMP普遍组查询报文的时间间隔z发送IGMP特定组查询报文的时间间隔zIGMP普遍组查询的最大响应时间zIGMP普遍组查询报文的源IP地址zIGMP特定组查询报文的源IP地址1.
5.
2使能IGMPSnooping查询器在运行了IGMP的组播网络中,会有一台三层组播设备充当IGMP查询器,负责发送IGMP查询报文,使三层组播设备能够在网络层建立并维护组播转发表项,从而在网络层正常转发组播数据.
但是,在一个没有三层组播设备的网络中,由于二层设备并不支持IGMP,因此无法实现IGMP查询器的相关功能.
为了解决这个问题,可以在二层设备上使能IGMPSnooping查询器,使二层设备能够在数据链路层建立并维护组播转发表项,从而在数据链路层正常转发组播数据.
表1-15使能IGMPSnooping查询器操作命令说明进入系统视图system-view-进入VLAN视图vlanvlan-id-使能IGMPSnooping查询器igmp-snoopingquerier必选缺省情况下,IGMPSnooping查询器处于关闭状态1-15尽管IGMPSnooping查询器并不参与IGMP查询器的选举,但在运行了IGMP的组播网络中,配置IGMPSnooping查询器不但没有实际的意义,反而可能会由于其发送的IGMP普遍组查询报文的源IP地址较小而影响IGMP查询器的选举.
有关IGMP查询器的详细介绍,请参见"IP组播配置指导"中的"IGMP配置".
1.
5.
3配置IGMP查询和响应可以根据网络的实际情况来修改发送IGMP普遍组查询报文的时间间隔.
在收到IGMP查询报文(包括普遍组查询和特定组查询)后,主机会为其所加入的每个组播组都启动一个定时器,定时器的值在0到最大响应时间(该时间值由主机从所收到的IGMP查询报文的最大响应时间字段获得)中随机选定,当定时器的值减为0时,主机就会向该定时器对应的组播组发送IGMP成员关系报告报文.
合理配置IGMP查询的最大响应时间,既可以使主机对IGMP查询报文做出快速响应,又可以减少由于定时器同时超时,造成大量主机同时发送报告报文而引起的网络拥塞:z对于IGMP普遍组查询报文来说,通过配置IGMP普遍组查询的最大响应时间来填充其最大响应时间字段;z对于IGMP特定组查询报文来说,所配置的发送IGMP特定组查询报文的时间间隔将被填充到其最大响应时间字段.
也就是说,IGMP特定组查询的最大响应时间从数值上与发送IGMP特定组查询报文的时间间隔相同.
1.
全局配置IGMP查询和响应表1-16全局配置IGMP查询和响应操作命令说明进入系统视图system-view-进入IGMP-Snooping视图igmp-snooping-配置IGMP普遍组查询的最大响应时间max-response-timeinterval可选缺省情况下,IGMP普遍组查询的最大响应时间为10秒配置发送IGMP特定组查询报文的时间间隔last-member-query-intervalinterval可选缺省情况下,发送IGMP特定组查询报文的时间间隔为1秒2.
在VLAN内配置IGMP查询和响应表1-17在VLAN内配置IGMP查询和响应操作命令说明进入系统视图system-view-进入VLAN视图vlanvlan-id-1-16操作命令说明配置发送IGMP普遍组查询报文的时间间隔igmp-snoopingquery-intervalinterval可选缺省情况下,发送IGMP普遍组查询报文的时间间隔为60秒配置IGMP普遍组查询的最大响应时间igmp-snoopingmax-response-timeinterval可选缺省情况下,IGMP普遍组查询的最大响应时间为10秒配置发送IGMP特定组查询报文的时间间隔igmp-snoopinglast-member-query-intervalinterval可选缺省情况下,发送IGMP特定组查询报文的时间间隔为1秒应确保发送IGMP普遍组查询报文的时间间隔大于IGMP普遍组查询的最大响应时间,否则有可能造成对组播组成员的误删.
1.
5.
4配置IGMP查询报文源IP地址对于收到源IP地址为0.
0.
0.
0的查询报文的端口,交换机不会将其设置为动态路由器端口,从而影响数据链路层组播转发表项的建立,最终导致组播数据无法正常转发.
当由二层设备充当IGMPSnooping查询器时,可以把IGMP查询报文的源IP地址配置为一个有效的IP地址以避免上述问题的出现.
表1-18配置IGMP查询报文源IP地址操作命令说明进入系统视图system-view-进入VLAN视图vlanvlan-id-配置IGMP普遍组查询报文源IP地址igmp-snoopinggeneral-querysource-ip{ip-address|current-interface}可选缺省情况下,IGMP普遍组查询报文的源IP地址为0.
0.
0.
0配置IGMP特定组查询报文源IP地址igmp-snoopingspecial-querysource-ip{ip-address|current-interface}可选缺省情况下,IGMP特定组查询报文的源IP地址为0.
0.
0.
0IGMP查询报文源IP地址的改变可能会影响网段内IGMP查询器的选举.
1-171.
6配置IGMPSnoopingProxying1.
6.
1配置准备在配置IGMPSnoopingProxying之前,需完成以下任务:z在VLAN内使能IGMPSnooping在配置IGMPSnoopingProxying之前,需准备以下数据:z代理发送IGMP报告报文的源IP地址z代理发送IGMP离开报文的源IP地址1.
6.
2使能IGMPSnoopingProxying当在有组播需求的VLAN内使能了IGMPSnooping代理功能后,该设备就成为该VLAN内的IGMPSnooping代理设备.
表1-19使能IGMPSnoopingProxying操作命令说明进入系统视图system-view-进入VLAN视图vlanvlan-id-在VLAN内使能IGMPSnooping代理功能igmp-snoopingproxyingenable必选缺省情况下,VLAN内的IGMPSnooping代理功能处于关闭状态1.
6.
3配置代理发送IGMP报文的源IP地址通过本配置可以改变代理发送的IGMP报告报文和离开报文的源IP地址.
表1-20配置代理发送IGMP报文的源IP地址操作命令说明进入系统视图system-view-进入VLAN视图vlanvlan-id-配置代理发送IGMP报告报文的源IP地址igmp-snoopingreportsource-ip{ip-address|current-interface}必选缺省情况下,代理发送IGMP报告报文的源IP地址为0.
0.
0.
0配置代理发送IGMP离开报文的源IP地址igmp-snoopingleavesource-ip{ip-address|current-interface}缺省情况下,代理发送IGMP离开报文的源IP地址为0.
0.
0.
01.
7配置IGMPSnooping策略1.
7.
1配置准备在配置IGMPSnooping策略之前,需完成以下任务:z在VLAN内使能IGMPSnooping1-18在配置IGMPSnooping策略之前,需准备以下数据:z组播组过滤的ACL规则z允许端口通过的组播组最大数量zIGMP报文的802.
1p优先级1.
7.
2配置组播组过滤器在使能了IGMPSnooping的交换机上,通过配置组播组过滤器,可以限制用户对组播节目的点播.
在实际应用中,当用户点播某个组播节目时,主机会发起一个IGMP成员关系报告报文,该报文到达交换机后,进行ACL检查:如果该接收端口可以加入这个组播组,则将其列入到IGMPSnooping转发表中;否则交换机就丢弃该报文.
这样,未通过ACL检查的组播数据就不会送到该端口,从而达到控制用户点播组播节目的目的.
1.
全局配置组播组过滤器表1-21全局配置组播组过滤器操作命令说明进入系统视图system-view-进入IGMP-Snooping视图igmp-snooping-配置组播组过滤器group-policyacl-number[vlanvlan-list]必选缺省情况下,没有配置全局组播组过滤器,即各VLAN内主机可以加入任意合法的组播组2.
在端口上配置组播组过滤器表1-22在端口上配置组播组过滤器操作命令说明进入系统视图system-view-进入二层以太网端口或二层聚合接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一配置组播组过滤器igmp-snoopinggroup-policyacl-number[vlanvlan-list]必选缺省情况下,端口上没有配置组播组过滤器,即该端口下的主机可以加入任意合法的组播组1.
7.
3配置组播数据报文源端口过滤通过配置组播数据报文源端口过滤功能,可以允许或禁止端口作为组播源端口:z使能了该功能后,端口下不能连接组播源,因为该端口将过滤掉所有的组播数据报文(但允许组播协议报文通过),只能连接组播数据接收者;z关闭了该功能后,端口下既可以连接组播源,也可以连接组播数据接收者.
1-191.
全局配置组播数据报文源端口过滤表1-23全局配置组播数据报文源端口过滤操作命令说明进入系统视图system-view-进入IGMP-Snooping视图igmp-snooping-使能组播数据报文源端口过滤功能source-denyportinterface-list必选缺省情况下,组播数据报文源端口过滤功能处于关闭状态2.
在端口上配置组播数据报文源端口过滤表1-24在端口上配置组播数据报文源端口过滤操作命令说明进入系统视图system-view-进入二层以太网端口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一使能组播数据报文源端口过滤功能igmp-snoopingsource-deny必选缺省情况下,组播数据报文源端口过滤功能处于关闭状态1.
7.
4配置丢弃未知组播数据报文未知组播数据报文是指在IGMPSnooping转发表中不存在对应转发表项的那些组播数据报文,当交换机收到发往未知组播组的报文时,数据报文会在VLAN内广播,这样会占用大量的网络带宽,影响转发效率.
此时用户可以在交换机上启动丢弃未知组播数据报文功能,当交换机收到未知组播数据报文时,只向其路由器端口转发,不在VLAN内广播.
如果交换机没有路由器端口,数据报文会被丢弃,不再转发表1-25在VLAN内配置丢弃未知组播数据报文操作命令说明进入系统视图system-view-进入VLAN视图vlanvlan-id-使能丢弃未知组播数据报文功能igmp-snoopingdrop-unknown必选缺省情况下,丢弃未知组播数据报文的功能处于关闭状态,即对未知组播数据报文进行广播1-201.
7.
5配置IGMP成员关系报告报文抑制当二层设备收到来自某组播组成员的IGMP成员关系报告报文时,会将该报文转发给与其直连的三层设备.
这样,当二层设备上存在属于某组播组的多个成员时,与其直连的三层设备会收到这些成员发送的相同IGMP成员关系报告报文.
当使能了IGMP成员关系报告报文抑制功能后,在一个查询间隔内二层设备只会把收到的某组播组内的第一个IGMP成员关系报告报文转发给三层设备,而不继续向三层设备转发来自同一组播组的其它IGMP成员关系报告报文,这样可以减少网络中的报文数量.
表1-26配置IGMP成员关系报告报文抑制操作命令说明进入系统视图system-view-进入IGMP-Snooping视图igmp-snooping-使能IGMP成员关系报告报文抑制功能report-aggregation可选缺省情况下,IGMP成员关系报告报文抑制功能处于使能状态在IGMPSnooping代理设备上,不论是否使能了IGMP成员关系报告报文抑制功能,只要存在某组播组对应的转发表项,就会将从下游收到的针对该组的报告报文都抑制掉.
1.
7.
6配置端口加入的组播组最大数量通过配置允许端口加入的组播组最大数量,可以限制用户点播组播节目的数量,从而控制了端口上的数据流量.
表1-27配置端口加入的组播组最大数量操作命令说明进入系统视图system-view-进入二层以太网端口或二层聚合接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一配置允许端口加入的组播组最大数量igmp-snoopinggroup-limitlimit[vlanvlan-list]可选缺省情况下,交换机允许端口加入的组播组最大数量为40001-21在对允许端口加入的组播组最大数量进行配置时,如果当前端口上的组播组数量已经超过了配置值,系统将把该端口相关的所有转发表项从IGMPSnooping转发表中删除,该端口上的主机需要重新加入组播组.
但如果为该端口配置了静态成员端口或者模拟主机加入,系统在把该端口相关的所有转发表项删除后,会把这些配置重新生效一次,直至该端口所加入的组播组数量达到限制值为止.
1.
7.
7配置组播组替换由于某些特殊的原因,当前交换机或端口上通过的组播组数目有可能会超过交换机或该端口的限定;另外,在某些特定的应用中,交换机上新加入的组播组需要自动替换已存在的组播组(一个典型的应用就是"频道切换",即用户通过加入一个新的组播组就能完成离开原组播组并切换到新组播组的动作).
针对以上情况,可以在交换机或者某些端口上使能组播组替换功能.
当交换机或端口上加入的组播组数量已达到限定值时:z若使能了组播组替换功能,则新加入的组播组会自动替代已存在的组播组,替代规则是替代IP地址最小的组播组;z若没有使能组播组替换功能,则自动丢弃新的IGMP成员关系报告报文.
1.
全局配置组播组替换表1-28全局配置组播组替换操作命令说明进入系统视图system-view-进入IGMP-Snooping视图igmp-snooping-使能组播组替换功能overflow-replace[vlanvlan-list]必选缺省情况下,组播组替换功能处于关闭状态2.
在端口上配置组播组替换表1-29在端口上配置组播组替换操作命令说明进入系统视图system-view-进入二层以太网端口或二层聚合接口视图interfaceinterface-typeinterface-number进入相应视图进入端口组视图port-groupmanualport-group-name二者必选其一使能组播组替换功能igmp-snoopingoverflow-replace[vlanvlan-list]必选缺省情况下,组播组替换功能处于关闭状态1-22在使能组播组替换功能之前,必须首先配置端口通过的组播组的最大数量(具体配置过程请参见"1.
7.
6配置端口加入的组播组最大数量"),否则组播组替换功能将不能生效.
1.
7.
8配置IGMP报文的802.
1p优先级可以通过本配置来改变IGMP报文的802.
1p优先级.
当交换机的出端口发生拥塞时,交换机通过识别报文的802.
1p优先级,优先发送优先级较高的报文.
1.
全局配置IGMP报文的802.
1p优先级表1-30全局配置IGMP报文的802.
1p优先级操作命令说明进入系统视图system-view-进入IGMP-Snooping视图igmp-snooping-配置IGMP报文的802.
1p优先级dot1p-prioritypriority-number必选缺省情况下,IGMP报文的802.
1p优先级为02.
在VLAN内配置IGMP报文的802.
1p优先级表1-31在VLAN内配置IGMP报文的802.
1p优先级操作命令说明进入系统视图system-view-进入VLAN视图vlanvlan-id-配置IGMP报文的802.
1p优先级igmp-snoopingdot1p-prioritypriority-number必选缺省情况下,IGMP报文的802.
1p优先级为01.
7.
9配置组播用户控制策略组播用户控制策略通常配置在接入交换机上,是基于用户权限控制来实现的,即只有通过授权的用户才能收到相应的组播流,从而达到限制用户对组播节目点播的目的.
在实际应用中,用户先要通过接入交换机向RADIUS服务器发起认证(如802.
1X认证),当认证通过后再根据用户的点播行为进行策略检查:z当用户点播组播节目时,主机会发送IGMP成员关系报告报文,接入交换机收到该报文后对其携带的组播组和组播源地址进行策略检查,若该报文通过检查则允许该用户加入该组播组;否则,接入交换机将丢弃该报文.
z当用户停止点播组播节目时,主机会发送IGMP离开报文,接入交换机收到该报文后对其携带的组播组和组播源地址进行策略检查,若该报文通过检查则允许该用户离开该组播组;否则,接入交换机将丢弃该报文.
1-23表1-32配置组播用户控制策略操作命令说明进入系统视图system-view-创建UserProfile,并进入User-Profile视图user-profileprofile-name-配置组播用户控制策略igmp-snoopingaccess-policyacl-number必选缺省情况下,没有配置组播用户控制策略,即用户可以加入/离开任意合法的组播组退回系统视图quit-激活该UserProfileuser-profileprofile-nameenable必选缺省情况下,UserProfile处于未激活状态z有关user-profile和user-profileenable命令的详细介绍,请参见"安全命令参考"中的"UserProfile配置命令".
z组播用户控制策略与组播组过滤器在功能上类似,二者的区别在于:前者是基于用户权限的组播控制,需要与认证、授权功能结合使用,能够控制组播用户的加入与离开;后者是基于设备端口的组播控制,无需与认证、授权功能结合使用,只能控制组播用户的加入.
亚洲云Asiayun怎么样?亚洲云成立于2021年,隶属于上海玥悠悠云计算有限公司(Yyyisp),是一家新国人IDC商家,且正规持证IDC/ISP/CDN,商家主要提供数据中心基础服务、互联网业务解决方案,及专属服务器租用、云服务器、云虚拟主机、专属服务器托管、带宽租用等产品和服务。Asiayun提供源自大陆、香港、韩国和美国等地骨干级机房优质资源,包括BGP国际多线网络,CN2点对点直连带宽以...
虎跃科技怎么样?虎跃科技(虎跃云)是一家成立于2017年的国内专业服务商,专业主营云服务器和独立服务器(物理机)高防机房有着高端华为T级清洗能力,目前产品地区有:山东,江苏,浙江等多地区云服务器和独立服务器,今天虎跃云给大家带来了优惠活动,为了更好的促销,枣庄高防BGP服务器最高配置16核32G仅需550元/月,有需要的小伙伴可以来看看哦!产品可以支持24H无条件退款(活动产品退款请以活动规则为准...
HostKvm 商家我们算是比较熟悉的国内商家,商家主要还是提供以亚洲数据中心,以及直连海外线路的服务商。这次商家有新增香港和俄罗斯两个机房的高防服务器方案。默认提供30GB防御,且目前半价优惠至4.25美元起步,其他方案的VPS主机还是正常的八折优惠。我们看看优惠活动。香港和俄罗斯半价优惠:2021fall,限购100台。通用优惠码:2021 ,八折优惠全部VPS。我们看看具体的套餐。1、香港高...