Os pacotes multicast através de interfaces de membro de grupo de ponte são descartados no firewall com estes sintomas:
1. Os pacotes multicast não saem da interface de saída pretendida:
firewall# show bridge-group
Static mac-address entries: 0 (in use), 16384 (max)
Dynamic mac-address entries: 2 (in use), 16384 (max)
Bridge Group: 100
Interfaces:
GigabitEthernet0/2
GigabitEthernet0/3
firewall# show nameif
Interface Name Security
..
GigabitEthernet0/2 inside 100
GigabitEthernet0/3 outside 0
firewall# show capture
capture capi type raw-data trace interface inside[Capturing - 15642 bytes]
match udp any host 239.1.1.1
capture capo type raw-data interface outside [Capturing - 0 bytes]
match udp any host 239.1.1.1
2. Os bytes na saída do comando show conn relevante são 0:
firewall# show conn address 239.1.1.1
16 in use, 17 most used
UDP inside 192.0.2.1:50609 outside 239.1.1.1:5555, idle 0:01:03, bytes 0, flags –
3. A interface de entrada S,G mroute é Nula:
firewall# show mroute
Multicast Routing Table
Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group,
C - Connected, L - Local, I - Received Source Specific Host Report,
P - Pruned, R - RP-bit set, F - Register flag, T - SPT-bit set,
J - Join SPT
Timers: Uptime/Expires
Interface state: Interface, State
(*, 239.1.1.1), 3d01h/never, RP 198.51.100.100, flags: SCJ
Incoming interface: rp
RPF nbr: 198.51.100.100
Immediate Outgoing interface list:
outside, Forward, 3d01h/never
(192.0.2.1, 239.1.1.1), 00:02:48/00:00:41, flags: SJ
Incoming interface: Null
RPF nbr: 0.0.0.0
Inherited Outgoing interface list:
outside, Forward, 3d01h/never
Topologia

Firepower 4115 executando Secure Firewall Threat Defense. Outras plataformas de hardware e Security ASA também podem ser afetadas.
FTD versão 7.6.4. Outras versões de software também podem ser afetadas.
O roteamento multicast com Protocol Independent Multicast (PIM) Sparse Mode (SM) está ativado.
O caminho do tráfego multicast é através dos membros do grupo de ponte.
A interface virtual de bridge (BVI) não tem nome se:
firewall# show bridge-group
Static mac-address entries: 0 (in use), 16384 (max)
Dynamic mac-address entries: 2 (in use), 16384 (max)
Bridge Group: 100
Interfaces:
GigabitEthernet0/2
GigabitEthernet0/3
firewall# show nameif
Interface Name Security
..
GigabitEthernet0/2 inside 100
GigabitEthernet0/3 outside 0
firewall# show run int bvi100
interface BVI100
no nameif
security-level 0
ip address 192.0.2.100 255.255.255.0
Análise
1. O aumento do contador de descartes Outros da base de informações de encaminhamento multicast (MFIB):
firewall# show mfib 239.1.1.1
Entry Flags: C - Directly Connected, S - Signal, IA - Inherit A flag,
AR - Activity Required, K - Keepalive
Forwarding Counts: Pkt Count/Pkts per second/Avg Pkt Size/Kbits per second
Other counts: Total/RPF failed/Other drops
Interface Flags: A - Accept, F - Forward, NS - Negate Signalling
IC - Internal Copy, NP - Not platform switched
SP - Signal Present
Interface Counts: FS Pkt Count/PS Pkt Count
(*,239.1.1.1) Flags: C K
Forwarding: 0/0/0/0, Other: 0/0/0
rp Flags: A NS
outside Flags: F NS
Pkts: 0/0
(192.0.2.1,239.1.1.1) Flags: K
Forwarding: 0/0/0/0, Other: 2620/0/2620
OBNS-FWinside Flags: A
outside Flags: F NS
Pkts: 0/0
firewall# show mfib 239.1.1.1
…
(192.0.2.1,239.1.1.1) Flags: K
Forwarding: 0/0/0/0, Other: 2629/0/2629
rp Flags: A
outside Flags: F NS
Pkts: 0/0
2. As depurações de pacotes MFIB indicam descartes de pacotes multicast:
firewall# debug mfib pak 239.1.1.1
MFIB IPv4 pak debugging enabled
all MFIB debugging is for 239.1.1.1
MFIB: Pkt (192.0.2.1,239.1.1.1) from inside (PS) dropping
MFIB: Pkt (192.0.2.1,239.1.1.1) from inside (PS) dropping
3. A saída do comando debug pim mostra falha de consulta de RPF para as mensagens da raiz 192.0.2.1:
firewall# debug pim
IPv4 PIM: RPF lookup failed for root 192.0.2.1
IPv4 PIM: RPF lookup failed for root 192.0.2.1
4. O PIM está habilitado nos membros do grupo de ponte:
firewall# show pim interface
Address Interface PIM Nbr Hello DR DR
Count Intvl Prior
239.1.1.1 inside on 0 30 1 this system
239.1.1.1 outside on 0 30 1 this system
Os membros do grupo de bridge não devem participar dos protocolos de roteamento multicast. Esse problema é rastreado na ID de bug da Cisco CSCwv23349.
A solução é adicionar o nameif ao BVI e, em seguida, remover/adicionar novamente o nameif da interface do membro da ponte. A remoção de nameifs é impactante. Recomenda-se a discrição do usuário e essa alteração é recomendada somente durante a janela de manutenção controlada.
Devido ao bug da Cisco ID CSCwv2349, se o BVI não tiver um nome, os membros do grupo de ponte participarão dos protocolos de roteamento multicast, ou seja, PIM e o Internet Group Messaging Protocol (IGMP) estão habilitados nessas interfaces. A ativação do protocolo de roteamento multicast resulta na aplicação de todas as verificações de nível de protocolo, uma das quais é a verificação de encaminhamento de caminho reverso (RPF).
A verificação de RPF compara a interface de ingresso multicast (A) com a interface em direção ao remetente multicast de acordo com a tabela unicast (B). Se as interfaces não corresponderem, os pacotes multicast são descartados devido à falha de RPF.
Nesse caso, inside é a interface de entrada. Na tabela de roteamento, não há rota unicast para o remetente multicast com o endereço IP 192.0.2.1.
firewall# show route 192.0.2.1
% Network not in table
firewall# show asp table routing address 192.0.2.1
route table timestamp: 46
Considerando que os membros do grupo de ponte não participam do roteamento, a tabela de roteamento não tem rotas sobre os membros do grupo de ponte. Isso resulta em falhas de verificação de RPF se os membros do grupo de ponte participarem dos protocolos de roteamento. As versões com a correção do bug da Cisco ID CSCwv2349 isentam essas interfaces dos protocolos de roteamento multicast.
aviso: Esse defeito se refere especificamente à participação dos membros do grupo de ponte em protocolos de roteamento multicast. Ele não se aplica ao multicast através da caixa através dos membros do grupo de ponte, ou seja, conectividade multicast entre dispositivos upstream/downstream.
ID de bug da Cisco CSCwv23349
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
06-Jul-2026
|
Versão inicial |