组播源发现协议 SA 过滤器推荐

简介

本文档介绍如何为组播源发现协议(MSDP)源活动(SA)消息配置标准过滤规则集。思科强烈建议在连接到本地IP组播互联网时至少建立这些过滤器。

注：本文档中的信息适用于所有当前支持MSDP的Cisco IOS®软件版本。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

描述

MSDP-SA消息包含协议独立组播稀疏模式(PIM-SM)域中交汇点(RP)（称为MSDP对等体）的(源、组(S，G))信息。此机制允许RP了解远程PIM-SM域中的组播源，以便它们可以在自己的域中存在本地接收器时加入这些源。您还可以在单个PIM-SM域中的多个RP之间使用MSDP来建立MSDP网状组。

使用默认配置时，MSDP交换SA消息，而不过滤特定源地址或组地址。

通常，PIM-SM域中有许多(S，G)状态应保留在PIM-SM域内，但由于默认过滤，它们会在SA消息中传递到MSDP对等体。例如，使用全局IP组播地址的域本地应用和使用本地IP地址（如10.x.y.z）的源。 在本地IP组播Internet中，此默认值会导致共享过多(S，G)信息。为了提高本地IP组播Internet中MSDP的可扩展性，并避免域本地(S，G)信息的全局可见性，我们建议使用以下配置来减少一些众所周知的域本地源的不必要的创建、转发和缓存。

过滤器列表推荐配置

思科建议对PIM-SM域使用以下配置过滤器，每个组（无MSDP网状组）使用一个RP:

!
     
!--- Filter MSDP SA-messages. !--- Replicate the following two rules for every external MSDP peer.

     !
     ip msdp sa-filter in <peer_address> list 111
     ip msdp sa-filter out <peer_address> list 111
     ! 
     
!--- The redistribution rule is independent of peers.

     !
     ip msdp redistribute list 111
     !
     
!--- ACL to control SA-messages originated, forwarded.

     !
     
!--- Domain-local applications.

     access-list 111 deny   ip any host 224.0.2.2     ! 
     access-list 111 deny   ip any host 224.0.1.3     ! Rwhod
     access-list 111 deny   ip any host 224.0.1.24    ! Microsoft-ds 
     access-list 111 deny   ip any host 224.0.1.22    ! SVRLOC
     access-list 111 deny   ip any host 224.0.1.2     ! SGI-Dogfight
     access-list 111 deny   ip any host 224.0.1.35    ! SVRLOC-DA
     access-list 111 deny   ip any host 224.0.1.60    ! hp-device-disc
     
!--- Auto-RP groups.

     access-list 111 deny   ip any host 224.0.1.39   
     access-list 111 deny   ip any host 224.0.1.40
     
!--- Scoped groups.

     access-list 111 deny   ip any 239.0.0.0 0.255.255.255
     
!--- Loopback, private addresses (RFC 1918).

     access-list 111 deny   ip 10.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 127.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 172.16.0.0 0.15.255.255 any
     access-list 111 deny   ip 192.168.0.0 0.0.255.255 any
     
!--- Default SSM-range. Do not do MSDP in this range.

     access-list 111 deny   ip any 232.0.0.0 0.255.255.255
     access-list 111 permit ip any any
     !
     !

解释

在上例中，访问列表111（您可以使用任意数字）定义域本地SA信息。这包括域本地应用使用的全局组的(S，G)状态、两个自动RP组、范围组和来自本地IP地址的(S，G)状态。

应用此过滤器列表，以便本地路由器不接受来自外部MSDP对等体的域本地SA信息，并且外部MSDP对等体从不从路由器获取SA信息或域本地信息。

<peer_address> list 111命令中的ip msdp sa-filter 过滤从MSDP对等体<peer_address>接收的SA消息中的本地信息。如果在每个外部MSDP对等体上配置此命令，则路由器本身不会接受来自域外的任何域本地信息。

ip msdp sa-filter out <peer_address> list 111命令过滤从发送到MSDP对等体<peer_address>的SA通告中的域本地信息。如果在每个外部MSDP对等体上配置此命令，则域外不会通告域本地信息。

为了增加安全性，我们包括了ip msdp redistribute list 111命令。它防止路由器为域本地(S，G)状态发起SA消息。此操作与ip msdp sa-filter out命令导致的已发送SA消息的过滤无关。

使用 MSDP 网状组时的过滤

如果PIM-SM域使用MSDP网状组，则存在域内MSDP对等体。在这种情况下，需要进一步检查上述配置。

您应将ip msdp sa-filter in和ip msdp sa-filter out规则仅应用于外部MSDP对等体。如果将它们应用于内部MSDP对等体，则按访问列表111过滤的所有SA信息不会在内部对等体之间传递，这会中断使用由访问列表11过滤的源或组地址的任何应用（除非组使用PIM-DM而不是PIM-SM）。

Cisco建议不配置ip msdp redistribute list 111命令，因为它会阻止RP为域本地(S，G)状态发起SA消息。此命令会中断任何依赖它的域本地应用。由于包含此命令是为了增加安全性，因此删除此命令不会更改外部MSDP对等体之间过滤消息的方式。

注意：您应始终将此处描述的过滤应用于MSDP网状组内的所有RP。

参考

CCO上的MSDP文档描述了MSDP命令。

以下命令过滤SA消息：

• <peer> [list <acl>] [route-map <map>] — 定义接受从MSDP对等体接收的SA消息。默认情况下，如果所有SA消息通过本MSDP文档中概述的MSDP反向路径转发(RPF)检查，则它们均被接受。

• ip msdp redistribute [list <acl>] [asn <aspath-acl>] [route-map <map>] — 定义本地路由器为其发出SA消息的(S，G)信息。默认情况下，SA消息是为符合以下条件之一的所有源发起的：

  • 已接收注册。

  • 直连.

  • 在同一密集模式专用接口上接收数据，并通过RPF源。

    注意：当满足这些规则之一时，在与Cisco IOS®软件版本12.0(6)或更高版本中的源对应的(S，G)条目上设置“A”标志。

• ip msdp sa-filter out <peer> [list <acl>] [route-map <map>] — 定义哪些SA消息源自本地或已从MSDP对等体接受，将转发到其他MSDP对等体。默认情况下，所有本地发起的SA消息以及所有接收和接受的SA消息都发送到其他MSDP对等体。

备注

为了最大限度地减少持续更新上述建议的过滤器列表的需要，域本地应用应始终默认使用范围组地址或私有源地址。在域边界上，这些地址通过SA消息过滤和范围组播地址的组播边界定义进行过滤。

相关信息

• IP 路由 支持页
• 技术支持 - Cisco Systems