تنفيذ أفضل ممارسات SSDP على محولات Catalyst 9000 Series Switches

المقدمة

يصف هذا المستند أفضل الممارسات لإسقاط حزم بروتوكول اكتشاف الخدمة البسيط (SSDP) على محولات Catalyst 9000 Series أو الحد منها.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• عملية البث المتعدد المستقل عن البروتوكول (PIM)
• كيف يتم إستخدام بروتوكول SSDP بشكل خاص لبيئتك

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Cisco Catalyst 9200 
• Cisco Catalyst 9300
• Cisco Catalyst 9400
• Cisco Catalyst 9500
• Cisco Catalyst 9600 

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

فهم مخاطر بروتوكول SSDP في بيئات المؤسسات

بشكل عام، تقوم أجهزة المستخدم النهائي مثل أجهزة الكمبيوتر المحمولة والهواتف المحمولة بالإعلان تلقائيا عن إمكانيات التشغيل بمجرد التوصيل العالمية (UPnP) التي تستخدم بروتوكول SSDP. يرسل العملاء حزمة إعلان للبث المتعدد إلى عنوان IP الخاص ب 239.255.255.250. غالبا ما يتم إرسال هذه الإعلانات مع مدة البقاء (TTL) من 1، ولا تتجاوز الشبكة الفرعية المحلية من الأجهزة المضيفة التي قامت بإنشاء حزمة البث المتعدد. لتلقي إعلانات الأجهزة الأخرى على الشبكة، تقوم نقاط النهاية أيضا بإرسال تقرير عضوية IGMP إلى عنوان 239.255.255.250، الذي يخبر الشبكة بأنه يجب أيضا إعادة توجيه حركة مرور البث المتعدد المرسلة إلى عنوان IP هذا من أي مصدر بث متعدد آخر إلى هذا العميل.

في بيئات المؤسسات التي تحتوي على مئات أو آلاف من نقاط النهاية التي تعمل كمصدر وكمستقبل مهتم لهذه المجموعة، يمكن لنشاط العميل هذا التغلب بسهولة على أجهزة الشبكة إذا تم تركها دون مراقبة ويمكن أن يتسبب في حالات انقطاع بمجرد استنفاد موارد الشبكة.

ويحدث هذا الإرهاق في المقام الأول في إحدى طريقتين:

1. إستهلاك موارد الأجهزة الذي يؤدي إلى تشغيل حالات فشل البروتوكول الثانوي
2. إستهلاك عرض النطاق الترددي للواجهة والمنصة من بروتوكول SSDP المستخدم كهجوم "رفض الخدمة الموزع" (DDoS).

رغم عدم مناقشتها بالتفصيل في هذا المستند، يجب ملاحظة أنه نظرا للطبيعة المفتوحة لبروتوكول SSDP، من الممكن للمهاجم إرسال حزمة مصممة إلى مجموعة من العملاء مع تمكين هذه الخدمة من أجل تشغيل إستجابة كبيرة إلى مضيف أو مجموعة من مضيفي الوجهة. كما أن الكمية الكبيرة من حالة الواجهة الصادرة التي يتم إنشاؤها تعني أيضا إمكانية التأكيد بشكل كبير على قدرة أداء المحول من خلال مقدار صغير من حركة مرور البث المتعدد حيث إنه يلزم المحول لإجراء نسخة واحدة من كل إطار لكل واجهة صادرة داخل الدائرة المتكاملة الخاصة بالتطبيق (ASIC). تقوم قوائم الواجهة الصادرة التي يبلغ عددها 20 واجهة أو أكثر بتشغيل خطر أعلى من مشاكل السعة وفقدان الحزم.

أعراض إستهلاك موارد الأجهزة

تطبع محولات Catalyst 9000 series switches syslog التي تذكر "fman_fp_image" أو "FMFP" عند استنفاد الموارد. يمكن طباعة بعض، أو جميع، هذه الأخطاء عندما يكون المحول قد شهد إستهلاك الموارد ويحتاج إلى مزيد من التحقيق.

هذه بعض الأخطاء الأكثر شيوعا التي تظهر أثناء إستهلاك الموارد ولكنها ليست قائمة شاملة. 

الشكل 1: عينة من الأخطاء الأكثر شيوعا المطبوعة التي هي دليل على إستهلاك الموارد على محول ما

%FMFP-3-OBJ_DWNLD_TO_DP_STUCK: R0/0: fman_fp_image: AOM download to Data Plane is stuck for more than 1800 seconds for <object details>
%FMFP-3-OBJ_DWNLD_TO_DP_RESUME: R0/0: fman_fp_image: AOM download of objects to Data Plane is back to normal
%FMFP_QOS-6-QOS_STATS_STALLED: R0/0: fman_fp_image: statistics stalled
%FMFP-3-OBJ_DWNLD_TO_DP_FAILED: R0/0: fman_fp_image: adj <hex>, Flags None download to DP failed
%FMFP-3-OBJ_DWNLD_TO_DP_FAILED: R0/0: fman_fp_image: adj <hex>, Flags Midchain download to DP failed
%FED_L3M_ERRMSG-3-RSRC_ERR: Switch <num> R0/0: fed: Failed to allocate hardware resource for group <address> - rc:<number or error>
%FED_L3_ERRMSG-3-RSRC_ERR: Chassis <num> R0/0: fed: Failed to allocate hardware resource for adj entry due to hardware resource exhaustion - rc:<number or error>

التحقق من إستهلاك موارد الأجهزة بسبب SSDP

تستخدم جميع محولات Catalyst 9000 series بطاقات واجهة شبكة (ASIC) خاصة لتنفيذ غالبية توجيه الحزم عند سعة معالجة عالية. وتستفيد هذه المراكز من جداول وموارد داخلية مختلفة محدودة قدرتها. نظرا لأن عملاء بروتوكول SSDP يعملون كمصادر وأجهزة إستقبال لمجموعة بث متعدد مشتركة، فيجب على الأجهزة إستخدام هذه الموارد المحدودة لبرمجة مسار في الأجهزة للحزم التي يجب اتباعها، حتى إذا لم تأتي هذه الحزم أو يتم إسقاطها مطلقا لأسباب أخرى (TTL 1). بمجرد استنفاد موارد الأجهزة، لا يمكن تثبيت أي تحديثات أو إضافات جديدة لأي مجموعة، بغض النظر عن علاقتها ببروتوكول SSDP. كما يمكن لأعداد كبيرة من تحديثات SSDP التي لم يتم تثبيتها (المؤسسة الرسمية) أن يتم وضعها في قائمة انتظار في البرامج، مما قد يتسبب في انقطاع تحديثات الأجهزة لحركة مرور البث غير المتعدد أو فشلها، مما يؤثر على حركة مرور المستخدم ويتسبب في حالات انقطاع الشبكة.

لا يكون هذا المستند ذا صلة إلا إذا تم تكوين شبكتك باستخدام PIM وكانت لها حالة البث المتعدد للطبقة 3 لعنوان مجموعة SSDP المعروف جيدا. للتحقق من هذه المعايير، قم بتشغيل الأمر "show ip mroute 239.255.255.250" (إضافة عبارات VRF إذا لزم الأمر). المجموعة 239.255.255.250 خاصة ببروتوكول SSDP.

إذا كانت مخرجات الأمر تحتوي على عدد كبير من الواجهات الصادرة و/أو تحتوي على عدد كبير من المصادر الفريدة لهذه المجموعة المحددة، فإن ذلك يشير إلى أن النظام والشبكة عرضة لانقطاعات اتصال ناجمة عن بروتوكول SSDP. كلما زاد عدد الواجهات الصادرة والمصادر الفريدة، زادت فرص أن يؤثر ذلك على الخدمة.

شكل 2: نموذج مخرجات "show ip mroute 239.255.255.250"  أمر مع SSDP نشط على الشبكة.

Switch#show ip mroute 239.255.255.250
IP Multicast Routing Table
Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected,
       L - Local, P - Pruned, R - RP-bit set, F - Register flag,
       T - SPT-bit set, J - Join SPT, M - MSDP created entry, E - Extranet,
       X - Proxy Join Timer Running, A - Candidate for MSDP Advertisement,
       U - URD, I - Received Source Specific Host Report,
       Z - Multicast Tunnel, z - MDT-data group sender,
       Y - Joined MDT-data group, y - Sending to MDT-data group,
       G - Received BGP C-Mroute, g - Sent BGP C-Mroute,
       N - Received BGP Shared-Tree Prune, n - BGP C-Mroute suppressed,
       Q - Received BGP S-A Route, q - Sent BGP S-A Route,
       V - RD & Vector, v - Vector, p - PIM Joins on route,
       x - VxLAN group
Outgoing interface flags: H - Hardware switched, A - Assert winner, p - PIM Join
Timers: Uptime/Expires
Interface state: Interface, Next-Hop or VCD, State/Mode

(*, 239.255.255.250), 00:08:35/stopped, RP 10.0.0.1, flags: SJC
  Incoming interface: GigabitEthernet0/0/1.40, RPF nbr 10.0.0.1
  Outgoing interface list:
    GigabitEthernet0/0/1.101, Forward/Sparse, 00:08:35/00:02:40
    GigabitEthernet0/0/1.102, Forward/Sparse, 00:08:35/00:02:38
    GigabitEthernet0/0/1.100, Forward/Sparse, 00:08:35/00:02:39

(10.1.1.2, 239.255.255.250), 00:01:40/00:01:19, flags: T
  Incoming interface: Null, RPF nbr 0.0.0.0
  Outgoing interface list:
    GigabitEthernet0/0/1.40, Forward/Sparse, 00:01:40/00:01:40, A
    GigabitEthernet0/0/1.100, Forward/Sparse, 00:01:40/00:02:39
    GigabitEthernet0/0/1.102, Forward/Sparse, 00:01:40/00:02:38
    GigabitEthernet0/0/1.101, Forward/Sparse, 00:01:40/00:02:40

(10.1.1.3, 239.255.255.250), 00:02:03/00:00:56, flags: JT
  Incoming interface: GigabitEthernet0/0/1.40, RPF nbr 10.1.1.1
  Outgoing interface list:
    GigabitEthernet0/0/1.100, Forward/Sparse, 00:02:03/00:02:39
    GigabitEthernet0/0/1.102, Forward/Sparse, 00:02:03/00:02:38 
    GigabitEthernet0/0/1.101, Forward/Sparse, 00:02:03/00:02:40

(10.1.1.4, 239.255.255.250), 00:08:35/00:02:32, flags: T
  Incoming interface: GigabitEthernet0/0/1.40, RPF nbr 10.1.1.1
  Outgoing interface list:
    GigabitEthernet0/0/1.100, Forward/Sparse, 00:08:35/00:02:39
    GigabitEthernet0/0/1.102, Forward/Sparse, 00:08:35/00:02:38
    GigabitEthernet0/0/1.101, Forward/Sparse, 00:08:35/00:02:40, A  

ما لم يتم إستخدام بروتوكول SSDP لغرض محدد، فمن المتوقع أن يكون هذا الإخراج فارغا، أو أن يحتوي على عدد قليل من الواجهات الصادرة و/أو أن يحتوي على عدد قليل من المصادر الفريدة لمنع إستهلاك الموارد والتأثيرات المحتملة للخدمة.

إذا تم عرض عدد كبير من مجموعات البث المتعدد، يمكن إستخدام الأمر show platform software object-manager fp active statistics" أو show platform software object-manager fp switch active statistics" لمعرفة ما إذا تم استنفاد مورد جهاز.

ملاحظة: لا يقتصر هذا الأمر على إستهلاك الموارد الذي يتم تشغيله بواسطة حركة مرور البث المتعدد، ويمكن أن تتسبب مشاكل أخرى في أن تكون هذه القيم غير صفرية.

شكل 3: ناتج "show platform software object-manager fp active statistics"في حالة مشكلة

Switch#show platform software object-manager fp active statistics
Forwarding Manager Asynchronous Object Manager Statistics
Object update: Pending-issue: 109058, Pending-acknowledgement: 76928   <-- Pending-issue is very high, this
Batch begin:   Pending-issue: 0, Pending-acknowledgement: 0                  is not expected.
Batch end:     Pending-issue: 0, Pending-acknowledgement: 0
Command:       Pending-acknowledgement: 0
Total-objects: 304085
Stale-objects: 0
Resolve-objects: 0
Childless-delete-objects: 530
Error-objects: 1098

Paused-types: 127 

يوضح إخراج الشكل 3 أعراض محول مع إستهلاك الموارد. هناك العديد من بنود مخرجات الأمر التي لا يتم توقعها أثناء العملية العادية:

• الإصدار المعلق: من المتوقع أن يكون صفرا أو قريبا منه. إذا ظل هذا قيمة كبيرة غير صفرية عبر العديد من تكرارات الأمر، فهذا علامة على إستهلاك الموارد
• الإقرار المعلق: من المتوقع أن يكون هذا الرقم صفرا أو قريبا منه. إذا ظل هذا قيمة كبيرة غير صفرية عبر العديد من تكرارات الأمر، فهذا علامة على إستهلاك الموارد
• كائنات حذف غير طفلي: من المتوقع أن يكون هذا صفرا أو قريبا منه. قيم 10+ غير متوقعة.
• كائنات الخطأ: من المتوقع أن يكون هذا صفرا أو قريبا منه. قيم 10+ غير متوقعة.

وفي حالة وجود أعداد كبيرة من عدادات "المشاكل المعلقة" أو "قيد الإقرار"، يزيد ذلك باستمرار من خطر عدم برمجة الأجهزة. الأجهزة التي تمت برمجتها بشكل غير صحيح هي مصدر مشترك لانقطاعات حركة مرور البث الأحادي والبث المتعدد.

الأمر "show platform hardware fed switch active fwd-asic resource utilization" or in some models "show platform hardware fed active fwd-asic resource utilization"  يمكن إستخدامه للنظر في بعض الموارد المحدودة المستخدمة في ASICs وتحديد ما إذا تم استنفاد مورد داخلي:

الشكل 4: نموذج مخرجات"show platform hardware fed active fwd-asic resource utilization"بمورد واحد يقترب من الإرهاق.

Switch#show platform hardware fed active fwd-asic resource utilization
Resource Info for ASIC Instance: 0
Resource Name           Allocated Free
------------------------------------------
RSC_DI                    3822       38076
RSC_FAST_DI                  0         192
RSC_RIET_0                   1        1024
RSC_RIET_1                   0         512
RSC_RIET_2                   0         512
RSC_RIET_3                   0         512
RSC_RIET_4                   0         512
RSC_RIET_5                   0         512
RSC_RIET_6                   0         256
RSC_RIET_7                   0         255
RSC_VLAN_LE                116        3976
RSC_L3IF_LE                116        3907
RIM_RSC_DGT                  1         255
RSC_VPN_PREFIX_ID            1       32768
RSC_LABEL_STACK_ID           1       65536
RSC_RI                    7358       82730
RSC_LI_RI                    0         129
RSC_PORT_LE_RI               0        2048
RSC_PORT_LE                  0        1827
RSC_RI_REP               10635      120437
RSC_SI                   11842      119072
RSC_SI_IND                   1         255
RSC_SI_STATS              3550       45602
RSC_RCP1_FID                 1        1023
RSC_RCP2_FID                 1        1023
RSC_RCP3_FID                 1        1023
RSC_RCP4_FID                 1        1023
RSC_LV1_ECR                  1          63
RSC_LV2_ECR                  3         253
RSC_ENH_ECR                  1           0
RSC_RPF_MATCH               12        1012
RSC_PLC                      1        2047
RSC_PLC_PF                   1         255
RSC_MTU_INDEX                6         250
RSC_EGR_REDIRECT_INDEX       2        2046
RSC_RIL_INDEX 131065 7 <-- Free entries extremely low, this is not expected.
RSC_SIF                      1        1023
RSC_GROUP_LE                 1        1023
RSC_RI_REP_LOCAL             1           0
RSC_EXT_SI                 512       65024

    
     
    

في الشكل 4 تظهر قيمة "rsc_ril_index" أن هناك 131065 إدخالا قيد الاستخدام، و 7 فقط هي المجانية. يتم إستهلاك هذا المورد بواسطة أعداد كبيرة من مجموعات SSDP الفريدة. على الرغم من أنها غير مخصصة لبروتوكول SSDP، إلا أن الموارد التي تحتوي على عدد منخفض من الإدخالات المجانية وعدد كبير من الإدخالات المخصصة تشير إلى أن المحول يقترب من مشكلة في السعة، ويجب التحقيق فيها.

الأمر "show platform hardware fed switch active fwd-asic resource tcam utilization" or on some models "show platform hardware fed active fwd-asic resource tcam utilization"  يمكن إستخدامه للنظر في تصنيف الاستخدام حسب المورد لكل ASIC. ومن بين التوقيعات المحتملة الأخرى من إستهلاك SSDP عمود "القيم المستخدمة" لإدخالات "البث المتعدد من المستوى الثالث" لإغلاق "القيم القصوى" أو في هذه الإدخالات.

الشكل 5: نموذج مخرجات"show platform hardware fed active fwd-asic resource tcam utilization"في عملية عادية

Switch#show platform hardware fed active fwd-asic resource tcam utilization 
CAM Utilization for ASIC  [0]
 Table                                              Max Values        Used Values
 --------------------------------------------------------------------------------
 Unicast MAC addresses                               32768/768       6160/21 
 L3 Multicast entries                                32768/768       3544/8      <-- Normal Utilization, not near Max Values
 L2 Multicast entries                                 2304            181        <-- Normal Utilization, not near Max Values
 Directly or indirectly connected routes            212992/1536     11903/39 
 Input Ipv4 QoS Access Control Entries                5632             17
 Input Non Ipv4 QoS Access Control Entries            2560             36
 Output Ipv4 QoS Access Control Entries               6144             13
 Output Non Ipv4 QoS Access Control Entries           2048             27
 Input Ipv4 Security Access Control Entries           7168             12
 Input Non Ipv4 Security Access Control Entries       5120             76
 Output Ipv4 Security Access Control Entries          7168             11
 Output Non Ipv4 Security Access Control Entries      8192             27
 Ingress Netflow ACEs                                 1024              8
 Policy Based Routing ACEs                            3072             20
 Egress Netflow ACEs                                  1024              8
 Flow SPAN ACEs                                        512              5
 Flow Egress SPAN ACEs                                 512              8
 Control Plane Entries                                1024            235
 Tunnels                                              2816             26
 Lisp Instance Mapping Entries                         512              3
 Input Security Associations                           512              4
 SGT_DGT                                             32768/768          0/1  
 CLIENT_LE                                            8192/512          0/0  
 INPUT_GROUP_LE                                       1024              0
 OUTPUT_GROUP_LE                                      1024              0
 Macsec SPD                                            256              2 

منع إستهلاك الموارد بسبب SSDP

لإيقاف إستهلاك الموارد، يجب إيقاف حركة مرور SSDP قبل إنشاء حالة البث المتعدد وقمة المستوى 3 الأولى. الحل الأسرع هو إستخدام قائمة التحكم في الوصول (ACL) إلى IPv4 المطبقة على الدخول إلى جميع واجهات L3 التي تم تكوينها باستخدام PIM التي ترى حركة المرور هذه. تحقق من ذلك باستخدام الأمر show ip route 239.255.255.250" وانظر إلى "الواجهة الواردة" لكل مجموعة. هذا يشير إلى أي قارن L3 مصدر حركة المرور هو و كن على دراية بأنه يمكن أن يكون هناك أكثر من واحد مصدر قارن. يسمح مثال التكوين هذا ل SSDP بالعمل في الطبقة 2 ويسمح للمضيفين المتجاورين في L2 باكتشاف خدمات PNP، ولكنه يمنع إعلانات العميل من إعادة توجيهها عبر حدود L3، ويمنع إنشاء حالة البث المتعدد من L3 على أي موجه أو محول متعدد البث.

تكوين قائمة تحكم في الوصول (ACL) موسعة:

ip access-list extended BLOCK_SSDP
remark Block SSDP
deny ip any host 239.255.255.250  <-- Deny SSDP
permit ip any any   <-- Permit any other group

شكلت تحت كل قارن L3، طبقت ال ACL في المدخل إتجاه:

Switch#configure terminal
Switch(config)#interface vlan100
Switch(config-if)#ip access-group BLOCK_SSDP in 
Switch(config-if)#end

الأساليب البديلة لحظر SSDP

توجد طرق أخرى للحد من إنشاء الحالة من حركة مرور SSDP أو منعه تماما. نظرا لاختلاف كل شبكة، فليست جميع الشبكات فعالة على حد سواء، كما يمكن أن تأتي بميزات أو عيوب معينة تنفرد بها كل بيئة. في وقت هذه الكتابة، تظل قائمة تحكم في الوصول (ACL) موجهة تحظر حركة المرور في SVI هي الأكثر الموصى بها والأكثر فعالية والأقل كثافة في التكوين لتحقيق الهدف المتمثل في خفض حالة حركة المرور هذه وحجمها، مع السماح في الوقت نفسه للعملاء النهائيين باستخدام هذا البروتوكول لاكتشاف الخدمات على شبكة VLAN المحلية لديهم.

افهموا جيدا مزايا وعيوب كل طريقة من الطرائق لتحديد ما إذا كان المرء يمكن ان يكون ملائما بشكل افضل لبيئتكم.

الطريقة البديلة 1: تكوين عامل تصفية PIM RP لمنع تسجيل SSDP مع RP

هذا الأسلوب مفيد للبيئات ذات تخطيط نقطة الالتقاء الثابتة (RP) حيث يمكن أن يكون إنشاء قائمة التحكم في الوصول عبر عدد كبير من واجهات SVIs أو L3 مكثف التكوين.

• وميزة هذه الطريقة هي أنها تسمح بتكوين واحد للتطبيق عبر واجهات L3 متعددة في نفس الوقت.
• العيب من هذا طريقة أن حركة مرور بعد ربطت إلى ال cpu من المفتاح كجزء من عادي حالة خلق لمسحاج تخديد الخطوة الأولى. في البيئات التي تحتوي على كميات كبيرة من المستخدمين المتصلين بشكل مباشر أو غير مباشر أو كميات كبيرة من حركة مرور SSDP، لا تزال حركة المرور المحملة هذه تنافس حركة مرور الشبكة الشرعية الأخرى لموارد وحدة المعالجة المركزية. يمكن أن تتسبب الأحجام الزائدة لحركة مرور SSDP في تأثير خدمة على حركة مرور البث المتعدد الشرعية إذا ظل حجم حركة المرور مرتفعا.

لتنفيذ هذه الطريقة، أستخدم الخطوات التالية:

تكوين قائمة تحكم في الوصول (ACL) ترفض حركة مرور SSDP غير المرغوب فيها:

Switch(config)#ip access-list standard 10
Switch(config-std-nacl)#deny 239.255.255.250 <-- Deny SSDP from registering
Switch(config-std-nacl)#permit 224.0.0.0 15.255.255.255  <-- Permit any other group

تكوين قائمة التحكم في الوصول (ACL) التي قمت بإنشائها كجزء من تعيين RP الثابت

Switch#configure terminal
Switch(config)#ip pim rp-address 192.168.1.1 10
Switch(config-if)#end

الطريقة البديلة 2: تكوين خرائط الوصول إلى شبكة VLAN (VACL) لرفض جميع حركة مرور SSDP

وتعد هذه الطريقة مفيدة للبيئات التي لا تكون فيها هناك حاجة إلى بروتوكول SSDP في المستوى الثاني أو المستوى الثالث، أو في البيئات التي يستنزف فيها حجم حركة مرور بروتوكول SSDP التطفل على بروتوكول IGMP أو موارد البث المتعدد الأخرى من المستوى الثاني للمحول.

• وميزة هذه الطريقة هي أنها سهلة القياس إلى عدد كبير من شبكات VLAN في تكوين واحد. كما أنه أكثر الأشكال فعالية لتجاهل جميع حركة مرور SSDP من الشبكة.
• أما العيب في هذه الطريقة فهو أن العملاء الذين يستخدمون بروتوكول SSDP بشكل مشروع لاكتشاف الخدمات المجاورة من المستوى الثاني سوف يفشلون الآن في العمل بشكل صحيح. سيتم تجاهل جميع حركات مرور SSDP على كل من واجهات L2 و L3 ولن يتم تكوين أي حالة في L2 أو L3. هذا تشكيل غير فعال في حظر إنشاء حالة من حركة مرور يستلم على واجهات L3 الأصلية.

قم بتكوين إثنين من قوائم التحكم في الوصول (ACL). يجب أن يتطابق أحدها مع حركة مرور SSDP فقط، ويجب أن يكون الواحد جامع إستخدام لتعريف كل حركة مرور الشبكة العادية.

Switch(config)#ip access-list extended match_ssdp
Switch(config-ext-nacl)#permit ip any host 239.255.255.250 
Switch(config-ext-nacl)#exit
Switch(config)#ip access-list extended match_all
Switch(config-ext-nacl)#permit ip any any

تكوين خريطة وصول إلى شبكة VLAN برقمين تسلسليين. الأولى لرفض بروتوكول SSDP، والثانية للسماح لجميع حركة المرور الأخرى. طبقت هذا إلى VLANs المرغوب.

Switch#configure terminal
Switch(config)#vlan access-map block_ssdp 10
Switch(config-access-map)#match ip address match_ssdp
Switch(config-access-map)#action drop
Switch(config-access-map)#vlan access-map block_ssdp 20
Switch(config-access-map)#match ip address match_all
Switch(config-access-map)#action forward
Switch(config-access-map)#exit
Switch(config)#vlan filter block_ssdp vlan-list