In questo documento viene descritto come configurare un insieme standard di regole di filtro per i messaggi SA (Source-Active) MSDP (Multicast Source Discovery Protocol). Cisco consiglia di stabilire almeno questi filtri per la connessione all'Internet IP multicast nativo.
Nota: le informazioni di questo documento si applicano a tutte le versioni software Cisco IOS® compatibili con MSDP.
Nessun requisito specifico previsto per questo documento.
Il documento può essere consultato per tutte le versioni software o hardware.
Per ulteriori informazioni sulle convenzioni usate, consultare il documento Cisco sulle convenzioni nei suggerimenti tecnici.
I messaggi MSDP-SA contengono (origine, gruppo (S,G)) informazioni per i punti di rendering (RP) (denominati peer MSDP) nei domini PIM-SM (Protocol Independent Multicast Sparse-Mode). Questo meccanismo consente alle risorse RP di conoscere le fonti multicast nei domini PIM-SM remoti in modo che possano unirsi a tali fonti se ci sono ricevitori locali nel proprio dominio. È inoltre possibile utilizzare MSDP tra più RP in un singolo dominio PIM-SM per stabilire mesh group MSDP.
Con una configurazione predefinita, MSDP scambia messaggi SA senza filtrarli per indirizzi di origine o di gruppo specifici.
In genere, in un dominio PIM-SM sono presenti diversi stati (S,G) che dovrebbero rimanere all'interno del dominio PIM-SM, ma, a causa del filtro predefinito, vengono passati nei messaggi SA ai peer MSDP. Esempi di questo tipo sono le applicazioni locali di dominio che utilizzano indirizzi multicast IP globali e le origini che utilizzano indirizzi IP locali (ad esempio 10.x.y.z). In Internet multicast IP nativo, questa impostazione predefinita comporta la condivisione di un numero eccessivo di informazioni (S,G). Per migliorare la scalabilità di MSDP nell'Internet multicast IP nativo e per evitare la visibilità globale delle informazioni locali del dominio (S,G), si consiglia di utilizzare la configurazione seguente per ridurre la creazione, l'inoltro e la memorizzazione nella cache non necessari di alcune di queste note origini locali del dominio.
Cisco consiglia di utilizzare il seguente filtro di configurazione per i domini PIM-SM con un singolo RP per ogni gruppo (senza mesh-group MSDP):
! !--- Filter MSDP SA-messages. !--- Replicate the following two rules for every external MSDP peer. ! ip msdp sa-filter in <peer_address> list 111 ip msdp sa-filter out <peer_address> list 111 ! !--- The redistribution rule is independent of peers. ! ip msdp redistribute list 111 ! !--- ACL to control SA-messages originated, forwarded. ! !--- Domain-local applications. access-list 111 deny ip any host 224.0.2.2 ! access-list 111 deny ip any host 224.0.1.3 ! Rwhod access-list 111 deny ip any host 224.0.1.24 ! Microsoft-ds access-list 111 deny ip any host 224.0.1.22 ! SVRLOC access-list 111 deny ip any host 224.0.1.2 ! SGI-Dogfight access-list 111 deny ip any host 224.0.1.35 ! SVRLOC-DA access-list 111 deny ip any host 224.0.1.60 ! hp-device-disc !--- Auto-RP groups. access-list 111 deny ip any host 224.0.1.39 access-list 111 deny ip any host 224.0.1.40 !--- Scoped groups. access-list 111 deny ip any 239.0.0.0 0.255.255.255 !--- Loopback, private addresses (RFC 1918). access-list 111 deny ip 10.0.0.0 0.255.255.255 any access-list 111 deny ip 127.0.0.0 0.255.255.255 any access-list 111 deny ip 172.16.0.0 0.15.255.255 any access-list 111 deny ip 192.168.0.0 0.0.255.255 any !--- Default SSM-range. Do not do MSDP in this range. access-list 111 deny ip any 232.0.0.0 0.255.255.255 access-list 111 permit ip any any ! !
Nell'esempio precedente, l'elenco degli accessi 111 (è possibile utilizzare qualsiasi numero) definisce le informazioni sulle associazioni di protezione locali del dominio. Questo include lo stato (S,G) per i gruppi globali utilizzati dalle applicazioni locali di dominio, i due gruppi auto-RP, i gruppi con ambito e lo stato (S,G) dagli indirizzi IP locali.
