什麼是IGMP Snooping?

發佈於 2020年05月06日 by

 11.6k

IT人員研發了IGMP（Internet Group Management Protocol, Internet組管理協議）Snooping協議，並將其廣泛應用於網絡組播模式，以減少網絡帶寬浪費，防止惡意攻擊。那麼，什麼是IGMP Snooping？它是如何工作的？本文將針對這些問題，展開詳細討論。

IGMP Snooping簡介

IGMP是一種網絡組播協議，用來在主機和組播路由器之間建立和維護組播成員關係。IGMP Snooping通過偵聽和分析三層組播設備與主機之間發送的組播報文來控制這些組播組，有利於抑制二層網絡中不必要的組播數據轉發，節省網絡帶寬。

IGMP Snooping工作原理

在局域網中，組播報文不可避免的要經過一些二層網絡設備，如路由器和組播用戶之間的二層網絡交換機。由於二層交換機無法學習組播MAC地址，因此組播報文會在二層被廣播，即同一廣播域內的組播成員和非組播成員都能收到組播報文。這樣不但浪費了網絡帶寬，而且影響了網絡信息的安全性。

IGMP Snooping工作原理.jpg

IGMP Snooping是解決此類問題的理想方案。如上圖所示，當交換機未啟用IGMP Snooping時，組播報文將通過廣播分別發送至主機A、B、C；當交換機啟用IGMP Snooping後，該交換機可以偵聽和分析IGMP報文，指定相應的二層組播的接收者（主機A和C），從而有效地控制組播報文轉發。這樣，只有組播成員主機A和主機C能接收組播報文，主機B無法接收組播報文。

IGMP Snooping的功能與應用

如前文所述，IGMP Snooping能有效防止帶寬浪費和網絡信息泄漏。

組播偵聽幫助IGMP Snooping網絡交換機和路由器將組播報文有效地發送到指定的接收者。當網絡無法進行多點傳輸時，IGMP Snooping將變得尤為重要，否則，傳入的組播報文將被發送至廣播域中的所有主機。IGMP Snooping的優勢在較大的網絡中體現的尤為明顯，支持IGMP Snooping的交換機減少了不必要的報文傳輸，避免網絡阻塞。同時，當不法分子利用網絡組播的安全漏洞（如組播DoS/DDoS攻擊）時，即用組播報文攻擊單個主機或整個廣播域內的主機，IGMP Snooping能有效地避免這種情況的出現。

啟用IGMP snooping命令，能有效地節省帶寬浪費。所有下游主機僅接收指定的報文，這些報文已通過組播請求。因此，支持IGMP Snooping的交換機適用於帶寬需求較大的網絡，如IPTV或其他流媒體服務，及Web會議網絡等。但是，如果網絡中的成員設備極少，或網絡中幾乎沒有任何組播流量時，則無需開啟IGMP Snooping。此時，即使交換機或路由器支持組播IGMP Snooping協議，該協議也需保持關閉狀態，以避免啟用不必要的網絡監聽分析程序，減少設備的CPU資源消耗。

IGMP Snooping配置注意事項

IGMP Snooping協議使設備能夠建立和維護二層組播轉發表，從而指導組播報文在數據鏈路層按需轉發。在配置IGMP Snooping協議前，需要注意以下三個因素。

IGMP Snooping查詢器

為啟用IGMP Snooping，用戶必須在網絡中配置組播路由器，以生成IGMP查詢器。如果沒有查詢器，用戶無法定期檢索、更新IGMP成員資格報告及組播成員資格表，這將導致IGMP Snooping無法正常工作。配置IGMP Snooping查詢器後，它將定期發送IGMP查詢報文，以查詢該網段有哪些組播組的成員，並生成IGMP報告。然後，IGMP Snooping會偵聽這些IGMP報告以建立適當的報文轉發機制。

IGMP Snooping Proxy功能

IGMP Snooping Proxy即IGMP Snooping代理功能，當IGMP Snooping交換機啟用該功能後，它將實現IGMP Snooping的功能，即在其上游設備看來，它就相當於一臺主機；在其下游設備看來，它相當於一臺查詢器。例如，當IGMP Snooping交換機檢索到來自路由器的IGMP查詢報文時，它將攔截此查詢報文，而自己以組播路由器的身份向主機發送查詢報文並進行相關處理。當交換機禁用IGMP代理功能後，交換機只偵聽VLAN中IGMP查詢報文及來自主機的組播報告，而不做攔截處理。因此，IGMP Snooping Proxy不僅能抑制因響應查詢報文而導致的IGMP報告泛濫，還能減輕上端IGMP查詢器的符合。但是，基於VLAN的IGMP狀態存在一定的延遲。

IGMP Snooping版本

IGMP目前有三個版本，即IGMP V1，IGMP V2和IGMP V3。通常，IGMP V1基於組播路由協議，定義了基本的組成員查詢和報告過程；IGMP V2在V1的基礎上添加了查詢器選舉和組成員離開的機制，允許查詢器將數據發送至組播域中的主機；IGMP V3支持特定的源過濾，其主要功能是成員可以指定接收或指定不接收某些組播源的報文。