第08章 二层组播技术
二层组播协议介绍
IGMP SNOOPING
IGMP SNOOPING工作机制: 成员关系报文 在收到 IGMP成员关系报告报文时,交换机将其通过 VLAN内的所有路由器 端口转发出去,从该报文中解析出主机要加入的组播组地址,并对该报文的 接收端口做如下处理:
1.如果不存在该组播组所对应的转发表项,则创建转发表项,将该端口作为 动态成员端口添加到出端口列表中,并启动其老化定时器;
IGMP SNOOPING
IGMP SNOOPING工作机制: 离开组报文 当交换机从某动态成员端口上收到 IGMP离开组报文时,首先判断要离开 的组播组所对应的转发表项是否存在,以及该组播组所对应转发表项的出端 口列表中是否包含该接收端口:
1.如果不存在该组播组对应的转发表项,或者该组播组对应转发表项的出端 口列表中不包含该端口,交换机不会向任何端口转发该报文,而将其直接丢 弃;
FAQ
IGMP SNOOPING模式下测试仪端口为什么抓不到主机发送的report和 leave报文?
ቤተ መጻሕፍቲ ባይዱ
二层组播协议介绍
贡嘎仁青 RCYF-1904
内容概要
组播概述
IGMP SNOOPING
IGMP PROXY
组播VLAN
FAQ
组播概述
所有的通信流都以下列方式之一传输:
单播、广播和组播
组播传输:数据源只发送一份数据信息给一个特殊的地址, 该地址则代表多个用户
IP组播,二层组播IGMPSnooping,组播代理,跨VLAN组播
IP组播,二层组播IGMPSnooping,组播代理,跨VLAN组播一、IP组播技术简介组播技术指的是单个发送者对应多个接收者的一种网络通信。
组播技术中,通过向多个接收方传送单信息流方式,可以减少具有多个接收方同时收听或查看相同资源情况下的网络通信流量。
传统的IP通信主要包括单播和广播有两种方式。
对于单播和广播来说,不仅会将信息发送给不需要的主机而浪费带宽,也可能由于路由回环引起严重的广播风暴,同时还会浪费大量带宽,增加了服务器的负载。
所以,传统的单播和广播通信方式不能有效地解决单点发送多点接收的问题。
IP组播是指在IP网络中将数据包发送到网络中的某个确定的组播组。
IP组播是指源主机只发送一份数据,数据中的目的地址为组播地址;组播组中的所有接收者都可接收到同样的数据拷贝,并且只有组播组内的主机可以接收该数据,网络中其它主机不能收到。
IP组播有效地解决了单点发送多点接收的问题,能够大量节约网络带宽、降低网络负载。
更重要的是,可以利用网络的组播特性方便地提供一些新的增值业务,包括远程医疗、网络电台、远程教育、在线直播、网络电视、视频会议等信息服务领域。
在IP多媒体业务日渐增多的情况下,随着互联网建设的迅猛发展和新业务的不断推出,IP组播有着巨大的市场潜力,组播业务也将逐渐得到推广和普及。
二、二层组播IGMP Snooping协议IGMP Snooping称为互联网组管理协议,它是运行在数据链路层设备上的组播约束机制,主要用于管理和控制组播组。
运行IGMP Snooping的设备通过对收到的IGMP报文进行分析,为端口和MAC组播地址建立起映射关系,并根据这样的映射关系转发组播数据。
当二层设备没有运行IGMP Snooping时,组播数据在二层被广播;当二层设备运行了IGMP Snooping后,已知组播组的组播数据不会在二层被广播,而在二层被组播给指定的接收者。
IGMP Snooping是通过监听IGMP协议包,提取相应的信息,形成组播成员关系表,然后对组播业务按照组成员关系进行转发,保证组成员收到正确的组播业务,而其余主机无法收到。
二层组播协议IGMP proxy或IGMP Snooping
(3)下行方向的业务包按照组播表进行转发。
(4)下联端口执行路由器的角色,完全按照IGMP V2中规定的机制执行,包括查询者选举机制,定期发送通用查询信息,收到离开包时发送特定查询等。 IGMP Proxy在两个端口分别实现不同的功能,工作量相对较大,其优点是当网络中没有路由器时,IGMP Proxy设备可以起到查询者的作用,而且如果要扩展组播路由功能,Proxy比Snooping方便。考虑到BAS复制PPPoE多播数据对底层设备造成的巨大压力,而且当前的交换机和部分DSLAM(尤其是以IP为内核的DSLAM)已经开始支持二层组播,所以从发展的角度看采用IGMP Proxy更好一些。
(3)BAS收到路由器的组播数据报文时,根据组播MAC地址和组播IP地址的对应关系,找到对应的VLAN,然后将数据包封装成PPPoE的会话包,向VLAN内的成员转发。
(4)当收到来自主机的申请离开组播组的包时,BAS把收到该包的端口从相应的VLAN中删除,若该用户是组播组最后一个用户(此时VLAN为空),则把该VLAN删除,并把该包内容通过上行端口转发出去。 IGMP Snooping的规则比较简单,下行方向透传查询包,上行方向根据需要转发加入或离开包,但要求BAS必须有3层提取功能,它对于主机和路由器是透明的。
(1)主机与BAS进行PPPoE协商,通过PPPoE认证。
(2)主机向路由器发送IGMP成员报告包址,将该用户添加到对应的VLAN,如果该用户是组播组的第一个用户,则为这个组播组产生一个组播条目,并将该报文转发至上层路由器以更新组播路由表。
二、IGMP Proxy
IGMP Proxy是靠拦截用户和路由器之间的IGMP报文建立组播表,Proxy设备的上联端口执行主机的角色,下联端口执行路由器的角色。
第8章 二层组播故障排除
第8章二层组播故障排除
本章内容:
二层组播故障排除基本思路
二层组播常见故障处理
8.1二层组播故障排除基本思路
1、排除单播和物理线路等原因
检测方法:使用show port命令查看物理信号是否全部UP,检测连线是否正常、设备是否正常、环境(各种干扰因素)是否对二层组播工作有不良影响。
用ping命令查看单播通信是否正常。
2、检查配置及参数设置
检测方法:查看通信两端配置是否正常,并使用相关二层组播协议的show命令进一步确定问题所在。
8.2二层组播常见故障处理
故障一:接收者不能接收组播数据流
故障二:接收者不点播也能接收组播数据,组播数据流在同一vlan 中广播
故障三:配置MVR 后不能接收组播数据流
故障四:配置静态组播后不能接收组播数据流
故障五:打开IGMP snooping后,进行视频点播,出现视频抖动现象。
二层组播转发原理与IGMP Snooping介绍
2. 二层组播转发原理 ....................................................................................................................5 3. IGMP 与 IGMP Snooping ............................................................................................................5
图 1 IP 组播与单播转发模型对比
1.2 组播 IP 地址
IP 组播地址用于标识一个 IP 组播组。IANA 把 D 类地址空间分配给 IP 组播,其范围是从 224.0.0.0 到 239.255.255.255。IP 组播地址前四位均为 1110。见表 1
版权所有:深圳市新格林耐特ห้องสมุดไป่ตู้发部
八位组(1) 1110XXXX
3.2.1 IGMPv1 的报文格式..............................................................................................6 3.2.2 报文介绍与处理说明...........................................................................................6 3.3 IGMPv2 介绍 .....................................................................................................................7 3.3.1 IGMPv2 报文格式说明..........................................................................................7 3.3.2 报文介绍与处理说明...........................................................................................7 3.4 IGMPv3 介绍 .....................................................................................................................8 3.4.1 IGMPv3 报文格式说明..........................................................................................8 3.4.2 IGMPv3 查询报文介绍..........................................................................................8 3.4.3 IGMPv3 报告报文介绍........................................................................................10 3.4.4 IGMPv3 报文处理说明........................................................................................13 3.5 IGMP 三个版本对比.......................................................................................................14 4. IGMP Snooping 介绍 ................................................................................................................14 4.1 IGMP Snooping 概述 ......................................................................................................14 4.2 IGMP Snooping 基本概念 ..............................................................................................15 4.3 IGMP Snooping 的处理过程 .........................................................................................15 后记 ................................................................................................................................................16
二层组播的配置「典型」
二层组播的配置「典型」关于二层组播的知识,那么店铺今天我们以一个典型的二层组播配置来实践一下。
二层组播配置案例需求1.三台S3600-SI以及一台S3600-EI组成二层组播网络,SwtichA 选用S3600-EI,SwitchB,SwitchC, SwitchD选用S3600-SI;2.多个组播源可接在这四台S3600系列产品的任何一台,接收端只接在SwitchA上,实现在SwitchA上接收任何组播源发送的`组播数据的功能。
