Todos os endereços IPv6, até os locais de link, assinam automaticamente um grupo de multicast com base em seus últimos 24 bits. Se o rastreamento multicast estiver habilitado, a bridge filtra (quase) todo o tráfego multicast por padrão. Quando um endereço IPv6 é atribuído a uma interface, o sistema deve informar à rede que essa interface está interessada nesse grupo de difusão seletiva específico e deve ser excluída pelo filtro. Segue-se um bom vídeo introdutório: link
A espionagem multicast está presente para evitar inundações na rede com pacotes multicast que a maioria dos sistemas não está interessada. Você pode desabilitar o rastreamento multicast em pequenas implantações sem notar nenhuma grande diferença. Mas isso pode ter um impacto significativo no desempenho em implantações maiores.
Você pode desativar a espionagem com:
echo -n 0 > /sys/class/net/<brif>/bridge/multicast_snooping
Se você deseja proteger suas VMs contra tráfego indesejado e processamento de pacotes desnecessário, pode deixar a detecção ativada, mas também habilitar um Consultor multicast na rede. Um Querier periodicamente transmitirá pacotes de consulta e atualizará os filtros de rastreamento em switches e pontes. É possível ativar um Consultor no seu sistema com:
echo -n 1 > /sys/class/net/<brif>/bridge/multicast_querier
Se você tiver snooping ativado, você também deve ter um querier na rede.
Não há necessidade de ativar o STP. É provavelmente mais seguro desativá-lo, a menos que você saiba que está conectando segmentos que resultam em caminhos circulares. Também é irrelevante se você tiver o SLAAC ativado (por exemplo, autoconf=1
, accept_ra=1
). Ativar o modo PROMISC na bridge desativa implicitamente a snooping.
Aqui está um bom resumo dos modernos desafios do IPv6 Neighbor Discovery (ND) e MLD (Multicast Listener Discovery) .