Настройка IGMP Snooping на коммутаторах агрегации серии QSW-6200
Линейка гигабитных L3 коммутаторов QSW-6200 разработана инженерами QTECH специально для операторов связи и сетей MAN. Коммутаторы имеют расширенные возможности управления и функции безопасности для обеспечения высокой производительности и масштабируемости.
По умолчанию, коммутаторы серии QSW-6200 ретранслируют multicast трафик по всем своим портам, принадлежащим к тому же широковещательному домену или VLAN, что может вызвать сбои на некоторых конечных сетевых устройствах, вынужденных обрабатывать неожиданный для них поток данных. Также использование базовых настроек может использоваться злоумышленниками и привести к успешной DoS-атаке на всю сеть или некоторые устройства в ней. IGMP snooping способен существенно защитить работу сети, в которой активно используются приложения, основанные на multicast вещании.э
В этой статье мы разберем какие режимы IGMP Snooping поддерживает линейка QSW-6200 и как их использовать. Аналогичная настройка будет происходить на коммутаторах: QSW-4700, QSW-6300 и QSW-4700.
Перед началом настройки разберем основные термины:
- IGMP Snooping — это технология отслеживания сетевого трафика IGMP, который позволяет сетевым коммутаторам отслеживать IGMP-обмен между потребителями и поставщиками (маршрутизаторами) многоадресного (multicast) IP-трафика, формально происходящий на более высоком (сетевом) уровне.IGMP snooping разработан для предотвращения широковещательной ретрансляции multicast трафика компьютерам-потребителям, которые явно не заявили о своей заинтересованности в нём. Таким образом коммутаторы QTECH для снижения нагрузки на сеть могут исключать такой трафик из потоков, направляемых через порты, к которым не подключены его потребители. По существу, IGMP snooping есть оптимизация реалий канального уровня с учётом фактических потребностей сетевого уровня и не является функциональностью самого IGMP.
- IVGL - В режиме IVGL коммутаторы серии 6200, на котором используется IGMP Snooping может обеспечить независимое функционирование мультикаста для каждого пользовательского VLAN. При этом мультикаст-трафик может передаваться только в пределах VLAN, к которому он принадлежит.
- SVGL - В режиме SVGL коммутаторы QTECH могут предоставлять мультикаст в отдельном VLAN (Мультикаст VLAN) для пользовательских VLAN. В этом случае многоадресная рассылка в мультикаст-VLAN будет работать только для указанного для SVGL списка адресов.Мультикаст-трафик для адресов из списка SVGL перенаправляется из shared VLAN в sub VLAN, и хосты из этого пользовательского VLAN могут подписаться на мультикаст-рассылку из shared VLAN. В данном режиме TTL мультикаст-пакетов должен быть больше 1. Для других VLAN коммутатор мультикаст не ограничивает.
- VGL-SVGL– это гибридный режим, который объединяет возможности первых двух. При данном режиме возможно использование как Мультикаст- VLAN по списку, аналогично режиму SVGL, так и передача мультикаста в других VLAN, независимо от мультикаст- VLAN.
1. Настройка режима IVGL
QSW(config)#vlan 777 - создание VLAN, в котором ведется трансляция мультикаста
QSW(config)#ip igmp snooping ivgl - включение снупинга в режиме IVGL
QSW(config)#interface GigabitEthernet 0/1 - настройка клиентского интерфейса
QSW(config-if-GigabitEthernet 0/1)#switchport access vlan 777 - добавление VLAN, в котором ведется трансляция мультикаста
Аналогично настраиваются остальные клиентские интерфейсы.
