IGMP Querier Managed FortiSwitch – Bruderer Research GmbH

IGMP Snooping Querier mit Managed FortiSwitch

Beitrags-Autor:Peter Bruderer
Beitrag veröffentlicht:30.07.2020
Beitrags-Kategorie:Fortinet / TCP/IP

⇒Hier habe ich beschrieben, wie man die FortiGate mit managed FortiSwitch als IGMP Querier einrichtet. Das ganze funktioniert gut, will man den Multicast Traffic auch tatsächlich über die Fortigate senden. Soll der Traffic aber im lokalen Netz bleiben, hat dieses Konstrukt einen massiven Schönheitsfehler. Alle Multicast Streams werden an die FortiGate gesendet. Mit mehreren TV Streams führt das schnell zur Überlastung des Interfaces.

Bei einer reinen Layer 2 Multicast Anwendung verwendet man deshalb von Vorteil den IGMP Snooping Querier direkt auf einem Switch.

Diese Lösung kann man mit Managed FortiSwitches anwenden, es wird aber im Handbuch nicht erwähnt. Dort werden nur die Parameter erklärt. Konkrete Beispiele gibt es keine.

Für ein Kundenprojekt mit AV over IP von ⇒Crestron mussten wir die Konfiguration in mühsamer Kleinarbeit herausfinden.

Cisco hat eine gute ⇒Beschreibung dieser Situation. Allerdings funktioniert es mit managed FortiSwitches ein wenig anders.

Hier eine Beschreibung, wie man dieses Konstrukt konfiguriert.

Das betroffene VLAN muss IGMP Snooping konfiguriert haben. Bei der Verwendung von MCLAG soll IGMP Proxy aktiv sein. Diese Einstellung erfolgt direkt auf dem Interface auf der FortiGate.

config system interface
    edit "v0007_client"
        set vdom "root"
        set ip 10.0.3.254 255.255.255.0
        set allowaccess ping 
        set switch-controller-igmp-snooping enable
        set switch-controller-igmp-snooping-proxy enable
        set switch-controller-igmp-snooping-fast-leave enable
    next
end

IGMP Snooping ist jetzt konfiguriert, nur gibt es noch keine Membership Reports, die ausgewertet werden können.

Dazu müssen wir auf alles Switches den IGMP Snooping Querier konfigurieren.

Das erfolgt direkt auf dem Managed FortiSwitch. Also verbinden wir uns per CLI auf den Switch:

config switch vlan
    edit 7
        set igmp-snooping enable
        set igmp-snooping-querier enable
        set querier-addr 10.0.3.254
        set igmp-proxy enable
    next
end

Wichtig sind die Parameter igmp-snooping-querier enable und querier-addr. Die IP Adresse von querier-addr muss eine IP Adresse aus dem jeweiligen Subnetz sein. Alternativ verwenden Sie 0.0.0.0 als querier-addr.

Wir verwenden dazu die IP Adresse, die wir auf der FortiGate als Interface Adresse verwendet haben.

Ist das konfiguriert, sendet der Switch regelmässig Query Requests, die von allen Multicast Receivern mit Membership Reports beantwortet werden. Die Switches können so ihre Forwarding Tables füllen. Multicast Traffic wird nur an die Ports gesendet, auf denen auch ein Receiver vorhanden ist.

Beginnend mit FortiOS 7.0.2 kann der igmp-snooping-querier direkt auf der FortiGate konfiguriert werden:

config switch-controller managed-switch
   edit S248EF1234X891
      config igmp-snooping
         set local-override enable
         config vlans
            edit v0007_client
               set proxy enable
               set querier enable
               set querier-addr 0.0.0.0
            next
         end
      end
   next
end

Die Häufigkeit der Queries wird auch direkt auf dem Switch angegeben.

config switch igmp-snooping globals
    set query-interval 60
end

Das heisst, der Switch sendet alle 60 Sekunden einen Query. Default ist alle 120 Sekunden.

Dieses Query Interval kann mit Hilfe von Custom Commands auch direkt auf der FortiGate konfiguriert werden.

Es muss mindestens auf den Switches, auf denen ein Multicast Sender aktiv ist, ein Querier konfiguriert sein. Auf allen andern Switches kann man den Querier weg lassen.

Schlagwörter: FortiGate, TCP/IP

Das könnte dir auch gefallen

Fortigate Firewall Allgemeines Troubleshooting

Verwendete Adressen von Fortinet

Fortigate Firewall Performance Troubleshooting