Was ist IGMP-Snooping?
19.06.2020Lesezeit: 1 Min.
Der herkömmliche Netzwerk-Unicast-Modus wird den heutigen Datenübertragungsanforderungen nicht mehr gerecht, da er stattdessen die Netzwerklast erhöht und die Netzwerkbandbreite stark beansprucht. Um dieses Problem zu lösen, wurde IGMP (Internet Group Management Protocol) Snooping entwickelt, das heute weitgehend auf den Netzwerk-Multicast-Modus konfiguriert ist.
Was ist IGMP-Snooping?
IGMP ist ein wichtiges Feature von Netzwerk-Multicast und wird verwendet, um Mitgliedschaften von Hosts und Routing-Geräten in einer Multicast-Gruppe einzurichten und zu verwalten. Außerdem kontrolliert IGMP-Snooping diese Multicast-Gruppen, indem es die Multicast-Pakete, die zwischen dem vorgeschalteten Layer-3-Multicast-Gerät und den nachgeschalteten Hosts ausgetauscht werden, ausspioniert und analysiert, um so die unnötige Weiterleitung von Multicast-Daten in Layer-2-Netzwerken wirksam zu unterdrücken.
Wie funktioniert das IGMP-Snooping?
In einem LAN müssen Multicast-Pakete die Layer-2-Switches zwischen dem Router und den Multicast-Benutzern durchlaufen. Multicast-Pakete können jedoch an alle Hosts in der Broadcast-Domäne, einschließlich der Mitglieder von Nichtmulticast-Gruppen, gesendet werden, da der Layer-2-Switch keine Multicast- MAC-Adressen ermitteln kann. Dadurch wird Netzwerkbandbreite verschwendet und die Netzwerkinformationssicherheit gefährdet.
IGMP-Snooping löst dieses Problem. Wie in der obigen Abbildung dargestellt, werden Multicast-Pakete an Host A, B, C gesendet, wenn IGMP-Snooping nicht auf dem Switch ausgeführt wird. Wenn IGMP-Snooping jedoch aktiviert ist, kann der IGMP-Snooping-Switch IGMP-Nachrichten abhören und analysieren und Layer-2-Multicast-Weiterleitungseinträge einrichten, um die Multicast-Datenweiterleitung zu steuern. Auf diese Weise werden Multicast-Pakete nicht an alle Hosts gesendet, sondern nur an die Multicast-Gruppenmitglieder der Hosts A und C und nicht an alle Hosts.
Was sind Funktionen und Anwendungen von IGMP-Snooping?
Wie bereits erwähnt, sind zwei Hauptvorteile des IGMP-Snooping-Switch die Vermeidung von Bandbreitenverschwendung und das Verhindern von Datenverlusten im Netzwerk.
Multicast-Snooping hilft Netzwerk-Switches, die IGMP-Snooping unterstützen, und Routern, Multicast-Datenpakete effizient an die vorgesehenen Empfänger zu übertragen. Seine Bedeutung wird noch deutlicher, wenn eine Filtermethode der Mehrpunktübertragung fehlt: Die eingehenden Multicast-Pakete werden an alle Hosts in der Broadcast-Domain gesendet. Insbesondere in größeren Netzwerken reduziert der IGMP-Snooping-Switch unnötig hohen Datenverkehr, der unter Umständen sogar zu einer Netzwerküberlastung führen kann. Kriminelle können sich dieses Sicherheitsleck zunutze machen und einzelne Hosts oder das gesamte Netzwerk mit Multicast-Paketen überfluten, um sie - wie bei einem typischen DoS/DDoS-Angriff - zu unterbrechen.
