マルチキャスト ルーティング

この章では、マルチキャスト ルーティング プロトコルを使用するように ASA を設定する方法について説明します。

マルチキャスト ルーティングについて

マルチキャスト ルーティングは、単一の情報ストリームを数千もの企業や家庭に同時に配信することでトラフィックを軽減する帯域幅節約型のテクノロジーです。マルチキャスト ルーティングを活用するアプリケーションには、ビデオ会議、企業通信、遠隔学習に加えて、ソフトウェア、株価、およびニュースの配信などがあります。

マルチキャスト ルーティング プロトコルでは、競合テクノロジーのネットワーク帯域幅の使用量を最小限に抑えながら、送信元や受信者の負荷を増加させずに発信元のトラフィックを複数の受信者に配信します。マルチキャスト パケットは、Protocol Independent Multicast(PIM)やサポートする他のマルチキャスト プロトコルを使用した ASA によりネットワークで複製されるため、複数の受信者にできる限り高い効率でデータを配信できます。

ASA は、スタブ マルチキャスト ルーティングと PIM マルチキャスト ルーティングの両方をサポートしています。ただし、1 つの ASA に両方を同時に設定することはできません。


(注)  

マルチキャスト ルーティングでは、UDP トランスポートおよび非 UDP トランスポートの両方がサポートされます。ただし、非 UDP トランスポートでは FastPath 最適化は行われません。

スタブ マルチキャスト ルーティング

スタブ マルチキャスト ルーティングは、ダイナミック ホスト登録の機能を提供して、マルチキャスト ルーティングを容易にします。スタブ マルチキャスト ルーティングを設定すると、ASA は IGMP のプロキシ エージェントとして動作します。ASA は、マルチキャスト ルーティングに全面的に参加するのではなく、IGMP メッセージをアップストリームのマルチキャスト ルータに転送し、そのルータがマルチキャスト データの送信をセットアップします。スタブ マルチキャスト ルーティングを設定する場合は、ASA を PIM スパース モードまたは双方向モード用に設定できません。IGMP スタブ マルチキャスト ルーティングに参加するインターフェイス上で PIM を有効にする必要があります。

ASA は、PIM-SM および双方向 PIM の両方をサポートしています。PIM-SM は、基盤となるユニキャスト ルーティング情報ベースまたは別のマルチキャスト対応ルーティング情報ベースを使用するマルチキャスト ルーティング プロトコルです。このプロトコルは、マルチキャスト グループあたり 1 つのランデブー ポイント(RP)をルートにした単方向の共有ツリーを構築し、オプションでマルチキャストの発信元ごとに最短パス ツリーを作成します。

PIM マルチキャスト ルーティング

双方向 PIM は PIM-SM の変形で、マルチキャストの発信元と受信者を接続する双方向の共有ツリーを構築します。双方向ツリーは、マルチキャスト トポロジの各リンクで動作する指定フォワーダ(DF)選択プロセスを使用して構築されます。DF に支援されたマルチキャスト データは発信元からランデブー ポイント(RP)に転送されます。この結果、マルチキャスト データは発信元固有の状態を必要とせず、共有ツリーをたどって受信者に送信されます。DF の選択は RP の検出中に行われ、これによってデフォルト ルートが RP に提供されます。


(注)  

ASAが PIM RP の場合は、ASAの変換されていない外部アドレスを RP アドレスとして使用してください。

PIM Source Specific Multicast のサポート

ASAは PIM Source Specific Multicast(SSM)の機能や関連設定をサポートしていません。ただし、ASAは最終ホップ ルータとして配置されていない限り、SSM 関連のパケットの通過を許可します。

SSM は、IPTV などの 1 対多のアプリケーションのデータ送信メカニズムとして分類されます。SSM モデルは、(S、G)ペアで示される「チャネル」の概念を使用します。S は発信元アドレス、G は SSM 宛先アドレスです。チャネルに登録するには、IGMPv3 などのグループ管理プロトコルを使用して行います。SSM は、特定のマルチキャスト送信元について学習した後、受信側のクライアントを有効にします。これにより、共有ランデブー ポイント(RP)からではなく、直接送信元からマルチキャスト ストリームを受信できるようになります。アクセス制御メカニズムは SSM 内に導入され、現在のスパースまたはスパース - デンス モードの実装では提供されないセキュリティ拡張機能を提供します。

PIM-SSM は、RP または共有ツリーを使用しない点で PIM-SM とは異なります。代わりに、マルチキャスト グループの発信元アドレスの情報は、ローカル受信プロトコル(IGMPv3)経由で受信者から提供され、送信元固有のツリーを直接作成するために使用されます。

PIM ブートストラップ ルータ(BSR)

