IGMP-Snooping im Überblick

Vorteile von IGMP-Snooping

• Optimized bandwidth utilization—Der Hauptvorteil von IGMP-Snooping besteht darin, die Überflutung von Paketen zu reduzieren. Das Gerät leitet IPv4-Multicast-Daten selektiv an eine Liste von Ports weiter, die die Daten empfangen möchten, anstatt sie an alle Ports in einem VLAN zu fluten.

• Improved security– Verhindert Denial-of-Service-Angriffe aus unbekannten Quellen.

So funktioniert IGMP-Snooping

Geräte lernen Unicast-MAC-Adressen, indem sie das Quelladressfeld der empfangenen Frames überprüfen und dann jeglichen Datenverkehr für diese Unicast-Adresse nur an die entsprechenden Schnittstellen senden. Eine Multicast-MAC-Adresse kann jedoch niemals die Quelladresse für ein Paket sein. Wenn also ein Gerät Datenverkehr für eine Multicast-Zieladresse empfängt, überflutet es den Datenverkehr im entsprechenden VLAN und sendet eine beträchtliche Menge an Datenverkehr, für den es nicht unbedingt interessierte Empfänger gibt.

IGMP-Snooping verhindert diese Überflutung. Wenn Sie IGMP-Snooping aktivieren, überwacht das Gerät IGMP-Pakete zwischen Empfängern und Multicast-Routern und verwendet den Inhalt der Pakete, um eine Multicast-Weiterleitungstabelle zu erstellen, d. h. eine Datenbank mit Multicast-Gruppen und den Schnittstellen, die mit Mitgliedern der Gruppen verbunden sind. Wenn das Gerät Multicastpakete empfängt, verwendet es die Multicast-Weiterleitungstabelle, um den Datenverkehr selektiv nur an die Schnittstellen weiterzuleiten, die mit Mitgliedern der entsprechenden Multicastgruppen verbunden sind.

Auf Switches der EX- und QFX-Serie, die den Konfigurationsstil Enhanced Layer 2 Software (ELS) nicht unterstützen, ist IGMP-Snooping standardmäßig in allen VLANs (oder nur im Standard-VLAN auf einigen Geräten) aktiviert und kann selektiv in einem oder mehreren VLANs deaktiviert werden. Auf allen anderen Geräten müssen Sie IGMP-Snooping explizit in einem VLAN oder in einer Bridge-Domäne konfigurieren, um es zu aktivieren.

So funktioniert IGMP-Snooping mit gerouteten VLAN-Schnittstellen

Das Gerät kann eine geroutete VLAN-Schnittstelle (RVI) verwenden, um Datenverkehr zwischen VLANs in seiner Konfiguration weiterzuleiten. IGMP-Snooping arbeitet mit Layer-2-Schnittstellen und RVIs, um Multicast-Datenverkehr in einem Switching-Netzwerk weiterzuleiten.

Wenn das Gerät ein Multicast-Paket empfängt, führen seine Paketweiterleitungs-Engines eine Multicast-Suche für das Paket durch, um zu bestimmen, wie das Paket an seine lokalen Schnittstellen weitergeleitet werden soll. Aus den Ergebnissen der Suche extrahiert jede Paketweiterleitungs-Engine eine Liste von Layer-3-Schnittstellen, die über lokale Ports der Paketweiterleitungs-Engine verfügen. Wenn die Liste einen RVI enthält, stellt das Gerät eine Bridge-Multicast-Gruppen-ID für den RVI an die Paketweiterleitungs-Engine bereit.

Bei VLANs, die Multicast-Empfänger enthalten, enthält die Bridge-Multicast-ID eine Sub-Next-Hop-ID, die die Layer-2-Schnittstellen im VLAN identifiziert, die am Empfang des Multicast-Streams interessiert sind. Die Packet Forwarding Engine leitet dann Multicast-Datenverkehr an Bridge-Multicast-IDs weiter, die über Multicastempfänger für eine bestimmte Multicastgruppe verfügen.

IGMP-Nachrichtentypen

Multicast-Router verwenden IGMP, um zu lernen, welche Gruppen für jedes ihrer angeschlossenen physischen Netzwerke interessierte Listener haben. In jedem Subnetz fungiert ein Multicast-Router als IGMP-Abfrager. Der IGMP-Abfrager sendet die folgenden Arten von Abfragen an Hosts:

• Allgemeine Abfrage: Fragt, ob ein Host einer Gruppe lauscht.

• Gruppenspezifische Abfrage (nur IGMPv2 und IGMPv3) Fragt, ob ein Host einer bestimmten Multicast-Gruppe lauscht. Diese Abfrage wird als Antwort gesendet, wenn ein Host die Multicast-Gruppe verlässt, und ermöglicht es dem Router, schnell festzustellen, ob verbleibende Hosts an der Gruppe interessiert sind.

• Gruppen- und quellenspezifische Abfrage (nur IGMPv3) Fragt, ob ein Host den Gruppen-Multicast-Datenverkehr von einer bestimmten Multicast-Quelle überwacht. Diese Abfrage wird als Antwort an einen Host gesendet, der angibt, dass er nicht mehr daran interessiert ist, Gruppen-Multicast-Datenverkehr von der Multicast-Quelle zu empfangen, und ermöglicht es dem Router, schnell zu ermitteln, dass alle verbleibenden Hosts daran interessiert sind, Gruppen-Multicast-Datenverkehr von dieser Quelle zu empfangen.

Hosts, die Multicast-Listener sind, senden die folgenden Arten von Nachrichten:

• Mitgliedschaftsbericht: Gibt an, dass der Host einer bestimmten Multicast-Gruppe beitreten möchte.

• Bericht verlassen: (nur IGMPv2 und IGMPv3) Gibt an, dass der Host eine bestimmte Multicast-Gruppe verlassen möchte.

Wie Hosts Multicast-Gruppen beitreten und verlassen

Hosts können Multicast-Gruppen auf zwei Arten beitreten:

• Durch Senden einer unerwünschten IGMP-Beitrittsnachricht an einen Multicast-Router, der die IP-Multicast-Gruppe angibt, der der Host beitreten möchte.

• Durch Senden einer IGMP-Join-Nachricht als Antwort auf eine allgemeine Abfrage von einem Multicast-Router.

Ein Multicast-Router leitet weiterhin Multicast-Datenverkehr an ein VLAN weiter, vorausgesetzt, dass mindestens ein Host in diesem VLAN auf die regelmäßigen allgemeinen IGMP-Abfragen antwortet. Damit ein Host Mitglied einer Multicast-Gruppe bleibt, muss er weiterhin auf die regelmäßigen allgemeinen IGMP-Abfragen antworten.

Hosts können eine Multicast-Gruppe auf zwei Arten verlassen:

• Durch die Nichtbeantwortung regelmäßiger Anfragen innerhalb eines bestimmten Intervalls, was als "stiller Urlaub" angesehen wird. Dies ist die einzige leave-Methode für IGMPv1-Hosts.

• Durch das Versenden eines Urlaubsberichts. Diese Methode kann von IGMPv2- und IGMPv3-Hosts verwendet werden.

Unterstützung für IGMPv3-Multicast-Quellen

In IGMPv3 kann ein Host einen Mitgliedschaftsbericht senden, der eine Liste von Quelladressen enthält. Wenn der Host einen Mitgliedschaftsbericht im INCLUDE-Modus sendet, ist der Host nur an Gruppen-Multicast-Datenverkehr von den Quellen in der Quelladressliste interessiert. Wenn der Host einen Mitgliedschaftsbericht im EXCLUDE-Modus sendet, ist der Host an Gruppen-Multicast-Datenverkehr aus einer beliebigen Quelle mit Ausnahme der Quellen in der Quelladressliste interessiert. Ein Host kann auch einen EXCLUDE-Bericht senden, in dem der Quelllistenparameter leer ist, was als EXCLUDE NULL-Bericht bezeichnet wird. Ein EXCLUDE NULL-Bericht gibt an, dass der Host der Multicastgruppe beitreten und Pakete von allen Quellen empfangen möchte.

Geräte, die IGMPv3 unterstützen, verarbeiten INCLUDE- und EXCLUDE-Mitgliedschaftsberichte, und die meisten Geräte leiten quellenspezifischen Multicast-Datenverkehr (SSM) nur von angeforderten Quellen an abonnierte Empfänger weiter. Es kann jedoch vorkommen, dass das Gerät in einigen Konfigurationen, z. B.:

• Switches der EX- und QFX-Serie, die nicht den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwenden

• EX2300- und EX3400-Switches mit Junos OS-Versionen vor 18.1R2

• EX4300-Switches mit Junos OS-Versionen vor 18.2R1, 18.1R2, 17.4R2, 17.3R3, 17.2R3 und 14.1X53-D47

• Service-Gateways der SRX-Serie

In diesen Fällen konsolidiert das Gerät möglicherweise alle Berichte im INCLUDE- und EXCLUDE-Modus, die es in einem VLAN für eine bestimmte Gruppe erhält, in einer einzigen Route, die alle Multicast-Quellen für diese Gruppe enthält, wobei der nächste Hop alle Schnittstellen darstellt, die interessierte Empfänger für die Gruppe haben. Infolgedessen können interessierte Empfänger im VLAN Datenverkehr von einer Quelle empfangen, die sie nicht in ihren INCLUDE-Bericht aufgenommen haben, oder von einer Quelle, die sie in ihrem EXCLUDE-Bericht ausgeschlossen haben. Wenn z. B. Host 1 Datenverkehr für G von Quelle A und Host 2 Datenverkehr für Gruppe G von Quelle B möchte, erhalten beide Datenverkehr für Gruppe G, unabhängig davon, ob A oder B den Datenverkehr sendet.

