Konfigurieren der Multicast-Filterung auf Nexus 7K/N9K
Inhalt
Einführung
In diesem Dokument werden die verschiedenen Möglichkeiten beschrieben, wie Sie die Möglichkeit haben, bestimmten Multicast-Datenverkehr auf Nexus 7000/9000-Switches zu blockieren oder zu filtern. Sie kann auch zum Schutz von Multicast-Ressourcen eingesetzt werden. Eines der gängigen Beispiele ist die Implementierung von Universal Plug and Play durch Microsoft, das SSDP für die Kommunikation zwischen den Servern verwendet.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie wissen, wie Any-Source Multicast (ASM) bei Verwendung des PIM Sparse Mode auf der Nexus-Plattform funktioniert.
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Nexus 7000 mit F3/M3 LC mit NXOS 7.3(4)D1(1)
- Nexus N9K-C93180YC-EX/FX mit 7.0(3)I7(9) oder 9.3(5)
Die Informationen in diesem Dokument wurden von Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte beginnen mit einer leeren (Standard-)Konfiguration. Wenn Ihr Netzwerk in Produktion ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Hintergrundinformationen
Es folgt eine Liste der verwendeten Akronyme:
RP = Rendezvous Point
FHR = First Hop Router
LHR = Last Hop Router
SRC = Multicast Source
REC = Multicast Receiver
PACL = Port Access List
RACL = Routed Access List
SVI = Switched Virtual Interface (Switched Virtual Interface)
ACL = Access Control List
Konfiguration
Allgemeine Topologie
Konfigurationsbeispiele
Nehmen wir einmal an:
Die IP-Adresse des RP lautet 192.168.10.1.
Die IP-Adresse des SRC lautet 172.16.10.100/32.
SSDP-Gruppe: 239.255.255.250/239.255.255.253
Nun wollen wir die Konfiguration anhand der Rolle des Geräts besprechen. Beispiel: FHR, LHR, RP usw.
FHR - In der Regel ist Multicast SRC direkt mit dem Netzwerk verbunden.
1. Filtern Sie die Registrierung in den vorhandenen RP.
ip pim rp-address 192.168.10.1 route-map filter-registration
!
Route-map filter-registration deny 5
match ip multicast source 172.16.10.100/32 group 239.255.255.250/32
// Above line is specific to SRC/GROUP pair
Route-map filter-registration deny 7
match ip multicast group 239.255.255.250/32
// Above line is for any SRC and specific group
!
Route-map filter-registration permit 100
Match ip multicast group 224.0.0.0/4
2. Filtern Sie die Registrierung zum RP, indem Sie einen falschen RP (der nicht vorhanden ist (z. B. 1.1.1.1) für SSDP-Gruppen definieren. In diesem Fall übernimmt die FHR die Rolle des RP.
ip route 1.1.1.1/32 Null0
!
ip pim rp-address 1.1.1.1 route-map SSDP_groups
!
Route-map SSDP_groups permit 5
match ip multicast group 239.255.255.250/32
Route-map SSDP_groups permit 10
match ip multicast group 239.255.255.253/32
Route-map SSDP_groups deny 20
match ip multicast group 224.0.0.0/4
!
ip pim rp-address 192.168.10.1 route-map all_other_groups
!
Route-map all_other_groups deny 5
match ip multicast group 239.255.255.250/32
Route-map all_other_groups deny 10
match ip multicast group 239.255.255.253/32
Route-map all_other_groups permit 20
match ip multicast group 224.0.0.0/4
Überprüfung:
Nexus9K_OR_N7K# show ip pim rp
PIM RP Status Information for VRF "default"
BSR disabled
Auto-RP disabled
BSR RP Candidate policy: None
BSR RP policy: None
Auto-RP Announce policy: None
Auto-RP Discovery policy: None
RP: 192.168.10.1, (0),
uptime: 00:00:27 priority: 0,
RP-source: (local), group-map: Filter-registration,
group ranges:
224.0.0.0/4
239.255.255.253/32 (deny)
239.255.255.250/32 (deny)
Nexus9K_OR_N7K# show ip mroute
IP Multicast Routing Table for VRF "default"
(172.16.10.100/32, 239.255.255.250/32), uptime: 00:04:12, ip pim
Incoming interface: Vlan10, RPF nbr: 172.16.10.100
Outgoing interface list: (count: 0)
Nexus9K_OR_N7K# show system internal mfwd event-history pkt
pkt events for MCASTFWD process
2021 Jan 1 11:11:41.792316 mcastfwd [21914]: [21933]: Create state for (172.16.10.100, 239.255.255.250)
F241.01.13-C93180YC-EX-1#
Nexus9K_OR_N7K # show ip pim internal event-history null-register
2021 Jan 01 11:15:19.095711: E_DEBUG pim [21935]: Null Register not sent for (172.16.10.100/32, 239.255.255.250/32) yes
Diese Ausgabe bestätigt, dass FHR den Stream nicht zum RP registriert.
LHR - In der Regel ist Multicast REC direkt mit dem Netzwerk verbunden.
3. Anwendung der IGMP-Richtlinie auf Eingangs-SVI (wo REC residiert) Die IGMP-Mitgliedschaftsberichte sollen für SSDP-Gruppen von REC gefiltert werden.
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
!
route-map filter-SSDP-joins deny 5
match ip multicast group 239.255.255.250/32
route-map filter-SSDP-joins deny 6
match ip multicast group 239.255.255.253/32
route-map filter-SSDP-joins permit 100
match ip multicast group 224.0.0.0/4
!
Interface VlanXX
ip igmp report-policy filter-igmp-joins
Überprüfung:
Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
Nexus9K_OR_N7K (config)# show ip igmp snooping groups vlan 44
Type: S - Static, D - Dynamic, R - Router port, F - Fabricpath core port
Vlan Group Address Ver Type Port list
44 */* - R Vlan44
44 239.255.255.250 v2 D Eth1/5
!
Nexus9K_OR_N7K (config)# show ip pim internal event-history join-prune
!
Nexus9K_OR_N7K (config)# show ip igmp internal event-history debugs
debugs events for IGMP process
2021 Jan 1 11:52:21.277915 igmp [1125]: : Filtered group 239.255.255.250
2021 Jan 1 11:52:21.277903 igmp [1125]: : Received v2 Report for 239.255.255.250 from 172.16.44.100 (Vlan44)
Diese Ausgabe bestätigt, dass der IGMP-Mitgliedschaftsbericht gefiltert und die (*,G)-Join-Nachricht nicht an den RP gesendet wird.
PIM = Enabled Router, der als FHR/LHR fungiert
Sie können je nach Bedarf die Optionen 1 oder 2 und 3 kombinieren.
Beispiele:
4. Filtern Sie die Registrierung in den vorhandenen RP (FHR-Rolle):
ip pim rp-address 192.168.10.1 route-map filter-registration
!
Route-map filter-registration deny 5
match ip multicast source 172.16.10.100/32 group 239.255.255.250/32
Route-map filter-registration deny 7
match ip multicast group 239.255.255.250/32
!
Route-map filter-registration permit 100
Match ip multicast group 224.0.0.0/4
5. IGMP-Richtlinie zum Filtern von IGMP-Mitgliedschaftsberichten aus REC (LHR-Rolle).
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
!
route-map filter-SSDP-joins deny 5
match ip multicast group 239.255.255.250/32
route-map filter-SSDP-joins deny 6
match ip multicast group 239.255.255.253/32
route-map filter-SSDP-joins permit 100
match ip multicast group 224.0.0.0/4
!
Interface VlanXX
ip igmp report-policy filter-igmp-joins
Überprüfung:
Ähnlich wie bei der oben in den Punkten C und D beschriebenen Überprüfung.
Show ip mroute
Show ip pim rp
Show ip pim internal event-history join-prune
Show ip igmp internal event-history debugs
RP = Rendezvous Point
6. Registrierungsrichtlinie zur Blockierung der Registrierung von SSDP-Gruppen durch FHR.
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
ip pim register-policy all_groups
!