PIM ブートストラップ ルータ(BSR)は、RP 機能およびグループの RP 情報をリレーするために候補のルータを使用する動的ランデブー ポイント(RP)セレクション モデルです。RP 機能には RP の検出が含まれており、RP にデフォルト ルートを提供します。これは、一連のデバイスを BSR の選択プロセスに参加する候補の BSR(C-BSR)として設定し、その中から BSR を選択することで実現します。BSR が選択されると、候補のランデブー ポイント(C-RP)として設定されたデバイスは、選定された BSR にグループ マッピングの送信を開始します。次に、BSR はホップ単位で PIM ルータ間を移動する BSR メッセージ経由で、マルチキャスト ツリーに至る他のすべてのデバイスにグループ/RP マッピング情報を配布します。

この機能は、RP を動的に学習する方法を提供するため、RP が停止と起動を繰り返す複雑で大規模なネットワークには不可欠です。

PIM ブートストラップ ルータ(BSR)の用語

PIM BSR の設定では、次の用語がよく使用されます。

  • ブートストラップ ルータ(BSR):BSR はホップバイホップ ベースの PIM が設定された他のルータに、ランデブー ポイント(RP)情報をアドバタイズします。選択プロセスの後に、複数の候補 BSR の中から 1 つの BSR が選択されます。このブートストラップ ルータの主な目的は、すべての候補 RP(C-RP)通知を RP-set というデータベースに収集し、これをネットワーク内の他のすべてのルータに定期的に BSR メッセージとして送信することです(60 秒ごと)。

  • ブートストラップ ルータ(BSR)メッセージ:BSR メッセージは、TTL が 1 に設定された All-PIM-Routers グループへのマルチキャストです。これらのメッセージを受信するすべての PIM ネイバーは、メッセージを受信したインターフェイスを除くすべてのインターフェイスからそのメッセージを再送信します(TTL は 1 に設定)。BSR メッセージには、現在アクティブな BSR の RP-set と IP アドレスが含まれています。この方法で、C-RP は C-RP メッセージのユニキャスト先を認識します。

  • 候補ブートストラップ ルータ(C-BSR):候補 BSR として設定されるデバイスは、BSR 選択メカニズムに参加します。最も優先順位の高い C-BSR が BSR として選択されます。C-BSR の最上位の IP アドレスはタイブレイカーとして使用されます。BSR の選択プロセスはプリエンプティブです。たとえば、より優先順位の高い C-BSR が新たに見つかると、新しい選択プロセスがトリガーされます。

  • 候補ランデブー ポイント(C-RP):RP はマルチキャスト データの送信元と受信者が対面する場所として機能します。C-RP として設定されているデバイスは、マルチキャスト グループ マッピング情報を、ユニキャスト経由で直接、選択された BSR に定期的にアドバタイズします。これらのメッセージには、グループ範囲、C-RP アドレス、および保留時間が含まれています。現在の BSR の IP アドレスは、ネットワーク内のすべてのルータが受信した定期的な BSR メッセージから学習されます。このようにして、BSR は現在動作中で到達可能な RP 候補について学習します。


    (注)  

    C-RP は BSR トラフィックの必須要件ですが、ASA は C-RP としては機能しません。ルータのみが C-RP として機能できます。したがって、BSR のテスト機能では、トポロジにルータを追加する必要があります。

  • BSR 選択メカニズム:各 C-BSR は、BSR 優先順位フィールドを含むブートストラップ メッセージ(BSM)を生成します。ドメイン内のルータは、ドメイン全体に BSM をフラッディングします。自身より優先順位の高い C-BSR に関する情報を受け取った BSR は、一定期間、BSM の送信を抑止します。残った単一の C-BSR が選択された BSR となり、その BSM により、選択された BSR に関する通知がドメイン内の他のすべてのルータに対して送信されます。

マルチキャスト グループの概念

マルチキャストはグループの概念に基づくものです。受信者の任意のグループは、特定のデータ ストリームを受信することに関心があります。このグループには物理的または地理的な境界がなく、インターネット上のどの場所にホストを置くこともできます。特定のグループに流れるデータの受信に関心があるホストは、IGMP を使用してグループに加入する必要があります。ホストがデータ ストリームを受信するには、グループのメンバでなければなりません。

マルチキャスト アドレス

マルチキャスト アドレスは、グループに加入し、このグループに送信されるトラフィックの受信を希望する IP ホストの任意のグループを指定します。

クラスタ

マルチキャスト ルーティングは、クラスタリングをサポートします。スパンド EtherChannel クラスタリングでは、ファーストパス転送が確立されるまでの間、制御ユニットがすべてのマルチキャスト ルーティング パケットとデータパケットを送信します。ファーストパス転送が確立されると、データユニットがマルチキャスト データ パケットを転送できます。すべてのデータ フローは、フル フローです。スタブ転送フローもサポートされます。スパンド EtherChannel クラスタリングでは 1 つのユニットだけがマルチキャストパケットを受信するため、制御ユニットへのリダイレクションは共通です。 個別インターフェイス クラスタリングでは、ユニットは個別に機能しません。すべてのデータとルーティングパケットは制御ユニットで処理され、転送されます。データユニットは、送信されたすべてのパケットをドロップします。

