37-MLD Snooping配置
本章节下载: 37-MLD Snooping配置 (617.30 KB)
MLD Snooping(Multicast Listener Discovery Snooping,组播侦听者发现协议窥探)运行在二层设备上,通过侦听三层设备与主机之间的MLD报文来生成二层组播转发表,从而管理和控制IPv6组播数据报文的转发,实现IPv6组播数据报文在二层的按需分发。
运行MLD Snooping的二层设备通过对收到的MLD报文进行分析,为端口和MAC组播地址建立起映射关系,并根据这样的映射关系转发IPv6组播数据。
如图1-1所示,当二层设备没有运行MLD Snooping时,IPv6组播数据报文在二层网络中被广播;当二层设备运行了MLD Snooping后,已知IPv6组播组的组播数据报文不会在二层网络中被广播,而被组播给指定的接收者。
图1-1 二层设备运行MLD Snooping前后的对比
MLD Snooping通过二层组播将信息只转发给有需要的接收者,可以带来以下好处:
· 减少了二层网络中的广播报文,节约了网络带宽;
· 增强了IPv6组播信息的安全性;
· 为实现对每台主机的单独计费带来了方便。
如图1-2所示,Device A连接IPv6组播源,在Switch A和Switch B上分别运行MLD Snooping,Host A和Host C为接收者主机(即IPv6组播组成员)。根据在网络中所处位置的不同,我们将MLD Snooping端口分为路由器端口和成员端口两类,以下分别介绍。
图1-2 MLD Snooping端口示意图
在运行了MLD Snooping的二层设备上,朝向上游三层组播设备的端口称为路由器端口。如图1-2中Switch A的Port A1端口和Switch B的Port B1端口。
根据来源不同,路由器端口可分为:
· 动态路由器端口:所有收到MLD普遍组查询报文(源地址非0::0)的端口,都被维护为动态路由器端口。这些端口被记录在动态路由器端口列表中,每个端口都有一个老化定时器。在老化定时器超时前,动态路由器端口如果收到了MLD普遍组查询报文(源地址非0::0),该定时器将被重置;否则,该端口将被从动态路由器端口列表中删除。
· 静态路由器端口:通过命令行手工配置的路由器端口称为静态路由器端口,这些端口被记录在静态路由器端口列表中。静态路由器端口只能通过命令行手工删除,不会被老化。
· 本文中提到的路由器端口都是指二层设备上朝向三层组播设备的端口,而不是指路由器上的端口。
· 如果没有特别指明,本文中提到的路由器端口包括动态路由器端口和静态路由器端口。
在运行了MLD Snooping的二层设备上,朝向下游组播组成员的端口称为成员端口。如图1-2中Switch A的Port A2和Port A3端口,以及Switch B的Port B2端口。
根据来源不同,成员端口也可分为:
· 动态成员端口:所有收到MLD成员关系报告报文的端口,都被维护为动态成员端口。这些端口被记录在动态MLD Snooping转发表中,每个端口都有一个老化定时器。在老化定时器超时前,动态成员端口如果收到了MLD成员关系报告报文,该定时器将被重置;否则,该端口将被从动态MLD Snooping转发表中删除。
· 静态成员端口:通过命令行手工配置的成员端口称为静态成员端口,这些端口被记录在静态MLD Snooping转发表中。静态成员端口只能通过命令行手工删除,不会被老化。
如果没有特别指明,本文中提到的成员端口包括动态成员端口和静态成员端口。
运行了MLD Snooping的二层设备对不同MLD动作的具体处理方式如下:
MLD查询器定期向本地网段内的所有主机与设备(FF02::1)发送MLD普遍组查询报文,以查询该网段有哪些IPv6组播组的成员。
在收到MLD普遍组查询报文时,二层设备将其通过VLAN内除接收端口以外的其它所有端口转发出去,并对该报文的接收端口做如下处理:
· 如果在动态路由器端口列表中已包含该动态路由器端口,则重置其老化定时器。
· 如果在动态路由器端口列表中尚未包含该动态路由器端口,则将其添加到动态路由器端口列表中,并启动其老化定时器。
以下情况,主机会向MLD查询器发送MLD成员关系报告报文:
· 当IPv6组播组的成员主机收到MLD查询报文后,会回复MLD成员关系报告报文。
· 如果主机要加入某个IPv6组播组,它会主动向MLD查询器发送MLD成员关系报告报文以声明加入该IPv6组播组。
在收到MLD成员关系报告报文时,二层设备将其通过VLAN内的所有路由器端口转发出去,从该报文中解析出主机要加入的IPv6组播组地址,并对该报文的接收端口做如下处理:
· 如果不存在该IPv6组播组所对应的转发表项,则创建转发表项,将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;
· 如果已存在该IPv6组播组所对应的转发表项,但其出端口列表中不包含该端口,则将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;
· 如果已存在该IPv6组播组所对应的转发表项,且其出端口列表中已包含该动态成员端口,则重置其老化定时器。
二层设备不会将MLD成员关系报告报文通过非路由器端口转发出去,因为根据主机上的MLD成员关系报告抑制机制,如果非路由器端口下还有该IPv6组播组的成员主机,则这些主机在收到该报告报文后便抑制了自身的报告,从而使二层设备无法获知这些端口下还有该IPv6组播组的成员主机。
当主机离开IPv6组播组时,会通过发送MLD离开组报文,以通知三层组播设备自己离开了某个IPv6组播组。当二层设备从某动态成员端口上收到MLD离开组报文时,首先判断要离开的IPv6组播组所对应的转发表项是否存在,以及该IPv6组播组所对应转发表项的出端口列表中是否包含该接收端口:
· 如果不存在该IPv6组播组对应的转发表项,或者该IPv6组播组对应转发表项的出端口列表中不包含该端口,二层设备不会向任何端口转发该报文,而将其直接丢弃;
· 如果存在该IPv6组播组对应的转发表项,且该IPv6组播组对应转发表项的出端口列表中除该端口还有别的成员端口存在,二层设备不会向任何端口转发该报文,而将其直接丢弃。同时,由于并不知道该接收端口下是否还有该IPv6组播组的其它成员,所以二层设备不会立刻把该端口从该IPv6组播组所对应转发表项的出端口列表中删除,而是向该端口发送MLD特定组查询报文,并根据MLD特定组查询报文调整该端口的老化定时器(老化时间为2×MLD特定组查询报文的发送间隔);
· 如果存在该IPv6组播组对应的转发表项,且该IPv6组播组对应转发表项的出端口列表中只有该端口,二层设备会将该报文通过VLAN内的所有路由器端口转发出去。同时,由于并不知道该接收端口下是否还有该IPv6组播组的其它成员,所以二层设备不会立刻把该端口从该IPv6组播组所对应转发表项的出端口列表中删除,而是向该端口发送MLD特定组查询报文,并根据MLD特定组查询报文调整该端口的老化定时器(老化时间为2×MLD特定组查询报文的发送间隔)。
当MLD查询器收到MLD离开组报文后,从中解析出主机要离开的IPv6组播组的地址,并通过接收端口向该IPv6组播组发送MLD特定组查询报文。二层设备在收到MLD特定组查询报文后,将其通过VLAN内的所有路由器端口和该IPv6组播组的所有成员端口转发出去。对于MLD离开组报文的接收端口(假定为动态成员端口),二层设备在其老化时间内:
· 如果从该端口收到了主机响应该特定组查询的MLD成员关系报告报文,则表示该端口下还有该IPv6组播组的成员,于是重置其老化定时器;
· 如果没有从该端口收到主机响应该特定组查询的MLD成员关系报告报文,则表示该端口下已没有该IPv6组播组的成员。当该端口的老化定时器超时后,将其从该IPv6组播组所对应转发表项的出端口列表中删除。
为了减少上游设备收到的MLD报告报文和离开报文的数量,可以通过在边缘设备上配置MLD Snooping Proxy(MLD Snooping代理)功能,使其能够代理下游主机向上游设备发送报告报文和离开报文。配置了MLD Snooping Proxy功能的设备称为MLD Snooping代理设备,在其上游设备看来,它就相当于一台主机。但主机上的MLD成员关系报告抑制机制在MLD Snooping代理设备上并不会生效。
如图1-3所示,作为MLD Snooping代理设备的Switch A,对其上游的MLD查询器Device A来说相当于一台主机,代理下游主机向Device A发送报告报文和离开报文。
MLD Snooping代理设备对MLD报文的处理方式如表1-1所示。
表1-1 MLD Snooping代理设备对MLD报文的处理方式
MLD报文 |
处理方式 |
普遍组查询报文 |
收到普遍组查询报文后,向本VLAN内除接收端口以外的所有端口转发;同时根据本地维护的组成员关系生成报告报文,并向所有路由器端口发送 |
特定组/特定源组查询报文 |
收到针对某组播组的特定组/特定源组查询报文时,向本VLAN内除接收端口以外的所有路由器端口转发;若该组对应的转发表项中还有成员端口,则向本VLAN内所有路由器端口回复该组的报告报文 |
报告报文 |
从某端口收到某IPv6组播组的报告报文时,若已存在该组对应的转发表项,且其出端口列表中已包含该动态成员端口,则重置其老化定时器;若已存在该组对应的转发表项,但其出端口列表中不包含该端口,则将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;若尚不存在该组对应的转发表项,则创建转发表项,将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器,然后向所有路由器端口发送该组的报告报文 |
离开报文 |
从某端口收到某IPv6组播组的离开报文后,向该端口发送针对该组的特定组查询报文。只有当删除某IPv6组播组对应转发表项中的最后一个成员端口时,才会向所有路由器端口发送该组的离开报文 |
与MLD Snooping相关的协议规范有:
· RFC 4541:Considerations for Internet Group Management Protocol (IGMP) and Multicast Listener Discovery (MLD) Snooping Switches
二层聚合接口与其各成员端口上的配置互不影响,且成员端口上的配置只有当该端口退出聚合组后才会生效,二层聚合接口上的配置也不会参与聚合计算。
对于既可在VLAN视图下配置,又可在MLD-Snooping视图下对多个VLAN进行配置的功能,两个视图下配置的优先级相同,最新配置生效。
对于既可在VLAN视图下配置,又可在MLD-Snooping视图下对所有VLAN配置的功能,VLAN视图下的配置的优先级较高。
对于既可在接口视图下配置,又可在MLD-Snooping视图下配置的功能,MLD-Snooping视图下的配置对指定VLAN内的所有端口生效,接口视图下配置只对当前接口生效,且接口视图下的配置优先级较高。
基于VLAN的MLD Snooping的配置任务如下:
(2) 使能MLD Snooping
请至少选择以下一项任务进行配置:
(3) (可选)配置MLD Snooping基本功能
(4) (可选)配置MLD Snooping端口功能
¡ 配置静态成员端口
¡ 配置模拟主机加入
(5) (可选)配置MLD Snooping查询器
¡ 配置设备在链路拓扑发生变化时立刻发送MLD普遍组查询报文
(6) (可选)配置MLD Snooping Proxy
(7) (可选)调整MLD报文
(8) (可选)配置MLD Snooping策略
(9) (可选)配置设备发送的MLD协议报文的DSCP优先级
只有在开启了设备的MLD Snooping特性后,才能进行其它的MLD Snooping相关配置。
(1) 进入系统视图。
system-view
(2) 开启设备的MLD Snooping特性,并进入MLD-Snooping视图。
mld-snooping
缺省情况下,设备的MLD Snooping特性处于关闭状态。
使能全局MLD Snooping后,设备上所有VLAN的MLD Snooping都将使能。如果某个VLAN内不需要使用MLD Snooping,可以在该VLAN内关闭MLD snooping。
使能全局MLD Snooping后,若还需在某指定VLAN内配置其他MLD Snooping功能,则必须在这些VLAN下使能MLD Snooping,否则配置的其他MLD Snooping功能不生效。
使能或关闭VLAN内的MLD Snooping的优先级高于使能全局MLD Snooping。例如:使能全局MLD Snooping后,再在某VLAN视图下通过mld-snooping disable命令关闭当前VLAN的MLD Snooping,则该VLAN内的MLD Snooping处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 使能全局MLD Snooping。
global-enable
缺省情况下,全局MLD Snooping处于关闭状态。
(4) (可选)关闭某VLAN的MLD Snooping。
a. 退回系统视图。
quit
b. 执行以下命令进入VLAN视图。
vlan vlan-id
c. 关闭该VLAN的MLD Snooping。
mld-snooping disable
缺省情况下,VLAN内MLD Snooping的状态与全局MLD Snooping的状态保持一致。
用户既可在MLD-Snooping视图下对单个或多个VLAN进行配置,也可在VLAN视图下只对当前VLAN进行配置,二者的配置优先级相同。
