IGMP Snooping

Igmp snooping Multicast host ve Routerlar arasındaki igmp tarafından dinlenen mesajların yönetilmesini sağlar.
Multicast ağlarda (ki buradaki temel vurgu L2 için olacaktır) trafik akışı mutlicast host diye tabir edilen alıcılar ve Router veya Source şeklince tabir edilen
göndericiler arasında gerçekleşmektedir.IGMP nin asıl amacı bu akışın analiz edilmesidir.Snooping ise bu akışın kontrol edilmesi ve belli kurallar çerçevesinde
alıcı gönderici işlermlerine izin vermesidir.
En temel ve bilenen özelliği herhangi bir multicast gruba join isteğinde bulunmayan hostlara boş yere akışın gitmesini engellemektir.

 

Default olarak bir switch herhangi bir portundan bir multicast frame içeren bir akış aldığında bu akışı tüm portlarına gönderecektir.Çünkü switch CAM tablosuna
baktığında herhangi bir multicast mac adresi görmeyecektir.Çünkü multicast mac adresleri unicast gibi bir source adrese sahip değildirler.
Bu özelliği ile multicast tıpkı bir broadcast veya bilinmeyen bir unicast akış gibi davranmaktadır.Örneğin 48 portlu bir switch’e sahipsiniz
ve herhangi bir portundan 10 mb lik bir video içeriği stream ediyorsunuz.Snoopingin akışı kontrol etmediği durumda 48×10 480 mb bir trafik gereksiz
yere backplain i işgal edecektir.Özellikle yüksek boyutta ve fazla sayıda video içerikleri bulunduran bir network yönetiyorsanız videolarınız
ekrana yansıdığı yerde mozaiklenmeler ile karşı karşıya kalabilirsiniz.Snooping’in enable edilmediği networklerde kaynak ve alıcı yönetiminin
ciddi plan yapılarak tasarlanması gerekmektedir.IGMP snooping igmp v2 ile gelmiş tüm özellikleri denetleyerek (join,leave,membership query) switch üzerinde
alıcı ve gönderici arasındki akışı kontrol eden bir tablo oluşturur.

igmp snooping ve igmp raporları sağlayan diğer mesajların normal multicast trafikden ayıran en büyük özelliği hardware bazında kaynak kullanmasıdır.
Snooping alıcı gönderici arasındaki mesajları kontrol etmek ve ilgili tabloda bunları yönetmek zorundadır.Snooping mutlicast flowdan farklı olarak CPU gereksinimine ihtiyaç duymaktadır.

Multicast flow ASICs ile sağlanmaktadır.Elektronik konusunda uzmanlığım olmadığı için ASICs yada CPU tercihi neyi referans alarak belirleniyor doğrudan bir fikrim yok ancak bir tahmin yürütmek gerekirse Switch üzerinde opsiyonel fonksyonlar için ayrı entegreler kullanmak yerine CPU yeteneklerini kullanmak üreticiler için bir yöntem diye düşünüyoum.Sonuç olarak Snooping’de opsiyonel bir seçenek multicast ihtiyacı olmayabilir veya varolan multicast ihtiyacını yönetmek gerekmeyebilir.
Snooping igmp mesajlarını her birini cpu yeteneklerini kullanarak işleme tabi tutar.Dolayısıyla büyük ölçekli mulicast networklerde igmp mesaj trafiği yüksek cpu kullanımına sebeb olabilir.Özellikle IGMP query multicast networklerde bir attack niteliği taşıyabilir.Bu attack bir saldırgan tarafından bilinçliyapılabileceği gibi kontrolsüz gerekli güncellemesi bulunmayan multicast alıcılar tarafından bilinçsiz bir şekildede gerçekleştirilebilir.
Hardware Q da oluşabilecek aşırı iqmp mesaj kuyruğu cpu kullanımını %100 e ulaştıracaktır.CPU da kuyruğa girmiş binlerce igmp mesajından ötürü switch’e müdahil olmak için kullababileceğiniz tek tercih konsol olacaktır.Dolayısıyla snooping fonksyonunu kullanmadan önce switch üzerinde switch yeteneklerini kullanarak planlı bir güvenlik optimizasyonu da yapılmalıdır.
Snooping davranışlarını anlayabilmek için igmp mesaj türlerini ayrıca anlamak gerekmektedir.
join,leave,membership query,igmp querier gibi kavramları snooping den daha önce öğrenilmesinde fayda olacağını düşünüyorum.

