"Snooping" ne anlama geliyor?
Google'a göre, "snooping", genellikle kişinin bilgisi veya rızası olmadan, başkasının özel işlerini gizlice gözlemleme eylemini ifade eder. Gizli bilgileri, kurcalayarak veya casusluk yaparak keşfetmeyi içerir. Çeşitli bağlamlarda, snooping müdahaleci olarak kabul edilebilir. Örneğin, birisi bilgi toplamak için başka bir kişinin e-postalarını, mesajlarını veya kişisel eşyalarını kurcalayabilir.
Ancak, ağ bağlamında snooping, genellikle güvenlik veya sorun giderme amacıyla bilgi toplamak için ağdaki cihazların değiş tokuş ettiği mesajları izleme sürecini ifade eder.
IGMP Snooping nedir?
"Snooping" bağlamında, IGMP snooping, bir anahtarın bir VLAN içindeki ana bilgisayarlar ve yönlendiriciler arasında IGMP mesajlarının değiş tokuşunu izlemesine olanak tanıyan bir özelliktir. Bu, bir anahtarın ilgili alıcıların bağlı olduğu portları ve çoklu yayın özellikli yönlendiricilerin bağlı olduğu portları öğrenmesini sağlar.
Neden IGMP Snooping'e ihtiyacımız var?
IGMP snooping olmadan, anahtarlar hangi portlarda belirli çoklu yayın gruplarıyla ilgilenen ana bilgisayarların olduğunu bilemez. Bu nedenle, ilgili alıcıları olmayan portlardan gereksiz çoklu yayın trafiğini budayamazlar; bu da aşağıdaki şemada gösterildiği gibi çoklu yayın trafiğinin yayın trafiği gibi işlenmesine neden olur.
Bir VLAN boyunca çoklu yayın çerçevelerinin yayılması, özellikle çoklu yayın trafiğinin yaygın olduğu daha büyük ağlarda gereksiz bant genişliği tüketimine ve potansiyel performans sorunlarına yol açar. Bu yöntem, çoklu yayın trafiğini yalnızca açıkça talep eden portlara seçici olarak ileten IGMP snooping'in sağladığı verimlilik ve optimizasyondan yoksundur.
IGMP Snooping Nasıl Çalışır?
IGMP Snooping işlemi, her VLAN için bir anahtarda etkinleştirilir. Özellik açık olduğunda, anahtar o VLAN içindeki aşağıdaki mesajları dinler:
IGMP Üyelik Sorguları
IGMP Üyelik Yanıtları
PIM Hello mesajları
Ana bilgisayarlar ve çoklu yayın yönlendiricileri arasındaki IGMP mesaj alışverişini izleyerek, anahtar, anahtar portlarını aşağıdaki türlerden birine sınıflandıran bir "IGMP snooping tablosu" oluşturur:
çoklu yayın yönlendirici arayüzü — bir çoklu yayın yönlendiricisine veya bir IGMP sorgulayıcısına giden bir anahtar portu.
grup üyesi arayüzü — ilgili bir alıcıya giden bir anahtar portu.
İşlem iki adımda gerçekleşir. Ancak, bir ön koşul var: VLAN üzerinde bir IGMP sorgulayıcısının bulunması gerekiyor. Bu genellikle segment üzerindeki çoklu yayın yönlendiricisidir.
Aşağıdaki diyagramlarda gösterilen örnek topolojimiz bağlamında her adımı inceleyelim.
Adım 1. IGMP sorgulayıcısı R1, tüm ana bilgisayarların bağlantı yerel adresi olan 224.0.0.1'e yönelik periyodik IGMP Üyelik Sorguları gönderir.
SW1 sorguyu aldığında, 0/1 portunu IGMP gözetleme tablosuna bir yönlendirici portu olarak ekler. Ardından, ana bilgisayarların alabilmesi için IGMP sorgusunu tüm portlara yayar.
Daha sonra, SW2, 0/2 portundaki IGMP sorgusunu alır ve bunu IGMP gözetleme tablosuna bir yönlendirici portu olarak ekler. Ardından, ana bilgisayarların alabilmesi için sorgu mesajını tüm portlara yayar.
Sonuç olarak, tüm uç ana bilgisayarlar IGMP Üyelik sorgusunu alır.
Adım 2. PC1 ve PC4, 239.1.1.1 grubu için Üyelik Raporu ile IGMP Üyelik Sorgusuna yanıt verir. Rapor, grubun IPv4 adresi olan 239.1.1.1'e yönlendirilmiştir.
SW1, PC1'in raporunu 0/3 portundan alır. Portu, 239.1.1.1 grubunun bir üyesi olarak IGMP yönlendirme tablosuna ekler ve raporu yalnızca segmentteki çoklu yayın yönlendiricisine giden yönlendirici portlarına gönderir.
SW2, PC2'nin raporunu 0/4 portundan alır. Portu, 239.1.1.1 grubunun bir üyesi olarak IGMP yönlendirme tablosuna ekler ve IGMP raporunu yalnızca segmentteki çoklu yayın yönlendiricisine giden yönlendirici portlarına gönderir.
PC2 ve PC3'ün PC1 ve PC4'ün IGMP üyelik raporlarını almadığına dikkat edin. Bu, IGMP Snooping'in ilk verimlilik optimizasyonudur. Bu özellik etkinleştirilmemiş olsaydı, PC2 ve PC3 raporları alacak ve bunları işlemek ve atmak için işlemci döngülerini boşa harcayacaktı.
Bu iki adımın sonucu olarak, her iki anahtar (SW1 ve SW2) artık VLAN'ın ilgili alıcılarını ve çoklu yayın yönlendiricilerini tam olarak görebilmektedir. R1 çoklu yayın akışını LAN'a gönderdiğinde, SW1 ve SW2, aşağıdaki şemada gösterildiği gibi, IGMP gözetleme tablosuna göre çoklu yayın çerçevelerini yalnızca mrouter ve üye portlarına çoğaltır.
IGMP Snooping tablosundaki girişlerin bir zaman aşımı süresi vardır. Belirli bir çoklu yayın grubu için belirli bir zaman dilimi (yaşlanma süresi) içinde hiçbir IGMP mesajı alınmazsa, anahtar ilgili girişi tablosundan kaldırır.
IGMP Snooping Yapılandırması
Şimdi, IGMP snooping özelliğinin yapılandırma kısmına odaklanalım. Unutmayın ki, IGMP snooping tüm modern Cisco anahtarlarında varsayılan olarak tüm VLAN'larda etkinleştirilmiştir. Ancak, özelliği nasıl yapılandıracağımızı ve sorun gidermeyi ve en yaygın senaryoları gösterelim.
Önkoşullar
Bu özelliğin çalışması için çok önemli bir önkoşul vardır:VLAN'da bir IGMP Sorgulayıcısı bulunmalıdır.
Bu genellikle segmentteki çoklu yayın yönlendiricisidir. Bir arayüzde PIM yapılandırıldığında, IGMP otomatik olarak etkinleştirilir ve arayüz, aşağıdaki şemada gösterildiği gibi IGMP Sorgulayıcısı olarak davranır. R1'in e0/1 arayüzü PIM Yoğun Mod olarak yapılandırılmıştır, bu nedenle arayüz otomatik olarak segment üzerinde periyodik Üyelik Sorguları gönderen IGMP Sorgulayıcısı haline gelir.
Ancak, çoklu yayın yönlendiricisinin olmadığı senaryolar da olabilir. Örneğin, bazı yerel çoklu yayın akışlarına sahip, yönlendirilemeyen yerel bir VLAN. Bu durumda, VLAN üzerinde çoklu yayın yönlendiricisi olmayabilir. Bu nedenle, IGMP Üyelik Sorguları ve dolayısıyla Üyelik Raporları olmayacaktır (bu nedenle, IGMP Snooping çalışmayacaktır). Bu tür senaryolarda, daha sonra göreceğimiz gibi, bir anahtar IGMP Sorgulayıcı rolünü üstlenecek şekilde yapılandırılabilir.
Cisco anahtarında IGMP snooping'i yapılandırma
Yukarıdaki Şekil 5'te gösterildiği gibi, her VLAN için aşağıdaki genel komutu kullanarak özelliği bir anahtarda etkinleştirir veya devre dışı bırakırız.
Kod:
SW1(config)# ip igmp snooping vlan 10
SW1(config)# no ip igmp snooping vlan 10Statik mrouter ve üye portlarının yapılandırılması
Aşağıdaki komutu kullanarak statik bir mrouter portu yapılandırıyoruz. Arayüzün belirtilen VLAN'da (örneğimizde VLAN 10) olması gerektiğini unutmayın.
Kod:
SW1(config)# ip igmp snooping vlan 10 mrouter interface Ethernet 1/0
SW1(config)#Kod:
SW1# sh ip igmp snooping mrouter vlan 10
Vlan ports
---- -----
10 Et0/0(dynamic), Et1/0(static)Şimdi, statik üye arayüzlerini nasıl yapılandırdığımıza bakalım. Örneğin, e1/1 portunu 239.2.2.2 grubunun bir üyesi olarak yapılandıralım.
Kod:
SW1(config)# ip igmp snooping vlan 10 static 239.2.2.2 interface Et1/1
SW1(config)#Kod:
SW1# sh ip igmp snooping groups vlan 10
Flags: I -- IGMP snooping, S -- Static, P -- PIM snooping, A -- ASM mode
Vlan Group/source Type Version Port List
-----------------------------------------------------------------------
10 224.0.1.40 I v2 Et0/0
10 239.1.1.1 I v2 Et0/2
10 239.2.2.2 S v2 Et1/1Statik anlamına gelen S bayrağına dikkat edin. Statik üye portları, bir uç cihazın IGMP'yi desteklemediği ancak yine de çoklu yayın akışını almak istediği durumlarda veya trafik yakalama veya akış kaydı yapmak için çoklu yayın akışını bir arayüzden çoğaltmak istediğinizde yararlı olabilir.
Doğrulamalar
Özelliğin etkin olup olmadığını her VLAN için aşağıdaki komutu kullanarak kontrol ediyoruz.
Kod:
SW1# sh ip igmp snooping vlan 10
Global IGMP Snooping configuration:
-------------------------------------------
IGMP snooping Oper State : Enabled
IGMPv3 snooping : Enabled
Report suppression : Enabled
TCN solicit query : Disabled
Robustness variable : 2
Last member query count : 2
Last member query interval : 1000
Check TTL=1 : No
Check Router-Alert-Option : No
Vlan 10:
--------
IGMP snooping Admin State : Enabled
IGMP snooping Oper State : Enabled
IGMPv2 immediate leave : Disabled
Explicit host tracking : Enabled
Report suppression : Enabled
Robustness variable : 2
Last member query count : 2
Last member query interval : 1000
Check TTL=1 : Yes
Check Router-Alert-Option : Yes
Query Interval : 0
Max Response Time : 10000Çoklu yayın yönlendirici arayüzlerini kontrol etme
SW1 ve SW2 olmak üzere her iki LAN anahtarındaki çoklu yayın yönlendirici arayüzlerini kontrol edelim. Aşağıdaki komutları kullanacağız:
Kod:
SW1# sh ip igmp snooping mrouter
Vlan ports
---- -----
10 Et0/0(dynamic)Kod:
SW1# show ip igmp snooping querier
Vlan IP Address IGMP Version Port
-------------------------------------------------------------
10 172.16.1.2 v2 Et0/0SW1 üzerinde, e0/0 portu bir mrouter portu olarak sınıflandırılmıştır çünkü anahtar, yukarıdaki Şekil 2'de gösterildiği gibi, R1'in periyodik IGMP Üyelik sorgularını bu port üzerinden almaktadır.
Kod:
SW2# sh ip igmp snooping mrouter
Vlan ports
---- -----
1 Et0/1(dynamic)Kod:
SW2# show ip igmp snooping querier
Vlan IP Address IGMP Version Port
-------------------------------------------------------------
1 172.16.1.2 v2 Et0/1Öte yandan, SW2, R1'in periyodik IGMP Üyelik sorgularını bu arayüzde aldığı için e0/1 portunu mrouter portu olarak sınıflandırmıştır.
Üye portlarını ve grupları kontrol etme
Üye portlarını ve hangi gruplara üye olduklarını kontrol etmek için aşağıdaki komutu kullanıyoruz.
Kod:
SW1# sh ip igmp snooping groups
Flags: I -- IGMP snooping, S -- Static, P -- PIM snooping, A -- ASM mode
Vlan Group/source Type Version Port List
-----------------------------------------------------------------------
10 224.0.1.40 I v2 Et0/0
10 239.1.1.1 I v2 Et0/2 Et0/3Gördüğünüz gibi, SW1, 239.1.1.1 grubu için ilgili alıcılar olduğu için 0/2 ve 0/3 portlarını üye portları olarak ekledi.
IGMP Snooping Ek Parametreleri
Şimdi, bazı ek özellik geliştirmelerine ve parametrelerine hızlıca göz atalım.
Rapor Bastırma
Aynı VLAN'daki birden fazla ana bilgisayar aynı çoklu yayın grubuna katılmak istediğinde, IGMP Snooping Rapor Bastırma, yalnızca ilk raporun çoklu yayın yönlendiricisine iletilmesini sağlar. Diğer ana bilgisayarlardan gelen sonraki raporlar, anahtarın IGMP Snooping işlemi tarafından bastırılır (iletilmez).Örneğin, 239.1.1.1 grubuyla ilgilenen 100'den fazla ana bilgisayara sahip bir VLAN varsayalım. Aynı grup için 100'den fazla IGMP Üyelik Raporunu VLAN'daki çoklu yayın yönlendiricisine göndermek mantıklı değildir, çünkü yönlendiricinin çoklu yayın akışının bir kopyasını LAN'a göndermesini sağlamak için yalnızca bir rapor yeterlidir.
Aşağıdaki komut kullanılarak rapor engelleme devre dışı bırakılabilir.
Kod:
SW1(config)# no ip igmp snooping report-suppressionIGMP Snooping Sorgulayıcısı
Çoklu yayın yönlendiricisinin bulunduğu VLAN'larda, bu yönlendirici IGMP sorgulayıcısı olarak görev yapar. Ancak, VLAN'daki çoklu yayın trafiğinin yalnızca katman 2 anahtarları olması gerekiyorsa, çoklu yayın yönlendiricisi olmayabilir (dolayısıyla IGMP sorgulayıcısı da olmayabilir). Bu tür senaryolarda, aşağıdaki şemada gösterildiği gibi, bir LAN anahtarını segment için IGMP sorgulayıcısı olarak yapılandırabiliriz. Yönlendirici olmadığını fark edin. Kaynak doğrudan LAN'a bağlıdır.
Bir anahtarda IGMP snooping sorgulayıcı işlevi etkinleştirildiğinde, periyodik olarak IGMP Üyelik Sorguları gönderir. Bu, ana bilgisayarların almak istedikleri belirli IP çoklu yayın grubu için Üyelik Raporları ile yanıt vermesini tetikler ve böylece VLAN'da IGMP snooping'in düzgün çalışmasını sağlar. Anahtarın o VLAN'da katman 3 arayüzüne sahip olması gerektiğini unutmayın.
Önemli Noktalar
Özetle, IGMP snooping, anahtarların her VLAN içindeki ana bilgisayarların çoklu yayın grubu üyeliklerini dinamik olarak öğrenerek ve çoklu yayın paketlerini yalnızca ilgili alıcılara sahip portlara seçici olarak ileterek LAN'daki çoklu yayın trafiğini akıllıca yönetmesini sağlar. Bu, LAN'daki ağ verimliliğini artırır, gereksiz trafiği azaltır ve çoklu yayın trafiği ortamlarında genel performansı iyileştirir.