在VLAN内使能了MLD Snooping之后,MLD Snooping只在属于该VLAN的端口上生效。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 使能单个或多个VLAN的MLD Snooping。
enable vlan vlan-list
缺省情况下,VLAN内MLD Snooping的状态与全局MLD Snooping的状态保持一致。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 使能该VLAN的MLD Snooping。
mld-snooping enable
缺省情况下,VLAN内MLD Snooping的状态与全局MLD Snooping的状态保持一致。
配置MLD Snooping的版本,实际上就是配置MLD Snooping可以处理的MLD报文的版本:
· 当MLD Snooping的版本为1时,MLD Snooping能够对MLDv1的报文和MLDv2的查询报文进行处理,对MLDv2的成员关系报文则不进行处理,而是在VLAN内将其广播;
· 当MLD Snooping的版本为2时,MLD Snooping能够对MLDv1和MLDv2的报文进行处理。
当MLD Snooping的版本由版本2切换到版本1时,系统将清除所有通过动态加入的MLD Snooping转发表项;对于在版本2下通过手工配置而静态加入的MLD Snooping转发表项,则分为以下两种情况进行不同的处理:
· 如果配置的仅仅是静态加入IPv6组播组,而没有指定IPv6组播源,则这些转发表项将不会被清除;
· 如果配置的是指定了IPv6组播源的静态加入IPv6组播源组,则这些转发表项将会被清除,并且当再次切换回版本2时,这些转发表项将被重新恢复。有关静态加入的详细配置,请参见“1.7.2 配置静态成员端口”。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 配置指定VLAN内的MLD Snooping的版本。
version version-number vlan vlan-list
缺省情况下,VLAN内MLD Snooping的版本为1。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 在VLAN内配置MLD Snooping的版本。
mld-snooping version version-number
缺省情况下,VLAN内MLD Snooping的版本为1。
用户可以调整MLD Snooping转发表项(包括动态表项和静态表项)的全局最大数量,当设备上维护的表项数量达到或超过最大数量后,系统不再创建新的表项,也不会主动删除多余表项,直至有表项被老化或被手工删除,所以当设备上维护的表项数量达到或超过最大数量后,为避免此后无法再创建新的表项,建议用户手工删除多余表项。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 配置MLD Snooping转发表项的全局最大数量。
entry-limit limit
缺省情况下,MLD Snooping转发表项的全局最大数量为4294967295。
合理配置MLD特定组查询的最大响应时间,既可以使主机对MLD查询报文做出快速响应,又可以减少由于定时器同时超时,造成大量主机同时发送报告报文而引起的网络拥塞。
二层设备所发送的MLD特定组查询报文,其报文的最大响应时间字段由所配置的MLD特定组查询报文的发送间隔来填充,主机在收到MLD特定组查询报文后,会为其所加入的该IPv6组播组启动一个定时器,定时器的值在0到最大响应时间(该时间值由主机从所收到的MLD特定组查询报文的最大响应时间字段获得)中随机选定,当定时器的值减为0时,主机就会向该定时器对应的IPv6组播组发送MLD成员关系报告报文。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 全局配置MLD特定组查询报文的发送间隔。
last-listener-query-interval interval
缺省情况下,MLD特定组查询报文的发送间隔为1秒。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 在VLAN内配置MLD特定组查询报文的发送间隔。
mld-snooping last-listener-query-interval interval
缺省情况下,MLD特定组查询报文的发送间隔为1秒。
对于动态路由器端口,如果在其老化时间内没有收到MLD普遍组查询报文,二层设备将把该端口从动态路由器端口列表中删除。
对于动态成员端口,如果在其老化时间内没有收到该IPv6组播组的MLD成员关系报告报文,二层设备将把该端口从该IPv6组播组所对应转发表的出端口列表中删除。
· 请根据网络环境合理设置动态端口的老化时间,比如网络中IPv6组播组成员变动比较频繁,可以把动态成员端口老化时间设置小一些,避免一些无效表项老化时间过长。
· 如果二层设备向动态成员端口主动发送MLD特定组查询报文,则该端口的老化时间将根据该MLD特定组查询报文进行调整,调整的老化时间为2×MLD特定组查询报文的发送间隔。二层设备MLD特定组查询报文发送间隔的配置,请参见“1.6.3 配置MLD特定组查询报文的发送间隔”。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 全局配置动态路由器端口老化时间。
router-aging-time seconds
缺省情况下,动态路由器端口的老化时间为260秒。
(4) 全局配置动态成员端口老化时间。
host-aging-time seconds
缺省情况下,动态成员端口的老化时间为260秒。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 在VLAN内配置动态路由器端口老化时间。
mld-snooping router-aging-time seconds
缺省情况下,动态路由器端口的老化时间为260秒。
(4) 在VLAN内配置动态成员端口老化时间。
mld-snooping host-aging-time seconds
缺省情况下,动态成员端口的老化时间为260秒。
如果某端口所连接的主机需要固定接收发往某IPv6组播组的IPv6组播数据,可以配置该端口静态加入该IPv6组播组,成为静态成员端口。静态成员端口不会对MLD查询器发出的查询报文进行响应;当配置静态成员端口或取消静态成员端口的配置时,端口也不会主动发送MLD成员关系报告报文或MLD离开组报文。
(1) 进入系统视图。
system-view
(2) 进入二层接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 配置静态成员端口。
mld-snooping static-group ipv6-group-address [ source-ip ipv6-source-address ] vlan vlan-id
缺省情况下,端口不是静态成员端口。
可以通过将二层设备上的端口配置为静态路由器端口,从而使二层设备上收到的所有IPv6组播数据可以通过该端口被转发出去。
(1) 进入系统视图。
system-view
(2) 进入二层接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 配置静态路由器端口。
mld-snooping static-router-port vlan vlan-id
缺省情况下,端口不是静态路由器端口。
在二层设备的端口上配置了模拟主机加入后,该模拟主机就可以模仿真实的IPv6组播组成员主机,对MLD查询器发出的查询报文进行响应,包括:
· 启动模拟主机时,该端口会主动发送一个MLD成员关系报告报文。
· 在模拟主机的运行过程中,当收到MLD查询报文时,该端口会响应一个MLD成员关系报告报文。
· 停止模拟主机时,该端口会发送一个MLD离开组报文。
在二层设备的端口上配置了模拟主机加入后,模拟主机所采用的MLD版本与MLD Snooping的版本一致,并且该端口将作为动态成员端口参与动态成员端口的老化过程。
(1) 进入系统视图。
system-view
(2) 进入二层接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 配置模拟主机加入。
mld-snooping host-join ipv6-group-address [ source-ip ipv6-source-address ] vlan vlan-id
缺省情况下,未配置模拟主机加入。
端口快速离开功能是指当端口收到主机发来的离开指定IPv6组播组的MLD离开组报文时,直接将该端口从相应转发表项的出端口列表中删除。此后,二层设备不会向该端口发送或转发针对该IPv6组播组的MLD特定组查询报文。
对于一个VLAN,只有当一个端口下只有一个接收者时,才建议配置本功能;否则,当一个端口下有多个接收者时,其中一个接收者的离开会触发该端口的快速离开,从而导致属于同一IPv6组播组的其它接收者无法收到IPv6组播数据。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 全局开启端口快速离开功能。
fast-leave [ vlan vlan-list ]
缺省情况下,端口快速离开功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入二层接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 在端口上开启端口快速离开功能。
mld-snooping fast-leave [ vlan vlan-list ]
缺省情况下,端口快速离开功能处于关闭状态。
在IPv6组播用户接入网络中,用户主机在某些情况下(比如测试)也会发出MLD普遍组查询报文:
· 如果二层设备收到了某用户主机发来的MLD普遍组查询报文,那么接收报文的端口就将成为动态路由器端口,从而使VLAN内的所有IPv6组播报文都会向该端口转发,导致该主机收到大量无用的IPv6组播报文。
· 同时,用户主机发送MLD普遍组查询报文,也会影响该接入网络中三层设备上的IPv6组播路由协议状态(如影响MLD查询器或DR的选举),严重时可能导致网络中断。
当禁止一个端口成为动态路由器端口后,即使该端口收到了MLD普遍组查询报文,该端口也不会成为动态路由器端口,从而能够有效解决上述问题,提高网络的安全性和对组播用户的控制能力。
禁止端口成为动态路由器端口的配置与静态路由器端口的配置互不影响。
(1) 进入系统视图。
system-view
(2) 进入二层接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 禁止端口成为动态路由器端口。
mld-snooping router-port-deny [ vlan vlan-list ]
缺省情况下,端口可以成为动态路由器端口。
通常情况下,设备根据端口收到的MLD报文最外层VLAN ID来创建和维护转发表项。配置本功能后,设备根据端口收到的双VLAN tag MLD报文按其内层VLAN ID来创建和维护转发表项。
(1) 进入系统视图。
system-view
(2) 进入二层接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 开启端口对接收的双VLAN tag的MLD报文按内层VLAN ID来创建和维护转发表项。
mld-snooping cvid-forward
缺省情况下,端口对接收的MLD报文按外层VLAN ID来创建和维护转发表项。
在运行了MLD的IPv6组播网络中,会有一台三层组播设备充当MLD查询器,负责发送MLD查询报文,使三层组播设备能够在网络层建立并维护IPv6组播转发表项,从而在网络层正常转发IPv6组播数据。
但是,在一个没有三层组播设备的网络中,由于二层设备并不支持MLD,因此无法实现MLD查询器的相关功能。为了解决这个问题,可以在二层设备上开启MLD Snooping查询器,使二层设备能够在数据链路层建立并维护IPv6组播转发表项,从而在数据链路层正常转发IPv6组播数据。
请避免在运行了MLD的网络中配置MLD Snooping查询器,因为尽管MLD Snooping查询器并不参与MLD查询器的选举,但在运行了MLD的网络中,配置MLD Snooping查询器不但没有实际的意义,反而可能会由于其发送的MLD普遍组查询报文的源IPv6地址较小而影响MLD查询器的选举。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 开启MLD Snooping查询器。
mld-snooping querier
缺省情况下,MLD Snooping查询器处于关闭状态。
为了避免某VLAN因单一MLD Snooping查询器发生故障引起组播业务中断,建议在VLAN内配置多个MLD Snooping查询器,各设备上开启MLD Snooping查询器选举功能。当选举出的MLD Snooping查询器发生故障无法正常工作后,VLAN内各设备会重新选举出新的MLD Snooping查询器以保证组播业务正常转发。
在VLAN内开启MLD Snooping查询器选举功能之前,需要先开启MLD Snooping查询器。有关开启MLD Snooping查询器的详细介绍,请参见“1.8.1 开启MLD Snooping查询器”。
