Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração da filtragem de PIM

Entendendo os filtros de mensagem multicast

Fontes e roteadores multicast geram um número considerável de mensagens de controle, especialmente quando se usa o modo esparso PIM. Essas mensagens formam árvores de distribuição, localizam pontos de encontro (RPs) e roteadores designados (DRs) e fazem a transição de um tipo de árvore para outro. Na maioria dos casos, esse sistema de mensagens multicast opera de forma transparente e eficiente. No entanto, em algumas configurações, é necessário mais controle sobre o envio e o recebimento de mensagens de controle multicast.

Você pode configurar a filtragem multicast para controlar o envio e o recebimento de mensagens de controle multicast.

Para evitar que grupos e fontes não autorizados se registrem em um roteador RP, você pode definir uma política de roteamento para rejeitar mensagens de registro de PIM de grupos e fontes específicas e configurar a política no roteador designado ou no roteador RP.

  • Se você configurar a política de rejeição em um roteador RP, ela rejeitará as mensagens de registro de PIM recebidas dos grupos e fontes especificados. O roteador RP também envia uma mensagem de parada de registro por meio da unicast para o roteador designado. Ao receber a mensagem de parada de registro, o roteador designado envia mensagens de registro nul periódicos para os grupos e fontes especificados para o roteador RP.

  • Se você configurar a política de rejeição em um roteador designado, ela deixará de enviar mensagens de registro DE PIM para os grupos e fontes especificados para o roteador RP.

Nota:

Se você tiver configurado a política de rejeição em um roteador RP, recomendamos que você configure a mesma política em todos os roteadores RP em sua rede multicast.

Nota:

Se você excluir um grupo e um endereço de origem da política de rejeição configurada em um roteador RP e confirmar a configuração, o roteador RP registrará o grupo e a fonte apenas quando o roteador designado enviar uma mensagem de registro nula.

Filtragem de endereços MAC

Quando um roteador é configurado exclusivamente com protocolos multicast em uma interface, o multicast define o filtro de controle de acesso de mídia (MAC) de interface para modo promíscuo multicast, e o número de grupos multicast é ilimitado. No entanto, quando o roteador não é usado exclusivamente para multicasting e outros protocolos, como OSPF, roteamento da versão 2 (RIPv2) ou protocolo de tempo de rede (NTP) são configurados em uma interface, cada um desses protocolos solicita individualmente que a interface programe o filtro MAC para captar apenas seu respectivo grupo multicast. Neste caso, sem o multicast configurado na interface, o número máximo de filtros MAC multicast é limitado a 20. Por exemplo, o número máximo de filtros MAC de interface para protocolos como OSPF (grupo multicast 224.0.0.5) é de 20, a menos que um protocolo multicast também esteja configurado na interface.

Nenhuma configuração é necessária para filtros MAC.

Filtragem de mensagens de registro de RP e DR

Você pode filtrar mensagens de registro de protocolo independente multicast (PIM) enviadas do roteador designado (DR) ou para o ponto de encontro (RP). O RP PIM mantém o controle de todas as fontes ativas em um único domínio de modo esparso de PIM. Em alguns casos, é desejado mais controle sobre quais fontes um RP descobre, ou quais fontes um DR notifica outros RPs sobre. Um alto grau de controle sobre as mensagens de registro de PIM é fornecido pela filtragem de mensagens de registro de RP e DR. A filtragem de mensagens também impede que grupos e fontes não autorizados se registrem em um roteador RP.

Registre mensagens filtradas em um DR não são enviadas para a RP, mas as fontes estão disponíveis para usuários locais. Registre mensagens filtradas em uma RP chegam de DRs de origem, mas são ignoradas pelo roteador. As fontes sobre tráfego de grupos multicast podem ser limitadas ou direcionadas usando RP ou DR registrando a filtragem de mensagens sozinhos ou juntos.

Se a ação da política de filtro de registro for descartar a mensagem de registro, o roteador precisa enviar uma mensagem de parada de registro para o DR. As mensagens de parada de registro são aceleradas para evitar que usuários maliciosos as acionem de propósito para interromper o processo de roteamento.

As informações de grupo multicast e fonte são encapsuladas dentro de pacotes IP unicast. Esse recurso permite que o roteador inspecione o grupo multicast e as informações de origem antes de enviar ou aceitar a mensagem de registro de PIM.

As mensagens de registro recebidas para uma RP são transmitidas pela política de filtragem de mensagens de registro configurada antes de qualquer processamento adicional. Se a mensagem de registro for recusada, o roteador RP envia uma mensagem de parada de registro para o DR. Quando o DR recebe a mensagem de parada de registro, o DR deixa de enviar mensagens de registro para os grupos filtrados e fontes para o RP. Dois campos são usados para registrar filtragem de mensagens:

  • Endereço multicast do grupo

  • Endereço fonte

A sintaxe das declarações de política existentes é usada para configurar a filtragem nesses dois campos. A route-filter declaração é útil para filtragem de endereços de grupo multicast, e a source-address-filter declaração é útil para filtragem de endereços de origem. Na maioria dos casos, a ação é rejeitar as mensagens de registro, mas políticas de filtragem mais complexas são possíveis.

A filtragem não pode ser realizada em outros campos de cabeçalho, como endereço DR, protocolo ou porta. Em algumas configurações, um RP pode não enviar mensagens de parada de registro quando a ação da política é descartar as mensagens de registro. Isso não tem efeito sobre a operação do recurso, mas o roteador continuará a receber mensagens de registro.

Quando qualquer RPcast é configurado, as mensagens de registro podem ser enviadas ou recebidas pela RP. Todos os RPs no conjunto de RP anycast precisam ser configurados com as mesmas políticas de filtragem de mensagens de registro de RP. Caso contrário, poderia ser possível burlar a política de filtragem.

Filtragem de mensagens SA MSDP

Juntamente com a aplicação de filtros ativos de origem MSDP (SA) em todas as sessões externas de MSDP (dentro e fora) para evitar que SAs para grupos e fontes vazem dentro e fora da rede, você precisa aplicar filtros de roteador bootstrap (BSR). Aplicar um filtro BSR no limite de uma rede impede que mensagens BSR estrangeiras (que anunciam endereços RP) vazem em sua rede. Como os roteadores em um domínio de modo esparso PIM precisam saber o endereço de apenas um roteador RP, ter mais de um na rede pode criar problemas.

Se você não usou o escopo multicast para criar filtros de limite para todas as interfaces voltadas para o cliente, você pode querer usar filtros de junção do PIM. Escopos multicast impedem que os pacotes de dados multicast reais fluam dentro ou fora de uma interface. Os filtros de junção do PIM impedem que o estado de modo esparso de PIM seja criado em primeiro lugar. Como o PIM junta filtros aplicam-se apenas ao estado de modo esparso PIM, pode ser mais benéfico usar escopo multicast para filtrar os dados reais.

Nota:

Quando você aplica filtros de firewall, modificadores de ação de firewall, como log, amostra e contagem, funcionam apenas quando você aplica o filtro em uma interface de entrada. Os modificadores não funcionam em uma interface de saída.

Configuração das políticas de vizinhos PIM no nível de interface

Você pode configurar uma política para filtrar vizinhos PIM indesejados. No exemplo a seguir, a interface PIM compara endereços IP vizinhos com o endereço IP na declaração de política antes que qualquer processamento de olá ocorra. Se algum dos endereços IP vizinhos (primário ou secundário) corresponder ao endereço IP especificado na lista de prefixo, o PIM derruba o pacote olá e rejeita o vizinho.

Se você configurar uma política de vizinho PIM após o PIM já ter estabelecido uma adjacência vizinha a um vizinho pim indesejado, a adjacência permanece intacto até que o tempo de espera do vizinho expira. Quando o vizinho indesejado envia outra mensagem de olá para atualizar sua adjacência, o roteador reconhece o endereço indesejado e rejeita o vizinho.

Para configurar uma política para filtrar vizinhos PIM indesejados:

  1. Configure a política. A política de vizinhos deve ser uma declaração de política devidamente estruturada que usa uma lista de prefixo (ou um filtro de rota) contendo o endereço primário vizinho (ou quaisquer endereços IP secundários) em uma lista de prefixo, e a opção de rejeitar o endereço indesejado.
  2. Configure a interface globalmente ou na instância de roteamento. Este exemplo mostra a configuração para a instância de roteamento.
  3. Verifique a configuração verificando a queda do Olá no campo de política de vizinhos na saída do show pim statistics comando.

Filtragem do PIM de saída Junte-se às mensagens

Quando o núcleo da sua rede está usando MPLS, o PIM se junta e as mensagens de podar param nos roteadores de borda do cliente (CE) e não são encaminhadas para o núcleo, porque esses roteadores não têm vizinhos PIM nas interfaces voltadas para o núcleo. Quando o núcleo da sua rede estiver usando IP, o PIM se junta e encaminha mensagens de podamento para os vizinhos de PIM upstream no núcleo da rede.

Quando o núcleo da sua rede estiver usando uma mistura de IP e MPLS, você pode querer filtrar determinadas mensagens de junção de PIM e podar mensagens na interface de saída upstream dos roteadores CE.

Você pode filtrar o modo esparso PIM (PIM-SM) e podar mensagens nas interfaces de saída para IPv4 e IPv6 na direção upstream. As mensagens podem ser filtradas com base no endereço do grupo, endereço fonte, interface de saída, vizinho PIM ou uma combinação desses valores. Se o filtro for removido, a junção será enviada após a expiração do temporizante de ingressamento periódico do PIM.

Para filtrar o modo esparso PIM, junte-se e pode mensagens nas interfaces de saída, crie uma política rejeitando o endereço do grupo, endereço fonte, interface de saída ou vizinho PIM e, em seguida, aplique a política.

O exemplo a seguir filtra as mensagens de junção e podamento do PIM para endereços em grupo 224.0.1.2 e 225.1.1.1.

  1. No modo de configuração, crie a política.
  2. Verifique a configuração de políticas executando o show policy-options comando.
  3. Aplique o filtro de mensagem de inscrição e podar o PIM.
  4. Após o compromisso da configuração, use o show pim statistics comando para verificar se a entrada PIM de saída e as mensagens de podamento estão sendo filtradas.

    A contagem de filtros de saída é mostrada na linha filtrada Tx Joins/Prunes .

Exemplo: parar a saída de mensagens de registro de PIM em um roteador designado

Este exemplo mostra como impedir a saída de mensagens de registro de PIM em um roteador designado.

Requisitos

Antes de começar:

  1. Determine se o roteador está diretamente conectado a alguma fonte multicast. Os receptores devem ser capazes de localizar essas fontes.

  2. Determine se o roteador está diretamente conectado a algum receptor de grupo multicast. Se os receptores estiverem presentes, o IGMP é necessário.

  3. Determine se deve configurar o multicast para usar modo esparso, denso ou denso esparso. Cada modo tem considerações de configuração diferentes.

  4. Determine o endereço da RP se o modo esparso ou denso esparso for usado.

  5. Determine se deve localizar o RP com a configuração estática, BSR ou método auto-RP.

  6. Determine se deve configurar o multicast para usar sua própria tabela de roteamento RPF ao configurar o PIM em modo esparso, denso ou denso.

  7. Configure os protocolos SAP e SDP para ouvir anúncios de sessões multicast.

  8. Configure IGMP.

  9. Configure o RP estático PIM.

  10. Filtrar o PIM registrar mensagens de grupos e fontes não autorizados. Veja exemplo: Rejeitando as mensagens de registro de PIM recebidas em roteadores RP.

Visão geral

Neste exemplo, você configura o endereço do grupo como 224.2.2.2.2/32 e o endereço fonte no grupo como 20.20.20.1/32. Você define a ação de correspondência para não enviar mensagens de registro de PIM para o grupo e endereço fonte. Em seguida, você configura a política no roteador designado para stop-pim-register-msg-dr.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para impedir a saída do PIM, registre mensagens em um roteador designado:

  1. Configure as opções de política.

  2. Definir o endereço do grupo.

  3. Definir o endereço de origem.

  4. Definir a ação da partida.

  5. Atribua a política.

Resultados

A partir do modo de configuração, confirme sua configuração inserindo os show policy-options comandos e show protocols os comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, insira o commit a partir do modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificação de endereços e portas SAP e SDP

Propósito

Verifique se o SAP e o SDP estão configurados para ouvir os endereços e portas de grupo corretos.

Ação

A partir do modo operacional, entre no show sap listen comando.

Verificando a versão IGMP

Propósito

Verifique se a versão 2 do IGMP está configurada em todas as interfaces aplicáveis.

Ação

A partir do modo operacional, entre no show igmp interface comando.

Verificando o modo PIM e a configuração da interface

Propósito

Verifique se o modo esparso de PIM está configurado em todas as interfaces aplicáveis.

Ação

A partir do modo operacional, entre no show pim interfaces comando.

Verificando a configuração de RP PIM

Propósito

Verifique se o RP PIM está configurado estaticamente com o endereço IP correto.

Ação

A partir do modo operacional, entre no show pim rps comando.

Filtragem de pim de entrada Junte mensagens

O escopo multicast controla a propagação de mensagens multicast. Enquanto a escopo multicast impede que os pacotes de dados multicast reais fluam dentro ou fora de uma interface, o PIM junta filtros para evitar que um estado seja criado em um roteador. Um estado — as entradas (*,G) ou (S,G) — são as informações usadas para o encaminhamento de pacotes unicast ou multicast. O uso de filtros de junção do PIM impede o transporte de tráfego multicast por toda a rede e a queda de pacotes em um escopo na borda da rede. Além disso, o PIM junta filtros reduz o potencial de ataques de negação de serviço (DoS) e explosão do estado do PIM — um grande número de PIM juntam mensagens encaminhadas a cada roteador na árvore de ponto de encontro (RPT), resultando no consumo de memória.

Para usar o PIM, junte-se a filtros para restringir o tráfego multicast de determinados endereços de origem, criar e aplicar a política de roteamento em todos os roteadores da rede.

Veja a Tabela 1 para uma lista de condições de jogo.

Tabela 1: PiM Junte-se às condições de correspondência do filtro

Condição da partida

Partidas em

Interface

Interfaces ou interfaces de roteador especificadas por nome ou endereço IP

Vizinho

Endereço vizinho (o endereço fonte no cabeçalho IP da mensagem de junção e podar)

filtro de rota

Endereço de grupo multicast incorporado na mensagem de junção e podar

filtro de endereço fonte

Endereço de origem multicast incorporado na mensagem de junção e podar

O exemplo a seguir mostra como criar um filtro de junção de PIM. O filtro é composto por um filtro de rota e um filtro de endereço de origem — grupos ruins e fontes ruins, respectivamente. o filtro de grupos ruins impede que (*,G) ou (S,G) participem de mensagens que sejam recebidas para todos os grupos listados. O filtro de fontes ruins impede (S,G) que as mensagens sejam recebidas para todas as fontes listadas. O filtro de grupos ruins e o filtro de fontes ruins são em dois termos diferentes. Se os filtros de rota e os filtros de endereço de origem estiverem no mesmo termo, eles serão logicamente ANDed.

Para filtrar o PIM de entrada, junte-se às mensagens:

  1. Configure a política.
  2. Aplicar uma ou mais políticas às rotas que estão sendo importadas na tabela de roteamento a partir do PIM.
  3. Verifique a configuração verificando a saída dos comandos e show policy as show pim join saídas.

Exemplo: rejeitar mensagens de registro de PIM de entrada em roteadores RP

Este exemplo mostra como rejeitar as mensagens de registro de PIM recebidas em roteadores RP.

Requisitos

Antes de começar:

  1. Determine se o roteador está diretamente conectado a alguma fonte multicast. Os receptores devem ser capazes de localizar essas fontes.

  2. Determine se o roteador está diretamente conectado a algum receptor de grupo multicast. Se os receptores estiverem presentes, o IGMP é necessário.

  3. Determine se deve configurar o multicast para usar modo esparso, denso ou denso esparso. Cada modo tem considerações de configuração diferentes.

  4. Determine o endereço da RP se o modo esparso ou denso esparso for usado.

  5. Determine se deve localizar o RP com a configuração estática, BSR ou método auto-RP.

  6. Determine se deve configurar o multicast para usar sua própria tabela de roteamento RPF ao configurar o PIM em modo esparso, denso ou denso.

  7. Configure os protocolos SAP e SDP para ouvir anúncios de sessões multicast. Consulte a configuração do protocolo de anúncio da sessão.

  8. Configure IGMP. Veja configuração do IGMP.

  9. Configure o RP estático PIM. Veja configuração de RP estático.

Visão geral

Neste exemplo, você configura o endereço do grupo como 224.1.1.1/32 e o endereço fonte no grupo como 10.10.10.1/32. Você define a ação de correspondência para rejeitar mensagens de registro de PIM e atribuir o reject-pim-register-msg-rp como política no RP.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e depois entrar no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Rejeitar as mensagens de registro de PIM de entrada em um roteador RP:

  1. Configure as opções de política.

  2. Definir o endereço do grupo.

  3. Definir o endereço de origem.

  4. Definir a ação da partida.

  5. Configure o protocolo.

  6. Atribua a política.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show policy-options comando e show protocols pim entrando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, insira o commit a partir do modo de configuração.

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificação de endereços e portas SAP e SDP

Propósito

Verifique se o SAP e o SDP estão configurados para ouvir os endereços e portas de grupo corretos.

Ação

A partir do modo operacional, entre no show sap listen comando.

Verificando a versão IGMP

Propósito

Verifique se a versão 2 do IGMP está configurada em todas as interfaces aplicáveis.

Ação

A partir do modo operacional, entre no show igmp interface comando.

Verificando o modo PIM e a configuração da interface

Propósito

Verifique se o modo esparso de PIM está configurado em todas as interfaces aplicáveis.

Ação

A partir do modo operacional, entre no show pim interfaces comando.

Verificação das mensagens de registro de PIM

Propósito

Verifique se a política recusada no roteador RP está habilitada.

Ação

A partir do modo de configuração, entre no show policy-options e show protocols pim no comando.

Configuração de filtros de mensagem de registro em um RP PIM e DR

As mensagens de registro de PIM são enviadas ao ponto de encontro (RP) por um roteador designado (DR). Quando uma fonte para um grupo começa a transmitir, o DR envia pacotes de registro de PIM unicast para o RP.

Registrar mensagens tem as seguintes finalidades:

  • Notifique a RP que uma fonte está enviando para um grupo.

  • Entregue os pacotes multicast iniciais enviados pela fonte à RP para entrega na árvore de caminho mais curto (SPT).

O RP PIM mantém o controle de todas as fontes ativas em um único domínio de modo esparso de PIM. Em alguns casos, você quer mais controle sobre quais fontes um RP descobre, ou quais fontes um DR notifica outros RPs sobre. Um alto grau de controle sobre as mensagens de registro de PIM é fornecido pela filtragem de mensagens de registro de RP ou DR. A filtragem de mensagens impede que grupos e fontes não autorizados se registrem em um roteador de RP.

Você configura RP ou DR registra a filtragem de mensagens para controlar o número e a localização de fontes multicast que um RP descobre. Você pode aplicar filtros de mensagem de registro em um DR para controlar mensagens de registro de saída ou aplicá-las em uma RP para controlar as mensagens de registro recebidas.

Quando qualquer RPcast é configurado, todos os RPs no conjunto de RP anycast precisam ser configurados com a mesma política de filtragem de mensagens de registro.

Você pode configurar a filtragem de mensagens globalmente ou para uma instância de roteamento. Esses exemplos mostram a configuração global.

Para configurar um filtro de RP para soltar os pacotes de registro para grupos multicast faixa 224.1.1.0/24 do endereço fonte 10.10.94.2:

  1. No RP, configure a política.
  2. Aplique a política à RP.

Para configurar um filtro DR para evitar o envio de pacotes de registro para a faixa de grupo 224.1.1.0/24 e endereço fonte 10.10.10.1/32:

  1. No DR, configure a política.

  2. Aplique a política ao DR.

    O endereço estático é o endereço da RP para o qual você não deseja que o DR envie as mensagens de registro filtradas.

Para configurar uma expressão de política para aceitar mensagens de registro para o grupo multicast 224.1.1.5, mas rejeite-as para 224.1.1.1:

  1. No RP, configure as políticas.

  2. Aplique as políticas à RP.

Para monitorar a operação dos filtros, execute o show pim statistics comando. A saída de comando contém os seguintes campos relacionados à filtragem:

  • Fonte filtrada de RP

  • Rx Joins/Prunes filtradas

  • Tx Joins/Prunes filtradas

  • Queda de filtragem de msgs do Rx Register

  • Queda de filtragem de msgs do Tx Register