Inleiding
Dit document beschrijft de verschillende manieren om de mogelijke manieren te configureren om bepaald multicast-verkeer op Nexus 7000/9000-switches te blokkeren of te filteren. Het kan ook worden gebruikt om multicast-bronnen te behouden. Een van de meest voorkomende voorbeelden is Microsoft's implementatie van Universal plug-and-play-operatie die SSDP gebruikt om tussen de servers te communiceren.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van hoe Any-Source Multicast (ASM) met het gebruik van de PIM Sparse-modus werkt op het Nexus-platform.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Nexus 7K met F3/M3 LC met NXOS 7.3(4)D1(1)
- Nexus N9K-C93180YC-EX/FX met 7.0(3)I7(9) of 9.3(5)
Opmerking: de resultaten kunnen verschillen als SW/HW anders is.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Hier is de lijst met gebruikte acroniemen:
RP – rendez-vous point
FHR – Eerste Hop Router
LHR – Last Hop Router
SRC – Multicast Source
REC – Multicast-ontvanger
PACL – Port Access-List
RACL – Routed Access-List
SVI – geschakelde virtuele interface
ACL – Toegangscontrolelijst
Configureren
algemene topologie
Configuratievoorbeelden
Laten we aannemen dat dit:
Het IP-adres van RP is 192.168.10.1
Het IP-adres van SRC is 172.16.10.100/32
SSDP-groep: 239.255.255.250/239.255.255.253
Laten we nu de configuratie bespreken op basis van de rol van het apparaat. Bijvoorbeeld FHR, LHR, RP en meer.
FHR – Typisch Multicast SRC is hier direct aangesloten
1. Filterregistratie naar de bestaande RP.
ip pim rp-address 192.168.10.1 route-map filter-registration
!
Route-map filter-registration deny 5
match ip multicast source 172.16.10.100/32 group 239.255.255.250/32
// Above line is specific to SRC/GROUP pair
Route-map filter-registration deny 7
match ip multicast group 239.255.255.250/32
// Above line is for any SRC and specific group
!
Route-map filter-registration permit 100
Match ip multicast group 224.0.0.0/4
|
2. Filtreer registratie naar het RP door een nep-RP te definiëren (dat niet bestaat (bijvoorbeeld 1.1.1.1) voor SSDP-groepen; FHR neemt in dit geval de rol van RP op zich.
ip route 1.1.1.1/32 Null0
!
ip pim rp-address 1.1.1.1 route-map SSDP_groups
!
Route-map SSDP_groups permit 5
match ip multicast group 239.255.255.250/32
Route-map SSDP_groups permit 10
match ip multicast group 239.255.255.253/32
Route-map SSDP_groups deny 20
match ip multicast group 224.0.0.0/4
!
ip pim rp-address 192.168.10.1 route-map all_other_groups
!
Route-map all_other_groups deny 5
match ip multicast group 239.255.255.250/32
Route-map all_other_groups deny 10
match ip multicast group 239.255.255.253/32
Route-map all_other_groups permit 20
match ip multicast group 224.0.0.0/4
|
Verifiëren:
Nexus9K_OR_N7K# show ip pim rp
PIM RP Status Information for VRF "default"
BSR disabled
Auto-RP disabled
BSR RP Candidate policy: None
BSR RP policy: None
Auto-RP Announce policy: None
Auto-RP Discovery policy: None
RP: 192.168.10.1, (0),
uptime: 00:00:27 priority: 0,
RP-source: (local), group-map: Filter-registration,
group rangs:
224.0.0.0/4
239.255.255.253/32 (deny)
239.255.255.250/32 (deny)
Nexus9K_OR_N7K# show ip mroute
IP Multicast Routing Table for VRF "default"
(172.16.10.100/32, 239.255.255.250/32), uptime: 00:04:12, ip pim
Incoming interface: Vlan10, RPF nbr: 172.16.10.100
Outgoing interface list: (count: 0)
Nexus9K_OR_N7K# show system internal mfwd event-history pkt
pkt events for MCASTFWD process
2021 Jan 1 11:11:41.792316 mcastfwd [21914]: [21933]: Create state for (172.16.10.100, 239.255.255.250)
Nexus9K_OR_N7K # show ip pim internal event-history null-register
2021 Jan 01 11:15:19.095711: E_DEBUG pim [21935]: Null Register not sent for (172.16.10.100/32, 239.255.255.250/32) yes
|
Deze output bevestigt dat FHR de stroom naar RP niet registreert.
LHR – Typisch Multicast REC is hier direct aangesloten
3. Toepassing van het IGMP-beleid inzake toegang tot SVI (waar de retrofitvoorziening verblijft). Het idee hier is om de IGMP-lidmaatschapsrapporten voor SSDP-groepen uit REC te filteren.
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
!
route-map filter-SSDP-joins deny 5
match ip multicast group 239.255.255.250/32
route-map filter-SSDP-joins deny 6
match ip multicast group 239.255.255.253/32
route-map filter-SSDP-joins permit 100
match ip multicast group 224.0.0.0/4
!
Interface VlanXX
ip igmp report-policy filter-SSDP-joins
|
Verifiëren:
Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
Nexus9K_OR_N7K (config)# show ip igmp snooping groups vlan 44
Type: S - Static, D - Dynamic, R - Router port, F - Fabricpath core port
Vlan Group Address Ver Type Port list
44 */* - R Vlan44
44 239.255.255.250 v2 D Eth1/5
!
Nexus9K_OR_N7K (config)# show ip igmp internal event-history debugs
debugs events for IGMP process
2021 Jan 1 11:52:21.277915 igmp [1125]: : Filtered group 239.255.255.250
2021 Jan 1 11:52:21.277903 igmp [1125]: : Received v2 Report for 239.255.255.250 from 172.16.44.100 (Vlan44)
|
Deze uitvoer bevestigt dat het IGMP-lidmaatschapsrapport is gefilterd en dat (*,G) join niet naar RP is verzonden.
PIM – Ingeschakelde router die fungeert als FHR/LHR
U kunt een combinatie van opties 1, 2 en 3 gebruiken, afhankelijk van uw behoeften.
Voorbeeld:
4. Filterregistratie naar de bestaande RP (FHR-rol):
ip pim rp-address 192.168.10.1 route-map filter-registration
!
Route-map filter-registration deny 5
match ip multicast source 172.16.10.100/32 group 239.255.255.250/32
Route-map filter-registration deny 7
match ip multicast group 239.255.255.250/32
!
Route-map filter-registration permit 100
Match ip multicast group 224.0.0.0/4
|
5. IGMP-beleid om IGMP-lidmaatschapsrapporten te filteren van REC (LHR-rol).
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
!
route-map filter-SSDP-joins deny 5
match ip multicast group 239.255.255.250/32
route-map filter-SSDP-joins deny 6
match ip multicast group 239.255.255.253/32
route-map filter-SSDP-joins permit 100
match ip multicast group 224.0.0.0/4
!
Interface VlanXX
ip igmp report-policy filter-igmp-joins
|
Verifiëren:
Vrijwel hetzelfde als verificatie gedaan in de eerder genoemde punten C en D.
Show ip mroute
Show ip pim rp
Show ip pim internal event-history join-prune
Show ip igmp internal event-history debugs
|
RP: Dit is het rendez-vous punt
6. Registratiebeleid om de registratie van SSDP-groepen tegen FHR te blokkeren.
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
ip pim register-policy all_groups
!
Route-map all_groups deny 5
match ip multicast group 239.255.255.250/32
Route-map all_groups deny 10
match ip multicast group 239.255.255.253/32
Route-map all_groups permit 20
match ip multicast group 224.0.0.0/4
|
Verifiëren:
Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
Nexus9K_OR_N7K (config)# show ip pim internal event-history data-register-receive
2021 Jan 08 03:33:06.353951: E_DEBUG pim [1359]: Register disallowed by policy
2021 Jan 08 03:33:06.353935: E_DEBUG pim [1359]: Received DATA Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 1028)
2021 Jan 08 03:29:42.602744: E_DEBUG pim [1359]: Add new route (172.16.10.100/32, 239.1.1.1/32) to MRIB, multi-route TRUE
F241.01.13-C93180YC-EX-1(config)# show ip pim internal event-history null-register
2021 Jan 08 03:35:40.966617: E_DEBUG pim [1359]: Send Register-Stop to 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32)
2021 Jan 08 03:35:40.966613: E_DEBUG pim [1359]: Register disallowed by policy
2021 Jan 08 03:35:40.966597: E_DEBUG pim [1359]: Received NULL Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 20)
|
Deze output bevestigt dat RP de registratie blokkeert voor groep 239.255.255.250.
7. Toepassing van het "join-prune"-beleid op het RP - zowel pim (*,G) als join (S,G) alleen voor de SSDP-groep.
ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
ip pim register-policy all_groups
!
Route-map all_groups deny 5
match ip multicast group 239.255.255.250/32
Route-map all_groups deny 10
match ip multicast group 239.255.255.253/32
Route-map all_groups permit 20
match ip multicast group 224.0.0.0/4
!
Interface Ethernet/Y
ip pim sparse-mode
ip pim jp-policy all_groups
|
Verifiëren:
Nexus9K_OR_N7K # show ip mroute 239.255.255.253
IP Multicast Routing Table for VRF "default"
Group not found
!
