思科ASA防火墙8.2版本的组播(不含PIM)介绍

ASA8.2版本组播支持stub组播(即PIX上原有的类似igmp代理的组播)以及PIM组播(真正的组播选路),但是二者不能同时配置,即一台ASA要么处于stub网络的igmp组播代理模式,要么处于pim功能模式(作为一个组播网络的节点)。本文仅介绍思科ASA8.2的stub multicast功能,不介绍pim功能。
1、全局使能组播开关
multicast-routing

2、配置静态组播表项
mroute src_ip src_mask {input_if_name | rpf_neighbor} [distance]
mroute src_ip src_mask input_if_name [dense output_if_name] [distance]
这两条命令都是配置静态组播表项的命令,区别在于第一个命令是为pim模式配置,第二条命令是为stub组播配置。本文不介绍pim模式,所以忽略第一条命令。
mroute src_ip src_mask input_if_name [dense output_if_name] [distance]中,input_if_name为上游接口,output_if_name为下游接口,下游接口接收igmp报文,并向上游接口转发。注意到此处只指定了组播源地址,不能指定组播组地址。distance参数指定该路由的优先级,在pim选择rpf接口时会比较静态路由的distance和单播路由的distance来进行优选。

3、disable接口的igmp功能
[no] igmp??? 此命令在接口视图下
在全局打开组播开关后,igmp默认是在所有接口使能的,可以用这个命令关闭接口的igmp功能。

4、配置igmp静态表项(接口视图下)
igmp join-group group-address
igmp static-group group-address
这两个命令都可以生成一个igmp组表项,出接口为本接口视图的接口。这两个命令功能非常相似,差别对于一般应用可以忽略不计。如果非要说有什么差别的话,static-group这个命令是创建一个静态转发表项,目的仅仅是转发组播流量;而join-group这个命令是将本机加入组播组,本机可以处理组播流量。
在组播源处ping(组播ping)使用static-group命令创建的组播地址是无法ping通的,即组播数据到了ASA就直接转发并未进入协议处理栈;而ping使用join-group命令创建的组播地址可以ping通,也就是组播数据得到了ASA的协议处理和响应。其实差别在于思科的实现细节,还是那句话,对于一般的应用这两条命令是没有区别的。

5、配置接口的组播acl过滤
igmp access-group acl

6、配置接口上支持的最大组播组个数
[no] igmp limit [number]?? 默认值500

7、配置igmp query查询间隔
igmp query-interval seconds

8、配置igmp query查询相应时间
igmp query-max-response-time seconds

9、配置igmp querier查询器超时时间
[no] igmp query-timeout [seconds]
不知道思科出于什么考虑增加这个配置,因为在PIX6.3中查询器超时时间(也就是igmp协议中的Other Querier Present Interval)是符合rfc标准的计算方式:
((the Robustness Variable) 乘(the Query Interval)) 加 (Query Response Interval/2)。而思科增加的这个配置接口,允许用户配置这个超时值,违反了RFC标准。

10、配置igmp支持版本
igmp version {1 | 2}

11、配置igmp报文转发
[no] igmp forward interface if-name

11、clear和show命令
clear configure multicast-routing
clear igmp group [group | interface name]
clear configure mroute

下面这两个清除igmp计数的命令不知道有什么区别:
clear igmp counters [if_name]
clear igmp traffic

show igmp groups [[reserved | group] [if_name] [detail]] | summary]
show igmp interface [if_name]
show igmp traffic

两点主要区别:
1、PIX6.3是默认不使能igmp,逐个接口配置后才使能。ASA是打开组播开关后所有接口igmp都使能,可以逐个接口各个disable
2、ASA上mroute静态路由无法指定组播组,并增加了distance参数。

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

*

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>