EN ESTA PÁGINA
Descripción general del snooping IGMP
El espionaje del Protocolo de administración de grupo de Internet (IGMP) restringe la inundación de tráfico de multidifusión IPv4 en redes VLAN en un dispositivo. Con el snooping IGMP habilitado, el dispositivo monitorea el tráfico IGMP en la red y utiliza lo que aprende a reenviar tráfico de multidifusión a solo las interfaces descendentes que están conectadas a receptores interesados. El dispositivo conserva el ancho de banda mediante el envío de tráfico de multidifusión solo a las interfaces conectadas a dispositivos que desean recibir el tráfico, en lugar de inundar el tráfico a todas las interfaces descendentes en una VLAN.
Beneficios del espionaje IGMP
Optimized bandwidth utilization— La principal ventaja del snooping IGMP es reducir la inundación de paquetes. El dispositivo reenvía de forma sólamente los datos de multidifusión IPv4 a una lista de puertos que desean recibir los datos en lugar de inundados a todos los puertos de una VLAN.
Improved security: previene denegación de servicio ataques de fuentes desconocidas.
Cómo funciona el espionaje IGMP
Por lo general, los dispositivos aprenden direcciones MAC de unidifusión comprobando el campo de dirección de origen de las tramas que reciben y, luego, envían cualquier tráfico para esa dirección de unidifusión solo a las interfaces adecuadas. Sin embargo, una dirección MAC de multidifusión nunca puede ser la dirección de origen de un paquete. Como resultado, cuando un dispositivo recibe tráfico para una dirección de destino de multidifusión, inunda el tráfico en la VLAN relevante, lo que envía una cantidad significativa de tráfico para el cual es posible que no necesariamente haya receptores interesados.
El espionaje IGMP evita esta inundación. Cuando habilita el espionaje IGMP, el dispositivo monitorea los paquetes IGMP entre receptores y enrutadores de multidifusión y utiliza el contenido de los paquetes para crear una tabla de reenvío de multidifusión: una base de datos de grupos de multidifusión y las interfaces que están conectadas a miembros de los grupos. Cuando el dispositivo recibe paquetes de multidifusión, utiliza la tabla de reenvío de multidifusión para reenviar de forma selectiva el tráfico a solo las interfaces que están conectadas a los miembros de los grupos de multidifusión adecuados.
En conmutadores de las series EX y serie QFX que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS), el espionaje IGMP se habilita de forma predeterminada en todas las VLAN (o solo en la VLAN predeterminada en algunos dispositivos) y puede deshabilitarla de forma selectiva en una o más VLAN. En el resto de dispositivos, debe configurar explícitamente el espionaje IGMP en una VLAN o en un dominio de puente para habilitarlo.
No puede configurar el espionaje IGMP en una VLAN secundaria (privada) (PVLAN). Sin embargo, a partir de la versión 18.3R1 de Junos OS en conmutadores EX4300 y EX4300 Virtual Chassis y Junos OS versión 19.2R1 en conmutadores multigigabit de EX4300, cuando habilite el espionaje IGMP en una VLAN principal, también se habilita implícitamente en cualquier VLAN secundaria definida para esa VLAN principal. Consulte IgMP Snooping en VLAN privadas (PVLANs) para obtener más información.
Cómo funciona el snooping IGMP con interfaces VLAN enrutadas
El dispositivo puede usar una interfaz de VLAN enrutada (RVI) para reenviar el tráfico entre redes VLAN en su configuración. El espionaje IGMP funciona con interfaces de capa 2 y RVIs para reenviar el tráfico de multidifusión en una red conmutada.
Cuando el dispositivo recibe un paquete de multidifusión, sus motores de reenvío de paquetes realizan una búsqueda de multidifusión en el paquete para determinar cómo reenviar el paquete a sus interfaces locales. A partir de los resultados de la búsqueda, cada motor de reenvío de paquetes extrae una lista de interfaces de capa 3 que tienen puertos locales en el motor de reenvío de paquetes. Si la lista incluye una RVI, el dispositivo proporciona un ID de grupo de multidifusión de puente para la RVI al motor de reenvío de paquetes.
Para las VLAN que incluyen receptores de multidifusión, el ID de multidifusión de puente incluye un ID de sub next hop, el cual identifica las interfaces de capa 2 en la VLAN que están interesadas en recibir la transmisión de multidifusión. Luego, motor de reenvío de paquetes reenvía el tráfico de multidifusión a los ID de multidifusión de puente que tienen receptores de multidifusión para un grupo de multidifusión determinado.
Tipos de mensajes IGMP
Los enrutadores de multidifusión utilizan IGMP para saber qué grupos tienen agentes de escucha interesados para cada una de sus redes físicas conectadas. En cualquier subred dada, un enrutador de multidifusión actúa como receptor IGMP. La querier IGMP envía los siguientes tipos de consultas a los hosts:
Consulta general: pregunta si un host está oyendo a algún grupo.
Consulta específica de grupo: (solo IGMPv2 y IGMPv3) Pregunta si algún host está oyendo a un grupo de multidifusión específico. Esta consulta se envía en respuesta a un host que abandona el grupo de multidifusión y permite que el enrutador determine rápidamente si algún hosts restante está interesado en el grupo.
Consulta específica de grupo y origen: (solo IGMPv3) Pregunta si algún host está oyendo tráfico de multidifusión de grupo desde un origen de multidifusión específico. Esta consulta se envía en respuesta a un host que indica que ya no está interesado en recibir tráfico de multidifusión de grupo desde el origen de multidifusión y permite que el enrutador determine rápidamente que los hosts restantes están interesados en recibir tráfico de multidifusión de grupo desde ese origen.
Los hosts que son escuchas de multidifusión envían los siguientes tipos de mensajes:
Informe de membresía: indica que el host desea unirse a un grupo de multidifusión determinado.
Informe de licencia: (solo IGMPv2 y IGMPv3) Indica que el host desea dejar un grupo de multidifusión determinado.
Cómo los hosts se unen y dejan grupos de multidifusión
Los hosts pueden unirse a grupos de multidifusión de dos maneras:
Mediante el envío de un mensaje de unión IGMP no solicitado a un enrutador de multidifusión que especifique el grupo de multidifusión IP al que desea unirse el host.
Mediante el envío de un mensaje de unión IGMP en respuesta a una consulta general desde un enrutador de multidifusión.
Un enrutador de multidifusión continúa reenviando tráfico de multidifusión a una VLAN, siempre que al menos un host en esa VLAN responda a las consultas IGMP generales periódicas. Para que un host siga siendo miembro de un grupo de multidifusión, debe seguir respondiendo a las consultas IGMP generales periódicas.
Los hosts pueden dejar un grupo de multidifusión de dos maneras:
Al no responder a consultas periódicas dentro de un intervalo de tiempo determinado, lo cual se considera un "permiso silencioso". Este es el único método leave para hosts IGMPv1.
Mediante el envío de un informe de licencia. Los hosts IGMPv2 y IGMPv3 pueden usar este método.
Compatibilidad con fuentes de multidifusión IGMPv3
En IGMPv3, un host puede enviar un informe de membresía con una lista de direcciones de origen. Cuando el host envía un informe de membresía en modo INCLUDE, al host le interesa el tráfico de multidifusión de grupo solo desde esas fuentes en la lista de direcciones de origen. Si el host envía un informe de membresía en modo EXCLUDE, el host está interesado en el tráfico de multidifusión de grupo desde cualquier origen, excepto las fuentes en la lista de direcciones de origen. Un host también puede enviar un informe EXCLUDE en el que el parámetro de lista de origen está vacío, lo que se conoce como un informe EXCLUDE NULL. Un informe EXCLUDE NULL indica que el host desea unirse al grupo de multidifusión y recibir paquetes de todas las fuentes.
Los dispositivos que admiten los informes de membresía INCLUDE y EXCLUDE del proceso IGMPv3, y la mayoría de los dispositivos reenvía tráfico de multidifusión de origen específico (SSM) solo de fuentes solicitadas a receptores suscritos en consecuencia. Sin embargo, es posible que vea que el dispositivo no reenvía estrictamente el tráfico de multidifusión por origen en algunas configuraciones, como las siguientes:
Conmutadores serie QFX serie EX que no utilizan el estilo de configuración Enhanced Layer 2 Software (ELS)
EX2300 y EX3400 ejecutan Junos OS versiones anteriores a la 18.1R2
EX4300 que ejecutan Junos OS versiones anteriores a 18.2R1, 18.1R2, 17.4R2, 17.3R3, 17.2R3 y 14.1X53-D47
Puertas de enlace de servicios serie SRX
En estos casos, el dispositivo podría consolidar todos los informes del modo INCLUDE y EXCLUDE que reciban en una VLAN para un grupo especificado en una sola ruta que incluya todas las fuentes de multidifusión para ese grupo, y que el próximo salto represente todas las interfaces que tengan receptores interesados para el grupo. Como resultado, los receptores interesados en la VLAN pueden recibir tráfico de un origen que no incluyeron en su informe INCLUDE o de un origen que excluyó en su informe EXCLUDE. Por ejemplo, si el host 1 desea tráfico para G del origen A y el host 2 quiere tráfico para el grupo G del origen B, ambos reciben tráfico para el grupo G independientemente de si A o B envían el tráfico.
Interfaces de reenvío y vigilancia IGMP
Para determinar cómo reenviar el tráfico de multidifusión, el dispositivo con el espionaje IGMP habilitado mantiene información acerca de las siguientes interfaces en su tabla de reenvío de multidifusión:
Interfaces de enrutador de multidifusión: estas interfaces llevan a enrutadores de multidifusión o a enrutadores IGMP.
Interfaces de miembro de grupo: estas interfaces llevan a hosts que son miembros de grupos de multidifusión.
El dispositivo aprende acerca de estas interfaces mediante el monitoreo del tráfico IGMP. Si una interfaz recibe consultas IGMP o actualizaciones de multidifusión independiente de protocolo (PIM), el dispositivo agrega la interfaz a su tabla de reenvío de multidifusión como interfaz de enrutador de multidifusión. Si una interfaz recibe informes de membresía para un grupo de multidifusión, el dispositivo agrega la interfaz a su tabla de reenvío de multidifusión como interfaz de miembro de grupo.
Las entradas de la tabla de interfaces aprendidas se antigüedad después de un período de tiempo. Por ejemplo, si una interfaz aprendida de enrutador de multidifusión no recibe consultas IGMP o saludos PIM dentro de un intervalo determinado, el dispositivo quita la entrada de esa interfaz de su tabla de reenvío de multidifusión.
Para que el dispositivo aprenda las interfaces de enrutador de multidifusión y las interfaces de miembro de grupo, la red debe incluir una querier IGMP. Esto suele realizarse en un enrutador de multidifusión, pero si no hay un enrutador de multidifusión en la red local, puede configurar el propio dispositivo para que sea una rier IGMP.
Puede configurar estáticamente una interfaz para que sea una interfaz de enrutador de multidifusión o una interfaz de miembro de grupo. El dispositivo agrega una interfaz estática a su tabla de reenvío de multidifusión sin tener que aprender acerca de la interfaz, y la entrada de la tabla no está sujeta a envejecimiento. Un dispositivo puede tener una combinación de interfaces configuradas de forma estática y aprendidas dinámicamente.
Reglas generales de reenvío
Una interfaz en una VLAN con el espionaje IGMP habilitado recibe tráfico de multidifusión y lo reenvía de acuerdo con las siguientes reglas.
Tráfico IGMP:
Reenvía las consultas generales IGMP recibidas en una interfaz de enrutador de multidifusión a todas las demás interfaces de la VLAN.
Reenvía las consultas específicas del grupo IGMP recibidas en una interfaz de enrutador de multidifusión a solo aquellas interfaces en la VLAN que son miembros del grupo.
Reenvía los informes IGMP recibidos en una interfaz de host a interfaces de enrutador de multidifusión en la misma VLAN, pero no a las otras interfaces de host en la VLAN.
Tráfico de multidifusión que no es tráfico IGMP:
Paquetes de multidifusión de inundación con una dirección de destino de 233.252.0.0/24 a todas las demás interfaces en la VLAN.
Reenvía paquetes de multidifusión no registrados (paquetes para un grupo que no tiene miembros actuales) a todas las interfaces de enrutador de multidifusión en la VLAN.
Reenvía paquetes de multidifusión registrados a esas interfaces de host en la VLAN que son miembros del grupo de multidifusión y a todas las interfaces de enrutador de multidifusión en la VLAN.
Uso del dispositivo como navegador IGMP
Con el espionaje IGMP en una red local pura de capa 2 (es decir, la capa 3 no está habilitada en la red), si la red no incluye un enrutador de multidifusión, es posible que el tráfico de multidifusión no se reenvía correctamente a través de la red. Es posible que vea este problema si la red local está configurada de tal manera que el tráfico de multidifusión se debe reenviar entre dispositivos para comunicarse con un receptor de multidifusión. En este caso, un dispositivo ascendente no reenvía tráfico de multidifusión a un dispositivo descendente (y, por lo tanto, a los receptores de multidifusión conectados al dispositivo descendente) porque el dispositivo descendente no reenvía los informes IGMP al dispositivo ascendente. Puede resolver este problema configurando uno de los dispositivos para que sea un rier IGMP. El dispositivo querier IGMP envía paquetes de consulta generales periódicas a todos los dispositivos de la red, lo que garantiza que las tablas de membresía de snooping se actualicen y evite la pérdida de tráfico de multidifusión.
Si configura varios dispositivos para que sean navegadores IGMP, el dispositivo con la dirección de origen IGMP más baja (la más pequeña) tiene prioridad y actúa como el querier. Los dispositivos con direcciones de origen de la querier IGMP superior detienen el envío de consultas IGMP, a menos que no reciban consultas IGMP durante 255 segundos. Si el dispositivo con una dirección de origen de la querier IGMP superior no recibe ninguna consulta IGMP durante ese período, comienza a enviar consultas de nuevo.
Los sistemas QFabric de Junos OS versión 14.1X53-D15 admiten la instrucción, pero no admiten esta instrucción igmp-querier en Junos OS 15.1.
Para configurar un dispositivo para que actúe como navegador IGMP, escriba lo siguiente:
[edit protocols] user@host# set igmp-snooping vlan vlan-name l2-querier source-address source address
Para configurar un conmutador de dispositivo de nodo QFabric para que actúe como navegador IGMP, escriba lo siguiente:
[edit protocols] user@host# set igmp-snooping vlan vlan-name igmp-querier source-address source address
Snooping IGMP en VLAN privadas (PVLANs)
Una PVLAN se compone de VLAN aisladas y de comunidad secundarias configuradas dentro de una VLAN principal. Sin la compatibilidad de snooping IGMP en las VLAN secundarias, las secuencias de multidifusión recibidas en la VLAN principal se inundan a las VLAN secundarias.
A partir de Junos OS versión 18.3R1, EX4300 y EX4300 Virtual Chassis admiten el espionaje IGMP con PVLANs. A partir de Junos OS versión 19.2R1, EX4300 modelo multigigabit admiten el espionaje IGMP con PVLAN. Cuando habilita el espionaje IGMP en una VLAN principal, también se habilita implícitamente en todas las VLAN secundarias. El dispositivo aprende y almacena información de grupo de multidifusión en la VLAN principal, y también aprende la información del grupo de multidifusión en las VLAN secundarias en el contexto de la VLAN principal. Como resultado, el dispositivo restringe aún más las secuencias de multidifusión solo a receptores interesados en VLAN secundarias, en lugar de inundar el tráfico en todas las VLAN secundarias.
La CLI le impide configurar explícitamente el espionaje IGMP en VLAN secundarias aisladas o de comunidad. Solo debe configurar el espionaje IGMP en la VLAN principal bajo la cual se definen las VLAN secundarias. Por ejemplo, para una VLAN-pri VLAN principal con una VLAN vlan-iso aislada secundaria y una VLAN-comm de comunidad secundaria:
set vlans vlan-pri vlan-id 100 set vlans vlan-pri isolated-vlan vlan-iso set vlans vlan-pri community-vlans vlan-comm set vlans vlan-iso vlan-id 300 set vlans vlan-iso private-vlan isolated set vlans vlan-comm vlan-id 200 set vlans vlan-comm private-vlan community set protocols igmp-snooping vlan vlan-pri
Los informes IGMP y los mensajes de salida recibidos en puertos VLAN secundarios se aprenden en el contexto de la VLAN principal. Los puertos de troncalización promiscuos o vínculos del interconmutación que actúan como interfaces de enrutador de multidifusión para la PVLAN reciben flujos de datos de multidifusión entrantes de fuentes de multidifusión y solo los reenvían a los puertos VLAN secundarios con entradas de grupo de multidifusión aprendidas.
Esta función no admite puertos VLAN secundarios como interfaces de enrutador de multidifusión. El CLI no le impide configurar estáticamente una interfaz en una VLAN de comunidad como puerto de enrutador de multidifusión, pero el espionaje IGMP no funciona correctamente en PVLANs con esta configuración. Cuando el snooping IGMP está configurado en una PVLAN, el conmutador también deshabilita automáticamente el aprendizaje del puerto del enrutador de multidifusión dinámico en cualquier interfaz VLAN aislada o de comunidad. El espionaje IGMP con PVLAN tampoco admite configuraciones con una consola IGMP en interfaces VLAN aisladas o de comunidad.
Consulte Descripción de VLAN privadas y Creación de una VLAN privada que abarca varios conmutadores de la serie EX con compatibilidad con ELS (procedimiento CLI) para obtener más información sobre la configuración de PVLAN.