Меню

Настройка cisco для телевизора



Мой МеморизИТ

Начинаем курс статей под кодовым названием Cisco для новичков

Собственно сабжект говорит о том что я постараюсь описать в данной статье…

Имеем Cisco 2911… поехали

начну с того, что на 18XX 28XX и почих маршрутизаторах 8 серии подключение и первоначальная настройка оборудования осуществляется через консольный порт с разъемом RJ-45, обычно, кабель для настройки идет в комплекте, представляет из себя RJ-45 на RS-232 голубого цвета. Оборудование 19XX 29XX серий помимо консольного порта RJ 45 имеет консольный порт MiniUSB (Что значительно удобнее при настройке оборудования имея под рукой ноутбук с отсутствующим COM портом). Для настройки оборудования через MiniUSB нам понадобится драйвер эмуляции
Далее в Device Manager появится Cisco Serial где можно настроить номер порта.

Установка соединения осуществляется со стандартными значениями – 9600 бод/8 бит данных/1 стоп бит/без проверки четности и контроля прохождения. В Windows – системах вы можете использовать putty, в Linux cu или minicom. В дальнейшем, когда маршрутизатору будет присвоен IP-адрес для настроек будем использовать ssh, но первый раз без консольного подключения не обойтись.

Открываем Putty, выбираем тип подключения Serial порт COM7 ( У меня он COM7) нажимаем 2 раза [Enter] и видим меред собой командную строку с приглашением роутера

Router>
Переходим в превелегированный режим командой enable
Router>enable
Router#
удаляем имеющуюся конфигурацию, находящуюся во флэш-памяти, и перезагружаем маршрутизатор:
Router#erase startup-config
Router#reload
Ждем пока роутер перезагрузится, наблюдая за процессом загрузки в окне консоли, после чего снова переходим в превилигированный режим
Router>enable

Переходим в конфигурационный режим и даем команду hostname:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname Gw0
Gw0(config)#
Включим режим хранения паролей в файле конфигурации устройства в зашифрованном виде:
Gw0(config)#service password-encryption
Отключим управление маршрутизатором через http и https и CDP
Gw0(config)#no ip http server
Gw0(config)#no ip http secure-server
Gw0(config)#no cdp run
Зададим пароли на подключения через консольный порт
Gw0(config)#line con 0
Gw0(config-line)#password пароль
Gw0(config-line)#login
Gw0(config-line)#exit
И Telnet
Gw0(config)#line vty ? О, сколько он там сказал доступно? 0-1441 значит line vty 0 1441 ))
Gw0(config-line)#password пароль
Gw0(config-line)#login
Gw0(config-line)#exit
Зададим пароль на Enable режим
Gw0(config) enable secret пароль_enable_режима

Перейдем к настройке интерфейса внутренней сети. Если маршрутизатор имеет гигабитные порты то названия портов можно сократить как Gi 0/0 (Gigabit ethernet) , если 100 Мбитные то скорее всего это будут Fa (fast ethernet)
В принципе, если вы сомневаетесь в команде, нажмите TAB — в командной строке команда дописалась? значит норма, не помните что вводить? введите знак вопроса… IOS выдаст вам все доступные команды в данном контексте.
Gw0(config) #interface Gi 0/0
Gw0(config-if)#ip address 192.168.0.1 255.255.255.0
Gw0(config-if)#description LAN
Gw0(config-if)#no shutdown
Gw0(config-if)#exit
Задаем dns-сервера

Gw0(config)# ip name-server 192.168.0.2

Все, маршрутизатор доступен телнетом по 192.168.0.1
Записываем конфигурацию в память командой
Gw0# copy running-config startup config или командой wr

В следующей статье,собственно, мы отключим доступ на маршрутизатор через telnet (Ибо не секюрно ) и настроим доступ к нему используя SSH.

Источник

Первоначальная настройка cisco

Итак, к вам впервые в руки попала кошка, и вы не знаете с какой стороны к ней подойти — именно об этом пойдёт речь ниже.

1) Первое подключение делается через консольный провод — там всё стандартно — скорость 9600, да-нет-да-нет

2) Если кошка сброшена на заводские установки, то логин пароль в неё cisco/cisco — то есть вы подлючаетесь к ней вводите пароль cisco, видите что-то типа router> даёте команду повышения привилегий enable вводите опять пароль cisco и попадаете в систему уже с максимальными правами, о чём будет свидетельствовать знак решётки #

3) Следует помнить, что пароль cisco одноразовый и второй раз с ним вы уже не сможете войти. Потому первым делом делаете себе пользователя. Дабы избежать процедуры с enable ставим сразу максимальные привилегии

тут cisco — это вначале логин а позже пароль
После этого в конфиге оно должно выглядеть так

Можно просто скопировать эту строчку и вставить в конфиг (задумайтесь о безопасности)
После того, как завели пользователю можно включить идентификацию

4) Теперь надо разрешить себе вход на циску, и это отдельная история в нескольких действах:
Перво-наперво файрвол. Доступ разрешаем только со своей машины. Это что бы потом обидно не было

где 10.10.10.252 — IP моего компьтера
Таких строк можно добавить несколько. Далее вот эту секцию приводим к такому виду

Что мы тут видим
access-class 23 in — это список с нашими ИП адресами, кому можно подключаться
privilege level 15 — разрешаем подключение сразу с максимальными привилегиями
logging synchronous — удобство работы — командная строка будет пустая
transport input telnet ssh — разрешаем и telnet и ssh

5) Назначение IP Адреса. Мы должны определиться куда включим сеть и тому порту дать IP адрес. Как правило это статический адрес

Но можно назначить и динамический

ну и, конечно же, посмотрим что у нас получилось

6) Лирическое отступление
Наверное следовало сказать об этом раньше, но скажу тут то, что вы уже заметили.
1) Иногда одни команды есть внутри других. это следует помнить, особенно когда вы даёте команду, а она не отрабатывает, и вы думаете что что-то не так — в первую очередь не так то место, где вы даёте эту команду.
2) Продолжая тему первого пункта следует отметить что бывают разные IOS (в старой модели лицензирования, а в новой активируются лицензии) и, скажем, на базовой версии команды голоса работать не будут.
3) У каждой длинной команды есть короткое имя. Например вы выпили enable а могли написать en — результат будет одинаковый. До скольки букв сокращается команда определяется тем, есть ли ещё команды, начинающиеся на эти буквы
4) Вводя первые буквы команды вы можете нажимать Tab и система будет дописывать команды за вас. Если этого не происходит — значит есть ещё команды, начинающиеся на это сочетание
5) Знак вопроса поможет вам в любой ситуации

Но иногда бывает что надо написать знак вопроса, а система показывает справку — тут есть хитрость. Вы должны написать то, что до знака вопроса, потом нажать Ctrl+V и писать дальше, начиная со знака вопроса. То есть если перед вводом знака вопроса нажать Ctrl+V то система не будет выводить справку, а обработает его как текст

7) Настраиваем время
Установка часов. Это очень важно, ибо логи и всё такое, а если у вас на циске голос — это ещё важней, потому делаем — укажем наш часовой пояс и установим точное время (обратите внимание что само время устанавливается не в режиме глобальной конфигурации).

Но время не всегда идёт верно, потому не лишнее указать кошке синхронизироваться с сервера точного времени в сети Интернет, а заодно и поднять на ней свой собственный сервер времени.

тут GigabitEthernet0/0 — интерфейс, смотрящий в интернет.

Посмотреть какие сервера выбраны в итоге можно командой

8) Давайте включим ssh так как это более безопасно, чем telnet, да и проце через один протокол работать и с серверами и с cisco.
Давайте дадим циске имя и пропишем домен

Ну и сразу пропишем ДНС сервера, что бы цсика могла резельвить имена

Теперь командой crypto key generate rsa сгенерируем ключь (минимальная длина 768 bits) — мы используем 1024

если вы уже использовали ssh v1 или же по какой-то другой причине сгенерировала менее надёжный сертификат, то можно стереть все сертификаты командой crypto key zeroize rsa и вернуться к предыдущему шагу и сделать правильный сертификат

После чего включем ssh сервер, указав версию протокола v2

Ну и магическая команда, без которой с недавних пор по ssh v2 вы не соединитесь

Источник

Настройка беспроводных сетей на контроллере Cisco

Пользуясь моими руководствами по первоначальной настройке и подключению точек доступа к Wi-Fi контроллеру Cisco WLC, у вас построена необходимая инфраструктура беспроводной сети. Теперь требуется настроить сами сети (WLAN, SSID), для предоставления услуг связи вашим пользователям. Об этом — завершающая статья вводного курса молодого бойца. Это не перевод и не копипаст доки, а краткая выжимка описаний всех требуемых фич, проверенных на собственной шкуре.

Хоть ваш контроллер и управляется через командную строку (консоль, ssh), почти все операции по настройке лучше (быстрее и удобнее) производить через веб-интерфейс. Контроллер доступен через HTTP (по умолчанию; лучше переключите на HTTPS) с логином-паролем, заданными при установке. В данной статье мы рассмотрим только настройку самих беспроводных сетей. Остальные параметры (радио, безопасность, управление) и так выставлены в более-менее приемлемые значения. Подробно всё расписано в официальной документации, но кто же её читает. Цель данной статьи — максимально доходчиво рассказать о возможных параметрах настройки индивидуальной беспроводной сети.

Каждая ваша беспроводная сеть идентифицируется уникальным именем, или SSID. Каждая сеть может иметь свой, независимый набор параметров авторизации, шифрования, QoS, дополнительных свойств. Каждая точка доступа может обслуживать (анонсировать) до 16 беспроводных сетей. Контроллер (в зависимости от модели) может обслуживать до 512 сетей и до сотен точек доступа.

Все настройки производятся в меню WLANs (верхняя картинка). Для создания новой сети необходимо выбрать пункт меню «Create new», и задать базовые параметры:


Тип сети: WLAN (беспроводная). Контроллер может также работать как Captive Portal для проводной сети (Guest LAN)
Имя профиля: произвольное слово, обычно соответствует имени сети, применяется при использовании «взрослых» систем управления WCS/NCS.
Имя сети (SSID): то, как ваша сеть будет «видна» клиентским компьютерам
Идентификатор (порядковый номер): по умолчанию ваши точки доступа будут анонсировать сети с номерами Теги:

  • cisco wlc
  • aironet
  • wlan
  • wi-fi
  • точка доступа
  • ssid

Добавить метки Хабы:

  • Сетевые технологии
  • Беспроводные технологии

Источник

Оптимизация передачи multicast-трафика в локальной сети с помощью IGMP snooping

Всем привет! Сегодня хотел бы затронуть тему передачи multicast-трафика в локальной корпоративной сети, а именно работу технологии IGMP snooping на коммутаторах. Так получилось, что за последнюю неделю ко мне обратилось несколько человек с вопросами по этой технологии. И я решил подготовить небольшую статью с описанием данной технологии. Но в процессе подготовки, выяснилось, что краткостью здесь не отделаешься, так как есть о чём написать. Кому интересен вопрос работы IGMP snooping, добро пожаловать под кат.

