组播路由

本章介绍如何将 ASA配置为使用组播路由协议。

关于组播路由

组播路由是一种带宽节省技术,通过同时向数千个公司收件人和家庭传送单一信息流来减少流量。使用组播路由的应用包括视频会议、公司通信、远程教育以及软件、股票报价和新闻的分发。

组播路由协议将源流量传递给多个接收者,而不会对源或接收者造成任何额外负担,而且是同类技术当中占用网络带宽最少的。组播数据包通过启用了协议无关组播 (PIM) 及其他支持性组播协议的 ASA 在网络中复制,是目前为止向多个接收者传输数据的最高效方式。

ASA 支持末节组播路由和 PIM 组播路由。但是,不能在一个 ASA 上都配置这两种路由。


组播路由同时支持 UDP 和非 UDP 传输。但是,非 UDP 传输没有进行快速路径优化。

末节组播路由

末节组播路由提供动态主机注册并促进组播路由。如果针对末节组播路由进行了配置,ASA 将用作 IGMP 受托代理。ASA 将 IGMP 消息转发到上游组播路由器(上游组播路由器设置组播数据的传输),而不是完全参加组播路由。ASA 在为末节组播路由而配置后,就不能为 PIM 稀疏模式或双向模式而配置。您必须在参与 IGMP 末节组播路由的接口上启用 PIM。

ASA 同时支持 PIM-SM 和双向 PIM。PIM-SM 是一个组播路由协议,它使用基础单播路由信息库或支持组播的独立路由信息库。该协议会按组播组构建以单个交汇点 (RP) 为根的单向共享树,并且可以选择性地按组播源创建最短路径数。

PIM 组播路由

双向 PIM 是 PIM-SM 的一个变体,用于构建连接组播源和接收器的双向共享树。双向树使用每个组播拓扑链路上运行的专用转发器 (DF) 选择流程构建借助 DF,组播数据从源转发至交汇点 (RP),然后联通共享树一起发送至接收器,而无需源特定的状态。DF 选择发生在 RP 发现期间,提供至 RP 的默认路由。


如果 ASA 是 PIM RP,请使用 ASA 的未被转换的外部地址作为 RP 地址。

PIM 源特定组播支持

ASA 不支持 PIM 源特定组播 (SSM) 功能和相关配置。不过,ASA 允许与 SSM 相关的数据包通过,除非将其放置为最后一跳路由器。

SSM 被分类为数据传递机制,适用于一对多应用,如 IPTV。SSM 模型使用“通道”的概念,以 (S,G) 对表示,其中 S 表示源地址,G 表示 SSM 目标地址。通过使用组管理协议(如 IGMPv3)来实现订用通道。一旦 SSM 获悉某一特定的组播源,它将使接收客户端能直接从该源接收多播流,而不是从共享交汇点 (RP) 接收。SSM 中引入了访问控制机制,提供当前稀疏或疏-密模式实施无法提供的安全增强功能。

PIM-SSM 与 PIM-SM 不同,前者不使用 RP 或共享树。相反,组播组源地址上的信息将由接收方通过本地接收协议 (IGMPv3) 提供,并且用于直接构建源特定树。

PIM 自举路由器 (BSR)

PIM 自举路由器 (BSR) 是一个动态交汇点 (RP) 选择模型,它使用候选路由器执行 RP 功能以及中继组的 RP 信息。RP 功能包括 RP 发现并向 RP 提供默认路由。它执行此操作的方式是将一组设备配置为候选 BSR (C-BSR),它们参与 BSR 选举过程,以从它们自身中选出一个 BSR。选择 BSR 后,配置为候选交汇点 (C-RP) 的设备将开始向选出的 BSR 发送其组映射。然后,BSR 会将组与 RP 的映射信息通过基于跳从 PIM 路由器传送至 PIM 路由器的 BSR 消息发至组播树下的其他所有设备。

此功能提供了一种动态获悉 RP 的方法,这在 RP 可能会定期关闭和启动的大型负载网络中非常重要。

PIM 引导程序路由器 (BSR) 术语

以下术语经常在 PIM BSR 配置中引用:

  • 自举路由器 (BSR) - BSR 通过 PIM 逐跳向其他路由器通告交汇点 (RP) 信息。在多个候选 BSR 中,在选举过程后会选择单个 BSR。此自举路由器的主要目的是将所有候选 RP (C-RP) 通告收集到称为 RP-set 的数据库中,并以 BSR 消息的形式定期(每 60 秒)将此数据库发送到该网络中的其他路由器。

  • 自举路由器 (BSR) 消息— BSR 消息会组播到 TTL 为 1 的 All-PIM-Routers 组。收到这些消息的所有 PIM 邻居会将它们重新传输(TTL 同样为 1)到除收到消息的接口之外的所有接口。BSR 消息包含 RP 集合和当前活动 BSR 的 IP 地址。这是 C-RP 了解在何处单播其 C-RP 消息的方式。

  • 候选自举路由器 (C-BSR) - 配置为候选 BSR 的某个设备会参与 BSR 选举机制。具有最高优先级的 C-BSR 会被选举作为 BSR。C-BSR 的最高 IP 地址作为决定因素。BSR 选举过程是优先的,例如,如果出现具有更高优先级的新 C-BSR,它会触发新的选举过程。

  • 候选交汇点 (C-RP) - RP 作为组播数据源和接收器的交汇场所。配置为 C-RP 的设备会通过单播定期将组播组映射信息直接通告到选举的 BSR。这些消息包含组范围、C-RP 地址和保持时间。当前 BSR 的 IP 地址从网络中所有路由器收到的定期 BSR 消息获取。这样,BSR 可了解当前正在运行且可访问的 RP。


    ASA 不充当 C-RP,即使 C-RP 是 BSR 流量的强制性要求也是如此。仅路由器可以充当 C-RP。因此,对于 BSR 测试功能,您必须将路由器添加到拓扑。

  • BSR 选举机制 - 每个 C-BSR 都会生成包含 BSR 优先级字段的引导程序消息 (BSM)。该域中的路由器会在整个域中泛洪传播 BSM。C-BSR 收到具有比自身优先级更高的 C-BSR 时,会在特定时间内抑制进一步发送 BSM。剩余的单个 C-BSR 会成为选举的 BSR,而且其 BSM 会通知域中的所有其他路由器它是选举的 BSR。

组播组概念

组播基于组概念。任意一组接收者对接收特定数据流表现出兴趣。这样的组没有任何物理边界或地理边界 - 主机可位于互联网上的任何位置。有兴趣接收流向特定组的数据的主机必须使用 IGMP 加入该组。要接收数据流,主机必须是该组的成员。有关如何配置组播组的信息,请参阅配置组播组

组播地址

组播地址指定已加入某个组的任意一组 IP 主机,并希望接收发送到此组的流量。

集群

组播路由支持集群。在跨网络 EtherChannel 集群中,在快速路径转发建立之前,控制单元会发送所有的组播数据包和数据包。在建立快速路径转发后,数据单元可能会转发组播数据包。所有数据流都是全流量。同时还支持末节转发流。由于跨网络 EtherChannel 集群中仅有一台设备接收组播数据包,因此,重定向到控制单元较为常见。 在独立接口集群中,设备不会独立工作。所有的数据和路由数据包均由控制单元处理和转发。数据单元会丢弃已发送的所有数据包。

组播路由准则

情景模式

在单情景模式中受支持。

防火墙模式

仅在路由防火墙模式下受支持。不支持透明防火墙模式。

IPv6

不支持 IPv6。

组播组

保留 224.0.0.0 和 224.0.0.255 之间的地址范围用于路由协议和其他拓扑发现或维护协议,例如网关发现和组成员报告。因此,不支持来自地址范围 224.0.0/24 的互联网组播路由;为保留地址启用组播路由时,未创建 IGMP 组。

集群

在集群中,对于 IGMP 和 PIM,仅在主设备上支持此功能。

其他准则

  • 必须针对入站接口配置访问配置规则,以允许流量到达组播主机(如 224.1.2.3)。但不能为该规则指定目标接口,或者不能使其在初始连接验证过程中适用于组播连接。

  • 流量区域中的接口上不支持 PIM/IGMP 组播路由。

  • 请勿将 ASA 同时配置为交汇点 (RP) 和第一跳路由器。

  • HSRP 备用 IP 地址不参与 PIM 邻居关系。因此,如果通过 HSRP 备用 IP 地址路由 RP 路由器 IP,则 ASA中组播路由不起作用。因此,要使组播流量成功通过,请确保 RP 地址的路由不是 HSRP 备用 IP 地址,而是将路由地址配置为接口 IP 地址。

启用组播路由

在 ASA 上启用组播路由,默认情况下将在所有数据接口上启用 IGMP 和 PIM,但不会在绝大多数型号的管理接口上启用 IGMP 和 PIM(请参阅 管理插槽/端口接口 了解不允许通过流量的接口)。IGMP 用于了解直连子网上是否存在组成员。主机通过发送 IGMP 报告消息加入组播组。PIM 用于维护转发表,以转发组播数据报。

要在管理接口上启用组播路由,必须在该管理接口上明确设置组播边界。


组播路由仅支持 UDP 传输层。

下表列出了特定组播表的最大条目数。一旦达到这些限制,系统将会丢弃所有新条目。

  • MFIB - 30,000

  • IGMP 组 - 30,000

  • PIM 路由 - 72,000

过程

步骤 1

在主 ASDM 窗口中,依次选择配置 > 设备设置 > 路由 > 组播

步骤 2

在 Multicast 窗格中,选中 Enable Multicast routing 复选框。

选中此复选框可在 ASA 上启用 IP 组播路由。取消选中此复选框将禁用 IP 组播路由。默认情况下,组播已禁用。启用组播路由可在所有接口上启用组播。您可以逐个接口禁用组播。

自定义组播路由

本节介绍如何自定义组播路由。

配置末节组播路由和转发 IGMP 消息

末节组播路由不与 PIM 稀疏和双向模式同时受支持。

作为至末节区域的网关的 ASA 不需要参与 PIM 稀疏模式或双向模式。相反,可以将该 ASA 配置为 IGMP 受托代理,并使其会从连接到一个接口的主机将 IGMP 消息转发到另一个接口上的上游组播路由器。要将 ASA 配置为 IGMP 代理,请转发主机加入并使消息从末节区域接口发送至上游接口。您还必须在参与末节模式组播路由的接口上启用 PIM。

过程

步骤 1

在主 ASDM 窗口中,依次选择配置 > 设备设置 > 路由 > 组播

步骤 2

在 Multicast 窗格中,选中 Enable Multicast routing 复选框。

步骤 3

点击 Apply 保存更改。

步骤 4

依次选择配置 > 设备设置 > 路由 > 组播 > IGMP > 协议

步骤 5

要修改要从其中转发 IGMP 消息的特定接口,请选择该接口并点击 Edit

系统将显示 Configure IGMP Parameters 对话框。

步骤 6

Forward Interface 下拉列表中,选择要从其中转发 IGMP 消息的特定接口。

步骤 7

点击 OK 关闭此对话框,然后点击 Apply 保存更改。

配置静态组播路由

配置静态组播路由可以将组播流量与单播流量分隔开。例如,如果源和目标之间的路由不支持组播路由,可以通过如下方法来解决这个问题:使用 GRE 隧道在它们之间配置两个组播设备,并通过该隧道发送组播数据包。

使用 PIM 时,ASA 期望用于接收数据包的接口和用于将单播数据包发送回到源的接口是同一个接口。在某些情况下(例如,绕过不支持组播路由的路由),您可能希望单播数据包和组播数据包使用不同的路径。

静态组播路由不能通告或重分布。

过程

步骤 1

在主 ASDM 窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > MRoute

步骤 2

选择 AddEdit

系统将显示 Add Multicast Route 或 Edit Multicast Route 对话框。

使用“Add Multicast Route”对话框将新静态组播路由添加到 ASA。使用 Edit Multicast Route 对话框可更改现有的静态组播路由。

步骤 3

在 Source Address 字段中,输入组播源的 IP 地址。编辑现有的静态组播路由时,不能更改此值。

步骤 4

从 Source Mask 下拉列表中选择组播源 IP 地址的网络掩码。

步骤 5

在 Incoming Interface 区域中,点击 RPF Interface 单选按钮以选择用于转发路由的 RPF,或者点击 Interface Name 单选按钮,然后输入以下内容:

  • 在 Source Interface 字段中,从下拉列表中选择组播路由的传入接口。

  • 在 Destination Interface 字段中,从下拉列表中选择路由转发要通过的目标接口。

 

您可以指定接口或 RPF 邻居,但不能同时指定这两者。

步骤 6

在 Administrative Distance 字段中,选择静态组播路由的管理距离。如果静态组播路由的管理距离与单播路由相同,则静态组播路由优先。

步骤 7

点击确定 (OK)

配置 IGMP 功能

IP 主机使用 IGMP 向直接连接的组播路由器报告其组成员身份。IGMP 用于在特定 LAN 上的一个组播组中动态注册单个主机。主机通过向其本地组播路由器发送 IGMP 消息来识别组成员身份。在 IGMP 下,路由器监听 IGMP 消息,并定期发出查询以发现特定子网上处于活动状态或非活动状态的组。

本节介绍如何逐个接口配置可选的 IGMP 设置。

禁用接口上的 IGMP

您可以禁用特定接口上的 IGMP。如果知道特定接口上没有组播接口,并且想要防止 ASA 通过该接口发送主机查询消息,则此信息很有用。

过程

步骤 1

在 ASDM 主窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > IGMP > 协议

Protocol 窗格将显示 ASA 上的每个接口的 IGMP 参数。

步骤 2

选择要禁用的接口,然后点击 Edit

步骤 3

要禁用指定接口,请取消选中 Enable IGMP 复选框。

步骤 4

点击 OK

如果 IGMP 在接口上已启用,Protocol 窗格将显示 Yes;如果 IGMP 在接口上已禁用,将显示 No。

配置 IGMP 组成员身份

您可以将 ASA 配置成为组播组的成员。配置 ASA 加入组播组会使上游路由器维护该组的组播路由表信息,并保持该组的路径处于活动状态。


如果要将特定组的组播数据包转发给接口,且无需 ASA 将这些数据包接受为该组的一部分,请参阅配置静态加入的 IGMP 组
过程

步骤 1

在 ASDM 主窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > IGMP > 加入组

步骤 2

加入组窗格中,点击添加或编辑。

可以在 Add IGMP Join Group 对话框中将接口配置为组播组的成员。Edit IGMP Join Group 对话框可用于更改现有的成员身份信息。

步骤 3

在“接口名称”字段中,从下拉列表中选择接口名称。如果编辑的是现有条目,则无法更改此值。

步骤 4

在“组播组地址”字段中,输入接口所属组播组的地址。有效的组地址范围是从 224.0.0.0 到 239.255.255.255。

步骤 5

点击确定 (OK)

配置静态加入的 IGMP 组

有时,组成员因某些配置而无法报告其在组中的成员关系,或者网段上可能不存在组成员。但是,您仍希望将该组的组播流量发送到该网段。您可以通过配置静态加入的 IGMP 组将该组的组播流量发送到网段。

在 ASDM 主窗口中,依次选择 Configuration > Routing > Multicast > IGMP > Static Group 以将 ASA 配置为静态连接的组成员。使用此方法,ASA 本身不接收数据包,而只是转发。因此,此方法可用于快速切换。传出接口显示在 IGMP 缓存中,但此接口不是组播组的成员。

过程

步骤 1

在 ASDM 主窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > IGMP > 静态组

步骤 2

点击 Static Group 窗格中的 AddEdit。

使用“添加 IGMP 静态组”对话框可以将组播组静态地分配给接口。使用“编辑 IGMP 静态组”对话框可以更改现有的静态组分配。

步骤 3

在“接口名称”字段中,从下拉列表中选择接口名称。如果编辑的是现有条目,则无法更改此值。

步骤 4

在“组播组地址”字段中,输入接口所属组播组的地址。有效的组地址范围是从 224.0.0.0 到 239.255.255.255。

步骤 5

点击确定 (OK)

控制对组播组的访问

您可以通过使用访问控制列表控制对组播组的访问。

过程

步骤 1

在 ASDM 主窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > IGMP > 访问组

系统将显示“访问组”窗格。Access Group 窗格中的表条目按自上而下的顺序处理。越具体的条目越靠近表格顶部,越宽泛的条目越位于底部。例如,将允许特定组播组的访问组条目放在靠近表顶部的位置,并将拒绝多个组播组(包括允许规则中的组)的访问组条目放在下方。由于允许规则在拒绝规则前执行,因此该组获允许。

双击表中的一个条目会打开选定条目的“Add Access Group”或“Edit Access Group”对话框。

步骤 2

点击添加 (Add)编辑 (Edit)

系统将显示“添加访问组”或“编辑访问组”对话框。“添加访问组”对话框可用于向“访问组表”中添加新的访问组。“编辑访问组”对话框可用于更改现有访问组条目的信息。编辑现有条目时,有些字段可能会灰显。

步骤 3

从“接口”下拉列表中选择与访问组相关的接口名称。编辑现有访问组时,不能更改相关的接口。

步骤 4

从“操作”下拉列表中选择“允许”,以允许选定接口上的组播组。从“操作”下拉列表中选择“拒绝”,以从选定接口筛选组播组。

步骤 5

在“组播组地址”字段中,输入要应用访问组的组播组。

步骤 6

输入组播组地址的网络掩码,或者从“网络掩码”下拉列表中选择一个常用的网络掩码。

步骤 7

点击确定 (OK)

限制接口上的 IGMP 状态数量

您可以对每个接口限制 IGMP 成员身份报告造成的 IGMP 状态数量。超出所配置限制的成员身份报告不会输入到 IGMP 缓存中,多余成员身份报告的流量不会转发。

过程

步骤 1

在 ASDM 主窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > IGMP > 协议

步骤 2

在“协议”窗格的表中选择要限制的接口,然后点击编辑

系统将显示 Configure IGMP Parameters 对话框。

步骤 3

在 Group Limit 字段中,输入某接口上可以加入的主机最大数。

默认值为 500。有效值范围介于 0 到 5000 之间。

 

将此值设置为 0 可防止添加获悉的组,但仍允许手动定义成员身份。

步骤 4

点击 OK

当您更改接口上具有活动加入的 IGMP 限制时,新限制不适用于现有组。仅当将新组添加到接口或 IGMP 加入计时器到期时,ASA 才会验证限制。要应用新的限制并立即生效,必须在接口上禁用并重新启用 IGMP。

修改发送到组播组的查询消息

ASA 发送查询消息,以发现哪些组播组有成员位于与接口连接的网络上。成员以 IGMP 报告消息作出响应,以表明自己想要接收特定组的组播数据包。查询消息会发送到全系统组播组,该组的地址为 224.0.0.1,生存时间值为 1。

这些消息会定期发送,从而刷新 ASA 上存储的成员身份信息。如果 ASA 发现组播组中没有本地成员仍与接口相连接,它会停止向连接的网络转发该组的组播数据包,并会向数据包源发送回删除消息。

默认情况下,子网上的 PIM 指定路由器负责发送查询消息。默认情况下,每 125 秒发送一次消息。

默认情况下,更改查询响应时间时,IGMP 查询中通告的最大查询响应时间为 10 秒。如果 ASA 不在此时间内接收对主机查询的响应,它就会删除该组。

如要更改查询间隔时间、查询响应时间和查询超时值,请执行以下步骤:

过程

步骤 1

在 ASDM 主窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > IGMP > 协议

步骤 2

在“协议”窗格的表中选择要限制的接口,然后点击编辑

系统将显示 Configure IGMP Parameters 对话框。

步骤 3

Query Interval 字段中输入指定路由器发送 IGMP 主机查询消息的时间间隔(以秒为单位)。

值的范围为 1 到 3600 秒。默认值为 125 秒。

 

如果 ASA 不能在指定超时值内在接口上收到查询消息,ASA 将会成为指定路由器并开始发送查询消息。

步骤 4

Query Timeout 字段中输入接口上的上一个请求方停止工作后到 ASA 接替该请求方之间相隔的时间(以秒为单位)。

值的范围为 60 到 300 秒。默认值为 255 秒。

步骤 5

Response Time 字段中,输入 IGMP 查询中通告的最大查询响应时间(以秒为单位)。

值范围为 1 秒至 25 秒。默认值为 10 秒。

步骤 6

点击确定 (OK)

更改 IGMP 版本

默认情况下,ASA 运行 IGMP 版本 2;此版本启用了多项附加功能, 。

子网上所有的组播路由器必须支持同一版本的 IGMP。ASA 不会自动检测版本 1 路由器并切换到版本 1。但是,可以在子网上结合使用 IGMP 版本 1 和版本 2 主机;当存在 IGMP 版本 1 主机时,运行 IGMP 版本 2 的 ASA 可正常工作。

过程

步骤 1

在 ASDM 主窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > IGMP > 协议

步骤 2

从“协议”(Protocol) 窗格的表中选择要更改其 IGMP 版本的接口,然后点击编辑 (Edit)

系统将显示“配置 IGMP 接口”对话框。

步骤 3

从“版本”下拉列表中选择版本号。

步骤 4

点击确定 (OK)

配置 PIM 功能

路由器使用 PIM 来维护转发表,以便用于转发组播图。如果在 ASA 上启用组播路由,PIM 和 IGMP 将会在所有接口上自动启用。


PAT 不支持 PIM。PIM 协议不使用端口,PAT 只能与使用端口的协议配合使用。

本节介绍如何配置可选的 PIM 设置。

启用和禁用接口上的 PIM

可以在特定接口上启用或禁用 PIM。

过程

步骤 1

在 ASDM 主窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > PIM > 协议

步骤 2

在“协议”窗格的表中选择要在其上启用 PIM 的接口,然后点击编辑

系统将显示“编辑 PIM 协议”对话框。

步骤 3

选中 Enable PIM 复选框。要禁用 PIM,请取消选中此复选框。

步骤 4

点击确定 (OK)

配置静态交汇点地址

常见 PIM 稀疏模式中或 bidir 域中的所有路由器均需要了解 PIM RP 地址。使用 pim rp-address 命令可静态配置该地址。


ASA 不支持自动 RP。

您可以配置 ASA 来充当多个组的 RP。ACL 中指定的组范围确定 PIM RP 组映射。如果未指定 ACL,则一个组的 RP 将应用于整个组播组范围 (224.0.0.0/4)。

过程

步骤 1

在主 ASDM 窗口中,选择配置 > 设备设置 > 路由 > 组播 > PIM > 交汇点

步骤 2

点击 AddEdit

此时将显示 Add Rendezvous Point 或 Edit Rendezvous Point 对话框。“添加交汇点”对话框可用于向“交汇点”表添加新条目。“编辑交汇点”对话框可用于更改现有的 RP 条目。此外,还可以点击 Delete 以从表中删除选定的组播组条目。

以下限制适用于 RP:

  • 一个 RP 地址不能用两次。

  • 不能为多个 RP 指定所有组。

步骤 3

在“交汇点地址”字段中,输入 RP 的 IP 地址。

编辑现有的 RP 条目时,不能更改此值。

步骤 4

如果指定的组播组要在双向模式下运行,请选中 Use bi-directional forwarding 复选框。如果指定的组播组要在双向模式下运行,Rendezvous Point 窗格将显示 Yes;如果指定的组播组要在稀疏模式下运行,该窗格将显示 No。在双向模式下,如果 ASA 接收到组播数据包且没有直连成员或 PIM 邻居,则会将删除消息发回给源。

步骤 5

点击 Use this RP for All Multicast Groups 单选按钮,以将指定 RP 用于接口上的所有组播组;或者点击 Use this RP for the Multicast Groups as specified below 单选按钮,以将组播组指定为要与指定 RP 配合使用。

有关组播组的详细信息,请参阅配置组播组

步骤 6

点击确定 (OK)

配置指定路由器优先级

指定路由器 (DR) 负责将 PIM 注册消息、加入消息和删除消息发送到 RP。如果网段上有多个组播路由器,将会根据 DR 优先级来选择 DR。如果多台设备具有同样的 DR 优先级,则具有最高 IP 地址的设备将会成为 DR。

默认情况下,ASA 的 DR 优先级为 1。您可以更改此值。

过程

步骤 1

在 ASDM 主窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > PIM > 协议

步骤 2

在“协议”窗格的表中选择要启用 PIM 的接口,然后点击编辑

系统将显示“编辑 PIM 协议”对话框。

步骤 3

在“DR 优先级”字段中,键入选定接口的指定路由器优先级值。子网上具有最高 DR 优先级的路由器将成为指定路由器。有效值范围为 0 到 4294967294。默认 DR 优先级为 1。将此值设置为 0 可以使 ASA 接口无权成为默认路由器。

步骤 4

点击确定 (OK)

配置和过滤 PIM 注册消息

当 ASA 作为 RP 时,您可以禁止特定的组播源注册到 ASA,从而防止未授权的源注册到 RP。Request Filter 窗格可用于定义 ASA 将会从其接受 PIM 注册消息的组播源。

过程

步骤 1

在 ASDM 主窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > PIM > 请求筛选器

步骤 2

点击添加

Request Filter Entry 对话框可用于定义当 ASA 用作 RP 时可注册到 ASA 的组播源。您可根据源 IP 地址和目标组播地址创建筛选规则。

步骤 3

从 Action 下拉列表中,选择 Permit 以创建允许特定组播流量的特定源注册到 ASA 的规则,或者选择 Deny 以创建防止特定组播流量的特定源注册到 ASA 的规则。

步骤 4

在 Source IP Address 字段中键入注册消息源的 IP 地址。

步骤 5

在 Source Netmask 字段中键入或从下拉列表中选择注册消息源的网络掩码。

步骤 6

在 Destination IP Address 字段中键入组播目标地址。

步骤 7

在 Destination Netmask 字段中键入或从下拉列表中选择组播目标地址的网络掩码。

步骤 8

点击确定 (OK)

配置 PIM 消息间隔

路由器查询消息用于选择 PIM DR。PIM DR 负责发送路由器查询消息。默认情况下,每隔 30 秒发送一次路由器查询消息。此外,ASA 每隔 60 秒发送一次 PIM 加入消息或删除消息。

过程

步骤 1

在 ASDM 主窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > PIM > 协议

步骤 2

在“协议”窗格的表中选择要启用 PIM 的接口,然后点击编辑

系统将显示“编辑 PIM 协议”对话框。

步骤 3

在 Hello Interval 字段中键入接口发送 PIM Hello 消息的频率(以秒为单位)。

步骤 4

在 Prune Interval 字段中键入接口发送 PIM 加入通告和删除通告的频率(以秒为单位)。

步骤 5

点击确定 (OK)

配置路由树

默认情况下,PIM 叶子路由器在第一个数据包从新源到达后会立即加入到最短路径树。此方法可降低延迟,但需要的内存比共享树多。您可以配置 ASA 应对于所有组播组还是仅特定组播地址加入最短路径树或使用共享树。

过程

步骤 1

在 ASDM 主窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > PIM > 路由树

步骤 2

点击以下单选按钮之一:

  • Use Shortest Path Tree for All Groups - 选择此选项会将最短路径树用于所有的组播组。

  • Use Shared Tree for All Groups - 选择此选项会将共享树用于所有的组播组。

  • Use Shared Tree for the Groups specified below - 选择此选项会将共享树用于 Multicast Groups 表中指定的组。最短路径树用于未在 Multicast Groups 表中指定的任何组。

    “组播组”表显示与共享树配合使用的组播组。

    表条目按自上而下的顺序进行处理。您可以通过以下方法来创建包含一系列组播组但不包含该系列中特定组的条目:将特定组的拒绝规则放置在表的顶部,并将该系列组播组的允许规则放置在拒绝语句下面。

    要编辑组播组,请参阅配置组播组

配置组播组

组播组是访问规则列表,用于定义哪些组播地址属于组的一部分。一个组播组可以包含一个组播地址或多个组播地址。使用 Add Multicast Group 对话框可创建新的组播组规则。使用 Edit Multicast Group 对话框可修改现有的组播组规则。

要配置组播组,请执行以下步骤:

过程

步骤 1

在主 ASDM 窗口中,选择配置 > 设备设置 > 路由 > 组播 > PIM > 交汇点

步骤 2

系统将显示“交汇点”窗格。点击要配置的组。

系统将显示 Edit Rendezvous Point 对话框。

步骤 3

点击 Use this RP for the Multicast Groups as specified below 单选按钮,以指定要与指定 RP 配合使用的组播组。

步骤 4

点击 AddEdit

系统将显示“添加或编辑组播组”对话框。

步骤 5

从“操作”下拉列表中,选择“允许”以创建允许指定组播地址的组规则,或选择“拒绝”以创建筛选指定组播地址的组规则。

步骤 6

在 Multicast Group Address 字段中,键入与所选组相关的组播地址。

步骤 7

从 Netmask 下拉列表中,选择组播组地址的网络掩码。

步骤 8

点击确定 (OK)

过滤 PIM 邻居

您可以定义可成为 PIM 邻居的路由器。通过筛选可成为 PIM 邻居的路由器,可以实现以下目的:

  • 防止未授权的路由器成为 PIM 邻居。

  • 防止连接的末节路由器加入到 PIM。

过程

步骤 1

在 ASDM 主窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > PIM > 邻居筛选器

步骤 2

点击 Add/Edit/Insert,以从表中选择要配置的 PIM 邻居。

系统将显示“添加/编辑/插入邻居筛选器条目”对话框。通过此对话框,您可以为组播边界 ACL 创建 ACL 条目,还可以删除选定的 PIM 邻居条目。

步骤 3

从“接口名称”下拉列表中选择接口名称。

步骤 4

从“操作”下拉列表中,为邻居筛选器 ACL 条目选择“允许”或“拒绝”。

选择“允许”将会允许组播组通告通过接口。选择“拒绝”将会禁止指定的组播组通告通过接口。在接口上配置组播边界时,会阻止所有的组播流量通过接口,除非使用邻居过滤器条目允许通过。

步骤 5

在 IP Address 字段中输入被允许或拒绝的组播 PIM 组的 IP 地址。有效的组地址范围是 224.0.0.0 到 239.255.255.255.255。

步骤 6

从“网络掩码”下拉列表中,选择组播组地址的网络掩码。

步骤 7

点击确定 (OK)

配置双向邻居过滤器

Bidirectional Neighbor Filter 窗格显示在 ASA 上配置的 PIM 双向邻居过滤器(如有)。PIM 双向邻居过滤器是定义可参与 DF 选举的邻居设备的 ACL。如果接口未配置 PIM 双向邻居过滤器,则没有限制。如果配置了 PIM 双向邻居过滤器,则只有 ACL 允许的邻居可参与 DF 选举过程。

如果 PIM 双向邻居过滤器配置应用于 ASA,名称为 interface-name_multicast 的运行配置中会显示 ACL,其中,interface-name 是应用组播边界过滤器的接口的名称。如果已存在使用该名称的 ACL,将会给名称加上一个数字(例如,inside_multicast_1)。此 ACL 定义可成为 ASA 的 PIM 邻居的设备。

双向 PIM 允许组播路由器保持减少的状态信息。要选择 DF,必须为 bidir 双向启用分片中的所有组播路由器。

PIM 双向邻居过滤器允许指定应参与 DF 选举的路由器,同时仍允许所有路由器加入到稀疏模式域,从而实现从纯稀疏模式网络到 bidir 网络的过渡。支持 bidir 的路由器可以从它们本身当中选择 DF,即使分片上有非 bidir 路由器。非 bidir 路由器上的组播边界可防止 bidir 组中的 PIM 消息和数据泄漏到 bidir 子集云中或从 bidir 子集云泄漏出去。

如果启用了 PIM 双向邻居过滤器,ACL 允许的路由器将被视为具有双向功能。因此,以下说法均是正确的:

  • 如果一个获允许的邻居不支持 bidir,将不会发生 DF 选举。

  • 如果一个被拒绝的邻居支持 bidir,将不会发生 DF 选举。

  • 如果一个被拒绝的邻居不支持 bidir,可能会发生 DF 选举。

过程

步骤 1

在 ASDM 主窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > PIM > 双向邻居筛选器

步骤 2

双击 PIM Bidirectional Neighbor Filter 表中的一个条目,以打开该条目的 Edit Bidirectional Neighbor Filter Entry 对话框。

步骤 3

点击 Add/Edit/Insert,以从表中选择要配置的 PIM 邻居。

系统将显示“添加/编辑/插入双向邻居筛选器条目”对话框,您可以在其中为 PIM 双向邻居筛选器 ACL 创建 ACL 条目。

步骤 4

从“接口名称”下拉列表中选择接口名称。选择要为其配置 PIM 双向邻居过滤器 ACL 条目的接口。

步骤 5

从“操作”下拉列表中,为邻居筛选器 ACL 条目选择“允许”或“拒绝”。

选择“允许”可允许指定设备参与 DF 选择过程。选择“拒绝”可阻止指定设备参与 DF 选择过程。

步骤 6

输入被允许或拒绝的组播 PIM 组的 IP 地址。在 IP Address 字段中输入有效的组地址,范围为 224.0.0.0 到 239.255.255.255.255。

步骤 7

从“网络掩码”下拉列表中,选择组播组地址的网络掩码。

步骤 8

点击确定 (OK)

将 ASA 配置为候选 BSR

可以将 ASA 配置为候选 BSR

过程

步骤 1

在 ASDM 中,依次选择配置 > 设备设置 > 路由 > 组播 > PIM > 引导程序路由器

步骤 2

选中 Configure this ASA as a candidate bootstrap router (CBSR) 复选框以执行 CBSR 设置。

  1. Select Interface 下拉列表中选择 ASA 上要从其派生 BSR 地址以使其成为候选者的接口。

     
    此接口必须使用 PIM 启用。

  2. Hash mask length 字段中,输入调用散列功能之前要与组地址执行 AND 运算的掩码的长度(最长 32 位)。具有相同种子散列的所有组(对应)于同一交汇点 (RP)。例如,如果此值为 24,则组地址只有前 24 位起作用。这种情况允许您为多个组获取一个 RP。

  3. Priority 字段中输入候选 BSR 的优先级。优先选择优先级高的 BSR。如果优先级值相同,则 IP 地址较大的路由器是 BSR。默认值为 0。

步骤 3

(可选)在 Configure this ASA as a Border Bootstrap Router 部分,选择不会在其上发送或接收 PIM BSR 消息的接口。

步骤 4

点击应用

配置组播边界

地址范围定义了域边界,从而使具有 IP 地址相同的 RP 的域不会相互泄漏。可在大型域内的子网边界以及域与互联网之间的边界上执行范围界定。

您可以在接口上为组播组地址设置管理权限界定的边界。IANA 已将 239.0.0.0 到 239.255.255.255 的组播地址范围指定为可使用管理性界定的地址。此地址范围可在不同组织管理的域中重复使用。此类地址被视为本地地址,而不是全局唯一地址。

标准 ACL 定义受影响地址的范围。设置边界后,不允许组播数据包从任一方向流经边界。边界允许同一个组播组地址在不同的管理域中重复使用。

您可以在使用管理权限界定的边界配置、检查和筛选 Auto-RP 发现消息和通知消息。Auto-RP 数据包中被边界 ACL 拒绝的任意 Auto-RP 组范围通知都会被删除。仅在 Auto-RP 组范围中的所有地址获边界 ACL 允许的情况下,Auto-RP 组范围通知才可以通过边界。如果有任何地址未获允许,在 Auto-RP 消息转发前,将会筛选整个组范围并将其从 Auto-RP 消息中删除。

过程

步骤 1

在主 ASDM 窗口中,依次选择 Configuration  > Routing  > Multicast  > MBoundary

MBoundary 窗格可用于配置使用管理性界定的组播地址的组播边界。组播边界限制组播数据包流,并允许在不同的管理域中重复使用相同的组播组地址。在接口上定义了组播边界后,只有过滤器 ACL 允许的组播流量可通过接口。

步骤 2

点击“编辑”。

系统将显示“编辑边界筛选器”对话框,并显示组播边界筛选器 ACL。您可以使用此对话框添加和删除过滤器 ACL 条目。

如果边界过滤器配置应用于 ASA,名称为 interface-name_multicast 的运行配置中会显示 ACL,其中,interface-name 是应用组播边界过滤器的接口的名称。如果已存在使用该名称的 ACL,将会给名称加上一个数字(例如,inside_multicast_1)。

