Beispiel: Konfigurieren von Multicast-Snooping
Grundlegendes zu Multicast-Snooping
Netzwerkgeräte wie Router arbeiten hauptsächlich auf Paketebene oder Layer 3. Andere Netzwerkgeräte wie Bridges oder LAN-Switches arbeiten hauptsächlich auf Frame-Ebene oder Layer 2. Multicasting funktioniert hauptsächlich auf Paketebene, Layer 3, aber es gibt eine Möglichkeit, Layer-3-IP-Multicast-Gruppenadressen Layer-2-MAC-Multicast-Gruppenadressen auf Frame-Ebene zuzuordnen.
Router können sowohl Layer-2- als auch Layer-3-Adressierungsinformationen verarbeiten, da der Frame und seine Adressen verarbeitet werden müssen, um auf das darin enthaltene gekapselte Paket zugreifen zu können. Router können Layer-3-Multicast-Protokolle wie PIM oder IGMP ausführen und bestimmen, wohin Multicast-Inhalte weitergeleitet werden sollen oder wann ein Host auf einer Schnittstelle einer Gruppe beitritt oder diese verlässt. Bridges und LAN-Switches sollten als Layer-2-Geräte jedoch keinen Zugriff auf die Multicast-Informationen in den Paketen haben, die ihre Frames übertragen.
Wie sollen dann Bridges und andere Layer-2-Geräte feststellen, wann ein Gerät auf einer Schnittstelle einem Multicast-Baum beitritt oder diesen verlässt, oder ob ein Host in einem angeschlossenen LAN den Inhalt einer bestimmten Multicast-Gruppe empfangen möchte?
Die Antwort besteht darin, dass das Layer-2-Gerät Multicast-Snooping implementiert. Multicast-Snooping ist ein allgemeiner Begriff und bezieht sich auf den Prozess, bei dem ein Layer-2-Gerät den Inhalt des Layer-3-Pakets "ausspioniert", um zu bestimmen, welche Aktionen zur Verarbeitung oder Weiterleitung eines Frames ausgeführt werden. Es gibt spezifischere Formen des Snooping, wie z. B. IGMP-Snooping oder PIM-Snooping. In allen Fällen beinhaltet Snooping, dass ein Gerät, das für den Betrieb auf Layer 2 konfiguriert ist, Zugriff auf normalerweise "verbotene" Layer-3-(Paket-)Informationen hat. Snooping macht Multicasting in diesen Geräten effizienter.
Siehe auch
Grundlegendes zu Multicast-Snooping und VPLS-Root-Schutz
Snooping tritt auf, wenn ein Layer-2-Protokoll, z. B. ein Spanning-Tree-Protokoll, die Betriebsdetails eines Layer-3-Protokolls wie des Internet Group Management Protocol (IGMP) oder eines anderen Multicast-Protokolls kennt. Snooping ist erforderlich, wenn Layer-2-Geräte wie VLAN-Switches Layer-3-Informationen wie die MAC-Adressen (Media Access Control) von Mitgliedern einer Multicast-Gruppe kennen müssen.
Der VPLS-Root-Schutz ist ein Spanning-Tree-Protokollprozess, bei dem nur eine Schnittstelle in einer mehrfach vernetzten Umgebung aktiv Spanning-Tree-Protokollrahmen weiterleitet. Dadurch wird der Stamm des Spanning Tree vor Überbrückungsschleifen geschützt, aber auch verhindert, dass beide Geräte in der mehrfach vernetzten Topologie Informationen wie IGMP-Mitgliedschaftsberichte ausspionieren.
Stellen Sie sich beispielsweise eine Sammlung von Multicast-fähigen Hosts vor, die mit zwei Kunden-Edge-Routern (CE1 und CE2) verbunden sind, die miteinander verbunden sind (eine CE1-CE2-Verbindung ist konfiguriert) und mit zwei Provider-Edge-Routern (PE2) multihomet sind (PE1 bzw. PE2). Der aktive PE empfängt aufgrund des Root-Schutzvorgangs nur weitergeleitete Spanning-Tree-Protokollinformationen auf der aktiven PE-CE-Verbindung. Solange die CE1-CE2-Verbindung in Betrieb ist, ist dies kein Problem. Wenn jedoch die Verbindung zwischen CE1 und CE2 fehlschlägt und die andere PE zur aktiven Spanning-Tree-Protokollverbindung wird, sind keine Multicast-Snooping-Informationen für die neue aktive PE verfügbar. Der neue aktive PE leitet keinen Multicast-Datenverkehr an den CE und die Hosts weiter, die von diesem CE-Router bedient werden.
Der Dienstausfall wird behoben, sobald die Hosts neue IGMP-Berichte zur Gruppenmitgliedschaft an die CE-Router senden. Der Dienstausfall kann jedoch vermieden werden, wenn Multicast-Snooping-Informationen für beide PEs verfügbar sind, trotz des normalen Spanning-Tree-Protokoll-Root-Schutzbetriebs.
Sie können Multicast-Snooping so konfigurieren, dass Meldungen über Änderungen der Spanning Tree-Topologie in Bridge-Domänen auf virtuellen Switches und Standard-Routing-Switches von Bridge-Domänen ignoriert werden. Sie können den ignore-stp-topology-change Befehl verwenden, um Meldungen über Änderungen der Spanning Tree-Topologie zu ignorieren
Siehe auch
Konfigurieren von Multicast-Snooping
Um die allgemeinen Multicast-Snooping-Parameter für Router der MX-Serie zu konfigurieren, fügen Sie die multicast-snooping-options folgende Anweisung ein:
multicast-snooping-options { flood-groups [ ip-addresses ]; forwarding-cache { threshold suppress value <reuse value>; } graceful-restart <restart-duration seconds>; ignore-stp-topology-change; multichassis-lag-replicate-state; nexthop-hold-time milliseconds; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
Standardmäßig ist Multicast-Snooping deaktiviert. Sie können Multicast-Snooping in VPLS- oder virtuellen Switch-Instance-Typen in der Instance-Hierarchie aktivieren.
Wenn unter einer VPLS- oder virtuellen Switch-Instanz mehrere Bridge-Domänen konfiguriert sind, gelten die auf Instanzebene konfigurierten Multicast-Snooping-Optionen für alle Bridge-Domänen.
Die ignore-stp-topology-change Anweisung wird nur für den Routing-Instance-Typ des virtuellen Switches unterstützt und wird in der Hierarchie [edit logical-systems] nicht unterstützt.
Die nexthop-hold-time Anweisung wird nur in der [edit routing-instances routing-instance-name] Hierarchie und nur für den Instance-Typ virtual-switch oder vpls unterstützt.
Siehe auch
Beispiel: Konfigurieren von Multicast-Snooping
Dieses Beispiel zeigt, wie Multicast-Snooping in einem Bridge- oder VPLS-Routing-Instance-Szenario konfiguriert wird.
Anforderungen
In diesem Beispiel werden die folgenden Hardwarekomponenten verwendet:
Ein Router der MX-Serie
Ein Layer-3-Gerät, das als Multicast-Router fungiert
Bevor Sie beginnen:
Konfigurieren Sie die Schnittstellen.
Konfigurieren Sie ein internes Gateway-Protokoll. Routing-Geräte finden Sie in der Junos OS Routing Protocols Library.
Konfigurieren Sie ein Multicast-Protokoll. Diese Funktion funktioniert mit den folgenden Multicast-Protokollen:
DVMRP
PIM-DM
PIM-SM
PIM-SSM
Übersicht und Topologie
IGMP-Snooping verhindert, dass Layer-2-Geräte wahllos Multicast-Datenverkehr aus allen Schnittstellen überfluten. Die Einstellungen, die Sie für Multicast-Snooping konfigurieren, helfen bei der Verwaltung des Verhaltens von IGMP-Snooping.
Sie können Multicast-Snooping-Optionen auf der Standard-Master-Instance und auf einzelnen Bridge- oder VPLS-Instances konfigurieren. Die Standardkonfiguration der Master-Instanz ist global und gilt für alle einzelnen Bridge- oder VPLS-Instanzen im logischen Router. Die Konfiguration für die einzelnen Instanzen überschreibt die globale Konfiguration.
Dieses Beispiel enthält die folgenden Anweisungen:
flood-groups: Ermöglicht es Ihnen, Multicast-Gruppenadressen aufzulisten, für die der Datenverkehr überflutet werden muss. Diese Einstellung ist nützlich, um sicherzustellen, dass IGMP-Snooping das notwendige Multicast-Flooding nicht verhindert. Der Block der Multicast-Adressen von 224.0.0.1 bis 224.0.0.255 ist für die lokale Verwendung reserviert. Gruppen in diesem Bereich werden für verschiedene Verwendungszwecke zugewiesen, einschließlich Routing-Protokollen und lokalen Erkennungsmechanismen. OSPF verwendet beispielsweise 224.0.0.5 für alle OSPF-Router.
forwarding-cache: Gibt an, wie Weiterleitungseinträge veraltet werden und wie die Anzahl der Einträge gesteuert wird.
Sie können Schwellenwerte für den Weiterleitungscache konfigurieren, um das Snooping zu unterdrücken (auszusetzen), wenn die Cacheeinträge ein bestimmtes Maximum erreichen, und den Cache wiederzuverwenden, wenn die Anzahl auf einen anderen Schwellenwert fällt. Standardmäßig sind auf dem Router keine Schwellenwerte aktiviert.
Der Schwellenwert zum Unterdrücken unterdrückt neue Multicast-Weiterleitungscache-Einträge. Ein optionaler Wiederverwendungsschwellenwert gibt den Punkt an, an dem der Router beginnt, neue Multicast-Weiterleitungscache-Einträge zu erstellen. Der Bereich für beide Schwellenwerte liegt zwischen 1 und 200.000. Falls konfiguriert, muss der Wiederverwendungswert kleiner als der Unterdrückungswert sein. Der Unterdrückungswert ist obligatorisch. Wenn Sie den optionalen Wiederverwendungswert nicht angeben, ist die Anzahl der Multicast-Weiterleitungscacheeinträge auf den Unterdrückungswert beschränkt. Ein neuer Eintrag wird erstellt, sobald die Anzahl der Multicast-Weiterleitungs-Cache-Einträge unter den Unterdrückungswert fällt.
graceful-restart: Konfiguriert die Zeit, nach der Routen, die vor einem Neustart gelernt wurden, durch neu gelernte Routen ersetzt werden. Wenn der ordnungsgemäße Neustart für Multicast-Snooping deaktiviert ist, gehen Snooping-Informationen nach einem Neustart der Routing-Engine verloren.
Standardmäßig beträgt die Dauer eines ordnungsgemäßen Neustarts 180 Sekunden (3 Minuten). Sie können diesen Wert zwischen 0 und 300 Sekunden einstellen. Wenn Sie die Dauer auf 0 festlegen, wird der ordnungsgemäße Neustart effektiv deaktiviert. Legen Sie diesen Wert etwas größer als das Antwortintervall für IGMP-Abfragen fest.
ignore-stp-topology-change - Konfiguriert den Router der MX-Serie so, dass Meldungen über die Statusänderung der Spanning-Tree-Topologie ignoriert werden.
Standardmäßig erkennt der IGMP-Snooping-Prozess auf einem Router der MX-Serie Änderungen des Schnittstellenstatus, die von einem der Spanning Tree Protocols (STPs) vorgenommen wurden.
In einer VPLS-Multihoming-Umgebung, in der zwei PE-Router mit zwei miteinander verbundenen CE-Routern verbunden sind und der STP-Root-Schutz auf den PE-Routern aktiviert ist, befindet sich eine der PE-Routerschnittstellen im Weiterleitungsstatus und die andere im Blockierungszustand.
Wenn die Verbindung zwischen den beiden CE-Routern ausfällt, geht die PE-Router-Schnittstelle im Blockierungszustand in den Weiterleitungsstatus über.
Die PE-Router-Schnittstelle wartet nicht auf den Empfang von Mitgliedschaftsberichten als Antwort auf die nächste allgemeine oder gruppenspezifische Abfrage. Stattdessen sendet der IGMP-Snooping-Prozess eine allgemeine Abfragenachricht an den CE-Router. Die Hosts, die mit dem CE-Router verbunden sind, antworten mit Berichten für alle Gruppen, an denen sie interessiert sind.
Wenn die Verbindung zwischen den beiden CE-Routern wiederhergestellt wird, wird der ursprüngliche Spanning-Tree-Status auf beiden PE-Routern wiederhergestellt. Der weiterleitende PE empfängt eine Spanning-Tree-Topologieänderungsnachricht und sendet eine allgemeine Abfragenachricht an den CE-Router, um den Status der Gruppenmitgliedschaft sofort zu rekonstruieren.
Anmerkung:Die
ignore-stp-topology-changeAnweisung wird nur für den Routing-Instance-Typ des virtuellen Switches unterstützt.
Topologie
Abbildung 1 zeigt eine VPLS-Multihoming-Topologie, in der ein Kundennetzwerk über zwei CE-Geräte mit einer Verbindung zwischen ihnen verfügt. Jeder CE ist mit einem PE verbunden.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set bridge-domains domain1 multicast-snooping-options forwarding-cache threshold suppress 100 set bridge-domains domain1 multicast-snooping-options forwarding-cache threshold reuse 50 set bridge-domains domain1 multicast-snooping-options graceful-restart restart-duration 120 set routing-instances ce1 instance-type virtual-switch set routing-instances ce1 bridge-domains domain1 domain-type bridge set routing-instances ce1 bridge-domains domain1 vlan-id 100 set routing-instances ce1 bridge-domains domain1 interface ge-0/3/9.0 set routing-instances ce1 bridge-domains domain1 interface ge-0/0/6.0 set routing-instances ce1 bridge-domains domain1 multicast-snooping-options flood-groups 224.0.0.5 set routing-instances ce1 bridge-domains domain1 multicast-snooping-options ignore-stp-topology-change
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie IGMP-Snooping:
Konfigurieren Sie die Multicast-Snooping-Einstellungen in der Master-Routing-Instanz.
[edit bridge-domains domain1] user@host# set multicast-snooping-options forwarding-cache threshold suppress 100 reuse 50 user@host# set multicast-snooping-options graceful-restart 120
Konfigurieren Sie die Routing-Instanz.
[edit routing-instances ce1] user@host# set instance-type virtual-switch
Konfigurieren Sie die Bridge-Domäne in der Routing-Instanz.
[edit routing-instances ce1 bridge-domains domain1] user@host# set domain-type bridge user@host# set interface ge-0/0/6.0 user@host# set interface ge-0/3/9.0 user@host# set vlan-id 100
Konfigurieren Sie Flood-Gruppen.
[edit routing-instances ce1 bridge-domains domain1] user@host# set multicast-snooping-options flood-groups 224.0.0.5
Konfigurieren Sie den Router so, dass Meldungen über Statusänderungen der Spanning-Tree-Topologie ignoriert werden.
[edit routing-instances ce1 bridge-domains domain1] user@host# set multicast-snooping-options ignore-stp-topology-change
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
user@host# commit
Befund
Bestätigen Sie Ihre Konfiguration, indem Sie die show bridge-domains Befehle und show routing-instances eingeben.
user@host# show bridge-domains
domain1 {
multicast-snooping-options {
forwarding-cache {
threshold {
suppress 100;
reuse 50;
}
}
}
}
user@host# show routing-instances
ce1 {
instance-type virtual-switch;
bridge-domains {
domain1 {
domain-type bridge;
vlan-id 100;
interface ge-0/3/9.0; ## 'ge-0/3/9.0' is not defined
interface ge-0/0/6.0; ## 'ge-0/0/6.0' is not defined
multicast-snooping-options {
flood-groups 224.0.0.5;
ignore-stp-topology-change;
}
}
}
}
Verifizierung
Führen Sie die folgenden Befehle aus, um die Konfiguration zu überprüfen:
IGMP-Snooping-Schnittstelle anzeigen
IGMP-Snooping-Mitgliedschaft anzeigen
IGMP-Snooping-Statistiken anzeigen
Multicast-Snooping-Route anzeigen
Routing-Tabelle anzeigen
Aktivieren von Massenaktualisierungen für Multicast-Snooping
Jedes Mal, wenn eine einzelne Schnittstelle einer Multicastgruppe beitritt oder diese verlässt, wird ein neuer Eintrag für den nächsten Hop in der Routing- und Weiterleitungstabelle installiert. Sie können die nexthop-hold-time Anweisung verwenden, um eine Zeit zwischen 1 und 1000 Millisekunden (ms) anzugeben, in der ausgehende Schnittstellenänderungen akkumuliert und dann in großen Mengen in der Routing- und Weiterleitungstabelle aktualisiert werden. Durch die Massenaktualisierung werden die Verarbeitungszeit und der Arbeitsspeicheraufwand reduziert, die für die Verarbeitung von Join- und Leave-Nachrichten erforderlich sind. Dies ist nützlich für Anwendungen wie Internet Potocol Television (IPTV), bei denen Benutzer, die Kanäle wechseln, in kurzer Zeit Tausende von Schnittstellen erstellen können, die einer Gruppe beitreten oder sie verlassen. In IPTV-Szenarien gibt es in der Regel eine relativ kleine und kontrollierte Anzahl von Streams und eine hohe Anzahl von ausgehenden Schnittstellen. Durch die Verwendung von Massenaktualisierungen kann die Verknüpfungsverzögerung verringert werden.
In diesem Beispiel konfigurieren Sie eine Haltezeit von 20 Millisekunden für virtuelle Switches vom Typ Instance, indem Sie die nexthop-hold-time folgende Anweisung verwenden:
Sie können die nexthop-hold-time Anweisung nur für Routing-Instance-Typen von virtual-switch oder vpls auf der folgenden Hierarchieebene einschließen.
[edit routing-instances routing-instance-name multicast-snooping-options]
Wenn die nexthop-hold-time Anweisung aus der Routerkonfiguration gelöscht wird, werden Massenaktualisierungen deaktiviert.
Siehe auch
Aktivieren von Multicast-Snooping für Multichassis-Link-Aggregation-Gruppenschnittstellen
Fügen Sie die multichassis-lag-replicate-state Anweisung auf Hierarchieebene [edit multicast-snooping-options] ein, um IGMP-Snooping und Zustandsreplikation für MC-LAG-Schnittstellen (Multichassis Link Aggregation Group) zu aktivieren.
[edit]
multicast-snooping-options {
multichassis-lag-replicate-state;
}
Die Replikation von Join- und Leave-Nachrichten zwischen Links einer Dual-Link-MC-LAG-Schnittstelle ermöglicht eine schnellere Wiederherstellung von Mitgliedschaftsinformationen für MC-LAG-Schnittstellen, bei denen es zu einer Dienstunterbrechung kommt.
Wenn es ohne Zustandsreplikation zu einer Dienstunterbrechung bei einer Dual-Link-MC-LAG-Schnittstelle kommt (z. B. wenn eine aktive Verbindung in den Standby-Modus wechselt), werden die Mitgliedschaftsinformationen für die Schnittstelle durch Generieren einer IGMP-Abfrage an das Netzwerk wiederhergestellt. Diese Methode kann zwischen 1 und 10 Sekunden dauern, was für einige Anwendungen zu lang sein kann.
Wenn eine Statusreplikation für MC-LAG-Schnittstellen bereitgestellt wird, werden IGMP-Join- oder -Leave-Nachrichten, die auf einem MC-LAG-Gerät empfangen werden, von der aktiven MC-LAG-Verbindung über eine ICCP-Verbindung (Interchassis Communication Protocol) auf die Standby-Verbindung repliziert. Die Standby-Verbindung verarbeitet die Nachrichten so, als ob sie von der entsprechenden aktiven MC-LAG-Verbindung empfangen worden wären, mit der Ausnahme, dass sie sich nicht selbst als nächsten Hop hinzufügt und die Nachricht nicht an das Netzwerk überflutet. Nach einem Failover kann der Multicast-Mitgliedschaftsstatus der Verbindung innerhalb weniger Sekunden oder weniger wiederhergestellt werden, indem die replizierten Nachrichten abgerufen werden.
In diesem Beispiel wird die Zustandsreplikation für MC-LAG-Schnittstellen aktiviert: