Informationen zu Cisco
Informationen zum Kauf

Haben Sie bereits einen Account?

  •   Personalisierte Inhalte
  •   Ihre Produkte und Ihr Support

Benötigen Sie einen Account?

Einen Account erstellen

Konfigurieren der Multicast-Filterung auf Nexus 7K/N9K

Download-Optionen

  • PDF     (158.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (142.6 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (110.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:15. September 2021
Dokument-ID:216557

Vorurteilsfreie Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung vorurteilsfreier Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „vorurteilsfrei“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, Behinderung, Geschlecht, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einführung

    In diesem Dokument werden die verschiedenen Möglichkeiten beschrieben, wie Sie die Möglichkeit haben, bestimmten Multicast-Datenverkehr auf Nexus 7000/9000-Switches zu blockieren oder zu filtern. Sie kann auch zum Schutz von Multicast-Ressourcen eingesetzt werden. Eines der gängigen Beispiele ist die Implementierung von Universal Plug and Play durch Microsoft, das SSDP für die Kommunikation zwischen den Servern verwendet.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie wissen, wie Any-Source Multicast (ASM) bei Verwendung des PIM Sparse Mode auf der Nexus-Plattform funktioniert.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Nexus 7000 mit F3/M3 LC mit NXOS 7.3(4)D1(1)
    • Nexus N9K-C93180YC-EX/FX mit 7.0(3)I7(9) oder 9.3(5)

    Hinweis: Die Ergebnisse können variieren, wenn SW/HW anders ist.

    Die Informationen in diesem Dokument wurden von Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte beginnen mit einer leeren (Standard-)Konfiguration. Wenn Ihr Netzwerk in Produktion ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.

    Hintergrundinformationen

    Es folgt eine Liste der verwendeten Akronyme:

    RP = Rendezvous Point

    FHR = First Hop Router

    LHR = Last Hop Router

    SRC = Multicast Source

    REC = Multicast Receiver

    PACL = Port Access List

    RACL = Routed Access List

    SVI = Switched Virtual Interface (Switched Virtual Interface)

    ACL = Access Control List

    Konfiguration

    Allgemeine Topologie

    Konfigurationsbeispiele

    Nehmen wir einmal an:

    Die IP-Adresse des RP lautet 192.168.10.1.

    Die IP-Adresse des SRC lautet 172.16.10.100/32.

    SSDP-Gruppe: 239.255.255.250/239.255.255.253

    Nun wollen wir die Konfiguration anhand der Rolle des Geräts besprechen. Beispiel: FHR, LHR, RP usw.

    FHR - In der Regel ist Multicast SRC direkt mit dem Netzwerk verbunden.

    1. Filtern Sie die Registrierung in den vorhandenen RP.

    ip pim rp-address 192.168.10.1 route-map filter-registration

    !

    Route-map filter-registration deny 5

     match ip multicast source 172.16.10.100/32 group 239.255.255.250/32

    // Above line is specific to SRC/GROUP pair

    Route-map filter-registration deny 7

     match ip multicast group 239.255.255.250/32

    // Above line is for any SRC and specific group

    !

    Route-map filter-registration permit 100

     Match ip multicast group 224.0.0.0/4

    2. Filtern Sie die Registrierung zum RP, indem Sie einen falschen RP (der nicht vorhanden ist (z. B. 1.1.1.1) für SSDP-Gruppen definieren. In diesem Fall übernimmt die FHR die Rolle des RP.

    ip route 1.1.1.1/32 Null0

    !

    ip pim rp-address 1.1.1.1 route-map SSDP_groups

    !

    Route-map SSDP_groups permit 5

     match ip multicast group 239.255.255.250/32

    Route-map SSDP_groups permit 10

     match ip multicast group 239.255.255.253/32

    Route-map SSDP_groups deny 20

     match ip multicast group 224.0.0.0/4

    !

    ip pim rp-address 192.168.10.1 route-map all_other_groups

    !

    Route-map all_other_groups deny 5

     match ip multicast group 239.255.255.250/32

    Route-map all_other_groups deny 10

     match ip multicast group 239.255.255.253/32

    Route-map all_other_groups permit 20

     match ip multicast group 224.0.0.0/4

    Überprüfung:

    Nexus9K_OR_N7K# show ip pim rp

    PIM RP Status Information for VRF "default"

    BSR disabled

    Auto-RP disabled

    BSR RP Candidate policy: None

    BSR RP policy: None

    Auto-RP Announce policy: None

    Auto-RP Discovery policy: None


    RP: 192.168.10.1, (0),

     uptime: 00:00:27   priority: 0,

     RP-source: (local), group-map: Filter-registration, 

     group ranges:

     224.0.0.0/4  

     239.255.255.253/32 (deny) 

     239.255.255.250/32 (deny)


    Nexus9K_OR_N7K# show ip mroute

    IP Multicast Routing Table for VRF "default"


    (172.16.10.100/32, 239.255.255.250/32), uptime: 00:04:12, ip pim

      Incoming interface: Vlan10, RPF nbr: 172.16.10.100

      Outgoing interface list: (count: 0)


    Nexus9K_OR_N7K# show system internal mfwd event-history pkt

     pkt events for MCASTFWD process

    2021 Jan  1 11:11:41.792316 mcastfwd [21914]: [21933]: Create state for (172.16.10.100, 239.255.255.250)

    F241.01.13-C93180YC-EX-1#

    Nexus9K_OR_N7K # show ip pim internal event-history null-register

    2021 Jan 01 11:15:19.095711: E_DEBUG    pim [21935]:  Null Register not sent for (172.16.10.100/32, 239.255.255.250/32) yes

    Diese Ausgabe bestätigt, dass FHR den Stream nicht zum RP registriert.

    LHR - In der Regel ist Multicast REC direkt mit dem Netzwerk verbunden.

    3. Anwendung der IGMP-Richtlinie auf Eingangs-SVI (wo REC residiert) Die IGMP-Mitgliedschaftsberichte sollen für SSDP-Gruppen von REC gefiltert werden.

    ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4

    !

    route-map filter-SSDP-joins deny 5

     match ip multicast group 239.255.255.250/32

    route-map filter-SSDP-joins deny 6

     match ip multicast group 239.255.255.253/32

    route-map filter-SSDP-joins permit 100

     match ip multicast group 224.0.0.0/4

    !

    Interface VlanXX

    ip igmp report-policy filter-igmp-joins

    Überprüfung:

    Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250

    IP Multicast Routing Table for VRF "default"


    Group not found

    !

    Nexus9K_OR_N7K (config)# show ip igmp snooping groups vlan 44

    Type: S - Static, D - Dynamic, R - Router port, F - Fabricpath core port


    Vlan  Group Address      Ver  Type  Port list

    44    */*                -    R     Vlan44

    44    239.255.255.250    v2   D     Eth1/5

    !

    Nexus9K_OR_N7K (config)# show ip pim internal event-history join-prune

    !

    Nexus9K_OR_N7K (config)# show ip igmp internal event-history debugs

    debugs events for IGMP process

    2021 Jan  1 11:52:21.277915 igmp [1125]: : Filtered group 239.255.255.250

    2021 Jan  1 11:52:21.277903 igmp [1125]: : Received v2 Report for 239.255.255.250 from 172.16.44.100 (Vlan44)

    Diese Ausgabe bestätigt, dass der IGMP-Mitgliedschaftsbericht gefiltert und die (*,G)-Join-Nachricht nicht an den RP gesendet wird.

    PIM = Enabled Router, der als FHR/LHR fungiert

    Sie können je nach Bedarf die Optionen 1 oder 2 und 3 kombinieren.

    Beispiele:

    4. Filtern Sie die Registrierung in den vorhandenen RP (FHR-Rolle):

    ip pim rp-address 192.168.10.1 route-map filter-registration

    !

    Route-map filter-registration deny 5

     match ip multicast source 172.16.10.100/32 group 239.255.255.250/32

    Route-map filter-registration deny 7

     match ip multicast group 239.255.255.250/32

    !

    Route-map filter-registration permit 100

     Match ip multicast group 224.0.0.0/4

    5. IGMP-Richtlinie zum Filtern von IGMP-Mitgliedschaftsberichten aus REC (LHR-Rolle).

    ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4

    !

    route-map filter-SSDP-joins deny 5

     match ip multicast group 239.255.255.250/32

    route-map filter-SSDP-joins deny 6

     match ip multicast group 239.255.255.253/32

    route-map filter-SSDP-joins permit 100

     match ip multicast group 224.0.0.0/4

    !

    Interface VlanXX

    ip igmp report-policy filter-igmp-joins

    Überprüfung:

    Ähnlich wie bei der oben in den Punkten C und D beschriebenen Überprüfung.

    Show ip mroute

    Show ip pim rp

    Show ip pim internal event-history join-prune

    Show ip igmp internal event-history debugs

    RP = Rendezvous Point

    6. Registrierungsrichtlinie zur Blockierung der Registrierung von SSDP-Gruppen durch FHR.

    ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4

    ip pim register-policy all_groups

    !

    Route-map all_groups deny 5

     match ip multicast group 239.255.255.250/32

    Route-map all_groups deny 10

     match ip multicast group 239.255.255.253/32

    Route-map all_groups permit 20

     match ip multicast group 224.0.0.0/4


    Überprüfung:

    Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250

    IP Multicast Routing Table for VRF "default"


    Group not found

    !

    Nexus9K_OR_N7K (config)# show ip pim internal event-history data-register-receive

    2021 Jan 08 03:33:06.353951: E_DEBUG    pim [1359]:  Register disallowed by policy

    2021 Jan 08 03:33:06.353935: E_DEBUG    pim [1359]:  Received DATA Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 1028)

    2021 Jan 08 03:29:42.602744: E_DEBUG    pim [1359]:  Add new route (172.16.10.100/32, 239.1.1.1/32) to MRIB, multi-route TRUE


    F241.01.13-C93180YC-EX-1(config)# show ip pim internal event-history null-register

    2021 Jan 08 03:35:40.966617: E_DEBUG    pim [1359]:  Send Register-Stop to 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32)

    2021 Jan 08 03:35:40.966613: E_DEBUG    pim [1359]:  Register disallowed by policy

    2021 Jan 08 03:35:40.966597: E_DEBUG    pim [1359]:  Received NULL Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 20)


    Diese Ausgabe bestätigt, dass RP die Registrierung für die Gruppe 239.255.255.250 blockiert.

    7. Anwendung der Join-Prune-Richtlinie auf den RP - sowohl Pim-Join-Join- als auch Pim-Join-Join-Join-Join-Join-Joins (S,G)-Joins-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join-Join

    ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4

    ip pim register-policy all_groups

    !

    Route-map all_groups deny 5

     match ip multicast group 239.255.255.250/32

    Route-map all_groups deny 10

     match ip multicast group 239.255.255.253/32

    Route-map all_groups permit 20

     match ip multicast group 224.0.0.0/4

    !

    Interface Ethernet/Y

     ip pim sparse-mode

     ip pim jp-policy all_groups


    Überprüfung:

    Nexus9K_OR_N7K # show ip mroute 239.255.255.253

    IP Multicast Routing Table for VRF "default"

    Group not found

    !

    F241.01.13-C93180YC-EX-1# show ip pim internal event-history join-prune

    2021 Jan 08 03:53:41.643419: E_DEBUG    pim [1359]:  Join disallowed by inbound JP policy

    Die obige Ausgabe bestätigt, dass der PIM-Join vom RP blockiert wird (*,G).

    Konfigurieren der Speicherung von HW-Einträgen für Multicast

    Obwohl alle Optionen in Abschnitt A, B oder C erläutert werden; verhindert, dass FHR, LHR oder FHR/LHR den Stream beim RP registrieren oder die Übermittlung von PIM-Join (*,G) an den RP verhindern; Ein mroute- oder Snooping-Eintrag kann trotzdem erstellt werden und er verwendet Multicast HW-Einträge.

    Hinweis: Sie können RACL oder PACL an Eingangs-SVI- oder Layer-2-Schnittstellen/Port-Channels/VPC-Port-Channels verwenden, falls VPC konfiguriert ist. Wenn SRC/REC in verschiedenen VLAN- oder L2-Schnittstellen ausgesprüht werden, bedeutet dies auch, dass RACL oder PACL auf alle diese Schnittstellen angewendet werden müssen. Die Ergebnisse können jedoch je nach HW/SW (meist aufgrund von HW-Einschränkungen) variieren.

    PACL

    Konfigurieren Sie PACL auf dem Eingangs-Layer-2-Port oder Port-Channel oder VPC-Port-Channel, um SSDP-Datenverkehr zu blockieren oder einen (S, G)-Eintrag auf FHR zu erstellen.

    Hinweis: Je nach verwendeter HW (Beispiel Nexus N9000) muss der TCAM möglicherweise vor der Anwendung der PACL extrahiert werden (dies muss neu geladen werden).

    Beispiele:

     ip access-list BlockAllSSDP

     Statistics per-entry

     10 deny ip any 239.255.255.250/32

     20 deny ip any 239.255.255.253/32

     30 permit ip any any

    !

    Interface Ethernet X/Y

    Or 

    Interface port-channel XX

    ip port-access group BlockAllSSDP in

    Überprüfung:

    F241.01.13-C93180YC-EX-1#  sh ip mroute  239.255.255.250

    IP Multicast Routing Table for VRF "default"

    Group not found

    !

    show ip access-lists block_SSDP

    IP access list block_SSDP

            statistics per-entry

            10 deny ip any 239.255.255.250/32 [match=3] -> Drop counters

            20 deny ip any 239.255.255.253/32 [match=0]

            30 permit ip any any [match=0]

    Da beide Ports für Multicast-Datenverkehr/IGMP-Mitgliedschaft über PACL blockiert werden, wird kein Snooping- und Routeneintrag angezeigt. Im Wesentlichen fallen beide PACLs weg.

    RACL

    Sie können RACL auf Eingangs-SVI konfigurieren, wenn SRC vorhanden ist, jedoch je nach verwendeter SW/HW; (S, G) Ein Eintrag kann trotzdem erstellt werden, oder der Datenverkehr kann an andere lokale VLANs weitergeleitet werden.

    ip access-list BlockAllSSDP

     Statistics per-entry

     10 deny ip any 239.255.255.250/32

     20 deny ip any 239.255.255.253/32

     30 permit ip any any

    !

    Interface VlanXX

    ip port-access group BlockAllSSDP in

    Überprüfung:

    Es entspricht in etwa PACL, aber die RACL-Option kann nicht die gleichen Ergebnisse liefern wie PACL. zumeist ist es HW-Einschränkung ist auch bereits erwähnt.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    15-Sep-2021
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Atul Patil
      Cisco TAC Engineer
    • Rurick Kellerman
      Cisco TAC Engineer
    • Varun Jose
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.