由于MLD Snooping查询器收到源IPv6地址为::的查询报文和源IPv6地址与本机查询器IPv6地址相同的查询报文不进行选举,因此,用户需要通过mld-snooping general-query source-ip配置将MLD查询报文的源IPv6地址配置为一个未被其他设备和主机使用的有效IPv6地址以避免上述问题。
通过mld-snooping version命令保证参与MLD Snooping查询器选举的各设备MLD Snooping版本相同。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 开启MLD Snooping查询器选举功能。
mld-snooping querier-election
缺省情况下,VLAN内MLD Snooping查询器选举功能处于关闭状态。
可以根据网络的实际情况来修改MLD普遍组查询报文的发送间隔。
合理配置MLD普遍组查询的最大响应时间,既可以使主机对MLD查询报文做出快速响应,又可以减少由于定时器同时超时,造成大量主机同时发送报告报文而引起的网络拥塞。
对于MLD普遍组查询报文,其报文最大响应时间字段由所配置的MLD普遍组查询的最大响应时间来填充,在主机收到MLD普遍组查询报文后,主机会为其所加入的每个IPv6组播组都启动一个定时器,定时器的值在0到最大响应时间(该时间值由主机从所收到的MLD普遍组查询报文的最大响应时间字段获得)中随机选定,当定时器的值减为0时,主机就会向该定时器对应的IPv6组播组发送MLD成员关系报告报文。
为避免误删IPv6组播组成员,请确保MLD普遍组查询报文的发送间隔大于MLD普遍组查询的最大响应时间,否则配置虽能生效但系统会给出提示。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 全局配置MLD普遍组查询的最大响应时间。
max-response-time seconds
缺省情况下,MLD普遍组查询的最大响应时间为10秒。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 在VLAN内配置MLD普遍组查询报文的发送间隔。
mld-snooping query-interval interval
缺省情况下,MLD普遍组查询报文的发送间隔为125秒。
(4) 在VLAN内配置MLD普遍组查询的最大响应时间。
mld-snooping max-response-time seconds
缺省情况下,MLD普遍组查询的最大响应时间为10秒。
当链路拓扑发生变化时,STP等协议会重新计算路径,将流量切换到新的路径。但是,在这种情况下,设备通常不会立即发送MLD普遍组查询报文,导致IPv6组播数据不能及时切换到变更后的路径上。通过配置本命令,可以配置设备在链路变化时主动发送MLD通用组查询报文,更新网络中成员端口信息,将IPv6组播数据流迅速切换到新的转发路径上。
配置该命令后的设备会向涉及链路拓扑变化的VLAN中的每一个端口立刻发送一次MLD普遍组查询报文。
请在处于易发生链路拓扑变化的查询器上配置此功能。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 配置设备在链路拓扑发生变化时立刻发送MLD普遍组查询报文。
send-query enable
缺省情况下,设备不会因为链路拓扑发生变化而立刻发送MLD普遍组查询报文。
通过在边缘设备配置MLD Snooping Proxy功能,以减少上游设备收到报告报文和离开报文的数量。配置了MLD Snooping Proxy功能的设备称为MLD Snooping代理设备,在其上游设备看来,它相当于一台主机,配合开启MLD Snooping查询器功能,对下游来说就相当于路由器。为了避免过多的报文数量对网络的影响,建议在网络边缘设备上开启MLD Snooping Proxy功能。
在VLAN内开启MLD Snooping Proxy功能,需要先全局开启MLD Snooping再在VLAN内使能MLD Snooping。注意在组播VLAN的子VLAN下,MLD Snooping Proxy功能不会生效。
本功能需要和MLD Snooping查询器功能同时使用。有关开启MLD Snooping查询器的详细介绍,请参见“1.8.1 开启MLD Snooping查询器”。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 在VLAN内开启MLD Snooping Proxy功能。
mld-snooping proxy enable
缺省情况下,VLAN内的MLD Snooping Proxy功能处于关闭状态。
用户可以通过本配置改变MLD Snooping查询器发送的MLD查询报文的源IPv6地址。如果本网段内存在别的MLD查询器,MLD查询报文源IPv6地址的改变可能会影响网段内MLD查询器的选举。
用户也可以改变模拟主机或MLD Snooping代理发送的MLD成员关系报告报文或MLD离开组报文的源IPv6地址。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 配置MLD普遍组查询报文的源IPv6地址。
mld-snooping general-query source-ip ipv6-address
缺省情况下,MLD普遍组查询报文的源IPv6地址为当前VLAN接口的IPv6链路本地地址;若当前VLAN接口没有IPv6链路本地地址,则采用FE80::02FF:FFFF:FE00:0001。
(4) 配置MLD特定组查询报文的源IPv6地址。
mld-snooping special-query source-ip ipv6-address
缺省情况下,如果收到过MLD普遍组查询报文,则以其源IPv6地址作为MLD特定组查询报文的源IPv6地址;否则,采用当前VLAN接口的IPv6链路本地地址;若当前VLAN接口没有IPv6链路本地地址,则采用FE80::02FF:FFFF:FE00:0001。
(5) 配置MLD成员关系报告报文的源IPv6地址。
mld-snooping report source-ip ipv6-address
缺省情况下,MLD成员关系报告报文的源IPv6地址为当前VLAN接口的IPv6链路本地地址;若当前VLAN接口没有IPv6链路本地地址,则采用FE80::02FF:FFFF:FE00:0001。
(6) 配置MLD离开组报文的源IPv6地址。
mld-snooping done source-ip ipv6-address
缺省情况下,MLD离开组报文的源IPv6地址为当前VLAN接口的IPv6链路本地地址;若当前VLAN接口没有IPv6链路本地地址,则采用FE80::02FF:FFFF:FE00:0001。
当二层设备的出端口发生拥塞时,二层设备通过识别报文的802.1p优先级,优先发送优先级较高的报文。用户可以通过本配置改变MLD报文(包括本设备生成的以及途经本设备的)的802.1p优先级。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 全局配置MLD报文的802.1p优先级。
dot1p-priority priority
缺省情况下,MLD报文的802.1p优先级为6。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 在VLAN内配置MLD报文的802.1p优先级。
mld-snooping dot1p-priority priority
缺省情况下,VLAN内MLD报文的802.1p优先级为6。
在使能了MLD Snooping的二层设备上,通过配置IPv6组播组过滤器,可以限制用户对组播节目的点播。本配置只对动态组播组有效,对静态组播组无效。
在实际应用中,当用户点播某个组播节目时,主机会发起一个MLD成员关系报告报文,该报文将在二层设备上接受IPv6组播组过滤器的检查,只有通过了检查,二层设备才会将该主机所属的端口加入到出端口列表中,从而达到控制用户点播组播节目的目的。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 全局配置IPv6组播组过滤器。
group-policy ipv6-acl-number [ vlan vlan-list ]
缺省情况下,未配置IPv6组播组过滤器,即主机可以加入任意合法的IPv6组播组。
(1) 进入系统视图。
system-view
(2) 进入二层接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 在端口上配置IPv6组播组过滤器。
mld-snooping group-policy ipv6-acl-number [ vlan vlan-list ]
缺省情况下,未配置IPv6组播组过滤器,即主机可以加入任意合法的IPv6组播组。
通过配置IPv6组播数据报文源端口过滤功能,可以允许或禁止端口作为IPv6组播源端口:
· 开启该功能后,端口不能连接IPv6组播源,因为该端口将过滤掉所有的IPv6组播数据报文(但允许IPv6组播协议报文通过),因此只能连接IPv6组播数据接收者。
· 关闭该功能后,端口既能连接IPv6组播源,也能连接IPv6组播数据接收者。
在开启IPv6组播数据报文源端口过滤功能时,系统将同时开启IPv4组播数据报文源端口过滤功能。
全局和在端口上配置IPv6组播数据报文源端口过滤功能的优先级相同,最新配置生效。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 开启指定端口的IPv6组播数据报文源端口过滤功能。
source-deny port interface-list
缺省情况下,IPv6组播数据报文源端口过滤功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入二层以太网接口视图。
interface interface-type interface-number
(3) 开启当前端口的IPv6组播数据报文源端口过滤功能。
mld-snooping source-deny
缺省情况下,IPv6组播数据报文源端口过滤功能处于关闭状态。
未知IPv6组播数据报文是指在MLD Snooping转发表中不存在对应转发表项的那些IPv6组播数据报文:
· 当开启了丢弃未知IPv6组播数据报文功能时,二层设备只向其路由器端口转发未知IPv6组播数据报文,不在VLAN内广播;如果二层设备没有路由器端口,未知IPv6组播数据报文会被丢弃,不再转发。
· 当关闭了丢弃未知IPv6组播数据报文功能时,二层设备将在未知IPv6组播数据报文所属的VLAN内广播该报文。
对于同时支持drop-unknown和mld-snooping drop-unknown这两条命令的设备来说,MLD-Snooping视图和VLAN视图下的配置是互斥的。也就是说,当在MLD-Snooping视图下全局开启了丢弃未知IPv6组播数据报文的功能后,不允许在VLAN视图下开启或关闭该功能,反之亦然。
在开启了丢弃未知IPv6组播数据报文功能之后,未知IPv4组播数据报文也将被丢弃。
在VLAN视图下开启了丢弃未知IPv6组播数据报文的功能之后,仍会向该VLAN内的其它路由器端口转发未知IPv6组播数据报文。
如果某三层IPv6组播数据在IPv6组播转发表中对应多个出端口,且这些出端口在同一个VLAN,建议在该VLAN内配置丢弃未知IPv6组播数据报文功能,否则将在该VLAN内广播此三层IPv6组播数据。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 全局开启丢弃未知IPv6组播数据报文功能。
drop-unknown
缺省情况下,丢弃未知IPv6组播数据报文功能处于关闭状态,即对未知IPv6组播数据报文进行广播。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 在VLAN内开启丢弃未知IPv6组播数据报文功能。
mld-snooping drop-unknown
缺省情况下,丢弃未知IPv6组播数据报文功能处于关闭状态,即对未知IPv6组播数据报文进行广播。
当二层设备收到来自某IPv6组播组成员的MLD成员关系报告报文时,会将该报文转发给与其直连的三层设备。这样,当二层设备上存在属于某IPv6组播组的多个成员时,与其直连的三层设备会收到这些成员发送的相同MLD成员关系报告报文。
当开启了MLD成员关系报告报文抑制功能后,在一个查询间隔内二层设备只会把收到的某IPv6组播组内的第一个MLD成员关系报告报文转发给三层设备,而不继续向三层设备转发来自同一IPv6组播组的其它MLD成员关系报告报文,这样可以减少网络中的报文数量。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 开启MLD成员关系报告报文抑制功能。
report-aggregation
缺省情况下,MLD成员关系报告报文抑制功能处于开启状态。
通过配置端口加入的IPv6组播组的最大数量,可以限制用户点播组播节目的数量,从而控制了端口上的数据流量。本配置只对动态组播组有效,对静态组播组无效。
在配置端口加入的IPv6组播组最大数量时,如果当前端口上的IPv6组播组数量已超过配置值,系统将把该端口相关的所有转发表项从MLD Snooping转发表中删除,该端口下的主机都需要重新加入IPv6组播组,直至该端口上的IPv6组播组数量达到限制值,系统将自动丢弃新的MLD成员关系报告报文。
(1) 进入系统视图。
system-view
(2) 进入二层接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 配置端口加入的IPv6组播组最大数量。
mld-snooping group-limit limit [ vlan vlan-list ]
缺省情况下,未对端口加入的IPv6组播组最大数量进行限制。
当端口上的IPv6组播组数目达到配置端口加入的IPv6组播组最大数量时,会自动丢弃新的MLD成员关系报告报文。IPv6组播组替换功能开启后,当端口收到新的MLD成员关系报告报文时,会自动离开IPv6地址最小的IPv6组播组并加入新的IPv6组播组。该特性的典型应用就是频道切换。用户切换频道时,就是离开一个IPv6组播组并加入到新的IPv6组播组。
本配置只对动态组播组有效,对静态组播组无效。
当设备上维护的MLD Snooping转发表项达到配置的MLD Snooping转发表项的全局最大数量并且端口新加入的IPv6组播组不在设备维护的IPv6组播组列表中时,IPv6组播组替换功能不能生效。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 全局开启IPv6组播组替换功能。
overflow-replace [ vlan vlan-list ]
缺省情况下,IPv6组播组替换功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入二层接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 在端口上开启IPv6组播组替换功能。
mld-snooping overflow-replace [ vlan vlan-list ]
缺省情况下,IPv6组播组替换功能处于关闭状态。
通过开启MLD Snooping主机跟踪功能,可以使二层设备能够记录正在接收IPv6组播数据的成员主机信息(包括主机的IPv6地址、加入IPv6组播组的运行时长和超时剩余时间等),以便于网络管理员对这些主机进行监控和管理。
(1) 进入系统视图。
system-view
(2) 进入MLD-Snooping视图。
mld-snooping
(3) 全局开启MLD Snooping主机跟踪功能。
host-tracking
缺省情况下,MLD Snooping主机跟踪功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入VLAN视图。
vlan vlan-id
(3) 在VLAN内开启MLD Snooping主机跟踪功能。
mld-snooping host-tracking
缺省情况下,MLD Snooping主机跟踪功能处于关闭状态。
DSCP优先级用来体现报文自身的优先等级,决定报文传输的优先程度。通过本配置可以指定设备发送的MLD协议报文的DSCP优先级。
(1) 进入系统视图。
system-view
(2) 进入MLD Snooping视图。
mld-snooping
(3) 配置设备发送的MLD协议报文的DSCP优先级。
dscp dscp-value
缺省情况下,设备发送的MLD协议报文的DSCP优先级为48。
可在任意视图下执行以下命令,显示MLD Snooping的状态信息。
display mld-snooping [ global | vlan vlan-id ]
可在任意视图下执行以下命令:
· 显示动态MLD Snooping IPv6组播组的信息。
display mld-snooping group [ ipv6-group-address | ipv6-source-address ] * [ vlan vlan-id ] [ interface interface-type interface-number | verbose ]
· 显示IPv6动态路由器端口的信息。
display mld-snooping router-port [ vlan vlan-id ] [ verbose ]
可在任意视图下执行以下命令:
· 显示静态MLD Snooping IPv6组播组的信息。
display mld-snooping static-group [ ipv6-group-address | ipv6-source-address ] * [ vlan vlan-id ] [ verbose ]
· 显示IPv6静态路由器端口的信息。
display mld-snooping static-router-port [ vlan vlan-id ]
· 显示IPv6二层组播快速转发表信息。
display ipv6 l2-multicast fast-forwarding cache [ vlan vlan-id ] [ ipv6-source-address | ipv6-group-address ] *
· 显示IPv6二层组播的IP组播组信息。
display ipv6 l2-multicast ip [ group ipv6-group-address | source ipv6-source-address ] * [ vlan vlan-id ]
· 显示IPv6二层组播的IP转发表信息。
display ipv6 l2-multicast ip forwarding [ group ipv6-group-address | source ipv6-source-address ] * [ vlan vlan-id ]
· 显示IPv6二层组播的MAC组播组信息。
display ipv6 l2-multicast mac [ mac-address ] [ vlan vlan-id ]
· 显示IPv6二层组播的MAC转发表信息。
display ipv6 l2-multicast mac forwarding [ mac-address ] [ vlan vlan-id ]
可在任意视图下执行以下命令,显示MLD Snooping主机跟踪信息。
display mld-snooping host-tracking vlan vlan-id group ipv6-group-address [ source ipv6-source-address ]
可在任意视图下执行以下命令,显示MLD Snooping监听到的MLD报文的统计信息。
display mld-snooping statistics
请在用户视图下执行以下命令,清除MLD Snooping监听到的MLD报文的统计信息。
reset mld-snooping statistics
· 清除IPv6二层组播快速转发表中的转发项。
reset ipv6 l2-multicast fast-forwarding cache [ vlan vlan-id ] { { ipv6-source-address | ipv6-group-address } * | all }
· 清除动态MLD Snooping IPv6组播组的信息。
reset mld-snooping group { ipv6-group-address [ ipv6-source-address ] | all } [ vlan vlan-id ]
· 清除IPv6动态路由器端口的信息。
reset mld-snooping router-port { all | vlan vlan-id }
Source作为组播源,通过组播组(FF1E::1)传送节目,无线用户Client作为组播客户端(要求无线用户Client与组播源Source之间路由可达)。通过配置,使无线用户Client可以点播组播源上的节目。
(1) 配置IP地址
请按照图1-4配置各接口的IP地址和子网掩码,具体配置过程略。
(2) 配置Router A
# 使能IP组播路由,在接口GigabitEthernet1/0/1上使能PIM-DM,并在接口GigabitEthernet1/0/2上使能MLD。
<RouterA> system-view
[RouterA] ipv6 multicast routing
[RouterA-mrib] quit
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] pim ipv6 dm
[RouterA-GigabitEthernet1/0/1] quit
[RouterA] interface gigabitethernet 1/0/2
[RouterA-GigabitEthernet1/0/2] mld enable
[RouterA-GigabitEthernet1/0/2] quit
# 配置WLAN服务模板(SSID为Multicast)加入VLAN 100。
<AC> system-view
[AC] vlan 100
[AC-vlan100] quit
[AC] wlan service-template 1
[AC-wlan-st-1] ssid Multicast
[AC-wlan-st-1] vlan 100
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 在AC上创建AP的管理模板(名称为ap,型号为WA6320),指定AP的序列号为219801A0CNC138011454。
[AC ]wlan ap ap model WA6320
[AC-wlan-ap-ap] serial-id 219801A0CNC138011454
# 将服务模板映射到当前的射频。
[AC-wlan-ap-ap-radio-1] service-template 1
[AC-wlan-ap-ap-radio-1] radio enable
[AC-wlan-ap-ap-radio-1] quit
[AC-wlan-ap-ap] quit
(4) 配置主机加入IPv6组播组。
# 在VLAN 100内使能MLD Snooping。
[AC-mld-snooping] quit
[AC] vlan 100
[AC-vlan100] mld-snooping enable
[AC-vlan100] quit
不同无线控制器产品以太网接口类型不同,请以设备的实际情况为准。本例中的以太网接口仅作为示例。
# 将无线控制器的GigabitEthernet1/0/2的端口类型配置为Trunk,并将该端口添加到VLAN 100中。
[AC] interface GigabitEthernet 1/0/2
[AC-GigabitEthernet1/0/2] port link-type trunk
[AC-GigabitEthernet1/0/2] port trunk permit vlan 100
[AC-GigabitEthernet1/0/2] quit
# 将Client接入到SSID为Multicast的无线服务中,并在Client上点播视频源(组播组FF1E::1)。
# 查看AC上VLAN100内MLD Snooping组播组的详细信息。
[AC]display mld-snooping group vlan 100 verbose
Total 1 entries.
VLAN 100: Total 1 entries.
(::,FF1E::101)
Attribute: local port
FSM information: normal
Host slots (0 in total):
Host ports (1 in total):
WLAN-BSS1/0/20 (00:03:23)
可以看到,AC上的端口WLAN-BSS1/0/20已经加入了IPv6组播组FF1E::1。
二层设备不能实现MLD snooping二层组播功能。
MLD Snooping没有使能。
(1) 使用display mld-snooping命令查看MLD Snooping的运行状态。
(2) 如果是没有使能MLD Snooping,则需先在系统视图下使用mld-snooping命令开启设备的MLD Snooping特性,然后在VLAN视图下使用mld-snooping enable命令使能VLAN内的MLD Snooping。
(3) 如果只是没有在相应VLAN下使能MLD Snooping,则只需在VLAN视图下使用mld-snooping enable命令使能VLAN内的MLD Snooping。
配置了IPv6组播组策略,只允许主机加入某些特定的IPv6组播组,但主机仍然可以收到发往其它IPv6组播组的IPv6组播数据。
· IPv6 ACL规则配置不正确;
· IPv6组播组策略应用不正确;
· 没有开启丢弃未知IPv6组播数据报文的功能,使得属于过滤策略之外的IPv6组播数据报文(即未知IPv6组播数据报文)被广播。
(1) 使用display acl ipv6命令查看所配置的IPv6 ACL规则,检查其是否与所要实现的IPv6组播组过滤策略相符合。
(2) 在MLD-Snooping视图或相应的接口视图下使用display this命令查看是否应用了正确的IPv6组播组策略。如果没有,则使用group-policy或mld-snooping group-policy命令应用正确的IPv6组播组策略。
(3) 使用display mld-snooping命令查看是否已开启丢弃未知IPv6组播数据报文的功能。如果没有开启,则使用drop-unknown或mld-snooping drop-unknown命令开启丢弃未知IPv6组播数据报文功能。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!