Inleiding
Dit document beschrijft de verschillende manieren om de mogelijke manieren te configureren om bepaalde multicast verkeer op Nexus 7000/9000 switches te blokkeren of te filteren. Het kan ook worden gebruikt voor het behoud van multicast-bronnen. Een van de meest voorkomende voorbeelden is de implementatie door Microsoft van Universal plug-and-play-operaties die gebruik maken van SSDP om tussen de servers te communiceren.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van hoe Any-Source Multicast (ASM) met het gebruik van de PIM Sparse Mode werkt op het Nexus-platform.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Nexus 7K met F3/M3 LC-controller op NXOS 7.3(4)D1(1)
- Nexus N9K-C93180YC-EX/FX met 7.0(3)I7(9) of 9.3(5)
Opmerking: De resultaten kunnen verschillen als SW/HW anders is.
De informatie in dit document is gemaakt van apparatuur in een specifieke labomgeving. Alle apparaten die in dit document worden gebruikt, beginnen met een gewalste (standaard) configuratie. Als u in productie bent, zorg er dan voor dat u de mogelijke impact van een opdracht begrijpt.
Achtergrondinformatie
Hier is de lijst met gebruikte afkortingen:
RP - Rendezvous-punt
FHR - Eerste hop-router
LHR - router met laatste hop
SRC - multicast bron
REC - multicast ontvanger
PACL-poort-toegangslijst
RACL - Routed Access List
SVI - Switched virtuele interface
ACL - toegangscontrolelijst
Configureren
Generic Topology
Configuratievoorbeelden
Laten we dit aannemen:
IP-adres van RP: 192.168.10.1
Het IP-adres van SRC is 172.16.10.100/32
SSDP-groep: 239.255.255.250/239.255.255.253
Nu, laten we de configuratie bespreken gebaseerd op de rol van het apparaat. Bijvoorbeeld FHR, LHR, RP, enz.
FHR - Meestal multicast SRC is hier rechtstreeks verbonden
1. Filterregistratie naar het bestaande RP.
ip pim rp-address 192.168.10.1 route-map filter-registration
!
Route-map filter-registration deny 5
match ip multicast source 172.16.10.100/32 group 239.255.255.250/32
// Above line is specific to SRC/GROUP pair
Route-map filter-registration deny 7
match ip multicast group 239.255.255.250/32
// Above line is for any SRC and specific group
!
Route-map filter-registration permit 100
Match ip multicast group 224.0.0.0/4
|
2. Filterregistratie naar de RP door de definitie van een niet-bestaande dwarsdoorsnede (bijvoorbeeld 1.1.1.1) voor SSDP-groepen; FHR neemt in dit geval de rol van RP op zich.
ip route 1.1.1.1/32 Null0
!
ip pim rp-address 1.1.1.1 route-map SSDP_groups
!
Route-map SSDP_groups permit 5
match ip multicast group 239.255.255.250/32
Route-map SSDP_groups permit 10
match ip multicast group 239.255.255.253/32
Route-map SSDP_groups deny 20
match ip multicast group 224.0.0.0/4
!
ip pim rp-address 192.168.10.1 route-map all_other_groups
!
Route-map all_other_groups deny 5
match ip multicast group 239.255.255.250/32
Route-map all_other_groups deny 10
match ip multicast group 239.255.255.253/32
Route-map all_other_groups permit 20
match ip multicast group 224.0.0.0/4
|
Verifiëren:
Nexus9K_OR_N7K# show ip pim rp
PIM RP Status Information for VRF "default"
BSR disabled
Auto-RP disabled
BSR RP Candidate policy: None
BSR RP policy: None
Auto-RP Announce policy: None
Auto-RP Discovery policy: None
RP: 192.168.10.1, (0),
uptime: 00:00:27 priority: 0,
RP-source: (local), group-map: Filter-registration,
group rangs:
224.0.0.0/4
239.255.255.253/32 (deny)
239.255.255.250/32 (deny)
Nexus9K_OR_N7K# show ip mroute
IP Multicast Routing Table for VRF "default"
(172.16.10.100/32, 239.255.255.250/32), uptime: 00:04:12, ip pim
Incoming interface: Vlan10, RPF nbr: 172.16.10.100
Outgoing interface list: (count: 0)
Nexus9K_OR_N7K# show system internal mfwd event-history pkt
pkt events for MCASTFWD process
2021 Jan 1 11:11:41.792316 mcastfwd [21914]: [21933]: Create state for (172.16.10.100, 239.255.255.250)
Nexus9K_OR_N7K # show ip pim internal event-history null-register
2021 Jan 01 11:15:19.095711: E_DEBUG pim [21935]: Null Register not sent for (172.16.10.100/32, 239.255.255.250/32) yes
|
Boven de output bevestigt dat FHR de stroom niet registreert bij RP.
LHR - Standaard multicast REC is hier direct verbonden
3. Toepassing van het IGMP-beleid inzake instap SVI (waar REC verblijft). Het idee is om de IGMP-lidmaatschapsrapporten van SSDP-groepen te filteren van REC.
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
!
route-map filter-SSDP-joins deny 5
match ip multicast group 239.255.255.250/32
route-map filter-SSDP-joins deny 6
match ip multicast group 239.255.255.253/32
route-map filter-SSDP-joins permit 100
match ip multicast group 224.0.0.0/4
!
Interface VlanXX
ip igmp report-policy filter-SSDP-joins
|
Verifiëren:
Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
Nexus9K_OR_N7K (config)# show ip igmp snooping groups vlan 44
Type: S - Static, D - Dynamic, R - Router port, F - Fabricpath core port
Vlan Group Address Ver Type Port list
44 */* - R Vlan44
44 239.255.255.250 v2 D Eth1/5
!
Nexus9K_OR_N7K (config)# show ip igmp internal event-history debugs
debugs events for IGMP process
2021 Jan 1 11:52:21.277915 igmp [1125]: : Filtered group 239.255.255.250
2021 Jan 1 11:52:21.277903 igmp [1125]: : Received v2 Report for 239.255.255.250 from 172.16.44.100 (Vlan44)
|
Bovenstaande output bevestigt dat het IGMP-lidmaatschapsrapport gefilterd is en dat (*,G) zich niet naar RP stuurt.
PIM - enabled router die optreedt als FHR/LHR
U kunt een combinatie van optie 1 of 2 en 3 gebruiken, afhankelijk van uw vereisten.
Bijvoorbeeld:
4. Filterregistratie naar het bestaande RP (FHR-rol):
ip pim rp-address 192.168.10.1 route-map filter-registration
!
Route-map filter-registration deny 5
match ip multicast source 172.16.10.100/32 group 239.255.255.250/32
Route-map filter-registration deny 7
match ip multicast group 239.255.255.250/32
!
Route-map filter-registration permit 100
Match ip multicast group 224.0.0.0/4
|
5. IGMP-beleid om IGMP-lidmaatschapsrapporten van REC te filteren (LHR-rol).
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
!
route-map filter-SSDP-joins deny 5
match ip multicast group 239.255.255.250/32
route-map filter-SSDP-joins deny 6
match ip multicast group 239.255.255.253/32
route-map filter-SSDP-joins permit 100
match ip multicast group 224.0.0.0/4
!
Interface VlanXX
ip igmp report-policy filter-igmp-joins
|
Verifiëren:
Dit is ongeveer hetzelfde als de controle in de punten C en D hierboven.
Show ip mroute
Show ip pim rp
Show ip pim internal event-history join-prune
Show ip igmp internal event-history debugs
|
RP - Dit is Rendezvous Point
6. Registratiebeleid om de registratie van EVDB-groepen door de FHR te blokkeren.
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
ip pim register-policy all_groups
!
Route-map all_groups deny 5
match ip multicast group 239.255.255.250/32
Route-map all_groups deny 10
match ip multicast group 239.255.255.253/32
Route-map all_groups permit 20
match ip multicast group 224.0.0.0/4
|
Verifiëren:
Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
Nexus9K_OR_N7K (config)# show ip pim internal event-history data-register-receive
2021 Jan 08 03:33:06.353951: E_DEBUG pim [1359]: Register disallowed by policy
2021 Jan 08 03:33:06.353935: E_DEBUG pim [1359]: Received DATA Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 1028)
2021 Jan 08 03:29:42.602744: E_DEBUG pim [1359]: Add new route (172.16.10.100/32, 239.1.1.1/32) to MRIB, multi-route TRUE
F241.01.13-C93180YC-EX-1(config)# show ip pim internal event-history null-register
2021 Jan 08 03:35:40.966617: E_DEBUG pim [1359]: Send Register-Stop to 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32)
2021 Jan 08 03:35:40.966613: E_DEBUG pim [1359]: Register disallowed by policy
2021 Jan 08 03:35:40.966597: E_DEBUG pim [1359]: Received NULL Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 20)
|
Bovenstaande output bevestigt dat RP de registratie voor groep 239.255.255.250 blokkeert.
7. Toepassing van een gezamenlijk beleid op de RP - zowel pim (*,G) sluit zich aan bij en (S,G) sluit zich alleen aan bij de SSDP-groep.
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
ip pim register-policy all_groups
!
Route-map all_groups deny 5
match ip multicast group 239.255.255.250/32
Route-map all_groups deny 10
match ip multicast group 239.255.255.253/32
Route-map all_groups permit 20
match ip multicast group 224.0.0.0/4
!
Interface Ethernet/Y
ip pim sparse-mode
ip pim jp-policy all_groups
|
Verifiëren:
Nexus9K_OR_N7K # show ip mroute 239.255.255.253
IP Multicast Routing Table for VRF "default"
Group not found
!
F241.01.13-C93180YC-EX-1# show ip pim internal event-history join-prune
2021 Jan 08 03:53:41.643419: E_DEBUG pim [1359]: Join disallowed by inbound JP policy
|
Bovenstaande output bevestigt (*,G) dat PIM zich aansluit, wordt geblokkeerd door RP.
Invoeringen voor HW-gegevens voor multicast configureren
alle in deel A, B of C besproken opties; voorkomen dat FHR, LHR of FHR/LHR de stroom bij RP registreren of verhinderen dat PIM-toetreding (*,G) naar de RP wordt gezonden; er kan nog een route- of sneeuwingingang worden gecreëerd en er zal multicast HW-berichten worden gebruikt.
Opmerking: U kunt RACL of PACL gebruiken bij ingangen SVI of Layer 2 interfaces/poortkanalen/VPC poortkanalen voor het geval dat VPC wordt geconfigureerd. Als SRC/REC in verschillende VLAN- of L2-interfaces wordt verspreid, betekent dit ook dat RACL of PACL’s op alle VLAN’s moeten worden toegepast. Maar, afhankelijk van HW/SW (vooral door HW-beperking) kunnen de resultaten verschillen.
PACL
Configureer PACL op toegangsLayer 2 poort of poortkanaal of VPC-poortkanaal om SSDP-verkeer te blokkeren of om (S, G) ingang op FHR te maken.
Opmerking: Afhankelijk van de gebruikte W (Voorbeeld Nexus N9000) kan het zijn dat TCAM eerst moet worden gekerfd (wat opnieuw moet worden geladen) om de PACL toe te passen.
Bijvoorbeeld:
ip access-list BlockAllSSDP
Statistics per-entry
10 deny ip any 239.255.255.250/32
20 deny ip any 239.255.255.253/32
30 permit ip any any
!
Interface Ethernet X/Y
Or
Interface port-channel XX
ip port-access group BlockAllSSDP in
|
Verifiëren:
F241.01.13-C93180YC-EX-1# sh ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
show ip access-lists BlockAllSSDP
IP access list BlockAllSSDP
statistics per-entry
10 deny ip any 239.255.255.250/32 [match=3] -> Drop counters
20 deny ip any 239.255.255.253/32 [match=0]
30 permit ip any any [match=0]
|
Aangezien zowel multicast verkeer als IGMP lidmaatschapspoorten via PACL worden geblokkeerd, zult u geen sneoping, route invoer zien. PACL laat ze beide vallen.
RACL
U kunt RACL configureren op ingangssignaal SVI waar SRC bestaat, maar afhankelijk van de gebruikte SW/HW; (S, G) ingang zou nog kunnen worden gecreëerd of het verkeer kan aan andere lokale VLAN's worden doorgestuurd.
ip access-list BlockAllSSDP
Statistics per-entry
10 deny ip any 239.255.255.250/32
20 deny ip any 239.255.255.253/32
30 permit ip any any
!
Interface VlanXX
ip port-access group BlockAllSSDP in
|
Verifiëren:
Het is vrijwel hetzelfde als PACL maar de optie RACL kan niet dezelfde resultaten opleveren als PACL; Meestal wordt ook de HW-beperking eerder genoemd.
Gerelateerde informatie
Feedback