IPv6受控組播技術(shù)，顧名思義，就是對指定的組播數(shù)據(jù)傳輸按設(shè)定的規(guī)則進(jìn)行控制，為了保證網(wǎng)絡(luò)的安全可控，這項(xiàng)技術(shù)還是非常有必要的。

IPv6組播源受控

關(guān)于IPv6組播源受控，是指對指定的組播源按設(shè)定的規(guī)則進(jìn)行控制，允許或拒絕某組播源向網(wǎng)絡(luò)中發(fā)送特定的組播數(shù)據(jù)，實(shí)現(xiàn)組播源可靠。具體地說組播源受控技術(shù)主要采取以下的方式進(jìn)行：

在邊緣交換機(jī)上，如果配置的源受控組播，只有指定源發(fā)出的指定組的組播數(shù)據(jù)才能通過。

對于處于IPv6 PIM-SM核心地位的RP交換機(jī)，對于指定源及指定組以外的REGISTER信息，直接發(fā)送REGISTER_STOP，而不允許建立表項(xiàng)。(該功能在IPv6 PIM-SM模塊中實(shí)現(xiàn))。

IPv6組播源控制的原理是指在組播數(shù)據(jù)源接入的設(shè)備上配置IPv6組播源訪問控制規(guī)則，并將規(guī)則下發(fā)到交換芯片。通過芯片使得指定的組播組的數(shù)據(jù)被轉(zhuǎn)發(fā)/不被轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)組播源安全可控。

如下圖所示，分別有兩個(gè)組播服務(wù)器發(fā)送IPv6組播數(shù)據(jù)(2011::1,ff1f::1)和(2012::1,ff2f::1),在S1上配置源受控并且設(shè)置規(guī)則permit組(2011::1,ff1f::1)和deny組(2012::1,ff2f::1),把規(guī)則棒頂?shù)缴嫌味丝谏希谙掠谓涌谏嫌锌蛻舳薈1點(diǎn)播這兩個(gè)組(2011::1,ff1f::1)和(2012::1,ff2f::1),發(fā)現(xiàn)只收到組(2011::1,ff1f::1)的流量，沒有收到組(2012::1,ff2f::1)的流量，因?yàn)樵摻M流量已經(jīng)在S1上被丟棄了；同理，由于在S2上配置了源受控并且設(shè)置規(guī)則deny組(2011::1,ff1f::1)和permit組(2012::1,ff2f::1)，并把規(guī)則綁定到上游端口上，在下游接口上有客戶端C2點(diǎn)播這兩個(gè)組，發(fā)現(xiàn)只收到組(2012::1,ff2f::1)。這里需要注意的是，全局起了IPv6源受控組播后，沒有其他配置情況下或在端口上配置了deny規(guī)則就會(huì)丟棄未知組播和已知組播，即在起了源受控后，只有在端口上配置規(guī)則允許該IPv6組進(jìn)入，才不會(huì)被丟棄，否則任何情況下，均丟棄。

IPv6組播目的受控

關(guān)于IPv6組播目的受控，是指對指定的組播接受者(或者說組播客戶端)按設(shè)定的規(guī)則進(jìn)行控制，允許或拒絕某組播接受者接收網(wǎng)絡(luò)中特定的組播數(shù)據(jù)，實(shí)現(xiàn)組播接收者可控。目的受控基于對用戶發(fā)出的MLD report報(bào)文的控制，因此進(jìn)行控制的模塊是MLD snooping和MLD模塊,其控制邏輯包括以下三種，實(shí)現(xiàn)指定的（VLAN,MAC）即根據(jù)發(fā)送報(bào)文的VLAN+MAC地址進(jìn)行控制、源IPv6地址即根據(jù)發(fā)送報(bào)文的源IPv6地址進(jìn)行控制和端口即根據(jù)報(bào)文進(jìn)入的端口進(jìn)行控制的用戶按規(guī)則進(jìn)行組播數(shù)據(jù)的接收。因?yàn)橹挥薪M播用戶發(fā)送加入報(bào)文才能加入組播組，接受組播流量。目的受控在MLD-SNOOPING和MLD中根據(jù)目的受控規(guī)則對受到的加入報(bào)文過濾，根據(jù)在設(shè)備上配置的目的受控訪問規(guī)則PERMIT或DENY加入報(bào)文。被DENY的加入報(bào)文因?yàn)椴荒芙⒈眄?xiàng)所以無法接受組播數(shù)據(jù)。其中MLD snooping可以同時(shí)使用上述三種方式進(jìn)行控制，而MLD模塊由于處于三層，僅針對發(fā)送報(bào)文的IPv6地址進(jìn)行控制。

IPv6組播目的受控示意圖：