Multicast-brondetectiesprotocol en aanbevelingen voor SA-filter

Downloadopties

  • PDF     (133.5 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (87.3 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (72.5 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:10 augustus 2005
Document-id:13717

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft hoe u een standaardset filterregels kunt configureren voor MSDP-berichten (Source-Delivery Protocol) bij Multicast Source-Active (SA). Cisco raadt ten zeerste aan om ten minste deze filters te instellen bij de aansluiting op het native IP-multicast internet.

Opmerking: de informatie in dit document is van toepassing op alle huidige MSDP-compatibele Cisco IOS® softwarereleases.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

Conventies

Zie de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Beschrijving

MSDP-SA-berichten bevatten (bron, groep (S,G)) informatie voor rendezvous points (RPs) (MSDP-peers) in Protocol Independent Multicast Spark Mode (PIM-SM) domeinen. Dit mechanisme stelt RPs in staat om over multicast bronnen in verre PIM-SM domeinen te leren zodat zij zich bij die bronnen kunnen aansluiten als er lokale ontvangers in hun eigen domein zijn. U kunt ook MSDP tussen meerdere RP’s in één PIM-SM-domein gebruiken om MSDP-maasgroepen in te stellen.

Met een standaardconfiguratie ruilt MSDP SA-berichten zonder ze te filteren voor specifieke bron- of groepsadressen.

Meestal zijn er een aantal (S,G) staten in een PIM-SM domein dat binnen het PIM-SM domein moet blijven, maar door standaard filtering worden ze in SA-berichten naar MSDP-peers doorgegeven. Voorbeelden van dit omvatten lokale toepassingen die globale IP multicast adressen gebruiken, en bronnen die lokale IP adressen (zoals 10.x.y.z) gebruiken. In het inheemse IP multicast internet, leidt dit standaard tot excessieve (S,G) informatie die wordt gedeeld. Om de schaalbaarheid van MSDP in het inheemse IP multicast internet te verbeteren, en om mondiaal zicht van lokale (S,G) informatie op het domein te vermijden, bevelen we het gebruik van de volgende configuratie aan om onnodige creatie, het verzenden en caching van sommige van deze bekende lokale domeinbronnen te verminderen.

Aanbevolen configuratie van filterlijst

Cisco raadt het gebruik van de volgende configuratiefilter voor PIM-SM domeinen met één RP voor elke groep (geen MSDP vermaasde-groep) aan: 

!
     
!--- Filter MSDP SA-messages. !--- Replicate the following two rules for every external MSDP peer.

     !
     ip msdp sa-filter in <peer_address> list 111
     ip msdp sa-filter out <peer_address> list 111
     ! 
     
!--- The redistribution rule is independent of peers.

     !
     ip msdp redistribute list 111
     !
     
!--- ACL to control SA-messages originated, forwarded.

     !
     
!--- Domain-local applications.

     access-list 111 deny   ip any host 224.0.2.2     ! 
     access-list 111 deny   ip any host 224.0.1.3     ! Rwhod
     access-list 111 deny   ip any host 224.0.1.24    ! Microsoft-ds 
     access-list 111 deny   ip any host 224.0.1.22    ! SVRLOC
     access-list 111 deny   ip any host 224.0.1.2     ! SGI-Dogfight
     access-list 111 deny   ip any host 224.0.1.35    ! SVRLOC-DA
     access-list 111 deny   ip any host 224.0.1.60    ! hp-device-disc
     
!--- Auto-RP groups.

     access-list 111 deny   ip any host 224.0.1.39   
     access-list 111 deny   ip any host 224.0.1.40
     
!--- Scoped groups.

     access-list 111 deny   ip any 239.0.0.0 0.255.255.255
     
!--- Loopback, private addresses (RFC 1918).

     access-list 111 deny   ip 10.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 127.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 172.16.0.0 0.15.255.255 any
     access-list 111 deny   ip 192.168.0.0 0.0.255.255 any
     
!--- Default SSM-range. Do not do MSDP in this range.

     access-list 111 deny   ip any 232.0.0.0 0.255.255.255
     access-list 111 permit ip any any
     !
     !

verklaring

In het voorbeeld hierboven, definieert toegangslijst 111 (u kunt een willekeurig nummer gebruiken) domein lokale SA-informatie. Dit omvat (S,G) staat voor mondiale groepen die worden gebruikt door lokale domeintoepassingen, de twee auto-RP-groepen, verdiepte groepen en (S,G) staat van lokale IP-adressen.

Deze filterlijst wordt toegepast zodat de lokale router geen domein-lokale SA-informatie van externe MSDP peers accepteert en dat externe MSDP peers nooit SA-informatie of domein lokale informatie van de router krijgen.

Het IP msdp sa-filter in <peer_address> list 111 commandofilters lokale informatie van SA berichten ontvangen van MSDP peer <peer_adres>. Als u deze opdracht op elke externe MSDP-peer instelt, zal de router zelf geen lokale informatie van buiten het domein accepteren.

De IP msdp sa-filter uit <peer_adres>list 111 commandofilters domein lokale informatie van SA aankondigingen verzonden naar MSDP peer <peer_adres>. Als u deze opdracht op elke externe MSDP-peer instelt, wordt er geen lokale informatie over het domein buiten het domein aangekondigd.

We namen de opdracht voor het opnieuw verdelen van msdp in lijst 111 op voor extra veiligheid. Dit voorkomt de router van oorsprong SA berichten voor domein lokale (S,G) staat. Deze actie is onafhankelijk van het filteren van verzonden SA-berichten veroorzaakt door de ip msdp sa-filter out opdracht.

Filtering met MSDP mesh-groepen

Als het PIM-SM domein een MSDP mesh-groep gebruikt, zijn er domeininterne MSDP-peers. In deze situatie moet de hierboven beschreven configuratie nader worden onderzocht.

U dient de ip msdp sa-filter in en ip msdp sa-filter alleen op externe MSDP-peers toe te passen. Als u deze op interne MSDP-peers toepast, zal alle SA-informatie die door access-list 111 wordt gefilterd niet tussen interne peers doorgegeven worden, die elke toepassing breekt met de bron- of groepsadressen gefilterd door access-list 111 (tenzij, zoals in het geval van auto-RP-groepen, de groepen PIM-DM in plaats van PIM-SM gebruiken).

Cisco raadt aan het ip msdp niet te configureren om lijst 111 opdracht opnieuw te verdelen omdat dit de RP ervan weerhoudt om SA-berichten uit te voeren voor de lokale (S,G) staat. Deze opdracht breekt elke lokale toepassing die van deze toepassing afhangt. Aangezien deze opdracht is meegeleverd voor extra veiligheid, is het verwijderen van deze opdracht niet van invloed op de manier waarop berichten tussen externe MSDP-peers worden gefilterd.

Opmerking: U dient de hier beschreven filtering consequent toe te passen op alle RP’s binnen de MSDP mesh-groep.

Referenties

De MSDP-documentatie op CCO beschrijft MSDP-opdrachten.

De volgende opdrachten, filter SA-berichten:

  • ip msdp sa-filter in <peer> [lijst <acl>] [routekaart <map>] - definieert welke SA-berichten die van MSDP-peers zijn ontvangen, worden geaccepteerd. Standaard worden alle SA-berichten geaccepteerd als ze de controles MSDP Transformer Path Forwarding (RPF) doorgeven die in dit MSDP-document zijn geschetst.

  • ip msdp herverdeel [lijst <acl>] [<aspath-acl>] [routekaart <map>] - definieert waarvoor (S,G) informatie op de lokale router SA-berichten afkomstig is. Standaard worden SA-berichten gegenereerd voor alle bronnen die aan een van de volgende criteria voldoen:

    • Ontvangen registratie.

    • Direct verbonden.

    • Gegevens ontvangen op, en RPF aan bron door, de zelfde dichte-mode-slechts interface.

      Opmerking: Wanneer aan een van deze regels is voldaan, is een "A"-vlag ingesteld op de (S,G) ingang die overeenkomt met die bron in Cisco IOS® softwarerelease 12.0(6) of hoger.

  • ip msdp sa-filter out <peer> [lijst <acl>] [routekaart <map>] - Hiermee definieert u welke SA-berichten die lokaal zijn ontstaan of zijn geaccepteerd op MSDP-peers, worden doorgestuurd naar andere MSDP-peers. Standaard worden alle lokaal geïnitieerde SA-berichten en alle ontvangen en geaccepteerde SA-berichten naar andere MSDP-peers verzonden.

Opmerkingen

Om de noodzaak om de hierboven aanbevolen filterlijst continu bij te werken te minimaliseren, dienen lokale toepassingen altijd gebruik te maken van groepsadressen of privé bronadressen. Op de domeingrens, worden deze adressen gefilterd door SA-bericht filtering en door multicast grensdefinities voor de vermette multicast adressen.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
10-Aug-2005
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco