El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe las diferentes maneras de configurar las posibles maneras de bloquear o filtrar cierto tráfico multicast en los switches Nexus 7000/9000. También se puede utilizar para conservar recursos de multidifusión. Uno de los ejemplos comunes es la implementación por parte de Microsoft de la operación Universal Plug and Play que utiliza SSDP para comunicarse entre los servidores.
Cisco recomienda que conozca cómo funciona la multidifusión de cualquier origen (ASM) con el uso del modo disperso de PIM en la plataforma Nexus.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
Nota: Los resultados pueden variar si SW/HW es diferente.
La información de este documento se creó a partir de dispositivos en un entorno de laboratorio específico. Todos los dispositivos utilizados en este documento comienzan con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto potencial de cualquier comando.
Aquí está la lista de los acrónimos usados:
RP - Punto de encuentro
FHR: router de primer salto
LHR: router de último salto
SRC - Origen de multidifusión
REC - Receptor de multidifusión
PACL - lista de acceso de puerto
RACL - lista de acceso enrutada
SVI - Interfaz virtual conmutada
ACL - Lista de control de acceso
Supongamos que:
La dirección IP del RP es 192.168.10.1
La dirección IP del SRC es 172.16.10.100/32
Grupo SSDP: 239.255.255.250/239.255.255.253
Ahora, hablemos de la configuración en función de la función del dispositivo. Por ejemplo, FHR, LHR, RP, etc.
1. Filtrar registro hacia el RP existente.
|
2. Filtre el Registro hacia el RP definiendo un RP falso (que no existe (por ejemplo, 1.1.1.1) para los grupos SSDP; FHR, en este caso, asume la función de RP.
|
Controle lo siguiente:
|
El resultado anterior confirma que FHR no está registrando el flujo en RP.
3. Aplicación de la política IGMP en SVI de ingreso (donde reside REC). La idea aquí es filtrar los informes de afiliación IGMP para los grupos SSDP de REC.
|
Controle lo siguiente:
|
La salida anterior confirma que el informe de afiliación de IGMP se filtra y que la unión (*,G) no se envía al RP.
Puede utilizar una combinación de las opciones 1, 2 y 3, según sus requisitos.
Por ejemplo:
4. Filtrar registro hacia el RP existente (función FHR):
|
5. Política IGMP para filtrar los informes de afiliación IGMP desde REC (función LHR).
|
Controle lo siguiente:
Más o menos lo mismo que la verificación realizada en los puntos C y D.
|
6. Política de registro para bloquear el registro del grupo SSDP de FHR.
|
Controle lo siguiente:
|
La salida anterior confirma que el RP está bloqueando el registro para el grupo 239.255.255.250.
7. Aplicación de la política de unión en el RP - ambos se unen a pim (*,G) y (S,G) sólo para el grupo SSDP.
|
Controle lo siguiente:
|
La salida anterior confirma que el RP bloquea la unión del PIM (*,G).
Aunque todas las opciones examinadas en las secciones A, B o C; impedirá que FHR, LHR o FHR/LHR registren el flujo en RP o evitará el envío de la Unión PIM (*,G) hacia RP respectivamente; todavía se puede crear una entrada mroute o snooping y consumirá entradas de HW multicast.
Nota: Puede utilizar RACL o PACL en interfaces SVI o Capa 2/canales de puerto/canales de puerto VPC de ingreso en caso de que VPC esté configurado. Si SRC/REC se rocían en diferentes VLAN o interfaces L2, significa también que la RACL o PACL deberán aplicarse en todas ellas. Pero, dependiendo del hardware/SW (principalmente debido a la limitación de hardware) los resultados pueden variar.
Configure PACL en el puerto de Capa 2 de ingreso o canal de puerto o canal de puerto VPC para bloquear el tráfico SSDP o la creación de entrada (S, G) en FHR.
Nota: Dependiendo del hardware utilizado (ejemplo Nexus N9000), es posible que sea necesario tallar la TCAM antes (que requiere recarga) de aplicar el PACL.
Por ejemplo:
|
Controle lo siguiente:
|
Dado que ambos puertos de pertenencia de tráfico multicast/IGMP se bloquean a través de PACL, no verá ninguna entrada de ruta multicast de indagación. Esencialmente PACL los está descartando a ambos.
Puede configurar RACL en el SVI de ingreso donde existe SRC pero dependiendo del SW/HW utilizado; La entrada (S, G) puede crearse o el tráfico puede reenviarse a otras VLAN locales.
|
Controle lo siguiente:
Es prácticamente igual que la PACL pero la opción RACL puede no proporcionar los mismos resultados que la PACL; en su mayoría, la limitación de hardware también se menciona anteriormente.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
15-Sep-2021 |
Versión inicial |