Читайте также:  Дримбокс 800 настройка каналов

Достаточно часто мы не особенно задумываемся над тем, как передаётся multicast-трафик в пределах нашего L2-домена корпоративной сети. Напомню, multicast-трафик (он же «многоадресный трафик») предназначен для передачи данных определённой группе устройств. По умолчанию коммутатор передаёт multicast-трафик как broadcast (широковещательный), т.е. на все порты без исключения. Это обусловлено тем, что в пакете multicast в качестве MAC-адреса получателя использует специально сформированный адрес, никому не принадлежащий в сети. Если multicast-трафика не много, это не создаёт больших проблем и чаще всего администратор не предпринимает никаких мер по оптимизации его передачи. Если же такого трафика много или хочется просто «причесать» сеть, встаёт задача ограничить его распространение. Тут на помощь приходят различные технологии оптимизации передачи multicast-трафика на канальном уровне (IGMP snooping, CGMP и пр.). Наиболее распространённой и мультивендорной является технология IGMP snooping. IGMP snooping на многих устройствах включён по умолчанию. Например, это справедливо для коммутаторов Cisco. Но как часто бывает, счастье из коробки получить удаётся далеко не во всех случаях. Включённый IGMP snooping не всегда даёт предполагаемый результат и multicast-трафик в ряде случаев почему-то продолжает литься из всех портов. Давайте попробуем со всем этим разобраться.

Начать стоит с аббревиатуры IGMP. Всем нам известно, что когда в сети появляется устройство, которое хочет получать определённый multicast-трафик, это устройство сообщает о своём желании по средствам протокола IGMP (Internet Group Management Protocol). На многих устройствах по умолчанию используется IGMP версии 2. Обмен сообщениями данного протокола в самом простом случае выглядит следующим образом:

    Устройство, когда решает получать multicast-трафик, отправляет свой запрос в сообщении IGMP Membership Report (далее IGMP Report). В нём указывается, что именно устройство желает получать. Адрес запрашиваемой multicast-группы указывается в качестве IP-адреса назначения. Данное сообщение в первую очередь предназначается ближайшему маршрутизатору. Ведь именно он отвечает за передачу трафика между локальным сегментом и остальной сетью.

Получив такое сообщение, маршрутизатор начинает транслировать в данный сегмент сети, запрашиваемый multicast-трафик. Конечно, это происходит при условии, что маршрутизатор сам участвует в передаче multicast-трафика и получает нужный трафик.

Чтобы быть уверенным, что в сети всё ещё есть получатели multicast-трафика, маршрутизатор периодически рассылает сообщение IGMP General Membership Query (далее IGMP General Query). Ведь если никого уже нет, зачем попусту «засорять» данный сегмент сети никому не нужным трафиком.

В ответ на IGMP General Query маршрутизатор получает сообщение IGMP Report. Обычно его отправляет один из получателей multicast-трафика. Остальные услышав это сообщение, просто молчат, так как одного подтверждения для каждой группы достаточно. Выбор того, кто будет отвечать маршрутизатору, реализуется через механизм Report Suppression.

Когда устройство больше не желает получать multicast-трафик для определённой группы, оно шлёт сообщение IGMP Leave.

  • На это маршрутизатор отвечает сообщением IGMP Membership Group-Specific Query (далее IGMP Group-Specific Query), уточняя, есть ли ещё в сети устройства, желающие получать трафик для данной группы. Обычно этих сообщений маршрутизатор отправляет два. Если такие устройства в сети есть, они откликнутся. Если нет, маршрутизатор прекратит трансляцию трафика в локальный сегмент сети.
  • Более подробно о работе протокола IGMP, да и в целом о multicast-трафике можно почитать, например, в цикле статей сети для самых маленьких.

    Так как все сообщения IGMP проходят через коммутатор, он мог бы их анализировать, чтобы определить за какими портами находятся те или иные получатели multicast-трафика. И далее на основании этой информации передавать трафик только туда, куда это необходимо. Собственно, именно этим и занимается технология IGMP snooping.

    Реализация IGMP snooping у разных производителей сетевого оборудования в каких-то нюансах может отличается. Но в целом схема работы похожа. Предлагаю в общих чертах рассмотреть её работу на примере коммутаторов Cisco. Далее мы посмотрим на весь процесс более детально:

      Первое, что делает коммутатор, определяет, где находится маршрутизатор(ы). Для этого он слушает наличие в сети сообщений IGMP General Query, PIM, DVMRP и пр.

    Устройство отправляет IGMP Report, когда хочет получать тот или иной multicast-трафик. Данное сообщение перехватывает коммутатор. Из него коммутатор получает следующую информацию: устройство с таким-то MAC-адресом, находящееся за определённым портом, хочет получать трафик такой-то multicast группы. Причём для коммутатора при идентификации multicast группы в первую очередь важен не IP-адрес этой группы (IP-адреса multicast групп лежат в диапазоне 224.0.0.0 – 239.255.255.255), а её MAC-адрес. Коммутатору проще работать именно с адресацией на канальном уровне. Как мы знаем, MAC-адрес формируется по определённому правилу из IP адреса multicast группы. Вся эта информация заносится в таблицу MAC-адресов коммутатора.

    Далее коммутатор отправляет в сторону маршрутизатора IGMP Report, содержащий такую же информацию, как была получена от устройства.

    Маршрутизатор, получив сообщение IGMP Report, начинает передавать multicast-трафик. Но так как коммутатор знает, где находится устройство, желающее его получать, он ретранслирует трафик только на определённый порт. Теперь в таблице MAC-адресов есть запись с MAC-адресом multicast-группы, которая смотрит на конкретный порт.

    Периодически маршрутизатор отправляет в сеть IGMP General Query. Коммутатор рассылает его через все порты.

    Получив IGMP General Query, устройство отвечает сообщением IGMP Report. Коммутатор перехватывает его и отправляет только в сторону маршрутизатора. Остальные получатели multicast-трафика данное сообщение не получают. А, значит, отвечают своими IGMP Report. Таким образом работа механизма Report Suppression нарушается. Это необходимо для идентификации всех получателей multicast-трафика. Иначе клиент, услышав IGMP Report от другого, решит, что ему отвечать не нужно, и коммутатор не узнает о его присутствии. Получив от всех IGMP Report, коммутатор обновляет свои записи. В сторону маршрутизатора все сообщения IGMP Report отсылать смысла нет, поэтому отправлется только одно — самое первое.

    Если устройство решает прекратить получать трафик для определённой multicast-группы, оно отправляет сообщение IGMP Leave. Коммутатор, как обычно, перехватывает его.

    Во-первых, коммутатор проверят, нет ли за этим же портом (откуда пришло сообщение IGMP Leave) других получателей multicast-трафика. Ведь в этот порт может быть подключен другой коммутатор. Для этого он отправляет сообщение IGMP Group-Specific Query. Если ответа на него не последовало, коммутатор просто убирает закрепление MAC-адреса multicast-группы за данным портом. Если ответ пришёл, продолжает передавать трафик через данный порт.

    Далее коммутатор проверяет, а есть ли на нём другие получатели multicast-трафика для данной группы, но находящиеся за другими портами. Для этого он просто смотрит в свою таблицу MAC-адресов.

      Если такие получатели есть, больше коммутатор ничего не делает. Посылать сообщение IGMP Leave в сторону маршрутизатора смысла никакого нет.

  • Если это был последний получатель для данной multicast-группы, коммутатор отправляет сообщение IGMP Leave в сторону маршрутизатора.
  • Получив сообщение IGMP Leave, маршрутизатор рассылает сообщения IGMP Group-Specific Query, которые коммутатор в свою очередь рассылает через все свои порты. Конечно же, никто не откликается и маршрутизатор перестаёт передавать трафик для данной группы.
  • Итак, в общих чертах мы разобрали теоретические основы. Попробуем посмотреть, как это выглядит на практике. Наша топология сети будет выглядеть следующим образом:

    Источник и получатель потокового multicast-трафика будет реализован через VLC media player (далее VLC проигрыватель).

    IGMP snooping отключён, источник multicast-трафика находится в другой сети

    Начнём с того, что рассмотрим передачу multicast-трафика без использования технологии IGMP snooping. Для начала отключим IGMP snooping. Как мы помним, на оборудовании Cisco он включён по умолчанию:

    На роутере включаем маршрутизацию multicast-трафика и запускаем протокол маршрутизации multicast-трафика PIM (Protocol Independent Multicast) в режиме dense-mode. Нам не принципиален режим. Главное, чтобы маршрутизатор запустил IGMP на нужном нам интерфейсе и обеспечил передачу через себя multicast-трафика.

    На источнике включаем VLC проигрыватель в режиме передачи потокового трафика. Это и будет наш источник multicast-трафика. В качестве адреса группы будем использовать 230.255.0.1. Передавать по сети будем только аудио. В качестве передаваемой композиции выбираем Adele Rolling in the Deep. Момент важный, так как именно она лучше всего передаётся по сети (факт проверен).

    С проблемой маршрутизации multicast-трафика я столкнулся уже при настройке первого компьютера, который должен был стать источником. В качестве подопытных я взял несколько ноутбуков, которыми пользуются инженеры компании.

    Я установил VLC проигрыватель, настроил передачу потокового аудио и… ничего не увидел в дампе Wireshark на внешнем интерфейсе данного компьютера.

    Заглянув в таблицу маршрутизации, я увидел два маршрута в сеть 224.0.0.0/4 с абсолютно одинаковой метрикой 276. Причем первым в списке шёл маршрут через некий интерфейс с адресом 169.254.55.11. И только вторым шёл маршрут через нормальный интерфейс данного компьютера (172.17.16.11).

    В связи с этим все multicast-пакеты заворачивались на непонятный интерфейс. Заглянув в сетевые подключения, я обнаружил активированный интерфейс Cisco Systems VPN Adapter. Данный интерфейс появляется в системе, когда на компьютер устанавливается Cisco VPN client. Это достаточно старое решение для подключения по VPN и, видимо, его просто забыли удалить.

    Отключение данного интерфейса решило проблему.

    Далее на клиенте включаем VLC проигрыватель в режиме получения потокового аудио для группы 230.255.0.1.

    Когда я перешёл к настройке получателя потокового аудио, у меня сходу не заработало. Тут я нисколечко не удивился, а сразу полез в таблицу маршрутизации. На этом компьютере симптомы были идентичные: multicast-пакеты не появлялись на проводном интерфейсе.

    И опять я обнаружил два маршрута в сеть 224.0.0.0/4 с абсолютно одинаковой метрикой 306. Но теперь первым был стандартный маршрут loopback интерфейса. Обычно метрика маршрута для этого интерфейса больше, метрики через другие интересы. По какой-то причине в моём случае они были равны.

    Как оказалось, кто-то на данном ноутбуке в ручном режиме выставил метрику проводного интерфейса.

    После того, как я установил галочку «Автоматическое изучение метрики», multicast-пакеты стали нормально уходить с данного компьютера.

    В итоге на обоих компьютерах была проблема с маршрутизацией multicast-трафика, но в каждом случае источник проблемы был свой.

    Сразу видим, как пошёл multicast-трафик. В нашем случае это пакеты потокового вещания, на транспортном уровне использующее протокол UDP.

    По дампу видно, что получатель запросил трафик (отправил сообщение IGMP Report) и маршрутизатор сразу же начал транслировать в сеть нужный multicast-трафик. Сообщений IGMP Report целых два. Видимо, второе VLC проигрыватель отправляет для верности. Одного сообщения вполне было бы достаточно.

    Читайте также:  Настройка телевизора для приема цифрового эфирного телевидения

    Проверяем таблицу маршрутизации multicast-трафика на маршрутизаторе. В ней появились записи, свидетельствующие о том, откуда и куда передаётся трафик:

    Видим, что источником multicast-трафика является хост 172.17.16.11. При этом получатели находятся за интерфейсом GigabitEthernet0/0/1.115. Маршрутизатор запоминает только, куда слать трафик. Базу самих получателей он не ведёт (такая возможность есть в IGMPv3).

