IP组播配置与管理——4

最新推荐文章于 2023-03-11 16:20:40 发布

kaoa000

最新推荐文章于 2023-03-11 16:20:40 发布

阅读量1.6k

点赞数 1

分类专栏： HCSE——构建企业级交换网络

本文链接：https://blog.csdn.net/kaoa000/article/details/79713162

版权

HCSE——构建企业级交换网络专栏收录该内容

102 篇文章 72 订阅

订阅专栏

IGMP Snooping配置与管理

IGMP Snooping是一种IPv4二层组播协议，通过侦听三层组播设备和用户主机之间发送的组播协议报文来维护组播报文的出端口信息，从而管理和控制组播数据报文在数据链路层的转发。

一、IGMP Snooping特性的产品支持

华为S系列交换机支持的IGMPSnooping特性包括IGMP Snooping基本功能、IGMP Snooping Proxy功能、IGMP Snooping策略、成员关系快速刷新以及IGMP Snooping SSM Mapping等。IGMP Snooping作为一个二层组播特性，涉及接口的配置，都是在二层物理接口（包括Eth-Trunk接口）下进行配置。仅IGMP Snooping基本功能必须配置，其他均为可选配置。

1、IGMPSnooping基本功能

华为S系列交换机所支持的基于VLAN的IGMPSnooping（还有一种基于VSI的IGMP Snooping）的基本功能如下：

（1）支持IGMPv1、IGMPv2和IGMPv3，版本可配置。由于不同版本的IGMP协议报文不相同，因此需要为交换机配置和上游三层设备相同的版本。

（2）支持配置静态路由器端口和成员端口，实现组播数据快速稳定转发。

（3）支持配置IGMPSnooping查询器功能，当上游没有启用IGMP查询器时，交换机可以代替上游设备发送IGMP查询报文。

（4）支持IGMPSnooping报文抑制功能，对成员主机上送的IGMP Report和Leave报文进行抑制，从而降低上游设备的报文交互数量，提升系统性能。

（5）支持配置Router-Alert选项，提高设备性能以及网络安全性。

（6）支持配置抑制动态加入，禁止VLAN内收到的Report和Leave报文向配置有静态组的上游三层设备转发。

2、IGMPSnooping Proxy功能

通过在二层设备上配置IGMPSnooping Proxy功能，可以同时具备报文抑制功能和查询器功能。配置了IGMP Snooping Proxy功能的交换机，在其上游设备看来，相当于一台主机；而在其下游主机看来，则相当于一台查询器。

3、IGMPSnooping策略

根据不同的场景要求，可以在交换机上进行如下配置，对组播报文进行过滤。

（1）通过配置组播组过滤策略，可以限制用户加入的组播组范围。

（2）通过配置接口可以学习的最大组播转发表项数量，可以控制接口上的组播数据流量。

（3）通过配置接口下组播数据过滤，可以拒绝从指定VLAN收到的组播数据。

（4）通过配置丢弃未知组播报文，使未知组播报文不在VLAN内广播。

4、成员关系快速刷新

成员关系快速刷新，即成员加入或离开组播组时交换机快速响应成员变化，可以提高组播业务运行效率和用户体验。

（1）调整动态成员端口老化时间。

（2）调整动态路由器端口老化时间。

（3）成员端口快速离开。

（4）二层网络拓扑变化时发送查询报文。

5、IGMPSnooping SSM Mapping

SSM提供了一种能够在成员端指定组播源的传输服务，需要IGMPv3的支持。如果某些组播组成员主机只能运行IGMPv1或IGMPv2，可以在交换机上配置IGMP Snooping SSM Mapping功能，使组播组与组播源之间能够建立一一对应的映射关系，将IGMPv1或IGMPv2报文中所包含的（*，G）信息映射为（S,G）信息，提供SSM组播服务。

