将被拒绝的组播会话加入会话表

功能简介

可以为被拒绝的组播流量创建会话并纳入会话表中，使后续数据包能够直接匹配并丢弃，从而降低 CPU 使用率并提高性能。

config system setting
    set ses-denied-multicast-traffic {disable | enable}
end

值	描述
disable	不将被拒绝的组播会话添加到会话表中（默认，每次拒绝流量都会创建新的拒绝会话并立即删除）。
enable	将被拒绝的组播会话包含在会话表中（只创建一次拒绝流量的会话并保持在会话表中）。

配置示例

在此示例中，被拒绝的组播会话被包含在 VDOM 的会话表中。创建一条拒绝（deny）组播策略，然后发送命中该策略的数据包。检查组播会话列表可以看到被拒绝的组播会话已被创建。

1. 启用 ses-denied-multicast-traffic。

   config system setting
       set ses-denied-multicast-traffic enable
   end

2. 在组播策略表中创建拒绝策略。

   config firewall multicast-policy
       edit 1
           set name "Deny_Multicast_Policy"
           set srcintf "port1"
           set dstintf "port3"
           set srcaddr "172.16.200.0"
           set dstaddr "230.0.0.1"
           set action deny
           set logtraffic all
           set auto-asic-offload disable
       next
   end

3. 发送数据包命中拒绝策略后，检查组播会话列表。输出中显示的第二个会话为被拒绝的组播会话：

   FortiGate # diagnose sys mcast-session list
   
   session info: id=259 vf=1 proto=17 172.16.200.55.34896->230.0.0.10.7878
   used=2 path=1 duration=8 expire=174 indev=9 pkts=4 bytes=2160
   state=00000000:
   session-npu-info: ipid/vlifid=0/0 vlanid/vtag_in=0/0 in_npuid=0 tae_index=0 qid=0 fwd_map=0x00000000
   path: log npu-deny policy=2, outdev=11, tos=0xff
   
   session info: id=260 vf=1 proto=17 172.16.200.55.33488->230.0.0.1.7878
   used=2 path=0 duration=6 expire=177 indev=9 pkts=5 bytes=2700
   state=00000200: deny
   session-npu-info: ipid/vlifid=0/0 vlanid/vtag_in=0/0 in_npuid=0 tae_index=0 qid=0 fwd_map=0x00000000
   Total 2 sessions

4. 可以看到第二个会话的 state 字段标记为 deny，表示该组播会话已被策略拒绝并记录在会话表中，后续被拒绝的流量直接匹配该会话被丢弃，不需要重新建立拒绝会话。