IP : Protocolo IP multicast

Recomendações de filtragem do SA do Protocolo de descoberta de origem da multicast

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento descreve como configurar um conjunto padrão de regras de filtragem para mensagens ativas na fonte (SA) do protocolo de descoberta de origem multicast (MSDP). A Cisco recomenda enfaticamente estabelecer pelo menos estes três filtros ao conectar com a internet do IP multicast.

Nota: A informação neste documento aplica-se a todos os software release capazes atuais MSDP Cisco IOS�.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Descrição

As mensagens MSDP-SA contêm (fonte, informação do grupo (S, G)) para os pontos de reunião (RP) (chamados pares MSDP) em domínios do modo escasso da transmissão múltipla independente de protocolo (PIM-S). Esse mecanismo permite que os RPs aprendam sobre origens de transmissão múltipla em domínios PIM-SM remotos de modo que eles possam se unir a essas origens se houver receptores locais em seus próprios domínios. Você pode igualmente usar o MSDP entre RP múltiplos em um único domínio PIM-SM para instituir grupos de malhas msdp.

Com uma configuração padrão, o MSDP troca mensagens de SA sem as filtrar quanto a origem específica ou endereços de grupo.

Em geral, existem vários estados (S,G) em um domínio PIM-SM que devem permanecer no domínio PIM-SM, mas, devido à filtragem padrão, eles são transmitidos em mensagens SA aos correspondentes MSDP. Os exemplos deste incluem os aplicativos locais de domínio que usam endereços de multicast do IP global, e as fontes que usam endereços IP locais (tais como 10.x.y.z). No Internet do Multicast do IP nativo, este padrão conduz a excessivo (S, G) informação que está sendo compartilhada. Para melhorar escalabilidade de MSDP em IP nativo Multicast Internet, e para evitar global visibilidade de local do domínio (S, G) informação, nós recomendamos usar a seguinte configuração para reduzir a criação desnecessária, transmissão, e pôr em esconderijo de alguns destes origens locais do domínio conhecidos.

Configuração recomendada da lista de filtro

Cisco recomenda usar o seguinte filtro da configuração para domínios PIM-SM com um único RP para cada grupo (nenhum grupo de malhas msdp):

!
     
!--- Filter MSDP SA-messages.
     !--- Replicate the following two rules for every external MSDP peer.

     !
     ip msdp sa-filter in <peer_address> list 111
     ip msdp sa-filter out <peer_address> list 111
     ! 
     
!--- The redistribution rule is independent of peers.

     !
     ip msdp redistribute list 111
     !
     
!--- ACL to control SA-messages originated, forwarded.

     !
     
!--- Domain-local applications.

     access-list 111 deny   ip any host 224.0.2.2     ! 
     access-list 111 deny   ip any host 224.0.1.3     ! Rwhod
     access-list 111 deny   ip any host 224.0.1.24    ! Microsoft-ds 
     access-list 111 deny   ip any host 224.0.1.22    ! SVRLOC
     access-list 111 deny   ip any host 224.0.1.2     ! SGI-Dogfight
     access-list 111 deny   ip any host 224.0.1.35    ! SVRLOC-DA
     access-list 111 deny   ip any host 224.0.1.60    ! hp-device-disc
     
!--- Auto-RP groups.

     access-list 111 deny   ip any host 224.0.1.39   
     access-list 111 deny   ip any host 224.0.1.40
     
!--- Scoped groups.

     access-list 111 deny   ip any 239.0.0.0 0.255.255.255
     
!--- Loopback, private addresses (RFC 1918).

     access-list 111 deny   ip 10.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 127.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 172.16.0.0 0.15.255.255 any
     access-list 111 deny   ip 192.168.0.0 0.0.255.255 any
     
!--- Default SSM-range. Do not do MSDP in this range.

     access-list 111 deny   ip any 232.0.0.0 0.255.255.255
     access-list 111 permit ip any any
     !
     !

Explicação

No exemplo acima, a lista de acessos 111 (você pode usar todo o número) define a SA-informação do local do domínio. Isso inclui o estado (S,G) para grupos globais usados pelos aplicativos de domínio locais, os dois grupos auto-RP, grupos de escopo e estado (S,G) dos endereços IP locais.

Esta lista de filtro é aplicada de modo que o roteador local não aceite a SA-informação do local do domínio dos pares externos MSDP e os pares externos esse MSDP nunca obtenham à SA-informação ou à informação de local de domínio do roteador.

O comando ip msdp sa-filter in <peer_address> list 111 filtra a informação local dos mensagens SA recebidos do <peer_address> do par MSDP. Se você configura este comando em cada par externo MSDP, a seguir o roteador próprio não aceitará nenhuma informação de local de domínio fora do domínio.

O comando ip msdp sa-filter out <peer_address> list 111 filtra a informação de local de domínio dos anúncios SA enviados ao <peer_address> do par MSDP. Se você configura este comando em cada par externo MSDP, a seguir nenhuma informação de local de domínio está anunciada fora do domínio.

Nós incluímos o comando ip msdp redistribute list 111 para fornecer mais segurança. Impede que o roteador origine mensagens SA para o local do domínio (S, G) estado. Essa ação é independente da filtragem do envio de mensagens SA causadas pelo comando ip msdp sa-filter out.

Filtrando com grupos de malha MSDP

Se o domínio PIM-SM usa um grupo de malhas msdp, a seguir há pares internos do domínio MSDP. Para esta situação, a configuração descrita acima precisa de ser examinada mais.

Você deve aplicar as regras ip msdp sa-filter in e ip msdp sa-filter out somente para peers MSDP externos. Se você os aplica aos pares internos MSDP, toda a informação SA filtrada pela lista de acesso 111 não estará passada entre peeres internos, que quebra todo o aplicativo usando a fonte ou os endereços de grupo filtrada pela lista de acesso 111 (a menos que, como no caso dos grupos RP automáticos, os grupos usam o PIM-DM em vez do PIM-S).

Cisco recomenda não configurar o comando ip msdp redistribute list 111 porque impede que o RP origine mensagens SA para o local do domínio (S, G) estado. Esse comando interrompe qualquer aplicativo de domínio local que dependa dele. Como esse comando está incluso para aumentar a segurança, a sua remoção não alterará o modo como as mensagens são filtradas entre correspondentes MSDP externos.

Nota: Você deve consistentemente aplicar a filtração descrita aqui a todos os RP dentro do grupo de malhas msdp.

Referências

A documentação do MSDP no CCO descreve os comandos de MSDP.

Os comandos seguintes filtram mensagens SA:

  • sa-filtro do msdp IP no [route-map <map>] do [list <acl>] do <peer> - define que os mensagens SA recebidos dos pares MSDP são aceitados. À revelia, todos os mensagens SA estão aceitados se passam as verificações do encaminhamento de caminho reverso MSDP (RPF) esboçadas neste documento MSDP.

  • o msdp IP redistribui o [route-map <map>] do [asn <aspath-acl>] do [list <acl>] - Define para qual (S, G) informação o roteador local origina mensagens SA. À revelia, os mensagens SA são originados para todas as fontes que combinam um dos seguintes critérios:

    • Registro recebido.

    • Conectado diretamente.

    • Dados recebidos sobre, e RPF à fonte completamente, a mesma relação do Dense-mode-only.

      Nota: Quando uma destas regras é satisfeito, uma bandeira “A” está ajustada no (S, G) entrada que corresponde a essa fonte no Software Release 12.0(6) ou Mais Recente de Cisco IOS�.

  • IP do msdp do sa-filtro o [route-map <map>] do [list <acl>] do <peer> para fora - define que os mensagens SA que originaram localmente ou aceitado dos pares MSDP são encaminhados ao outro MSDP espreitam. À revelia, todos os mensagens SA local-originados e todos os mensagens SA recebidos e aceitados são enviados a outros pares MSDP.

Notas

Para minimizar a necessidade de atualizar continuamente a lista de filtro recomendada acima, os aplicativos locais de domínio devem sempre usar endereços de grupo no escopo ou endereços de origem privada à revelia. No limite de domínio, estes endereços são filtrados pelo filtragem de mensagem SA e por definições de limite do Multicast para os endereços de multicast no escopo.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 13717