《IPv6组播源受控与组播技术简介》由会员分享,可在线阅读,更多相关《IPv6组播源受控与组播技术简介(3页珍藏版)》请在金锄头文库上搜索。
1、IPv6 受控组播技术,顾名思义,就是对指定的组播数据传输按设定的规则进行控制,为了保证网络的安全可控,这项技术还是非常有必要的。IPv6 组播源受控关于 IPv6 组播源受控,是指对指定的组播源按设定的规则进行控制,允许或拒绝某组播源向网络中发送特定的组播数据,实现组播源可靠。具体地说组播源受控技术主要采取以下的方式进行:在边缘交换机上,如果配置的源受控组播,只有指定源发出的指定组的组播数据才能通过。对于处于 IPv6 PIM-SM 核心地位的 RP 交换机,对于指定源及指定组以外的REGISTER 信息,直接发送 REGISTER_STOP,而不允许建立表项。( 该功能在 IPv6 PIM
2、-SM 模块中实现) 。IPv6 组播源控制的原理是指在组播数据源接入的设备上配置 IPv6 组播源访问控制规则,并将规则下发到交换芯片。通过芯片使得指定的组播组的数据被转发/不被转发,从而实现组播源安全可控。如下图所示,分别有两个组播服务器发送 IPv6 组播数据(2011:1,ff1f:1)和(2012:1,ff2f:1),在 S1 上配置源受控并且设置规则 permit 组 (2011:1,ff1f:1)和 deny 组(2012:1,ff2f:1),把规则棒顶到上游端口上,在下游接口上有客户端 C1 点播这两个组 (2011:1,ff1f:1)和(2012:1,ff2f:1),发现只收
3、到组(2011:1,ff1f:1)的流量,没有收到组 (2012:1,ff2f:1)的流量,因为该组流量已经在 S1 上被丢弃了;同理,由于在 S2 上配置了源受控并且设置规则 deny 组(2011: 1,ff1f:1)和 permit 组(2012:1,ff2f:1),并把规则绑定到上游端口上,在下游接口上有客户端 C2 点播这两个组,发现只收到组(2012:1,ff2f:1)。这里需要注意的是,全局起了 IPv6 源受控组播后,没有其他配置情况下或在端口上配置了deny 规则就会丢弃未知组播和已知组播,即在起了源受控后,只有在端口上配置规则允许该 IPv6 组进入,才不会被丢弃,否则任何
4、情况下,均丢弃。IPv6 组播目的受控关于 IPv6 组播目的受控,是指对指定的组播接受者(或者说组播客户端) 按设定的规则进行控制,允许或拒绝某组播接受者接收网络中特定的组播数据,实现组播接收者可控。目的受控基于对用户发出的 MLD report 报文的控制,因此进行控制的模块是 MLD snooping 和 MLD 模块,其控制逻辑包括以下三种,实现指定的(VLAN,MAC )即根据发送报文的 VLAN+MAC 地址进行控制、源 IPv6 地址即根据发送报文的源 IPv6 地址进行控制和端口即根据报文进入的端口进行控制的用户按规则进行组播数据的接收。因为只有组播用户发送加入报文才能加入组播组,接受组播流量。目的受控在 MLD-SNOOPING 和MLD 中根据目的受控规则对受到的加入报文过滤,根据在设备上配置的目的受控访问规则 PERMIT 或 DENY 加入报文。被 DENY 的加入报文因为不能建立表项所以无法接受组播数据。其中 MLD snooping 可以同时使用上述三种方式进行控制,而 MLD 模块由于处于三层,仅针对发送报文的 IPv6 地址进行控制。IPv6 组播目的受控示意图:
