Ce document décrit comment configurer un ensemble standard de règles de filtrage pour les messages MSDP (Multicast Source Discovery Protocol) Source-Active (SA). Cisco recommande vivement d'établir au moins ces filtres lors de la connexion à l'Internet multicast IP natif.
Remarque : les informations de ce document s'appliquent à toutes les versions actuelles du logiciel Cisco IOS® compatibles MSDP.
Aucune spécification déterminée n'est requise pour ce document.
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco.
Les messages MSDP-SA contiennent des informations (source, groupe (S, G) pour les points de rendez-vous (RP) (appelés homologues MSDP) dans les domaines PIM-SM (Protocol Independent Multicast sparse-mode). Ce mécanisme permet aux RP d'apprendre des sources de multidiffusion dans des domaines PIM-SM distants afin qu'ils puissent rejoindre ces sources s'il y a des récepteurs locaux dans leur propre domaine. Vous pouvez également utiliser MSDP entre plusieurs RP dans un domaine PIM-SM unique pour établir des groupes de maillage MSDP.
Avec une configuration par défaut, MSDP échange des messages SA sans les filtrer pour des adresses source ou de groupe spécifiques.
En règle générale, il existe un certain nombre d'états (S, G) dans un domaine PIM-SM qui doivent rester dans le domaine PIM-SM, mais, en raison du filtrage par défaut, ils sont transmis dans des messages SA à des homologues MSDP. Les applications locales de domaine qui utilisent des adresses de multidiffusion IP globales et les sources qui utilisent des adresses IP locales (telles que 10.x.y.z) en sont des exemples. Dans l'Internet de multidiffusion IP natif, cette valeur par défaut entraîne le partage d'informations excessives (S, G). Pour améliorer l'évolutivité de MSDP dans l'Internet multicast IP natif et pour éviter une visibilité globale des informations de domaine local (S, G), nous vous recommandons d'utiliser la configuration suivante pour réduire la création, le transfert et la mise en cache inutiles de certaines de ces sources locales de domaine bien connues.
Cisco recommande d'utiliser le filtre de configuration suivant pour les domaines PIM-SM avec un seul RP pour chaque groupe (aucun groupe de maillage MSDP) :
! !--- Filter MSDP SA-messages. !--- Replicate the following two rules for every external MSDP peer. ! ip msdp sa-filter in <peer_address> list 111 ip msdp sa-filter out <peer_address> list 111 ! !--- The redistribution rule is independent of peers. ! ip msdp redistribute list 111 ! !--- ACL to control SA-messages originated, forwarded. ! !--- Domain-local applications. access-list 111 deny ip any host 224.0.2.2 ! access-list 111 deny ip any host 224.0.1.3 ! Rwhod access-list 111 deny ip any host 224.0.1.24 ! Microsoft-ds access-list 111 deny ip any host 224.0.1.22 ! SVRLOC access-list 111 deny ip any host 224.0.1.2 ! SGI-Dogfight access-list 111 deny ip any host 224.0.1.35 ! SVRLOC-DA access-list 111 deny ip any host 224.0.1.60 ! hp-device-disc !--- Auto-RP groups. access-list 111 deny ip any host 224.0.1.39 access-list 111 deny ip any host 224.0.1.40 !--- Scoped groups. access-list 111 deny ip any 239.0.0.0 0.255.255.255 !--- Loopback, private addresses (RFC 1918). access-list 111 deny ip 10.0.0.0 0.255.255.255 any access-list 111 deny ip 127.0.0.0 0.255.255.255 any access-list 111 deny ip 172.16.0.0 0.15.255.255 any access-list 111 deny ip 192.168.0.0 0.0.255.255 any !--- Default SSM-range. Do not do MSDP in this range. access-list 111 deny ip any 232.0.0.0 0.255.255.255 access-list 111 permit ip any any ! !
Dans l'exemple ci-dessus, la liste de contrôle d'accès 111 (vous pouvez utiliser n'importe quel numéro) définit les informations SA locales du domaine. Ceci inclut l'état (S, G) pour les groupes globaux utilisés par les applications locales de domaine, les deux groupes auto-RP, les groupes délimités et (S, G) l'état à partir des adresses IP locales.
Cette liste de filtres est appliquée de sorte que le routeur local n'accepte pas les informations SA locales de domaine des homologues MSDP externes et que les homologues MSDP externes n'obtiennent jamais d'informations SA ou locales de domaine du routeur.
La commande ip msdp sa-filter dans <peer_address> list 111 filtre les informations locales des messages SA reçus de l'homologue MSDP <peer_address>. Si vous configurez cette commande sur chaque homologue MSDP externe, le routeur lui-même n'acceptera aucune information locale de domaine en dehors du domaine.
La commande ip msdp sa-filter out <peer_address> list 111 filtre les informations locales du domaine à partir des annonces de SA envoyées à l'homologue MSDP <peer_address>. Si vous configurez cette commande sur chaque homologue MSDP externe, aucune information locale de domaine n'est annoncée en dehors du domaine.
Nous avons inclus la commande ip msdp redistribute list 111 pour plus de sécurité. Il empêche le routeur d'émettre des messages SA pour l'état local du domaine (S, G). Cette action est indépendante du filtrage des messages SA envoyés causés par la commande ip msdp sa-filter out.
Si le domaine PIM-SM utilise un groupe de maillage MSDP, il existe des homologues MSDP internes au domaine. Dans ce cas, la configuration décrite ci-dessus doit être examinée plus avant.
Vous devez appliquer les règles ip msdp sa-filter in et ip msdp sa-filter out aux homologues MSDP externes uniquement. Si vous les appliquez aux homologues MSDP internes, toutes les informations de SA filtrées par la liste d'accès 111 ne seront pas transmises entre homologues internes, ce qui casse toute application à l'aide des adresses source ou de groupe filtrées par la liste d'accès 111 (sauf si, comme dans le cas des groupes auto-RP, les groupes utilisent PIM-DM au lieu de PIM-SM).
Cisco recommande de ne pas configurer la commande ip msdp redistribute list 111 car elle empêche le RP d'émettre des messages de SA pour l'état local du domaine (S, G). Cette commande casse toute application locale de domaine qui en dépend. Puisque cette commande est incluse pour plus de sécurité, sa suppression ne changera pas la façon dont les messages sont filtrés entre homologues MSDP externes.
Remarque : Vous devez appliquer de manière cohérente le filtrage décrit ici à tous les RP du groupe de maillage MSDP.
La documentation MSDP sur CCO décrit les commandes MSDP.
Les commandes suivantes filtrent les messages SA :
ip msdp sa-filter in <peer> [list <acl>] [route-map <map>] - Définit quels messages SA reçus des homologues MSDP sont acceptés. Par défaut, tous les messages SA sont acceptés s'ils réussissent les contrôles RPF (Reverse Path Forwarding) MSDP décrits dans ce document MSDP.
ip msdp redistribute [list <acl>] [asn <aspath-acl>] [route-map <map>] - Définit pour quelles informations (S, G) le routeur local émet des messages SA. Par défaut, les messages SA sont émis pour toutes les sources qui correspondent à l'un des critères suivants :
Inscription reçue.
Connexion directe.
Données reçues sur la même interface en mode dense uniquement et RPF pour la source via.
Remarque : Lorsqu'une de ces règles est satisfaite, un indicateur « A » est défini sur l'entrée (S, G) correspondant à cette source dans le logiciel Cisco IOS® Version 12.0(6) ou ultérieure.
ip msdp sa-filter out <peer> [list <acl>] [route-map <map>] - Définit les messages SA qui ont été envoyés localement ou acceptés par des homologues MSDP sont transférés à d'autres homologues MSDP. Par défaut, tous les messages SA d'origine locale et tous les messages SA reçus et acceptés sont envoyés à d'autres homologues MSDP.
Pour minimiser la nécessité de mettre à jour en permanence la liste de filtres recommandée ci-dessus, les applications locales de domaine doivent toujours utiliser par défaut des adresses de groupe étendues ou des adresses source privées. Sur la limite du domaine, ces adresses sont filtrées par le filtrage des messages SA et par les définitions des limites de multidiffusion pour les adresses de multidiffusion étendues.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
10-Aug-2005 |
Première publication |