Questo elenco di filtri viene applicato in modo che il router locale non accetti informazioni SA locali del dominio da peer MSDP esterni e che i peer MSDP esterni non ricevano mai informazioni SA o informazioni locali del dominio dal router.
Il comando ip msdp sa-filter in <indirizzo_peer> list 111 filtra le informazioni locali dai messaggi SA ricevuti dal peer MSDP <indirizzo_peer>. Se si configura questo comando su ogni peer MSDP esterno, il router stesso non accetterà informazioni locali del dominio dall'esterno del dominio.
Il comando ip msdp sa-filter out <indirizzo_peer> list 111 filtra le informazioni locali del dominio dagli annunci SA inviati al peer MSDP <indirizzo_peer>. Se si configura questo comando su ogni peer MSDP esterno, all'esterno del dominio non verranno annunciate informazioni locali sul dominio.
È stato incluso il comando ip msdp redistribute list 111 per una maggiore sicurezza. Impedisce al router di generare messaggi SA per lo stato locale del dominio (S,G). Questa azione è indipendente dal filtro dei messaggi SA inviati causato dal comando ip msdp sa-filter out.
Se il dominio PIM-SM utilizza un mesh-group MSDP, esistono peer MSDP interni al dominio. Per questa situazione, la configurazione sopra descritta deve essere ulteriormente esaminata.
È consigliabile applicare le regole ip msdp sa-filter in e ip msdp sa-filter out solo ai peer MSDP esterni. Se le si applica ai peer interni MSDP, tutte le informazioni SA filtrate in base all'elenco degli accessi 111 non verranno passate tra peer interni. In questo modo, qualsiasi applicazione che utilizzi gli indirizzi di origine o di gruppo filtrati in base all'elenco degli accessi 111 (a meno che, come nel caso dei gruppi auto-RP, i gruppi non utilizzino PIM-DM anziché PIM-SM).
Cisco consiglia di non configurare il comando ip msdp redistribute list 111 perché impedisce all'RP di generare messaggi SA per lo stato locale del dominio (S,G). Questo comando interrompe qualsiasi applicazione locale di dominio da esso dipendente. Poiché questo comando è incluso per una maggiore sicurezza, la sua rimozione non modificherà il modo in cui i messaggi vengono filtrati tra peer MSDP esterni.
Nota: il filtro qui descritto deve essere applicato in modo coerente a tutti gli RP all'interno del mesh-group MSDP.
La documentazione di MSDP su CCO descrive i comandi MSDP.
I comandi seguenti filtrano i messaggi SA:
ip msdp sa-filter in <peer> [list <acl>] [route-map <map>] - Definisce i messaggi SA ricevuti dai peer MSDP accettati. Per impostazione predefinita, tutti i messaggi SA vengono accettati se superano le verifiche RPF (Reverse Path Forwarding) di MSDP descritte in questo documento MSDP.
ip msdp redistribute [list <acl>] [asn <aspath-acl>] [route-map <map>] - Definisce le informazioni per cui (S,G) il router locale genera messaggi SA. Per impostazione predefinita, i messaggi SA vengono generati per tutte le origini che soddisfano uno dei criteri seguenti:
Registrazione ricevuta.
Connessione diretta.
Dati ricevuti su e RPF all'origine attraverso la stessa interfaccia a modalità densa.
Nota: quando una di queste regole è soddisfatta, alla voce (S,G) corrispondente alla fonte nel software Cisco IOS® versione 12.0(6) o successive viene impostato un flag "A".
ip msdp sa-filter out <peer> [list <acl>] [route-map <map>] - Definisce quali messaggi SA originati localmente o accettati da peer MSDP vengono inoltrati ad altri peer MSDP. Per impostazione predefinita, tutti i messaggi SA originati localmente e tutti i messaggi SA ricevuti e accettati vengono inviati ad altri peer MSDP.
Per ridurre la necessità di aggiornare continuamente l'elenco di filtri consigliato in precedenza, le applicazioni locali di dominio devono sempre utilizzare indirizzi di gruppo con ambito o indirizzi di origine privati per impostazione predefinita. Al limite del dominio, questi indirizzi vengono filtrati dal filtro dei messaggi SA e dalle definizioni dei limiti multicast per gli indirizzi multicast con ambito.
Revisione | Data di pubblicazione | Commenti |
---|---|---|
1.0 |
10-Aug-2005 |
Versione iniziale |