IP : Protocole IP Multicast

Recommandations de filtre SA de protocole de découverte de source multidiffusion

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment configurer un ensemble standard de règles de filtrage pour les messages Source-actifs de Protocole MSDP (Multicast Source Discovery Protocol) (SA). Cisco recommande fortement établir au moins ces filtres en connectant au Protocole IP Multicast l'Internet indigène.

Remarque: Les informations dans ce document appliquent à toutes les versions logicielles capables de ½ du ¿  de Cisco IOSï de MSDP en cours.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Description

Les messages MSDP-SA contiennent (source, les informations de groupe (S, G)) pour point de rendez-vous (RPS) (appelée les pairs de MSDP) dans des domaines de Protocol Independent Multicast Sparse Mode (PIM-SM). Ce mécanisme permet à la RPS pour se renseigner sur des sources multicasts dans les domaines distants de PIM-SM de sorte qu'ils puissent joindre sources s'il y a les récepteurs locaux dans leur propre domaine. Vous pouvez également employer le MSDP entre la RPS de multiple dans un domaine simple de PIM-SM pour établir des maille-groupes de MSDP.

Avec une configuration par défaut, le MSDP permute des messages SA sans les filtrer pour la source ou les adresses de groupe spécifique.

Typiquement, il y a un certain nombre (S, G) des états dans un domaine de PIM-SM qui devrait rester dans le domaine de PIM-SM, mais, devant transférer le filtrage, eux obtiennent passé dans des messages SA aux pairs de MSDP. Les exemples de ceci incluent les applications locales de domaine qui utilisent des adresses globales de Protocole IP Multicast, et les sources qui utilisent les adresses IP locales (telles que 10.x.y.z). En Internet indigène de Protocole IP Multicast, ce par défaut mène à excessif (S, G) les informations étant partagées. Pour améliorer l'évolutivité du MSDP en Internet indigène de Protocole IP Multicast, et éviter la visibilité globale des gens du pays de domaine (S, G) les informations, nous recommandons utilisant la configuration suivante de réduire la création, l'expédition, et la mise en cache inutiles de certaines de ces sources réputées de gens du pays de domaine.

Configuration recommandée de liste de filtre

Cisco recommande utilisant le filtre suivant de configuration pour des domaines de PIM-SM avec un RP simple pour chaque groupe (aucun maille-groupe de MSDP) :

!
     
!--- Filter MSDP SA-messages.
     !--- Replicate the following two rules for every external MSDP peer.

     !
     ip msdp sa-filter in <peer_address> list 111
     ip msdp sa-filter out <peer_address> list 111
     ! 
     
!--- The redistribution rule is independent of peers.

     !
     ip msdp redistribute list 111
     !
     
!--- ACL to control SA-messages originated, forwarded.

     !
     
!--- Domain-local applications.

     access-list 111 deny   ip any host 224.0.2.2     ! 
     access-list 111 deny   ip any host 224.0.1.3     ! Rwhod
     access-list 111 deny   ip any host 224.0.1.24    ! Microsoft-ds 
     access-list 111 deny   ip any host 224.0.1.22    ! SVRLOC
     access-list 111 deny   ip any host 224.0.1.2     ! SGI-Dogfight
     access-list 111 deny   ip any host 224.0.1.35    ! SVRLOC-DA
     access-list 111 deny   ip any host 224.0.1.60    ! hp-device-disc
     
!--- Auto-RP groups.

     access-list 111 deny   ip any host 224.0.1.39   
     access-list 111 deny   ip any host 224.0.1.40
     
!--- Scoped groups.

     access-list 111 deny   ip any 239.0.0.0 0.255.255.255
     
!--- Loopback, private addresses (RFC 1918).

     access-list 111 deny   ip 10.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 127.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 172.16.0.0 0.15.255.255 any
     access-list 111 deny   ip 192.168.0.0 0.0.255.255 any
     
!--- Default SSM-range. Do not do MSDP in this range.

     access-list 111 deny   ip any 232.0.0.0 0.255.255.255
     access-list 111 permit ip any any
     !
     !

Explication

Dans l'exemple ci-dessus, la liste d'accès 111 (vous pouvez utiliser tout nombre) définit les SA-informations de gens du pays de domaine. Ceci inclut (S, G) état pour les groupes globaux utilisés par des applications locales de domaine, les deux groupes d'auto-RP, les groupes scoped, et (S, G) état des adresses IP locales.

Cette liste de filtre est appliquée de sorte que le routeur local ne reçoive pas les SA-informations de domaine-gens du pays des pairs externes de MSDP et les pairs externes de ce MSDP n'obtiennent jamais les informations locales des SA-informations ou de domaine du routeur.

Les informations locales de filtres de commande de la liste 111 de <peer_address> d'ip msdp sa-filter in des messages SA reçus du <peer_address> de pair de MSDP. Si vous configurez cette commande sur chaque pair externe de MSDP, alors le routeur lui-même ne recevra aucune informations locale de domaine de l'extérieur du domaine.

Les informations locales de domaine de filtres de commande de la liste 111 de <peer_address> d'ip msdp sa-filter out des annonces SA ont envoyé au <peer_address> de pair de MSDP. Si vous configurez cette commande sur chaque pair externe de MSDP, alors aucune informations locale de domaine n'est annoncée en dehors du domaine.

Nous avons inclus la commande de la liste 111 d'ip msdp redistribute pour la sécurité ajoutée. Il empêche le routeur de lancer des messages SA pour les gens du pays de domaine (S, G) état. Cette action est indépendant du filtrage des messages envoyés SA provoqués par la commande d'ip msdp sa-filter out.

Filtrage avec des Maille-groupes de MSDP

Si le domaine de PIM-SM utilise un maille-groupe de MSDP, alors il y a les pairs internes de MSDP de domaine. Pour cette situation, la configuration décrite ci-dessus doit être examinée plus plus loin.

Vous devriez appliquer l'ip msdp sa-filter in et les règles d'ip msdp sa-filter out au MSDP externe scrute seulement. Si vous les appliquez aux pairs internes de MSDP, toutes les informations SA filtrées par la liste d'accès 111 ne seront pas passées entre les homologues internes, qui casse n'importe quelle application utilisant la source ou les adresses de groupe filtrées par la liste d'accès 111 (à moins que, comme dans le cas des groupes d'auto-RP, les groupes utilisent le PIM-DM au lieu du PIM-SM).

Cisco recommande ne pas configurer l'ip msdp redistribute répertorient la commande 111 parce qu'elle empêche le RP de lancer des messages SA pour les gens du pays de domaine (S, G) état. Cette commande casse n'importe quelle application locale de domaine qui dépend de elle. Puisque cette commande est incluse pour la sécurité ajoutée, l'enlever ne changera pas comment des messages sont filtrés entre les pairs externes de MSDP.

Remarque: Vous devriez uniformément s'appliquer le filtrage décrit ici à toute la RPS dans le maille-groupe de MSDP.

Références

La documentation de MSDP sur CCO décrit des commandes de MSDP.

Les messages suivants de filtre SA de commandes :

  • le <peer> d'ip msdp sa-filter in [<acl> de liste] [<map> de route-map] - définit que des messages SA reçus des pairs de MSDP sont reçu. Par défaut, tous les messages SA sont reçus s'ils passent les contrôles du Reverse Path Forwarding de MSDP (RPF) tracés les grandes lignes dans ce document de MSDP.

  • ip msdp redistribute [<acl> de liste] [<aspath-acl> d'asn] [<map> de route-map] - définit pour quel (S, G) les informations le routeur local lance des messages SA. Par défaut, des messages SA sont lancés pour toutes les sources qui apparient un des critères suivants :

    • Registre reçu.

    • Directement connecté.

    • Données reçues en fonction, et RPF à la source, la même interface réservée dense.

      Remarque: Quand une de ces règles est satisfaite, un indicateur « A » est placé sur (S, G) entrée correspondant à cette version de logiciel 12.0(6) ou ultérieures de ½ de ¿  de Cisco IOSï de source in.

  • le <peer> d'ip msdp sa-filter out [<acl> de liste] [<map> de route-map] - définit que des messages SA qui ont commencé localement ou reçu des pairs de MSDP sont expédié à l'autre MSDP scrute. Par défaut, tous les messages local-d'origine SA et tous les messages reçus et reçus SA sont envoyés à d'autres pairs de MSDP.

Notes

Pour réduire la nécessité de mettre à jour continuellement la liste de filtre recommandée ci-dessus, les applications locales de domaine devraient toujours utiliser les adresses de groupe scoped ou les adresses sources privées par défaut. Sur la borne de domaine, ces adresses sont filtrées par le SA-message filtrant et par des définitions de borne de Multidiffusion pour les adresses de multidiffusion scoped.


Informations connexes


Document ID: 13717