Configuração da filtragem de PIM
Entendendo os filtros de mensagem multicast
Fontes e roteadores multicast geram um número considerável de mensagens de controle, especialmente quando se usa o modo esparso PIM. Essas mensagens formam árvores de distribuição, localizam pontos de encontro (RPs) e roteadores designados (DRs) e fazem a transição de um tipo de árvore para outro. Na maioria dos casos, esse sistema de mensagens multicast opera de forma transparente e eficiente. No entanto, em algumas configurações, é necessário mais controle sobre o envio e o recebimento de mensagens de controle multicast.
Você pode configurar a filtragem multicast para controlar o envio e o recebimento de mensagens de controle multicast.
Para evitar que grupos e fontes não autorizados se registrem em um roteador RP, você pode definir uma política de roteamento para rejeitar mensagens de registro de PIM de grupos e fontes específicas e configurar a política no roteador designado ou no roteador RP.
Se você configurar a política de rejeição em um roteador RP, ela rejeitará as mensagens de registro de PIM recebidas dos grupos e fontes especificados. O roteador RP também envia uma mensagem de parada de registro por meio da unicast para o roteador designado. Ao receber a mensagem de parada de registro, o roteador designado envia mensagens de registro nul periódicos para os grupos e fontes especificados para o roteador RP.
Se você configurar a política de rejeição em um roteador designado, ela deixará de enviar mensagens de registro DE PIM para os grupos e fontes especificados para o roteador RP.
Se você tiver configurado a política de rejeição em um roteador RP, recomendamos que você configure a mesma política em todos os roteadores RP em sua rede multicast.
Se você excluir um grupo e um endereço de origem da política de rejeição configurada em um roteador RP e confirmar a configuração, o roteador RP registrará o grupo e a fonte apenas quando o roteador designado enviar uma mensagem de registro nula.
Veja também
Filtragem de endereços MAC
Quando um roteador é configurado exclusivamente com protocolos multicast em uma interface, o multicast define o filtro de controle de acesso de mídia (MAC) de interface para modo promíscuo multicast, e o número de grupos multicast é ilimitado. No entanto, quando o roteador não é usado exclusivamente para multicasting e outros protocolos, como OSPF, roteamento da versão 2 (RIPv2) ou protocolo de tempo de rede (NTP) são configurados em uma interface, cada um desses protocolos solicita individualmente que a interface programe o filtro MAC para captar apenas seu respectivo grupo multicast. Neste caso, sem o multicast configurado na interface, o número máximo de filtros MAC multicast é limitado a 20. Por exemplo, o número máximo de filtros MAC de interface para protocolos como OSPF (grupo multicast 224.0.0.5) é de 20, a menos que um protocolo multicast também esteja configurado na interface.
Nenhuma configuração é necessária para filtros MAC.
Filtragem de mensagens de registro de RP e DR
Você pode filtrar mensagens de registro de protocolo independente multicast (PIM) enviadas do roteador designado (DR) ou para o ponto de encontro (RP). O RP PIM mantém o controle de todas as fontes ativas em um único domínio de modo esparso de PIM. Em alguns casos, é desejado mais controle sobre quais fontes um RP descobre, ou quais fontes um DR notifica outros RPs sobre. Um alto grau de controle sobre as mensagens de registro de PIM é fornecido pela filtragem de mensagens de registro de RP e DR. A filtragem de mensagens também impede que grupos e fontes não autorizados se registrem em um roteador RP.
Registre mensagens filtradas em um DR não são enviadas para a RP, mas as fontes estão disponíveis para usuários locais. Registre mensagens filtradas em uma RP chegam de DRs de origem, mas são ignoradas pelo roteador. As fontes sobre tráfego de grupos multicast podem ser limitadas ou direcionadas usando RP ou DR registrando a filtragem de mensagens sozinhos ou juntos.
Se a ação da política de filtro de registro for descartar a mensagem de registro, o roteador precisa enviar uma mensagem de parada de registro para o DR. As mensagens de parada de registro são aceleradas para evitar que usuários maliciosos as acionem de propósito para interromper o processo de roteamento.
As informações de grupo multicast e fonte são encapsuladas dentro de pacotes IP unicast. Esse recurso permite que o roteador inspecione o grupo multicast e as informações de origem antes de enviar ou aceitar a mensagem de registro de PIM.
As mensagens de registro recebidas para uma RP são transmitidas pela política de filtragem de mensagens de registro configurada antes de qualquer processamento adicional. Se a mensagem de registro for recusada, o roteador RP envia uma mensagem de parada de registro para o DR. Quando o DR recebe a mensagem de parada de registro, o DR deixa de enviar mensagens de registro para os grupos filtrados e fontes para o RP. Dois campos são usados para registrar filtragem de mensagens:
Endereço multicast do grupo
Endereço fonte
A sintaxe das declarações de política existentes é usada para configurar a filtragem nesses dois campos. A route-filter
declaração é útil para filtragem de endereços de grupo multicast, e a source-address-filter
declaração é útil para filtragem de endereços de origem. Na maioria dos casos, a ação é rejeitar as mensagens de registro, mas políticas de filtragem mais complexas são possíveis.
A filtragem não pode ser realizada em outros campos de cabeçalho, como endereço DR, protocolo ou porta. Em algumas configurações, um RP pode não enviar mensagens de parada de registro quando a ação da política é descartar as mensagens de registro. Isso não tem efeito sobre a operação do recurso, mas o roteador continuará a receber mensagens de registro.
Quando qualquer RPcast é configurado, as mensagens de registro podem ser enviadas ou recebidas pela RP. Todos os RPs no conjunto de RP anycast precisam ser configurados com as mesmas políticas de filtragem de mensagens de registro de RP. Caso contrário, poderia ser possível burlar a política de filtragem.
Veja também
Filtragem de mensagens SA MSDP
Juntamente com a aplicação de filtros ativos de origem MSDP (SA) em todas as sessões externas de MSDP (dentro e fora) para evitar que SAs para grupos e fontes vazem dentro e fora da rede, você precisa aplicar filtros de roteador bootstrap (BSR). Aplicar um filtro BSR no limite de uma rede impede que mensagens BSR estrangeiras (que anunciam endereços RP) vazem em sua rede. Como os roteadores em um domínio de modo esparso PIM precisam saber o endereço de apenas um roteador RP, ter mais de um na rede pode criar problemas.
Se você não usou o escopo multicast para criar filtros de limite para todas as interfaces voltadas para o cliente, você pode querer usar filtros de junção do PIM. Escopos multicast impedem que os pacotes de dados multicast reais fluam dentro ou fora de uma interface. Os filtros de junção do PIM impedem que o estado de modo esparso de PIM seja criado em primeiro lugar. Como o PIM junta filtros aplicam-se apenas ao estado de modo esparso PIM, pode ser mais benéfico usar escopo multicast para filtrar os dados reais.
Quando você aplica filtros de firewall, modificadores de ação de firewall, como log, amostra e contagem, funcionam apenas quando você aplica o filtro em uma interface de entrada. Os modificadores não funcionam em uma interface de saída.
Veja também
Configuração das políticas de vizinhos PIM no nível de interface
Você pode configurar uma política para filtrar vizinhos PIM indesejados. No exemplo a seguir, a interface PIM compara endereços IP vizinhos com o endereço IP na declaração de política antes que qualquer processamento de olá ocorra. Se algum dos endereços IP vizinhos (primário ou secundário) corresponder ao endereço IP especificado na lista de prefixo, o PIM derruba o pacote olá e rejeita o vizinho.
Se você configurar uma política de vizinho PIM após o PIM já ter estabelecido uma adjacência vizinha a um vizinho pim indesejado, a adjacência permanece intacto até que o tempo de espera do vizinho expira. Quando o vizinho indesejado envia outra mensagem de olá para atualizar sua adjacência, o roteador reconhece o endereço indesejado e rejeita o vizinho.
Para configurar uma política para filtrar vizinhos PIM indesejados:
Veja também
Filtragem do PIM de saída Junte-se às mensagens
Quando o núcleo da sua rede está usando MPLS, o PIM se junta e as mensagens de podar param nos roteadores de borda do cliente (CE) e não são encaminhadas para o núcleo, porque esses roteadores não têm vizinhos PIM nas interfaces voltadas para o núcleo. Quando o núcleo da sua rede estiver usando IP, o PIM se junta e encaminha mensagens de podamento para os vizinhos de PIM upstream no núcleo da rede.
Quando o núcleo da sua rede estiver usando uma mistura de IP e MPLS, você pode querer filtrar determinadas mensagens de junção de PIM e podar mensagens na interface de saída upstream dos roteadores CE.
Você pode filtrar o modo esparso PIM (PIM-SM) e podar mensagens nas interfaces de saída para IPv4 e IPv6 na direção upstream. As mensagens podem ser filtradas com base no endereço do grupo, endereço fonte, interface de saída, vizinho PIM ou uma combinação desses valores. Se o filtro for removido, a junção será enviada após a expiração do temporizante de ingressamento periódico do PIM.
Para filtrar o modo esparso PIM, junte-se e pode mensagens nas interfaces de saída, crie uma política rejeitando o endereço do grupo, endereço fonte, interface de saída ou vizinho PIM e, em seguida, aplique a política.
O exemplo a seguir filtra as mensagens de junção e podamento do PIM para endereços em grupo 224.0.1.2 e 225.1.1.1.
Veja também
Exemplo: parar a saída de mensagens de registro de PIM em um roteador designado
Este exemplo mostra como impedir a saída de mensagens de registro de PIM em um roteador designado.
Requisitos
Antes de começar:
Determine se o roteador está diretamente conectado a alguma fonte multicast. Os receptores devem ser capazes de localizar essas fontes.
Determine se o roteador está diretamente conectado a algum receptor de grupo multicast. Se os receptores estiverem presentes, o IGMP é necessário.
Determine se deve configurar o multicast para usar modo esparso, denso ou denso esparso. Cada modo tem considerações de configuração diferentes.
Determine o endereço da RP se o modo esparso ou denso esparso for usado.
Determine se deve localizar o RP com a configuração estática, BSR ou método auto-RP.
Determine se deve configurar o multicast para usar sua própria tabela de roteamento RPF ao configurar o PIM em modo esparso, denso ou denso.
Configure os protocolos SAP e SDP para ouvir anúncios de sessões multicast.
Configure IGMP.
Configure o RP estático PIM.
Filtrar o PIM registrar mensagens de grupos e fontes não autorizados. Veja exemplo: Rejeitando as mensagens de registro de PIM recebidas em roteadores RP.
Visão geral
Neste exemplo, você configura o endereço do grupo como 224.2.2.2.2/32 e o endereço fonte no grupo como 20.20.20.1/32. Você define a ação de correspondência para não enviar mensagens de registro de PIM para o grupo e endereço fonte. Em seguida, você configura a política no roteador designado para stop-pim-register-msg-dr.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit]
hierarquia.
set policy-options policy-statement stop-pim-register-msg-dr from route-filter 224.2.2.2/32 exact set policy-options policy-statement stop-pim-register-msg-dr from source-address-filter 20.20.20.1/32 exact set policy-options policy-statement stop-pim-register-msg-dr then reject set protocols pim rp dr-register-policy stop-pim-register-msg-dr
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para impedir a saída do PIM, registre mensagens em um roteador designado:
Configure as opções de política.
[edit] user@host# edit policy-options
Definir o endereço do grupo.
[edit policy-options] user@host# set policy statement stop-pim-register-msg-dr from route-filter 224.2.2.2/32 exact
Definir o endereço de origem.
[edit policy-options] user@host# set policy statement stop-pim-register-msg-dr from source-address-filter 20.20.20.1/32 exact
Definir a ação da partida.
[edit policy-options] user@host# set policy statement stop-pim-register-msg-dr then reject
Atribua a política.
[edit] user@host# set dr-register-policy stop-pim-register-msg-dr
Resultados
A partir do modo de configuração, confirme sua configuração inserindo os show policy-options
comandos e show protocols
os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host#show policy-options
policy-statement stop-pim-register-msg-dr { from { route-filter 224.2.2.2/32 exact; source-address-filter 20.20.20.1/32 exact; } then reject; } [edit] user@host#show protocols
pim { rp { dr-register-policy stop-pim-register-msg-dr; } }
Se você terminar de configurar o dispositivo, insira o commit a partir do modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificação de endereços e portas SAP e SDP
- Verificando a versão IGMP
- Verificando o modo PIM e a configuração da interface
- Verificando a configuração de RP PIM
Verificação de endereços e portas SAP e SDP
Propósito
Verifique se o SAP e o SDP estão configurados para ouvir os endereços e portas de grupo corretos.
Ação
A partir do modo operacional, entre no show sap listen
comando.
Verificando a versão IGMP
Propósito
Verifique se a versão 2 do IGMP está configurada em todas as interfaces aplicáveis.
Ação
A partir do modo operacional, entre no show igmp interface
comando.
Verificando o modo PIM e a configuração da interface
Propósito
Verifique se o modo esparso de PIM está configurado em todas as interfaces aplicáveis.
Ação
A partir do modo operacional, entre no show pim interfaces
comando.
Filtragem de pim de entrada Junte mensagens
O escopo multicast controla a propagação de mensagens multicast. Enquanto a escopo multicast impede que os pacotes de dados multicast reais fluam dentro ou fora de uma interface, o PIM junta filtros para evitar que um estado seja criado em um roteador. Um estado — as entradas (*,G) ou (S,G) — são as informações usadas para o encaminhamento de pacotes unicast ou multicast. O uso de filtros de junção do PIM impede o transporte de tráfego multicast por toda a rede e a queda de pacotes em um escopo na borda da rede. Além disso, o PIM junta filtros reduz o potencial de ataques de negação de serviço (DoS) e explosão do estado do PIM — um grande número de PIM juntam mensagens encaminhadas a cada roteador na árvore de ponto de encontro (RPT), resultando no consumo de memória.
Para usar o PIM, junte-se a filtros para restringir o tráfego multicast de determinados endereços de origem, criar e aplicar a política de roteamento em todos os roteadores da rede.
Veja a Tabela 1 para uma lista de condições de jogo.
Condição da partida |
Partidas em |
---|---|
Interface |
Interfaces ou interfaces de roteador especificadas por nome ou endereço IP |
Vizinho |
Endereço vizinho (o endereço fonte no cabeçalho IP da mensagem de junção e podar) |
filtro de rota |
Endereço de grupo multicast incorporado na mensagem de junção e podar |
filtro de endereço fonte |
Endereço de origem multicast incorporado na mensagem de junção e podar |
O exemplo a seguir mostra como criar um filtro de junção de PIM. O filtro é composto por um filtro de rota e um filtro de endereço de origem — grupos ruins e fontes ruins, respectivamente. o filtro de grupos ruins impede que (*,G) ou (S,G) participem de mensagens que sejam recebidas para todos os grupos listados. O filtro de fontes ruins impede (S,G) que as mensagens sejam recebidas para todas as fontes listadas. O filtro de grupos ruins e o filtro de fontes ruins são em dois termos diferentes. Se os filtros de rota e os filtros de endereço de origem estiverem no mesmo termo, eles serão logicamente ANDed.
Para filtrar o PIM de entrada, junte-se às mensagens:
Veja também
Exemplo: rejeitar mensagens de registro de PIM de entrada em roteadores RP
Este exemplo mostra como rejeitar as mensagens de registro de PIM recebidas em roteadores RP.
Requisitos
Antes de começar:
Determine se o roteador está diretamente conectado a alguma fonte multicast. Os receptores devem ser capazes de localizar essas fontes.
Determine se o roteador está diretamente conectado a algum receptor de grupo multicast. Se os receptores estiverem presentes, o IGMP é necessário.
Determine se deve configurar o multicast para usar modo esparso, denso ou denso esparso. Cada modo tem considerações de configuração diferentes.
Determine o endereço da RP se o modo esparso ou denso esparso for usado.
Determine se deve localizar o RP com a configuração estática, BSR ou método auto-RP.
Determine se deve configurar o multicast para usar sua própria tabela de roteamento RPF ao configurar o PIM em modo esparso, denso ou denso.
Configure os protocolos SAP e SDP para ouvir anúncios de sessões multicast. Consulte a configuração do protocolo de anúncio da sessão.
Configure IGMP. Veja configuração do IGMP.
Configure o RP estático PIM. Veja configuração de RP estático.
Visão geral
Neste exemplo, você configura o endereço do grupo como 224.1.1.1/32 e o endereço fonte no grupo como 10.10.10.1/32. Você define a ação de correspondência para rejeitar mensagens de registro de PIM e atribuir o reject-pim-register-msg-rp como política no RP.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit]
hierarquia e depois entrar no commit
modo de configuração.
set policy-options policy-statement reject-pim-register-msg-rp from route-filter 224.1.1.1/32 exact set policy-options policy-statement reject-pim-register-msg-rp from source-address-filter 10.10.10.1/32 exact set policy-options policy-statement reject-pim-register-msg-rp then reject set protocols pim rp rp-register-policy reject-pim-register-msg-rp
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Rejeitar as mensagens de registro de PIM de entrada em um roteador RP:
Configure as opções de política.
[edit] user@host# edit policy-options
Definir o endereço do grupo.
[edit policy-options] user@host# set policy statement reject-pim-register-msg-rp from route-filter 224.1.1.1/32 exact
Definir o endereço de origem.
[edit policy-options] user@host# set policy statement reject-pim-register-msg-rp from source-address-filter 10.10.10.1/32 exact
Definir a ação da partida.
[edit policy-options] user@host# set policy statement reject-pim-register-msg-rp then reject
Configure o protocolo.
[edit] user@host# edit protocols pim rp
Atribua a política.
[edit] user@host# set rp-register-policy reject-pim-register-msg-rp
Resultados
A partir do modo de configuração, confirme sua configuração entrando no show policy-options
comando e show protocols pim
entrando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit] user@host#show policy-options
policy-statement reject-pim-register-msg-rp { from { route-filter 224.1.1.1/32 exact; source-address-filter 10.10.10.1/32 exact; } then reject; } [edit] user@host#show protocols pim
rp { rp-register-policy reject-pim-register-msg-rp; }
Se você terminar de configurar o dispositivo, insira o commit a partir do modo de configuração.
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
- Verificação de endereços e portas SAP e SDP
- Verificando a versão IGMP
- Verificando o modo PIM e a configuração da interface
- Verificação das mensagens de registro de PIM
Verificação de endereços e portas SAP e SDP
Propósito
Verifique se o SAP e o SDP estão configurados para ouvir os endereços e portas de grupo corretos.
Ação
A partir do modo operacional, entre no show sap listen
comando.
Verificando a versão IGMP
Propósito
Verifique se a versão 2 do IGMP está configurada em todas as interfaces aplicáveis.
Ação
A partir do modo operacional, entre no show igmp interface
comando.
Verificando o modo PIM e a configuração da interface
Propósito
Verifique se o modo esparso de PIM está configurado em todas as interfaces aplicáveis.
Ação
A partir do modo operacional, entre no show pim interfaces
comando.
Configuração de filtros de mensagem de registro em um RP PIM e DR
As mensagens de registro de PIM são enviadas ao ponto de encontro (RP) por um roteador designado (DR). Quando uma fonte para um grupo começa a transmitir, o DR envia pacotes de registro de PIM unicast para o RP.
Registrar mensagens tem as seguintes finalidades:
Notifique a RP que uma fonte está enviando para um grupo.
Entregue os pacotes multicast iniciais enviados pela fonte à RP para entrega na árvore de caminho mais curto (SPT).
O RP PIM mantém o controle de todas as fontes ativas em um único domínio de modo esparso de PIM. Em alguns casos, você quer mais controle sobre quais fontes um RP descobre, ou quais fontes um DR notifica outros RPs sobre. Um alto grau de controle sobre as mensagens de registro de PIM é fornecido pela filtragem de mensagens de registro de RP ou DR. A filtragem de mensagens impede que grupos e fontes não autorizados se registrem em um roteador de RP.
Você configura RP ou DR registra a filtragem de mensagens para controlar o número e a localização de fontes multicast que um RP descobre. Você pode aplicar filtros de mensagem de registro em um DR para controlar mensagens de registro de saída ou aplicá-las em uma RP para controlar as mensagens de registro recebidas.
Quando qualquer RPcast é configurado, todos os RPs no conjunto de RP anycast precisam ser configurados com a mesma política de filtragem de mensagens de registro.
Você pode configurar a filtragem de mensagens globalmente ou para uma instância de roteamento. Esses exemplos mostram a configuração global.
Para configurar um filtro de RP para soltar os pacotes de registro para grupos multicast faixa 224.1.1.0/24 do endereço fonte 10.10.94.2:
Para configurar um filtro DR para evitar o envio de pacotes de registro para a faixa de grupo 224.1.1.0/24 e endereço fonte 10.10.10.1/32:
No DR, configure a política.
[edit policy-options policy-statement outgoing-policy-for-rp] user@host# set from route-filter 224.1.1.0/24 orlonger user@host# set from source-address-filter 10.10.10.1/32 exact user@host# set then reject user@host# exit
Aplique a política ao DR.
O endereço estático é o endereço da RP para o qual você não deseja que o DR envie as mensagens de registro filtradas.
[edit protocols pim rp] user@host# set dr-register-policy outgoing-policy-for-dr user@host# set static 10.10.10.3 user@host# exit
Para configurar uma expressão de política para aceitar mensagens de registro para o grupo multicast 224.1.1.5, mas rejeite-as para 224.1.1.1:
No RP, configure as políticas.
[edit policy-options policy-statement reject_224_1_1_1] user@host# set from route-filter 224.1.1.0/24 orlonger user@host# set from source-address-filter 10.10.94.2/32 exact user@host# set then reject user@host# exit
[edit policy-options policy-statement accept_224_1_1_5] user@host# set term one from route-filter 224.1.1.5/32 exact user@host# set term one from source-address-filter 10.10.94.2/32 exact user@host# set term one then accept user@host# set term two then reject user@host# exit
Aplique as políticas à RP.
[edit protocols pim rp] user@host# set rp-register-policy [ reject_224_1_1_1 | accept_224_1_1_5 ] user@host# set local address 10.10.10.5
Para monitorar a operação dos filtros, execute o show pim statistics
comando. A saída de comando contém os seguintes campos relacionados à filtragem:
Fonte filtrada de RP
Rx Joins/Prunes filtradas
Tx Joins/Prunes filtradas
Queda de filtragem de msgs do Rx Register
Queda de filtragem de msgs do Tx Register