Ejemplo: configuración de espionaje IGMP en dispositivos de la serie SRX
Puede habilitar el espionaje IGMP en una VLAN para restringir la inundación del tráfico de multidifusión IPv4 en una VLAN. Cuando la supervisión IGMP está habilitada, el dispositivo examina los mensajes IGMP entre hosts y enrutadores de multidifusión y aprende qué hosts están interesados en recibir tráfico de multidifusión para un grupo de multidifusión. En función de lo que aprende, el dispositivo reenvía el tráfico de multidifusión solo a aquellas interfaces que están conectadas a receptores relevantes en lugar de inundar el tráfico a todas las interfaces.
En este ejemplo se describe cómo configurar la supervisión IGMP:
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Un firewall de la serie SRX
Junos OS versión 18.1R1
Antes de configurar la supervisión IGMP, asegúrese de tener:
Configuró una VLAN, v1, en el dispositivo
Interfaces asignadas ge-0/0/1, ge-0/0/2, ge-0/0/3 y ge-0/0/4 a v1
Configurado ge-0/0/3 como interfaz troncal
Descripción general y topología
La supervisión IGMP controla el tráfico de multidifusión en una red conmutada. Cuando la supervisión IGMP no está habilitada, el firewall de la serie SRX difunde el tráfico de multidifusión fuera de todos sus puertos, incluso si los hosts de la red no desean el tráfico de multidifusión. Con la supervisión IGMP habilitada, el firewall de la serie SRX supervisa la unión IGMP y deja mensajes enviados desde cada host conectado a un enrutador de multidifusión. Esto permite que el firewall de la serie SRX realice un seguimiento de los grupos de multidifusión y los puertos miembro asociados. El firewall de la serie SRX utiliza esta información para tomar decisiones inteligentes y reenviar el tráfico de multidifusión solo a los hosts de destino previstos.
Topología
La topología de ejemplo se ilustra en la figura 1.
de ejemplo de espionaje IGMP
En esta topología de ejemplo, el enrutador de multidifusión reenvía el tráfico de multidifusión al dispositivo desde el origen cuando recibe un informe de pertenencia para el grupo 233.252.0.100 de uno de los hosts, por ejemplo, el host B. Si la supervisión IGMP no está habilitada en vlan100, el dispositivo inunda el tráfico de multidifusión en todas las interfaces de vlan100 (excepto en la interfaz ge-0/0/2.0). Si la supervisión IGMP está habilitada en vlan100, el dispositivo supervisa los mensajes IGMP entre los hosts y el enrutador, lo que le permite determinar que solo el host B está interesado en recibir el tráfico de multidifusión. A continuación, el dispositivo reenvía el tráfico de multidifusión sólo a la interfaz ge-0/0/2.
Configuración
Para configurar la supervisión IGMP en un dispositivo:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members v1 set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members v1 set interfaces ge-0/0/3 unit 0 family ethernet-switching interface-mode trunk set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members v1 set interfaces ge-0/0/4 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members v1 set vlans v1 vlan-id 100 set protocols igmp-snooping vlan v1 query-interval 200 set protocols igmp-snooping vlan v1 query-response-interval 0.4 set protocols igmp-snooping vlan v1 query-last-member-interval 0.1 set protocols igmp-snooping vlan v1 robust-count 4 set protocols igmp-snooping vlan v1 immediate-leave set protocols igmp-snooping vlan v1 proxy set protocols igmp-snooping vlan v1 interface ge-0/0/1.0 host-only-interface set protocols igmp-snooping vlan v1 interface ge-0/0/1.0 group-limit 50 set protocols igmp-snooping vlan v1 interface ge-0/0/4.0 static group 233.252.0.100
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de CLI.
Para configurar la supervisión IGMP:
Configure las interfaces del modo de acceso.
[edit] user@host# set interfaces ge-0/0/1 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ge-0/0/1 unit 0 family ethernet-switching vlan members v1 user@host# set interfaces ge-0/0/2 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ge-0/0/2 unit 0 family ethernet-switching vlan members v1 user@host# set interfaces ge-0/0/3 unit 0 family ethernet-switching interface-mode trunk user@host# set interfaces ge-0/0/3 unit 0 family ethernet-switching vlan members v1 user@host# set interfaces ge-0/0/4 unit 0 family ethernet-switching interface-mode access user@host# set interfaces ge-0/0/4 unit 0 family ethernet-switching vlan members v1
Configure la VLAN.
[edit] user@host# set vlans v1 vlan-id 100
Habilite el espionaje IGMP y configure el dispositivo para que sirva como proxy.
[edit] user@host# set protocols igmp-snooping vlan v1 proxy
Configure el límite de 50 para el número de grupos de multidifusión permitidos en la interfaz ge-0/0/1.0.
[edit] user@host# set protocols igmp-snooping vlan v1 interface ge-0/0/1.0 group-limit 50
Configure el dispositivo para quitar inmediatamente una pertenencia a un grupo de una interfaz cuando reciba un mensaje de salida de esa interfaz sin esperar a que se intercambie ningún otro mensaje IGMP.
[edit] user@host# set protocols igmp-snooping vlan v1 immediate-leave
Configure estáticamente la interfaz ge-0/0/4 como interfaz de enrutador de multidifusión.
[edit] user@host# set protocols igmp-snooping vlan v1 interface ge-0/0/4.0 static group 233.252.0.100
Configure una interfaz para que sea una interfaz exclusivamente orientada al host (para colocar mensajes de consulta IGMP).
[edit] user@host# set protocols igmp-snooping vlan v1 interface ge-0/0/1.0 host-only-interface
Configure los intervalos de mensajes IGMP y el recuento de robustez.
[edit] user@host# set protocols igmp-snooping vlan v1 query-interval 200 user@host# set protocols igmp-snooping vlan v1 query-response-interval 0.4 user@host# set protocols igmp-snooping vlan v1 query-last-member-interval 0.1 user@host# set protocols igmp-snooping vlan v1 robust-count 4
Si ha terminado de configurar el dispositivo, confirme la configuración.
user@host# commit
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show protocols igmp-snooping comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show protocols igmp-snooping
vlan v1 {
query-interval 200;
query-response-interval 0.4;
query-last-member-interval 0.1;
robust-count 4;
immediate-leave;
proxy;
interface ge-0/0/1.0 {
host-only-interface;
group-limit 50;
}
interface ge-0/0/4.0 {
static {
group 233.252.0.100;
}
}
}
Verificación de la operación de espionaje IGMP
Para comprobar que el espionaje IGMP funciona según lo configurado, realice la siguiente tarea:
Visualización de información de espionaje IGMP para VLAN v1
Propósito
Verifique que la supervisión IGMP esté habilitada en VLAN v1 y que ge-0/0/4 se reconozca como una interfaz de enrutador de multidifusión.
Acción
Desde el modo operativo, ingrese el show igmp snooping membership comando.
user@host> show igmp snooping membership Instance: default-switch Vlan: v1 Learning-Domain: default Interface: ge-0/0/4.0, Groups: 1 Group: 233.252.0.100 Group mode: Exclude Source: 0.0.0.0 Last reported by: Local Group timeout: 0 Type: Static
Significado
Al mostrar información para vlanv1, el resultado del comando confirma que la supervisión IGMP está configurada en la VLAN. La interfaz ge-0/0/4.0 aparece como una interfaz de enrutador de multidifusión, tal como está configurada. Dado que no se muestra ninguna de las interfaces de host, ninguno de los hosts son actualmente receptores para el grupo de multidifusión.