QSW(config)#interface GigabitEthernet 0/24 - настройка uplink-интерфейса, с которого ведется трансляция мультикаста
QSW(config-if-GigabitEthernet 0/24)#switchport mode trunk - переключение интерфейса в режим trunk
QSW(config-if-GigabitEthernet 0/24)#switchport trunk allowed vlan only 777 - добавление VLAN, в котором ведется трансляция мультикаста
2. Настройка режима SVGL
QSW(config)#vlan range 100-110,777 - создание абонентских и мультикаст- VLAN
QSW(config)#ip igmp profile 1 - создание списка разрешенных мультикаст-адресов
QSW(config-profile)#permit
QSW(config-profile)#range 224.1.1.1 224.1.1.255 - диапазон разрешенных мультикаст-адресов
QSW(config)#QSW(config)#ip igmp snooping svgl - включение снупинга в режиме SVGL
QSW(config)#QSW(config)#ip igmp snooping svgl vlan 777 - выбор мультикаст- VLAN
QSW(config)#QSW(config)#ip igmp snooping svgl profile 1 - выбор созданного списка мультикаст-адресов
QSW(config)#QSW(config)#ip igmp snooping svgl subvlan 100-110 - выбор клиентских VLAN, в которые будет транслироваться мультикаст
QSW(config)#interface GigabitEthernet 0/1 - настройка клиентского интерфейса
QSW(config-if-GigabitEthernet 0/1)#switchport access vlan 100
QSW(config)#interface GigabitEthernet 0/2
QSW(config-if-GigabitEthernet 0/2)#switchport access vlan 101
QSW(config)#interface GigabitEthernet 0/24 - настройка uplink-интерфейса, с которого ведется трансляция мультикаста
QSW(config-if-GigabitEthernet 0/24)#switchport mode trunk
QSW(config-if-GigabitEthernet 0/24)#switchport trunk allowed vlan only 777
QSW(config)#ip igmp snooping vlan 777 mrouter interface GigabitEthernet 0/24 - настройка статического интерфейса источника мультикаста
3. Настройка режима IVGL-SVGL
QSW(config)#vlan range 100-110,200,777 - создание абонентских и мультикаст-VLAN.
QSW(config)#ip igmp profile 1 - создание списка разрешенных мультикаст-адресов
QSW(config-profile)#permit
QSW(config-profile)#range 224.1.1.1 224.1.1.255 - диапазон разрешенных мультикаст-адресов
QSW(config)#ip igmp snooping ivgl-svgl
QSW(config)#ip igmp snooping svgl vlan 777
QSW(config)#ip igmp snooping svgl profile 1
QSW(config)#ip igmp snooping svgl subvlan 100-110
QSW(config)#interface GigabitEthernet 0/1 - настройка клиентского интерфейса
QSW(config-if-GigabitEthernet 0/1)#switchport access vlan 100
QSW(config)#interface GigabitEthernet 0/24 - настройка uplink-интерфейса, с которого ведется трансляция мультикаста
QSW(config-if-GigabitEthernet 0/24)#switchport mode trunk
QSW(config-if-GigabitEthernet 0/24)#switchport trunk allowed vlan only 777
Данные интерфейсы будут работать в режиме SVGL, с использованием мультикаст-VLAN 777.
Аналогичным образом настраиваем два других интерфейса, но с VLAN, не используемым в SVGL:
QSW(config)#interface GigabitEthernet 0/5 - настройка клиентского интерфейса
QSW(config-if-GigabitEthernet 0/1)#switchport access vlan 200
QSW(config)#interface GigabitEthernet 0/24 - настройка uplink-интерфейса
QSW(config-if-GigabitEthernet 0/6)#switchport mode trunk
QSW(config-if-GigabitEthernet 0/6)#switchport trunk allowed vlan only 200
В случае необходимости ограничить используемые мультикаст-адреса на интерфейсах, можно использовать igmp filter:
QSW(config)#ip igmp profile 2 - создание списка разрешенных мультикаст-адресов
QSW(config-profile)#permit
QSW(config-profile)#range 225.0.0.1 225.0.0.255 - диапазон разрешенных мультикаст-адресов
QSW(config-profile)#deny
QSW(config-profile)#deny 239.0.0.1 239.0.0.255 - диапазон запрещенных мультикаст-адресов
QSW(config)#interface gigabitEthernet 0/5
QSW(config-if-GigabitEthernet 0/5)#ip igmp snooping filter 2 - применение фильтра на интерфейсе
Querier включается следующим образом:
QSW(config)#ip igmp snooping querier - глобальное включение
QSW(config)#ip igmp snooping vlan 77 querier - выбор VLAN.
QSW(config)#ip igmp snooping querier address 10.10.254.46 - назначение IP-адреса, с которого отправляются пакеты query
Для режимов IVGL и IVGL-SVGL можно отключить IGMP Snooping в нужных VLAN:
QSW(config)#no ip igmp snooping vlan 10
Таким образом мы завершили настройку и выделили общие аспекты работы IGMP snooping на примере коммутаторов QTECH QSW-6200. Если мы посмотрим на коммутаторы других линеек, мы также найдём технологию IGMP snooping. Вероятно, вы найдете отличия в синтаксисе настроек, но по большей части общая схема работы IGMP snooping будет сходной с тем, что мы рассмотрели.
Более подробные настройки данного функционала есть в руководстве пользователя для коммутаторов. Если возникнут какие-либо дополнительные вопросы, необходимо обратиться в техническую поддержку через систему https://helpdesk.qtech.ru/
Источник -