Recommandations de filtre SA de protocole de découverte de source multidiffusion

Options de téléchargement

  • PDF     (166.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (89.7 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (75.9 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:10 août 2005
ID du document:13717

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment configurer un ensemble standard de règles de filtrage pour les messages MSDP (Multicast Source Discovery Protocol) Source-Active (SA). Cisco recommande vivement d'établir au moins ces filtres lors de la connexion à l'Internet multicast IP natif.

Remarque : les informations de ce document s'appliquent à toutes les versions actuelles du logiciel Cisco IOS® compatibles MSDP.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Conventions

Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.

Description

Les messages MSDP-SA contiennent des informations (source, groupe (S, G) pour les points de rendez-vous (RP) (appelés homologues MSDP) dans les domaines PIM-SM (Protocol Independent Multicast sparse-mode). Ce mécanisme permet aux RP d'apprendre des sources de multidiffusion dans des domaines PIM-SM distants afin qu'ils puissent rejoindre ces sources s'il y a des récepteurs locaux dans leur propre domaine. Vous pouvez également utiliser MSDP entre plusieurs RP dans un domaine PIM-SM unique pour établir des groupes de maillage MSDP.

Avec une configuration par défaut, MSDP échange des messages SA sans les filtrer pour des adresses source ou de groupe spécifiques.

En règle générale, il existe un certain nombre d'états (S, G) dans un domaine PIM-SM qui doivent rester dans le domaine PIM-SM, mais, en raison du filtrage par défaut, ils sont transmis dans des messages SA à des homologues MSDP. Les applications locales de domaine qui utilisent des adresses de multidiffusion IP globales et les sources qui utilisent des adresses IP locales (telles que 10.x.y.z) en sont des exemples. Dans l'Internet de multidiffusion IP natif, cette valeur par défaut entraîne le partage d'informations excessives (S, G). Pour améliorer l'évolutivité de MSDP dans l'Internet multicast IP natif et pour éviter une visibilité globale des informations de domaine local (S, G), nous vous recommandons d'utiliser la configuration suivante pour réduire la création, le transfert et la mise en cache inutiles de certaines de ces sources locales de domaine bien connues.

Configuration recommandée de la liste de filtres

Cisco recommande d'utiliser le filtre de configuration suivant pour les domaines PIM-SM avec un seul RP pour chaque groupe (aucun groupe de maillage MSDP) : 

!
     
!--- Filter MSDP SA-messages. !--- Replicate the following two rules for every external MSDP peer.

     !
     ip msdp sa-filter in <peer_address> list 111
     ip msdp sa-filter out <peer_address> list 111
     ! 
     
!--- The redistribution rule is independent of peers.

     !
     ip msdp redistribute list 111
     !
     
!--- ACL to control SA-messages originated, forwarded.

     !
     
!--- Domain-local applications.

     access-list 111 deny   ip any host 224.0.2.2     ! 
     access-list 111 deny   ip any host 224.0.1.3     ! Rwhod
     access-list 111 deny   ip any host 224.0.1.24    ! Microsoft-ds 
     access-list 111 deny   ip any host 224.0.1.22    ! SVRLOC
     access-list 111 deny   ip any host 224.0.1.2     ! SGI-Dogfight
     access-list 111 deny   ip any host 224.0.1.35    ! SVRLOC-DA
     access-list 111 deny   ip any host 224.0.1.60    ! hp-device-disc
     
!--- Auto-RP groups.

     access-list 111 deny   ip any host 224.0.1.39   
     access-list 111 deny   ip any host 224.0.1.40
     
!--- Scoped groups.

     access-list 111 deny   ip any 239.0.0.0 0.255.255.255
     
!--- Loopback, private addresses (RFC 1918).

     access-list 111 deny   ip 10.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 127.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 172.16.0.0 0.15.255.255 any
     access-list 111 deny   ip 192.168.0.0 0.0.255.255 any
     
!--- Default SSM-range. Do not do MSDP in this range.

     access-list 111 deny   ip any 232.0.0.0 0.255.255.255
     access-list 111 permit ip any any
     !
     !

Explication

Dans l'exemple ci-dessus, la liste de contrôle d'accès 111 (vous pouvez utiliser n'importe quel numéro) définit les informations SA locales du domaine. Ceci inclut l'état (S, G) pour les groupes globaux utilisés par les applications locales de domaine, les deux groupes auto-RP, les groupes délimités et (S, G) l'état à partir des adresses IP locales.

