IPv6受控组播技术,顾名思义,就是对指定的组播数据传输按设定的规则进行控制,为了保证网络的安全可控,这项技术还是非常有必要的。
IPv6组播源受控
关于IPv6组播源受控,是指对指定的组播源按设定的规则进行控制,允许或拒绝某组播源向网络中发送特定的组播数据,实现组播源可靠。具体地说组播源受控技术主要采取以下的方式进行:
在边缘交换机上,如果配置的源受控组播,只有指定源发出的指定组的组播数据才能通过。
对于处于IPv6 PIM-SM核心地位的RP交换机,对于指定源及指定组以外的REGISTER信息,直接发送REGISTER_STOP,而不允许建立表项。(该功能在IPv6 PIM-SM模块中实现)。
IPv6组播源控制的原理是指在组播数据源接入的设备上配置IPv6组播源访问控制规则,并将规则下发到交换芯片。通过芯片使得指定的组播组的数据被转发/不被转发,从而实现组播源安全可控。
如下图所示,分别有两个组播服务器发送IPv6组播数据(2011::1,ff1f::1)和(2012::1,ff2f::1),在S1上配置源受控并且设置规则permit组(2011::1,ff1f::1)和deny组(2012::1,ff2f::1),把规则棒顶到上游端口上,在下游接口上有客户端C1点播这两个组(2011::1,ff1f::1)和(2012::1,ff2f::1),发现只收到组(2011::1,ff1f::1)的流量,没有收到组(2012::1,ff2f::1)的流量,因为该组流量已经在S1上被丢弃了;同理,由于在S2上配置了源受控并且设置规则deny组(2011::1,ff1f::1)和permit组(2012::1,ff2f::1),并把规则绑定到上游端口上,在下游接口上有客户端C2点播这两个组,发现只收到组(2012::1,ff2f::1)。这里需要注意的是,全局起了IPv6源受控组播后,没有其他配置情况下或在端口上配置了deny规则就会丢弃未知组播和已知组播,即在起了源受控后,只有在端口上配置规则允许该IPv6组进入,才不会被丢弃,否则任何情况下,均丢弃。
IPv6组播目的受控
关于IPv6组播目的受控,是指对指定的组播接受者(或者说组播客户端)按设定的规则进行控制,允许或拒绝某组播接受者接收网络中特定的组播数据,实现组播接收者可控。目的受控基于对用户发出的MLD report报文的控制,因此进行控制的模块是MLD snooping和MLD模块,其控制逻辑包括以下三种,实现指定的(VLAN,MAC)即根据发送报文的VLAN+MAC地址进行控制、源IPv6地址即根据发送报文的源IPv6地址进行控制和端口即根据报文进入的端口进行控制的用户按规则进行组播数据的接收。因为只有组播用户发送加入报文才能加入组播组,接受组播流量。目的受控在MLD-SNOOPING和MLD中根据目的受控规则对受到的加入报文过滤,根据在设备上配置的目的受控访问规则PERMIT或DENY加入报文。被DENY的加入报文因为不能建立表项所以无法接受组播数据。其中MLD snooping可以同时使用上述三种方式进行控制,而MLD模块由于处于三层,仅针对发送报文的IPv6地址进行控制。
IPv6组播目的受控示意图: