IP : IP マルチキャスト

マルチキャスト発信元ディスカバリ プロトコルの SA フィルタの推奨事項

2005 年 8 月 10 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2005 年 8 月 10 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
説明
推奨フィルタ リストの設定
説明
MSDP メッシュグループによるフィルタリング
参考資料
注意
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Multicast Source Discovery Protocol(MSDP; マルチキャスト発信元ディスカバリ プロトコル)の Source-Active(SA)メッセージのための、フィルタリング規則の標準セットの設定方法を説明します。 シスコでは、ネイティブ IP マルチキャスト インターネットに接続する際には、最低限これらのフィルタを設定することを推奨しています。

注:このドキュメントの情報は、現在 MSDP を使用できるすべての Cisco IOS(R) ソフトウェア リリースに適用されます。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアおよびハードウェアのバージョンには限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

説明

MSDP-SA メッセージには、Protocol Independent Multicast Sparse-Mode(PIM-SM; Protocol Independent Multicast 希薄モード)ドメイン内の MSDP ピアと呼ばれるランデブー ポイント(RP)のための(発信元、グループ(S,G))情報が含まれています。 このメカニズムにより、RP はリモートの PIM-SM ドメインのマルチキャスト発信元を学習するので、自身のドメインにローカルな受信者が存在する場合、RP はこの発信元に参加できます。 1 つの PIM-SM ドメイン内の複数の RP 間で MSDP を使用して、MSDP メッシュグループを確立できます。

デフォルト設定では、MSDP は特定の発信元アドレスやグループ アドレスのためのフィルタリングを行わずに SA メッセージを交換します。

通常、PIM-SM ドメインにはそのドメイン内に留まる必要がある多様な(S,G)ステートがあります。しかし、デフォルトのフィルタリングでは、これが MSDP ピアへの SA メッセージに渡されます。 この例には、グローバル IP マルチキャスト アドレスを使用するドメイン ローカルなアプリケーション、および、10.x.y.z などのローカル IP アドレスを使用する発信元があります。 ネイティブ IP マルチキャスト インターネットでは、このデフォルトを使用すると(S,G)情報が過剰に共有されることになります。 ネイティブ IP マルチキャスト インターネットでの MSDP のスケーラビリティを改善し、ドメイン ローカルな(S,G)情報がグローバルに見えるのを防ぐために、次の設定を使用して、これらの周知のドメイン ローカルな発信元を不要に作成、転送、およびキャッシングすることを減らすよう推奨します。

推奨フィルタ リストの設定

シスコでは、すべてのグループ(非 MSDP メッシュグループ)に単一の RP を持つ PIM-SM ドメインには、次の設定フィルタの使用を推奨しています。

!
      
 !--- MSDP SA メッセージをフィルタリング。
      !--- 各外部 MSDP ピアに対して、次の 2 つの規則を複製。
 
      !
      ip msdp sa-filter in <peer_address> list 111
      ip msdp sa-filter out <peer_address> list 111
      ! 
      
 !--- 再配布規則はピアには依存しません。
 
      !
      ip msdp redistribute list 111
      !
      
 !--- 発信あるいは転送された SA メッセージを制御する ACL。
 
      !
      
 !--- ドメイン ローカルなアプリケーション。
 
      access-list 111 deny   ip any host 224.0.2.2     ! 
      access-list 111 deny   ip any host 224.0.1.3     ! Rwhod
      access-list 111 deny   ip any host 224.0.1.24    ! Microsoft-ds 
      access-list 111 deny   ip any host 224.0.1.22    ! SVRLOC
      access-list 111 deny   ip any host 224.0.1.2     ! SGI-Dogfight
      access-list 111 deny   ip any host 224.0.1.35    ! SVRLOC-DA
      access-list 111 deny   ip any host 224.0.1.60    ! hp-device-disc
      
 !--- 自動 RP グループ。
 
      access-list 111 deny   ip any host 224.0.1.39   
      access-list 111 deny   ip any host 224.0.1.40
      
 !--- スコーピングされたグループ。
 
      access-list 111 deny   ip any 239.0.0.0 0.255.255.255
      
 !--- ループバック、プライベート アドレス(RFC 1918)。
 
      access-list 111 deny   ip 10.0.0.0 0.255.255.255 any
      access-list 111 deny   ip 127.0.0.0 0.255.255.255 any
      access-list 111 deny   ip 172.16.0.0 0.15.255.255 any
      access-list 111 deny   ip 192.168.0.0 0.0.255.255 any
      
 !--- デフォルトの SSM 範囲。 この範囲では、MSDP を実行しないでください。
 
      access-list 111 deny   ip any 232.0.0.0 0.255.255.255
      access-list 111 permit ip any any
      !
      !

説明

上記の例では、アクセス リスト 111(番号は任意)では、ドメイン ローカルな SA 情報が定義されています。 これには、ドメイン ローカルなアプリケーションで使用されるグローバル グループの(S,G)ステート、2 つの自動 RP グループ、スコーピングされたグループ、および、ローカル IP アドレスからの(S,G)ステートが含まれています。

このフィルタ リストが適用されると、ローカル ルータは外部 MSDP ピアからのドメイン ローカルな SA 情報を受け付けず、外部 MSDP ピアはルータからの SA 情報またはドメイン ローカルな情報を受け付けません。

ip msdp sa-filter in <peer_address> list 111 コマンドにより、<peer_address> の MSDP ピアから受信した SA メッセージからのローカルな情報がフィルタリングされます。 このコマンドを各外部 MSDP ピアに設定すると、ルータ自体はそのドメインの外からのどのようなドメイン ローカルな情報も受け付けなくなります。

ip msdp sa-filter out <peer_address> list 111 コマンドにより、<peer_address> の MSDP ピアへ発信された SA アナウンスメントからのドメイン ローカルな情報がフィルタリングされます。 このコマンドを各外部 MSDP ピアに設定すると、ドメイン ローカルな情報がドメイン外にアナウンスされることがなくなります。

さらに安全のために、ip msdp redistribute list 111 コマンドを使用しています。 これにより、ルータがドメイン ローカルな(S,G)ステートに関する SA メッセージを作成するのを防ぎます。 このアクションは、発信 SA メッセージの ip msdp sa-filter out コマンドでのフィルタリングとは無関係です。

MSDP メッシュグループによるフィルタリング

PIM-SM ドメインで MSDP メッシュグループが使用されている場合、ドメイン内部の MSDP ピアが存在します。 この状況では、上記の設定にはさらに検証が必要です。

ip msdp sa-filter in および ip msdp sa-filter out 規則は外部 MSDP ピアだけに適用する必要があります。 これらのルールを内部 MSDP ピアに適用すると、アクセス リスト 111 でフィルタリングされたすべての SA 情報が内部ピア間で受け渡しされなくなるため、アクセス リスト 111 でフィルタリングされた発信元アドレスやグループ アドレスを使用するアプリケーションは正常に機能しなくなります。ただし、自動 RP グループの場合のように、そのグループで PIM-SM ではなく PIM-DM が使用されている場合は、この限りではありません。

シスコでは、ip msdp redistribute list 111 コマンドにより RP でのドメイン ローカルな(S,G)ステートに関する SA メッセージの作成が阻止されるために、このコマンドを設定しないことを推奨しています。 このコマンドを使用すると、この機能に依存しているドメイン ローカルなアプリケーションは、すべて正常に機能しなくなります。 このコマンドは安全性のために含まれているので、これを省いても外部 MSDP ピア間でのメッセージのフィルタリングには影響がありません。

注:ここで説明されているフィルタリングは、MSDP メッシュグループ内のすべての RP に常に適用する必要があります。

参考資料

MSDP コマンドは『Cisco.com の MSDP ドキュメント』で説明されています。

SA メッセージのフィルタリングには、次のコマンドがあります。

  • ip msdp sa-filter in <peer> [list <acl>] [route-map <map>] - このコマンドにより、MSDP ピアから受信したどの SA メッセージを受け付けるかが定義されます。 デフォルトでは、『MSDP ドキュメント』で概説されている MSDP Reverse Path Forwarding(RPF)チェックを通過した SA メッセージはすべて受け付けられます。

  • ip msdp redistribute [list <acl>] [asn <aspath-acl>] [route-map <map>] - このコマンドにより、どの(S,G)情報に関してローカル ルータで SA メッセージが作成されるかが定義されます。 デフォルトでは、次の基準のいずれかに該当するすべての発信元に関して SA メッセージが作成されます。

    • レジスタが受信されている。

    • 直接接続されている。

    • データの受信と、発信元への RPF が同一の稠密モード専用インターフェイスで行われている。

      注:Cisco IOS(R) ソフトウェア リリース 12.0(6) 以降のソースでは、上記のルールのいずれかに該当する場合、(S,G)エントリに「A」フラグが設定されます。

  • ip msdp sa-filter out <peer> [list <acl>] [route-map <map>] - このコマンドにより、ローカルに作成された、あるいは MSDP ピアから受信したどの SA メッセージを他の MSDP ピアに転送するかが定義されます。 デフォルトでは、ローカルに作成された SA メッセージ、および受信されて受け付けられた SA メッセージはすべて他の MSDP ピアに送られます。

注意

上記の推奨フィルタ リストの継続的なアップデートの必要性を最小化するために、ドメイン ローカルなアプリケーションでは、スコーピングされたグループ アドレスやプライベート発信元アドレスを常にデフォルトで使用する必要があります。 これらのアドレスは、ドメインの境界で、SA メッセージ フィルタリング、および、スコーピングされたマルチキャスト アドレスのためのマルチキャスト境界定義によりフィルタリングされます。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13717