二、IGMP Snooping基本功能配置任务

配置IGMP Snooping基本功能，设备可以建立并维护二层组播转发表，实现组播数据报文在数据链路层的按需分发。在配置IGMP Snooping基本功能之前，需完成连接接口并配置接口的物理参数，使其物理层状态为Up；创建VLAN并将对应接口加入VLAN中。具体配置任务如下：

1、使能IGMPSnooping功能

使能全局IGMPSnooping功能，是进行其他IGMPSnooping配置的前提。VLAN下使能IGMP Snooping功能，是VLAN下其他IGMP Snooping配置生效的前提。

2、配置IGMPSnooping版本

IGMP协议用于组成员关系管理，运行于三层组播设备和成员主机之间的网段。在二层设备上配置IGMP Snooping版本，设备可以处理相应版本的IGMP报文。一般二层设备上配置和三层组播设备一致的版本。如果三层组播设备没有启用IGMP，则在二层设备上配置和成员主机相同或高于成员主机的版本。同一VLAN内必须运行同一版本的IGMP协议。如果VLAN内存在支持不同版本的主机，需要配置IGMP Snooping版本，使设备可以处理所有主机的报文。

3、（可选）配置静态路由器端口

路由器端口是二层设备上朝向上游三层组播设备（组播路由器或三层交换机）的接口。VLAN内使能IGMP Snooping功能后，加入该VLAN的接口会从组播协议报文中学习表项。当一个接口接收到IGMP Query报文或PIM Hello报文时，二层设备会标识该接口为动态路由器端口。路由器端口主要有两个功能：一是接收上游的组播数据，二是指导IGMP Report/Leave报文转发。当VLAN内收到IGMP Report/Leave报文后，仅会向该VLAN内的路由器端口转发。

动态路由器端口会定时老化，当动态路由器端口在其老化时间超时前没有收到IGMP Query或者PIM Hello报文，设备将把该接口从路由器端口列表中删除。如果希望某接口长期稳定地转发IGMP Report/Leave报文到上游IGMP查询器，可配置该接口为静态路由器端口。

4、（可选）配置静态成员端口

成员端口是设备上朝向组播组成员主机的接口，表示该接口下有组播组成员，可以通过组播协议动态学习或静态配置。VLAN内谁能IGMP Snooping功能后，加入该VLAN的接口会从组播协议报文中学习表项。当一个接口收到IGMP Report报文时，设备会标识该接口为动态成员端口。动态成员端口会定时老化。

如果接口所连接的主机需要固定接收发往某组播组或组播源组的数据，可以配置该接口静态加入该组播组或组播源组，成为静态成员端口。静态成员端口不会老化。

5、（可选）配置IGMPSnooping查询器

通过使能IGMP Snooping，二层设备就可以通过侦听IGMP查询器与用户主机间的IGMP协议报文，动态建立二层组播转发表项，实现二层组播。但是当出现下面情况时，即使二层设备运行了IGMP Snooping，也会由于侦听不到IGMP协议报文，而无法正常动态建立二层组播转发表项。

（1）上游三层组播设备在接口上未运行IGMP协议，而是配置了静态组播组。

（2）组播源和用户主机同属于一个二层网络，不需要三层组播设备。

此时，可通过在二层组播设备上配置IGMPSnooping查询器，代替三层组播设备向用户主机发送IGMP Query报文，从而解决此问题。

6、（可选）配置Report和Leave报文抑制

IGMP协议通过周期性地查询和响应来维护组成员关系。在此过程中，如果多个成员加入了相同的组播组，会不断上送相同的Report报文给IGMP路由器。同时，当IGMPv2或IGMPv3的主机在离开牛哥组播组时，也会重复发送Leave报文。为节约带宽，可以在二层设备上配置Report和Leave报文抑制功能。

当配置了对Report和Leave报文抑制后，针对每一个组播组，交换机会在第一次有成员加入需要建立组播表项，以及响应IGMP查询报文时，向上游转发一份Report报文；在最后一个组成员离开需要删除组播表项时，向上游转发一份Leave报文。

7、（可选）配置Router-Alert选项

出于兼容性考虑，缺省情况下交换机不对Router-Alert选项进行检查，当收到IGMP报文时，不管其IP报头中是否携带Router-Alert选项，设备都会将其送给上层协议进行处理。为了提高系统性能、减少不必要的开支，同时出于协议安全性的考虑，可以配置对Router-Alert选项进行检查，当收到的IGMP报文中没有携带Router-Alert选项时，就丢弃该报文。

缺省情况下，交换机在发送的IGMP报文中携带Router-Alert选项。

8、（可选）配置IGMPSnooping抑制动态加入

当上游三层设备为其他厂商设备，并且在用户主机侧接口上配置了静态组播组，不允许下游用户主机动态加入或离开组播组时，可以在设备上配置IGMP Snooping抑制动态加入，禁止设备转发包含静态组播地址信息的Report和Leave报文。

三、配置IGMP Snooping基本功能

示例：配置VLAN2内的GE0/0/1接口静态加入组播组224.1.1.1。

<Huawei>system-view

[Huawei]igmp-snooping enable

[Huawei]interface gigabitethernet 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-typetrunk

[Huawei-GigabitEthernet0/0/1]port trunkallow-pass valn 2

[Huawei-GigabitEthernet0/0/1]l2-multicaststatic-group group-address 224.1.1.1 vlan 2

示例：配置VLAN2内的GE0/0/1接口加入组播组224.1.1.1~224.1.1.3。

<Huawei>system-view

[Huawei]igmp-snooping enable

[Huawei]interface gigabitethernet 0/0/1

[Huawei-GigabitEthernet0/0/1]port link-typetrunk

[Huawei-GigabitEthernet0/0/1]port trunkallow-pass valn 2

[Huawei-GigabitEthernet0/0/1]l2-multicaststatic-group group-address 224.1.1.1 to 224.1.1.3 vlan 2

示例：取消GE0/0/1接口静态加入所有VLAN的组播组224.1.1.1。

<Huawei>system-view

[Huawei] interface gigabitethernet 0/0/1

[Huawei-GigabitEthernet0/0/1]undol2-multicast static-group group-address 224.1.1.1 vlan all

四、配置IGMP Snooping Proxy

IGMPSnooping Proxy功能在IGMP Snooping的基础上使交换机代替上游三层设备向下游主机发送IGMP Query报文和代替下游主机向上游设备发送IGMP Report和Leave报文，这样能够有效地节约上游设备和本设备之间的带宽。

当三层设备没有启用IGMP时（如只配置了静态组播组），网络中就不会有IGMP查询器来维护组成员关系。通过在二层设备上配置IGMP Snooping Proxy功能可以使其发送Query报文，充当IGMP查询器。当网络中运行了IGMP时，为了减少上游三层设备收到的IGMP Report报文和Leave报文数量，也可在二层设备上部署IGMP Snooping Proxy功能，使其能够代理下游主机来向上游设备发送成员关系报告报文。

五、配置IGMP Snooping策略

通过配置IGMP Snooping策略可以控制用户对组播节目的点播，提高二层组播网络的可控性和安全性，相当于IGMP过滤策略。本功能需要结合ACL使用，所以先创建ACL并在其规则中定义组播组过滤策略。

组播组过滤策略主要用于对VLAN内的主机加入的组播组进行限制。本功能仅对动态加入的组生效，对静态组播组无效。具体配置方法是在对应的VLAN视图下使用igmp-snooping group-policy acl-number [version version-number][default-permit]命令配置当前VLAN的组播组过滤策略。

（1）acl-number：指定用来定义该VLAN内用户主机可以加入的组播组范围的ACL的编号，可以是基本ACL（源地址就是组播组IP地址，表示仅过滤组播组IP地址），和高级ACL（源地址为组播源IP地址，目的地址是组播组IP地址，表示同时过滤组播源IP地址和组播组IP地址）。

（2）version-number：可选参数，指定IGMP报文的版本，表示只对指定版本的IGMP报文应用组播组过滤策略。如果不指定该参数，则设备对接收到的所有IGMP报文都应用该组播组过滤策略。

（3）default-permit：可选参数，指定组播组过滤策略的缺省行为是对所有组播组许可，即表示如果引用的ACL未定义规则，则允许VLAN内用户主机可以加入所有组播组。如果组播组过滤策略未指定default-permit可选项，则rule命令必须使用permit选项允许VLAN内的主机访问指定组播组，完成过滤组播组的目的；如果组播组过滤策略指定了default-permit可选项，则rule命令必须使用deny选项明确禁止VLAN内的主机访问指定组播组，完成过滤组播组的目的。

缺省情况下，VLAN无组播组过滤策略，即VLAN内的用户主机可以加入任何组播组。

示例：禁止VLAN2内的用户主机加入组播组225.1.1.123。

<Huawei>system-view

[Huawei]acl number 2000

[Huawei-acl-basic-2000]rule deny source225.1.1.123 0

[Huawei-acl-basic-2000]quit

[Huawei]igmp-snooping enable

[Huawei]vlan 2

[Huawei-Vlan2]igmp-snooping enable

[Huawei-Vlan2]igmp-snooping group-policy2000 default-permit

示例：允许VLAN2的用户主机加入组播源组（10.10.10.1,225.1.1.123）。

<Huawei>system-view

[Huawei]acl number 3000

[Huawei-acl-adv-3000]rule permit source10.10.10.1 225.1.1.123 0

[Huawei-acl-adv-3000]quit

[Huawei]igmp-snooping enable

[Huawei]vlan 2

[Huawei-Vlan2]igmp-snooping enable

[Huawei-Vlan2]igmp-snooping group-policy3000

六、配置接口下组播数据过滤

当网络管理员希望拒绝某特定的组播数据报文时，可以在交换机接口下配置组播数据过滤，拒绝来自指定VLAN的组播数据包文。配制方法只需在对应的接口视图下使用multicast-source-deny vlan {vlan-id1 [to vlan-id2]}&<1-10>命令使接口对指定VLAN（接口必须已加入到对应的VLAN中）内的组播数据进行过滤即可。

（1）vlan-id1：指定要过滤组播报文的起始VLAN的VLAN ID。

（2）to vlan-id2：可选参数，指定要过滤组播报文的结束VLAN的VLAN ID。

（3）&<1-10>表示前面的vlan-id1[to vlan-id2]可以最多有10个。

在接口下配置本命令后，接口会丢弃收到的指定VLAN的组播报文。在如下场景下，可能会需要使用此功能：

（1）用户侧接口上收到了组播报文，而交换机一般不需要接收来自用户侧接口的组播数据报文。在用户侧接口配置本命令，丢弃该接口收到的组播数据，可以防止用户主机恶意伪造组播源发送组播流。

（2）不同VLAN的多个组播源和交换机之间二层相连，交换机只想接收部分源的数据。

（3）在某些特殊情况下，比如某接口下用户组播业务到期需要暂时停止，网络管理员可以通过配置本命令，来实现拒绝相应VLAN的组播数据报文。

使用此命令只过滤同时满足以下条件的组播数据报文。

（1）报文目的MAC地址为IP组播MAC地址（即0x01-00-5e开头的IPv4组播MAC地址或0x3333开头的IPv6组播MAC地址）。

（2）报文封装的协议类型为UDP类型。

示例：在GE1/0/1接口上配置对VLAN100到VLAN105的组播数据丢弃处理。

<Huawei>system-view

[Huawei]interface gigabitethernet 1/0/1

[Huawei-GigabitEthernet1/0/1]multicast-source-denyvlan 100 to 105

七、配置丢弃未知组播流

所谓“未知组播流”就是组播转发表中不存在对应表项的组播报文。缺省情况下，交换机对未知组播流的处理方式为在VLAN内广播。通过配置丢弃未知组播流，可以节省瞬时带宽占用率。配置方法只需在对应的VLAN视图下使用multicast-drop-unknown命令配置丢弃未知组播流。配置本命令后会丢弃一切未知组播报文，包括在VLAN内透传的使用保留组播地址的协议报文。

八、配置成员关系快速刷新

配置成员关系快速刷新，使组播组成员加入或离开组播组时设备能够快速响应成员变化，可以提高组播业务运行效率和用户体验。

1、配置动态成员端口老化时间

设备在收到不同IGMP协议报文之后，会为成员端口启动不同时长的老化定时器。

（1）当设备的成员端口收到下游主机的Report报文后，将接口老化时间设置为健壮系数x普遍组查询报文发送时间间隔+最大响应时间。

（2）当设备的成员端口收到下游主机的Leave报文后，将接口老化时间设置为特定组查询报文发送时间间隔x健壮系数。

2、配置动态路由器端口老化时间

IGMP Snooping的路由器端口用来向上游三层设备发送Report报文和接收上游设备的组播数据报文。在配置IGMP Snooping功能后，设备可以动态学习路由器端口，实时监测上游组播数据的下发。当网络发生拥塞或者网络稳定性不佳时，动态路由器端口在其老化时间超时前没有收到IGMP普遍组查询报文或者PIM Hello报文，设备将把该接口从路由器端口列表中删除，可能造成组播数据中断，此时可以将路由器端口老化时间值适当调大。

配置动态路由器端口老化时间的配置方法，只需在对应的VLAN视图下使用igmp-snooping router-aging-time router-aging-time命令即可。缺省情况下，通过IGMP普遍组查询报文学习到的路由器端口老化时间为180s；通过PIM Hello报文学习到的路由器端口老化时间为Hello报文中Holdtime值。

示例：配置VLAN3内的动态路由器端口老化时间为300s。

<Huawei>system-view

[Huawei]igmp-snoopingenable

[Huawei]vlan 3

[Huawei-Vlan3]igmp-snoopingrouter-aging-time 300

3、配置成员端口快速离开

成员端口快速离开是指当交换机从成员端口接收到IGMP Leave报文时，不再启动老化定时器等待转发表项老化，而是立即将该接口对应的转发表项删除。

只有当VLAN内的每个接口下都只有一个组播组成员主机时，才可以使能该VLAN的成员端口快速离开功能。只有当交换机在VLAN内可以处理IGMPv2或IGMPv3报文时，配置成员端口快速离开功能才有意义。

配置成员端口快速离开功能的方法，只需在对应的VLAN视图下使用igmp-snooping prompt-leave [ group-policy acl-number [default-permit] ]命令额皮质允许VLAN内的成员端口快速离开组播组即可。

（1）acl-number：可选参数，用来指定要允许端口快速离开某些组播组，可以是基本ACL（源地址为组播IP地址），也可以是高级ACL（源地址是组播源IP地址，目的地址为组播组IP地址）。不指定此参数时表示所有组播组都允许端口快速离开。

（2）default-permit：可选项，则端口快速离开组播组策略的缺省行为是允许端口快速离开所有组播组。此时需要在ACL的rule命令中使用deny选项明确禁止成员端口快速离开所有组播组。此时需要通过rule命令中的permit选项实现只允许成员端口快速离开指定组播组。

示例：配置允许VLAN3内的成员端口快速离开组播组225.1.1.123。

<Huawei>system-view

[Huawei]igmp-snooping enable

[Huawei]acl number 2000

[Huawei-acl-basic-2000]rule permit source225.1.1.123 0

[Huawei-acl-basic-2000]quit

[Huawei]vlan 3

[Huawei-Vlan3]igmp-snooping enable

[Huawei-Vlan3]igmp-snooping prompt-leavegroup-policy 2000

示例：配置禁止VLAN3内的成员端口快速离开组播组225.1.1.123。

<Huawei>system-view

[Huawei]igmp-snooping enable

[Huawei]acl number 2000

[Huawei-acl-basic-2000]rule deny source225.1.1.123 0

[Huawei-acl-basic-2000]quit

[Huawei]vlan 3

[Huawei-Vlan3]igmp-snooping enable

[Huawei-Vlan3] igmp-snooping prompt-leavegroup-policy 2000 default-permit

4、配置网络拓扑变化时发送Query报文

当二层网络拓扑发生变化时，组播报文的转发路径可能发生变化。配置交换机在链路故障时主动发送IGMP Query报文，当组播组成员回应IGMP Report报文时，设备根据Report报文更新成员端口信息，将组播数据流迅速切换到新的转发路径上。

九、配置IGMP Snooping SSM Mapping

在二层网络中，如果某些用户主机只能运行IGMPv1或IGMPv2，但是这些用户希望享受SSM服务，就需要在设备上配置IGMPSnooping SSM Mapping功能。如果需要改变SSM组地址范围，则还可以配置SSM组策略，以使对应的组播组被作为SSM组播组对待。

1、（可选）配置SSM组策略

缺省情况下，SSM组范围是232.0.0.0~232.255.255.255。如果用户加入的组播组地址不在SSM范围内，需要先在VLAN上配置SSM组策略，将组播组地址加入到SSM组地址范围。

SSM组策略的具体配置方法是在对应的VLAN视图下使用igmp-snooping ssm-policy basic-acl-number命令，通过基本ACL（源地址为组播组IP地址）来限定允许作为SSM范围内的组对待的组播组。但此时ACL中的rule命令必须使用permit选项指定组播组IP地址才能生效；如果使用deny选项或指定的地址不是组播组IP地址，配置不生效。

示例：配置VLAN3内组地址225.1.1.123作为SSM范围内的组。

<Huawei>system-view

[Huawei]acl number 2000

[Huawei-acl-basic-2000]rule permit source225.1.1.123 0

[Huawei-acl-basic-2000]quit

[Huawei]igmp-snooping enable

[Huawei]vlan 3

[Huawei-Vlan3]igmp-snooping enable

[Huawei-Vlan3]igmp-snooping ssm-policy 2000

2、配置IGMPSnooping SSM Mapping

使能IGMP Snooping SSMMapping功能后可以使组播组与组播源之间建立一一对应的映射关系。配置VLAN内IGMP Snooping的版本为3，才能支持SSM Mapping功能。但如果配置了组播VLAN复制功能，只需在组播VLAN内配置SSM Mapping即可。

虽然配置SSM-Mapping时，需要在VLAN下指定IGMP的版本为3，但是在向路由器端口转发所收到的version 2的IGMP协议报文时并不会将其转换为version3版本。此时可以通过在交换机上配置IGMP Snooping Proxy功能将其转化为Version 3的协议报文向上游发送。

示例：配置设备上VLAN10中组播地址238.1.1.1~238.1.1.255与组播组源地址10.1.1.1之间的映射功能。

<Huawei>system-view

[Huawei]igmp-snooping enable

[Huawei]vlan 10

[Huawei-Vlan10]igmp-snooping enable

[Huawei-Vlan10]igmp-snooping version 3

[Huawei-Vlan10]igmp-snooping ssm-mappingenable

[Huawei-Vlan10]igmp-snoopingssm-mapping238.1.1.0 24 10.1.1.1

十、IGMP Snooping管理

（1）displayigmp-snooping [ vlan [ vlan-id]]查看所有或指定VLAN内IGMP Snooping配置信息，包括缺省配置信息。

（2）displayigmp-snooping [ vlan [ vlan-id]] configuration查看所有或指定VLAN内IGMPSnooping非缺省配置信息。

