このドキュメントでは、Multicast Source Discovery Protocol(MSDP; マルチキャスト発信元ディスカバリ プロトコル)の Source-Active(SA)メッセージのための、フィルタリング規則の標準セットの設定方法を説明します。ネイティブ IP マルチキャスト インターネットに接続する際、少なくともこれらのフィルタを確立することを推奨します。
注:このドキュメントの情報は、現在MSDP対応のすべてのCisco IOS®ソフトウェアリリースに適用されます。
このドキュメントに特有の要件はありません。
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
MSDP-SA メッセージには、Protocol Independent Multicast sparse-mode(PIM-SM)ドメインの(MSDP ピアと呼ばれる)ランデブー ポート(RP)に関する(送信元、グループ(S,G))情報が含まれています。このメカニズムによって、RP はリモート PIM-SM ドメインにあるマルチキャストの送信元を認識することができ、そのため、自身のドメインにローカルな受信者が存在する場合に、これらの送信元を追加することができます。1 つの PIM-SM ドメイン内の複数の RP 間で MSDP を使用して、MSDP メッシュグループを確立できます。
デフォルト設定では、MSDP は特定の発信元アドレスやグループ アドレスのためのフィルタリングを行わずに SA メッセージを交換します。
通常、PIM-SM ドメインにはそのドメイン内に留まる必要がある多様な(S,G)ステートがあります。しかし、デフォルトのフィルタリングでは、これが MSDP ピアへの SA メッセージに渡されます。この例では、グローバル IP マルチキャスト アドレスを使用するドメイン ローカル アプリケーション、およびローカル IP アドレス(10.x.y.z など)を使用するソースが含まれます。 ネイティブ IP マルチキャスト インターネットでは、このデフォルトにより過剰な(S,G)情報が共有されることになります。ネイティブ IP マルチキャスト インターネットでの MSDP のスケーラビリティを改善し、ドメイン ローカルな(S,G)情報がグローバルに見えるのを防ぐために、次の設定を使用して、これらの周知のドメイン ローカルな発信元を不要に作成、転送、およびキャッシングすることを減らすよう推奨します。
(MSDP メッシュグループでない)すべてのグループの、1 つの RP をもつ PIM-SM ドメインに対し、次の設定フィルタを使用することを推奨します。
! !--- Filter MSDP SA-messages. !--- Replicate the following two rules for every external MSDP peer. ! ip msdp sa-filter in <peer_address> list 111 ip msdp sa-filter out <peer_address> list 111 ! !--- The redistribution rule is independent of peers. ! ip msdp redistribute list 111 ! !--- ACL to control SA-messages originated, forwarded. ! !--- Domain-local applications. access-list 111 deny ip any host 224.0.2.2 ! access-list 111 deny ip any host 224.0.1.3 ! Rwhod access-list 111 deny ip any host 224.0.1.24 ! Microsoft-ds access-list 111 deny ip any host 224.0.1.22 ! SVRLOC access-list 111 deny ip any host 224.0.1.2 ! SGI-Dogfight access-list 111 deny ip any host 224.0.1.35 ! SVRLOC-DA access-list 111 deny ip any host 224.0.1.60 ! hp-device-disc !--- Auto-RP groups. access-list 111 deny ip any host 224.0.1.39 access-list 111 deny ip any host 224.0.1.40 !--- Scoped groups. access-list 111 deny ip any 239.0.0.0 0.255.255.255 !--- Loopback, private addresses (RFC 1918). access-list 111 deny ip 10.0.0.0 0.255.255.255 any access-list 111 deny ip 127.0.0.0 0.255.255.255 any access-list 111 deny ip 172.16.0.0 0.15.255.255 any access-list 111 deny ip 192.168.0.0 0.0.255.255 any !--- Default SSM-range. Do not do MSDP in this range. access-list 111 deny ip any 232.0.0.0 0.255.255.255 access-list 111 permit ip any any ! !
