Ontdek Cisco
Kopen

Hebt u een account?

  •   Gepersonaliseerde content
  •   Uw producten en ondersteuning

Hebt u een account nodig?

Account maken

Multicastfiltering op Nexus 7K/N9K configureren

Downloadopties

  • PDF     (188.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (141.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (108.2 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 september 2021
Document-id:216557

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de verschillende manieren om de mogelijke manieren te configureren om bepaalde multicast verkeer op Nexus 7000/9000 switches te blokkeren of te filteren. Het kan ook worden gebruikt voor het behoud van multicast-bronnen. Een van de meest voorkomende voorbeelden is de implementatie door Microsoft van Universal plug-and-play-operaties die gebruik maken van SSDP om tussen de servers te communiceren.

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis te hebben van hoe Any-Source Multicast (ASM) met het gebruik van de PIM Sparse Mode werkt op het Nexus-platform.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • Nexus 7K met F3/M3 LC-controller op NXOS 7.3(4)D1(1)
    • Nexus N9K-C93180YC-EX/FX met 7.0(3)I7(9) of 9.3(5)

    Opmerking: De resultaten kunnen verschillen als SW/HW anders is.

    De informatie in dit document is gemaakt van apparatuur in een specifieke labomgeving. Alle apparaten die in dit document worden gebruikt, beginnen met een gewalste (standaard) configuratie. Als u in productie bent, zorg er dan voor dat u de mogelijke impact van een opdracht begrijpt.

    Achtergrondinformatie

    Hier is de lijst met gebruikte afkortingen:

    RP - Rendezvous-punt

    FHR - Eerste hop-router

    LHR - router met laatste hop

    SRC - multicast bron

    REC - multicast ontvanger

    PACL-poort-toegangslijst

    RACL - Routed Access List

    SVI - Switched virtuele interface

    ACL - toegangscontrolelijst

    Configureren

    Generic Topology

    Example routed multicast topology

    Configuratievoorbeelden

    Laten we dit aannemen:

    IP-adres van RP: 192.168.10.1

    Het IP-adres van SRC is 172.16.10.100/32

    SSDP-groep: 239.255.255.250/239.255.255.253

    Nu, laten we de configuratie bespreken gebaseerd op de rol van het apparaat. Bijvoorbeeld FHR, LHR, RP, enz.

    FHR - Meestal multicast SRC is hier rechtstreeks verbonden

    1. Filterregistratie naar het bestaande RP.

    ip pim rp-address 192.168.10.1 route-map filter-registration
!
Route-map filter-registration deny 5
 match ip multicast source 172.16.10.100/32 group 239.255.255.250/32
// Above line is specific to SRC/GROUP pair

Route-map filter-registration deny 7
 match ip multicast group 239.255.255.250/32
// Above line is for any SRC and specific group
!
Route-map filter-registration permit 100
 Match ip multicast group 224.0.0.0/4

    2. Filterregistratie naar de RP door de definitie van een niet-bestaande dwarsdoorsnede (bijvoorbeeld 1.1.1.1) voor SSDP-groepen; FHR neemt in dit geval de rol van RP op zich.

    ip route 1.1.1.1/32 Null0
!
ip pim rp-address 1.1.1.1 route-map SSDP_groups
!
Route-map SSDP_groups permit 5
 match ip multicast group 239.255.255.250/32
Route-map SSDP_groups permit 10
 match ip multicast group 239.255.255.253/32
Route-map SSDP_groups deny 20
 match ip multicast group 224.0.0.0/4
!
ip pim rp-address 192.168.10.1 route-map all_other_groups
!
Route-map all_other_groups deny 5
 match ip multicast group 239.255.255.250/32
Route-map all_other_groups deny 10
 match ip multicast group 239.255.255.253/32
Route-map all_other_groups permit 20
 match ip multicast group 224.0.0.0/4

    Verifiëren:

    Nexus9K_OR_N7K# show ip pim rp

PIM RP Status Information for VRF "default"
BSR disabled
Auto-RP disabled
BSR RP Candidate policy: None
BSR RP policy: None
Auto-RP Announce policy: None
Auto-RP Discovery policy: None
RP: 192.168.10.1, (0),
 uptime: 00:00:27   priority: 0,
 RP-source: (local), group-map: Filter-registration, 
 group rangs:
 224.0.0.0/4  
 239.255.255.253/32 (deny) 
 239.255.255.250/32 (deny)

Nexus9K_OR_N7K# show ip mroute
IP Multicast Routing Table for VRF "default"
(172.16.10.100/32, 239.255.255.250/32), uptime: 00:04:12, ip pim
  Incoming interface: Vlan10, RPF nbr: 172.16.10.100
  Outgoing interface list: (count: 0)

Nexus9K_OR_N7K# show system internal mfwd event-history pkt
 pkt events for MCASTFWD process
2021 Jan  1 11:11:41.792316 mcastfwd [21914]: [21933]: Create state for (172.16.10.100, 239.255.255.250)

Nexus9K_OR_N7K # show ip pim internal event-history null-register
2021 Jan 01 11:15:19.095711: E_DEBUG    pim [21935]:  Null Register not sent for (172.16.10.100/32, 239.255.255.250/32) yes

    Boven de output bevestigt dat FHR de stroom niet registreert bij RP.

    LHR - Standaard multicast REC is hier direct verbonden

    3. Toepassing van het IGMP-beleid inzake instap SVI (waar REC verblijft). Het idee is om de IGMP-lidmaatschapsrapporten van SSDP-groepen te filteren van REC.

    ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
!
route-map filter-SSDP-joins deny 5
 match ip multicast group 239.255.255.250/32
route-map filter-SSDP-joins deny 6
 match ip multicast group 239.255.255.253/32
route-map filter-SSDP-joins permit 100
 match ip multicast group 224.0.0.0/4
!
Interface VlanXX
ip igmp report-policy filter-SSDP-joins

    Verifiëren:

    Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
Nexus9K_OR_N7K (config)# show ip igmp snooping groups vlan 44
Type: S - Static, D - Dynamic, R - Router port, F - Fabricpath core port
Vlan  Group Address      Ver  Type  Port list
44    */*                -    R     Vlan44
44    239.255.255.250    v2   D     Eth1/5
!
Nexus9K_OR_N7K (config)# show ip igmp internal event-history debugs
debugs events for IGMP process
2021 Jan  1 11:52:21.277915 igmp [1125]: : Filtered group 239.255.255.250
2021 Jan  1 11:52:21.277903 igmp [1125]: : Received v2 Report for 239.255.255.250 from 172.16.44.100 (Vlan44)

    Bovenstaande output bevestigt dat het IGMP-lidmaatschapsrapport gefilterd is en dat (*,G) zich niet naar RP stuurt.

    PIM - enabled router die optreedt als FHR/LHR

    U kunt een combinatie van optie 1 of 2 en 3 gebruiken, afhankelijk van uw vereisten.

    Bijvoorbeeld:

    4. Filterregistratie naar het bestaande RP (FHR-rol):

    ip pim rp-address 192.168.10.1 route-map filter-registration
!
Route-map filter-registration deny 5
 match ip multicast source 172.16.10.100/32 group 239.255.255.250/32
Route-map filter-registration deny 7
 match ip multicast group 239.255.255.250/32
!
Route-map filter-registration permit 100
 Match ip multicast group 224.0.0.0/4

    5. IGMP-beleid om IGMP-lidmaatschapsrapporten van REC te filteren (LHR-rol).

    ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
!
route-map filter-SSDP-joins deny 5
 match ip multicast group 239.255.255.250/32
route-map filter-SSDP-joins deny 6
 match ip multicast group 239.255.255.253/32
route-map filter-SSDP-joins permit 100
 match ip multicast group 224.0.0.0/4
!
Interface VlanXX
ip igmp report-policy filter-igmp-joins

    Verifiëren:

    Dit is ongeveer hetzelfde als de controle in de punten C en D hierboven.

    Show ip mroute
Show ip pim rp
Show ip pim internal event-history join-prune
Show ip igmp internal event-history debugs

    RP - Dit is Rendezvous Point

    6. Registratiebeleid om de registratie van EVDB-groepen door de FHR te blokkeren.

    ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
ip pim register-policy all_groups
!
Route-map all_groups deny 5
 match ip multicast group 239.255.255.250/32
Route-map all_groups deny 10
 match ip multicast group 239.255.255.253/32
Route-map all_groups permit 20
 match ip multicast group 224.0.0.0/4

    Verifiëren:

    Nexus9K_OR_N7K (config)# show ip mroute 239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
Nexus9K_OR_N7K (config)# show ip pim internal event-history data-register-receive
2021 Jan 08 03:33:06.353951: E_DEBUG    pim [1359]:  Register disallowed by policy
2021 Jan 08 03:33:06.353935: E_DEBUG    pim [1359]:  Received DATA Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 1028)
2021 Jan 08 03:29:42.602744: E_DEBUG    pim [1359]:  Add new route (172.16.10.100/32, 239.1.1.1/32) to MRIB, multi-route TRUE

F241.01.13-C93180YC-EX-1(config)# show ip pim internal event-history null-register
2021 Jan 08 03:35:40.966617: E_DEBUG    pim [1359]:  Send Register-Stop to 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32)
2021 Jan 08 03:35:40.966613: E_DEBUG    pim [1359]:  Register disallowed by policy
2021 Jan 08 03:35:40.966597: E_DEBUG    pim [1359]:  Received NULL Register from 172.16.10.1 for (172.16.10.100/32, 239.255.255.250/32) (pktlen 20)

    Bovenstaande output bevestigt dat RP de registratie voor groep 239.255.255.250 blokkeert.

    7. Toepassing van een gezamenlijk beleid op de RP - zowel pim (*,G) sluit zich aan bij en (S,G) sluit zich alleen aan bij de SSDP-groep.

    ip pim rp-address 192.168.10.1 group-list 224.0.0.0/4
ip pim register-policy all_groups
!
Route-map all_groups deny 5
 match ip multicast group 239.255.255.250/32
Route-map all_groups deny 10
 match ip multicast group 239.255.255.253/32
Route-map all_groups permit 20
 match ip multicast group 224.0.0.0/4
!
Interface Ethernet/Y
 ip pim sparse-mode
 ip pim jp-policy all_groups

    Verifiëren:

    Nexus9K_OR_N7K # show ip mroute 239.255.255.253
IP Multicast Routing Table for VRF "default"
Group not found
!
F241.01.13-C93180YC-EX-1# show ip pim internal event-history join-prune
2021 Jan 08 03:53:41.643419: E_DEBUG    pim [1359]:  Join disallowed by inbound JP policy

    Bovenstaande output bevestigt (*,G) dat PIM zich aansluit, wordt geblokkeerd door RP.

    Invoeringen voor HW-gegevens voor multicast configureren

    alle in deel A, B of C besproken opties; voorkomen dat FHR, LHR of FHR/LHR de stroom bij RP registreren of verhinderen dat PIM-toetreding (*,G) naar de RP wordt gezonden; er kan nog een route- of sneeuwingingang worden gecreëerd en er zal multicast HW-berichten worden gebruikt.

    Opmerking: U kunt RACL of PACL gebruiken bij ingangen SVI of Layer 2 interfaces/poortkanalen/VPC poortkanalen voor het geval dat VPC wordt geconfigureerd. Als SRC/REC in verschillende VLAN- of L2-interfaces wordt verspreid, betekent dit ook dat RACL of PACL’s op alle VLAN’s moeten worden toegepast. Maar, afhankelijk van HW/SW (vooral door HW-beperking) kunnen de resultaten verschillen.

    PACL

    Configureer PACL op toegangsLayer 2 poort of poortkanaal of VPC-poortkanaal om SSDP-verkeer te blokkeren of om (S, G) ingang op FHR te maken.

    Opmerking: Afhankelijk van de gebruikte W (Voorbeeld Nexus N9000) kan het zijn dat TCAM eerst moet worden gekerfd (wat opnieuw moet worden geladen) om de PACL toe te passen.

    Bijvoorbeeld:

    ip access-list BlockAllSSDP
 Statistics per-entry
 10 deny ip any 239.255.255.250/32
 20 deny ip any 239.255.255.253/32
 30 permit ip any any
!
Interface Ethernet X/Y
Or 
Interface port-channel XX
ip port-access group BlockAllSSDP in

    Verifiëren:

    F241.01.13-C93180YC-EX-1#  sh ip mroute  239.255.255.250
IP Multicast Routing Table for VRF "default"
Group not found
!
show ip access-lists BlockAllSSDP
IP access list BlockAllSSDP
        statistics per-entry
        10 deny ip any 239.255.255.250/32 [match=3] -> Drop counters
        20 deny ip any 239.255.255.253/32 [match=0]
        30 permit ip any any [match=0]

    Aangezien zowel multicast verkeer als IGMP lidmaatschapspoorten via PACL worden geblokkeerd, zult u geen sneoping, route invoer zien. PACL laat ze beide vallen.

    RACL

    U kunt RACL configureren op ingangssignaal SVI waar SRC bestaat, maar afhankelijk van de gebruikte SW/HW; (S, G) ingang zou nog kunnen worden gecreëerd of het verkeer kan aan andere lokale VLAN's worden doorgestuurd.

    ip access-list BlockAllSSDP
 Statistics per-entry
 10 deny ip any 239.255.255.250/32
 20 deny ip any 239.255.255.253/32
 30 permit ip any any
!
Interface VlanXX
ip port-access group BlockAllSSDP in

    Verifiëren:

    Het is vrijwel hetzelfde als PACL maar de optie RACL kan niet dezelfde resultaten opleveren als PACL; Meestal wordt ook de HW-beperking eerder genoemd.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    15-Sep-2021
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Atul Patil
      Cisco TAC Engineer
    • Rurick Kellerman
      Cisco TAC Engineer
    • Varun Jose
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten