멀티캐스트 소스 검색 프로토콜 SA 필터 권장 사항

다운로드 옵션

PDF (188.2 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (81.8 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (67.3 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2005년 8월 10일

문서 ID:13717

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 MSDP(Multicast Source Discovery Protocol) SA(Source-Active) 메시지에 대한 표준 필터링 규칙 집합을 구성하는 방법에 대해 설명합니다.Cisco에서는 네이티브 IP 멀티캐스트 인터넷에 연결할 때 이러한 필터 이상을 설정하는 것이 좋습니다.

참고: 이 문서의 정보는 모든 최신 MSDP 지원 Cisco IOS® 소프트웨어 릴리스에 적용됩니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

표기 규칙

문서 표기 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

설명

MSDP-SA 메시지에는 PIM-SM(Protocol Independent Multicast sparse-mode) 도메인의 RP(Rendezvous point, group (S,G) 정보가 포함됩니다.이 메커니즘을 통해 RP는 원격 PIM-SM 도메인의 멀티캐스트 소스에 대해 학습하여 자체 도메인에 로컬 수신기가 있는 경우 해당 소스에 조인할 수 있습니다.또한 단일 PIM-SM 도메인의 여러 RP 간에 MSDP를 사용하여 MSDP 메시 그룹을 설정할 수도 있습니다.

기본 컨피그레이션에서는 MSDP가 특정 소스 또는 그룹 주소에 대해 필터링하지 않고 SA 메시지를 교환합니다.

일반적으로 PIM-SM 도메인에는 PIM-SM 도메인 내에 있어야 하는 여러(S,G) 상태가 있지만, 기본 필터링 때문에 MSDP 피어로 SA 메시지를 전달합니다.이에 대한 예로는 전역 IP 멀티캐스트 주소를 사용하는 도메인 로컬 애플리케이션 및 로컬 IP 주소를 사용하는 소스(예: 10.x.y.z)가 있습니다. 기본 IP 멀티캐스트 인터넷에서 이 기본값은 과도한(S,G) 정보를 공유하게 합니다.네이티브 IP 멀티캐스트 인터넷에서 MSDP의 확장성을 개선하고 도메인 로컬(S,G) 정보의 전역 가시성을 피하려면 다음 컨피그레이션을 사용하여 잘 알려진 일부 도메인 로컬 소스의 불필요한 생성, 전달 및 캐싱을 줄이는 것이 좋습니다.

권장 필터 목록 구성

Cisco에서는 모든 그룹에 대해 단일 RP가 있는 PIM-SM 도메인에 대해 다음 컨피그레이션 필터를 사용할 것을 권장합니다(MSDP 메시 그룹 없음).

!
     
!--- Filter MSDP SA-messages. !--- Replicate the following two rules for every external MSDP peer.

     !
     ip msdp sa-filter in <peer_address> list 111
     ip msdp sa-filter out <peer_address> list 111
     ! 
     
!--- The redistribution rule is independent of peers.

     !
     ip msdp redistribute list 111
     !
     
!--- ACL to control SA-messages originated, forwarded.

     !
     
!--- Domain-local applications.

     access-list 111 deny   ip any host 224.0.2.2     ! 
     access-list 111 deny   ip any host 224.0.1.3     ! Rwhod
     access-list 111 deny   ip any host 224.0.1.24    ! Microsoft-ds 
     access-list 111 deny   ip any host 224.0.1.22    ! SVRLOC
     access-list 111 deny   ip any host 224.0.1.2     ! SGI-Dogfight
     access-list 111 deny   ip any host 224.0.1.35    ! SVRLOC-DA
     access-list 111 deny   ip any host 224.0.1.60    ! hp-device-disc
     
!--- Auto-RP groups.

     access-list 111 deny   ip any host 224.0.1.39   
     access-list 111 deny   ip any host 224.0.1.40
     
!--- Scoped groups.

     access-list 111 deny   ip any 239.0.0.0 0.255.255.255
     
!--- Loopback, private addresses (RFC 1918).

     access-list 111 deny   ip 10.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 127.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 172.16.0.0 0.15.255.255 any
     access-list 111 deny   ip 192.168.0.0 0.0.255.255 any
     
!--- Default SSM-range. Do not do MSDP in this range.

     access-list 111 deny   ip any 232.0.0.0 0.255.255.255
     access-list 111 permit ip any any
     !
     !

설명

위의 예에서 액세스 목록 111(임의의 숫자를 사용할 수 있음)은 도메인 로컬 SA 정보를 정의합니다.여기에는 도메인 로컬 애플리케이션에서 사용하는 전역 그룹, 두 개의 auto-RP 그룹, 범위 그룹 및 로컬 IP 주소의 (S,G) 상태에 대한 (S,G) 상태가 포함됩니다.

이 필터 목록은 로컬 라우터가 외부 MSDP 피어의 도메인-로컬 SA 정보를 허용하지 않고 외부 MSDP 피어가 라우터에서 SA 정보 또는 도메인 로컬 정보를 가져오지 않도록 적용됩니다.

<peer_address> list 111 명령의 ip msdp sa-filter는 MSDP 피어 <peer_address>에서 받은 SA 메시지의 로컬 정보를 필터링합니다.모든 외부 MSDP 피어에서 이 명령을 구성할 경우 라우터 자체에서 도메인 외부에서 온 도메인 로컬 정보를 허용하지 않습니다.

ip msdp sa-filter out <peer_address> list 111 명령은 MSDP 피어 <peer_address>로 전송된 SA 알림의 도메인 로컬 정보를 필터링합니다.모든 외부 MSDP 피어에서 이 명령을 구성하는 경우 도메인 외부에 도메인 로컬 정보가 공개되지 않습니다.

안전을 높이기 위해 ip msdp redistribute list 111 명령을 포함했습니다.라우터가 도메인 로컬(S,G) 상태에 대한 SA 메시지를 시작하지 못하도록 합니다.이 작업은 ip msdp sa-filter out 명령으로 인해 전송된 SA 메시지의 필터링과 무관합니다.

MSDP 메시 그룹으로 필터링

PIM-SM 도메인이 MSDP 메시 그룹을 사용하는 경우 도메인 내부 MSDP 피어가 있습니다.이 경우 위에서 설명한 컨피그레이션을 더 자세히 검토해야 합니다.

ip msdp sa-filter in 및 ip msdp sa-filter out 규칙은 외부 MSDP 피어에만 적용해야 합니다.내부 MSDP 피어에 적용할 경우 access-list 111로 필터링된 모든 SA 정보는 내부 피어 간에 전달되지 않으며, 내부 피어는 access-list 111로 필터링된 소스 또는 그룹 주소를 사용하여 애플리케이션을 중단합니다(auto-RP 그룹의 경우 그룹이 PIM-SM 대신 PIM-DM을 사용하지 않는 경우 제외).

RP가 S,G(도메인 로컬) 상태에 대한 SA 메시지를 시작하지 못하도록 하기 때문에 ip msdp redistribute list 111 명령을 구성하지 않는 것이 좋습니다.이 명령은 이 명령에 종속된 모든 도메인 로컬 애플리케이션을 중단합니다.이 명령은 추가 안전을 위해 포함되어 있으므로 이 명령을 제거해도 외부 MSDP 피어 간에 메시지를 필터링하는 방법은 변경되지 않습니다.

참고: 여기에 설명된 필터링을 MSDP 메시 그룹 내의 모든 RP에 일관되게 적용해야 합니다.

참조

CCO의 MSDP 설명서에서는 MSDP 명령에 대해 설명합니다.

다음 명령은 SA 메시지를 필터링합니다.

ip msdp sa-filter in <peer> [list <acl>] [route-map <map>] - MSDP 피어에서 수신한 SA 메시지를 정의합니다.기본적으로 모든 SA 메시지가 이 MSDP 문서에 설명된 MSDP RPF(Reverse Path Forwarding) 검사를 통과하면 수락됩니다.
ip msdp redistribute [list <acl>] [asn<aspath-acl>] [route-map <map>] - 로컬 라우터가 SA 메시지를 시작하는 (S,G) 정보를 정의합니다.기본적으로 SA 메시지는 다음 기준 중 하나와 일치하는 모든 소스에 대해 생성됩니다.
- 등록을 받았습니다.
- 직접 연결됨
- 동일한 고밀도 모드 전용 인터페이스에서 데이터를 수신하고 RPF를 통해 소스로 전송합니다.
  
  참고: 이러한 규칙 중 하나가 충족되면 Cisco IOS® Software Release 12.0(6) 이상에서 해당 소스에 해당하는 (S,G) 항목에 "A" 플래그가 설정됩니다.
ip msdp sa-filter out <peer> [list <acl>] [route-map<map>] - 로컬에서 시작되었거나 MSDP 피어에서 수락된 SA 메시지가 다른 MSDP 피어로 전달되는 SA 메시지를 정의합니다.기본적으로 모든 로컬에서 시작된 SA 메시지와 모든 수신 및 수락된 SA 메시지는 다른 MSDP 피어로 전송됩니다.

참고

위에서 권장하는 필터 목록을 지속적으로 업데이트할 필요성을 최소화하려면 도메인 로컬 응용 프로그램은 기본적으로 항상 범위가 지정된 그룹 주소 또는 개인 소스 주소를 사용해야 합니다.도메인 경계에서 이러한 주소는 범위가 지정된 멀티캐스트 주소에 대한 SA 메시지 필터링 및 멀티캐스트 경계 정의에 따라 필터링됩니다.