Snooping IGMP y direcciones de multidifusión local de enlace


8

Tengo una red que tiene muchos dispositivos que envían datos a 224.0.0.225 en una VLAN que abarca múltiples conmutadores. Cada dispositivo (aproximadamente 12 de ellos) envía datos de informes a aproximadamente 500-600 kbps. Cada puerto en la VLAN, ya sea que el receptor envíe una unión o no, se inunda con aproximadamente 6 Mbps de tráfico de multidifusión.

La inspección IGMP está habilitada en todos los conmutadores y la VLAN local.
pim sparse-mode está configurado en el mrouter / gateway predeterminado.

Si hago un show ip igmp snooping groupsen el interruptor, no hay entrada en la tabla de espionaje.

Sé que 224.0.0.1 - 224.0.0.255 cae dentro del rango de multidifusión de IP reservado local de enlace, lo que significa que un enrutador no reenviará paquetes dentro de este rango. Estos rangos también se utilizan para el enrutamiento del protocolo de charla. por ejemplo) EIGRP, OSPF, HSRP ... etc.

Tengo dos preguntas:
1) Creo que la respuesta es SÍ: para 224.0.0.1 224.0.0.255 ... ¿IGMPv2 ignora este rango para espiar y el conmutador simplemente reenvía esto a todos los puertos?
2) ¿Hay alguna forma de obligar a IGMP a espiar este tráfico de multidifusión y solo enviarlo a los puertos que lo solicitan con una unión IGMP?

Tengo la sensación de que este es uno de esos casos en los que las aplicaciones / programadores necesitan diseñar sus dispositivos y aplicaciones para respetar las redes escalables que no son de consumo. Por lo tanto, deberían usar una dirección de multidifusión en el rango 239.0.0.0/8.


Creo que la respuesta correcta aquí es encontrar a quien eligió abusar de las direcciones "no asignadas" y educarlas en el error de sus formas con un 2x4. Estás en lo correcto; la "aplicación" debería estar usando 239/8. Hasta que lo sea, hay muy poco que pueda hacer al respecto.
Ricky Beam

1
para agregar a esto: Cisco también afirma que este es el enfoque previsto para la multidifusión de enlace local. cisco.com/en/US/tech/tk828/…
knotseh

Respuestas:


7

Seguí buscando en Internet ... y creo que he respondido a mi propia pregunta.
Ahora necesito volver a los propietarios / desarrolladores de aplicaciones / dispositivos y ver qué podemos hacer o bloquear aún más estos dispositivos en su propia VLAN.

Por favor, deje comentarios o respuestas con cualquier otro consejo.

RFC 4541 2.1.2 :

1) Los paquetes con una dirección IP de destino fuera de 224.0.0.X que no son IGMP deben enviarse de acuerdo con las tablas de pertenencia de puertos basadas en grupos y también deben enviarse a los puertos del enrutador.

  This is the main IGMP snooping functionality for the data path.
  One approach that an implementation could take would be to
  maintain separate membership and multicast router tables in
  software and then "merge" these tables into a forwarding cache.

2) Los paquetes con una dirección IP de destino (DIP) en el rango 224.0.0.X que no son IGMP deben enviarse a todos los puertos.

  This recommendation is based on the fact that many host systems do
  not send Join IP multicast addresses in this range before sending
  or listening to IP multicast packets.  Furthermore, since the
  224.0.0.X address range is defined as link-local (not to be
  routed), it seems unnecessary to keep the state for each address
  in this range.  Additionally, some routers operate in the
  224.0.0.X address range without issuing IGMP Joins, and these
  applications would break if the switch were to prune them due to
  not having seen a Join Group message from the router.

Hola, por favor considere aceptar esta respuesta. Acabo de encontrar esto mientras buscaba en Google una pregunta similar.
Mike Pennington

6

Hay otra advertencia: según la plataforma, el conmutador eliminará todas las multidifusión de enlace local a la CPU. Esto incluye, por ejemplo, el tráfico OSPF.

Me di cuenta de esto en Ciscos Catalyst 4500 que enviará todo el tráfico 224.0.0.x a la CPU. Cuando la CPU está ocupada, descartará los paquetes, incluidos los paquetes OSPF. Diviértete depurando por qué caen tus sesiones OSPF.

Tampoco ayuda apagar igmp snooping en la plataforma. En algún momento Cisco notó que probablemente esta no sea la mejor idea e introdujo el comando:

access-list hardware capture mode vlan

Esto unirá los paquetes de multidifusión en el hardware.

Consulte http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/52sg/configuration/guide/secure.html#wp1128851 para más detalles.


¿Conoces alguna forma de bloquear el mcast 224.0.0.x a nivel de puerto?
knotseh

Mmmh, depende. Puede aplicar Control Plane Policing: cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/52sg/… Pero está limitado a los mapas de clase predefinidos. Si su tráfico coincide con uno de los mapas de clase, tiene suerte. Editar : Ok, leyendo esto de nuevo, no estoy seguro de si se te permite tener tus propios mapas de clase además de los predefinidos. Tendrías que probarlo.
Sebastian Wiesinger el

Entonces mis interruptores de acceso son en realidad interruptores de la serie 3560x. Una vez que obtenga mi ventana de mantenimiento, intentaré la multidifusión de bloqueo de bloque como se recomienda en una pregunta de falla del servidor. Tal vez vuelva a publicar esto como una pregunta más adelante
knotseh

Entonces, desde mi lectura inicial en mi teléfono ... parece que clasificará todo o nada en términos de enlace de tráfico local. Por supuesto, si puedo bloquear ese mapa de clase predefinido, entonces también eliminará hsrp, que es la única otra cosa que necesito para trabajar.
knotseh
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.