Протокол IP : Групповая IP-адресация

Рекомендации для фильтров SA протокола обнаружения многоадресных источников

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как настроить стандартный набор правил фильтрации для сообщений Активного против источника (SA) Протокола MSDP. Cisco настоятельно рекомедует установить хотя бы эти фильтры соединяясь к интернету с собственным широковещанием IP .

Примечание: Сведения в этом документе применяются ко всему текущему MSDP способная Cisco Выпуски ПО IOS�.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. Cisco Technical Tips Conventions.

Описание

Сообщения MSDP-SA содержат (источник, группа (S, G)) информацию для точек встречи (RP) (названный равноправными объектами MSDP) в Независимом от протокола разреженном режиме Групповой адресации (PIM-SM) домены. Этот механизм позволяет RP узнавать об источниках групповой адресации в удаленных доменах PIM-SM, так что они могу объединять эти источники, если в их собственных доменах есть локальные получатели. Можно также использовать MSDP между несколькими процессорами маршрутизации в одном домене PIM-SM, чтобы установить группы сети MSDP.

В конфигурацией по умолчанию MSDP обменивается сообщениями SA без фильтрации для специального источника или групповых адресов.

Обычно здесь несколько номеров (s, g) состояний в домене PIM-SM, который должен остаться внутри домена PIM-SM, но, так же должен фильтровать по умолчанию, они получают в сообщения SA к узлам MSDP. Примеры этого включают локальные приложения домена, которые используют адреса групповой адресации глобального IP - адреса и источники, которые используют local ip address (такой как 10. x . y.z). В собственном многоадрессном IP, это значение по умолчанию ведёт к чрезмерным (s, g) будучи общедоступной информаций. Чтобы улучшить масштабируемость MSDP в интернете многоадресного собственного IP-адреса, и во избежание глобальной видимости локальной информации домена (s, g), мы рекомендуем использовать следующую конфигурацию для уменьшения ненужного создания, препровождения, и кэширования некоторых из этих хорошо известных локальных источников домена.

Рекомендуемая конфигурация списка фильтров

Cisco рекомендует использовать следующий фильтр конфигурации для Доменов PIM-SM с одиночным RP для каждой группы (никакая Связанная группа MSDP):

!
     
!--- Filter MSDP SA-messages.
     !--- Replicate the following two rules for every external MSDP peer.

     !
     ip msdp sa-filter in <peer_address> list 111
     ip msdp sa-filter out <peer_address> list 111
     ! 
     
!--- The redistribution rule is independent of peers.

     !
     ip msdp redistribute list 111
     !
     
!--- ACL to control SA-messages originated, forwarded.

     !
     
!--- Domain-local applications.

     access-list 111 deny   ip any host 224.0.2.2     ! 
     access-list 111 deny   ip any host 224.0.1.3     ! Rwhod
     access-list 111 deny   ip any host 224.0.1.24    ! Microsoft-ds 
     access-list 111 deny   ip any host 224.0.1.22    ! SVRLOC
     access-list 111 deny   ip any host 224.0.1.2     ! SGI-Dogfight
     access-list 111 deny   ip any host 224.0.1.35    ! SVRLOC-DA
     access-list 111 deny   ip any host 224.0.1.60    ! hp-device-disc
     
!--- Auto-RP groups.

     access-list 111 deny   ip any host 224.0.1.39   
     access-list 111 deny   ip any host 224.0.1.40
     
!--- Scoped groups.

     access-list 111 deny   ip any 239.0.0.0 0.255.255.255
     
!--- Loopback, private addresses (RFC 1918).

     access-list 111 deny   ip 10.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 127.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 172.16.0.0 0.15.255.255 any
     access-list 111 deny   ip 192.168.0.0 0.0.255.255 any
     
!--- Default SSM-range. Do not do MSDP in this range.

     access-list 111 deny   ip any 232.0.0.0 0.255.255.255
     access-list 111 permit ip any any
     !
     !

Пояснение

В приведенном выше примере список доступа 111 (можно использовать любой номер) определяет доменную локальный информацию SA. Эти данные включают (S,G) состояние глобальных групп, которые используются локальными приложениями домена, двух групп auto-RP, групп диапазона и (S,G) состояние локальных IP-адресов.

Этот список фильтров применен так, чтобы локальный маршрутизатор не принимал доменную локальный информацию SA от внешних равноправных объектов MSDP и что внешние равноправные объекты MSDP никогда не получают информацию SA или локальную информацию домена от маршрутизатора.

Ip msdp sa-filter in <peer_address> команда списка 111 фильтрует локальные сведения из сообщений SA, полученных от равноправного объекта MSDP <peer_address>. Если вы устанавливаете эту команду на каждом внешнем узле MSDP, то маршрутизатор не будет признавать никакую локальную информацию домена от внешней стороны домена.

Ip msdp sa-filter out <peer_address> команда списка 111 фильтрует локальную информацию домена из объявлений SA, передаваемых равноправному объекту MSDP <peer_address>. Если вы настраиваете эту команду на каждом внешнем равноправном объекте MSDP, то ни о какой локальной информации домена не объявляют вне домена.

Была включена команда ip msdp redistribute list 111 для улучшения безопасности. Это препятствует тому, чтобы маршрутизатор инициировал сообщения для локального домена SA (S, G) состояние. Это действие не зависит от фильтрации отправленных SA-сообщений, которая вызвана командой ip msdp sa-filter out.

Фильтрация с помощью ячеистых групп MSDP

Если Домен PIM-SM использует Связанную группу MSDP, то существуют доменные внутренние равноправные объекты MSDP. Для этой ситуации, конфигурация, описанная выше потребностей, которые будут исследованы далее.

Правила ip msdp sa-filter in и ip msdp sa-filter out должны применяться только к внешним одноранговым узлам MSDP. При применении их к внутренним равноправным объектам MSDP всю информацию о SA, фильтруемую access-list 111, не передадут между внутренними узлами одного уровня, который ломает любое приложение с помощью источника или групповых адресов, фильтруемых access-list 111 (пока, как в случае групп Auto-RP, группы не используют PIM-DM вместо PIM-SM).

Cisco рекомендует не настроить команду ip msdp redistribute list 111, потому что это препятствует тому, чтобы RP инициировал сообщения для локального домена SA (S, G) состояние. Эта команда останавливает любое локальное приложение домена, которое зависит от него. Поскольку эта команда включена для обеспечения дополнительной безопасности, ее удаление не повлияет на фильтрацию сообщений между внешними одноранговыми узлами MSDP.

Примечание: Необходимо последовательно применять фильтрацию, описанную здесь ко всем RP в Связанной группе MSDP.

Ссылки

В MSDP-документации о CCO описаны команды MSDP.

Следующие команды фильтруют сообщения SA:

  • ip msdp sa-filter in <узел> [<acl> списка] [route-map <карта>] - Определяет, какие сообщения SA, полученные от равноправных объектов MSDP, приняты. По умолчанию все сообщения SA приняты, если они передают MSDP - переадресацию по обратному пути (RPF) проверки, выделенные в этом документе MSDP.

  • ip msdp redistribute [<acl> списка] [asn <aspath-acl>] [route-map <карта>] - Определяет, для которого (S, G) информация локальный маршрутизатор инициирует сообщения SA. По умолчанию сообщения SA инициируются для всех источников, которые совпадают с одним из следующих критериев:

    • Регистрация получена.

    • Непосредственно связанный.

    • Данные, полученные на, и RPF к источнику через, тот же интерфейс Dense-mode-only.

      Примечание: Когда одно из этих правил удовлетворено, флаг "A" установлен на (S, G) запись, соответствующая тому источнику в Cisco Выпуск ПО IOS� 12.0 (6) или позже.

  • ip msdp sa-filter out <узел> [<acl> списка] [route-map <карта>] - Определяет, какие сообщения SA, которые произошли локально или были приняты от равноправных объектов MSDP, переданы к другим равноправным объектам MSDP. По умолчанию все локально инициируемые сообщения SA и все полученные и принятые сообщения SA передаются другим равноправным объектам MSDP.

Примечания

Для уменьшения потребности постоянно обновить список фильтров, рекомендуемый выше, локальные приложения домена должны всегда использовать групповые адреса областей действия или частные адреса источника по умолчанию. На границе домена эти адреса фильтруются Фильтрацией SA - сообщений и граничными определениями групповой адресации для адресов групповой адресации областей действия.


Дополнительные сведения


Document ID: 13717