Inleiding
Dit document beschrijft de verschillende manieren om de mogelijke manieren te configureren om bepaald multicast verkeer op Nexus 7000/9000 switches te blokkeren of te filteren. Het kan ook worden gebruikt om multicast bronnen te besparen. Een van de meest voorkomende voorbeelden is de implementatie door Microsoft van Universal plug and play operation die SSDP gebruikt om tussen de servers te communiceren.
Voorwaarden
Vereisten
Cisco raadt u aan te weten hoe Any-Source Multicast (ASM) met het gebruik van de PIM Sparse-modus werkt op het Nexus-platform.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Nexus 7K met F3/M3 LC met NXOS 7.3(4)D1(1)
- Nexus N9K-C93180YC-EX/FX met 7.0(3)I7(9) of 9.3(5)
Opmerking: de resultaten kunnen verschillen als SW/HW anders is.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Hier zijn de acroniemen die gebruikt worden:
RP - Rendezvous Point
FHR - Eerste hoprouter
LHR - laatste hoprouter
SRC - multicastbron
REC - multicastontvanger
PAL - poorttoegangslijst
RACL - Routed Access-List
SVI - switched virtuele interface
ACL - toegangscontrolelijst
Configureren
Generieke topologie
Configuratievoorbeelden
Laten we aannemen dat:
IP-adres van RP is 192.168.10.1
Het IP-adres van SRC is 172.16.10.100/32
SSDP-groep: 239.255.255.250/239.255.255.253
Laten we het nu hebben over de configuratie op basis van de rol van het apparaat. Bijvoorbeeld FHR, LHR, RP en meer.
FHR - Standaard multicast SRC is hier direct aangesloten
1. Filter registratie naar de bestaande RP.
ip pim rp-address 192.168.10.1 route-map filter-registration
!
Route-map filter-registration deny 5
match ip multicast source 172.16.10.100/32 group 239.255.255.250/32
// Above line is specific to SRC/GROUP pair
Route-map filter-registration deny 7
match ip multicast group 239.255.255.250/32
// Above line is for any SRC and specific group
!
Route-map filter-registration permit 100
Match ip multicast group 224.0.0.0/4
|
2. Filter registratie naar de RP door een nep RP te definiëren (die niet bestaat (bijvoorbeeld 1.1.1.1) voor SSDP-groepen; in dit geval neemt FHR de rol van RP over.
ip route 1.1.1.1/32 Null0
!
ip pim rp-address 1.1.1.1 route-map SSDP_groups
!
Route-map SSDP_groups permit 5
match ip multicast group 239.255.255.250/32
Route-map SSDP_groups permit 10
match ip multicast group 239.255.255.253/32
Route-map SSDP_groups deny 20
match ip multicast group 224.0.0.0/4
!
ip pim rp-address 192.168.10.1 route-map all_other_groups
!
Route-map all_other_groups deny 5
match ip multicast group 239.255.255.250/32
Route-map all_other_groups deny 10
match ip multicast group 239.255.255.253/32
Route-map all_other_groups permit 20
match ip multicast group 224.0.0.0/4
|
Verifiëren:
Nexus9K_OR_N7K# show ip pim rp
PIM RP Status Information for VRF "default"
BSR disabled
Auto-RP disabled
BSR RP Candidate policy: None
BSR RP policy: None
Auto-RP Announce policy: None
Auto-RP Discovery policy: None
RP: 192.168.10.1, (0),
uptime: 00:00:27 priority: 0,
RP-source: (local), group-map: Filter-registration,
group rangs:
224.0.0.0/4
239.255.255.253/32 (deny)
239.255.255.250/32 (deny)
Nexus9K_OR_N7K# show ip mroute
IP Multicast Routing Table for VRF "default"
(172.16.10.100/32, 239.255.255.250/32), uptime: 00:04:12, ip pim
Incoming interface: Vlan10, RPF nbr: 172.16.10.100
Outgoing interface list: (count: 0)
Nexus9K_OR_N7K# show system internal mfwd event-history pkt
pkt events for MCASTFWD process
2021 Jan 1 11:11:41.792316 mcastfwd [21914]: [21933]: Create state for (172.16.10.100, 239.255.255.250)
Nexus9K_OR_N7K # show ip pim internal event-history null-register
2021 Jan 01 11:15:19.095711: E_DEBUG pim [21935]: Null Register not sent for (172.16.10.100/32, 239.255.255.250/32) yes
|
Deze output bevestigt dat FHR de stream niet naar RP registreert.
LHR - Meestal wordt multicast-REC hier rechtstreeks aangesloten
3. IGMP-beleid toepassen op toegang SVI (waar de REC zich bevindt). Het idee hier is om de IGMP-lidmaatschapsrapporten voor SSDP-groepen te filteren van REC.
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
!
route-map filter-SSDP-joins deny 5
match ip multicast group 239.255.255.250/32
route-map filter-SSDP-joins deny 6
match ip multicast group 239.255.255.253/32
route-map filter-SSDP-joins permit 100
match ip multicast group 224.0.0.0/4
!
Interface VlanXX
ip igmp report-policy filter-SSDP-joins
|
Verifiëren:
Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
Nexus9K_OR_N7K (config)# show ip igmp snooping groups vlan 44
Type: S - Static, D - Dynamic, R - Router port, F - Fabricpath core port
Vlan Group Address Ver Type Port list
44 */* - R Vlan44
44 239.255.255.250 v2 D Eth1/5
!
Nexus9K_OR_N7K (config)# show ip igmp internal event-history debugs
debugs events for IGMP process
2021 Jan 1 11:52:21.277915 igmp [1125]: : Filtered group 239.255.255.250
2021 Jan 1 11:52:21.277903 igmp [1125]: : Received v2 Report for 239.255.255.250 from 172.16.44.100 (Vlan44)
|
Deze output bevestigt dat het IGMP-lidmaatschapsrapport is gefilterd en (*,G) wordt niet verzonden naar RP.
PIM - enabled-router voor gebruik als FHR/LHR
U kunt een combinatie van opties 1, 2 en 3 gebruiken, afhankelijk van uw vereisten.
Voorbeeld:
4. Filterregistratie naar de bestaande RP (FHR-rol):
ip pim rp-address 192.168.10.1 route-map filter-registration
!
Route-map filter-registration deny 5
match ip multicast source 172.16.10.100/32 group 239.255.255.250/32
Route-map filter-registration deny 7
match ip multicast group 239.255.255.250/32
!
Route-map filter-registration permit 100
Match ip multicast group 224.0.0.0/4
|
5. IGMP-beleid om IGMP-lidmaatschapsrapporten te filteren uit REC (LHR-rol).
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
!
route-map filter-SSDP-joins deny 5
match ip multicast group 239.255.255.250/32
route-map filter-SSDP-joins deny 6
match ip multicast group 239.255.255.253/32
route-map filter-SSDP-joins permit 100
match ip multicast group 224.0.0.0/4
!
Interface VlanXX
ip igmp report-policy filter-igmp-joins
|
Verifiëren:
Dat is vrijwel hetzelfde als de controle die in de punten C en D is uitgevoerd.
Show ip mroute
Show ip pim rp
Show ip pim internal event-history join-prune
Show ip igmp internal event-history debugs
|
RP - Dit is Rendezvous Point
6. Registratiebeleid om de registratie van de SSDP-groep van de FHR te blokkeren.
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
ip pim register-policy all_groups
!
Route-map all_groups deny 5
match ip multicast group 239.255.255.250/32
Route-map all_groups deny 10
match ip multicast group 239.255.255.253/32
Route-map all_groups permit 20
match ip multicast group 224.0.0.0/4
|
Verifiëren:
Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
Nexus9K_OR_N7K (config)# show ip pim internal event-history data-register-receive
2021 Jan 08 03:33:06.353951: E_DEBUG pim [1359]: Register disallowed by policy
2021 Jan 08 03:33:06.353935: E_DEBUG pim [1359]: Received DATA Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 1028)
2021 Jan 08 03:29:42.602744: E_DEBUG pim [1359]: Add new route (172.16.10.100/32, 239.1.1.1/32) to MRIB, multi-route TRUE
F241.01.13-C93180YC-EX-1(config)# show ip pim internal event-history null-register
2021 Jan 08 03:35:40.966617: E_DEBUG pim [1359]: Send Register-Stop to 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32)
2021 Jan 08 03:35:40.966613: E_DEBUG pim [1359]: Register disallowed by policy
2021 Jan 08 03:35:40.966597: E_DEBUG pim [1359]: Received NULL Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 20)
|
Deze output bevestigt RP blokkeert registratie voor groep 239.255.255.250.
7. Toepassing van het gezamenlijk prunebeleid op de RP - zowel pim (*,G) toetreden als (S,G) toetreden alleen voor de SSDP-groep.
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
ip pim register-policy all_groups
!
Route-map all_groups deny 5
match ip multicast group 239.255.255.250/32
Route-map all_groups deny 10
match ip multicast group 239.255.255.253/32
Route-map all_groups permit 20
match ip multicast group 224.0.0.0/4
!
Interface Ethernet/Y
ip pim sparse-mode
ip pim jp-policy all_groups
|
Verifiëren:
Nexus9K_OR_N7K # show ip mroute 239.255.255.253
IP Multicast Routing Table for VRF "default"
Group not found
!
F241.01.13-C93180YC-EX-1# show ip pim internal event-history join-prune
2021 Jan 08 03:53:41.643419: E_DEBUG pim [1359]: Join disallowed by inbound JP policy
|
Deze uitvoer bevestigt (*,G) PIM-verbinding wordt geblokkeerd door RP.
Configureren Conserve HW-vermeldingen voor multicast
Hoewel alle opties besproken in secties A, B of C; voorkomen dat FHR, LHR of FHR/LHR de stroom bij RP registreert of voorkomen dat PIM wordt verzonden (*,G) naar de RP respectievelijk; een route of snooping vermelding kan nog steeds worden gecreëerd en het verbruikt multicast HW-vermeldingen.
Opmerking: u kunt RACL of PACL gebruiken op toegang SVI of Layer 2-interfaces/poortkanalen/VPC-poortkanalen voor het geval dat VPC is geconfigureerd. Als SRC/REC in verschillende VLAN- of L2-interfaces worden uitgesproeid, betekent dit ook dat RACL of PACL op al deze interfaces moet worden toegepast. Maar afhankelijk van HW/SW (vooral vanwege HW-beperking) kunnen de resultaten variëren.
PACL
Configureer PACL op ingang Layer 2-poort of poortkanaal of VPC-poortkanaal om SSDP-verkeer of aanmaak van (S, G) vermeldingen op FHR te blokkeren.
Opmerking: afhankelijk van de gebruikte HW (bijvoorbeeld Nexus N9000), kan TCAM voorafgaand worden gesneden (wat opnieuw laden vereist) om de PACL toe te passen.
Voorbeeld:
ip access-list BlockAllSSDP
Statistics per-entry
10 deny ip any 239.255.255.250/32
20 deny ip any 239.255.255.253/32
30 permit ip any any
!
Interface Ethernet X/Y
Or
Interface port-channel XX
ip port-access group BlockAllSSDP in
|
Verifiëren:
F241.01.13-C93180YC-EX-1# sh ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
show ip access-lists BlockAllSSDP
IP access list BlockAllSSDP
statistics per-entry
10 deny ip any 239.255.255.250/32 [match=3] -> Drop counters
20 deny ip any 239.255.255.253/32 [match=0]
30 permit ip any any [match=0]
|
Aangezien beide multicast verkeers-/IGMP-lidmaatschapspoorten via PACL worden geblokkeerd, ziet u geen snuffelen en routegegevens. In wezen laat PACL ze beide vallen.
RACL
U kunt RACL configureren op ingang SVI waar SRC bestaat, maar afhankelijk van gebruikte SW/HW; (S, G) ingang kan nog worden gemaakt of verkeer kan worden doorgestuurd naar andere lokale VLAN’s.
ip access-list BlockAllSSDP
Statistics per-entry
10 deny ip any 239.255.255.250/32
20 deny ip any 239.255.255.253/32
30 permit ip any any
!
Interface VlanXX
ip port-access group BlockAllSSDP in
|
Verifiëren:
Het is ongeveer hetzelfde als PACL, maar de RACL optie kan niet dezelfde resultaten opleveren als PACL; meestal wordt ook eerder de HW-beperking genoemd.
COPP
U kunt SSDP ook blokkeren bij COPP. Hierna volgt een configuratievoorbeeld:
class-map type control-plane match-any nossdp
match access-group name nossdp
policy-map type control-plane nossdp
class nossdp
police cir 0 bps bc 0 bytes conform transmit violate drop control-plane dynamic
service-policy-dyn input nossdp
!
ip access-list nossdp
statistics per-entry
10 permit ip any 239.255.255.250/32
20 permit igmp any 239.255.255.250/32
30 permit pim any 239.255.255.250/32
|
Wereldwijde multicastgrens
Beginnend met Cisco NX-OS release 10.2(1), wordt Global Boundary Multicast-configuratie ondersteund.
U moet de {ip} configureren | ipv6} multicast groep-bereik prefix-lijst <prefix-list-name>, opdracht in VRF-configuratiemodus om een globale reeks IP-multicast groepen en kanalen te definiëren die moeten worden toegestaan of geweigerd voor de globale multicast grens. Deze opdracht wordt gebruikt om multicast-protocolacties en doorsturen van verkeer voor onbevoegde groepen of kanalen voor alle interfaces op een router uit te schakelen. De prefixlijst vormt de grens. Hieronder vindt u een voorbeeldconfiguratie:
vrf context enterprise
ip multicast group-range prefix-list test
|
https://www.cisco.com/c/en/us/td/docs/dcn/nx-os/nexus9000/102x/configuration/multicast-routing/cisco-nexus-9000-series-nx-os-multicast-routing-configuration-guide-release-102x/m-overview.html#concept_29A33F30E7F84F7AA20C8D7D1A22ED98
Feedback