Configuración del filtrado multidifusión en Nexus 7K/N9K

Introducción

Este documento describe las diferentes maneras de configurar las posibles maneras de bloquear o filtrar cierto tráfico multicast en los switches Nexus 7000/9000. También se puede utilizar para conservar recursos de multidifusión. Uno de los ejemplos comunes es la implementación por parte de Microsoft de la operación Universal Plug and Play que utiliza SSDP para comunicarse entre los servidores.

prerrequisitos

Requisitos

Cisco recomienda que conozca cómo funciona la multidifusión de cualquier origen (ASM) con el uso del modo disperso de PIM en la plataforma Nexus.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Nexus 7K con LC F3/M3 que ejecuta NXOS 7.3(4)D1(1)
• Nexus N9K-C93180YC-EX/FX con 7.0(3)I7(9) o 9.3(5)

Nota: Los resultados pueden variar si SW/HW es diferente.

La información de este documento se creó a partir de dispositivos en un entorno de laboratorio específico. Todos los dispositivos utilizados en este documento comienzan con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto potencial de cualquier comando.

Antecedentes

Aquí está la lista de los acrónimos usados:

RP - Punto de encuentro

FHR: router de primer salto

LHR: router de último salto

SRC - Origen de multidifusión

REC - Receptor de multidifusión

PACL - lista de acceso de puerto

RACL - lista de acceso enrutada

SVI - Interfaz virtual conmutada

ACL - Lista de control de acceso

Configurar

Topología genérica

Ejemplos de Configuración

Supongamos que:

La dirección IP del RP es 192.168.10.1

La dirección IP del SRC es 172.16.10.100/32

Grupo SSDP: 239.255.255.250/239.255.255.253

Ahora, hablemos de la configuración en función de la función del dispositivo. Por ejemplo, FHR, LHR, RP, etc.

FHR: Normalmente, el SRC de multidifusión se conecta directamente aquí

1. Filtrar registro hacia el RP existente.

ip pim rp-address 192.168.10.1 route-map filter-registration

!

Route-map filter-registration deny 5

 match ip multicast source 172.16.10.100/32 group 239.255.255.250/32

// Above line is specific to SRC/GROUP pair

Route-map filter-registration deny 7

 match ip multicast group 239.255.255.250/32

// Above line is for any SRC and specific group

!

Route-map filter-registration permit 100

 Match ip multicast group 224.0.0.0/4

2. Filtre el Registro hacia el RP definiendo un RP falso (que no existe (por ejemplo, 1.1.1.1) para los grupos SSDP; FHR, en este caso, asume la función de RP.

ip route 1.1.1.1/32 Null0

!

ip pim rp-address 1.1.1.1 route-map SSDP_groups

!

Route-map SSDP_groups permit 5

 match ip multicast group 239.255.255.250/32

Route-map SSDP_groups permit 10

 match ip multicast group 239.255.255.253/32

Route-map SSDP_groups deny 20

 match ip multicast group 224.0.0.0/4

!

ip pim rp-address 192.168.10.1 route-map all_other_groups

!

Route-map all_other_groups deny 5

 match ip multicast group 239.255.255.250/32

Route-map all_other_groups deny 10

 match ip multicast group 239.255.255.253/32

Route-map all_other_groups permit 20

 match ip multicast group 224.0.0.0/4

Controle lo siguiente:

Nexus9K_OR_N7K# show ip pim rp

PIM RP Status Information for VRF "default"

BSR disabled

Auto-RP disabled

BSR RP Candidate policy: None

BSR RP policy: None

Auto-RP Announce policy: None

Auto-RP Discovery policy: None


RP: 192.168.10.1, (0),

 uptime: 00:00:27   priority: 0,

 RP-source: (local), group-map: Filter-registration, 

 group ranges:

 224.0.0.0/4  

 239.255.255.253/32 (deny) 

 239.255.255.250/32 (deny)


Nexus9K_OR_N7K# show ip mroute

IP Multicast Routing Table for VRF "default"


(172.16.10.100/32, 239.255.255.250/32), uptime: 00:04:12, ip pim

  Incoming interface: Vlan10, RPF nbr: 172.16.10.100

  Outgoing interface list: (count: 0)


Nexus9K_OR_N7K# show system internal mfwd event-history pkt

 pkt events for MCASTFWD process

2021 Jan  1 11:11:41.792316 mcastfwd [21914]: [21933]: Create state for (172.16.10.100, 239.255.255.250)

F241.01.13-C93180YC-EX-1#

Nexus9K_OR_N7K # show ip pim internal event-history null-register

2021 Jan 01 11:15:19.095711: E_DEBUG    pim [21935]:  Null Register not sent for (172.16.10.100/32, 239.255.255.250/32) yes

Esta salida confirma que FHR no está registrando el flujo en RP.

LHR: Normalmente, el REC de multidifusión se conecta directamente aquí

3. Aplicación de la política IGMP en SVI de ingreso (donde reside REC). La idea aquí es filtrar los informes de afiliación IGMP para los grupos SSDP de REC.

ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4

!

route-map filter-SSDP-joins deny 5

 match ip multicast group 239.255.255.250/32

route-map filter-SSDP-joins deny 6

 match ip multicast group 239.255.255.253/32

route-map filter-SSDP-joins permit 100

 match ip multicast group 224.0.0.0/4

!

Interface VlanXX

ip igmp report-policy filter-igmp-joins

Controle lo siguiente:

Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250

IP Multicast Routing Table for VRF "default"


Group not found

!

Nexus9K_OR_N7K (config)# show ip igmp snooping groups vlan 44

Type: S - Static, D - Dynamic, R - Router port, F - Fabricpath core port


Vlan  Group Address      Ver  Type  Port list

44    */*                -    R     Vlan44

44    239.255.255.250    v2   D     Eth1/5

!

Nexus9K_OR_N7K (config)# show ip pim internal event-history join-prune

!

Nexus9K_OR_N7K (config)# show ip igmp internal event-history debugs

debugs events for IGMP process

2021 Jan  1 11:52:21.277915 igmp [1125]: : Filtered group 239.255.255.250

2021 Jan  1 11:52:21.277903 igmp [1125]: : Received v2 Report for 239.255.255.250 from 172.16.44.100 (Vlan44)

Esta salida confirma que el informe de afiliación de IGMP se filtra y que la unión (*,G) no se envía al RP.

PIM - Router habilitado que actúa como FHR/LHR

Puede utilizar una combinación de las opciones 1, 2 y 3, según sus requisitos.

Por ejemplo:

4. Filtrar registro hacia el RP existente (función FHR):

ip pim rp-address 192.168.10.1 route-map filter-registration

!

Route-map filter-registration deny 5

 match ip multicast source 172.16.10.100/32 group 239.255.255.250/32

Route-map filter-registration deny 7

 match ip multicast group 239.255.255.250/32

!

Route-map filter-registration permit 100

 Match ip multicast group 224.0.0.0/4

5. Política IGMP para filtrar los informes de afiliación IGMP desde REC (función LHR).

ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4

!

route-map filter-SSDP-joins deny 5

 match ip multicast group 239.255.255.250/32

route-map filter-SSDP-joins deny 6

 match ip multicast group 239.255.255.253/32

route-map filter-SSDP-joins permit 100

 match ip multicast group 224.0.0.0/4

!

Interface VlanXX

ip igmp report-policy filter-igmp-joins

Controle lo siguiente:

Más o menos lo mismo que la verificación realizada en los puntos C y D.

Show ip mroute

Show ip pim rp

Show ip pim internal event-history join-prune

Show ip igmp internal event-history debugs

RP - Este es el punto de encuentro

6. Política de registro para bloquear el registro del grupo SSDP de FHR.

ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4

ip pim register-policy all_groups

!

Route-map all_groups deny 5

 match ip multicast group 239.255.255.250/32

Route-map all_groups deny 10

 match ip multicast group 239.255.255.253/32

Route-map all_groups permit 20

 match ip multicast group 224.0.0.0/4

Controle lo siguiente:

Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250

IP Multicast Routing Table for VRF "default"


Group not found

!

Nexus9K_OR_N7K (config)# show ip pim internal event-history data-register-receive

2021 Jan 08 03:33:06.353951: E_DEBUG    pim [1359]:  Register disallowed by policy

2021 Jan 08 03:33:06.353935: E_DEBUG    pim [1359]:  Received DATA Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 1028)

2021 Jan 08 03:29:42.602744: E_DEBUG    pim [1359]:  Add new route (172.16.10.100/32, 239.1.1.1/32) to MRIB, multi-route TRUE


F241.01.13-C93180YC-EX-1(config)# show ip pim internal event-history null-register

2021 Jan 08 03:35:40.966617: E_DEBUG    pim [1359]:  Send Register-Stop to 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32)

2021 Jan 08 03:35:40.966613: E_DEBUG    pim [1359]:  Register disallowed by policy

2021 Jan 08 03:35:40.966597: E_DEBUG    pim [1359]:  Received NULL Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 20)

Esta salida confirma que el RP está bloqueando el registro para el grupo 239.255.255.250.

7. Aplicación de la política de unión en el RP - ambos se unen a pim (*,G) y (S,G) sólo para el grupo SSDP.

ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4

ip pim register-policy all_groups

!

Route-map all_groups deny 5

 match ip multicast group 239.255.255.250/32

Route-map all_groups deny 10

 match ip multicast group 239.255.255.253/32

Route-map all_groups permit 20

 match ip multicast group 224.0.0.0/4

!

Interface Ethernet/Y

 ip pim sparse-mode

 ip pim jp-policy all_groups

Controle lo siguiente:

Nexus9K_OR_N7K # show ip mroute 239.255.255.253

IP Multicast Routing Table for VRF "default"

Group not found

!

F241.01.13-C93180YC-EX-1# show ip pim internal event-history join-prune

2021 Jan 08 03:53:41.643419: E_DEBUG    pim [1359]:  Join disallowed by inbound JP policy

La salida anterior confirma que el RP bloquea la unión del PIM (*,G).

Configurar la conservación de entradas de hardware para multidifusión

Aunque todas las opciones examinadas en las secciones A, B o C; impedirá que FHR, LHR o FHR/LHR registren el flujo en RP o evitará el envío de la Unión PIM (*,G) hacia RP respectivamente; todavía se puede crear una entrada mroute o snooping y consumirá entradas de HW multicast.

Nota: Puede utilizar RACL o PACL en interfaces SVI o Capa 2/canales de puerto/canales de puerto VPC de ingreso en caso de que VPC esté configurado. Si SRC/REC se rocían en diferentes VLAN o interfaces L2, significa también que la RACL o PACL deberán aplicarse en todas ellas. Pero, dependiendo del hardware/SW (principalmente debido a la limitación de hardware) los resultados pueden variar.

PACL

Configure PACL en el puerto de Capa 2 de ingreso o canal de puerto o canal de puerto VPC para bloquear el tráfico SSDP o la creación de entrada (S, G) en FHR.

Nota: Dependiendo del hardware utilizado (ejemplo Nexus N9000), es posible que sea necesario tallar la TCAM antes (que requiere recarga) de aplicar el PACL.

Por ejemplo:

 ip access-list BlockAllSSDP

 Statistics per-entry

 10 deny ip any 239.255.255.250/32

 20 deny ip any 239.255.255.253/32

 30 permit ip any any

!

Interface Ethernet X/Y

Or 

Interface port-channel XX

ip port-access group BlockAllSSDP in

Controle lo siguiente:

F241.01.13-C93180YC-EX-1#  sh ip mroute  239.255.255.250

IP Multicast Routing Table for VRF "default"

Group not found

!

show ip access-lists block_SSDP

IP access list block_SSDP

        statistics per-entry

        10 deny ip any 239.255.255.250/32 [match=3] -> Drop counters

        20 deny ip any 239.255.255.253/32 [match=0]

        30 permit ip any any [match=0]

Dado que ambos puertos de pertenencia de tráfico multicast/IGMP se bloquean a través de PACL, no verá ninguna entrada de ruta multicast de indagación. Esencialmente PACL los está descartando a ambos.

RACL

Puede configurar RACL en el SVI de ingreso donde existe SRC pero dependiendo del SW/HW utilizado; La entrada (S, G) puede crearse o el tráfico puede reenviarse a otras VLAN locales.

ip access-list BlockAllSSDP

 Statistics per-entry

 10 deny ip any 239.255.255.250/32

 20 deny ip any 239.255.255.253/32

 30 permit ip any any

!

Interface VlanXX

ip port-access group BlockAllSSDP in

Controle lo siguiente:

Es prácticamente el mismo que PACL, pero la opción RACL puede no proporcionar los mismos resultados que PACL; en su mayoría, la limitación de hardware también se menciona anteriormente.

Información Relacionada

• Este es un error de solicitud de mejora CSCvm44596
• Soporte Técnico y Documentación - Cisco Systems