Beispiel: Konfigurieren von IGMP-Snooping auf Geräten der SRX-Serie
Sie können IGMP-Snooping in einem VLAN aktivieren, um die Überflutung des IPv4-Multicast-Datenverkehrs in einem VLAN einzuschränken. Wenn IGMP-Snooping aktiviert ist, untersucht das Gerät IGMP-Nachrichten zwischen Hosts und Multicast-Routern und erkennt, welche Hosts am Empfang von Multicast-Datenverkehr für eine Multicast-Gruppe interessiert sind. Basierend auf den gewonnenen Erkenntnissen leitet das Gerät den Multicast-Datenverkehr dann nur an die Schnittstellen weiter, die mit den entsprechenden Empfängern verbunden sind, anstatt den Datenverkehr auf alle Schnittstellen zu überfluten.
In diesem Beispiel wird beschrieben, wie IGMP-Snooping konfiguriert wird:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Eine Firewall der SRX-Serie
Junos OS Version 18.1R1
Bevor Sie IGMP-Snooping konfigurieren, stellen Sie sicher, dass Sie über Folgendes verfügen:
Konfiguriertes VLAN v1 auf dem Gerät
Zugewiesene Schnittstellen ge-0/0/1, ge-0/0/2, ge-0/0/3 und ge-0/0/4 zu v1
Konfiguration von ge-0/0/3 als Trunk-Schnittstelle
Übersicht und Topologie
IGMP-Snooping steuert den Multicast-Datenverkehr in einem Switch-Netzwerk. Wenn IGMP-Snooping nicht aktiviert ist, sendet die Firewall der SRX-Serie Multicast-Datenverkehr von allen Ports, auch wenn die Hosts im Netzwerk den Multicast-Datenverkehr nicht wünschen. Wenn IGMP-Snooping aktiviert ist, überwacht die Firewall der SRX-Serie die IGMP-Join- und -Leave-Nachrichten, die von jedem verbundenen Host an einen Multicast-Router gesendet werden. Dadurch kann die Firewall der SRX-Serie die Multicast-Gruppen und die zugehörigen Mitgliedsports verfolgen. Die Firewall der SRX-Serie nutzt diese Informationen, um intelligente Entscheidungen zu treffen und Multicast-Datenverkehr nur an die vorgesehenen Zielhosts weiterzuleiten.
Topologie
Die Beispieltopologie ist in Abbildung 1 dargestellt.
In dieser Beispieltopologie leitet der Multicastrouter Multicastdatenverkehr von der Quelle an das Gerät weiter, wenn er einen Mitgliedschaftsbericht für die Gruppe 233.252.0.100 von einem der Hosts (z. B. Host B) empfängt. Wenn IGMP-Snooping auf VLAN100 nicht aktiviert ist, überflutet das Gerät den Multicast-Datenverkehr auf allen Schnittstellen in VLAN100 (mit Ausnahme der Schnittstelle GE-0/0/2.0). Wenn IGMP-Snooping auf VLAN100 aktiviert ist, überwacht das Gerät die IGMP-Nachrichten zwischen den Hosts und dem Router und kann so feststellen, dass nur Host B am Empfang des Multicast-Datenverkehrs interessiert ist. Das Gerät leitet den Multicast-Datenverkehr dann nur an die Schnittstelle ge-0/0/2 weiter.
Konfiguration
So konfigurieren Sie IGMP-Snooping auf einem Gerät:
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members v1 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members v1 set interfaces ge-0/0/3 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members v1 set interfaces ge-0/0/4 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members v1 set vlans v1 vlan-id 100 set protocols igmp-snooping vlan v1 query-interval 200 set protocols igmp-snooping vlan v1 query-response-interval 0.4 set protocols igmp-snooping vlan v1 query-last-member-interval 0.1 set protocols igmp-snooping vlan v1 robust-count 4 set protocols igmp-snooping vlan v1 immediate-leave set protocols igmp-snooping vlan v1 proxy set protocols igmp-snooping vlan v1 interface ge-0/0/1.0 host-only-interface set protocols igmp-snooping vlan v1 interface ge-0/0/1.0 group-limit 50 set protocols igmp-snooping vlan v1 interface ge-0/0/4.0 static group 233.252.0.100
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI-Benutzerhandbuch.
So konfigurieren Sie IGMP-Snooping:
Konfigurieren Sie die Schnittstellen für den Zugriffsmodus.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members v1 user@host# set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members v1 user@host# set interfaces ge-0/0/3 unit 0 family ethernet-switching interface-mode trunk user@host# set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members v1 user@host# set interfaces ge-0/0/4 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members v1
Konfigurieren Sie das VLAN.
[edit] user@host# set vlans v1 vlan-id 100
Aktivieren Sie IGMP-Snooping und konfigurieren Sie das Gerät so, dass es als Proxy dient.
[edit] user@host# set protocols igmp-snooping vlan v1 proxy
Konfigurieren Sie den Grenzwert für die Anzahl der Multicastgruppen, die auf der Schnittstelle ge-0/0/1.0 zulässig sind, auf 50.
[edit] user@host# set protocols igmp-snooping vlan v1 interface ge-0/0/1.0 group-limit 50
Konfigurieren Sie das Gerät so, dass eine Gruppenmitgliedschaft sofort aus einer Schnittstelle entfernt wird, wenn es eine Abwesenheitsnachricht von dieser Schnittstelle empfängt, ohne auf den Austausch anderer IGMP-Nachrichten zu warten.
[edit] user@host# set protocols igmp-snooping vlan v1 immediate-leave
Konfigurieren Sie das Interface ge-0/0/4 statisch als Multicast-Router-Schnittstelle.
[edit] user@host# set protocols igmp-snooping vlan v1 interface ge-0/0/4.0 static group 233.252.0.100
Konfigurieren Sie eine Schnittstelle so, dass sie ausschließlich auf den Host ausgerichtet ist (um IGMP-Abfragenachrichten zu löschen).
[edit] user@host# set protocols igmp-snooping vlan v1 interface ge-0/0/1.0 host-only-interface
Konfigurieren Sie die IGMP-Nachrichtenintervalle und die Anzahl der Robustheiten.
[edit] user@host# set protocols igmp-snooping vlan v1 query-interval 200 user@host# set protocols igmp-snooping vlan v1 query-response-interval 0.4 user@host# set protocols igmp-snooping vlan v1 query-last-member-interval 0.1 user@host# set protocols igmp-snooping vlan v1 robust-count 4
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
user@host# commit
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show protocols igmp-snooping Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show protocols igmp-snooping
vlan v1 {
query-interval 200;
query-response-interval 0.4;
query-last-member-interval 0.1;
robust-count 4;
immediate-leave;
proxy;
interface ge-0/0/1.0 {
host-only-interface;
group-limit 50;
}
interface ge-0/0/4.0 {
static {
group 233.252.0.100;
}
}
}
Verifizieren des IGMP-Snooping-Betriebs
Führen Sie die folgende Aufgabe aus, um zu überprüfen, ob IGMP-Snooping wie konfiguriert funktioniert:
IGMP-Snooping-Informationen für VLAN v1 anzeigen
Zweck
Stellen Sie sicher, dass IGMP-Snooping auf VLAN v1 aktiviert ist und dass ge-0/0/4 als Multicast-Router-Schnittstelle erkannt wird.
Aktion
Geben Sie im Betriebsmodus den show igmp snooping membership Befehl ein.
user@host> show igmp snooping membership Instance: default-switch Vlan: v1 Learning-Domain: default Interface: ge-0/0/4.0, Groups: 1 Group: 233.252.0.100 Group mode: Exclude Source: 0.0.0.0 Last reported by: Local Group timeout: 0 Type: Static
Bedeutung
Durch die Anzeige von Informationen für vlanv1 bestätigt die Befehlsausgabe, dass IGMP-Snooping im VLAN konfiguriert ist. Die Schnittstelle ge-0/0/4.0 wird als Multicast-Router-Schnittstelle aufgeführt, wie konfiguriert. Da keine der Hostschnittstellen aufgeführt ist, ist derzeit keiner der Hosts Empfänger für die Multicastgruppe.