Route-map all_groups deny 5
match ip multicast group 239.255.255.250/32
Route-map all_groups deny 10
match ip multicast group 239.255.255.253/32
Route-map all_groups permit 20
match ip multicast group 224.0.0.0/4
Überprüfung:
Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
Nexus9K_OR_N7K (config)# show ip pim internal event-history data-register-receive
2021 Jan 08 03:33:06.353951: E_DEBUG pim [1359]: Register disallowed by policy
2021 Jan 08 03:33:06.353935: E_DEBUG pim [1359]: Received DATA Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 1028)
2021 Jan 08 03:29:42.602744: E_DEBUG pim [1359]: Add new route (172.16.10.100/32, 239.1.1.1/32) to MRIB, multi-route TRUE
F241.01.13-C93180YC-EX-1(config)# show ip pim internal event-history null-register
2021 Jan 08 03:35:40.966617: E_DEBUG pim [1359]: Send Register-Stop to 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32)
2021 Jan 08 03:35:40.966613: E_DEBUG pim [1359]: Register disallowed by policy
2021 Jan 08 03:35:40.966597: E_DEBUG pim [1359]: Received NULL Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 20)
Diese Ausgabe bestätigt, dass RP die Registrierung für die Gruppe 239.255.255.250 blockiert.
7. Anwendung der Join-Prune-Richtlinie auf den RP - sowohl Pim-Join-Join- als auch Pim-Join-Join-Join-Join-Join-Joins (S,G)-Joins-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
ip pim register-policy all_groups
!
Route-map all_groups deny 5
match ip multicast group 239.255.255.250/32
Route-map all_groups deny 10
match ip multicast group 239.255.255.253/32
Route-map all_groups permit 20
match ip multicast group 224.0.0.0/4
!
Interface Ethernet/Y
ip pim sparse-mode
ip pim jp-policy all_groups
Überprüfung:
Nexus9K_OR_N7K # show ip mroute 239.255.255.253
IP Multicast Routing Table for VRF "default"
Group not found
!
F241.01.13-C93180YC-EX-1# show ip pim internal event-history join-prune
2021 Jan 08 03:53:41.643419: E_DEBUG pim [1359]: Join disallowed by inbound JP policy
Die obige Ausgabe bestätigt, dass der PIM-Join vom RP blockiert wird (*,G).
Konfigurieren der Speicherung von HW-Einträgen für Multicast
Obwohl alle Optionen in Abschnitt A, B oder C erläutert werden; verhindert, dass FHR, LHR oder FHR/LHR den Stream beim RP registrieren oder die Übermittlung von PIM-Join (*,G) an den RP verhindern; Ein mroute- oder Snooping-Eintrag kann trotzdem erstellt werden und er verwendet Multicast HW-Einträge.
PACL
Konfigurieren Sie PACL auf dem Eingangs-Layer-2-Port oder Port-Channel oder VPC-Port-Channel, um SSDP-Datenverkehr zu blockieren oder einen (S, G)-Eintrag auf FHR zu erstellen.
Beispiele:
ip access-list BlockAllSSDP
Statistics per-entry
10 deny ip any 239.255.255.250/32
20 deny ip any 239.255.255.253/32
30 permit ip any any
!
Interface Ethernet X/Y
Or
Interface port-channel XX
ip port-access group BlockAllSSDP in
Überprüfung:
F241.01.13-C93180YC-EX-1# sh ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
show ip access-lists block_SSDP
IP access list block_SSDP
statistics per-entry
10 deny ip any 239.255.255.250/32 [match=3] -> Drop counters
20 deny ip any 239.255.255.253/32 [match=0]
30 permit ip any any [match=0]
Da beide Ports für Multicast-Datenverkehr/IGMP-Mitgliedschaft über PACL blockiert werden, wird kein Snooping- und Routeneintrag angezeigt. Im Wesentlichen fallen beide PACLs weg.
RACL
Sie können RACL auf Eingangs-SVI konfigurieren, wenn SRC vorhanden ist, jedoch je nach verwendeter SW/HW; (S, G) Ein Eintrag kann trotzdem erstellt werden, oder der Datenverkehr kann an andere lokale VLANs weitergeleitet werden.
ip access-list BlockAllSSDP
Statistics per-entry
10 deny ip any 239.255.255.250/32
20 deny ip any 239.255.255.253/32
30 permit ip any any
!
Interface VlanXX
ip port-access group BlockAllSSDP in
Überprüfung:
Es entspricht in etwa PACL, aber die RACL-Option kann nicht die gleichen Ergebnisse liefern wie PACL. zumeist ist es HW-Einschränkung ist auch bereits erwähnt.
Zugehörige Informationen
- Dies ist ein Fehler bei der Enhancement Request CSCvm44596.
- Technischer Support und Dokumentation für Cisco Systeme
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)