步骤 3

从“接口”下拉列表中选择要为其配置组播边界筛选器 ACL 的接口。

步骤 4

选中“删除任何 Auto-RP 组范围”复选框,以从边界 ACL 拒绝的源中筛选 Auto-RP 消息。如果取消选中 Remove any Auto-RP group range 复选框,将会允许所有 Auto-RP 消息通过。

步骤 5

点击确定 (OK)

PIM 监控

如要监控或禁用多个 PIM 路由统计信息,请执行以下步骤

过程

步骤 1

在 ASDM 主窗口中,依次选择监控 > 路由 > PIM > BSR 路由器

系统显示 BSR 路由器配置消息。

步骤 2

在 ASDM 主窗口中,依次选择监控 > 路由 > PIM > 组播路由表

系统显示组播路由表的内容。

步骤 3

在 ASDM 主窗口中,依次选择监控 > 路由 > PIM > MFIB

将会显示有关 IPv4 PIM 组播转发信息库条目数及接口数的概要信息。

步骤 4

在 ASDM 主窗口中,依次选择监控 > 路由 > PIM > MFIB 主用

将会显示组播转发信息库 (MFIB) 中有关主用组播源向组播组发送信息的速率。

步骤 5

在 ASDM 主窗口中,依次选择监控 > 路由 > PIM > 组映射

将会显示组播转发信息库 (MFIB) 中有关主用组播源向组播组发送信息的速率。

  1. Select PIM Group 列表中选择 RP Timers,以查看每个组到 PIM 模式映射的计时器信息。

步骤 6

在 ASDM 主窗口中,依次选择监控 > 路由 > PIM > 邻居

将会显示协议无关组播 (PIM) 邻居消息。

组播路由示例

以下示例显示如何使用各个可选过程启用和配置组播路由:

  1. 在主 ASDM 窗口中,依次选择配置 > 设备设置 > 路由 > 组播

  2. 在“组播”窗格中,选中“启用组播路由”复选框并点击“应用”。

  3. 在主 ASDM 窗口中,依次选择配置 > 设备设置 > 路由 > 多播 > MRoute

  4. 点击 AddEdit

    系统将显示 Add Multicast Route 或 Edit Multicast Route 对话框。

    使用“Add Multicast Route”对话框将新静态组播路由添加到 ASA。使用 Edit Multicast Route 对话框可更改现有的静态组播路由。

  5. 在 Source Address 字段中,输入组播源的 IP 地址。编辑现有的静态组播路由时,不能更改此值。

  6. 从 Source Mask 下拉列表中选择组播源 IP 地址的网络掩码。

  7. 在 Incoming Interface 区域中,点击 RPF Interface 单选按钮以选择用于转发路由的 RPF,或者点击 Interface Name 单选按钮,然后输入以下内容:

    • 在 Source Interface 字段中,从下拉列表中选择组播路由的传入接口。

    • 在“目标接口”字段中,从下拉列表中选择要通过选定接口向其转发路由的目标接口。


    您可以指定接口或 RPF 邻居,但不能同时指定这两者。

  8. 在 Administrative Distance 字段中,选择静态组播路由的管理距离。如果静态组播路由的管理距离与单播路由相同,则静态组播路由优先。

  9. 点击确定 (OK)

  10. 在 ASDM 主窗口中,依次选择配置 > 设备设置 > 路由 > 组播 > IGMP > 加入组

    系统将显示“加入组”窗格。

  11. 点击 AddEdit

    可以在 Add IGMP Join Group 对话框中将接口配置为组播组的成员。“编辑 IGMP 加入组”对话框可用于更改现有的成员身份信息。

  12. 在“接口名称”字段中,从下拉列表中选择接口名称。如果编辑的是现有条目,则无法更改此值。

  13. 在“组播组地址”字段中,输入接口所属组播组的地址。有效的组地址范围是从 224.0.0.0 到 239.255.255.255。

  14. 点击确定 (OK)

组播路由历史记录

表 1. 组播路由的功能历史记录

功能名称

平台版本

功能信息

组播路由支持

7.0(1)

增加了对于组播路由数据、身份验证以及使用组播路由协议重新发布和监控路由信息的支持。

引入了以下屏幕:Configuration > Device Setup > Routing > Multicast。

支持集群功能

9.0(1)

增加了集群支持。

支持协议无关组播 - 源特定组播 (PIM-SSM) 直接通过

9.5(1)

添加了对启用组播路由时允许 PIM-SSM 数据包通过的支持,除非 ASA 为最后一跳路由器。这使得可以更加灵活地选择组播组,同时还能抵御不同的攻击;主机仅接收来自显式请求的源的流量。

我们未修改任何菜单项。

独立于协议的组播自举路由器 (BSR)

9.5(2)

添加了对新动态交汇点 (RP) 选择模式的支持,该功能使用备选路由器来执行交汇点功能以及中继组的交汇点信息。此功能提供动态获取交汇点 (RP) 的方法,这一点对于 RP 可定期断开和连接的大型复杂网络非常重要。

引入了以下屏幕:Configuration > Device Setup > Routing > Multicast > PIM > Bootstrap Router

增加了 igmp limit

9.15(1)

同样在 9.12(4) 中

igmp limit 从 500 增加到 5000。

未更改任何菜单项。