セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA マルチキャスト トラブルシューティングと一般的な問題

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2013 年 6 月 28 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、適応型セキュリティ アプライアンス(ASA)のマルチキャスト機能について、およびこの機能を使用する際に発生する可能性のある問題について説明します。

注: 担当者、Jay Johnston、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • ASA マルチキャスト

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

機能情報

『ASA コマンド ライン コンフィギュレーション ガイド』では、マルチキャストルーティング機能とその設定方法について説明しています。

http://www.cisco.com/en/US/docs/security/asa/asa90/configuration/guide/route_multicast.html

ASA のマルチキャストは次の 2 つのモードのいずれかに設定できます。

  • PIM スパースモード(推奨)

  • IGMP スタブモード(インターネット グループ管理プロトコル、RFC 2236 IGMPv2)

ネイバーとの ASA 通信に真のマルチキャスト ルーティング プロトコル(PIM)が使用されるため、PIM スパースモードを推奨します。 IGMP スタブモードは、ASA バージョン 7.0 がリリースされる以前には唯一のマルチキャスト設定オプションでしたが、単純にクライアントから受信した IGMP レポートをアップストリーム ルータに向けて転送することで動作します。

PIM スパースモードの動作

  • ASA は PIM スパースモードと PIM 双方向モードをサポートします。

  • PIM スパースモードと IGMP スタブモードのコマンドは同時に設定できません。

  • PIM スパースモードでは、すべてのマルチキャスト トラフィックは最初にランデブー ポイント(RP)に送られ、そこから受信者に向けて転送されます。 しばらくするとマルチキャスト フローは送信元から受信者に直接送られるようになります(RP をバイパスします)。

次の図は、ASA の一方のインターフェイスにマルチキャスト クライアントがあり、別のインターフェイスに PIM ネイバーがある、一般的な配置を示しています。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115804-asa-multi-probs-01.gif

PIM スパース モードのサンプル コンフィギュレーション

次の手順を実行します。

  1. マルチキャスト ルーティングをイネーブルにします(グローバル コンフィギュレーション モード)。

    ASA(config)# multicast-routing
  2. PIM ランデブー ポイントのアドレスを定義します。

    ASA(config)# pim rp-address 172.18.123.3
  3. 適切なインターフェイスでマルチキャスト パケットの着信を許可します(ASA のセキュリティ ポリシーによってマルチキャスト パケットの着信がブロックされている場合にのみ必要です)。

    access-list 105 extended permit ip any host 224.1.2.3
    access-group 105 in interface outside

IGMP スタブモードの動作

  • IGMP スタブモードでは、ASA はマルチキャスト クライアントとして動作し、IGMP レポート(別名 IGMP「join」)を隣接ルータに向けて生成または転送し、マルチキャスト トラフィックの受信をトリガーします。

  • ルータはホストに対して定期的にクエリを送信し、ネットワーク上のいずれかのノードがマルチキャスト トラフィックの受信を継続して求めているか確認します。

  • PIM スパースモードの方がスタブモードよりも多くの利点を提供するため(より効率的なマルチキャスト トラフィック フロー、PIM への参加機能など)、IGMP スタブモードは推奨されません。

次の図は、IGMP スタブモードが設定された ASA の基本的な動作を示しています。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115804-asa-multi-probs-02.gif

IGMP スタブモードのコンフィギュレーション

次の手順を実行します。

  1. マルチキャスト ルーティングをイネーブルにします(グローバル コンフィギュレーション モード)。

    ASA(config)# multicast-routing
  2. igmp レポートを受信するインターフェイスで igmp forward-interface コマンドを設定します。 このパケットをこのインターフェイスからストリームの送信元へ転送します。 次の例では、マルチキャストの受信者は内側のインターフェイスに直接接続されており、マルチキャストの送信元は外側のインターフェイスの先にあります。

    !
    interface Ethernet0
     nameif outside
     security-level 0
     ip address 172.16.1.1 255.255.255.0
     no pim
    !
    interface Ethernet1
     nameif inside
     security-level 100
     ip address 10.0.0.1 255.255.255.0
     no pim
     igmp forward interface outside
    !
  3. 適切なインターフェイスでマルチキャスト パケットの着信を許可します(ASA のセキュリティ ポリシーによってマルチキャスト トラフィックの着信が拒否されている場合にのみ必要です)。

    access-list 105 extended permit ip any host 224.1.2.3
    access-group 105 in interface outside

    さまざまな igmp interface sub-mode コマンドがあり混乱しがちなため、各コマンドを使用する場面について次の図で説明します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115804-asa-multi-probs-03.gif

トラブルシューティング方法

マルチキャストの問題をトラブルシューティングするときに収集する情報

ASA のマルチキャスト転送の問題を十分に理解して診断するには、次のいくつかまたはすべての情報が必要です。

  • マルチキャストの送信元、受信者、ランデブー ポイントの場所を含むネットワーク トポロジの説明。

  • トラフィックで使用されている具体的なグループ IP アドレス、および使用されているポートとプロトコル。

  • マルチキャスト ストリームに問題が起きたときに ASA によって生成された syslog。

  • ASA のコマンドライン インターフェイスでの次を含む特定の show コマンドの出力。

    show mroute
    show mfib
    show pim neighbor
    show route
    show tech-support
  • マルチキャスト データが ASA に届いたかどうか、パケットが ASA を介して転送されたかどうかを示すパケット キャプチャ。

  • IGMP や PIM パケットを示すパケット キャプチャ。

  • 隣接するマルチキャスト デバイス(ルータ)の ‘show mroute’ や ‘show mfib’ などの情報。

  • ASA がマルチキャスト パケットをドロップしているかどうかを判断するためのパケット キャプチャまたは show コマンド。 'show asp drop' コマンドで ASA がパケットをドロップしているかどうかの判断ができます。 また、'asp-drop' タイプのパケット キャプチャは ASA がドロップするすべてのパケットのキャプチャに使用でき、後でドロップ キャプチャにマルチキャスト パケットが含まれているか確認できます。

役に立つ show コマンドの出力

show mroute コマンドの出力は、さまざまなグループ情報と転送情報を表示し、IOS の show mroute コマンドとよく似ています。 show mfib コマンドは、さまざまなマルチキャスト グループの転送ステータスを表示します。 特に Forwarding パケット カウンタと Other(ドロップを示す)を確認することが重要です。

ciscoasa# show mfib
Entry Flags: C - Directly Connected, S - Signal, IA - Inherit A flag,
             AR - Activity Required, K - Keepalive
Forwarding Counts: Pkt Count/Pkts per second/Avg Pkt Size/Kbits per second
Other counts: Total/RPF failed/Other drops
Interface Flags: A - Accept, F - Forward, NS - Negate Signalling 
             IC - Internal Copy, NP - Not platform switched
             SP - Signal Present
Interface Counts: FS Pkt Count/PS Pkt Count
(*,224.1.2.3) Flags: S K
   Forwarding: 0/0/0/0, Other: 0/0/0
   inside Flags: F
     Pkts: 0/0
(192.168.1.100,224.1.2.3) Flags: K
   Forwarding: 6749/18/1300/182, Other: 690/0/690
   outside Flags: A
   inside Flags: F
     Pkts: 6619/8
(*,232.0.0.0/8) Flags: K
   Forwarding: 0/0/0/0, Other: 0/0/0
ciscoasa# 

clear mfib counters コマンドはカウンタのクリアに使用でき、テスト中は非常に役に立ちます。

ciscoasa# clear mfib counters
ciscoasa#

マルチキャスト トラフィックのキャプチャにパケット キャプチャを使用する

ASA のオンボード パケット キャプチャ ユーティリティはマルチキャストの問題のトラブルシューティングにとても役立ちます。 次の例では、ASA の DMZ インターフェイスに届いた宛先が 239.17.17.17 のすべてのパケットがキャプチャされます。

ciscoasa# capture dmzcap interface dmz 
ciscoasa# capture dmzcap match ip any host 239.17.17.17
ciscoasa# show cap dmzcap

324 packets captured

   1: 17:13:30.976618       802.1Q vlan#301 P0 10.1.123.129.2000 > 239.17.17.17.16384:
  udp 172 
   2: 17:13:30.976679       802.1Q vlan#301 P0 10.1.123.129.2000 > 239.17.17.17.16384:
  udp 172 
   3: 17:13:30.996606       802.1Q vlan#301 P0 10.1.123.129.2000 > 239.17.17.17.16384:
  udp 172 
   4: 17:13:30.996652       802.1Q vlan#301 P0 10.1.123.129.2000 > 239.17.17.17.16384:
  udp 172 
   5: 17:13:31.016676       802.1Q vlan#301 P0 10.1.123.129.2000 > 239.17.17.17.16384:
  udp 172 
   6: 17:13:31.016722       802.1Q vlan#301 P0 10.1.123.129.2000 > 239.17.17.17.16384:
  udp 172 
....

パケット キャプチャは PIM および IGMP トラフィックのキャプチャにも役立ちます。 次のキャプチャは、内側のインターフェイスで受信した送信元が 10.0.0.2 の IGMP パケット(IP プロトコル 2)を表示します。

ciscoasa# capture capin interface inside
ciscoasa# capture capin match igmp any any
ciscoasa# show cap capin
1 packets captured
1: 10:47:53.540346 802.1Q vlan#15 P0 10.0.0.2 > 224.1.2.3:
  ip-proto-2, length 8
ciscoasa#

ASA PIM スパース モード マルチキャストの導入例

次の図は PIM スパース モードでマルチキャスト トラフィックを流すために、ASA がネイバー デバイスと相互対話する方法を示しています。 この具体例では ASA が受信します。

ネットワーク トポロジの理解

テストする特定のマルチキャスト ストリームの送信元と受信者が存在する場所を正確に決定します。 また、使用するマルチキャスト グループ IP アドレスとランデブー ポイントの場所を決定します。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115804-asa-multi-probs-04.gif

この例では、ASA の外側のインターフェイスでデータが受信され、内側のインターフェイスのマルチキャスト受信者に転送されます。 受信者は ASA の内側のインターフェイスと同じ IP サブネット内にあるため、クライアントがストリームの受信を要求したときに ASA の内側のインターフェイスで IGMP レポートを受信することが予想されます。 送信元の IP アドレスは 192.168.1.50 です。

ASA が受信者からの IGMP レポートを受信することの確認

この例では、IGMP レポートは受信者によって生成され、ASA によって処理されます。

パケット キャプチャと debug igmp の出力を使用して、ASA が IGMP メッセージを受信して正常に処理したことを確認できます。

ASA が PIM join メッセージをランデブー ポイントに向けて送信することの確認

ASA は IGMP レポートを解釈して PIM join メッセージを生成し、それをインターフェイスから RP に向けて送信します。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115804-asa-multi-probs-05.gif

次の出力は debug pim group 224.1.2.3 によるもので、ASA が正常に PIM join メッセージを送信していることを示しています。 マルチキャスト ストリームの送信元は 192.168.1.50 です。

IPv4 PIM: (*,224.1.2.3) J/P processing
IPv4 PIM: (*,224.1.2.3) Periodic J/P scheduled in 50 secs
IPv4 PIM: (*,224.1.2.3) J/P adding Join on outside
IPv4 PIM: (*,224.1.2.3) inside Processing timers
IPv4 PIM: Sending J/P message for neighbor 10.2.3.2 on outside for 1 groups
IPv4 PIM: [0] (192.168.1.50,224.1.2.3/32) MRIB update (a=0,f=0,t=1)
IPv4 PIM: [0] (192.168.1.50,224.1.2.3/32) outside MRIB update (f=20,c=20)
IPv4 PIM: [0] (192.168.1.50,224.1.2.3) Signal present on outside
IPv4 PIM: (192.168.1.50,224.1.2.3) Create entry
IPv4 PIM: [0] (192.168.1.50,224.1.2.3/32) outside MRIB modify NS
IPv4 PIM: Adding monitor for 192.168.1.5

ASA がマルチキャスト ストリームを受信して転送することの確認

ASA は外側のインターフェイスでマルチキャスト トラフィックの受信を開始し(緑色の矢印で図示)、それを内側の受信者に転送します。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115804-asa-multi-probs-06.gif

show mroute コマンドと show mfib コマンド、およびパケット キャプチャを使用して、ASA がマルチキャスト パケットを受信して転送することを確認できます。

ASA の接続テーブルに接続が作成され、マルチキャスト ストリームが示されます。

ciscoasa# show conn
59 in use, 29089 most used
...
UDP outside:192.168.1.50/52075 inside:224.1.2.3/1234 flags -
...

データ分析

一般的な問題

このセクションでは、ネットワーク管理者が過去に経験した実際の ASA マルチキャスト関連の一連の問題について説明します。

HSRP が原因で ASA がアップストリーム ルータ向けの PIM メッセージの送信に失敗する

この問題が発生すると、ASA はインターフェイスからの PIM メッセージのすべての送信に失敗します。 次の図は、ASA が送信元に向けて PIM メッセージを送信できないことを示しますが、ASA が RP に向けて PIM メッセージを送信する必要がある場合にも同じ問題が見られます。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115804-asa-multi-probs-07.gif

debug pim の出力は、ASA が PIM メッセージをアップストリームのネクストホップ ルータに送信できないことを示しています。

IPv4 PIM: Sending J/P to an invalid neighbor: outside 10.0.0.1

この問題は ASA 固有のものではなく、ルータにも影響します。 この問題は ASA のルーティング テーブル設定と、PIM ネイバーによって使用される HSRP 設定の組み合わせによって発生します。

ASA のルーティング テーブルではネクストホップ デバイスとして HSRP IP 10.0.0.1 を指定しています。

ciscoasa# sh run route
route outside 0.0.0.0 0.0.0.0 10.0.0.1 1

しかし、PIM のネイバー関係は、HSRP IP ではなく、ルータの物理インターフェイス IP アドレスとの間で形成されています。

ciscoasa# sh pim neighbor
Neighbor Address  Interface          Uptime    Expires DR pri Bidir
10.0.0.2          outside            01:18:27  00:01:25 1 
10.0.0.3          outside            01:18:03  00:01:29 1 (DR)

なぜ PIM 希薄モードが HSRP アドレスにスタティック ルートを使用しないか参照して下さいか。 参照してください。

ドキュメントの抜粋を次に示します。

「ルータから Join/Prune メッセージが送信されないのは、なぜでしょうか。 RFC 2362 には「ルータは、(S,G)、(*,G)、および (*,*,RP) の各エントリに関連付けられた明確な RPF ネイバーに対して、定期的に Join/Prune メッセージを送信する。 Join/Pruneメッセージは、RPFネイバーがPIMネイバーである場合にのみ送信される」と定義されています。

この問題を回避するには、問題のトラフィックに対して ASA でスタティックな mroute エントリを追加します。 ルータの 2 つのインターフェイスの IP アドレスのいずれ 1 つ(上の例では 10.0.0.2 または 10.0.0.3)を指すように注意します。 この例では、次のコマンドによって ASA が 172.16.1.2 のマルチキャストの送信元に向けて PIM メッセージを送信できます。

ciscoasa(config)# mroute 172.16.1.2 255.255.255.255 10.0.0.3

これが実行されると、マルチキャスト ルーティング テーブルによって ASA のユニキャスト ルーティング テーブルが上書きされ、ASA は PIM メッセージをネイバーの 10.0.0.3 に直接送信します。

ASA が LAN セグメント上の指定ルータでないため ASA が IGMP レポートを無視する

この問題では ASA は直接接続されたマルチキャスト受信者から IGMP レポートを受信しますが、それを無視します。 デバッグ出力は生成されず、パケットは単にドロップされ、ストリームの受信は失敗します。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/115804-asa-multi-probs-08.gif

この問題では、ASA はクライアントが存在する LAN セグメント上の PIM の選出された指定ルータではないため、ASA はパケットを無視しています。

次の ASA CLI 出力では、別のデバイスが内側インターフェイスのネットワークの指定ルータ(「DR」で示されます)であることが表示されています。

ciscoasa#show pim neighbor

 Neighbor Address  Interface          Uptime    Expires DR pri Bidir
 192.168.1.2       outside      	   01:18:27  00:01:25 N/A> 
 10.0.0.2          inside              01:18:03  00:01:29 1 (DR)

デフォルトでは、multicast-routing コマンドが ASA のコンフィギュレーションに追加されたときに、すべての ASA インターフェイスで PIM が有効になります。 ASA の内側のインターフェイス(クライアントが存在する場所)に別の PIM ネイバー(別のルータまたは ASA)があり、それらのネイバーの 1 つがそのセグメントの DR として選出された場合、それ以外の DR ではないルータは IGMP レポートをドロップします。 解決方法は、ASA のインターフェイスで PIM をディセーブルにする(そのインターフェイスで no pim コマンドを実行する)か、pim dr-priority interface コマンドを使用して ASA をそのセグメントの DR にします。

ASA が 232.x.x.x/8 の範囲のマルチキャスト トラフィックの転送に失敗する

このアドレス範囲は、ASA で現在サポートされていない Source Specific Multicast(SSM)で使用されます。

debug igmp の出力は次のエラーを表示します。

IGMP: Exclude report on inside ignored for SSM group 232.179.89.253

リバース パス転送のチェックによって ASA がマルチキャスト パケットをドロップする

この場合、ASA はインターフェイスでマルチキャスト トラフィックを受信しますが、受信者には転送されません。 パケットがリバース パス転送(RPF)のセキュリティ チェックに失敗したため、ASA によってパケットがドロップされます。 RPF はすべてのインターフェイスでマルチキャスト トラフィックに対して有効であり、無効にはできません(ユニキャスト パケットに対してはこのチェックはデフォルトではオフで、ip verify reverse-path interface コマンドによって有効になります)。

ASA は、マルチキャスト トラフィックをインターフェイスで受信したときに、RPF チェックによってそのインターフェイス上でマルチキャスト トラフィックの送信元へ戻るルートが存在するかどうかを確認します(ユニキャストとマルチキャストのルーティング テーブルを確認します)。 送信元へのルートがない場合はパケットをドロップします。 このドロップは show asp drop の出力でカウンタとして表示されます。

ciscoasa(config)# show asp drop

Frame drop:
  Invalid UDP Length                                          2
  No valid adjacency                                         36
  No route to host                                         4469
  Reverse-path verify failed                      121012

この問題はトラフィックの送信元用に特定のマルチキャスト ルーティング テーブルのエントリを ASA に追加することで回避できます。 次の例では mroute コマンドを使用して、172.16.1.2 から送信され外側のインターフェイスで受信されるマルチキャスト トラフィックの RPF チェックを満たしています。

ciscoasa(config)# mroute 172.16.1.2 255.255.255.255 outside

送信元ツリーへの PIM スイッチオーバーの際に ASA が PIM join を生成しない

当初、PIM スパースモードのマルチキャスト パケットは、マルチキャストの送信元から RP に送られ、RP から共有マルチキャスト ツリー経由で受信者に送られます。 集約ビット レートが一定のしきい値に達すると、マルチキャスト受信者に最も近いルータが送信元ツリー経由のトラフィックの受信を試みます。 このルータはそのグループ用の新しい PIM join を生成し、それをマルチキャスト ストリームの送信元に向けて送信します(前記の RP に向けてではありません)。

ネットワーク トポロジによっては、マルチキャスト トラフィックの送信元は RP とは別の ASA のインターフェイスに存在する場合があります。 ASA が送信元ツリーへスイッチする PIM join を受信したときに、ASA は送信元の IP アドレスへのルートを知っている必要があります。 このルートが見つからない場合、PIM join パケットはドロップされ、debug pim の出力に次のメッセージが表示されます。

NO RPF Neighbor to send J/P

この問題の解決方法は、送信元が存在する ASA のインターフェイスを指すように、ストリームの送信元へのスタティックな mroute エントリを追加することです。

Time To Live(TTL)を超えたたため、ASA がマルチキャスト パケットをドロップする

この場合、マルチキャスト トラフィックが失われるのは、パケットの TTL が小さすぎるためです。 これにより ASA またはネットワークの他のデバイスがパケットをドロップします。

多くの場合、マルチキャスト パケットの IP TTL は、それを送信するアプリケーションによって非常に小さい値に設定されます。 マルチキャスト トラフィックがネットワーク経由で遠くまで運ばれることがないように、デフォルトでこのように設定されている場合があります。 たとえば、Video LAN Client アプリケーション(一般的なマルチキャスト トランスミッタおよびテスト ツール)は、デフォルトで IP パケットの TTL を 1 に設定します。

特定のマルチキャスト トポロジが原因で ASA の CPU 使用率が高くなってパケットをドロップする

マルチキャスト トポロジに関して次のすべてが成り立つ場合に、ASA の CPU 使用率が高くなり、マルチキャスト ストリームのパケット ドロップが発生する場合があります。

  1. ASA が RP として機能しています。

  2. ASA はマルチキャスト ストリームのファースト ホップの受信者です。 これは、マルチキャストの送信元が ASA のインターフェイスと同じ IP サブネットに存在することを意味します。

  3. ASA はマルチキャスト ストリームの最後のホップのルータです。 これは、マルチキャストの受信者が ASA のインターフェイスと同じ IP サブネットに存在することを意味します。

上記のすべてが正しい場合、設計上の制限により ASA はマルチキャスト トラフィックのスイッチ処理を実行します。 この結果、高いデータ レートのマルチキャスト ストリームでパケット ドロップが発生します。 これらのパケットがドロップしたときに増加する show asp drop のカウンタは punt-rate-limit です。

ASA でこの問題が発生しているか判断するには、次の手順を実施します。

ステップ 1: 次の 2 つのコマンドを使用して ASA が RP であるか確認します。

show run pim
show pim tunnel

ステップ 2: 次のコマンドを使用して ASA が最後のホップのルータであるか確認します。

show igmp group <mcast_group_IP>

ステップ 3: 次のコマンドを使用して ASA がファースト ホップ ルータであるか確認します。

show mroute <mcast_group_IP>

マルチキャスト受信者の切断によって他のインターフェイスのマルチキャスト グループの受信が中断する

ASA が IGMP スタブモードで動作している場合にのみ、この問題が発生します。 PIM マルチキャスト ルーティングに参加している ASA には影響がありません。

この問題はバグ CSCeg48235 として識別されています(『IGMP: グループ受信者の中止によって他のインターフェイスのグループ受信が中断する』)。

次に、この問題について説明しているバグのリリース ノートを示します。

Symptom:
When a PIX or ASA firewall is configured for IGMP stub mode multicast reception and 
traffic from a multicast group is forwarded to more than one interface, if a host 
behind a receiving interface sends an IGMP Leave message for the group, it could 
temporarily interrupt the reception for that group on other interfaces of the firewall.

The problem is triggered when the firewall forwards the IGMP leave for the group 
towards the upstream device; that device then sends a IGMP query to determine if any 
other receivers exist out that interface towards the firewall, but the firewall does 
not report that it still has valid receivers.

Conditions:
The PIX or ASA must be configured for IGMP stub mode multicast. IGMP stub mode is a 
legacy multicast forwarding technique, whereby IGMP packets from receivers are forwarded 
through the firewall towards the source of the stream. It is recommended to use PIM 
multicast routing instead of stub igmp forwarding.

Workarounds:
1) Use PIM multicast routing instead of IGMP stub mode.
2) Decrease multicast IGMP query timers so that the receivers are queried more frequently, 
causing their IGMP reports to be forwarded towards the sender more frequently, thus 
restarting the stream quicker.

発信アクセスリストのセキュリティ ポリシーによって ASA がマルチキャスト パケットをドロップする

この特定の問題については、(設定されたセキュリティ ポリシーに従って)ASA は正しくマルチキャスト パケットをドロップしています。 しかし、ネットワーク管理者にとってはパケットがドロップする理由を特定することが困難です。 この場合、ASA はインターフェイスで設定された発信アクセスリストによってパケットをドロップしています。 回避策は発信アクセスリストでマルチキャスト ストリームを許可することです。

これが発生するとマルチキャスト パケットはドロップし、ASP ドロップ カウンタは「FP no mcast output intrf(no-mcast-intrf)」になります。

マルチキャスト ストリームが開始されたときに ASA が最初の数個のパケットをドロップする

マルチキャスト ストリームの最初のパケットが ASA に届いたときに、ASA はそのマルチキャスト接続を構築し、パケットを転送するための関連する mroute エントリを作成する必要があります。 エントリが作成される間、mroute および接続が確立されるまでに(通常 1 秒未満)、いくつかのマルチキャスト パケットがドロップする場合があります。 マルチキャスト ストリームのセットアップが完了すると、パケットはレートを制限されなくなります。

この理由でドロップしたパケットは、ASP のドロップの理由が「(punt-rate-limit)Punt rate limit exceeded」になります。 次に show capture asp(asp はドロップ パケットをキャプチャするために ASA で設定した ASP ドロップ キャプチャ)の出力を示します。この理由でドロップしたマルチキャスト パケットを確認できます。

ASA # sh capture asp
2 packets captured
   1: 16:14:49.419091 10.23.2.2.810 > 239.255.123.123.890:  udp 32 Drop-reason:
 (punt-rate-limit) Punt rate limit exceeded
   2: 16:14:49.919172 10.23.2.2.810 > 239.255.123.123.890:  udp 32 Drop-reason:
 (punt-rate-limit) Punt rate limit exceeded
2 packets shown

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 115804