Cette liste de filtres est appliquée de sorte que le routeur local n'accepte pas les informations SA locales de domaine des homologues MSDP externes et que les homologues MSDP externes n'obtiennent jamais d'informations SA ou locales de domaine du routeur.

La commande ip msdp sa-filter dans <peer_address> list 111 filtre les informations locales des messages SA reçus de l'homologue MSDP <peer_address>. Si vous configurez cette commande sur chaque homologue MSDP externe, le routeur lui-même n'acceptera aucune information locale de domaine en dehors du domaine.

La commande ip msdp sa-filter out <peer_address> list 111 filtre les informations locales du domaine à partir des annonces de SA envoyées à l'homologue MSDP <peer_address>. Si vous configurez cette commande sur chaque homologue MSDP externe, aucune information locale de domaine n'est annoncée en dehors du domaine.

Nous avons inclus la commande ip msdp redistribute list 111 pour plus de sécurité. Il empêche le routeur d'émettre des messages SA pour l'état local du domaine (S, G). Cette action est indépendante du filtrage des messages SA envoyés causés par la commande ip msdp sa-filter out.

Filtrage avec groupes de maillage MSDP

Si le domaine PIM-SM utilise un groupe de maillage MSDP, il existe des homologues MSDP internes au domaine. Dans ce cas, la configuration décrite ci-dessus doit être examinée plus avant.

Vous devez appliquer les règles ip msdp sa-filter in et ip msdp sa-filter out aux homologues MSDP externes uniquement. Si vous les appliquez aux homologues MSDP internes, toutes les informations de SA filtrées par la liste d'accès 111 ne seront pas transmises entre homologues internes, ce qui casse toute application à l'aide des adresses source ou de groupe filtrées par la liste d'accès 111 (sauf si, comme dans le cas des groupes auto-RP, les groupes utilisent PIM-DM au lieu de PIM-SM).

Cisco recommande de ne pas configurer la commande ip msdp redistribute list 111 car elle empêche le RP d'émettre des messages de SA pour l'état local du domaine (S, G). Cette commande casse toute application locale de domaine qui en dépend. Puisque cette commande est incluse pour plus de sécurité, sa suppression ne changera pas la façon dont les messages sont filtrés entre homologues MSDP externes.

Remarque : Vous devez appliquer de manière cohérente le filtrage décrit ici à tous les RP du groupe de maillage MSDP.

Références

La documentation MSDP sur CCO décrit les commandes MSDP.

Les commandes suivantes filtrent les messages SA :

  • ip msdp sa-filter in <peer> [list <acl>] [route-map <map>] - Définit quels messages SA reçus des homologues MSDP sont acceptés. Par défaut, tous les messages SA sont acceptés s'ils réussissent les contrôles RPF (Reverse Path Forwarding) MSDP décrits dans ce document MSDP.

  • ip msdp redistribute [list <acl>] [asn <aspath-acl>] [route-map <map>] - Définit pour quelles informations (S, G) le routeur local émet des messages SA. Par défaut, les messages SA sont émis pour toutes les sources qui correspondent à l'un des critères suivants :

    • Inscription reçue.

    • Connexion directe.

    • Données reçues sur la même interface en mode dense uniquement et RPF pour la source via.

      Remarque : Lorsqu'une de ces règles est satisfaite, un indicateur « A » est défini sur l'entrée (S, G) correspondant à cette source dans le logiciel Cisco IOS® Version 12.0(6) ou ultérieure.

  • ip msdp sa-filter out <peer> [list <acl>] [route-map <map>] - Définit les messages SA qui ont été envoyés localement ou acceptés par des homologues MSDP sont transférés à d'autres homologues MSDP. Par défaut, tous les messages SA d'origine locale et tous les messages SA reçus et acceptés sont envoyés à d'autres homologues MSDP.

Notes

Pour minimiser la nécessité de mettre à jour en permanence la liste de filtres recommandée ci-dessus, les applications locales de domaine doivent toujours utiliser par défaut des adresses de groupe étendues ou des adresses source privées. Sur la limite du domaine, ces adresses sont filtrées par le filtrage des messages SA et par les définitions des limites de multidiffusion pour les adresses de multidiffusion étendues.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
10-Aug-2005
Première publication

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits