02 组播优化

1、校园网组播部署的建议

校园网组播部署的时候，需要注意以下几个方面：

1）组播路由技术的选择（PIM-DM，PIM-SM，PIM-SSM）

2）组播安全控制技术（防组播源欺骗、组播组过滤、特定源组播等）

3）二层组播优化

针对第一点：

规模较小的学校，接收组播用户较密集的推荐使用PIM-DM稠密模式，此技术原理实现简单。缺点：协议开销较大，“扩散-剪枝”周期性发生。

规模适中的学校，推荐使用PIM-SM，静态RP。资源消耗较少，缺点是路径非最优，且有单点故障。

规模较大的组播部署，推荐使用PIM-SM，RP选举，可以实现RP实现，增强了可靠性。

对特定源组播有特殊需求的可以使用PIM-SSM，但需要其客户端使用IGMPV3协议。

针对第二点：

a、组播源欺骗可以使用ACL，只允许合法的源及组播目标的报文通过。IGMPsnooping的源端口检查也可以配合完成此功能。而且要求全网部署，必须从源头控制住，否则有可能出现本设备上配置了过滤，但从其他设备过来的PIM-DM协议不停的发送伪造源的PIM-DM协议报文，导致设备频繁创建无意义的组播表项，资源耗尽。

b、对于IGMP协议的安全控制也是有必要的，防止用户端发生的一些攻击性的加入组播组的申请，消耗设备资源。可以在用户SVI上配置IGMP Access-group来进行过滤

c、在对RP的控制上，需要配置RP对注册报文的过滤

针对第三点：

a、二层组播优化，主要指IGMP-Snooping，防止二层交换机将组播报文当广播在VLAN内泛洪，将组播报文转发到有需求的端口。IGMP-Snooping有profile可以对组播目标组进行控制。（注意SVGL模式必须配置Profile），也可以在用户接口上配置IGMP Snoopig Filter控制用户可以接受的组播数据。

b、在端口下只有单用户的情况下，可以开启Fast-leave特性，可以节省带宽及设备资源。

2、组播优化是否有示例

1）部署防组播源欺骗ACL

此ACL应用在下联用户（全网设备，包括组播源及接收用户端）的Trunk口in方向，或SVI in方向。具体使用情况，根据用户实际端口或SVI上应用了防病毒等ACL，如有可调整或进行整合，建议用在端口。

Ruijie(config)#ip access-list extended deny_mc_source

Ruijie(config-ext-nacl)#10 permit igmp any any //允许所有IGMP

Ruijie(config-ext-nacl)#20 permit ip 219.229.134.0 0.0.0.255 239.202.0.0 0.0.255.255 //允许合法的组播源及组播目标

Ruijie(config-ext-nacl)#30 deny ip any 224.0.0.0 15.255.255.255 //拒绝所有组播流

Ruijie(config-ext-nacl)#40 permit ip any any

2）部署IGMP组播组过滤

接口将按照该规则对收到的IGMP 成员关系报告报文进行过滤，只为该规则所允许的组播组维护组成员关系。

Ruijie(config)#ip access-list standard 10

Ruijie(config-std-nacl)#10 permit 239.202.0.0 0.0.255.255

Ruijie(config-std-nacl)#20 deny any

Ruijie(config-std-nacl)#exit

Ruijie(config)#interface VLAN 25

Ruijie(config-VLAN 25)#ip pim sparse-mode

Ruijie(config-VLAN 25)#ip igmp access-group 10 //此ACL直接应用在SVI下

Ruijie(config-VLAN 25)#exit

3）配置RP对注册报文的过滤

在 RP 上，要对到达的注册报文中的源地址组地址对进行过滤，可以配置此命令。如果不配置这条命令，那么在RP 上允许每一个到达的注册报文。如果配了这条命令，那么注册报文中源地址和组地址被ACL 允许的才被继续处理，否则注册报文被过滤掉

Ruijie(config)# ip access-list extended acl_3500

Ruijie(config-std-nacl)# permit ip 219.229.134.0 0.0.0.255 239.202.0.0 0.0.255.255

Ruijie(config-std-nacl)#exit

Ruijie(config)#ip pim accept-register list acl_3500

4）配置对合法BSR范围的过滤（动态RP）

若要对合法BSR 范围进行限定，请配置这条命令。不配置这条命令，那么开启了PIM-SM功能的路由器将接收所有外部来到的BSM 报文

Ruijie(config)#ip access-list standard bsr_accept

Ruijie(config-std-nacl)# 10 permit host 10.10.10.1

Ruijie(config-std-nacl)# 20 permit host 10.10.10.2

Ruijie(config-std-nacl)# 20 permit host 10.10.10.3

Ruijie(config-std-nacl)#exit

Ruijie（config）#ip pim accept-bsr list bsr_accept

5）配置BSR对C-RP的过滤

若要竞选 BSR 对合法的C-RP 地址范围及其所服务的组播组范围进行限制，请配置这条命令。不配置这条命令，那么竞选BSR 将接收所有的外部来到的候选RP 通告报文

Ruijie(config)#ip access-list standard crp_list

Ruijie(config-std-nacl)# 10 permit host 172.16.1.1

Ruijie(config-std-nacl)# 20 permit host 172.16.1.2

Ruijie(config-std-nacl)# 20 permit host 172.16.1.3

Ruijie(config-std-nacl)#exit

ip pim accept-crp list crp_list

6）配置igmp snooping

Ruijie(config)#ip igmp profile 111

Ruijie(config-profile)#permit

Ruijie(config-profile)# range 239.202.0.0 0.0.255.255

Ruijie(config-profile)# exit

//Profile供SVGL、IGMP Filter、组播路由连接口过滤组播组范围使用

Ruijie(config)#ip igmp snooping svgl profile 111

Ruijie(config-if-FastEthernet 0/9)#ip igmp snooping filter 111

Ruijie(config)#ip igmp snooping ivgl

Ruijie(config)#ip igmp snooping vlan 12 mrouter interface GigabitEthernet 0/25

Ruijie(config)#ip igmp snooping vlan 12 filter 111

配置静态组播路由连接口或自动学习功能，对于网关型交换机来说，路由口都是SVI口配置自动学习。关联profile后，只允许转发合法范围的组播流

建议开启的功能：

1)IGMP抑制，同一个VLAN内组播成员关系报告抑制

Ruijie(config)#ip igmp snooping suppression enable

2)IGMP-Fliter应用于用户端口可以过滤用户的IGMP-report报文

Ruijie(config)# interface interface-id

Ruijie(config-if)# ip igmp snooping filter profile-number

3)Mroute口打开源端口检查时，只允许从Mroute口进入的组播报文才是合法的

Ruijie(config)# ip igmp snooping source-check port //部分型号交换机支持

4)端口快速离开

在交换机上，如果端口下只连接有一个接收者，则可以通过使能端口快速离开功能以节约带宽和资源。该功能运用在相关端口下只存在一个点播者的情况。

Ruijie(config)# ip igmp snooping fast-leave enable