F241.01.13-C93180YC-EX-1# show ip pim internal event-history join-prune
2021 Jan 08 03:53:41.643419: E_DEBUG pim [1359]: Join disallowed by inbound JP policy
|
Deze uitvoer bevestigt dat (*,G) PIM-join is geblokkeerd door RP.
HW-items voor Multicast configureren
Hoewel alle opties besproken in de secties A, B of C; voorkomen dat ofwel FHR, LHR of FHR / LHR van het registreren van de stroom bij RP of voorkomen dat het verzenden van PIM Join (*, G) naar de RP respectievelijk; een mroute of snuffelen binnenkomst kan nog steeds worden gemaakt en het verbruikt multicast HW vermeldingen.
Opmerking: u kunt RACL of PACL gebruiken op ingress SVI- of Layer2-interfaces/poortkanalen/VPC-poortkanalen in het geval dat VPC is geconfigureerd. Als SRC/REC in verschillende VLAN- of L2-interfaces worden uitgespoten, betekent dit ook dat RACL of PACL op al deze interfaces moet worden toegepast. Maar afhankelijk van de hardware/software (meestal vanwege de hardwarebeperking) kunnen de resultaten variëren.
PACL
PACL configureren op de ingangsLayer2-poort of het poortkanaal of VPC-poortkanaal om SSDP-verkeer of het maken van (S, G)-invoer op FHR te blokkeren.
Opmerking: Afhankelijk van de gebruikte hardware (bijvoorbeeld de Nexus N9000) moet TCAM vooraf worden gesneden (waarvoor opnieuw moet worden geladen) om de PACL toe te passen.
Voorbeeld:
ip access-list BlockAllSSDP
Statistics per-entry
10 deny ip any 239.255.255.250/32
20 deny ip any 239.255.255.253/32
30 permit ip any any
!
Interface Ethernet X/Y
Or
Interface port-channel XX
ip port-access group BlockAllSSDP in
|
Verifiëren:
F241.01.13-C93180YC-EX-1# sh ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
show ip access-lists BlockAllSSDP
IP access list BlockAllSSDP
statistics per-entry
10 deny ip any 239.255.255.250/32 [match=3] -> Drop counters
20 deny ip any 239.255.255.253/32 [match=0]
30 permit ip any any [match=0]
|
Aangezien beide multicast-verkeer/IGMP-lidmaatschapsporten worden geblokkeerd via PACL, ziet u geen snuffelende, onderweg ingevoerde gegevens. In wezen laat PACL ze allebei vallen.
RACL
U kunt RACL configureren op SVI-ingangen waar SRC bestaat, maar afhankelijk van het gebruikte SW/HW; (S, G)-invoer kan nog steeds worden gemaakt of verkeer kan worden doorgestuurd naar andere lokale VLAN's.
ip access-list BlockAllSSDP
Statistics per-entry
10 deny ip any 239.255.255.250/32
20 deny ip any 239.255.255.253/32
30 permit ip any any
!
Interface VlanXX
ip port-access group BlockAllSSDP in
|
Verifiëren:
Het is vrijwel hetzelfde als PACL, maar de RACL-optie kan niet dezelfde resultaten bieden als PACL; meestal wordt de HW-beperking ook eerder genoemd.
COPP
Je kunt SSDP ook blokkeren bij COPP. Hierna volgt een configuratievoorbeeld:
class-map type control-plane match-any nossdp
match access-group name nossdp
policy-map type control-plane nossdp
class nossdp
police cir 0 bps bc 0 bytes conform transmit violate drop control-plane dynamic
service-policy-dyn input nossdp
!
ip access-list nossdp
statistics per-entry
10 permit ip any 239.255.255.250/32
20 permit igmp any 239.255.255.250/32
30 permit pim any 239.255.255.250/32
|
Globale multicastgrens
Vanaf Cisco NX-OS versie 10.2(1) wordt de Global Boundary Multicast-configuratie ondersteund.
U moet de opdracht {ip | ipv6} multicast group-range prefix-list <prefix-list-name> configureren in de VRF-configuratiemodus om een globaal bereik van IP multicast-groepen en -kanalen te definiëren dat moet worden toegestaan of geweigerd voor de globale multicast-grens. Deze opdracht wordt gebruikt om multicast-protocolacties en het doorsturen van verkeer voor ongeautoriseerde groepen of kanalen voor alle interfaces op een router uit te schakelen. De lijst met voorvoegsels configureert de grens. Hieronder vindt u een voorbeeldconfiguratie:
vrf context enterprise
ip multicast group-range prefix-list test
|
https://www.cisco.com/c/en/us/td/docs/dcn/nx-os/nexus9000/102x/configuration/multicast-routing/cisco-nexus-9000-series-nx-os-multicast-routing-configuration-guide-release-102x/m-overview.html#concept_29A33F30E7F84F7AA20C8D7D1A22ED98
Feedback