    Давайте посмотрим на дамп трафика на клиенте, отфильтрованный по сообщениям IGMP:

      Нажимаем кнопку «Воспроизведение» в проигрывателе VLC и наш компьютер запрашивает получение multicast-трафика для группы 230.255.0.1, отправив сообщение IGMP Report. Как мы уже отметили, отправляет он два таких сообщения.

    Получив данное сообщение, маршрутизатор начинает трансляцию multicast-трафика (потокового аудио) в локальную сеть и на нашем клиенте мы начинаем слышать передаваемую по сети музыку.

    Периодически (каждые 60 секунд) маршрутизатор рассылает сообщение IGMP General Query.

    Наш компьютер откликается на данное сообщение, отправляя в обратную сторону IGMP Report для группы 230.255.0.1.

    Наживаем кнопку «Остановить» в проигрывателе VLC и наш компьютер отправляет сообщение IGMP Leave, о том, что он больше не хочет получать multicast-трафик для группы 230.255.0.1.

    Маршрутизатор в ответ на IGMP Leave отправляет сообщение IGMP Group-Specific Query для 230.255.0.1. Он хочет понять, есть ли в данном сегменте сети, другие получатели. Ровно через 1 секунду маршрутизатор отправляет повторное сообщение IGMP Group-Specific Query. И ещё через 1 секунду, не получив в ответ ни одного IGMP Report, прекращает передавать multicast-трафик в данный сегмент сети.

  • Периодически маршрутизатор продолжает рассылать сообщение IGMP General Query. Но так как наш компьютер больше не заинтересован в получении чего-либо, он ничего на это не отвечает.
  • Так как на коммутаторе у нас выключен IGMP snooping, весь multicast-трафик рассылается (флудится) по всем портам в нашем VLAN’е, пока там есть хотя бы один получатель. Когда получателей больше не будет, маршрутизатор тут же прекратит передачу трафика в данный сегмент сети.

    Дамп трафика с компьютера в том же сегменте сети, но не участвующего в получении потокового трафика:

    Точно также будут обстоять дела со всеми IGMP сообщениями. Они будут рассылаться на все порты без исключения. Что является абсолютно логичным, так как во всех этих сообщениях в качестве адреса получателя используется multicast-адрес.

    IGMP snooping включён, источник multicast-трафика находится в другой сети

    Теперь перейдём к рассмотрению ситуации, когда на коммутаторе включен IGMP snooping. Запускаем IGMP snooping на Cisco 2960x:

    Для начала проверяем, удалось ли коммутатору обнаружить маршрутизатор. Как мы помним, это первый пункт в списке задач IGMP snooping:

    Видим, что за портом Gi1/0/19 спрятался наш маршрутизатор. Как мы ранее обсуждали, коммутатор подсматривает за наличием в сети пакетов, свидетельствующих о присутствии маршрутизатора. В случае 2960x коммутатор ждёт пакеты IGMP General Query, PIM или DVMRP.

    Коммутатор увидел сообщение PIMV2 Hello от маршрутизатора на порту Gi1/0/19 и добавил себе об этом информацию.

    Снова запускаем нашу трансляцию потокового аудио и смотрим, что мы имеем на маршрутизаторе:

    Появился источник трафика — 172.17.16.11. Получателей пока нет, о чём свидетельствует строка: Outgoing interface list: Null.

    Запускаем клиент VLC, нажимаем кнопку «Воспроизведение» и наслаждаемся музыкой. Параллельно смотрим Wireshark, где видим, как идут multicast-пакеты потокового вещания:

    Теперь самое интересное. Анализируем сообщения IGMP на стыке получатель-коммутатор и коммутатор-маршрутизатор.

    Пройдём по основным шагам:

    1. После нажатия кнопки «Воспроизведение» в проигрывателе VLC, наш компьютер запрашивает получение multicast-трафика для группы 230.255.0.1, отправив сообщение IGMP Report.

    Прим. Пакеты на получателе

    Коммутатор, когда получил сообщение IGMP Report, заносит себе информацию, о том, что за его портом (в нашем случае – это порт GE0/0/15) есть получатель трафика для группы с MAC-адресом 01:00:5e:7f:00:01.

    Замечание. Найти запись о данном MAC-адресе на коммутаторе не удастся. Он нигде не фигурирует, в том числе в стандартном выводе «show mac address-table».

    2. IGMP Report попадает на маршрутизатор. Если мы заглянем в само сообщение, то увидим, что это оригинальное сообщение от нашего ПК. Коммутатор его просто переслал на порт, куда подключен маршрутизатор:

    Прим. Пакеты на маршрутизаторе. Подчёркнутый MAC адрес принадлежит ПК

    Если бы на коммутаторе уже был клиент, который получал трафик для группы 230.255.0.1, коммутатор бы просто начал трансляцию трафика через наш порт (GE0/0/15) и больше ничего не предпринимал бы. Это логично, так как у коммутатора уже был бы нужный трафик, который следовало просто завернуть на ещё один порт. Но в нашем примере, данный клиент первый.

    3. Маршрутизатор начинает трансляцию потокового трафика в локальную сеть.

    Прим. Пакеты на маршрутизаторе

    4. Коммутатор в свою очередь передаёт трафик на порт GE0/0/15, куда подключен наш ПК.

    Прим. Пакеты на получателе

    5. Компьютер отправляет повторный запрос на получение multicast-трафика (специфика реализации поддержки IGMP на VLC проигрывателе).

    Прим. Пакеты на получателе

    Так как оно не очень вписывается в нормальное поведение, коммутатор данное сообщение сбрасывает. В связи с этим на маршрутизаторе мы его уже не видим.

    6. Периодически маршрутизатор рассылает сообщения IGMP General Query.

    7. Коммутатор транслирует их без изменений на все свои порты.

    Прим. Пакеты на получателе. Подчёркнутый MAC адрес принадлежит маршрутизатору

    8. Компьютер откликается на данное сообщение, отправляя в обратную сторону IGMP Report для группы 230.255.0.1.

    9. Коммутатор пересылает первое полученное сообщение IGMP Report (а в данном примере сообщение от нашего компьютера и является первым) в сторону маршрутизатора.

    Прим. Пакеты на маршрутизаторе. Подчёркнутый MAC адрес принадлежит получателю

    Коммутатор, получив первое сообщение IGMP Report пересылает его только в сторону маршрутизатора. Другим получателям данное сообщение не передаётся, в отличии от обычной схемы работы без IGMP snooping. Т.е. механизм Report Suppression нарушается. Таким образом каждый получатель вынужден будет отправить своё сообщение IGMP Report в ответ на IGMP General Query. Получив такие сообщения, коммутатор актуализирует свою базу соответствия получателей multicast-трафика и внутренних портов.

    10. Наживаем кнопку «Остановить» в проигрывателе VLC. Компьютер отправляет сообщение IGMP Leave, о том, что он больше не хочет получать multicast-трафик для группы 230.255.0.1.

    Прим. Пакеты на получателе

    11. На компьютер приходит сообщение IGMP Group-Specific Query для группы 230.255.0.1. Если мы его развернём, мы увидим, что данное сообщение отправил коммутатор:

    Прим. Пакеты на получателе. Подчёркнутый MAC адрес принадлежит коммутатору. При этом IP-адрес отправителя коммутатор использовал 172.17.15.1 (это адрес маршрутизатора)

    Т.е. коммутатор, получив сообщение IGMP Leave, выполняет проверку, нет ли других устройств за данным портом, желающих получать multicast-трафика для группы 230.255.0.1.

    В сторону маршрутизатора коммутатор ничего не отправляет. Пока коммутатор никак не тревожит маршрутизатор, так как он ещё не уверен, что нужно что-то делать с multicast-трафиком.

    12. Ровно через одну секунду коммутатор отправляет повторное сообщение IGMP Group-Specific Query.

    13. И ещё через одну секунду, не получив в ответ ни одного IGMP Report, прекращает передавать multicast-трафик на данный порт.

    Прим. Пакеты на получателе. Трансляция прекратилась в 13:32:58:58

    14. После того, как коммутатор понял, что за портом, где было принято сообщение IGMP Leave, больше нет получателей, он проверяет, а есть ли у него получатели за другими портами. Для этого он смотрит у себя в таблице MAC-адресов наличие записей для MAC-адреса 01:00:5e:7f:00:01 (как мы помним, это MAC-адрес группы 230.255.0.1). Если бы к данному коммутатору были подключены другие получатели, коммутатор на этом бы остановился и продолжил передавать multicast-трафик. Но в нашем случае, других получателей нет. Поэтому он отправляет маршрутизатору сообщение IGMP Leave.

    Прим. Пакеты на маршрутизаторе. Подчёркнутый MAC адрес принадлежит коммутатору

    15. Получив сообщение IGMP Leave, маршрутизатор, начинает проверку наличия других получателей трафика. Он же не знает, что коммутатор уже сам всё проверил. Маршрутизатор отправляет сообщение IGMP Group-Specific Query для группы 230.255.0.1.

    16. Это сообщение коммутатор транслирует на все свои порты. В том числе на порт, куда подключён наш компьютер. Как видно из дампа теперь данное сообщение отправлено маршрутизатором:

    Прим. Пакеты на получателе. Подчёркнутый MAC адрес принадлежит маршрутизатору

    17. Через одну секунду после отправки первого сообщения маршрутизатор отправляет повторное сообщение IGMP Group-Specific Query.

    18. И ещё через одну секунду, не получив в ответ ни одного IGMP Report (что ожидаемо, так как мы уже знаем, что коммутатору до этого никто не откликнулся), маршрутизатор прекращает передавать потоковый трафик в данный сегмент локальной сети.

    Прим. Пакеты на маршрутизаторе. Трансляция прекратилась в 13:33:00:65

    19. Маршрутизатор продолжает раз в минуту рассылать сообщение IGMP General Query.

    20. Коммутатор в свою очередь транслирует его на все свои порты.

    Я специально отфильтровал дампы таким образом, чтобы было точно видно, в какой момент начинается трансляция трафика, а в какой завершается. Большую часть UDP пакетов я убрал для большей наглядности.

    Дамп на получателе (получатель-коммутатор):

    Дамп на маршрутизаторе (коммутатор-маршрутизатор):

    Резюмируя, можно сказать следующее. Коммутатор перехватывает все сообщения IGMP от клиентов. Анализирует их. И в зависимости от ситуации пересылает эти сообщения на маршрутизатор или же удаляет. Так же коммутатор сам участвует в процессе создания IGMP сообщений. Когда последний клиент решает прекратить получать multicast-трафик, мы имеем две проверки наличия получателей. Первую выполняет коммутатор, а вторую – маршрутизатор. Во всей этой схеме маршрутизатор ведёт себя абсолютно также, как в случае, когда у нас на коммутаторе нет IGMP snooping. Т.е. маршрутизатор никак не догадывается о наличии коммутатора с включенной технологией IGMP snooping.

    Давайте ещё посмотрим на дамп трафика компьютера, который не участвует в получении потокового трафика, но находится в той же локальной сети.

    Прим. Подчёркнутый MAC адрес принадлежит маршрутизатору

    Из дампа видно, что данный компьютер за всё время получил только два вида сообщений и ни одного multicast-пакета потокового вещания:

    1. Сообщение IGMP Group-Specific Query, которое отправил маршрутизатор, когда в сети больше не осталось ни одного получателя multicast-трафика.
    2. Сообщение IGMP General Query, которое периодически рассылает маршрутизатор.

    Таким образом, при включенном IGMP snooping коммутатор, во-первых, шлёт multicast-трафик для определённых групп только на те порты, где есть реальные получатели. Т.е. оптимизирует передачу данного типа трафика.

    Читайте также:  Десна тв настройка цифровых каналов

    Во-вторых, уменьшает количество IGMP сообщений в сторону маршрутизатора. Фактически маршрутизатор узнаёт только о присутствии первого и об отключении последнего получателей multicast-трафика. Подключение и отключение остальных получателей полностью регулируется коммутатором, что является логичным.

    В-третьих, существенно уменьшает количество IGMP сообщений, которые попадают на все порты коммутатора, не вовлечённые в передачу multicast-трафика. Как мы помним, в случае отсутствия IGMP snooping все пакеты IGMP без исключения рассылаются на все порты.

    Осталось посмотреть, что мы увидим на самом коммутаторе:

    Мы видим, что получатели multicast-трафика для группы 230.255.0.1 находятся за портами Gi1/0/14, Gi1/0/15 и Gi1/0/19. За портом Gi1/0/19 находится сам маршрутизатор. Коммутатор автоматически добавил порт с маршрутизатором. Для получения более детальной информации на коммутаторе можно запустить отладчик debug ip igmp snooping.

    IGMP snooping включён, источник multicast-трафика находится в той же сети

    И так, когда источник находится где-то в другом месте нашей сети, всё прекрасно работает. Но давайте теперь перенесём наш источник multicast-трафика в тот же сегмент сети, где находятся получатели. Ситуация вполне себе житейская. Например, мы имеем систему приёма телевизионных каналов со спутника и несколько STB-приставок. Или же используем VLC проигрыватель или, например, камеры-видео наблюдения, передающие данные сразу нескольким потребителям, находящимся в том же сегменте сети. Ещё один кейс – передача multicast-трафика между контроллером беспроводной сети и точками доступа. Как в этой ситуации отработает IGMP snooping?

    Для чистоты эксперимента на маршрутизаторе отключаем PIM, так как теперь нам не нужно больше маршрутизировать multicast-трафик.

    Рассматривать вариант с отключённым IGMP snooping смысла нет: весь трафик будет просто передаваться как широковещательный. Поэтому проверяем, что IGMP snooping включён, и запускаем потоковую трансляцию на нашем импровизированном сервере. На клиенте пока VLC проигрыватель не запускаем (т.е. клиент никаких IGMP сообщений не отправляет).

    Видим, что на наш компьютер, выполняющий роль клиента, стал сразу же сыпаться multicast-трафик:

    Странно, ведь IGMP snooping включен. Посмотрим, как изменится ситуация, если на клиенте запустить VLC проигрыватель и подключиться к группе 230.255.0.1 (именно её мы продолжаем использовать для трансляции нашего потокового аудио). Нажимаем кнопку «Воспроизведение», видим, как наш компьютер отправил сообщение IGMP Report, начинаем слышать музыку. Понятное дело, что multicast-трафик на компьютер приходил всё время. Просто теперь клиент VLC стал его обрабатывать:

    Теперь нужно убедиться, продолжает ли коммутатор рассылать multicast-трафик через все остальные порты. Или наконец заработал IGMP snooping и коммутатор стал слать трафик только туда, где есть клиенты. Но нет. Ничего не поменялось. На другом компьютере, который никак не участвует в нашем эксперименте, мы видим multicast-трафик (сам дамп приводить не буду, multicast-пакеты мы уже хорошо знаем в лицо). Стоит отметить, в дампе мы не обнаружим ни одного сообщения IGMP Report, которые ранее отправил наш клиент, и которые, по идее, должны были также рассылаться на все порты. Значит IGMP snooping на коммутаторе всё-таки частично работает: как минимум коммутатор перехватывает IGMP сообщения.

    Впору заглянуть в консоль коммутатора. Информация о получателях для различных групп пуста:

    Запустив отладчик (debug), видим:

    Из этих сообщений единственно, что становится ясным, — коммутатор получил сообщение IGMPv3 Report, при этом версия некого Querier не советует IGMPv3 (о Querier поговорим немного позже). А что мы получим, если переключим IGMPv3 на нашем компьютере на IGMPv2 (данная процедура делается через реестр). Вдруг заведётся.

    Проверяем. Поведение коммутатора осталось таким же, но вот сообщения в отладчике поменялись:

    Из этих сообщений становится понятно, что коммутатор игнорирует информацию в сообщениях IGMP (и более того их удаляет), так как у него нет «mroute». И тут мы начинаем вспоминать, что первым пунктом программы IGMP snooping является определение, где находится маршрутизатор. И не важно собираемся ли мы маршрутизировать multicast-трафик или нет. В предыдущем разделе мы проверяли вывод команды «show ip igmp snooping mrouter». Там был указан номер порта, куда был подключен наш маршрутизатор, рассылающий сообщения IGMP General Query. Так вот, коммутатору с IGMP snooping обязательно нужно знать, где находится маршрутизатор multicast-трафика. Порт на коммутаторе, куда будет подключен такой маршрутизатор, как раз и получает название mrouter-порт (multicast router port). Без mrouter-порта IGMP snooping работать нормально не будет. А у нас такого порта нет, так как мы отключили на маршрутизаторе IGMP.

    Включаем обратно IGMP на маршрутизаторе (для этого активируем на интерфейсе протокол PIM). Проверяем, что на коммутаторе появился mrouter-порт:

    И снова запускаем наш источник потокового аудио. Пока VLC проигрыватель не включаем. Проверяем, рассылается ли трафик по всем портам коммутатора. Нет. Единственно, куда коммутатор теперь транслирует multicast-трафик – это через mrouter-порт. Делается он это всегда, так как маршрутизатор в нормальных условиях никогда не отсылает сообщений IGMP Report для групп, multicast-трафик которых он будет маршрутизировать. А значит коммутатор никак не сможет узнать, нужен или нет маршрутизатору тот или иной multicast-трафик.

