Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
マルチキャスト ルーティングの設定
マルチキャスト ルーティングの設定
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

マルチキャスト ルーティングの設定

マルチキャスト ルーティングの概要

マルチキャスト ルーティングのイネーブル化

IGMP 機能の設定

インターフェイスにおける IGMP のディセーブル化

グループ メンバーシップの設定

グループのスタティック加入の設定

マルチキャスト グループへのアクセスの制御

インターフェイスにおける IGMP 状態の数の制限

クエリー間隔およびクエリー タイムアウトの修正

クエリー応答時間の変更

IGMP バージョンの変更

スタブ マルチキャスト ルーティングの設定

スタティック マルチキャスト ルートの設定

PIM 機能の設定

インターフェイスにおける PIM のディセーブル化

スタティック ランデブー ポイント アドレスの設定

代表ルータの優先順位の設定

PIM 登録メッセージのフィルタリング

PIM メッセージ間隔の設定

マルチキャスト境界の設定

PIM ネイバーのフィルタリング

混合双方向/希薄モード PIM ネットワークのサポート

マルチキャスト ルーティングの参考資料

マルチキャスト ルーティングの概要

adaptive security applianceは、スタブ マルチキャスト ルーティングと PIM マルチキャスト ルーティングの両方をサポートしています。しかし、1 つのadaptive security applianceに両方を同時に設定できません。

スタブ マルチキャスト ルーティングは、ダイナミック ホスト登録の機能を提供して、マルチキャスト ルーティングを容易にします。スタブ マルチキャスト ルーティングを設定すると、adaptive security applianceは IGMP のプロキシ エージェントとして動作します。adaptive security applianceは、マルチキャスト ルーティングに全面的に参加するのではなく、IGMP メッセージをアップストリームのマルチキャスト ルータに転送し、そのルータがマルチキャスト データの送信をセットアップします。スタブ マルチキャスト ルーティングを設定する場合は、adaptive security applianceを PIM として設定できません。

adaptive security applianceは、PIM-SM および双方向 PIM の両方をサポートしています。PIM-SM は、基盤となるユニキャスト ルーティング情報ベースまたは別のマルチキャスト対応ルーティング情報ベースを使用するマルチキャスト ルーティング プロトコルです。このプロトコルは、マルチキャスト グループあたり 1 つのランデブー ポイントをルートにした単方向の共有ツリーを構築し、オプションでマルチキャストの発信元ごとに最短パス ツリーを作成します。

双方向 PIM は PIM-SM の変形で、マルチキャストの発信元と受信者を接続する双方向の共有ツリーを構築します。双方向ツリーは、マルチキャスト トポロジの各リンクで動作する DF 選定プロセスを使用して構築されます。DF に支援されたマルチキャスト データは発信元からランデブー ポイントに転送されます。この結果、マルチキャスト データは発信元固有の状態を必要せず、共有ツリーをたどって受信者に送信されます。DF 選定はランデブー ポイントの検出中に行われ、これによってデフォルト ルートがランデブー ポイントに提供されます。


セキュリティ アプライアンスが PIM RP の場合は、セキュリティ アプライアンスの変換されていない外部アドレスを RP アドレスとして使用してください。


マルチキャスト ルーティングのイネーブル化

マルチキャスト ルーティングをイネーブルにすると、adaptive security applianceからマルチキャスト パケットが転送されます。マルチキャスト ルーティングをイネーブルにすると、すべてのインターフェイスで PIM および IGMP が自動的にイネーブルになります。マルチキャスト ルーティングをイネーブルにするには、次のコマンドを入力します。

hostname(config)# multicast-routing
 

マルチキャスト ルーティング テーブルのエントリ数は、システムの RAM の量によって制限されます。 表 10-1 は、セキュリティ アプライアンスの RAM の量に基づいて、固有のマルチキャスト テーブルの最大エントリ数を示しています。この上限に達すると、新しいエントリは廃棄されます。

 

表 10-1 マルチキャスト テーブルのエントリ数の上限

テーブル
16 MB
128 MB
128 + MB
MFIB

1000

3000

5000

IGMP グループ

1000

3000

5000

PIM ルート

3000

7000

12000

IGMP 機能の設定

IP ホストは、自身のグループ メンバーシップを直接接続されているマルチキャスト ルータに報告するために IGMP を使用します。IGMP は、グループ アドレス(Class D IP アドレス)をグループ識別子として使用します。ホスト グループ アドレスは、224.0.0.0 ~ 239.255.255.255 の範囲で使用できます。アドレス 224.0.0.0 がグループに割り当てられることはありません。アドレス 224.0.0.1 は、サブネットのシステムすべてに割り当てられます。アドレス 224.0.0.2 は、サブネットのルータすべてに割り当てられます。

adaptive security applianceでマルチキャスト ルーティングをイネーブルにすると、IGMP バージョン 2 がすべてのインターフェイスで自動的にイネーブルになります。


show run コマンドを使用すると、インターフェイス コンフィギュレーションには no igmp コマンドだけが表示されます。デバイス コンフィギュレーションに multicast-routing コマンドがあると、IGMP がすべてのインターフェイスで自動的にイネーブルになります。


この項では、インターフェイスごとにオプションの IGMP 設定を行う方法について説明します。この項は、次の内容で構成されています。

「インターフェイスにおける IGMP のディセーブル化」

「グループ メンバーシップの設定」

「グループのスタティック加入の設定」

「マルチキャスト グループへのアクセスの制御」

「インターフェイスにおける IGMP 状態の数の制限」

「クエリー間隔およびクエリー タイムアウトの修正」

「クエリー応答時間の変更」

「IGMP バージョンの変更」

インターフェイスにおける IGMP のディセーブル化

IGMP は、特定のインターフェイスでディセーブルにできます。この機能は、マルチキャスト ホストが存在しないことがわかっている特定のインターフェイスにadaptive security applianceからホスト クエリー メッセージを送信しないようにする場合に便利です。

インターフェイスで IGMP をディセーブルにするには、次のコマンドを入力します。

hostname(config-if)# no igmp
 

インターフェイスで IGMP を再度イネーブルにするには、次のコマンドを入力します。

hostname(config-if)# igmp
 

) インターフェイス コンフィギュレーションには、no igmp コマンドだけが表示されます。


グループ メンバーシップの設定

adaptive security applianceをマルチキャスト グループのメンバーとして設定できます。マルチキャスト グループに加入するようにadaptive security applianceを設定すると、アップストリーム ルータはそのグループのマルチキャスト ルーティング テーブル情報を維持して、このグループをアクティブにするパスを保持します。

adaptive security applianceがマルチキャスト グループに加入するように設定するには、次のコマンドを入力します。

hostname(config-if)# igmp join-group group-address
 

グループのスタティック加入の設定

ときには、グループ メンバーがグループにおける自分のメンバーシップを報告できなかったり、あるいは、ネットワーク セグメントにメンバーが存在しなかったりすることもあります。それでも、そのグループのマルチキャスト トラフィックをそのネットワーク セグメントに送信することが必要になる場合があります。このようなグループのマルチキャスト トラフィックは、次のいずれかの方法でそのセグメントに送信できます。

igmp join-group コマンドを使用する(「グループ メンバーシップの設定」を参照)。これによって、adaptive security applianceはマルチキャスト パケットを受け入れ、転送します。

igmp static-group コマンドを使用する。adaptive security applianceは、マルチキャスト パケットを受け入れないものの、指定したインターフェイスに転送します。

インターフェイス上のマルチキャスト グループにスタティックに加入する設定を行うには、次のコマンドを入力します。

hostname(config-if)# igmp static-group group-address
 

マルチキャスト グループへのアクセスの制御

adaptive security appliance インターフェイスのホストが加入可能なマルチキャスト グループを制御するには、次の手順を実行します。


ステップ 1 マルチキャスト トラフィックのアクセスリストを作成します。1 つのアクセスリストに複数のエントリを作成できます。拡張アクセスリストまたは標準アクセスリストが使用できます。

標準アクセスリストを作成するには、次のコマンドを入力します。

hostname(config)# access-list name standard [permit | deny] ip_addr mask
 

ip_addr 引数は、許可または拒否されるマルチキャスト グループの IP アドレスです。

拡張アクセスリストを作成するには、次のコマンドを入力します。

hostname(config)# access-list name extended [permit | deny] protocol src_ip_addr src_mask dst_ip_addr dst_mask
 

dst_ip_addr 引数は、許可または拒否されるマルチキャスト グループの IP アドレスです。

ステップ 2 インターフェイスにアクセスリストを適用するには、次のコマンドを入力します。

hostname(config-if)# igmp access-group acl
 

acl 引数は、標準 IP アクセスリストまたは拡張 IP アクセスリストの名前です。


 

インターフェイスにおける IGMP 状態の数の制限

IGMP メンバーシップ報告の結果の IGMP 状態の数は、インターフェイスごとに制限できます。設定された上限を超過したメンバーシップ報告は IGMP キャッシュに入力されず、超過した分のメンバーシップ報告のトラフィックは転送されません。

インターフェイスでの IGMP 状態の数を制限するには、次のコマンドを入力します。

hostname(config-if)# igmp limit number
 

有効な値の範囲は 0 ~ 500 です。デフォルト値は 500 です。この値を 0 に設定すると、既知のグループは追加されなくなりますが、手動で定義したメンバーシップ( igmp join-group コマンドおよび igmp static-group コマンドを使用)は引き続き許可されます。このコマンドの no 形式を使用するとデフォルト値が復元されます。

クエリー間隔およびクエリー タイムアウトの修正

adaptive security applianceは、クエリー メッセージを送信して、インターフェイスに接続されているネットワークにメンバーを持つマルチキャスト グループを検出します。メンバーは、IGMP 報告メッセージで応答して、特定のグループに対するマルチキャスト パケットの受信を希望していることを示します。クエリー メッセージは、アドレスが 224.0.0.1 で存続可能時間値が 1 の全システム マルチキャスト グループ宛に送信されます。

これらのメッセージが定期的に送信されることにより、adaptive security applianceに保存されているメンバーシップ情報はリフレッシュされます。adaptive security applianceで、ローカル メンバーがいなくなったマルチキャスト グループがまだインターフェイスに接続されていることがわかると、そのグループへのマルチキャスト パケットを接続されているネットワークに転送するのを停止し、そのパケットの送信元にプルーニング メッセージを戻します。

デフォルトでは、サブネット上の PIM 代表ルータがクエリー メッセージの送信を担当します。このメッセージは、デフォルトでは 125 秒間に 1 回送信されます。この間隔を変更するには、次のコマンドを入力します。

adaptive security applianceは、インターフェイスでクエリー メッセージが指定されているタイムアウト値(デフォルトでは 255 秒)の間に検出できなかった場合は、代表ルータとなってクエリー メッセージの送信を開始します。このタイムアウト値を変更するには、次のコマンドを入力します。

hostname(config-if)# igmp query-timeout seconds
 

igmp query-timeout コマンドおよび igmp query-interval コマンドを実行するには、IGMP バージョン 2 が必要です。


クエリー応答時間の変更

デフォルトでは、IGMP クエリーでアドバタイズされる最大クエリー応答時間は 10 秒です。adaptive security applianceがこの時間内にホスト クエリーの応答を受信しなかった場合、グループを削除します。

最大クエリー応答時間を変更するには、次のコマンドを入力します。

hostname(config-if)# igmp query-max-response-time seconds
 

IGMP バージョンの変更

デフォルトでは、adaptive security applianceは IGMP バージョン 2 を実行します。このバージョンでは、 igmp query-timeout コマンドや igmp query-interval コマンドなどのいくつかの追加機能が使用できます。

サブネットのマルチキャスト ルータはすべて、同じ IGMP バージョンをサポートしている必要があります。adaptive security applianceは、バージョン 1 のルータを自動的に検出し、バージョン 1 に切り替えることはありません。しかし、サブネットに IGMP のバージョン 1 のホストとバージョン 2 のホストが混在しても問題はありません。IGMP バージョン 2 を実行しているadaptive security applianceは、IGMP バージョン 1 のホストが存在しても正常に動作します。

インターフェイスで動作中の IGMP のバージョンを制御するには、次のコマンドを入力します。

hostname(config-if)# igmp version {1 | 2}
 

スタブ マルチキャスト ルーティングの設定

スタブ エリアへのゲートウェイとして動作しているadaptive security applianceは、PIM に参加する必要はありません。その代わりに、そのセキュリティ アプライアンスを IGMP プロキシ エージェントして設定すると、あるインターフェイスに接続されているホストから、別のインターフェイスのアップストリーム マルチキャスト ルータに IGMP メッセージを転送できます。adaptive security applianceを IGMP プロキシ エージェントとして設定するには、ホスト加入(join)メッセージおよびホスト脱退(leave)メッセージをスタブ エリアからアップストリーム インターフェイスに転送します。

ホスト加入メッセージおよびホスト脱退メッセージを転送するには、スタブ エリアに接続されているインターフェイスから次のコマンドを入力します。

hostname(config-if)# igmp forward interface if_name
 

) スタブ マルチキャスト ルーティングと PIM は、同時にはサポートされません。


スタティック マルチキャスト ルートの設定

PIM を使用する場合、adaptive security applianceは、ユニキャスト パケットを発信元に返送するのと同じインターフェイスでパケットを受信することを想定しています。マルチキャスト ルーティングをサポートしていないルートをバイパスする場合などは、ユニキャスト パケットで 1 つのパスを使用し、マルチキャスト パケットで別の 1 つのパスを使用することもあります。

スタティック マルチキャスト ルートはアドバタイズも再配布もされません。

PIM のスタティック マルチキャスト ルートを設定するには、次のコマンドを入力します。

hostname(config)# mroute src_ip src_mask {input_if_name | rpf_neighbor} [distance]
 

スタブ エリアのスタティック マルチキャスト ルートを設定するには、次のコマンドを入力します。

hostname(config)# mroute src_ip src_mask input_if_name [dense output_if_name] [distance]
 

) インターフェイスまたは RPF ネイバーを指定できますが、同時に指定できません。



dense output_if_name キーワードと引数のペアは、スタブ マルチキャスト ルーティングでだけサポートされます。


PIM 機能の設定

ルータは、PIM を使用してマルチキャスト ダイアグラムを転送する転送テーブルを維持します。adaptive security applianceでマルチキャスト ルーティングをイネーブルにすると、PIM および IGMP がすべてのインターフェイスで自動的にイネーブルになります。


) PIM は、PAT ではサポートされません。PIM プロトコルはポートを使用せず、PAT はポートを使用するプロトコルに対してだけ動作します。


この項では、オプションの PIM 設定を行う方法について説明します。この項は、次の内容で構成されています。

「インターフェイスにおける PIM のディセーブル化」

「スタティック ランデブー ポイント アドレスの設定」

「代表ルータの優先順位の設定」

「PIM 登録メッセージのフィルタリング」

「PIM メッセージ間隔の設定」

「マルチキャスト境界の設定」

「PIM ネイバーのフィルタリング」

「混合双方向/希薄モード PIM ネットワークのサポート」

インターフェイスにおける PIM のディセーブル化

PIM は、特定のインターフェイスでディセーブルにできます。インターフェイスで PIM をディセーブルにするには、次のコマンドを入力します。

hostname(config-if)# no pim
 

インターフェイスで PIM を再度イネーブルにするには、次のコマンドを入力します。

hostname(config-if)# pim
 

) インターフェイス コンフィギュレーションには、no pim コマンドだけが表示されます。


スタティック ランデブー ポイント アドレスの設定

共通の PIM 希薄モードまたは双方向ドメイン内のルータはすべて、PIM RP アドレスを認識している必要があります。このアドレスは、 pim rp-address コマンドを使用してスタティックに設定されます。


) adaptive security applianceは、Auto-RP または PIM BSR をサポートしていません。RP アドレスを指定するには、pim rp-address コマンドを使用する必要があります。


adaptive security applianceを複数のグループの RP として機能するように設定できます。アクセスリストに指定されているグループ範囲によって、PIM RP のグループ マッピングが決まります。アクセスリストが指定されていない場合は、マルチキャスト グループ全体の範囲(224.0.0.0/4)にグループの RP が適用されます。

PIM PR のアドレスを設定するには、次のコマンドを入力します。

hostname(config)# pim rp-address ip_address [acl] [bidir]
 
 

ip_address 引数は、PIM RP となるルータのユニキャスト IP アドレスです。 acl 引数は、RP とともに使用する必要があるマルチキャスト グループを定義している標準アクセスリストの名前または番号です。このコマンドではホスト ACL を使用しないでください。 bidir キーワードを除外すると、グループは PIM 希薄モードで動作するようになります。


) adaptive security applianceは、実際の双方向構成にかかわらず、PIM の hello メッセージを使用して双方向の機能を常時アドバタイズします。


代表ルータの優先順位の設定

Designated Router(DR; 代表ルータ)は、PIM 登録メッセージ、PIM 加入メッセージ、およびプルーニング メッセージの RP への送信を担当します。ネットワーク セグメントに 2 つ以上のマルチキャスト ルータがある場合、DR の優先順位に基づいて DR を選定するプロセスがあります。複数のデバイスの DR 優先順位が等しい場合、最上位の IP アドレスを持つデバイスが DR になります。

デフォルトでは、adaptive security applianceには優先順位 1 の DR があります。この値は、次のコマンドを入力すると変更できます。

hostname(config-if)# pim dr-priority num
 

num は 1 ~ 4294967294 の任意の数字にできます。

PIM 登録メッセージのフィルタリング

PIM 登録メッセージをフィルタリングするようにadaptive security applianceを設定できます。PIM 登録メッセージをフィルタリングするには、次のコマンドを入力します。

hostname(config)# pim accept-register {list acl | route-map map-name}
 

PIM メッセージ間隔の設定

ルータ クエリー メッセージは PIM DR を選定するために使用されます。PIM DR は、ルータ クエリー メッセージの送信を担当します。デフォルトでは、ルータ クエリー メッセージは 30 秒間隔で送信されます。この値は、次のコマンドを入力すると変更できます。

hostname(config-if)# pim hello-interval seconds
 

seconds 引数の有効な値は、1 ~ 3600 秒です。

60 秒ごとに、adaptive security applianceは PIM 加入メッセージおよびプルーニング メッセージを送信します。この値を変更するには、次のコマンドを入力します。

hostname(config-if)# pim join-prune-interval seconds
 

seconds 引数の有効な値は、10 ~ 600 秒です。

マルチキャスト境界の設定

アドレス スコーピングはドメインの境界を定義して、同じ IP アドレスの RP を持つドメイン同士がリークし合わないようにします。スコーピングは、大きなドメインのサブネット境界や、ドメインとインターネット間の境界で実行されます。

multicast boundary コマンドを使用して、マルチキャスト グループ アドレス用のインターフェイスに、管理用に範囲を定めた境界を設定できます。IANA は、管理用に範囲を定めたアドレスとして、239.0.0.0 ~ 239.255.255.255 のマルチキャスト アドレスを指定しました。このアドレス範囲は、他の組織が管理するドメインでも再使用できます。これらのアドレスはローカルと見なされ、グローバルに唯一のアドレスではありません。

マルチキャスト境界を設定するには、次のコマンドを入力します。

hostname(config-if)# multicast boundary acl [filter-autorp]
 

標準 ACL は、影響が及ぶアドレスの範囲を定義します。境界を設定すると、マルチキャスト データ パケットは、境界を越えて出入りできなくなります。他の管理ドメインから同じマルチキャスト グループ アドレスを再使用できます。

filter-autorp キーワードを設定して、管理用に範囲を定めた境界で、Auto-RP 検出および通知メッセージの検証とフィルタリングを行うことができます。Auto-RP パケットからの Auto-RP グループ範囲通知で、境界 access control list(ACL; アクセス コントロール リスト)によって拒否されたものは削除されます。Auto-RP グループ範囲通知が許可されて境界を通過できるのは、Auto-RP グループ範囲のすべてのアドレスが境界 ACL で許可されている場合だけです。1 つでも許可されていないアドレスがあると、グループ範囲全体がフィルタをかけられ、Auto-RP メッセージから削除されて転送されません。

PIM ネイバーのフィルタリング

pim neighbor-filter コマンドを使用して、PIM ネイバーになれるルータを定義できます。PIM ネイバーになれるルータにフィルタをかけることにより、次のことができます。

許可されていないルータが PIM ネイバーにならないようにします。

接続されているスタブ ルータが PIM に参加しないようにします。

PIM ネイバーになれるネイバーを定義するには、次の手順を実行します。


ステップ 1 access-list コマンドを使用して、PIM に参加させるルータを標準アクセスリストに定義します。

たとえば、次のアクセスリストを pim neighbor-filter コマンドで使用すると、10.1.1.1 ルータが PIM ネイバーになりません。

hostname(config)# access-list pim_nbr deny 10.1.1.1 255.255.255.255
 

ステップ 2 隣接ルータにフィルタをかけるには、インターフェイスで pim neighbor-filter コマンドを使用します。

たとえば、次のコマンドにより、10.1.1.1 ルータは GigabitEthernet0/3 インターフェイス上で PIM ネイバーになれません。

hostname(config)# interface GigabitEthernet0/3
hostname(config-if)# pim neighbor-filter pim_nbr

 


 

混合双方向/希薄モード PIM ネットワークのサポート

双方向 PIM により、マルチキャスト ルータは減少したステート情報を維持できます。セグメント内のすべてのマルチキャスト ルータは、双方向ルータが DF を選定できるように、双方向にイネーブル化されている必要があります。

pim bidir-neighbor-filter コマンドを使用し、DF 選定に参加するルータを指定することにより、希薄モード専用から双方向ネットワークに移行できます。すべてのルータは、そのまま希薄モード ドメインにも参加できます。双方向にイネーブル化された各ルータは、セグメントに非双方向ルータがある場合でも、それぞれのルータの中から DF を選定できます。非双方向ルータ上のマルチキャスト境界は、双方向グループからの PIM メッセージやデータが双方向サブセット クラウドを出入りしないように防ぎます。

pim bidir-neighbor-filter コマンドがイネーブルになると、ACL が許可するルータは双方向機能があると見なされます。したがって、次のような結果になります。

許可されたネイバーが双方向をサポートしていない場合、DF 選定は行われません。

拒否されたネイバーが双方向をサポートしている場合、DF 選定は行われません。

拒否されたネイバーが双方向をサポートしていない場合、DF 選定が行われます。

どのネイバーを DF 選定に参加させるかを制御するには、次の手順を実行します。


ステップ 1 access-list コマンドを使用して、DF 選定に参加させるルータを許可し、その他をすべて拒否する標準アクセスリストを定義します。

たとえば、次のアクセスリストは 10.1.1.1 と 10.2.2.2 のルータを DF 選定に参加させ、その他をすべて拒否します。

hostname(config)# access-list pim_bidir permit 10.1.1.1 255.255.255.255
hostname(config)# access-list pim_bidir permit 10.1.1.2 255.255.255.255
hostname(config)# access-list pim_bidir deny any
 

ステップ 2 インターフェイスで pim bidir-neighbor-filter コマンドをイネーブルにします。

次の例は、前の手順で作成されたアクセスリストを GigabitEthernet0/3 インターフェイスに適用しています。

hostname(config)# interface GigabitEthernet0/3
hostname(config-if)# pim bidir-neighbor-filter pim_bidir

 


 

マルチキャスト ルーティングの参考資料

SMR 機能の実装に使用される IGMP およびマルチキャスト ルーティングの規格の技術詳細については、IETF 発行の次の RFC を参照してください。

RFC 2236 IGMPv2

RFC 2362 PIM-SM

RFC 2588 IP Multicast and Firewalls

RFC 2113 IP Router Alert Option

IETF draft-ietf-idmr-igmp-proxy- 01.txt