（3）displayigmp-snooping port-info [ vlan vlan-id [ group-address group-address ]][verbose]查看所有或指定VLAN和组播组中的摘要或详细成员端口信息。

（4）displayigmp-snooping router-port vlan vlan-id查看指定VLAN中的路由器端口信息。

（5）displayigmp-snooping querier vlan [vlan-id]查看所有或者指定VLAN中的IGMPSnooping查询器信息。

（6）displayigmp-snooping statistics vlan [vlan-id]查看所有或指定VLAN中的IGMPSnooping的统计信息。

（7）display l2-multicastforwarding-mode vlan [vlan-id]查看所有或指定VLAN中的二层组播的转发模式。

（8）displayl2-multicast forwarding-table vlan vlan-id [ [ source-address source-address]group-address { group-address | router-group} ]查看指定VLAN内二层组播转发表信息。

（9）resetigmp-snooping group {all | vlan { all | vlan-id [ [source-addresssource-address ] group-address group-address ]}}清除所有或者指定VLAN中的动态组表项。

（10）resetigmp-snooping statistics {all | vlan { vlan-id | all}}清除所有或指定VLAN中IGMPSnooping统计信息。

十一、IGMP Snooping基本功能配置示例

如上图拓扑，Router通过二层设备Switch连接用户网络，Router上运行IGMPv2版本。组播源Source向组播组225.1.1.1~225.1.1.5发送数据，网络中有HostA、HostB、HostC三个组播组成员，它们只对225.1.1.1~225.1.1.3的数据感兴趣。

1、基本配置思路分析

本例仅对VLAN10中的用户进行组播组过滤，所以本例只需在使能IGMP Snooping功能的基础上使用组策略就可实现。具体配置：

（1）在Switch上创建VLAN并将接口加入对应的VLAN。

（2）使能全局和VLAN的IGMP Snooping功能。

（3）配置组播组过滤策略，并在VLAN内应用此策略。

2、具体配置步骤

（1）创建VLAN，配置接口加入VLAN

<Huawei>system-view

[Huawei]sysname Switch

[Switch]vlan 10

[Switch-Vlan10]quit

[Switch]interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1]port hybriduntagged vlan 10

[Switch-GigabitEthernet1/0/1]port hybridpvid vlan 10

[Switch-GigabitEthernet1/0/1]quit

[Switch]interface gigabitethernet 2/0/2

[Switch-GigabitEthernet2/0/2]port hybriduntagged vlan 10

[Switch-GigabitEthernet2/0/2]port hybridpvid vlan 10

[Switch-GigabitEthernet2/0/2]quit

[Switch]interface gigabitethernet 3/0/3

[Switch-GigabitEthernet3/0/3]port hybriduntagged vlan 10

[Switch-GigabitEthernet3/0/3]port hybridpvid vlan 10

[Switch-GigabitEthernet3/0/3]quit

（2）使能全局和VLAN的IGMPSnooping功能。

[Switch]igmp-snooping enable

[Switch]vlan 10

[Switch-Vlan10]igmp-snooping enable

[Switch-Vlan10]quit

（3）通过基本ACL配置组播组过滤策略，仅VLAN10中的用户接收组播组地址225.1.1.1~225.1.1.3的组播数据。

[Switch]acl 2000

[Switch-acl-basic-2000]rule permit source225.1.1.1 0

[Switch-acl-basic-2000]rule permit source 225.1.1.20

[Switch-acl-basic-2000]rule permit source225.1.1.3 0

[Switch-acl-basic-2000]quit

[Switch]vlan 10

[Switch-Vlan10]igmp-snooping group-policy2000

[Switch-Vlan10]quit

配置好后，使用displayigmp-snooping port-info vlan 10查看Switch上的端口信息，可见组225.1.1.1~225.1.1.3已经在Switch上动态生成成员端口GE1/0/1和GE2/0/2。通过display l2-multicast forwarding-table vlan 10查看Switch上二层组播转发表，可见表中只有225.1.1.1！225.1.1.3的组播数据，满足要求。

十二、通过静态端口实现二层组播的配置示例

如上拓扑，路由器Router通过二层设备Switch连接用户网络，Router的用户侧三层VLANIF接口配置了225.1.1.1~225.1.1.5的IGMP静态组，没有运行IGMP协议。网络中有HostA、HostB、HostC、HostD4个组播组成员，其中HostA和HostB希望长期稳定接收225.1.1.1~225.1.1.3的数据，HostC和HostD希望长期稳定接收225.1.1.4~225.1.1.5的数据。

1、基本配置思路分析

上节通过组策略来实现用户仅接收来自指定组播组的数据，本例则要通过在组播组中添加静态端口（包括静态路由器端口和静态成员端口）来实现仅接收来自指定组播组的数据。具体配置任务：

（1）在Switch上创建VLAN并将接口加入VLAN。

（2）使能全局和VLAN的IGMPSnooping功能。

（3）配置静态路由器端口和配置静态成员端口。

2、具体配置步骤

（1）创建VLAN10，并配置接口加入VLAN。

（2）使能全局和VLANIGMP Snooping功能。

（3）把GE3/0/3接口配置为VLAN10静态路由器端口。

[Switch]interface gigabitethernet 3/0/3

[Switch-GigabitEthernet3/0/3]igmp-snoopingstatic-router-port vlan 10

[Switch-GigabitEthernet3/0/3]quit

（4）把GE1/0/1和GE2/0/2接口分别加入到对应的组播组中，配置为它们的静态成员端口。

[Switch]interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1]l2-multicaststatic-group group-address 225.1.1.1 to 225.1.1.3 vlan 10

[Switch-GigabitEthernet1/0/1]quit

[Switch]interface gigabitethernet 2/0/2

[Switch-GigabitEthernet2/0/2]l2-multicaststatic-group group-address 225.1.1.4 to 225.1.1.5 vlan 10

[Switch-GigabitEthernet2/0/2]quit

配置好后，通过displayigmp-snooping router-port vlan 10查看Switch上的路由器端口信息，可见GE3/0/3成为静态路由器端口；通过display igmp-snooping port-info vlan 10查看Switch上的成员端口信息，可见组播组225.1.1.1~225.1.1.3在Switch上有静态成员端口GE1/0/1，组播组225.1.1.4~225.1.1.5在Switch上有静态成员端口GE2/0/2；通过display l2-multicast forwarding-table vlan 10查看Switch上二层组播转发表，看见组225.1.1.1~225.1.1.5在Switch上已生成转发表。

十三、IGMP Snooping查询器的配置示例

如上图拓扑，在一个没有三层设备纯二层网络环境中，组播源Source1和Source2分别向组播组224.1.1.1和225.1.1.1发送组播数据，HostA和HostC希望接收组播组224.1.1.1的数据，HostB和HostD希望接收组播组225.1.1.1的数据。所有组播组成员运行IGMPv2。

本示例可通过在网络中各Switch上使能IGMPSnooping功能，并配置某一台Switch为IGMP Snooping查询器来实现。同时为防止设备在没有二层组播转发表项时将组播数据在VLAN内广播，在所有Switch上都使能丢弃未知组播报文功能。具体配置步骤：

（1）在所有Switch撒花姑娘创建VLAN并将接口接入VLAN。以SwitchA为例。

<Huawei>system-view

[Huawei]sysname SwitchA

[SwitchA]vlan 10

[SwitchA-Vlan10]quit

[SwitchA]interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1]port hybridpvid vlan 10

[SwitchA-GigabitEthernet1/0/1]port hybriduntagged vlan 10

[SwitchA-GigabitEthernet1/0/1]quit

[SwitchA]interface gigabitethernet 2/0/2

[SwitchA-GigabitEthernet2/0/2]port hybridpvid vlan 10