    Замечание. Когда мы рассматривали схемы, где источник multicast-трафика находился в другой сети, multicast пакеты попадали на маршрутизатор от источника ровно по той же причине, которую мы описывали. Маршрутизатор не отправлял в сеть с источником multicast-трафика сообщения IGMP Report для группы 230.255.0.1.

    Как только мы запускаем VLC проигрыватель, коммутатор сразу начинает передавать multicast-трафик на данный компьютер. В целом схема взаимодействия между клиентом-коммутатором-маршрутизатором в рамках протокола IGMP не отличается от того, что мы рассматривали ранее, когда источник находился в другой сети. Но есть небольшой нюанс.

    Взглянем на дамп, полученный с маршрутизатора (часть UDP-пакетов было отфильтровано для большей наглядности):

    Из дампа видно, следующее:

    • На маршрутизатор, как и ожидалось, постоянно поступает multicast-трафик.
    • Маршрутизатор продолжает отрабатывать логику работы IGMP для группы 230.255.0.1. На сообщение IGMP Leave, он отсылает сообщения IGMP Specific-Group Query.
    • Но в отличии от предыдущего случая, когда маршрутизатор выясняет, что больше нет получателей для группы 230.255.0.1, маршрутизатор не может прекратить передавать multicast-трафик. Его инициатором в данном сегменте сети является совсем другое устройство (это хост с адресом 172.17.15.12).

    И так, мы поняли, что для корректной работы IGMP snooping на коммутаторе Cisco нам нужен маршрутизатор. Но можно ли получить на коммутаторе mrouter-порт без запуска протокола IGMP на маршрутизаторе? Да и вообще, можно ли обойтись совсем без маршрутизатора? Да, для это существует несколько способов. Первый вариант – статически прописать mrouter-порт. Смотреть он может, куда угодно. Главное, чтобы был. Безусловно, это не самый элегантный способ. Второй вариант – запустить на коммутаторе режим IGMP Querier. В этом режиме коммутатор вообразит себя multicast-маршрутизатором и начнёт рассылать и обрабатывать сообщения IGMP. При этом в качестве mrouter-порта будет указывать сам на себя:

    Наш коммутатор будет отсылать в том числе от своего имени сообщения IGMP General Query. Это большой плюс. Остальные коммутаторы в сети, получив его, решат, что наш коммутатор – это multicast-маршрутизатор, а значит у них появятся свои mrouter-порты. Таким образом, IGMP snooping будет работать корректно во всей сети.

    Замечание. Коммутатор весь multicast-трафик всегда передаёт через mrouter-порт. Если такого трафика будет много, он легко может забить транковые порты между коммутаторами, которые и окажутся в конечном итоге mrouter-портами. Поэтому к дизайну сети стоит подходить аккуратно, правильно выбирая расположение устройств, которые будут выполнять роль IGMP Querier.

    Подытожу. Для того чтобы на коммутаторах Cisco корректно работал IGMP snooping, необходимо, чтобы на нём был хотя бы один mrouter-порт. Если на коммутаторе нет ни одного mrouter-порта:

      Коммутатор с включённым IGMP snooping (а он, как мы помним, включён по умолчанию) передаёт multicast-трафик, сгенерированный в данном сегменте сети, как широковещательный. При этом не важно есть или нету у нас хотя бы один получатель.

  • Коммутатор перехватывает и удаляет все сообщения IGMP Report.
  • Если у нас есть mrouter-порт и включён IGMP snooping, коммутатор всегда шлёт multicast-трафик от локально источника через данный mroute-порт. При этом не важно есть ли хотя бы один получать.

    IGMP snooping и 224.0.0.X

    Когда я первый раз познакомился с IGMP snooping, первое о чём я подумал, можно ли ограничить с помощью данной технологии multicast-трафик, адресованный группам из диапазона 224.0.0.0-255 (224.0.0.0/24).

    Как мы помним, данный диапазон адресов используется только для локальных коммуникаций внутри одного сегмента сети (широковещательного домена). Многие IP-адреса из него зарезервированы под различные служебные протоколы. Например, адрес 224.0.0.5 используется протоколом OSPF, а адрес 224.0.0.10 – протоколом EIGRP. Но так как эти адреса используются сугубо для локально взаимодействия никакие механизмы присоединения/отключения к этим группам не используются. Т.е. для этих адресов не будет сообщений IGMP Report. Поэтому все они полностью исключены из процесса IGMP snooping и коммутатор Cisco будет рассылать трафик для данных групп на все порты.

    Бывают исключения в плане отсылки сообщений IGMP Report. Например, мой компьютер пытается присоединиться к группам 224.0.0.251 и 224.0.0.252. Это сервисы Multicast DNS и Link-Local Multicast Name Resolution, которые в своей работе используют механизм присоединения к группе.

    Правда коммутатор Cisco считает такое поведение не достойным для сервисов, которые используют адреса, начинающееся с «224.0.0.». В связи с чем игнорирует сообщение IGMP Report.

    В заключение

    Мы разобрали общие аспекты работы IGMP snooping на примере оборудования Cisco. Причём рассмотренное поведение является поведением «по умолчанию». За кадром остались вопросы, связанные с тюнингом различных параметров данной технологии (например, тайм аутов между посылками сообщений IGMP Group-Specific Query), изменением схемы работы коммутатора в случае получения от клиентов сообщений IGMP Leave (например, мы знаем, что за портом точно нет других устройств), взаимодействием с протоколом STP (точнее, что делать, когда происходит перестройка топологии сети) и пр. Обычно данные элементы являются уже более вендоро зависимыми и хорошо описаны в документации.

    Если мы посмотрим на коммутаторы других производителей, на многих из них мы также найдём технологию IGMP snooping. Конечно же, будут отличия в синтаксисе настройки, каких-то терминах (например, вместо mrouter-порта у многих используется просто router-порт), различных дополнениях и параметрах, которые можно подкрутить. Но по большей части общая схема работы IGMP snooping будет сходной с тем, что мы рассмотрели.

    Источник

    Adblock
    detector