AUF DIESER SEITE
MLD-Snooping verstehen
Multicast Listener Discovery (MLD)-Snooping schränkt die Flut von IPv6-Multicast-Datenverkehr in VLANs ein. Wenn MLD-Snooping in einem VLAN aktiviert ist, untersucht ein Gerät von Juniper Networks MLD-Nachrichten zwischen Hosts und Multicast-Routern und ermittelt, welche Hosts am Empfang von Datenverkehr für eine Multicast-Gruppe interessiert sind. Basierend auf den gewonnenen Erkenntnissen leitet das Gerät den Multicast-Datenverkehr dann nur an die Schnittstellen im VLAN weiter, die mit interessierten Empfängern verbunden sind, anstatt den Datenverkehr auf alle Schnittstellen zu überfluten.
MLD-Snooping unterstützt MLD Version 1 (MLDv1) und MLDv2. Ausführliche Informationen zu MLDv1 und MLDv2 finden Sie in den folgenden Standards:
MLDv1 – Siehe RFC 2710, Multicast Listener Discovery (MLD) für IPv6.
MLDv2 – Siehe RFC 3810, Multicast Listener Discovery Version 2 (MLDv2) für IPv6.
Vorteile von MLD-Snooping
Optimized bandwidth utilization—Der Hauptvorteil von MLD-Snooping besteht darin, die Überflutung von Paketen zu reduzieren. IPv6-Multicast-Daten werden selektiv an eine Liste von Ports weitergeleitet, die die Daten empfangen möchten, anstatt auf alle Ports in einem VLAN geflutet zu werden.
Improved security—Denial-of-Service-Angriffe aus unbekannten Quellen werden verhindert.
So funktioniert MLD-Snooping
Standardmäßig überflutet das Gerät Layer-2-Multicast-Datenverkehr auf allen Schnittstellen, die zu diesem VLAN auf dem Gerät gehören, mit Ausnahme der Schnittstelle, die die Quelle des Multicast-Datenverkehrs ist. Dieses Verhalten kann erhebliche Mengen an Bandbreite beanspruchen.
Sie können MLD-Snooping aktivieren, um diese Überflutung zu vermeiden. Wenn Sie MLD-Snooping aktivieren, überwacht das Gerät MLD-Nachrichten zwischen Empfängern (Hosts) und Multicast-Routern und verwendet den Inhalt der Nachrichten, um eine IPv6-Multicast-Weiterleitungstabelle zu erstellen – eine Datenbank mit IPv6-Multicast-Gruppen und den Schnittstellen, die mit den interessierten Mitgliedern jeder Gruppe verbunden sind. Wenn das Gerät Multicast-Datenverkehr für eine Multicast-Gruppe empfängt, verwendet es die Weiterleitungstabelle, um den Datenverkehr nur an Schnittstellen weiterzuleiten, die mit Empfängern verbunden sind, die zur Multicast-Gruppe gehören.
Abbildung 1 zeigt ein Beispiel für einen Multicast-Datenverkehrsfluss mit aktiviertem MLD-Snooping.
MLD-Snooping
MLD-Nachrichtentypen
Multicast-Router verwenden MLD, um für jedes ihrer angeschlossenen physischen Netzwerke zu lernen, welche Gruppen interessierte Zuhörer haben. In jedem Subnetz wird ein Multicast-Router ausgewählt, der als MLD-Abfrager fungiert. Der MLD-Abfrager sendet die folgenden Arten von Abfragen an Hosts:
Allgemeine Abfrage: Fragt, ob ein Host einer Gruppe lauscht.
Gruppenspezifische Abfrage: Fragt, ob ein Host einer bestimmten Multicast-Gruppe lauscht. Diese Abfrage wird als Antwort gesendet, wenn ein Host die Multicast-Gruppe verlässt, und ermöglicht es dem Router, schnell festzustellen, ob verbleibende Hosts an der Gruppe interessiert sind.
Gruppen- und quellenspezifische Abfrage (nur MLD-Version 2) Fragt, ob ein Host den Gruppen-Multicast-Datenverkehr von einer bestimmten Multicast-Quelle überwacht. Diese Abfrage wird als Antwort an einen Host gesendet, der angibt, dass er nicht mehr daran interessiert ist, Gruppen-Multicast-Datenverkehr von der Multicast-Quelle zu empfangen, und ermöglicht es dem Router, schnell zu ermitteln, dass alle verbleibenden Hosts daran interessiert sind, Gruppen-Multicast-Datenverkehr von dieser Quelle zu empfangen.
Hosts, die Multicast-Listener sind, senden die folgenden Arten von Nachrichten:
Mitgliedschaftsbericht: Gibt an, dass der Host einer bestimmten Multicast-Gruppe beitreten möchte.
Bericht verlassen: Gibt an, dass der Host eine bestimmte Multicast-Gruppe verlassen möchte.
Nur MLDv1-Hosts verwenden zwei verschiedene Arten von Berichten, um anzugeben, ob sie einer Gruppe beitreten oder sie verlassen möchten. MLDv2-Hosts senden nur eine Art von Bericht, dessen Inhalt angibt, ob sie einer Gruppe beitreten oder sie verlassen möchten. Der Einfachheit halber wird in der MLD-Snooping-Dokumentation jedoch der Begriff "Mitgliedschaftsbericht " für einen Bericht verwendet, der angibt, dass ein Host einer Gruppe beitreten möchte, und der Begriff "Abwesenheitsbericht " für einen Bericht, der angibt, dass ein Host eine Gruppe verlassen möchte.
Wie Hosts Multicast-Gruppen beitreten und verlassen
Hosts können Multicast-Gruppen auf zwei Arten beitreten:
Durch Senden eines unaufgeforderten Mitgliedschaftsberichts, der die Multicastgruppe angibt, der der Host beitreten möchte.
Durch Senden eines Mitgliedschaftsberichts als Antwort auf eine Abfrage von einem Multicast-Router.
Ein Multicast-Router leitet weiterhin Multicast-Datenverkehr an eine Schnittstelle weiter, vorausgesetzt, dass mindestens ein Host auf dieser Schnittstelle auf die regelmäßigen allgemeinen Abfragen antwortet, die seine Mitgliedschaft angeben. Damit ein Host Mitglied einer Multicastgruppe bleibt, muss er daher weiterhin auf die regelmäßigen allgemeinen Abfragen antworten.
Hosts können Multicast-Gruppen auf zwei Arten verlassen:
Indem sie nicht innerhalb eines festgelegten Zeitintervalls auf regelmäßige Anfragen antworten. Dies führt zu einem sogenannten "stillen Urlaub".
Durch das Versenden eines Urlaubsberichts.
Wenn ein Host über einen Hub mit dem Gerät verbunden ist, verlässt der Host die Multicastgruppe nicht automatisch, wenn er die Verbindung zum Hub trennt. Der Host bleibt Mitglied der Gruppe, bis bei der Gruppenmitgliedschaft eine Zeitüberschreitung auftritt und ein stiller Urlaub eintritt. Wenn ein anderer Host vor dem stillen Austritt eine Verbindung mit dem Hub-Port herstellt, empfängt der neue Host möglicherweise den Multicastdatenverkehr der Gruppe bis zum stillen Austritt, obwohl er nie einen Mitgliedschaftsbericht gesendet hat.
Unterstützung für MLDv2-Multicastquellen
In MLDv2 kann ein Host einen Mitgliedschaftsbericht senden, der eine Liste von Quelladressen enthält. Wenn der Host einen Mitgliedschaftsbericht im INCLUDE-Modus sendet, ist der Host nur an Gruppen-Multicast-Datenverkehr von den Quellen in der Quelladressliste interessiert. Wenn der Host einen Mitgliedschaftsbericht im EXCLUDE-Modus sendet, ist der Host an Gruppen-Multicast-Datenverkehr aus einer beliebigen Quelle mit Ausnahme der Quellen in der Quelladressliste interessiert. Ein Host kann auch einen EXCLUDE-Bericht senden, in dem der Quelllistenparameter leer ist, was als EXCLUDE NULL-Bericht bezeichnet wird. Ein EXCLUDE NULL-Bericht gibt an, dass der Host der Multicastgruppe beitreten und Pakete von allen Quellen empfangen möchte.
Geräte, die MLD-Snooping unterstützen, unterstützen MLDv2-Mitgliedschaftsberichte, die sich im INCLUDE- und EXCLUDE-Modus befinden. Firewalls der SRX-Serie, Switches der QFX-Serie und Switches der EX-Serie, die MLD-Snooping ausführen, mit Ausnahme der EX9200-Switches, unterstützen jedoch keine Weiterleitung pro Quelle. Stattdessen konsolidiert das Gerät alle Berichte im INCLUDE- und EXCLUDE-Modus, die es in einem VLAN für eine bestimmte Gruppe erhält, in einer einzigen Route, die alle Multicast-Quellen für diese Gruppe enthält, wobei der nächste Hop alle Schnittstellen sind, die interessierte Empfänger für die Gruppe haben. Infolgedessen können interessierte Empfänger im VLAN Datenverkehr von einer Quelle empfangen, die sie nicht in ihren INCLUDE-Bericht aufgenommen haben, oder von einer Quelle, die sie in ihrem EXCLUDE-Bericht ausgeschlossen haben. Wenn Host 1 beispielsweise Datenverkehr für Gruppe G von Quelle A und Host 2 Datenverkehr für Gruppe G von Quelle B möchte, erhalten beide Datenverkehr für Gruppe G, unabhängig davon, ob A oder B den Datenverkehr sendet.
MLD-Snooping- und Weiterleitungsschnittstellen
Um zu bestimmen, wie Multicast-Datenverkehr weitergeleitet werden soll, verwaltet das Gerät mit aktiviertem MLD-Snooping Informationen zu den folgenden Schnittstellen in seiner Multicast-Weiterleitungstabelle:
Multicast-Router-Schnittstellen: Diese Schnittstellen führen zu Multicast-Routern oder MLD-Abfragen.
Schnittstellen für Gruppenmitglieder: Diese Schnittstellen führen zu Hosts, die Mitglieder von Multicast-Gruppen sind.
Das Gerät lernt diese Schnittstellen kennen, indem es den MLD-Datenverkehr überwacht. Wenn eine Schnittstelle MLD-Abfragen empfängt, fügt das Gerät die Schnittstelle als Multicast-Router-Schnittstelle zu seiner Multicast-Weiterleitungstabelle hinzu. Wenn eine Schnittstelle Mitgliedschaftsberichte für eine Multicast-Gruppe empfängt, fügt das Gerät die Schnittstelle als Gruppen-Mitglieder-Schnittstelle zu seiner Multicast-Weiterleitungstabelle hinzu.
Tabelleneinträge für Schnittstellen, die das Gerät kennenlernt, unterliegen der Alterung. Wenn z. B. eine gelernte Multicast-Router-Schnittstelle innerhalb eines bestimmten Intervalls keine MLD-Abfragen empfängt, entfernt das Gerät den Eintrag für diese Schnittstelle aus seiner Multicast-Weiterleitungstabelle.
Damit das Gerät Multicast-Router-Schnittstellen und Gruppenmitgliederschnittstellen erlernen kann, muss ein MLD-Abfrager im Netzwerk vorhanden sein. Damit das Gerät selbst als MLD-Abfrager fungiert, muss MLD auf dem Gerät aktiviert sein.
Sie können eine Schnittstelle statisch als Multicast-Router-Schnittstelle oder als Gruppenmitgliedsschnittstelle konfigurieren. Das Gerät fügt seiner Multicast-Weiterleitungstabelle eine statische Schnittstelle hinzu, ohne sich mit der Schnittstelle vertraut machen zu müssen, und der Eintrag in der Tabelle unterliegt keiner Alterung. Sie können eine Mischung aus statisch konfigurierten und dynamisch erlernten Schnittstellen auf dem Gerät haben.
Allgemeine Weiterleitungsregeln
Multicast-Datenverkehr, der auf der Geräteschnittstelle in einem VLAN empfangen wird, in dem MLD-Snooping aktiviert ist, wird gemäß den folgenden Regeln weitergeleitet.
Der Datenverkehr im MLD-Protokoll wird wie folgt weitergeleitet:
Allgemeine MLD-Abfragen, die auf einer Multicast-Router-Schnittstelle eingehen, werden an alle anderen Schnittstellen im VLAN weitergeleitet.
Gruppenspezifische MLD-Abfragen, die auf einer Multicast-Router-Schnittstelle eingehen, werden nur an die Schnittstellen im VLAN weitergeleitet, die Mitglieder der Gruppe sind.
MLD-Berichte, die auf einer Hostschnittstelle empfangen werden, werden an Multicast-Router-Schnittstellen im selben VLAN, aber nicht an die anderen Hostschnittstellen im VLAN weitergeleitet.
Multicast-Datenverkehr, bei dem es sich nicht um Datenverkehr des MLD-Protokolls handelt, wird wie folgt weitergeleitet:
Ein nicht registriertes Multicast-Paket, d. h. ein Paket für eine Gruppe, die derzeit keine Mitglieder hat, wird an alle Multicast-Router-Schnittstellen im VLAN weitergeleitet.
Ein registriertes Multicast-Paket wird nur an die Hostschnittstellen im VLAN weitergeleitet, die Mitglieder der Multicast-Gruppe sind, sowie an alle Multicast-Router-Schnittstellen im VLAN.
Wenn IGMP- und MLD-Snooping im selben VLAN aktiviert sind, werden Multicast-Router-Schnittstellen als Teil der IGMP- und MLD-Snooping-Konfiguration erstellt. Nicht registrierter Multicast-Datenverkehr wird nicht blockiert und kann über Routerschnittstellen geleitet werden. Aufgrund von Hardwarebeschränkungen kann nicht registrierter IPv4-Multicast-Datenverkehr über die Multicast-Routerschnittstellen geleitet werden, die im Rahmen der MLD-Snooping-Konfiguration erstellt wurden, und nicht registrierter IPv6-Multicast-Datenverkehr kann über Multicast-Router-Schnittstellen geleitet werden, die im Rahmen der IGMP-Snooping-Konfiguration erstellt wurden.
Beispiele für MLD-Snooping Multicast-Weiterleitung
Die folgenden Beispiele veranschaulichen, wie MLD-Snooping Multicast-Datenverkehr in verschiedenen Topologien weiterleitet:
- Szenario 1: Weiterleiten von Multicast-Datenverkehr an einen Multicast-Router und -Hosts
- Szenario 2: Gerät leitet Multicast-Datenverkehr an ein anderes Gerät weiter
- Szenario 3: Gerät, das nur mit Hosts verbunden ist (kein MLD-Abfragegerät)
- Szenario 4: Layer-2-/Layer-3-Geräte leiten Multicast-Datenverkehr zwischen VLANs weiter
Szenario 1: Weiterleiten von Multicast-Datenverkehr an einen Multicast-Router und -Hosts
In der in Abbildung 2 dargestellten Topologie empfängt das Gerät, das als Layer-2-Gerät fungiert, Multicastdatenverkehr, der zur Multicastgruppe ff1e::2010 gehört, von Quelle A, die mit dem Multicastrouter verbunden ist. Es empfängt auch Multicast-Datenverkehr, der zur Multicastgruppe ff15::2 gehört, von Quelle B, die direkt mit dem Gerät verbunden ist. Alle Schnittstellen auf dem Gerät gehören zum selben VLAN.
Da das Gerät MLD-Abfragen vom Multicast-Router an Schnittstelle P1 empfängt, lernt das MLD-Snooping, dass es sich bei Schnittstelle P1 um eine Multicast-Router-Schnittstelle handelt, und fügt die Schnittstelle seiner Multicast-Weiterleitungstabelle hinzu. Er leitet alle allgemeinen MLD-Abfragen, die er über diese Schnittstelle empfängt, an alle Hostschnittstellen auf dem Gerät weiter und leitet im Gegenzug Mitgliedschaftsberichte, die er von Hosts erhält, an die Multicast-Router-Schnittstelle weiter.
Im Beispiel haben die Hosts A und C auf die allgemeinen Abfragen mit Mitgliedschaftsberichten für die Gruppe ff1e::2010 geantwortet. MLD-Snooping fügt die Schnittstellen P2 und P4 als Mitgliedsschnittstellen für die Gruppe ff1e::2010 zur Multicastweiterleitungstabelle hinzu. Er leitet den von Quelle A empfangenen Gruppen-Multicast-Datenverkehr an die Hosts A und C weiter, aber nicht an die Hosts B und D.
Host B hat auf die allgemeinen Anfragen mit einem Mitgliedschaftsbericht für die Gruppe ff15::2 geantwortet. Das Gerät fügt seiner Multicast-Weiterleitungstabelle die Schnittstelle P3 als Mitgliedsschnittstelle für die Gruppe ff15::2 hinzu und leitet den Multicast-Datenverkehr, den es von Quelle B empfängt, an Host B weiter. Das Gerät leitet auch den Multicast-Datenverkehr, den es von Quelle B empfängt, an die Multicast-Router-Schnittstelle P1 weiter.
weiter
Szenario 2: Gerät leitet Multicast-Datenverkehr an ein anderes Gerät weiter
In der in Abbildung 3 dargestellten Topologie ist eine Multicastquelle mit Gerät A verbunden. Gerät A wiederum ist mit einem anderen Gerät, Gerät B, verbunden. Hosts auf Gerät A und B sind potenzielle Mitglieder der Multicastgruppe. Beide Geräte fungieren als Layer-2-Geräte, und alle Schnittstellen auf den Geräten sind Mitglieder desselben VLANs.
Gerät A empfängt MLD-Abfragen vom Multicast-Router an Schnittstelle P1, wodurch Schnittstelle P1 zu einer Multicast-Router-Schnittstelle für Gerät A wird. Gerät A leitet alle allgemeinen Abfragen, die es auf dieser Schnittstelle empfängt, an die anderen Schnittstellen auf dem Gerät weiter, einschließlich der Schnittstelle, die Gerät B verbindet. Da Gerät B die weitergeleiteten MLD-Abfragen an Schnittstelle P6 empfängt, ist P6 die Multicast-Router-Schnittstelle für Gerät B. Gerät B leitet den Mitgliedschaftsbericht, den es von Host C erhält, über seine Multicast-Router-Schnittstelle an Gerät A weiter. Gerät A leitet den Mitgliedschaftsbericht an seine Multicast-Router-Schnittstelle weiter, nimmt die Schnittstelle P5 als Gruppenmitgliederschnittstelle in seine Multicast-Weiterleitungstabelle auf und leitet Multicast-Datenverkehr von der Quelle an Gerät B weiter.
weiter
In bestimmten Implementierungen müssen Sie möglicherweise P6 auf Gerät B als statische Multicast-Router-Schnittstelle konfigurieren, um eine Verzögerung beim Empfang von Multicast-Datenverkehr auf einem Host zu vermeiden. Wenn Gerät B beispielsweise unaufgeforderte Mitgliedschaftsberichte von seinen Hosts empfängt, bevor es erfährt, welche Schnittstelle seine Multicast-Router-Schnittstelle ist, leitet es diese Berichte nicht an Gerät A weiter. Wenn Gerät A dann Multicast-Datenverkehr empfängt, leitet es den Datenverkehr nicht an Gerät B weiter, da es keine Mitgliedschaftsberichte auf Schnittstelle P5 erhalten hat. Dieses Problem wird behoben, wenn der Multicast-Router seine nächste allgemeine Abfrage sendet. Dies kann jedoch zu einer Verzögerung beim Empfang von Multicast-Datenverkehr auf dem Host führen. Sie können die Schnittstelle P6 statisch als Multicast-Router-Schnittstelle konfigurieren, um dieses Problem zu lösen.
Szenario 3: Gerät, das nur mit Hosts verbunden ist (kein MLD-Abfragegerät)
In der in Abbildung 4 dargestellten Topologie ist das Gerät mit einer Multicastquelle und mit Hosts verbunden. In dieser Topologie gibt es keinen Multicast-Router und daher auch keinen MLD-Querier. Ohne einen MLD-Abfrager, auf den er antworten kann, sendet ein Gastgeber keine regelmäßigen Mitgliedschaftsberichte. Selbst wenn der Host einen unaufgeforderten Mitgliedschaftsbericht sendet, um einer Multicast-Gruppe beizutreten, kommt es bei seiner Mitgliedschaft in der Multicast-Gruppe zu einer Zeitüberschreitung.
Damit MLD-Snooping in diesem Netzwerk ordnungsgemäß funktioniert, sodass das Gerät Multicast-Datenverkehr nur an die Hosts A und C weiterleitet, können Sie entweder:
Konfigurieren Sie die Schnittstellen P2 und P4 als statische Schnittstellen für Gruppenmitglieder.
Konfigurieren Sie eine geroutete VLAN-Schnittstelle (RVI), die auch als integrierte Routing- und Bridging-Schnittstelle (IRB) bezeichnet wird, im VLAN, und aktivieren Sie MLD darauf. In diesem Fall fungiert das Gerät selbst als MLD-Abfrager, und die Hosts können der Multicastgruppe dynamisch beitreten und ihre Gruppenmitgliedschaft aktualisieren, indem sie auf die Abfragen antworten.
Szenario 4: Layer-2-/Layer-3-Geräte leiten Multicast-Datenverkehr zwischen VLANs weiter
In der in Abbildung 5 dargestellten Topologie sind eine Multicast-Quelle, Multicast-Router A sowie die Hosts A und B mit dem Gerät verbunden und befinden sich in VLAN 10. Multicast-Router B und die Hosts C und D sind ebenfalls mit dem Gerät verbunden und befinden sich in VLAN 20.
In einer reinen Layer-2-Umgebung wird der Datenverkehr nicht zwischen VLANs weitergeleitet. Damit Host C den Multicast-Datenverkehr von der Quelle in VLAN 10 empfängt, müssen RVIs (oder IRB-Schnittstellen) in VLAN 10 und VLAN 20 erstellt werden, um das Routing des Multicast-Datenverkehrs zwischen den VLANs zu ermöglichen.
weiter