Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
在此页面上
 

配置 PIM 过滤

了解组播消息过滤器

组播源和路由器生成大量控制消息,特别是在使用 PIM 稀疏模式时。这些消息形成分布树,找到汇聚点 (RP) 和指定路由器 (DR),以及从一种类型的树过渡到另一种类型的树。在大多数情况下,此组播消息传递系统以透明高效的方式运行。但是,在某些配置中,必须对组播控制消息的发送和接收进行更多控制。

您可以配置组播过滤以控制组播控制消息的发送和接收。

为防止未经授权的组和来源在 RP 路由器上注册,您可以定义路由策略以拒绝来自特定组和来源的 PIM 注册消息,并在指定路由器或 RP 路由器上配置策略。

  • 如果在 RP 路由器上配置拒绝策略,则会拒绝来自指定组和来源的传入 PIM 注册消息。RP 路由器还通过单播方式向指定路由器发送注册停止消息。在接收寄存器停止消息时,指定路由器将指定组和源的定期空注册消息发送至 RP 路由器。

  • 如果在指定路由器上配置拒绝策略,则停止向 RP 路由器发送指定组和源的 PIM 注册消息。

注意:

如果在 RP 路由器上配置了拒绝策略,我们建议您在组播网络中的所有 RP 路由器上配置相同的策略。
注意:

如果从在 RP 路由器上配置的拒绝策略中删除组和源地址并提交配置,则只有当指定路由器发送空注册消息时,RP 路由器才会对组和源进行注册。

另请参阅

过滤 MAC 地址

当路由器在接口上仅配置组播协议时,组播会将接口媒体访问控制 (MAC) 过滤器设置为组播混杂模式,组播组的数量是无限的。但是,当路由器不专门用于组播,并且接口上配置了 OSPF、路由信息协议版本 2 (RIPv2) 或网络时间协议 (NTP) 等其他协议时,每种协议都单独请求接口编程 MAC 过滤器以仅选取其相应的组播组。在这种情况下,在接口上未配置组播时,组播 MAC 过滤器的最大数量限制为 20。例如,OSPF(组播组 224.0.0.5)等协议的最大接口 MAC 过滤器数为 20,除非接口上也配置了组播协议。

MAC 过滤器无需配置。

过滤 RP 和 DR 注册消息

您可以过滤协议无关组播 (PIM) 注册从指定路由器 (DR) 或汇聚点 (RP) 发送的消息。PIM RP 可跟踪单个 PIM 稀疏模式域中的所有活动源。在某些情况下,需要对 RP 发现哪些来源或者 DR 通知其他 RP 的来源进行更多控制。RP 和 DR 注册消息过滤提供对 PIM 寄存器消息的高度控制。消息过滤还可防止未经授权的组和来源在 RP 路由器上注册。

在 DR 中过滤的消息不会发送至 RP,但源可用于本地用户。注册从源 DR 到达的 RP 中过滤的消息,但路由器会忽略这些消息。组播组信息流的源可以通过单独或一起使用 RP 或 DR 注册消息过滤来限制或定向。

如果注册过滤策略的操作是丢弃注册器消息,则路由器需要向 DR 发送寄存器停止消息。注册停止消息会受到限制,以防止恶意用户故意触发它们以中断路由进程。

组播组和源信息封装在单播 IP 数据包内。此功能允许路由器在发送或接受 PIM 注册消息之前检查组播组和源信息。

在进行进一步处理之前,传入到 RP 的消息将通过配置的注册消息过滤策略。如果注册消息被拒绝,RP 路由器将向 DR 发送注册停止消息。当 DR 收到寄存器停止消息时,DR 将停止向 RP 发送过滤组和源的注册消息。两个字段用于注册消息过滤:

  • 组组播地址

  • 源地址

现有策略语句的语法用于在这两个字段上配置过滤。该 route-filter 语句对组播组地址过滤很有用,并且该 source-address-filter 语句对源地址过滤很有用。在大多数情况下,操作是 拒绝 注册消息,但更复杂的过滤策略是可能的。

无法在其他标头字段上执行过滤,例如 DR 地址、协议或端口。在某些配置中,当策略操作是丢弃注册器消息时,RP 可能不会发送注册停止消息。这不会影响功能的操作,但路由器将继续接收注册消息。