IGMP-Snooping- und Weiterleitungsschnittstellen

Um zu bestimmen, wie Multicast-Datenverkehr weitergeleitet werden soll, verwaltet das Gerät mit aktiviertem IGMP-Snooping Informationen zu den folgenden Schnittstellen in seiner Multicast-Weiterleitungstabelle:

• Multicast-Router-Schnittstellen: Diese Schnittstellen führen zu Multicast-Routern oder IGMP-Queriers.

• Schnittstellen für Gruppenmitglieder: Diese Schnittstellen führen zu Hosts, die Mitglieder von Multicast-Gruppen sind.

Das Gerät lernt diese Schnittstellen kennen, indem es den IGMP-Datenverkehr überwacht. Wenn eine Schnittstelle IGMP-Abfragen oder PIM-Updates (Protocol Independent Multicast) empfängt, fügt das Gerät die Schnittstelle als Multicast-Router-Schnittstelle zu seiner Multicast-Weiterleitungstabelle hinzu. Wenn eine Schnittstelle Mitgliedschaftsberichte für eine Multicast-Gruppe empfängt, fügt das Gerät die Schnittstelle als Gruppen-Mitglieder-Schnittstelle zu seiner Multicast-Weiterleitungstabelle hinzu.

Gelernte Interface-Tabelleneinträge altern nach einer gewissen Zeitspanne. Wenn z. B. eine gelernte Multicast-Router-Schnittstelle innerhalb eines bestimmten Intervalls keine IGMP-Abfragen oder PIM-Hellos empfängt, entfernt das Gerät den Eintrag für diese Schnittstelle aus seiner Multicast-Weiterleitungstabelle.

Sie können eine Schnittstelle statisch als Multicast-Router-Schnittstelle oder als Gruppenmitgliedsschnittstelle konfigurieren. Das Gerät fügt seiner Multicast-Weiterleitungstabelle eine statische Schnittstelle hinzu, ohne sich mit der Schnittstelle vertraut machen zu müssen, und der Eintrag in der Tabelle unterliegt keiner Alterung. Ein Gerät kann eine Mischung aus statisch konfigurierten und dynamisch erlernten Schnittstellen haben.

Allgemeine Weiterleitungsregeln

Eine Schnittstelle in einem VLAN mit aktiviertem IGMP-Snooping empfängt Multicast-Datenverkehr und leitet ihn gemäß den folgenden Regeln weiter.

IGMP-Datenverkehr:

• Leiten Sie allgemeine IGMP-Abfragen, die auf einer Multicast-Router-Schnittstelle empfangen werden, an alle anderen Schnittstellen im VLAN weiter.

• Leiten Sie gruppenspezifische IGMP-Abfragen, die auf einer Multicast-Router-Schnittstelle empfangen werden, nur an die Schnittstellen im VLAN weiter, die Mitglieder der Gruppe sind.

• Leiten Sie IGMP-Berichte, die auf einer Hostschnittstelle empfangen werden, an Multicast-Router-Schnittstellen im selben VLAN weiter, aber nicht an die anderen Hostschnittstellen im VLAN.

Multicast-Datenverkehr, bei dem es sich nicht um IGMP-Datenverkehr handelt:

• Überfluten Sie Multicast-Pakete mit der Zieladresse 233.252.0.0/24 an alle anderen Schnittstellen im VLAN.

• Leiten Sie nicht registrierte Multicast-Pakete (Pakete für eine Gruppe, die derzeit keine Mitglieder hat) an alle Multicast-Router-Schnittstellen im VLAN weiter.

• Leiten Sie registrierte Multicast-Pakete an die Hostschnittstellen im VLAN weiter, die Mitglieder der Multicast-Gruppe sind, sowie an alle Multicast-Router-Schnittstellen im VLAN.

Verwenden des Geräts als IGMP-Abfrager

Beim IGMP-Snooping in einem reinen lokalen Layer-2-Netzwerk (d. h., Layer 3 ist im Netzwerk nicht aktiviert) wird der Multicast-Datenverkehr möglicherweise nicht ordnungsgemäß über das Netzwerk weitergeleitet, wenn das Netzwerk keinen Multicast-Router enthält. Dieses Problem kann auftreten, wenn das lokale Netzwerk so konfiguriert ist, dass Multicast-Datenverkehr zwischen Geräten weitergeleitet werden muss, um einen Multicastempfänger zu erreichen. In diesem Fall leitet ein Upstream-Gerät keinen Multicast-Datenverkehr an ein Downstream-Gerät (und damit an die Multicast-Empfänger, die an das Downstream-Gerät angeschlossen sind) weiter, da das Downstream-Gerät keine IGMP-Berichte an das Upstream-Gerät weiterleitet. Sie können dieses Problem lösen, indem Sie eines der Geräte als IGMP-Abfrager konfigurieren. Das IGMP-Abfragegerät sendet in regelmäßigen Abständen allgemeine Abfragepakete an alle Geräte im Netzwerk, wodurch sichergestellt wird, dass die Snooping-Mitgliedschaftstabellen aktualisiert werden und Multicast-Datenverkehrsverluste verhindert werden.

Wenn Sie mehrere Geräte als IGMP-Abfrager konfigurieren, hat das Gerät mit der niedrigsten (kleinsten) IGMP-Abfrage-Quelladresse Vorrang und fungiert als Abfragegerät. Die Geräte mit höheren IGMP-Abfrage-Quelladressen senden keine IGMP-Abfragen mehr, es sei denn, sie empfangen 255 Sekunden lang keine IGMP-Abfragen. Wenn das Gerät mit einer höheren IGMP-Abfrage-Quelladresse während dieses Zeitraums keine IGMP-Abfragen empfängt, beginnt es erneut, Abfragen zu senden.

Geben Sie Folgendes ein, um ein Gerät so zu konfigurieren, dass es als IGMP-Abfrager fungiert:

Geben Sie Folgendes ein, um einen QFabric Node-Geräte-Switch so zu konfigurieren, dass er als IGMP-Abfrager fungiert:

IGMP-Snooping in privaten VLANs (PVLANs)

Ein PVLAN besteht aus sekundären, isolierten und Community-VLANs, die in einem primären VLAN konfiguriert sind. Ohne IGMP-Snooping-Unterstützung in den sekundären VLANs werden Multicast-Streams, die im primären VLAN empfangen werden, an die sekundären VLANs geflutet.

Ab Junos OS Version 18.3R1 unterstützen EX4300-Switches und EX4300 Virtual Chassis IGMP-Snooping mit PVLANs. Ab Junos OS Version 19.2R1 unterstützen EX4300-Multigigabit-Switches IGMP-Snooping mit PVLANs. Wenn Sie IGMP-Snooping in einem primären VLAN aktivieren, haben Sie es implizit auch in allen sekundären VLANs aktiviert. Das Gerät lernt und speichert Multicast-Gruppeninformationen im primären VLAN und lernt auch die Multicast-Gruppeninformationen in den sekundären VLANs im Kontext des primären VLANs. Infolgedessen schränkt das Gerät Multicast-Streams weiter auf interessierte Empfänger in sekundären VLANs ein, anstatt den Datenverkehr in allen sekundären VLANs zu überfluten.

Die CLI verhindert, dass Sie IGMP-Snooping explizit in sekundären, isolierten oder Community-VLANs konfigurieren. Sie müssen IGMP-Snooping nur für das primäre VLAN konfigurieren, unter dem die sekundären VLANs definiert sind. Beispiel: Für ein primäres VLAN vlan-pri mit einem sekundären isolierten VLAN vlan-iso und einem sekundären Community-VLAN vlan-comm:

IGMP-Berichte und Abwesenheitsnachrichten, die an sekundären VLAN-Ports empfangen werden, werden im Kontext des primären VLANs gelernt. Promiscuous-Trunk-Ports oder Inter-Switch-Verbindungen, die als Multicast-Router-Schnittstellen für das PVLAN fungieren, empfangen eingehende Multicast-Datenströme von Multicast-Quellen und leiten sie nur an die sekundären VLAN-Ports mit gelernten Multicast-Gruppeneinträgen weiter.

Diese Funktion unterstützt keine sekundären VLAN-Ports als Multicast-Router-Schnittstellen. Die CLI hindert Sie nicht strikt daran, eine Schnittstelle in einem Community-VLAN statisch als Multicast-Router-Port zu konfigurieren, aber IGMP-Snooping funktioniert auf PVLANs mit dieser Konfiguration nicht ordnungsgemäß. Wenn IGMP-Snooping in einem PVLAN konfiguriert ist, deaktiviert der Switch auch automatisch das dynamische Multicast-Router-Port-Lernen auf allen isolierten oder Community-VLAN-Schnittstellen. IGMP-Snooping mit PVLANs unterstützt auch keine Konfigurationen mit einem IGMP-Querier auf isolierten oder Community-VLAN-Schnittstellen.

Weitere Informationen zur Konfiguration von PVLANs finden Sie unter Grundlegendes zu privaten VLANs und Erstellen eines privaten VLANs, das sich über mehrere Switches der EX-Serie mit ELS-Unterstützung erstreckt (CLI-Verfahren).