组网图如下:二层组播的典型配置S3600-EI的vlan 1的虚接口地址为:192.168.0.1/24二层组播配置步骤1 H3C 3500 3600 5600系列交换机的配置SwitchA配置:1.在系统视图下使能igmp-snooping[SwitchA]igmp-snooping enable2.在系统视图下使能未知组播丢弃功能[SwitchA]unknown-multicast drop enable3.进入vlan 1虚接口视图[SwitchA]int vlan 1[SwitchA-Vlan-interface1]ip address 192.168.0.1 244.进入vlan 1视图,作相关操作[SwitchA-Vlan-interface1]quit[SwitchA]vlan 1[SwitchA-vlan1] igmp-snooping enable[SwitchA-vlan1] igmp-snooping querier[SwitchA-vlan1] igmp-snooping general-query source-ip 192.168.0.1SwitchB 配置:1.在系统视图下使能igmp-snooping[SwitchB]igmp-snooping enable2.在系统视图下使能未知组播丢弃功能[SwitchB]unknown-multicast drop enable3.进入vlan 1视图,在vlan 1视图下起igmp-snooping 功能[SwitchB]vlan 1[SwitchB-vlan 1]igmp-snooping enableSwitchC ,SwitchD的配置同SwitchB,在此不再赘述。
组播深入解析
二层组播相关协议包括IGMP和GMRP协议。
让我们从分析组播MAC地址开始,逐步而深入的了解二层组播。
组播MAC地址所谓组播MAC地址,是一类逻辑的MAC地址,该MAC地址代表一个组播组,所有属于该组的成员都接收以该组对应的组播MAC地址为目的地址的数据帧。
注意的是,组播MAC地址是一个逻辑的MAC地址,也就是说,在网络上,没有一个设备的MAC地址是一个组播MAC地址。
组播MAC地址跟单播MAC地址(物理MAC地址)的区别是,组播MAC地址六个字节中,最高字节(第六字节)的最低位为1,而单播MAC地址则为0,如下图所示:为了更进一步了解组播的概念,我们先从MAC层的数据帧接收过程说起。
MAC层数据帧的接收在网卡的内部保留一张接收地址列表(可以理解为一个可读写的随机存储器),其中至少有两个MAC地址,即网卡的物理MAC地址和全1的广播MAC地址。
每当计算机想接收一个组播数据,也就是说要加入一个组播组,那么上层软件会给网络层一个通知,网络层做完自己的处理后,也会发一个通知给数据链路层,于是,数据链路层根据网络层想加入的组播组的组地址(一般是一个组播的IP地址),根据一定的规则映射为一个组播的MAC地址,然后把该MAC地址加入接收地址列表。
每当数据链路层接收到一个数据帧的时候,就提取该数据帧的帧头,找出目的MAC地址,跟接收地址列表中的地址项目比较,如果在列表中遇到一个地址,跟该数据帧的目的MAC地址是相同的,就停止比较,接收该数据帧,并把该数据帧放到上层协议对应的接收队列中;如果在整个接收列表中没有找到一个匹配的MAC地址,则丢弃该数据帧。
现假设接收到的数据帧是发给自己的单播数据帧,于是该数据帧的目的MAC地址就是自己的硬件地址。
数据链路层接收到该数据帧,跟接收列表中的地址比较,第一次比较就会通过,因为接收地址列表中的第一个MAC地址就是自己的硬件地址。
所以在任何情况下,发给自己的数据帧一定能接收下来;假设接收到的数据帧是一个广播数据帧,则在比较的时候,最后一项是匹配的,因为接收地址列表中肯定包含一个广播的MAC地址,这样就保证了任何广播数据报都会被正确接收;假设上层软件想接收组播组G的数据,经过一番映射到数据链路层之后,数据链路层会在自己的接收数据列表中添加一项组播组G对应的MAC地址,假设为MAC_G,当计算机接收到一个数据帧,该数据帧的目的地址为MAC_G的时候,该数据帧会被接收并传递到上层,因为接收列表中有一项MAC_G记录。
第08章 二层组播技术
第8章二层组播技术本章着重介绍二层组播公共部分、二层静态组播等二层组播相关技术,及其应用。
本章主要内容:●二层组播公共部分●二层静态组播及其应用●IGMP Snooping及其应用●MVR及其应用8.1二层组播公共部分本节主要讲述二层组播公共部分的原理。
本节主要内容:●相关术语解析●介绍8.1.1相关术语解析1.二层组播综合表:该表是综合了静态配置和动态学习获得的二层组播信息表项的集合。
在每个表项中包含了VLAN、组播MAC地址和综合了静态配置和动态学习获得的输出端口列表。
2.二层组播转发表:该表和二层组播综合表类似。
只是在每个表项中包含的输出端口列表是相应二层组播综合表的输出端口通过VLAN过滤和汇聚组转换为成员端口之后形成的,该表项用于确定二层组播的转发端口列表。
8.1.2介绍二层组播公共部分是连接底层芯片和二层组播应用的中间层,它的主要作用是综合二层组播应用(例如二层静态组播配置的和IGMP SNOOPING等动态二层组播应用学习到的)二层组播信息形成二层组播转发表,并且将这些表项下发到底层芯片中,从而形成硬件转发表。
8.1.2.1表项维护二层组播公共部分,主要是综合静态配置和动态学习的二层组播信息,然后形成二层组播综合表。
在形成组播综合表的过程中,将以静态配置优先的方式进行综合处理。
例如,如果静态配置某个端口上禁止转发某个二层组播组(以二元组[VLAN, MAC]表示)时,那么即使在此端口上动态二层组播学习到该二层组播组的成员,该端口仍然不会成为一个输出端口,也不会进行该二层组播包的复制和转发。
二层组播公共部分在二层组播综合表的基础上,通过VLAN过滤(就是将不属于转发表指定VLAN 的端口从输出端口中去除)和将汇聚组输出端口转换成汇聚组成员端口列表的方式将输出端口列表进行增加或者删除操作形成转发端口列表,从而建立二层组播转发表。
该表用于二层组播的转发。
最终,将此转发表写入到硬件转发表。
二层组播和qos
5.队列调度算法
• 调度算法: 1、SP(Strict Priority)严格优先级队列
2、WRR(Weighted Round Robin)加权公平轮
转队列
3、WFQ( Weighted Fair Queuing )加权公平 队列
4、SP+WRR队列
6.队列丢弃
• 尾丢弃 • sRED:Simple random early detection是一种简
7.流量整形
GTS(Generic Traffic Shaping,通用流量整形) 通过限制流出某一网络的某连接的流量和突发,
使这类报文在某个接口以比较均匀的速度向外 发送 通常使用缓冲区和令牌桶来实现。令牌桶以来 控制发送速度,超过流量的报文放在缓冲区中 缓存,以后再定时发送
Thank you!
1、qos基本概念
• Qos: Quality of Service(服务质量)是指网络通 信过程中,允许用户业务在丢包率、延迟、抖 动和带宽等方面获得可预期的服务水平
• IP QoS目标: – 避免并管理IP网络拥塞 – 减少IP报文的丢失率 – 调控IP网络的流量 – 为特定用户或特定业务提供专用带宽 – 支撑IP网络上的实时业务
单的随机早期丢弃算法,它在队列满之前就开 始丢弃某种颜色的报文。sRED有两个队列门限, 低门限和高门限,每次收到一个报文要入队的 时候,检查当前的队列深度,如果队列深度低 于低门限,那么这个报文就入队,如果队列深 度高于高门限,那么这个报文就丢弃,如果队 列深度位于低门限和高门限之间,那么就根据 所配置的丢弃几率来决定这个报文是否要被丢 弃。
Version Length
ToS 1 Byte
Len
ID
二层组播协议介绍
FAQ
IGMP SNOOPING模式下测试仪端口为什么抓不到主机发送的report和 leave报文?
IGMP SNOOPING
类型字段:组播消息类型 最长响应时间:群组成员计算的最大随机时延间隔,单位为0.1秒。默认的最大 值为10秒 校验和:报文校验和,计算方法与ICM校验和相同。 组地址:组播组地址
0 类型
7
15 最长响应时间 组地址 校验和
31
IGMP SNOOPING
类型 0x11 0x11 0x16 0x17 0x12
二层组播协议介绍
贡嘎仁青 RCபைடு நூலகம்F-1904
内容概要
组播概述
IGMP SNOOPING
IGMP PROXY
组播VLAN
FAQ
组播概述
所有的通信流都以下列方式之一传输:
单播、广播和组播
组播传输:数据源只发送一份数据信息给一个特殊的地址, 该地址则代表多个用户
组播概述
组播地址: IP 组播地址、MAC组播地址
成员端口:又称组播组成员端口,表示交换机上朝向组播组成员一侧的端 口。交换机将本设备上的所有成员端口都记录在 IGMP Snooping转发表 中。
IGMP SNOOPING
IGMP SNOOPING动态端口老化定时器
IGMP SNOOPING
IGMP SNOOPING工作机制: 普遍组查询 IGMP查询器定期向本地网段内的所有主机与路由器(224.0.0.1)发送 IGMP普遍组查询报文,以查询该网段有哪些组播组的成员。 在收到 IGMP普遍组查询报文时,交换机将其通过 VLAN内除接收端口以外 的其它所有端口转发出去,并对该报文的接收端口做如下处理: 1.如果在路由器端口列表中已包含该动态路由器端口,则重置其老化定时器。 2.如果在路由器端口列表中尚未包含该动态路由器端口,则将其添加到路由 器端口列表中,并启动其老化定时器。
视频监控系统网络组播配置(二层组播)
53283352[3352]dis cu#!Software Version V100R005C01SPC100sysname 3352#vlan batch 2 to 3#igmp-snooping enable 在全局模式下开启snooping组播协议#cluster enablentdp enablentdp hop 16ndp enable#dhcp enable#undo http server enable#drop illegal-mac alarm#vlan 2igmp-snooping enable 在摄像机接口所属的vlan下开启组播#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin privilege level 3local-user admin service-type telnet#interface Vlanif1ip address dhcp-alloc#interface Vlanif2ip address 10.1.20.254 255.255.255.0 给接口vlan2配置ip地址#interface Vlanif3ip address 1.1.1.1 255.255.255.252 给接口vlan3配置ip地址#interface Ethernet0/0/1port link-type accessport default vlan 2ntdp enablendp enablebpdu enable#interface Ethernet0/0/2 接口2连接摄像机port link-type access 接口类型为accessport default vlan 2 接口属于vlan2ntdp enablendp enablebpdu enable#interface Ethernet0/0/3port link-type accessport default vlan 2ntdp enablendp enablebpdu enable#interface Ethernet0/0/4port link-type accessport default vlan 2ntdp enablebpdu enable#interface Ethernet0/0/5 port link-type access port default vlan 2 ntdp enablendp enablebpdu enable#interface Ethernet0/0/6 port link-type access port default vlan 2 ntdp enablendp enablebpdu enable#interface Ethernet0/0/7 ntdp enablendp enablebpdu enable#interface Ethernet0/0/8 ntdp enablendp enablebpdu enable#interface Ethernet0/0/9 ntdp enablendp enablebpdu enable#interface Ethernet0/0/10 ntdp enablendp enablebpdu enable#interface Ethernet0/0/11 ntdp enablendp enablebpdu enable#interface Ethernet0/0/12 ntdp enablebpdu enable#interface Ethernet0/0/13 ntdp enablendp enablebpdu enable#interface Ethernet0/0/14 ntdp enablendp enablebpdu enable#interface Ethernet0/0/15 ntdp enablendp enablebpdu enable#interface Ethernet0/0/16 ntdp enablendp enablebpdu enable#interface Ethernet0/0/17 ntdp enablendp enablebpdu enable#interface Ethernet0/0/18 ntdp enablendp enablebpdu enable#interface Ethernet0/0/19 ntdp enablendp enablebpdu enable#interface Ethernet0/0/20 ntdp enablendp enablebpdu enable#interface Ethernet0/0/21ndp enablebpdu enable#interface Ethernet0/0/22 ntdp enablendp enablebpdu enable#interface Ethernet0/0/23 ntdp enablendp enablebpdu enable#interface Ethernet0/0/24 ntdp enablendp enablebpdu enable#interface Ethernet0/0/25 ntdp enablendp enablebpdu enable#interface Ethernet0/0/26 ntdp enablendp enablebpdu enable#interface Ethernet0/0/27 ntdp enablendp enablebpdu enable#interface Ethernet0/0/28 ntdp enablendp enablebpdu enable#interface Ethernet0/0/29 ntdp enablendp enablebpdu enable#interface Ethernet0/0/30 ntdp enablendp enablebpdu enable#interface Ethernet0/0/31 ntdp enablendp enablebpdu enable#interface Ethernet0/0/32 ntdp enablendp enablebpdu enable#interface Ethernet0/0/33 ntdp enablendp enablebpdu enable#interface Ethernet0/0/34 ntdp enablendp enablebpdu enable#interface Ethernet0/0/35 ntdp enablendp enablebpdu enable#interface Ethernet0/0/36 ntdp enablendp enablebpdu enable#interface Ethernet0/0/37 ntdp enablendp enablebpdu enable#interface Ethernet0/0/38 ntdp enablendp enablebpdu enable#interface Ethernet0/0/39 ntdp enablendp enablebpdu enable#interface Ethernet0/0/40 ntdp enablendp enablebpdu enable#interface Ethernet0/0/41 ntdp enablendp enablebpdu enable#interface Ethernet0/0/42 ntdp enablendp enablebpdu enable#interface Ethernet0/0/43 ntdp enablendp enablebpdu enable#interface Ethernet0/0/44 ntdp enablendp enablebpdu enable#interface Ethernet0/0/45 ntdp enablendp enablebpdu enable#interface Ethernet0/0/46 ntdp enablendp enablebpdu enable#interface Ethernet0/0/47 ntdp enablendp enablebpdu enable#interface Ethernet0/0/48 接口48为级联口port link-type trunk 类型trunkport trunk allow-pass vlan 2 to 4094 允许通过的vlan号ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/1ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/2ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/3ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/4ntdp enablendp enablebpdu enable#interface NULL0#ip route-static 10.1.30.0 255.255.255.0 1.1.1.2 配置静态路由,目的地址为对端接口地址#snmp-agentsnmp-agent local-engineid 000007DB7F000001000015B8snmp-agent sys-info version v3#user-interface con 0authentication-mode passwordset authentication password simple adminidle-timeout 0 0user-interface vty 0 4authentication-mode aaauser privilege level 15#Return[5328]dis cu#!Software Version V100R005C01SPC100sysname 5328#vlan batch 2 to 3#multicast routing-enable 在全局模式下开启组播路由协议#igmp-snooping enable 在全局模式下开启snooping组播协议igmp-snooping send-query enable 在全局模式下开启snooping查询#cluster enablentdp enablentdp hop 16ndp enable#dhcp enable#undo http server enable#drop illegal-mac alarm#vlan 2igmp-snooping enable 在摄像机接口所属vlan下开启组播#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password simple adminlocal-user admin service-type http#interface Vlanif1ip address dhcp-alloc#interface Vlanif2ip address 10.1.30.254 255.255.255.0 给接口vlan配置IP地址igmp enable 在接口vlan下开启igmp协议#interface Vlanif3ip address 1.1.1.2 255.255.255.252 给接口vlan3配置IP地址#interface MEth0/0/1#interface GigabitEthernet0/0/1 接口1连接摄像机port link-type access 接口类型为accessport default vlan 2 接口属于vlan2ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/2port link-type accessport default vlan 2ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/3port link-type accessport default vlan 2ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/4port link-type accessport default vlan 2ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/5port link-type accessport default vlan 2ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/6port link-type accessport default vlan 2ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/7 port link-type accessport default vlan 2ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/8 port link-type accessport default vlan 2ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/9 port link-type accessport default vlan 2ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/10 ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/11 ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/12 ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/13 ntdp enablebpdu enable#interface GigabitEthernet0/0/14 ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/15 ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/16 ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/17 ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/18 ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/19 ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/20 ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/21 ntdp enablendp enablebpdu enable#interface GigabitEthernet0/0/22ndp enablebpdu enable#interface GigabitEthernet0/0/23port link-type accessport default vlan 2ntdp enablendp enablebpdu enable#i nterface GigabitEthernet0/0/24 接口24为级联口port link-type trunk 接口类型为trunkport trunk allow-pass vlan 2 to 4094 接口允许通过的vlan号ntdp enablendp enablebpdu enable#interface NULL0#ip route-static 10.1.20.0 255.255.255.0 1.1.1.1 静态路由,目的地址为对端接口地址#snmp-agentsnmp-agent local-engineid 000007DB7F00000100001F13snmp-agent sys-info version v3#user-interface con 0authentication-mode passwordset authentication password simple adminidle-timeout 0 0user-interface vty 0 4user privilege level 3set authentication password simple admin#return。
第08章 二层设备(交换机)攻击与防范
1. 攻击环境
BackTrack 5虚拟机是集成的攻击平台,将在该平台上实施DHCP欺骗攻击,而 Windows Server 2003虚拟机上将安装DHCP服务和DNS服务,分配虚假IP地址 及其他参数。
2. 攻击过程
(1) 配置合法DHCP Server,为DHCP客户端分配正确的IP参数。
P2P终结者是一款优秀的网络管理软件,它可以让管理员轻松地、傻瓜化地管理局域网
中BT、电驴等大量占用带宽的网络引用,为家庭、企业节省宝贵的有限带宽,从而保 障网页浏览,邮件,企业ERP等关键应用。
P2P终结者可以安装在局域网内任意一台计算机,如果是企业用户,建议最好使用一台
独立计算机(或者服务器)作为控制机。
P2P终结者实际上使用了ARP欺骗技术实现中间人攻击,如图8-3-19
欺骗后仍能够正常访问Internet。
(2)进行DNS欺骗。
(3)检查DNS欺骗结果。在被攻击计算机(Windows XP)上,先删
除DNS缓存,如下:
C:\>ipconfig /flushdns Windows IP Configuration Successfully flushed the DNS Resolver Cache.
By 王隆杰
8.1 MAC泛洪攻击 8.2 DHCP欺骗攻击 8.3 ARP欺骗攻击 8.4 VLAN跳跃攻击 8.5 VTP攻击 8.6 Wifi密码破解
交换机维护着一个表,称为MAC 表。对于每个收到的帧,交换机都会将帧 头中的目的MAC 地址与 MAC 表中的地址列表进行比对。如果找到匹配项 ,表中与 MAC 地址配对的端口号将用作帧的送出端口。
一般将与普通用户相连的接口定义为不可信任接口,而将与DHCP服
二层组播网 IGMP Snooping
二层组播网 IGMP Snooping【实验名称】二层组播网IGMP Snooping【实验目的】小型网络中存在多个组播源且与组播接收者都在一个2层网络中时的组播配置【背景描述】你是一个单位的网络管理员,单位有两个分别负责不同任务的组播服务器,由于经费原因,服务器同时又是组播接受者,请你满足现在的网络需求。
【实现功能】二层环境下的组播实现【实验拓扑】【实验设备】S2126G(1台)、PC(2台)【实验步骤】第一步:配置组播服务器组播源1:IP:192.168.26.146 发送的多播组为:224.2.174.175接收http://192.168.26.166/S-1.htm上的多播组224.2.133.32组播源2:IP:192.168.26.166 发送的多播组为:224.2.133.32接收http://192.168.26.146/S-2.htm上的多播组224.2.174.175验证测试:主机之间可以互相Ping通第二步:配置S2126G的组播源探测switch(config)#ip igmp snooping ivgl ! 所有VLAN不共享ICMP组信息的igmp snooping形式验证测试:两台主机能互相看见对方的组播视频Switch#sh ip igmp sn gda !查看交换机多播转发表Abbr: M - mrouterD - dynamicS - staticVLAN Address Member ports----- -------------------- ---------------------------------------------------1 224.2.133.32 Fa0/20(D)!当有用户接收多播流时,多播转发表会显示流的转发端口1 224.2.174.175 Fa0/14(D)【注意事项】ip igmp snooping 有两种模式。
一种是所有VLAN不共享ICMP组信息的igmp snooping 形式;另外一种是所有VLAN共享ICMP组信息的igmp snooping形式,即Svgl形式。
华为二层组播CAC配置教程
华为二层组播CAC配置教程CAC(Call Admission Control)称为接入管理控制。
二层组播CAC是指通过一系列规则来控制二层组播表项学习,对所有组播组或者节目组内的组播组数量进行限制。
其中,节目组由一系列组播组构成。
比如XXTV通过一个节目组表示,而XXTV1、XXTV2这些频道则用组播组来表示。
随着IPTV的发展,节目频道数量快速增加。
当用户点播频道数量增加时,会出现汇聚设备负载过重而使整体用户满意度下降。
二层组播CAC限制就是针对此问题为IPTV制定的一种解决方法。
它在二层组播流汇聚设备上进行接入限制,当网络带宽出现不足时,就拒绝用户加入新的频道的请求。
这虽然牺牲了少量用户的满意度,但保证了绝大多数用户的服务质量。
目前,二层组播CAC功能支持在使用IGMP Snooping协议的VLAN或者VPLS 网络部署。
下面以VLAN场景为例,介绍二层组播CAC的基本工作原理和实现机制。
1、二层组播CAC基本原理在VLAN场景部署了二层组播CAC功能后,当用户请求的组播组数量超过设备上设定的组播组限制值时,设备将不允许超限的请求生成二层组播转发表,从而保证了不会引入超过转发能力的组播流量,其下行链路带宽也得到控制。
图1 在VLAN场景部署二层组播CAC示意图如上图1所示,左侧的用户群通过二层汇聚设备SwitchA接入PIM网络,由多个互联网内容提供商ICP(Internet Content Provider)为其提供组播业务。
为了能控制链路带宽,保证绝大部分用户的满意度,在SwitchA上可以部署二层组播CAC功能。
方案一:创建不同的VLAN供不同的ICP使用,根据ICP租赁运营商网络带宽的大小,在不同的VLAN内配置不同的组播组数量限制。
当用户点播ICP提供的频道数量达到对应的限制值后,将无法再点播ICP提供的新的频道。
方案二:创建不同的节目组,为不同的节目组配置不同的组播组数量限制。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第8章 二层组播技术本章着重介绍二层组播公共部分、二层静态组播、IGMP Snooping、IGMP Proxying和MVR等二层组播相关技术,及其应用。
本章主要内容:z二层组播公共部分z二层静态组播及其应用z IGMP Snooping及其应用z IGMP Proxying及其应用z MVR及其应用8.1二层组播公共部分本节主要讲述二层组播公共部分的原理。
本节主要内容:z相关术语解析z介绍8.1.1相关术语解析1.二层组播综合表:该表是综合了静态配置和动态学习获得的二层组播信息表项的集合。
在每个表项中包含了VLAN、组播MAC地址和综合了静态配置和动态学习获得的输出端口列表。
2.二层组播转发表:该表和二层组播综合表类似。
只是在每个表项中包含的输出端口列表是相应二层组播综合表的输出端口通过VLAN过滤和汇聚组转换为成员端口之后形成的,该表项用于确定二层组播的转发端口列表。
8.1.2介绍二层组播公共部分是连接底层芯片和二层组播应用的中间层,它的主要作用是综合二层组播应用(例如二层静态组播配置的和IGMP SNOOPING等动态二层组播应用学习到的)形成二层组播转发表,并且将这些表项下发到底层芯片中,从而形成硬件转发表。
8.1.2.1表项维护二层组播公共部分,主要是综合静态配置和动态学习的二层组播信息,然后形成二层组播综合表。
在形成组播综合表的过程中,将以静态配置优先的方式进行综合处理。
例如,如果静态配置某个端口上禁止转发某个二层组播组(以二元组[VLAN, MAC]表示)时,那么即使在此端口上动态二层组播学习到该二层组播组的成员,该端口仍然不会成为一个输出端口,也不会进行该二层组播包的复制和转发。
二层组播公共部分在二层组播综合表的基础上,通过VLAN过滤(就是将不属于转发表指定VLAN 的端口从输出端口中去除)和将汇聚组输出端口转换成汇聚组成员端口列表的方式将输出端口列表进行增加或者删除操作形成转发端口列表,从而建立二层组播转发表。
该表用于二层组播的转发。
最终,将此转发表写入到硬件转发表。
8.1.2.2二层组播转发当设备从某个端口收到一个二层组播包,首先在硬件转发表中进行查找。
如果没有找到硬件转发表项,该报文在报文到达的VLAN进行泛洪(除去报文到达的端口)。
如果没有找到硬件转发表项,且配置了丢弃未知组播,那么该报文被丢弃。
如果找到了对应的硬件表项,那么在硬件表项指定的所有输出端口上(除去报文到达的端口)进行该组播包的复制和转发。
二层组播转发的查找依据就是VLAN和组播MAC确定的二元组,转发端口列表是需要复制和转发二层组播包的端口集合。
8.2二层静态组播及其应用本节主要讲述二层静态组播的原理和应用。
本节主要内容:z相关术语解析z介绍z典型应用8.2.1相关术语解析1.二层静态组播表:二层静态组播维护的一张表,该表中的每个表项是由静态配置产生的二层静态组播信息,包括:VLAN、组播MAC、成员端口列表和禁止端口列表。
8.2.2介绍二层静态组播可以通过静态配置方式生成二层组播相关信息,需要指定VLAN、组播MAC、成员端口列表和禁止端口列表。
该二层静态组播表项将通过二层组播公共部分生成二层组播公共部分的相关表项,最终下发到硬件转发表。
8.2.2.1成员端口列表如果某个端口属于二层静态组播表项的成员端口列表,那么收到对应的二层组播包后,将在该端口上进行复制和转发。
8.2.2.2禁止端口列表如果某个端口属于二层静态组播表项的禁止端口列表,那么收到对应的二层组播包后,在该端口将不会进行复制和转发。
根据二层组播公共部分的静态配置优先策略,即使在此端口上动态二层组播学习到了接收成员,也不会进行二层组播包的复制和转发。
8.2.3 典型应用Video ServerPC 1PC 2PC 3switch图8-1 二层静态组播应用示例如图所示,视频服务器和交换机连接起来。
视频服务器发送组播视频节目。
接收者PC1、PC2和PC3也和交换机连接起来。
和视频服务器、接收PC 相连的端口配置属于同一VLAN 。
首先根据VLAN 和组播MAC 创建二层静态组播表项,然后配置PC1所连端口为成员端口;配置PC2所连端口为禁止端口;PC3所连端口不做二层静态组播的有关配置。
PC1可以接收到视频节目。
PC2和PC3都不会接收到视频节目。
8.3 IGMP Snooping 及其应用本节主要讲述IGMP Snooping 的基本原理。
本节主要内容: z 相关术语解析 z 介绍8.3.1相关术语解析1.IGMP:Internet Group Management Protocol (Internet组管理协议),用于维护主机向路由器或者交换机通告的组播组成员资格协议,有V1、V2和V3版本。
2.IGMP Snooping:Internet Group Management Protocol Snooping(互联网组管理协议窥探)的简称。
3.动态路由器端口:指交换机中接收到IGMP查询报文或三层组播协议报文(如PIM hello)的端口。
4.动态成员端口:指交换机中收到IGMP成员关系报告报文的端口。
5.IP组播二层转发:使用VLAN、组播源IP地址(对于(*,G),该地址使用0.0.0.0,这和交换芯片实现相关)和组播目的地址进行二层组播业务转发。
8.3.2介绍IGMP协议实现主机和路由器之间组播成员资格的建立与维护。
IGMP协议运行于主机和与之直接相连的组播路由器之间。
一方面,主机通过IGMP协议通知组播路由器希望加入并接收某个特定组播组(或者指定组播源)的信息;另一方面,路由器通过IGMP协议周期性地查询本地网段内是否有组成员处于活动状态,即该网段是否仍有某个组播组的组成员,完成本地网段内组成员信息的收集与维护。
组播路由器只关心本地网段内是否有某个组播组的成员,而不关心在网段内成员具体数目。
只要存在一个组成员,路由器都会将指定组播组(或者指定组播源)的业务数据转发到该网段中。
IGMP目前有三个版本:IGMP V1、V2和V3。
最常用的版本是IGMP V2。
IGMP V1在RFC 1112中定义,主要描述了通用查询和成员资格报告过程。
IGMPv2在RFC 2236中定义,主要在IGMP V1的基础上增加了组成员快速离开机制。
IGMPv3在RFC 3376中定义,主要在IGMP V2的基础上增加了源过滤的功能,可以指定仅接收某些组播源主机发送的指定组播组业务,也可以指定接收除了某些组播源的其他所有组播源主机发送的指定组播组业务。
IGMP Snooping即Internet Group Management Protocol Snooping(互联网组管理协议窥探)的简称,主要用于不支持IGMP协议的交换机减小组播报文的传播范围,避免将组播报文传播到不需要该组播报文的网段,它通过探听并分析IGMP报文,在本地形成并维护组播MAC或IP地址和组播接收端口以及VLAN之间的映射关系,并根据这样的映射关系来转发组播流。
如下图所示,当二层设备没有运行IGMP Snooping 时,组播数据在VLAN 内泛洪(flooding ),组播流转发给该VLAN 内所有端口;当设备上运行IGMP Snooping 后,已知组播组的数据不会在VLAN 内泛洪,而是转发给指定的组播成员端口。
Router ASwitch AHost CVlan 10ReceiverSourceHost AVlan 10ReceiverHost BVlan 10multicast packets Router ASwitch AIGMP SnoopingHost CVlan 10ReceiverSourceHost AVlan 10ReceiverHost BVlan 10Vlan 10multicast packets图8-2使用IGMP Snooping 前后的对比图8.3.2.1 侦听IGMP 报文建立组播信息IGMP Snooping 通过侦听IGMP 报文来获取组播的信息, 建立相关表项。
收到查询报文的端口即为路由器端口,收到成员关系报告报文的端口即为组播成员端口,交换机将本设备上所有成员端口都记录在IGMP Snooping 的组播转发表中,该组播转发表的内容主要包含组播组MAC 或IP 地址,VLAN 和端口列表。
8.3.2.2 转发侦听到的IGMP 报文IGMP Snooping 将报文Trap 上CPU 后,还需要将报文根据具体情况转发出去。
对于收到的查询报文,需要转发到该VLAN 内其它端口,对于收到的成员关系报告报文,需要转发到路由器端口(如果应用报告抑制,对于V1和V2则并不是所有报告报文都会转发到路由器端口)。
8.3.2.3动态端口老化定时器老化定时器只针对动态端口,老化定时器超时后,该端口将从相关表项中删除。
在收到IGMP 普遍组查询报文时,交换机将其通过VLAN 内除接收端口以外的其它所有端口转发出去,并对该报文的接收端口做如下处理:1 如果在路由器端口列表中已包含该动态路由器端口,则重置其老化定时器。
2 如果在路由器端口列表中尚未包含该动态路由器端口,则将其添加到路由器端口列表中,并启动其老化定时器。
在收到IGMP 成员关系报告报文时,交换机将其通过VLAN 内的所有路由器端口转发出去,从该报文中解析出主机要加入的组播组地址,并对该报文的接收端口做如下处理:1 如果不存在该组播组所对应的转发表项,则创建转发表项,将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;2 如果已存在该组播组所对应的转发表项,但其出端口列表中不包含该端口,则将该端口作为动态成员端口添加到出端口列表中,并启动其老化定时器;3 如果存在该组播组所对应的转发表项,并且端口列表中包含该端口,则重启其老化定时器。
8.3.2.4IP组播二层转发通常的二层组播转发是使用VLAN和MAC地址来进行的。
参见二层组播公共部分的二层组播转发小节叙述。
对于IGMP SNOOPING协议形成的表项,还有一种可行的转发模式,就是IP组播二层转发。
具体来说就是形成(VLAN,*,G)和(VLAN,S,G)的转发表项,表项中指定成员端口列表。
这个表项中的VLAN 是组播包所属的VLAN,*表示匹配所有组播源IP地址,S表示组播源IP地址,G表示组播目的地址。
当使用IP组播二层转发,且某个组播包到达某个端口时,首先查找是否存在(VLAN,S,G)表项。
如果存在,按照此表项指定的所有成员端口进行组播包的复制和转发,结束转发处理。
否则,查找是否存在(VLAN,*,G)表项。
如果存在,按照此表项指定的所有成员端口进行组播包的复制和转发,结束转发处理。