Wenn der IGMP-Snooping-Befehl aktiviert ist, werden Bandbreitenverschwendung und feindliche Angriffe wie diese erheblich minimiert. Alle nachgeschalteten Hosts erhalten nur Multicast-Pakete, für die sie sich zuvor über Gruppenanfragen registriert haben. Der Einsatz von Netzwerk-Switches, die IGMP-Snooping unterstützen, lohnt sich daher überall dort, wo viel Bandbreite benötigt wird. Beispiele sind IPTV und andere Streaming-Dienste sowie Webkonferenz-Lösungen. Netzwerke mit nur wenigen Teilnehmern und kaum Multicast-Verkehr profitieren jedoch nicht vom Filterverfahren. Selbst wenn der Switch oder Router die Multicast-IGMP-Snooping-Funktion bietet, sollte diese ausgeschaltet bleiben, um unerwünschtes Abhören zu verhindern.
IGMP-Snooping-Konfigurationen
Grundlegende IGMP-Snooping-Funktionen ermöglichen es einem Gerät, eine Layer-2-Multicast-Weiterleitungstabelle zu erstellen und zu pflegen und eine On-Demand-Multicast-Datenübertragung auf der Datenverbindungsschicht zu implementieren. Bevor Sie IGMP-Snooping-Funktionen konfigurieren, sollten Sie die folgenden Punkte berücksichtigen.
IGMP-Snooping-Querier
Um IGMP-Snooping zu ermöglichen, muss ein Multicast-Router in der Netzwerktopologie eingesetzt werden, um IGMP-Queries zu generieren. Ohne einen Querier können IGMP-Mitgliederberichte und Gruppenmitgliedschafts-Tabellen nicht regelmäßig abgerufen und aktualisiert werden, was zu einer instabilen Funktionsweise von IGMP-Snooping führt. Wenn der IGMP-Snooping-Abfragedienst konfiguriert ist, sendet er IGMP-Abfragen in einem bestimmten Zeitintervall aus, um IGMP-Berichtsnachrichten vom Netzwerk-Switch mit Multicast-Mitgliedschaften zu generieren. IGMP-Snooping überwacht diese IGMP-Berichte, um eine geeignete Weiterleitung festzulegen.
IGMP-Snooping-Proxy
IGMP-Snooping-Proxy ist eine erweiterte Funktion. Wenn sie aktiviert ist, beginnt der IGMP-Snooping-Switch wie IGMP-Snooping zu funktionieren. Wenn der Switch dann eine IGMP-Abfrage von einem Router abruft, antwortet er umgehend mit einem seinem Status entsprechenden Bericht. Wenn er deaktiviert ist, werden die IGMP-Abfragen im VLAN und die Berichte von Hosts überflutet. Auf diese Weise verhindert der IGMP-Snooping-Proxy einen plötzlichen Ausbruch des IGMP-Berichtsverkehrs als Antwort auf Anfragen und reduziert die Anzahl der Berichte, die der IGMP-Abfragesteller verarbeiten muss. Bei der Propagierung des IGMP-Status durch das VLAN wird jedoch eine Latenzzeit erzeugt.
IGMP-Snooping-Version
IGMP hat drei Protokollversionen: V1, V2 und V3. Dementsprechend können Sie eine IGMP-Snooping-Version auf einem Layer-2-Gerät wählen, um IGMP-Nachrichten in verschiedenen Versionen zu verarbeiten. Im Allgemeinen identifiziert IGMPv1 den abgefragten Router auf der Grundlage des Multicast-Routing-Protokolls. IGMPv2 fügt die Fähigkeit von Gruppenabfragen hinzu, die es dem Abfrager ermöglicht, Nachrichten an die Hosts in einer Multicast-Gruppe zu senden. IGMPv3 bringt weitere Verbesserungen zur Unterstützung spezifischer Quellenfilterung.
Fazit
IGMP-Snooping ist ein wichtiges Merkmal von Netzwerk-Switches. Wenn es aktiviert ist, wird der Bandbreitenverbrauch in einer Multi-Access-LAN-Umgebung reduziert, um eine Überflutung des gesamten VLANs zu vermeiden, und gleichzeitig kann auch die Netzwerkinformationssicherheit verbessert werden. Das Verständnis der IGMP-Snooping-Konfigurationen und -Funktionen hilft Ihnen somit beim Aufbau eines optimierten Netzwerks.