igmp snooping i igmp mesaj tipleri ile örneklenidirip anlatmak çok daha verimli olacaktır.Bu yazı temel anlamda snooping fonksyonun hangi amaçla kullanılması gerektiğine ilişkindir.

aşağıda 3750 G serisi bir cisco switch üzerinde igmp snooping tarafından oluşturulmuş tablo görülmektedir.

Fatih YURTTAŞ

4 yorum

  1. Fatih Hocam, Igmp snooping hakkındaki bilgilendirmelerin için sana teşekkür ederiz.Çok güzel bir makale olmuş, eııerine sağlık.

  2. Merhaba,

    Asic ler ile ilgili bir bölüm gördüm oraya biraz acıklık getireyim , birde IGMP Snooping detay konusalım.

    High end device larda multicast replicatonu yapılır , paketin source kısmına hardwarede L2 ve L3 enginelerde bakılır , RPF check yapılır . Ornek olarak Sup 720 uzerinde L2 Superman asic , L3 icin Tycho ASIC boylece checking hardwarede yani PFC ya da DFC de ASIC ler tarafından yapılarak CPU cycle harcanmamıs olur. Paket icin group adresi L3 check yapıldıktan sonra MET yani Multicast expansion table de saklanır. Interface ‘in yani ingress port uzerindeki interface asic/replication engine ile birden cok outgoing interface de MET table icin deki Outgoing interface list ile switch fabric uzerinden gonderilir. Packetin PFC ye DBUS uzerinden yanlızca header kısmı gonderildiğini ek olarak belirteyim.Payload uygun interface bufferda tum checkingler yapılırken saklanır . EARL7 PFC de bu ASIC lerin yaptıgı isleri EARL8 PFC yani PFC4 dede aynı sekilde oldugunu soyleyebilirim. Yanlızca L3 Engine de paralel checking yerine adım adım checking yapılır. Yani Security ACL , QOS ACL , Netflow , L3 lookup PFC3 üzerindeki Tycho ASIC de paralel yapılıp tum sonuclar Decision engine e gonderilirken , PFC4 ASIC lerde L3 engine bu checkingi adım adım yapar , bununda sebepler aslında belki bir yazı altında toplanarak yazılabilir. Yorum satırını asmıs olabilirim o yuzden son olarak IGMP Snooping de arkadasın yazdıgı gibi direk olarK CPU related calısır. L3 de calıstıgı icin her paket icin CPU cycle da process edilir ki , CPU nun asıl isleri olan Background task , routing protocols , RIB – FIB update ve daha bir cok gorevine birini daha eklemis olursunuz . Hali hazırda L2 de CGMP calıstırmak CPU acısından daha kullanıslıdır.

  3. slmlar . ben birşey sormak istiyorum . modemime sürekli igmp flood yapılıyor , bu yüzden wireless im sorun çıkarıyor . modemimin loglarında şunlar kayıtlı DoS: Per-source ICMP Flood Attack source=fe80::4c1:359e:5259:c0a9 destination=fe80::6666:b3ff:fe99:6c77 acaba burda bu pisliğin mac ban yapabilirmiyim . burada hangi veriler mac adresini gösteriyor . yada nasıl bir çözümle bu şerefsizin sürekli modemime atak yapmasını engelleyebilir . çok muzdaripim bu oç yüzünden 4,5 dakkada bir wireless ten kopuyorum artık bıçak kemiğe dayandı lütfen yardım edin .teşekkürler

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir