組播源發現協定SA過濾器建議

簡介

本文描述如何為組播源發現協定(MSDP)源活動(SA)消息配置一組標準過濾規則。Cisco強烈建議在連線到本地IP多點傳送Internet時至少建立這些過濾器。

注意：本檔案中的資訊適用於目前所有具備MSDP功能的Cisco IOS®軟體版本。

必要條件

需求

本文件沒有特定需求。

採用元件

本文件所述內容不限於特定軟體和硬體版本。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

說明

MSDP-SA消息包含協定無關組播稀疏模式(PIM-SM)域中集結點（RP，稱為MSDP對等體）的(源、組(S，G))資訊。此機制允許RP瞭解遠端PIM-SM域中的組播源，以便在自身域中有本地接收器時可以加入這些源。您還可以在單個PIM-SM域中的多個RP之間使用MSDP來建立MSDP網狀組。

使用預設配置時，MSDP交換SA消息時不會針對特定源地址或組地址過濾這些消息。

通常，PIM-SM域中有許多(S，G)狀態應保留在PIM-SM域中，但由於預設過濾，它們會傳遞到SA消息到MSDP對等體。例如，使用全域性IP組播地址的域本地應用程式和使用本地IP地址（如10.x.y.z）的源。 在本地IP組播Internet中，此預設設定會導致過多的(S，G)資訊被共用。為了提高MSDP在本機IP組播Internet中的可擴充性，並避免域本地(S，G)資訊的全域性可見性，我們建議使用以下配置來減少一些已知域本地源的不必要建立、轉發和快取。

推薦的過濾器清單配置

思科建議對每個PIM-SM域使用下列配置過濾器，每個組使用單個RP（無MSDP網狀組）：

!
     
!--- Filter MSDP SA-messages. !--- Replicate the following two rules for every external MSDP peer.

     !
     ip msdp sa-filter in <peer_address> list 111
     ip msdp sa-filter out <peer_address> list 111
     ! 
     
!--- The redistribution rule is independent of peers.

     !
     ip msdp redistribute list 111
     !
     
!--- ACL to control SA-messages originated, forwarded.

     !
     
!--- Domain-local applications.

     access-list 111 deny   ip any host 224.0.2.2     ! 
     access-list 111 deny   ip any host 224.0.1.3     ! Rwhod
     access-list 111 deny   ip any host 224.0.1.24    ! Microsoft-ds 
     access-list 111 deny   ip any host 224.0.1.22    ! SVRLOC
     access-list 111 deny   ip any host 224.0.1.2     ! SGI-Dogfight
     access-list 111 deny   ip any host 224.0.1.35    ! SVRLOC-DA
     access-list 111 deny   ip any host 224.0.1.60    ! hp-device-disc
     
!--- Auto-RP groups.

     access-list 111 deny   ip any host 224.0.1.39   
     access-list 111 deny   ip any host 224.0.1.40
     
!--- Scoped groups.

     access-list 111 deny   ip any 239.0.0.0 0.255.255.255
     
!--- Loopback, private addresses (RFC 1918).

     access-list 111 deny   ip 10.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 127.0.0.0 0.255.255.255 any
     access-list 111 deny   ip 172.16.0.0 0.15.255.255 any
     access-list 111 deny   ip 192.168.0.0 0.0.255.255 any
     
!--- Default SSM-range. Do not do MSDP in this range.

     access-list 111 deny   ip any 232.0.0.0 0.255.255.255
     access-list 111 permit ip any any
     !
     !

說明

在上方範例中，存取清單111（您可以使用任何數字）定義網域本地SA資訊。這包括域本地應用程式使用的全域性組、兩個自動RP組、作用域組的(S，G)狀態以及本地IP地址中的(S，G)狀態。

應用此過濾器清單時，本地路由器不會接受來自外部MSDP對等體的域本地SA資訊，並且外部MSDP對等體永遠不會從路由器獲取SA資訊或域本地資訊。

<peer_address> list 111命令中的ip msdp sa-filter會過濾從MSDP對等體<peer_address>接收的SA訊息中的本地資訊。如果在每個外部MSDP對等體上配置此命令，則路由器本身不會接受來自域外部的任何域本地資訊。

ip msdp sa-filter out <peer_address> list 111命令從傳送到MSDP對等體<peer_address>的SA通知中過濾域本地資訊。如果在每個外部MSDP對等裝置上配置此命令，則不會在域外通告任何域本地資訊。

為了增強安全性，我們使用了ip msdp redistribute list 111命令。它防止路由器發起域本地(S，G)狀態的SA消息。此操作與ip msdp sa-filter out命令引起的已傳送SA消息的過濾無關。

使用MSDP網狀組進行過濾

如果PIM-SM域使用MSDP網狀組，則存在域內部MSDP對等體。對於這種情況，需要進一步檢查上述配置。

您應該將ip msdp sa-filter in和ip msdp sa-filter out規則僅應用於外部MSDP對等體。如果將這些資訊應用到內部MSDP對等體，則不會在內部對等體之間傳遞通過訪問清單111過濾的所有SA資訊，這樣會使用通過訪問清單111過濾的源地址或組地址來中斷任何應用程式（除非組使用PIM-DM而不是PIM-SM，例如在自動RP組的情況下，則例外）。

思科建議不要配置ip msdp redistribute list 111命令，因為它會阻止RP為域本地(S，G)狀態起始SA消息。此命令將中斷依賴它的任何域本地應用程式。由於此命令已包含以提高安全性，因此刪除它不會更改在外部MSDP對等裝置之間過濾消息的方式。

注意：您應該將此處所述的過濾功能一致地應用於MSDP網狀組內的所有RP。

參考資料

CCO上的MSDP文檔描述了MSDP命令。

以下命令過濾SA消息：

• ip msdp sa-filter in <peer> [list <acl>] [route-map <map>] — 定義從MSDP對等接收的SA消息被接受。預設情況下，如果所有SA消息通過本MSDP文檔中概述的MSDP反向路徑轉發(RPF)檢查，則這些消息均被接受。

• ip msdp redistribute [list <acl>] [asn <aspath-acl>] [route-map <map>] — 定義本地路由器發起SA消息的(S，G)資訊。預設情況下，SA消息源自符合以下條件之一的所有源：

  • 已收到註冊。

  • 直接連線。

  • 在同一密集模式專用介面上接收資料，RPF通過源接收資料。

    注意：滿足其中一條規則時，在Cisco IOS®軟體版本12.0(6)或更高版本中與該源對應的(S，G)條目上設定「A」標誌。

• ip msdp sa-filter out <peer> [list <acl>] [route-map <map>] — 定義從本地發出或從MSDP對等體接受的SA消息轉發到其他MSDP對等體。預設情況下，所有本地發起的SA消息以及所有接收和接受的SA消息都將傳送到其他MSDP對等裝置。

備註

為了儘量減少持續更新上面建議的過濾器清單的需要，域本地應用程式在預設情況下應始終使用作用域的組地址或專用源地址。在域邊界上，這些地址通過SA消息過濾和作用域組播地址的組播邊界定義進行過濾。

相關資訊

• IP 路由支援頁面
• 技術支援 - Cisco Systems