マルチキャスト ルーティングのガイドライン

コンテキスト モード

シングル コンテキスト モードでサポートされています。

ファイアウォール モード

ルーテッド ファイアウォール モードでのみサポートされています。トランスペアレント ファイアウォール モードはサポートされません。

IPv6

IPv6 はサポートされません。

マルチキャスト グループ

224.0.0.0 〜 224.0.0.255 のアドレス範囲は、ルーティングプロトコル、およびゲートウェイディスカバリやグループ メンバーシップ レポートなどのその他のトポロジディスカバリまたはメンテナンスプロトコルを使用するために予約されています。したがって、アドレス範囲 224.0.0/24 からのインターネット マルチキャスト ルーティングはサポートされません。予約されたアドレスのマルチキャストルーティングを有効にすると、IGMP グループは作成されません。

クラスタリング

IGMP および PIM のクラスタリングでは、この機能はプライマリ ユニットでのみサポートされます。

その他のガイドライン

  • 224.1.2.3 などのマルチキャスト ホストへのトラフィックを許可するには、インバウンド インターフェイス上のアクセス制御ルールを設定する必要があります。ただし、ルールの宛先インターフェイスを指定したり、初期接続確認の間にマルチキャストの接続に適用したりすることはできません。

  • PIM/IGMP マルチキャストルーティングは、トラフィックゾーン内のインターフェイスではサポートされません。

  • ASA を同時にランデブーポイント(RP)とファーストホップルータになるように設定しないでください。

  • HSRP スタンバイ IP アドレスは、PIM ネイバーシップに参加しません。したがって、RP ルータ IP が HSRP スタンバイ IP アドレスを介してルーティングされる場合、マルチキャストルーティングはASAで機能しません。マルチキャストトラフィックが正常に通過するようにするには、RP アドレスのルートが HSRP スタンバイ IP アドレスではないことを確認し、代わりに、ルートアドレスをインターフェイス IP アドレスに設定します。

マルチキャスト ルーティングの有効化

ASA でマルチキャストルーティングを有効にすると、デフォルトではすべてのデータインターフェイスで IGMP と PIM が有効になりますが、ほとんどのモデルの管理インターフェイスでは有効になりません(通過トラフィックを許可しないインターフェイスについては、管理スロット/ポート インターフェイスを参照してください)。IGMP は、直接接続されているサブネット上にグループのメンバーが存在するかどうか学習するために使用されます。ホストは、IGMP レポート メッセージを送信することにより、マルチキャスト グループに参加します。PIM は、マルチキャスト データグラムを転送するための転送テーブルを維持するために使用されます。

管理インターフェイスでマルチキャストルーティングを有効にするには、管理インターフェイスでマルチキャスト境界を明示的に設定する必要があります。


(注)  

マルチキャスト ルーティングでは、UDP トランスポート レイヤだけがサポートされています。

以下の一覧に、特定のマルチキャストテーブルに追加されるエントリの最大数を示します。この上限に達すると、新しいエントリは廃棄されます。

  • MFIB:30,000

  • IGMP グループ:30,000

  • PIM ルート:72,000

手順

マルチキャスト ルーティングをイネーブルにします。

multicast-routing

例:


ciscoasa(config)# multicast-routing

マルチキャスト ルーティング テーブルのエントリの数は、ASA に搭載されている RAM の量によって制限されます。

マルチキャスト ルーティングのカスタマイズ

ここでは、マルチキャスト ルーティングをカスタマイズする方法について説明します。

スタブ マルチキャスト ルーティングの設定と IGMP メッセージの転送


(注)  

スタブ マルチキャスト ルーティングは、PIM スパース モードおよび双方向モードと同時にはサポートされません。

スタブ エリアへのゲートウェイとして動作している ASA は、PIM スパース モードまたは双方向モードに参加する必要はありません。その代わりに、そのセキュリティ アプライアンスを IGMP プロキシ エージェントとして設定すると、あるインターフェイスに接続されているホストから、別のインターフェイスのアップストリーム マルチキャスト ルータに IGMP メッセージを転送することができます。ASA を IGMP プロキシ エージェントとして設定するには、ホスト加入(join)メッセージおよびホスト脱退(leave)メッセージをスタブ エリアからアップストリーム インターフェイスに転送します。スタブ モードのマルチキャスト ルーティングに参加しているインターフェイスでも、PIM を有効にする必要があります。

手順

スタブ マルチキャスト ルーティングを設定し、IGMP メッセージを転送します。

igmp forward interface if_name

例:


ciscoasa(config-if)# igmp forward interface interface1

スタティック マルチキャスト ルートの設定

スタティック マルチキャスト ルートを設定すると、マルチキャスト トラフィックをユニキャスト トラフィックから分離できます。たとえば、送信元と宛先の間のパスでマルチキャスト ルーティングがサポートされていない場合は、その解決策として、2 つのマルチキャスト デバイスの間に GRE トンネルを設定し、マルチキャスト パケットをそのトンネル経由で送信します。

PIM を使用する場合、ASA は、ユニキャスト パケットを発信元に返送するときと同じインターフェイスでパケットを受信することを想定しています。マルチキャスト ルーティングをサポートしていないルートをバイパスする場合などは、ユニキャスト パケットで 1 つのパスを使用し、マルチキャスト パケットで別の 1 つのパスを使用することもあります。

スタティック マルチキャスト ルートはアドバタイズも再配布もされません。

手順

ステップ 1

スタティック マルチキャスト ルートを設定します。

mroute src_ip src_mask {input_if_name | rpf_neighbor } [distance]

例:


ciscoasa(config)# mroute src_ip src_mask {input_if_name | rpf_neighbor} [distance]

ステップ 2

スタブ エリアのスタティック マルチキャスト ルートを設定します。

mroute src_ip src_mask input_if_name [dense output_if_name] [distance]

例:


ciscoasa(config)# mroute src_ip src_mask input_if_name [dense output_if_name] [distance]

denseoutput_if_name キーワードと引数のペアは、スタブ マルチキャスト ルーティングでのみサポートされています。

IGMP 機能の設定

IP ホストは、自身のグループ メンバーシップを直接接続されているマルチキャスト ルータに報告するために IGMP を使用します。IGMP は、マルチキャスト グループの個々のホストを特定の LAN にダイナミックに登録するために使用します。ホストは、そのローカル マルチキャスト ルータに IGMP メッセージを送信することで、グループ メンバーシップを識別します。IGMP では、ルータは IGMP メッセージをリッスンし、定期的にクエリを送信して、特定のサブネットでアクティブなグループと非アクティブなグループを検出します。

ここでは、インターフェイス単位で任意の IGMP 設定を行う方法について説明します。

インターフェイスでの IGMP の有効化

IGMP は、特定のインターフェイスでディセーブルにできます。この情報は、特定のインターフェイスにマルチキャスト ホストがないことがわかっていて、ASA からそのインターフェイスにホスト クエリー メッセージを発信しないようにする場合に有用です。

手順

インターフェイスで IGMP をディセーブルにします。

no igmp

例:

ciscoasa(config-if)# no igmp

インターフェイスで IGMP を再度イネーブルにするには、igmp コマンドを使用します。

(注)  

 

インターフェイス コンフィギュレーションには、no igmp コマンドだけが表示されます。

IGMP グループ メンバーシップの設定

ASA をマルチキャスト グループのメンバとして設定できます。マルチキャスト グループに加入するように ASA を設定すると、アップストリーム ルータはそのグループのマルチキャスト ルーティング テーブル情報を維持して、このグループをアクティブにするパスを保持します。


(注)  

特定のグループのマルチキャスト パケットを特定のインターフェイスに転送する必要がある場合に、ASA がそのパケットをそのグループの一部として受け付けることがないようにする方法については、スタティック加入した IGMP グループの設定を参照してください。

手順

ASA をマルチキャスト グループのメンバとして設定します。

igmp join-group group-address

例:

ciscoasa(config-if)# igmp join-group mcast-group

group-address 引数はグループの IP アドレスです。

(注)  

 

igmp join-group コマンドを使用すると、PIM は送信元またはランデブーポイント(RP)向けに参加要求を送信できます。ただし、このコマンドのファイアウォールは、コマンドが適用されるインターフェイス上の PIM 代表ルータ(DR)であることが条件です。

スタティック加入した IGMP グループの設定

設定によってはグループ メンバがグループ内で自分のメンバーシップを報告できない場合があります。また、ネットワーク セグメント上にグループのメンバが存在しないこともあります。しかし、それでも、そのグループのマルチキャスト トラフィックをそのネットワーク セグメントに送信することが必要になる場合があります。そのようなグループのマルチキャスト トラフィックをそのセグメントに送信するには、スタティック加入した IGMP グループを設定します。

igmp static-group コマンドを入力します。ASA は、マルチキャスト パケットを受け入れる代わりに、指定されたインターフェイスに転送します。

手順

インターフェイスのマルチキャスト グループにスタティック加入するように、ASA を設定します。

igmp static-group

例:

ciscoasa(config-if)# igmp static-group group-address

group-address 引数はグループの IP アドレスです。

(注)  

 

igmp static-group コマンドを使用すると、PIM は送信元またはランデブーポイント(RP)向けに参加要求を送信できます。ただし、このコマンドのファイアウォールは、コマンドが適用されるインターフェイス上の PIM 代表ルータ(DR)であることが条件です。

マルチキャスト グループへのアクセスの制御

アクセス コントロール リストを使用して、マルチキャスト グループへのアクセスを制御できます。

手順

ステップ 1

マルチキャスト トラフィックの標準 ACL を作成します。

access-list name standard [permit | deny] ip_addr mask

例:

ciscoasa(config)# access-list acl1 standard permit 192.52.662.25

1 つの ACL に複数のエントリを作成することができます。標準 ACL または拡張 ACL を使用できます。

ip_addr mask 引数は、許可または拒否されるマルチキャスト グループの IP アドレスです。

ステップ 2

拡張 ACL を作成します。

access-list name extended [permit | deny] protocol src_ip_addr src_mask dst_ip_addr dst_mask

例:

ciscoasa(config)# access-list acl2 extended permit protocol 
src_ip_addr src_mask dst_ip_addr dst_mask

dst_ip_addr 引数は、許可または拒否されるマルチキャスト グループの IP アドレスです。

ステップ 3

ACL をインターフェイスに適用します。

igmp access-group acl

例:

ciscoasa(config-if)# igmp access-group acl

acl 引数は、標準 IP ACL または拡張 IP ACL の名前です。

インターフェイスにおける IGMP 状態の数の制限

IGMP メンバーシップ報告の結果の IGMP 状態の数は、インターフェイスごとに制限することができます。設定された上限を超過したメンバーシップ報告は IGMP キャッシュに入力されず、超過した分のメンバーシップ報告のトラフィックは転送されません。

手順

インターフェイスにおける IGMP 状態の数を制限します。

igmp limit number

例:

ciscoasa(config-if)# igmp limit 50

有効値の範囲は 0 ~ 5000 で、デフォルト値は です。

この値を 0 に設定すると、学習したグループが追加されなくなりますが、(igmp join-group コマンドおよび igmp static-group コマンドを使用して)手動で定義したメンバーシップは引き続き許可されます。このコマンドの no 形式を使用すると、デフォルト値に戻ります。


(注)  

アクティブな結合があるインターフェイスで IGMP 制限を変更した場合、新しい制限は既存のグループには適用されません。ASA では、新しいグループがインターフェイスに追加されたときと IGMP join タイマーが期限切れになったときにのみ制限を検証します。新しい制限をすぐに適用するには、インターフェイスで IGMP を無効にしてから再度有効にする必要があります。

マルチキャスト グループに対するクエリー メッセージの変更

ASA は、クエリー メッセージを送信して、インターフェイスに接続されているネットワークにメンバを持つマルチキャスト グループを検出します。メンバーは、IGMP 報告メッセージで応答して、特定のグループに対するマルチキャスト パケットの受信を希望していることを示します。クエリ メッセージは、アドレスが 224.0.0.1 で存続可能時間値が 1 の全システム マルチキャスト グループ宛に送信されます。

これらのメッセージが定期的に送信されることにより、ASA に保存されているメンバーシップ情報はリフレッシュされます。ASA で、ローカル メンバがいなくなったマルチキャスト グループがまだインターフェイスに接続されていることがわかると、そのグループへのマルチキャスト パケットを接続されているネットワークに転送するのを停止し、そのパケットの送信元にプルーニング メッセージを戻します。

デフォルトでは、サブネット上の PIM 代表ルータがクエリ メッセージの送信を担当します。このメッセージは、デフォルトでは 125 秒間に 1 回送信されます。

クエリ応答時間を変更する場合は、IGMP クエリでアドバタイズする最大クエリ応答所要時間はデフォルトで 10 秒になります。ASA がこの時間内にホスト クエリーの応答を受信しなかった場合、グループを削除します。


(注)  

igmp query-timeout および igmp query-interval コマンドを実行するには、IGMP バージョン 2 が必要です。

クエリー間隔、クエリー応答時間、クエリー タイムアウト値を変更するには、次の手順を実行します。

手順

ステップ 1

クエリー間隔を秒単位で設定します。

igmp query-interval seconds

例:

ciscoasa(config-if)# igmp query-interval 30

有効値の範囲は 1~3600 で、デフォルト値は 125 です。

指定されたタイムアウト値(デフォルトは 255 秒)の間にインターフェイス上でクエリー メッセージが ASA によって検出されないと、ASA が指定ルータになり、クエリー メッセージの送信を開始します。

ステップ 2

クエリーのタイムアウト値を変更します。

igmp query-timeout seconds

例:

ciscoasa(config-if)# igmp query-timeout 30

有効値の範囲は 60~300 で、デフォルト値は 225 です。

ステップ 3

最大クエリー応答時間を変更します。

igmp query-max-response-time seconds

有効値の範囲は 1~25 で、デフォルト値は 10 です。

例:

ciscoasa(config-if)# igmp query-max-response-time 20

IGMP バージョンの変更

デフォルトでは、ASA は IGMP バージョン 2 を実行します。このバージョンでは igmp query-timeout コマンドや igmp query-interval コマンド などの、いくつかの追加機能を使用できます。

サブネットのマルチキャスト ルータはすべて、同じ IGMP バージョンをサポートしている必要があります。ASA は、バージョン 1 ルータを自動的に検出してバージョン 1 に切り替えることはありません。しかし、サブネットに IGMP のバージョン 1 のホストとバージョン 2 のホストが混在しても問題はありません。IGMP バージョン 2 を実行している ASA は、IGMP バージョン 1 のホストが存在しても正常に動作します。

手順

インターフェイスで実行する IGMP のバージョンを制御します。

igmp version {1 | 2}

例:

ciscoasa(config-if)# igmp version 2

PIM 機能の設定

ルータは PIM を使用して、マルチキャスト ダイアグラムを転送するために使われる転送テーブルを維持します。ASAでマルチキャスト ルーティングを有効にすると、PIM および IGMP がすべてのインターフェイスで自動的に有効になります。


(注)  

PIM は、PAT ではサポートされません。PIM プロトコルはポートを使用せず、PAT はポートを使用するプロトコルに対してのみ動作します。

ここでは、任意の PIM 設定を行う方法について説明します。

インターフェイスでの PIM の有効化またはディセーブル化

PIM は、特定のインターフェイスでイネーブルまたはディセーブルにできます。

手順

ステップ 1

特定のインターフェイスで PIM をイネーブルにする、または再度イネーブルにします。

pim

例:

ciscoasa(config-if)# pim

ステップ 2

特定のインターフェイスで PIM をディセーブルにします。

no pim

例:

ciscoasa(config-if)# no pim

(注)  

 

インターフェイス コンフィギュレーションには、no pim コマンドだけが表示されます。

スタティック ランデブー ポイント アドレスの設定

共通の PIM スパース モードまたは双方向ドメイン内のルータはすべて、PIM RP アドレスを認識している必要があります。このアドレスは、pim rp-address コマンドを使用してスタティックに設定されます。


(注)  

ASA は、Auto-RP をサポートしていません。RP アドレスを指定するには、pim rp-address コマンドを使用する必要があります。

複数のグループの RP として機能するように ASA を設定することができます。ACL に指定されているグループ範囲によって、PIM RP のグループ マッピングが決まります。ACL が指定されていない場合は、マルチキャスト グループ全体の範囲(224.0.0.0/4)にグループの RP が適用されます。

手順

特定のインターフェイスで PIM をイネーブルにする、または再度イネーブルにします。

pim rp-address ip_address [acl] [bidir]

ip_address 引数は、PIM RP となるように割り当てられたルータのユニキャスト IP アドレスです。

acl 引数は、RP とともに使用する必要があるマルチキャスト グループを定義している標準 ACL の名前または番号です。このコマンドではホスト ACL を使用しないでください。

bidir キーワードを除外すると、グループは PIM スパース モードで動作するようになります。

(注)  

 

ASA は、実際の双方向構成にかかわらず、PIM の hello メッセージを使用して双方向の機能を常時アドバタイズします。

例:

ciscoasa(config)# pim rp-address 10.86.75.23 [acl1] [bidir]

指定ルータのプライオリティの設定

DR は、PIM 登録メッセージ、PIM 加入メッセージ、およびプルーニング メッセージの RP への送信を担当します。1 つのネットワーク セグメントに複数のマルチキャスト ルータがある場合は、DR プライオリティに基づいて DR が選択されます。複数のデバイスの DR プライオリティが等しい場合、最上位の IP アドレスを持つデバイスが DR になります。

デフォルトでは、ASA の DR プライオリティは 1 です。この値を変更できます。

手順

指定ルータのプライオリティを変更します。

pim dr-priority num

例:

ciscoasa(config-if)# pim dr-priority 500

num 引数は、1 ~ 4294967294 の任意の数字にできます。

PIM 登録メッセージの設定とフィルタリング

ASA が RP として動作しているときは、特定のマルチキャスト送信元を登録できないように制限することができます。このようにすると、未許可の送信元が RP に登録されるのを回避できます。[Request Filter] ペインでは、ASA で PIM 登録メッセージが受け入れられるマルチキャスト ソースを定義できます。

手順

PIM 登録メッセージをフィルタリングするように ASA を設定します。

pim accept-register {list acl | route-map map-name}

例:

ciscoasa(config)# pim accept-register {list acl1 | route-map map2}

この例では、ASA によって PIM 登録メッセージ acl1 とルート マップ map2 がフィルタリングされます。

PIM メッセージ間隔の設定

ルータ クエリー メッセージは、PIM DR の選択に使用されます。PIM DR は、ルータ クエリ メッセージを送信します。デフォルトでは、ルータ クエリ メッセージは 30 秒間隔で送信されます。さらに、60 秒ごとに、ASA は PIM 加入メッセージおよびプルーニング メッセージを送信します。

手順

ステップ 1

ルータ クエリー メッセージを送信します。

pim hello-interval seconds

例:

ciscoasa(config-if)# pim hello-interval 60

seconds 引数の有効な値は 1 ~ 3600 秒です。

ステップ 2

ASA が PIM 加入メッセージまたはプルーニング メッセージを送信する時間(秒)を変更します。

pim join-prune-interval seconds

例:

ciscoasa(config-if)# pim join-prune-interval 60

seconds 引数の有効な値は 10 ~ 600 秒です。

PIM ネイバーのフィルタリング

PIM ネイバーにできるルータの定義が可能です。PIM ネイバーにできるルータをフィルタリングすると、次の制御を行うことができます。

  • 許可されていないルータが PIM ネイバーにならないようにする。

  • 添付されたスタブ ルータが PIM に参加できないようにする。

手順

ステップ 1

標準 ACL を使用して、PIM に参加させるルータを定義します。

access-list pim_nbr deny router-IP_addr PIM neighbor

例:

ciscoasa(config)# access-list pim_nbr deny 10.1.1.1 255.255.255.255

この例では、次の ACL を pim neighbor-filter コマンドで使用すると、10.1.1.1 ルータを PIM ネイバーとして設定できなくなります。

ステップ 2

隣接ルータをフィルタリングします。

pim neighbor-filter pim_nbr

例:

ciscoasa(config)# interface GigabitEthernet0/3
ciscoasa(config-if)# pim neighbor-filter pim_nbr

この例では、インターフェイス GigabitEthernet0/3 で 10.1.1.1 ルータを PIM ネイバーとして設定できなくなります。

双方向ネイバー フィルタの設定

ASA に PIM 双方向ネイバー フィルタが設定されている場合、[Bidirectional Neighbor Filter] ペインにそれらのフィルタが表示されます。PIM 双方向ネイバー フィルタは、DF 選定に参加できるネイバー デバイスを定義する ACL です。PIM 双方向ネイバー フィルタがインターフェイスに設定されていなければ、制限はありません。PIM 双方向ネイバー フィルタが設定されている場合は、ACL で許可されるネイバーだけが DF 選択プロセスに参加できます。

PIM 双方向ネイバー フィルタ設定が ASA に適用されると、実行コンフィギュレーションに interface-name_multicast という名前の ACL が表示されます。ここで、interface-name はマルチキャスト境界フィルタが適用されるインターフェイスの名前です。そのような名前の ACL がすでに存在していた場合は、名前に番号が追加されます(inside_multicast_1 など)。この ACL により、どのデバイスが ASA の PIM ネイバーになれるか定義されます。

双方向 PIM では、マルチキャスト ルータで保持するステート情報を減らすことができます。双方向で DF を選定するために、セグメント内のすべてのマルチキャスト ルータが双方向でイネーブルになっている必要があります。

PIM 双方向ネイバー フィルタを利用すると、スパース モード専用ネットワークから双方向ネットワークへの移行が可能になります。このフィルタで、DF 選定に参加するルータを指定する一方で、引き続きすべてのルータにスパース モード ドメインへの参加を許可できるからです。双方向にイネーブルにされたルータは、セグメントに非双方向ルータがある場合でも、それらのルータの中から DF を選定できます。非双方向ルータ上のマルチキャスト境界により、双方向グループから PIM メッセージやデータが双方向サブセット クラウドに出入りできないようにします。

PIM 双方向ネイバー フィルタが有効な場合、その ACL によって許可されるルータは、双方向に対応しているとみなされます。したがって、次のことが当てはまります。

  • 許可されたネイバーが双方向対応でない場合、DF 選択は実施されません。

  • 拒否されたネイバーが双方向対応である場合、DF 選択は実施されません。

  • 拒否されたネイバーが双方向をサポートしない場合、DF 選定が実行される可能性があります。

手順

ステップ 1

標準 ACL を使用して、PIM に参加させるルータを定義します。

access-list pim_nbr deny router-IP_addr PIM neighbor

例:

ciscoasa(config)# access-list pim_nbr deny 10.1.1.1 255.255.255.255

この例では、次の ACL を pim neighbor-filter コマンドで使用すると、10.1.1.1 ルータを PIM ネイバーとして設定できなくなります。

ステップ 2

隣接ルータをフィルタリングします。

pim bidirectional-neighbor-filter pim_nbr

例:

ciscoasa(config)# interface GigabitEthernet0/3
ciscoasa(config-if)# pim bidirectional neighbor-filter pim_nbr

この例では、10.1.1.1 ルータが、インターフェイス GigabitEthernet0/3 上で PIM 双方向ネイバーとして設定できなくなります。

BSR 候補としての ASA の設定

ASA を BSR 候補として設定できます。

手順

ステップ 1

ルータがブートストラップ ルータ(BSR)として候補であることをアナウンスするよう設定します。

pim bsr-candidate interface_name [hash_mask_length [priority]]

例:

ciscoasa(config)# pim bsr-candidate inside 12 3

ステップ 2

(オプション)ASA を境界ブートストラップ ルータとして設定します。

interface interface_name

pim bsr-border

例:

ciscoasa(config)# interface GigabitEthernet0/0
ciscoasa(config-if)# pim bsr-border

このコマンドがインターフェイスで設定されている場合、そのインターフェイスではブートストラップ ルータ(BSR)メッセージの送受信は行われません。

マルチキャスト境界の設定

アドレス スコーピングは、同じ IP アドレスを持つ RP が含まれるドメインが相互にデータを漏出させることのないように、ドメイン境界を定義します。スコーピングは、大きなドメイン内のサブネット境界や、ドメインとインターネットの間の境界で実行されます。

インターフェイスでマルチキャスト グループ アドレスの管理スコープ境界を設定できます。IANA では、239.0.0.0 ~ 239.255.255.255 のマルチキャスト アドレス範囲が管理スコープ アドレスとして指定されています。この範囲のアドレスは、さまざまな組織で管理されるドメイン内で再使用されます。このアドレスはグローバルではなく、ローカルで一意であるとみなされます。

影響を受けるアドレスの範囲は、標準 ACL で定義します。境界が設定されると、マルチキャスト データ パケットは境界を越えて出入りできなくなります。境界を定めることで、同じマルチキャスト グループ アドレスをさまざまな管理ドメイン内で使用できます。

filter-autorp キーワードを入力することにより、管理スコープ境界で Auto-RP 検出メッセージと通知メッセージを設定、検証、フィルタリングできます。境界の ACL で拒否された Auto-RP パケットからの Auto-RP グループ範囲通知は削除されます。Auto-RP グループ範囲通知は、Auto-RP グループ範囲のすべてのアドレスが境界 ACL によって許可される場合に限り境界を通過できます。許可されないアドレスがある場合は、グループ範囲全体がフィルタリングされ、Auto-RP メッセージが転送される前に Auto-RP メッセージから削除されます。

手順

マルチキャスト境界を設定します。

multicast boundary acl [filter-autorp]

例:


ciscoasa(config-if)# multicast boundary acl1 [filter-autorp]

PIM のモニタリング

次のコマンドを使用して、PIM ルーティング プロセスをモニターできます。コマンド出力の例と説明については、コマンド リファレンスを参照してください。

さまざまな PIM ルーティング統計情報をモニターまたはディセーブル化するには、次のいずれかのコマンドを入力します

  • show pim bsr-router

    ブートストラップ ルータ情報を表示します。

  • show mroute

    IP マルチキャスト ルーティング テーブルの内容を表示します。

  • show mfib summary

    IPv4 PIM マルチキャスト転送情報ベースのエントリおよびインターフェイスの数に関する要約情報を表示します。

  • show mfib active

    アクティブなマルチキャスト送信元がマルチキャスト グループに送信している速度を示す、マルチキャスト転送情報ベース(MFIB)からの情報を表示します。

  • show pim group-map

    グループと PIM モードのマッピングを表示します。グループの RP を表示するには、グループ アドレスまたは名前を指定します。

  • show pim group-map rp-timers

    各グループのタイマーの有効期限と稼働時間を PIM モード マッピング エントリに表示します。

  • show pim neighbor

    PIM(Protocol Independent Multicast)ネイバーを表示します。

マルチキャスト ルーティングの例

次の例に、さまざまなオプションのプロセスを使用してマルチキャスト ルーティングをイネーブルにし、設定する方法を示します。

  1. マルチキャスト ルーティングをイネーブルにします。 

    
ciscoasa(config)# multicast-routing

  2. スタティック マルチキャスト ルートを設定します。 

    
ciscoasa(config)# mroute src_ip src_mask {input_if_name | rpf_neighbor} [distance]
ciscoasa(config)# exit

  3. ASA をマルチキャスト グループのメンバとして設定します。 

    
ciscoasa(config)# interface
ciscoasa(config-if)# igmp join-group group-address

マルチキャスト ルーティングの履歴

表 1. マルチキャスト ルーティングの機能履歴

機能名

プラットフォーム リリース

機能情報

マルチキャスト ルーティング サポート

7.0(1)

マルチキャスト ルーティング プロトコルを使用した、データのマルチキャスト ルーティング データ、認証、およびルーティング情報の再配布とモニタリングのサポートが追加されました。

multicast-routing コマンドが導入されました。

クラスタリングのサポート

9.0(1)

クラスタリングのサポートが追加されました。

debug mfib clustershow mfib cluster の各コマンドが導入されました。

Protocol Independent Multicast Source-Specific Multicast(PIM-SSM)パススルーのサポート

9.5(1)

ASA が最後のホップ ルータである場合を除いて、マルチキャスト ルーティングが有効になっているときに PIM-SSM パケットが通過できるようサポートを追加しました。これにより、さまざまな攻撃から保護すると同時に、マルチキャスト グループをより柔軟に選択できるようになりました。ホストは、明示的に要求された送信元からのトラフィックのみを受信します。

変更されたコマンドはありません。

Protocol Independent Multicast ブートストラップルータ(BSR)

9.5(2)

ランデブー ポイント(RP)機能の候補ルータを使用して、ランデブー ポイント情報をグループに伝達するためのダイナミックランデブー ポイント選択モデルがサポートされました。この機能は、ランデブー ポイントを動的に学習する手段を提供します。これは、RP が停止と起動を繰り返す複雑で大規模なネットワークに不可欠です。

次のコマンドが導入されました。clear pim group-map、debug pim bsr、pim bsr-border、pim bsr-candidate、show pim bsr-router、show pim group-map rp-timers

igmp limit の緩和

9.15(1)

9.12(4) でも同様

igmp limit が 500 から 5000 に増加しました。

新規/変更されたコマンド:igmp limit