IP : Multidifusión IP

Recomendaciones de filtro SA del Protocolo de detección de fuente de multidifusión

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento describe cómo configurar un conjunto estándar de reglas de filtrado para los mensajes de Fuente Activa (SA) del Multicast Source Discovery Protocol (MSDP). Cisco recomienda encarecidamente establecer al menos estos filtros al conectar con Internet multicast de IP nativa.

Nota: La información en este documento se aplica a todas las versiones de software capaces actuales del ½ del ¿Â MSDP Cisco IOSïÂ.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Descripción

Los mensajes MSDP-SA contienen (fuente, información del grupo (S, G)) para los puntos de encuentro (RP) (llamados los pares MSDP) en los dominios del modo disperso de la multidifusión independiente de protocolo (PIM-S). Este mecanismo les permite a los RP detectar los orígenes de multidifusión en los dominios PIM-SM remotos para que puedan unirse a esos orígenes si existen receptores locales en su propio dominio. Usted puede también utilizar el MSDP entre los RP múltiples en un solo dominio PIM-SM para establecer a los grupos de malla MSDP.

Con una configuración predeterminada, MSDP intercambia mensajes SA sin filtrarlos para un origen o direcciones de grupos en particular.

Generalmente, hay un número de estados (S, G) en el dominio PIM-SM que debería permanecer dentro de ese dominio pero, debido a la filtración predeterminada, pasan en los mensajes SA hacia los pares MSDP. Los ejemplos de esto incluyen las aplicaciones locales del dominio que utilizan a las direcciones Multicast del IP global, y las fuentes que utilizan los IP Address locales (tales como 10.x.y.z). En IP nativa Internet del Multicast, este valor por defecto lleva a excesivo (S, G) información que es compartida. Para mejorar scalability de MSDP en IP nativa Multicast Internet, y evitar visibilidad global de dominio local (S, G) información, recomendamos el usar de la configuración siguiente para reducir la creación innecesaria, expedición, y almacenamiento en memoria inmediata de algunas de estas fuentes locales del dominio bien conocidas.

Configuración de la lista de filtro recomendada

Cisco recomienda el usar del filtro siguiente de la configuración para los dominios PIM-S con un solo RP para cada grupo (ningún grupo de malla MSDP):

!
     
!--- Filter MSDP SA-messages.
     !--- Replicate the following two rules for every external MSDP peer.

     !
     ip msdp sa-filter in <peer_address> list 111
     ip msdp sa-filter out <peer_address> list 111
     ! 
     
!--- The redistribution rule is independent of peers.

     !
     ip msdp redistribute list 111
     !
     
!--- ACL to control SA-messages originated, forwarded.

     !
     
!--- Domain-local applications.

     access-list 111 deny   ip any host 224.0.2.2     ! 
     access-list 111 deny   ip any host 224.0.1.3     ! Rwhod
     access-list 111 deny   ip any host 224.0.1.24    ! Microsoft-ds 
     access-list 111 deny   ip any host 224.0.1.22    ! SVRLOC
     access-list 111 deny   ip any host 224.0.1.2     ! SGI-Dogfight
     access-list 111 deny   ip any host 224.0.1.35    ! SVRLOC-DA
     access-list 111 deny   ip any host 224.0.1.60    ! hp-device-disc
     
!--- Auto-RP groups.

     access-list 111 deny   ip any host 224.0.1.39   
     access-list 111 deny   ip any host 224.0.1.40
     
!--- Scoped groups.

     access-list 111 deny   ip any 239.0.0.0 0.255.255.255
     
!--- Loopback, private addresses (RFC 1918).

     access-list 111 deny   ip 10.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 127.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 172.16.0.0 0.15.255.255 any
     access-list 111 deny   ip 192.168.0.0 0.0.255.255 any
     
!--- Default SSM-range. Do not do MSDP in this range.

     access-list 111 deny   ip any 232.0.0.0 0.255.255.255
     access-list 111 permit ip any any
     !
     !

Explicación

En el ejemplo anterior, la lista de acceso 111 (usted puede utilizar cualquier número) define la SA-información del local de dominio. Esto incluye el estado (S,G) para grupos globales utilizado por las aplicaciones locales del dominio, los dos grupos RP automáticos, los grupos de alcance y el estado (S,G) de las direcciones de IP locales.

Esta lista de filtros es aplicada de modo que el router local no valide la SA-información del local de dominio de los pares externos MSDP y ese los pares del externo MSDP nunca consigan la SA-información o a información local del dominio del router.

El comando ip msdp sa-filter in <peer_address> list 111 filtra la información local de los mensajes SA recibidos del par MSDP <peer_address>. Si usted configura este comando en cada par del externo MSDP, después el router sí mismo no validará ninguna información local del dominio desde fuera del dominio.

El comando ip msdp sa-filter out <peer_address> list 111 filtra la información local del dominio de los avisos SA enviados al par MSDP <peer_address>. Si usted configura este comando en cada par del externo MSDP, después no se anuncia ninguna información local del dominio fuera del dominio.

Incluimos el comando ip msdp redistribute list 111 para brindar mayor seguridad. Evita que el router origine los mensajes SA para el local de dominio (S, G) estado. Esta acción es independiente del filtrado de mensajes SA enviados que causó el comando ip msdp sa-filter out.

Filtro con grupos de malla del MSDP

Si el dominio PIM-SM utiliza a un grupo de malla MSDP, después hay pares internos del dominio MSDP. Para esta situación, la configuración descrita arriba necesita ser examinada más lejos.

Debe aplicar las reglas ip msdp sa-filter in e ip msdp sa-filter out para pares MSDP externos únicamente. Si usted los aplica a los pares internos MSDP, toda la información SA filtrada por la lista de acceso 111 no será pasada entre los peeres internos, que rompe cualquier aplicación usando la fuente o los grupos de dirección filtrados por la lista de acceso 111 (a menos que, como en el caso auto-RP de los grupos, los grupos utilizan el PIM-DM en vez del PIM-S).

Cisco recomienda el no configurar del comando ip msdp redistribute list 111 porque evita que el RP origine los mensajes SA para el local de dominio (S, G) estado. Este comando interrumpe toda aplicación local del dominio que dependa de él. Dado que este comando se incluye para mayor seguridad, eliminarlo no modificará el modo en que los mensajes son filtrados entre los pares MSDP externos.

Nota: Usted debe aplicar constantemente la filtración descrita aquí a todos los RP dentro del grupo de malla MSDP.

Referencias

La documentación de MSDP sobre CCO describe los comandos MSDP.

Los siguientes comandos filtran los mensajes SA:

  • el sa-filtro del msdp del IP en <peer> [list <acl>] [route-map <map>] - define que los mensajes SA recibidos de los pares MSDP se validan. Por abandono, se validan todos los mensajes SA si pasan los controles del envío de trayecto inverso MSDP (RPF) delineados en este documento MSDP.

  • el msdp del IP redistribuye [list <acl>] [asn <aspath-acl>] [route-map <map>] - Define para cuál (S, G) información el router local origina los mensajes SA. Por abandono, los mensajes SA se originan para todas las fuentes que hagan juego uno de los criterios siguientes:

    • Registro recibido.

    • Conectado directamente.

    • Datos recibidos encendido, y RPF a la fuente a través, la misma interfaz del Dense-mode-only.

      Nota: Cuando una de estas reglas se satisface, un indicador “A” se fija en (S, G) entrada correspondiente a esa fuente en el Software Release 12.0(6) o Posterior del ½ del ¿Â de Cisco IOSïÂ.

  • el sa-filtro del msdp del IP hacia fuera <peer> [list <acl>] [route-map <map>] - define que miran los mensajes SA que han originado localmente o validado de los pares MSDP se remiten al otro MSDP. Por abandono, todos los mensajes SA local-originados y todos los mensajes SA recibidos y validados se envían a otros pares MSDP.

Notas

Para minimizar la necesidad de poner al día continuamente la lista de filtros recomendada arriba, las aplicaciones locales del dominio deben utilizar siempre los grupos de dirección o a las direcciones de origen privadas del scoped por abandono. En el límite del dominio, estos direccionamientos son filtrados por filtrado de mensajes SA y por las definiciones delimitadoras del Multicast para las direcciones Multicast del scoped.


Información Relacionada


Document ID: 13717