在此页面上
示例:在 SRX 系列设备上配置 IGMP 侦听
您可以在 VLAN 上启用 IGMP 侦听,以限制 VLAN 上的 IPv4 组播流量泛洪。启用 IGMP 侦听后,设备将检查主机和组播路由器之间的 IGMP 消息,并了解哪些主机有兴趣接收组播组的组播流量。然后,根据所获知的信息,设备仅将组播流量转发到连接到相关接收器的接口,而不是将流量泛洪到所有接口。
此示例介绍如何配置 IGMP 侦听:
要求
此示例使用以下硬件和软件组件:
一个 SRX 系列防火墙
Junos OS 18.1R1 版
在配置 IGMP 侦听之前,请确保您已:
在设备上配置 VLAN v1
分配给 ge-0/0/1、ge-0/0/2、ge-0/0/3 和 ge-0/0/4 到 v1 的接口
已将 ge-0/0/3 配置为中继接口
概述和拓扑
IGMP 侦听控制交换网络中的组播流量。如果未启用 IGMP 侦听,SRX 系列防火墙会从其所有端口广播组播流量,即使网络上的主机不需要组播流量也是如此。启用 IGMP 侦听后,SRX 系列防火墙将监控从每个连接的主机发送到组播路由器的 IGMP 加入和离开消息。这使 SRX 系列防火墙能够跟踪组播组和关联的成员端口。SRX 系列防火墙使用此信息做出智能决策,并仅将组播流量转发到预期目标主机。
拓扑学
示例拓扑如图 1 所示。
在此示例拓扑中,组播路由器从其中一个主机(例如主机 B)收到组 233.252.0.100 的成员身份报告时,会将组播流量从源转发到设备。如果未在 vlan100 上启用 IGMP 侦听,设备将在 vlan100 中的所有接口上泛洪组播流量(接口 ge-0/0/2.0 除外)。如果在 vlan100 上启用了 IGMP 侦听,设备将监控主机和路由器之间的 IGMP 消息,从而确定只有主机 B 有兴趣接收组播流量。然后,设备仅将组播流量转发到接口 ge-0/0/2。
配置
要在设备上配置 IGMP 侦听:
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后从配置模式进入 commit 。
set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members v1 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members v1 set interfaces ge-0/0/3 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members v1 set interfaces ge-0/0/4 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members v1 set vlans v1 vlan-id 100 set protocols igmp-snooping vlan v1 query-interval 200 set protocols igmp-snooping vlan v1 query-response-interval 0.4 set protocols igmp-snooping vlan v1 query-last-member-interval 0.1 set protocols igmp-snooping vlan v1 robust-count 4 set protocols igmp-snooping vlan v1 immediate-leave set protocols igmp-snooping vlan v1 proxy set protocols igmp-snooping vlan v1 interface ge-0/0/1.0 host-only-interface set protocols igmp-snooping vlan v1 interface ge-0/0/1.0 group-limit 50 set protocols igmp-snooping vlan v1 interface ge-0/0/4.0 static group 233.252.0.100
分步过程
以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 CLI 用户指南中的在配置模式下使用 CLI 编辑器。
要配置 IGMP 侦听:
配置接入模式接口。
[edit] user@host# set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members v1 user@host# set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members v1 user@host# set interfaces ge-0/0/3 unit 0 family ethernet-switching interface-mode trunk user@host# set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members v1 user@host# set interfaces ge-0/0/4 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members v1
配置 VLAN。
[edit] user@host# set vlans v1 vlan-id 100
启用 IGMP 侦听并将设备配置为充当代理。
[edit] user@host# set protocols igmp-snooping vlan v1 proxy
将 ge-0/0/1.0 接口上允许的组播组数限制配置为 50。
[edit] user@host# set protocols igmp-snooping vlan v1 interface ge-0/0/1.0 group-limit 50
将设备配置为在收到来自某个接口的离开消息时立即从该接口中删除组成员身份,而无需等待交换任何其他 IGMP 消息。
[edit] user@host# set protocols igmp-snooping vlan v1 immediate-leave
静态将接口 ge-0/0/4 配置为组播路由器接口。
[edit] user@host# set protocols igmp-snooping vlan v1 interface ge-0/0/4.0 static group 233.252.0.100
将接口配置为专门面向主机的接口(以丢弃 IGMP 查询消息)。
[edit] user@host# set protocols igmp-snooping vlan v1 interface ge-0/0/1.0 host-only-interface
配置 IGMP 消息间隔和稳健性计数。
[edit] user@host# set protocols igmp-snooping vlan v1 query-interval 200 user@host# set protocols igmp-snooping vlan v1 query-response-interval 0.4 user@host# set protocols igmp-snooping vlan v1 query-last-member-interval 0.1 user@host# set protocols igmp-snooping vlan v1 robust-count 4
如果完成设备配置,请提交配置。
user@host# commit
结果
在配置模式下,输入 show protocols igmp-snooping 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以进行更正。
[edit]
user@host# show protocols igmp-snooping
vlan v1 {
query-interval 200;
query-response-interval 0.4;
query-last-member-interval 0.1;
robust-count 4;
immediate-leave;
proxy;
interface ge-0/0/1.0 {
host-only-interface;
group-limit 50;
}
interface ge-0/0/4.0 {
static {
group 233.252.0.100;
}
}
}
验证 IGMP 侦听操作
要验证 IGMP 侦听是否按配置运行,请执行以下任务:
显示 VLAN v1 的 IGMP 侦听信息
目的
验证是否已在 vlan v1 上启用 IGMP 侦听,以及 ge-0/0/4 是否被识别为组播路由器接口。
行动
在操作模式下,输入 show igmp snooping membership 命令。
user@host> show igmp snooping membership Instance: default-switch Vlan: v1 Learning-Domain: default Interface: ge-0/0/4.0, Groups: 1 Group: 233.252.0.100 Group mode: Exclude Source: 0.0.0.0 Last reported by: Local Group timeout: 0 Type: Static
意义
通过显示 vlanv1 的信息,命令输出确认已在 VLAN 上配置 IGMP 侦听。接口 ge-0/0/4.0 按配置列为组播路由器接口。由于未列出任何主机接口,因此当前没有任何主机是组播组的接收方。