上記の例では、アクセス リスト 111(任意の数字を指定可能)がドメイン ローカル SA 情報を定義しています。これには、ドメイン ローカルなアプリケーションで使用されるグローバル グループの(S,G)ステート、2 つの自動 RP グループ、スコーピングされたグループ、および、ローカル IP アドレスからの(S,G)ステートが含まれています。
このフィルタ リストが適用されると、ローカル ルータは外部 MSDP ピアからのドメイン ローカルな SA 情報を受け付けず、外部 MSDP ピアはルータからの SA 情報またはドメイン ローカルな情報を受け付けません。
ip msdp sa-filter in <peer_address> list 111 コマンドは、MSDP ピア <peer_address> から受信した SA メッセージからのローカルの情報をフィルタします。すべての外部 MSDP ピアにこのコマンドを設定すると、ルータ自体はドメイン外からのドメイン ローカル情報を一切受け付けません。
ip msdp sa-filter out <peer_address> list 111 コマンドは、MSDP ピア <peer_address> に送信された SA アナウンスメントからのドメイン ローカル情報をフィルタします。すべての外部 MSDP ピアにこのコマンドを設定すると、ドメイン ローカル情報はドメイン外に一切アナウンスされません。
さらに安全のために、ip msdp redistribute list 111 コマンドを使用しています。これにより、ルータが ドメイン ローカル(S,G)ステートの SA メッセージを発信するのを防ぎます。このアクションは、送信された SA メッセージの ip msdp sa-filter out コマンドでのフィルタリングとは無関係です。
PIM-SM ドメインが MSDP メッシュグループを使用する場合、ドメインの内部 MSDP ピアがあります。この状況では、上記の設定をさらに確認する必要があります。
ip msdp sa-filter in および ip msdp sa-filter out 規則は外部 MSDP ピアだけに適用する必要があります。これらを内部 MSDP ピアに適用した場合、アクセス リスト 111 によってフィルタされたすべての SA 情報は内部ピア間で渡されません。その結果、(自動 RP グループ、PIM-SM の代わりに PIM-DM を使用するグループを除き)アクセス リスト 111 によってフィルタされたソースまたはグループ アドレスを使用するアプリケーションは正常に機能しなくなります。
RP が ドメイン ローカル(S,G)ステートの SA メッセージを発信するのを防ぐため、ip msdp redistribute list 111 コマンドを設定しないことを推奨します。このコマンドを使用すると、この機能に依存しているドメイン ローカルなアプリケーションは、すべて正常に機能しなくなります。このコマンドは安全性のために含まれているので、これを省いても外部 MSDP ピア間でのメッセージのフィルタリングには影響がありません。
注:ここで説明するフィルタリングは、MSDPメッシュグループ内のすべてのRPに一貫して適用する必要があります。
MSDP コマンドは『Cisco.com の MSDP ドキュメント』で説明されています。
SA メッセージのフィルタリングには、次のコマンドがあります。
ip msdp sa-filter in <peer> [list <acl>] [route-map <map>] - MSDP ピアから受信したどの SA メッセージが承認されるかを定義します。デフォルトでは、この『MSDP ドキュメント』に記載された MSDP リバース パス フォワーディング(RPF)チェックをパスしたすべての SA メッセージが承認されます。
ip msdp redistribute [list <acl>] [asn <aspath-acl>] [route-map <map>] - ローカルルータが、どの(S,G)情報に SA メッセージを発信するかを定義します。デフォルトでは、SA メッセージは次のいずれかの条件にあてはまるすべてのソースに発信されます。
レジスタが受信されている。
直接接続されている。
データが受信され、RPF からソースを通り、同一密度モードのみのインターフェイス。
注:これらの規則の1つが満たされると、Cisco IOS®ソフトウェアリリース12.0以降では、そのソースに対応する(S,G)エントリに「A」フラグが設定されます。
ip msdp sa-filter out <peer> [list <acl>] [route-map <map>] - ローカルで発信された、または MSDP ピアにより承認されたどの SA メッセージが他の MSDP ピアに転送されるかを定義します。デフォルトでは、ローカルで発信された SA メッセージのすべて、および受信され承認された SA メッセージのすべてが、他の MSDP ピアに送信されます。
上記の推奨フィルタ リストの継続的なアップデートの必要性を最小化するために、ドメイン ローカルなアプリケーションでは、スコーピングされたグループ アドレスやプライベート発信元アドレスを常にデフォルトで使用する必要があります。これらのアドレスは、ドメインの境界で、SA メッセージ フィルタリング、および、スコーピングされたマルチキャスト アドレスのためのマルチキャスト境界定義によりフィルタリングされます。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
10-Aug-2005 |
初版 |