المقدمة
يصف هذا المستند الطرق المختلفة لتكوين الطرق المحتملة لحظر حركة مرور للبث المتعدد معينة على محولات Nexus 7000/9000 أو تصفيتها. كما يمكن إستخدامها لحفظ موارد البث المتعدد. أحد الأمثلة الشائعة هي تطبيق Microsoft لعملية التوصيل والتشغيل العالمية التي تستخدم SSDP للاتصال بين الخوادم.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة كيف أي مصدر multicast (ASM) مع الإستعمالمن PIM أسلوب متباعد يعمل على Nexus منصة.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Nexus 7K مع F3/M3 LC يركض NXOS 7.3(4)D1(1)
- Nexus N9K-C93180YC-EX/FX مع 7.0(3)I7(9) أو 9.3(5)
ملاحظة: يمكن أن تختلف النتائج إذا كانت البرامج/الأجهزة مختلفة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
فيما يلي قائمة بالاختصارات المستخدمة:
RP - نقطة الالتقاء
FHR - الموجه First Hop
LHR - الموجه Last Hop
SRC - مصدر البث المتعدد
REC - المستقبل متعدد البث
PACL - قائمة الوصول إلى المنفذ
RACL - قائمة الوصول الموجهة
SVI - الواجهة الظاهرية المحولة
قائمة التحكم في الوصول - قائمة التحكم في الوصول
التكوين
طبولوجيا عامة
أمثلة التكوين
دعونا نفترض هذا:
عنوان IP الخاص ب RP هو 192.168.10.1
عنوان IP ل SRC هو 172.16.10.100/32
مجموعة SSDP: 239.255.255.250/239.255.255.253
الآن، دعنا نناقش التكوين استنادا إلى دور الجهاز. على سبيل المثال، FHR و LHR و RP والمزيد.
FHR - عادة ما يكون SRC للبث المتعدد متصلا مباشرة هنا
1. تصفية التسجيل نحو RP الموجود.
ip pim rp-address 192.168.10.1 route-map filter-registration
!
Route-map filter-registration deny 5
match ip multicast source 172.16.10.100/32 group 239.255.255.250/32
// Above line is specific to SRC/GROUP pair
Route-map filter-registration deny 7
match ip multicast group 239.255.255.250/32
// Above line is for any SRC and specific group
!
Route-map filter-registration permit 100
Match ip multicast group 224.0.0.0/4
|
2. تصفية التسجيل نحو RP من خلال تحديد RP وهمي (غير موجود (على سبيل المثال، 1.1.1) لمجموعات SSDP؛ وتتولى FHR، في هذه الحالة، دور RP.
ip route 1.1.1.1/32 Null0
!
ip pim rp-address 1.1.1.1 route-map SSDP_groups
!
Route-map SSDP_groups permit 5
match ip multicast group 239.255.255.250/32
Route-map SSDP_groups permit 10
match ip multicast group 239.255.255.253/32
Route-map SSDP_groups deny 20
match ip multicast group 224.0.0.0/4
!
ip pim rp-address 192.168.10.1 route-map all_other_groups
!
Route-map all_other_groups deny 5
match ip multicast group 239.255.255.250/32
Route-map all_other_groups deny 10
match ip multicast group 239.255.255.253/32
Route-map all_other_groups permit 20
match ip multicast group 224.0.0.0/4
|
التحقق من الصحة:
Nexus9K_OR_N7K# show ip pim rp
PIM RP Status Information for VRF "default"
BSR disabled
Auto-RP disabled
BSR RP Candidate policy: None
BSR RP policy: None
Auto-RP Announce policy: None
Auto-RP Discovery policy: None
RP: 192.168.10.1, (0),
uptime: 00:00:27 priority: 0,
RP-source: (local), group-map: Filter-registration,
group rangs:
224.0.0.0/4
239.255.255.253/32 (deny)
239.255.255.250/32 (deny)
Nexus9K_OR_N7K# show ip mroute
IP Multicast Routing Table for VRF "default"
(172.16.10.100/32, 239.255.255.250/32), uptime: 00:04:12, ip pim
Incoming interface: Vlan10, RPF nbr: 172.16.10.100
Outgoing interface list: (count: 0)
Nexus9K_OR_N7K# show system internal mfwd event-history pkt
pkt events for MCASTFWD process
2021 Jan 1 11:11:41.792316 mcastfwd [21914]: [21933]: Create state for (172.16.10.100, 239.255.255.250)
Nexus9K_OR_N7K # show ip pim internal event-history null-register
2021 Jan 01 11:15:19.095711: E_DEBUG pim [21935]: Null Register not sent for (172.16.10.100/32, 239.255.255.250/32) yes
|
يؤكد هذا الإخراج أن FHR لا يقوم بتسجيل الدفق إلى RP.
LHR - عادة ما يتم توصيل REC للبث المتعدد هنا مباشرة
3. تطبيق سياسة بروتوكول إدارة مجموعات الإنترنت (IGMP) على مدخل SVI (حيث يقيم REC). تتمثل الفكرة هنا في تصفية تقارير عضوية IGMP لمجموعات SSDP من REC.
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
!
route-map filter-SSDP-joins deny 5
match ip multicast group 239.255.255.250/32
route-map filter-SSDP-joins deny 6
match ip multicast group 239.255.255.253/32
route-map filter-SSDP-joins permit 100
match ip multicast group 224.0.0.0/4
!
Interface VlanXX
ip igmp report-policy filter-SSDP-joins
|
التحقق من الصحة:
Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
Nexus9K_OR_N7K (config)# show ip igmp snooping groups vlan 44
Type: S - Static, D - Dynamic, R - Router port, F - Fabricpath core port
Vlan Group Address Ver Type Port list
44 */* - R Vlan44
44 239.255.255.250 v2 D Eth1/5
!
Nexus9K_OR_N7K (config)# show ip igmp internal event-history debugs
debugs events for IGMP process
2021 Jan 1 11:52:21.277915 igmp [1125]: : Filtered group 239.255.255.250
2021 Jan 1 11:52:21.277903 igmp [1125]: : Received v2 Report for 239.255.255.250 from 172.16.44.100 (Vlan44)
|
يؤكد هذا الإخراج تصفية تقرير عضوية IGMP ولا يتم إرسال الانضمام (*،G) إلى RP.
PIM - الموجه الذي تم تمكينه يعمل على أساس FHR/LHR
يمكنك إستخدام مجموعة من الخيارات 1 و 2 و 3، حسب متطلباتك.
على سبيل المثال:
4. تصفية التسجيل وفقا ل RP الموجود (دور FHR):
ip pim rp-address 192.168.10.1 route-map filter-registration
!
Route-map filter-registration deny 5
match ip multicast source 172.16.10.100/32 group 239.255.255.250/32
Route-map filter-registration deny 7
match ip multicast group 239.255.255.250/32
!
Route-map filter-registration permit 100
Match ip multicast group 224.0.0.0/4
|
5. سياسة IGMP لتصفية تقارير عضوية IGMP من REC (دور LHR).
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
!
route-map filter-SSDP-joins deny 5
match ip multicast group 239.255.255.250/32
route-map filter-SSDP-joins deny 6
match ip multicast group 239.255.255.253/32
route-map filter-SSDP-joins permit 100
match ip multicast group 224.0.0.0/4
!
Interface VlanXX
ip igmp report-policy filter-igmp-joins
|
التحقق من الصحة:
وهو يشبه إلى حد كبير التحقق الذي أجري في النقطتين جيم ودال المذكورتين سابقا.
Show ip mroute
Show ip pim rp
Show ip pim internal event-history join-prune
Show ip igmp internal event-history debugs
|
RP - هذه نقطة الالتقاء
6. سياسة التسجيل لحظر تسجيل مجموعة SSDP من FHR.
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
ip pim register-policy all_groups
!
Route-map all_groups deny 5
match ip multicast group 239.255.255.250/32
Route-map all_groups deny 10
match ip multicast group 239.255.255.253/32
Route-map all_groups permit 20
match ip multicast group 224.0.0.0/4
|
التحقق من الصحة:
Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
Nexus9K_OR_N7K (config)# show ip pim internal event-history data-register-receive
2021 Jan 08 03:33:06.353951: E_DEBUG pim [1359]: Register disallowed by policy
2021 Jan 08 03:33:06.353935: E_DEBUG pim [1359]: Received DATA Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 1028)
2021 Jan 08 03:29:42.602744: E_DEBUG pim [1359]: Add new route (172.16.10.100/32, 239.1.1.1/32) to MRIB, multi-route TRUE
F241.01.13-C93180YC-EX-1(config)# show ip pim internal event-history null-register
2021 Jan 08 03:35:40.966617: E_DEBUG pim [1359]: Send Register-Stop to 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32)
2021 Jan 08 03:35:40.966613: E_DEBUG pim [1359]: Register disallowed by policy
2021 Jan 08 03:35:40.966597: E_DEBUG pim [1359]: Received NULL Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 20)
|
يؤكد هذا الإخراج قيام RP بحظر التسجيل للمجموعة 239.255.255.250.
7. تطبيق سياسة شفرة الربط على RP - كل من PIM (*،G) ضم و(S،G) الانضمام لمجموعة SSDP فقط.
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
ip pim register-policy all_groups
!
Route-map all_groups deny 5
match ip multicast group 239.255.255.250/32
Route-map all_groups deny 10
match ip multicast group 239.255.255.253/32
Route-map all_groups permit 20
match ip multicast group 224.0.0.0/4
!
Interface Ethernet/Y
ip pim sparse-mode
ip pim jp-policy all_groups
|
التحقق من الصحة:
Nexus9K_OR_N7K # show ip mroute 239.255.255.253
IP Multicast Routing Table for VRF "default"
Group not found
!
F241.01.13-C93180YC-EX-1# show ip pim internal event-history join-prune
2021 Jan 08 03:53:41.643419: E_DEBUG pim [1359]: Join disallowed by inbound JP policy
|
يؤكد هذا الإخراج (*،G) منع PIM Join بواسطة RP.
تكوين إدخالات حفظ الأجهزة للبث المتعدد
على الرغم من جميع الخيارات التي تمت مناقشتها في الأقسام (أ) أو (ب) أو (ج)؛ منع إما FHR أو LHR أو FHR/LHR من تسجيل الدفق في RP أو منع إرسال PIM Join (*،G) إلى RP على التوالي؛ لا يزال يمكن إنشاء مدخل مسار أو التطفل ويستهلك إدخالات HW للبث المتعدد.
ملاحظة: يمكنك إستخدام قوائم التحكم في الوصول الخاصة بالمنفذ (RACL) أو قائمة التحكم في الوصول الخاصة بالمنفذ (PACL) على المدخل SVI أو الطبقة 2 الواجهات/port-channels/VPC port-channels في حالة تكوين VPC. إذا تم رش SRC/REC في واجهات VLAN مختلفة أو L2، فهذا يعني أيضا أنه يجب تطبيق RACL أو PACL على جميع تلك الواجهات. ولكن، اعتمادا على الأجهزة/الأجهزة (غالبا بسبب حدود الأجهزة) يمكن أن تختلف النتائج.
PACL
قم بتكوين قائمة التحكم في الوصول الخاصة بالمنفذ (PACL) على مدخل الطبقة 2 port أو port-channel أو vpc port-channel لحظر حركة مرور SSDP أو إنشاء الإدخال (S، G) على FHR.
ملاحظة: اعتمادا على الأجهزة المستخدمة (على سبيل المثال، Nexus N9000)، يمكن أن تحتاج TCAM إلى النحت مسبقا (وهو ما يتطلب إعادة التحميل) لتطبيق قائمة التحكم في الوصول الخاصة بالمنفذ (PACL).
على سبيل المثال:
ip access-list BlockAllSSDP
Statistics per-entry
10 deny ip any 239.255.255.250/32
20 deny ip any 239.255.255.253/32
30 permit ip any any
!
Interface Ethernet X/Y
Or
Interface port-channel XX
ip port-access group BlockAllSSDP in
|
التحقق من الصحة:
F241.01.13-C93180YC-EX-1# sh ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
show ip access-lists BlockAllSSDP
IP access list BlockAllSSDP
statistics per-entry
10 deny ip any 239.255.255.250/32 [match=3] -> Drop counters
20 deny ip any 239.255.255.253/32 [match=0]
30 permit ip any any [match=0]
|
بما أن كلا من منافذ عضوية IGMP/حركة مرور البث المتعدد محظورة عبر PACL، فأنت لا ترى أي تطفل، مسار إدخال. تقوم قائمة التحكم في الوصول الخاصة بالمنفذ (PACL) بشكل أساسي بإسقاطهما معا.
RACL
أنت يستطيع شكلت RACL على مدخل SVI حيث SRC يتواجد غير أن حسب SW/HW يستعمل؛ (S، G) مدخل يستطيع كنت خلقت أو حركة مرور يستطيع كنت أرسلت إلى آخر VLANs محلي.
ip access-list BlockAllSSDP
Statistics per-entry
10 deny ip any 239.255.255.250/32
20 deny ip any 239.255.255.253/32
30 permit ip any any
!
Interface VlanXX
ip port-access group BlockAllSSDP in
|
التحقق من الصحة:
وهو يشبه إلى حد كبير قائمة التحكم في الوصول الخاصة بالمنفذ (PACL) ولكن خيار قائمة التحكم في الوصول الخاصة بالمنفذ (RACL) لا يمكن أن يوفر النتائج نفسها التي تقدمها قائمة التحكم في الوصول الخاصة بالمنفذ (PACL)، وغالبا ما يذكر حد الأجهزة الخاص بها في وقت سابق أيضا.
COPP
يمكنك أيضا حظر SSDP في CoPP. هذا مثال على التكوين:
class-map type control-plane match-any nossdp
match access-group name nossdp
policy-map type control-plane nossdp
class nossdp
police cir 0 bps bc 0 bytes conform transmit violate drop control-plane dynamic
service-policy-dyn input nossdp
!
ip access-list nossdp
statistics per-entry
10 permit ip any 239.255.255.250/32
20 permit igmp any 239.255.255.250/32
30 permit pim any 239.255.255.250/32
|
حدود البث المتعدد العالمية
بدءا من الإصدار 10.2(1) من Cisco NX-OS، يتم دعم تكوين البث المتعدد للحدود العامة.
يجب تكوين {ip | أمر ipV6} multicast group-range prefix-list <prefix-list-name> في وضع تكوين VRF لتحديد نطاق عام لمجموعات IP متعددة البث والقنوات التي يجب السماح بها أو رفضها للحد العام للبث المتعدد. يتم إستخدام هذا الأمر لتعطيل إجراءات بروتوكول البث المتعدد وإعادة توجيه حركة مرور البيانات للمجموعات أو القنوات غير المعتمدة لجميع الواجهات على الموجه. تقوم قائمة البادئات بتكوين الحدود. يتم توفير نموذج للتكوين أدناه:
vrf context enterprise
ip multicast group-range prefix-list test
|
https://www.cisco.com/c/en/us/td/docs/dcn/nx-os/nexus9000/102x/configuration/multicast-routing/cisco-nexus-9000-series-nx-os-multicast-routing-configuration-guide-release-102x/m-overview.html#concept_29A33F30E7F84F7AA20C8D7D1A22ED98
التعليقات