Solucione problemas de tráfego multicast que não passam pelo firewall FTD com a configuração do PIM Bidir
Contents
Problema
Todos estes sintomas são observados:
O tráfego multicast parou de funcionar no Firewall Threat Defense (FTD) para um grupo multicast específico.
Não há rotas multicast (mroutes) no FTD para o grupo (224.2.2.2 neste exemplo).
device# show mroute 224.2.2.2
No mroute entries found.
device#
Ambiente
Visto pela primeira vez no FTD versão 7.4. Outras versões de software, incluindo o Adaptive Security Appliance (ASA), também podem ser afetadas.
O Multicast Independente de Protocolo (PIM - Protocol Independent Multicast) bidirecional está ativado no firewall.
Topologia
inline_image_0.png
Resolução
Passo 1: Revise a configuração multicast atual.
Examine a configuração de roteamento multicast existente em todos os dispositivos no caminho de rede para identificar configurações incorretas ou ausentes que possam impedir o tráfego multicast de atravessar o firewall.
No firewall, há configuração PIM bidirecional:
device# show run pim
pim rp-address 192.0.2.100 bidir
Passo 2: Verifique os vizinhos PIM.
Confirme se os vizinhos multicast são mostrados corretamente no firewall:
device# show pim neighbor
Neighbor Address Interface Uptime Expires DR pri Bidir
10.0.200.151 INSIDE 19:13:30 00:01:24 1 (DR)
10.0.201.200 OUTSIDE 00:01:31 00:01:42 1 (DR) B
Na saída, observe que o vizinho 10.0.201.200 tem a flag Bidir B, enquanto o vizinho 10.0.200.151 não a tem.
Passo 3: Habilite a depuração PIM para o grupo de multicast 224.2.2.2:
FPR3100-14# debug pim group 224.2.2.2
IPv4 PIM group debugging is on
for group 224.2.2.2
A depuração mostra que há um pacote PIM Join/Prune que é descartado devido a 'no bidir df election':
IPv4 PIM: J/P entry: Join root: 192.0.2.100 group: 224.2.2.2 flags: RPT WC S
IPv4 PIM: (*,224.2.2.2) J/P with RP 192.0.2.100 on INSIDE discarded, no bidir df election-state on this intf
Passo 4: Ative as capturas PIM em direção ao vizinho PIM 10.0.200.151. O objetivo é obter mais visibilidade do conteúdo do pacote:
device# capture CAPI interface INSIDE trace match pim host 10.0.200.151 any
Passo 5: Colete a captura de firewall do dispositivo FTD:
device# copy /pcap capture:CAPI CAPI.pcap
Source capture name [CAPI]?
Destination filename [CAPI.pcap]?
%Warning:There is a file already existing with this name
Do you want to over write? [confirm]
!
28 packets copied in 0.0 secs
Colete o arquivo pcap do FMC usando o procedimento descrito em https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/212474-working-with-firepower-threat-defense-f.html
Passo 6: Capturar análise.
O pacote PIM Hello contém estas opções:
PIM_Hello_Options_no-bidir-capable.png
Observe a ausência do flag compatível com Bidir.
Passo 7: Ative o PIM bidirecional no vizinho 10.0.200.151.
Agora, o flag PIM Bidir B é mostrado para ambos os vizinhos:
device# show pim neighbor
Neighbor Address Interface Uptime Expires DR pri Bidir
10.0.200.151 INSIDE 19:34:26 00:01:38 1 (DR) B
10.0.201.200 OUTSIDE 00:22:27 00:01:23 1 (DR) B
Passo 8: Colete uma nova captura e verifique as opções de Hello do PIM para o vizinho 10.0.200.151. A opção 22 do PIM (capacidade bidirecional) é mostrada:
PIM_Hello_Options_option22.png
Etapa 9: Verifique se mroute para o grupo de multicast 224.2.2.2 é exibido agora:
device# show mroute
Multicast Routing Table
Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group,
C - Connected, L - Local, I - Received Source Specific Host Report,
P - Pruned, R - RP-bit set, F - Register flag, T - SPT-bit set,
J - Join SPT
Timers: Uptime/Expires
Interface state: Interface, State
(*, 224.0.1.40), 19:41:44/never, RP 0.0.0.0, flags: DPC
Incoming interface: Null
RPF nbr: 0.0.0.0
Immediate Outgoing interface list:
INSIDE, Null, 19:41:44/never
(*, 224.2.2.2), 00:06:29/00:02:53, RP 192.0.2.100, flags: B
Bidir-Upstream: OUTSIDE
RPF nbr: 10.0.201.200
Immediate Outgoing interface list:
INSIDE, Forward, 00:06:29/00:02:53
Causa
A falha de tráfego multicast foi causada por uma configuração de PIM multicast e bidirecional incorreta ou incompleta no dispositivo de rede adjacente. O problema de configuração específico resultou no FTD descartando a mensagem PIM Join/Prune para o grupo multicast específico. Como resultado, o firewall não pôde criar o mroute para o tráfego multicast. Para que o tráfego de dados multicast flua pelo plano de dados do firewall, o plano de controle (PIM) deve estabelecer a rota madequada.
Causa.png
Conteúdo relacionado
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
27-Apr-2026
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)