配置任播 RP 时,可由 RP 发送或接收注册消息。任播 RP 集中的所有 RP 都需要使用相同的 RP 注册消息过滤策略进行配置。否则,可能会绕开过滤策略。

另请参阅

过滤 MSDP SA 消息

除了在所有外部 MSDP 会话(内外)应用 MSDP 源活动 (SA) 过滤器以防止组和来源的 SA 进出网络外,您还需要应用自举路由器 (BSR) 过滤器。将 BSR 过滤器应用于网络边界可防止外来 BSR 消息(通告 RP 地址)泄漏到您的网络中。由于 PIM 稀疏模式域中的路由器只需知道一个 RP 路由器的地址,在网络中拥有多个路由器就可能产生问题。

如果不使用组播范围为所有面向客户的接口创建边界过滤器,则可能需要使用 PIM 加入过滤器。组播范围会防止实际组播数据包流入或流出接口。PIM 加入过滤器可防止首先创建 PIM 稀疏模式状态。由于 PIM 加入过滤器仅适用于 PIM 稀疏模式状态,因此使用组播范围过滤实际数据可能更有益。

注意:

应用防火墙过滤器时,防火墙操作修改器(如 日志示例计数)仅在将过滤器应用于入站接口时才起作用。修改器在出站接口上不起作用。

另请参阅

配置接口级 PIM 邻接方策略

您可以配置策略来过滤不需要的 PIM 邻接方。在以下示例中,PIM 接口将邻接方 IP 地址与策略语句中的 IP 地址进行比较,然后再进行任何 hello 处理。如果任何邻接方 IP 地址(主地址或辅助地址)与前缀列表中指定的 IP 地址匹配,PIM 将丢弃 hello 数据包并拒绝邻接方。

如果在 PIM 已与不需要的 PIM 邻接方建立邻接方邻接关系之后配置 PIM 邻接方策略,邻接关系将保持不变,直至邻接方等待时间过期。当不需要的邻接方发送另一条 hello 消息来更新其邻接关系时,路由器会识别不需要的地址并拒绝邻接方。

要配置策略以过滤不需要的 PIM 邻接方:

  1. 配置策略。邻接方策略必须是结构合理的策略语句,使用前缀列表(或路由过滤器),其中包含前缀列表中的邻接方主地址(或任何辅助 IP 地址),以及 拒绝 拒绝不需要的地址选项。
  2. 在全球或路由实例中配置接口。此示例显示路由实例的配置。
  3. 检查命令输出show pim statistics中的邻接方策略字段上的 Hello 丢弃,以验证配置。

另请参阅

过滤传出 PIM 加入消息

当网络核心使用 MPLS 时,PIM 加入并删除消息在客户边缘 (CE) 路由器停止,并且不会转发至核心,因为这些路由器在面向核心的接口上没有 PIM 邻接方。当网络核心使用 IP 时,PIM 加入并删除消息会转发至网络核心中的上游 PIM 邻接方。

当网络核心同时使用 IP 和 MPLS 时,您可能需要在 CE 路由器的上游出口接口过滤某些 PIM 加入并删除消息。

您可以在上游方向的 IPv4 和 IPv6 出口接口中过滤 PIM 稀疏模式 (PIM-SM) 加入并删除消息。这些消息可根据组地址、源地址、传出接口、PIM 邻接方或这些值的组合进行过滤。如果卸下过滤器,接线将在 PIM 定期加入计时器到期后发送。

要过滤 PIM 稀疏模式在出口接口加入并删除消息,请创建拒绝组地址、源地址、传出接口或 PIM 邻接方的策略,然后应用策略。

以下示例过滤 PIM 加入并删除组地址 224.0.1.2 和 225.1.1.1 的消息。

  1. 在配置模式下,创建策略。
  2. 通过运行 命令验证策略 show policy-options 配置。
  3. 应用 PIM 加入并删除消息过滤器。
  4. 提交配置后,请使用 show pim statistics 命令验证传出 PIM 加入和删除消息是否被过滤。

    出口过滤器计数显示在 Tx Joins/Prunes 过滤 线路上。

另请参阅

示例:停止传出 PIM 在指定路由器上注册消息

此示例说明如何阻止传出 PIM 在指定路由器上注册消息。

要求

开始之前:

  1. 确定路由器是否直接连接到任何组播源。接收方必须能够找到这些来源。

  2. 确定路由器是否直接连接到任何组播组接收器。如果存在接收器,则需要 IGMP。

  3. 确定是将组播配置为使用稀疏、密集还是稀疏密集模式。每个模式都有不同的配置注意事项。

  4. 如果使用稀疏或稀疏密集模式,请确定 RP 的地址。

  5. 确定是使用静态配置、BSR 还是自动 RP 方法来定位 RP。

  6. 在稀疏、密集或稀疏的密集模式下配置 PIM 时,确定是配置组播以使用自己的 RPF 路由表。

  7. 配置 SAP 和 SDP 协议以收听组播会话公告。

  8. 配置 IGMP。

  9. 配置 PIM 静态 RP。

  10. 过滤器 PIM 会注册来自未授权组和来源的消息。请参阅 示例:拒绝 RP 路由器上的传入 PIM 注册消息

概述

在此示例中,您将组地址配置为 224.2.2.2/32 ,并将组中的源地址配置为 20.20.20.1/32。您设置匹配操作,以不会为组和源地址发送 PIM 注册消息。然后在指定路由器上配置策略,以 停止 pim-register-msg-dr

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,然后将命令复制粘贴到层次结构级别的 [edit] CLI 中。

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器

要停止传出 PIM,请在指定路由器上注册消息:

  1. 配置策略选项。

  2. 设置组地址。

  3. 设置源地址。

  4. 设置匹配操作。

  5. 分配策略。

结果

在配置模式下,输入 show policy-optionsshow protocols 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 提交

验证

要确认配置工作正常,请执行以下任务:

验证 SAP 和 SDP 地址和端口

目的

验证 SAP 和 SDP 是否配置为侦听正确的组地址和端口。

行动

在操作模式下,输入 show sap listen 命令。

验证 IGMP 版本

目的

验证 IGMP 版本 2 是否在所有适用接口上配置。

行动

在操作模式下,输入 show igmp interface 命令。

验证 PIM 模式和接口配置

目的

验证所有适用接口上是否配置了 PIM 稀疏模式。

行动

在操作模式下,输入 show pim interfaces 命令。

验证 PIM RP 配置

目的

验证 PIM RP 是否使用正确的 IP 地址静态配置。

行动

在操作模式下,输入 show pim rps 命令。

另请参阅

过滤传入 PIM 加入消息

组播范围控制组播消息的传播。组播范围可防止实际组播数据包流入或流出接口,而 PIM 加入过滤器会阻止在路由器中创建状态。状态 (*、G) 或 (S、G) 条目是用于转发单播或组播数据包的信息。使用 PIM 加入过滤器可防止跨网络传输组播信息流,也可在网络边缘的范围丢弃数据包。此外,PIM 加入过滤器可降低拒绝服务 (DoS) 攻击和 PIM 状态爆炸的可能性 — 大量 PIM 加入消息转发至汇聚点树 (RPT) 上的每个路由器,从而产生内存消耗。

要使用 PIM 加入过滤器有效限制来自某些源地址的组播流量,请在网络中的所有路由器上创建并应用路由策略。

有关匹配条件列表,请参阅 表 1

表 1:PIM 加入过滤器匹配条件

匹配条件

匹配

接口

由名称或 IP 地址指定的路由器接口或接口

邻居

邻接方地址(加入和删除消息的 IP 报头中的源地址)

路由过滤器

加入和删除消息中嵌入的组播组地址

源地址过滤器

加入和删除消息中嵌入的组播源地址

以下示例说明如何创建 PIM 加入过滤器。过滤器分别由路由过滤器和源地址过滤器(坏组坏源)组成。 坏组 过滤器会阻止 (*、G) 或 (S,G) 加入消息对于所列所有组的接收。 恶意源 过滤器可防止 (S、G) 联合消息接收所列所有来源。 坏组 过滤器和 坏源 过滤器分为两个不同的术语。如果路由过滤器和源地址过滤器处于同一术语中,则它们在逻辑上为 ANDed。

要过滤传入 PIM 加入消息:

  1. 配置策略。
  2. 将一个或多个策略应用于从 PIM 导入路由表的路由。
  3. 检查和show policy命令的show pim join输出,以验证配置。

另请参阅

示例:拒绝传入 PIM 在 RP 路由器上注册消息

此示例说明如何拒绝 RP 路由器上的传入 PIM 注册消息。

要求

开始之前:

  1. 确定路由器是否直接连接到任何组播源。接收方必须能够找到这些来源。

  2. 确定路由器是否直接连接到任何组播组接收器。如果存在接收器,则需要 IGMP。

  3. 确定是将组播配置为使用稀疏、密集还是稀疏密集模式。每个模式都有不同的配置注意事项。

  4. 如果使用稀疏或稀疏密集模式,请确定 RP 的地址。

  5. 确定是使用静态配置、BSR 还是自动 RP 方法来定位 RP。

  6. 在稀疏、密集或稀疏的密集模式下配置 PIM 时,确定是配置组播以使用自己的 RPF 路由表。

  7. 配置 SAP 和 SDP 协议以收听组播会话公告。请参阅 配置会话公告协议

  8. 配置 IGMP。请参阅 配置 IGMP

  9. 配置 PIM 静态 RP。请参阅 配置静态 RP

概述

在此示例中,您将组地址配置为 224.1.1.1/32 ,并将组中的源地址配置为 10.10.10.1/32。您设置匹配操作以拒绝 PIM 注册消息,并将拒绝 pim-register-msg-rp 作为 RP 上的策略。

配置

程序

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,移除任何换行符,更改与网络配置匹配所需的任何详细信息,将命令复制粘贴到层级的 CLI 中 [edit] ,然后从配置模式进入 commit

逐步过程

以下示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅 Junos OS CLI 用户指南中的在配置模式下使用 CLI 编辑器

要拒绝传入 PIM 在 RP 路由器上注册消息:

  1. 配置策略选项。

  2. 设置组地址。

  3. 设置源地址。

  4. 设置匹配操作。

  5. 配置协议。

  6. 分配策略。

结果

在配置模式下,输入 show policy-optionsshow protocols pim 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明以将其更正。

如果完成设备配置,请在配置模式下输入 提交

验证

要确认配置工作正常,请执行以下任务:

验证 SAP 和 SDP 地址和端口

目的

验证 SAP 和 SDP 是否配置为侦听正确的组地址和端口。

行动

在操作模式下,输入 show sap listen 命令。

验证 IGMP 版本

目的

验证 IGMP 版本 2 是否在所有适用接口上配置。

行动

在操作模式下,输入 show igmp interface 命令。

验证 PIM 模式和接口配置

目的

验证所有适用接口上是否配置了 PIM 稀疏模式。

行动

在操作模式下,输入 show pim interfaces 命令。

验证 PIM 注册消息

目的

验证是否启用了 RP 路由器上被拒绝的策略。

行动

在配置模式下,输入 show policy-optionsshow protocols pim 命令。

另请参阅

在 PIM RP 和 DR 上配置注册消息过滤器

PIM 寄存器消息由指定路由器 (DR) 发送至汇聚点 (RP)。当组的源开始传输时,DR 会将单播 PIM 注册数据包发送至 RP。

注册消息具有以下目的:

  • 通知 RP 源是否发送至组。

  • 将由源发送到 RP 的初始组播数据包,以便从最短路径树 (SPT) 中交付。

PIM RP 可跟踪单个 PIM 稀疏模式域中的所有活动源。在某些情况下,您希望对 RP 发现哪些来源或 DR 通知其他 RP 的来源进行更多控制。RP 或 DR 寄存器消息过滤可提供对 PIM 寄存器消息的高度控制。消息过滤可防止未经授权的组和来源在 RP 路由器上注册。

您可配置 RP 或 DR 注册消息过滤,以控制 RP 发现的组播源的数量和位置。您可以在 DR 上应用注册消息过滤器以控制传出注册消息,或将其应用到 RP 上以控制传入寄存器消息。

配置任播 RP 时,任播 RP 集中的所有 RP 都需要使用相同的注册消息过滤策略进行配置。

您可以在全球范围内配置消息过滤或路由实例。这些示例显示全局配置。

要配置 RP 过滤器以从源地址 10.10.94.2 丢弃组播组范围 224.1.1.0/24 的寄存器数据包:

  1. 在 RP 上配置策略。
  2. 将策略应用到 RP。

要配置 DR 过滤器,以防止发送组范围为 224.1.1.0/24 的注册数据包,并且源地址为 10.10.10.1/32:

  1. 在 DR 上,配置策略。

  2. 将策略应用于 DR。

    静态地址是 RP 的地址,您不希望 DR 向其发送过滤的寄存器消息。

要将策略表达式配置为接受组播组 224.1.1.5 的注册消息,但拒绝 224.1.1.1:

  1. 在 RP 上配置策略。

  2. 将策略应用到 RP。

要监控过滤器的操作,请运行 show pim statistics 命令。命令输出包含以下与过滤相关的字段:

  • RP 过滤源

  • Rx Joins/Prunes 过滤

  • Tx Joins/Prunes 过滤

  • Rx 注册 msgs 过滤丢弃

  • Tx 注册 msgs 过滤丢弃

另请参阅

相关文档