Beispiele: MSDP konfigurieren
MSDP verstehen
Das Multicast Source Discovery Protocol (MSDP) wird verwendet, um Multicast-Routingdomänen zu verbinden. Er läuft in der Regel auf demselben Router wie der Protocol Independent Multicast (PIM) Sparse-Mode Rendezvous Point (RP). Jeder MSDP-Router stellt Nachbarschaften mit internen und externen MSDP-Peers her, ähnlich wie BGP Peers einrichtet. Diese Peer-Router informieren sich gegenseitig über aktive Quellen innerhalb der Domäne. Wenn sie aktive Quellen erkennen, können die Router explizite PIM-Join-Nachrichten im Sparse-Mode an die aktive Quelle senden.
Der Peer mit der höheren IP-Adresse lauscht passiv auf eine bekannte Portnummer und wartet darauf, dass die Seite mit der niedrigeren IP-Adresse eine TCP-Verbindung (Transmission Control Protocol) aufbaut. Wenn eine PIM-RP im Sparse-Mode-Modus, auf der MSDP ausgeführt wird, auf eine neue lokale Quelle aufmerksam wird, sendet sie quellenaktive Typen, Längen und Werte (TLVs) an ihre MSDP-Peers. Wenn eine quellenaktive TLV empfangen wird, wird eine Peer-Reverse-Path-Forwarding-Prüfung (Peer-RPF) (nicht identisch mit einer Multicast-RPF-Prüfung) durchgeführt, um sicherzustellen, dass sich dieser Peer in dem Pfad befindet, der zurück zum ursprünglichen RP führt. Ist dies nicht der Fall, wird die quellenaktive TLV verworfen. Diese TLV wird als "abgelehnte" quellaktive Nachricht gezählt.
Die MSDP-Peer-RPF-Prüfung unterscheidet sich von den normalen RPF-Prüfungen, die von Nicht-MSDP-Multicast-Routern durchgeführt werden. Das Ziel der Peer-RPF-Prüfung besteht darin, die Schleife quellaktiver Nachrichten zu verhindern. Router R akzeptiert quellenaktive Nachrichten, die von Router S stammen, nur vom benachbarten Router N oder einem Mitglied der MSDP-Mesh-Gruppe.
S ------------------> N ------------------> R
Router R (der Router, der Nachrichten aus aktiven Quellen akzeptiert oder ablehnt) sucht seinen MSDP-Peer-RPF-Nachbarn (Router N) deterministisch. Eine Reihe von Regeln wird in einer bestimmten Reihenfolge auf empfangene quellaktive Nachrichten angewendet, und die erste Regel, die zutrifft, bestimmt den Peer-RPF-Nachbarn. Alle quellenaktiven Nachrichten von anderen Routern werden zurückgewiesen.
Die sechs Regeln, die auf quellaktive Nachrichten angewendet werden, die von Router S stammen und von Router N an Router R empfangen werden, lauten wie folgt:
Wenn Router N die quellaktive Nachricht verursacht hat (Router N ist Router S), dann ist Router N auch der Peer-RPF-Nachbar, und seine quellenaktiven Nachrichten werden akzeptiert.
Wenn Router N ein Mitglied der Mesh-Gruppe des Routers R oder der konfigurierte Peer ist, ist Router N der Peer-RPF-Nachbar, und seine Quellaktivnachrichten werden akzeptiert.
Wenn Router N der nächste BGP-Hop der aktiven Multicast-RPF-Route zu Router S ist (Router N hat die Route auf Router R installiert), dann ist Router N der Peer-RPF-Nachbar, und seine quellenaktiven Nachrichten werden akzeptiert.
Wenn Router N ein externer BGP (EBGP)- oder interner BGP (IBGP)-Peer von Router R ist und die letzte AS-Nummer (Autonomous System) im BGP-AS-Pfad zu Router S mit der AS-Nummer von Router N identisch ist, dann ist Router N der Peer-RPF-Nachbar, und seine quellenaktiven Nachrichten werden akzeptiert.
Wenn Router N denselben nächsten Hop wie der nächste Hop zu Router S verwendet, ist Router N der Peer-RPF-Nachbar, und seine quellenaktiven Nachrichten werden akzeptiert.
Wenn Router N keines dieser Kriterien erfüllt, ist Router N kein MSDP-Peer-RPF-Nachbar, und seine quellenaktiven Nachrichten werden zurückgewiesen.
Die MSDP-Peers, die quellaktive TLVs empfangen, können durch BGP-Erreichbarkeitsinformationen eingeschränkt werden. Wenn der AS-Pfad der NLRI (Network Layer Reachability Information) die AS-Nummer des empfangenden Peers enthält, der die vorletzte vorangestellt ist, verwendet der sendende Peer den empfangenden Peer als nächsten Hop für diese Quelle. Wenn die Informationen zum geteilten Horizont nicht empfangen werden, kann der Peer aus der quellenaktiven TLV-Verteilerliste entfernt werden.
Weitere Informationen zum Konfigurieren von MSDP-Netzgruppen finden Sie unter Beispiel: Konfigurieren von MSDP mit aktiven Quellgrenzwerten und Netzgruppen.
Siehe auch
MSDP konfigurieren
Um das Multicast Source Discovery Protocol (MSDP) zu konfigurieren, fügen Sie die msdp folgende Anweisung ein:
msdp { disable; active-source-limit { maximum number; threshold number; } data-encapsulation (disable | enable); export [ policy-names ]; group group-name { ... group-configuration ... } hold-time seconds; import [ policy-names ]; local-address address; keep-alive seconds; peer address { ... peer-configuration ... } rib-group group-name; source ip-prefix</prefix-length> { active-source-limit { maximum number; threshold number; } } sa-hold-time seconds; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier > <disable>; } group group-name { disable; export [ policy-names ]; import [ policy-names ]; local-address address; mode (mesh-group | standard); peer address { ... same statements as at the [edit protocols msdp peer address] hierarchy level shown just following ... } traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } } peer address { disable; active-source-limit { maximum number; threshold number; } authentication-key peer-key; default-peer; export [ policy-names ]; import [ policy-names ]; local-address address; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } } }
Sie können diese Anweisung auf den folgenden Hierarchieebenen einbinden:
[edit protocols][edit routing-instances routing-instance-name protocols][edit logical-systems logical-system-name protocols][edit logical-systems logical-system-name routing-instances routing-instance-name protocols]
Standardmäßig ist MSDP deaktiviert.
Siehe auch
Beispiel: Konfigurieren von MSDP in einer Routinginstanz
In diesem Beispiel wird gezeigt, wie MSDP in einer VRF-Instanz konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Routerschnittstellen.
Konfigurieren Sie ein internes Gateway-Protokoll oder statisches Routing. Routing-Geräte finden Sie in der Junos OS Routing Protocols Library.
Aktivieren Sie PIM. Weitere Informationen finden Sie unter PIM-Übersicht.
Überblick
Sie können MSDP in den folgenden Instance-Typen konfigurieren:
Versand
Keine Weiterleitung
Virtueller Router
VPLS
VRF
Der Hauptzweck von MSDP in einer Routing-Instanz besteht darin, Anycast-RPs im Netzwerk zu unterstützen, wodurch Sie redundante RPs konfigurieren können. Die Anycast-RP-Adressierung erfordert MSDP-Unterstützung, um die aktiven Quellen zwischen RPs zu synchronisieren.
Dieses Beispiel enthält die folgenden MSDP-Einstellungen.
authentication-key: Standardmäßig akzeptieren und verarbeiten Multicast-Router alle ordnungsgemäß formatierten MSDP-Nachrichten von der konfigurierten Peer-Adresse. Dieses Standardverhalten kann in vielen Organisationen gegen die Sicherheitsrichtlinien verstoßen, da MSDP-Nachrichten definitionsgemäß aus einer anderen Routingdomäne stammen, die sich der Kontrolle der Sicherheitspraktiken der Organisation des Multicastrouters entzieht.
Der Router kann MSDP-Nachrichten mithilfe der Signaturoption TCP Message Digest 5 (MD5) für MSDP-Peering-Sitzungen authentifizieren. Diese Authentifizierung bietet Schutz vor gefälschten Paketen, die in eine MSDP-Peering-Sitzung eingeschleust werden. Zwei Organisationen, die die MSDP-Authentifizierung implementieren, müssen sich für einen menschenlesbaren Schlüssel auf beiden Peers entscheiden. Dieser Schlüssel ist in der MD5-Signaturberechnung für jedes MSDP-Segment enthalten, das zwischen den beiden Peers gesendet wird.
Sie konfigurieren einen MSDP-Authentifizierungsschlüssel pro Peer, unabhängig davon, ob der MSDP-Peer in einer Gruppe oder einzeln definiert ist. Wenn Sie unterschiedliche Authentifizierungsschlüssel für denselben Peer konfigurieren, einen in einer Gruppe und einen einzelnen, wird der einzelne Schlüssel verwendet.
Der Peerschlüssel kann eine Textzeichenfolge mit einer Länge von bis zu 16 Buchstaben und Ziffern sein. Zeichenfolgen können beliebige ASCII-Zeichen mit Ausnahme von (,), & und [. Wenn Sie Leerzeichen in einen MSDP-Authentifizierungsschlüssel einfügen, schließen Sie alle Zeichen in Anführungszeichen (" ") ein.
Durch das Hinzufügen, Entfernen oder Ändern eines MSDP-Authentifizierungsschlüssels in einer Peering-Sitzung wird die vorhandene MSDP-Sitzung zurückgesetzt und eine neue Sitzung zwischen den betroffenen MSDP-Peers eingerichtet. Diese sofortige Sitzungsbeendigung verhindert übermäßige Wiederholungsübertragungen und eventuelle Sitzungszeitüberschreitungen aufgrund nicht übereinstimmender Schlüssel.
import und export: Alle Routing-Protokolle verwenden die Routing-Tabelle, um die erlernten Routen zu speichern und zu bestimmen, welche Routen sie in ihren Protokollpaketen ankündigen. Mit der Routing-Richtlinie können Sie steuern, welche Routen die Routing-Protokolle in der Routing-Tabelle speichern und von ihr abrufen.
Sie können Routing-Richtlinien global, für eine Gruppe oder für einen einzelnen Peer konfigurieren. In diesem Beispiel wird gezeigt, wie die Richtlinie für einen einzelnen Peer konfiguriert wird.
Wenn Sie Routingrichtlinien auf Gruppenebene konfigurieren, erbt jeder Peer in einer Gruppe die Routingrichtlinie der Gruppe.
Die import-Anweisung wendet Richtlinien auf quellaktive Nachrichten an, die aus MSDP in den source-active-Cache importiert werden. Die export-Anweisung wendet Richtlinien auf quellaktive Nachrichten an, die aus dem source-active-Cache in MSDP exportiert werden. Wenn Sie mehr als eine Richtlinie angeben, werden diese in der angegebenen Reihenfolge von der ersten bis zur letzten ausgewertet, und die erste übereinstimmende Richtlinie wird auf die Route angewendet. Wenn keine Übereinstimmung für die Importrichtlinie gefunden wird, gibt MSDP nur die Routen für die Routing-Tabelle frei, die von MSDP-Routern gelernt wurden. Wenn keine Übereinstimmung für die Exportrichtlinie gefunden wird, wird die standardmäßige MSDP-Exportrichtlinie auf Einträge im quellenaktiven Cache angewendet. In Tabelle 1 finden Sie eine Liste der Spielbedingungen.
Tabelle 1: Übereinstimmungsbedingungen für MSDP-Quell-Aktiv-Nachrichtenfilter Übereinstimmungsbedingung
Streichhölzer am
Schnittstelle
Router-Schnittstelle oder Schnittstellen, die durch Name oder IP-Adresse angegeben werden
Nachbar
Nachbaradresse (die Quelladresse im IP-Header der source-active-Nachricht)
Routen-Filter
Multicast-Gruppenadresse, die in die Quellaktivnachricht eingebettet ist
Quelladressen-Filter
Multicast-Quelladresse, die in die source-active-Nachricht eingebettet ist
local-address: Identifiziert die Adresse des Routers, den Sie als MSDP-Router konfigurieren (der lokale Router). Wenn Sie MSDP konfigurieren, ist die local-address-Anweisung erforderlich. Der Router muss außerdem ein Protocol Independent Multicast (PIM) Sparse-Mode Rendezvous Point (RP) sein.
peer - Ein MSDP-Router muss wissen, welche Router seine Peers sind. Sie definieren die Peerbeziehungen explizit, indem Sie die benachbarten Router konfigurieren, bei denen es sich um die MSDP-Peers des lokalen Routers handelt. Nachdem Peerbeziehungen hergestellt wurden, tauschen die MSDP-Peers Nachrichten aus, um aktive Multicastquellen anzukündigen. Sie müssen mindestens einen Peer konfigurieren, damit MSDP funktioniert. Wenn Sie MSDP konfigurieren, ist die Peer-Anweisung erforderlich. Der Router muss außerdem ein Protocol Independent Multicast (PIM) Sparse-Mode Rendezvous Point (RP) sein.
Sie können MSDP-Peers in Gruppen einteilen. Jede Gruppe muss mindestens einen Peer enthalten. Das Anordnen von Peers in Gruppen ist nützlich, wenn Sie Quellen von einigen Peers blockieren und von anderen akzeptieren oder Ablaufverfolgungsoptionen für eine Gruppe festlegen möchten und für andere nicht. In diesem Beispiel wird gezeigt, wie die MSDP-Peers in Gruppen konfiguriert werden. Wenn Sie MSDP-Peers in einer Gruppe konfigurieren, erbt jeder Peer in einer Gruppe alle Optionen auf Gruppenebene.
Topologie
Abbildung 1 zeigt die Topologie für dieses Beispiel.
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set policy-options policy-statement bgp-to-ospf term 1 from protocol bgp set policy-options policy-statement bgp-to-ospf term 1 then accept set policy-options policy-statement sa-filter term bad-groups from route-filter 224.0.1.2/32 exact set policy-options policy-statement sa-filter term bad-groups from route-filter 224.77.0.0/16 orlonger set policy-options policy-statement sa-filter term bad-groups then reject set policy-options policy-statement sa-filter term bad-sources from source-address-filter 10.0.0.0/8 orlonger set policy-options policy-statement sa-filter term bad-sources from source-address-filter 127.0.0.0/8 orlonger set policy-options policy-statement sa-filter term bad-sources then reject set policy-options policy-statement sa-filter term accept-everything-else then accept set routing-instances VPN-100 instance-type vrf set routing-instances VPN-100 interface ge-0/0/0.100 set routing-instances VPN-100 interface lo0.100 set routing-instances VPN-100 route-distinguisher 10.255.120.36:100 set routing-instances VPN-100 vrf-target target:100:1 set routing-instances VPN-100 protocols ospf export bgp-to-ospf set routing-instances VPN-100 protocols ospf area 0.0.0.0 interface lo0.100 set routing-instances VPN-100 protocols ospf area 0.0.0.0 interface ge-0/0/0.100 set routing-instances VPN-100 protocols pim rp static address 11.11.47.100 set routing-instances VPN-100 protocols pim interface lo0.100 mode sparse-dense set routing-instances VPN-100 protocols pim interface lo0.100 version 2 set routing-instances VPN-100 protocols pim interface ge-0/0/0.100 mode sparse-dense set routing-instances VPN-100 protocols pim interface ge-0/0/0.100 version 2 set routing-instances VPN-100 protocols msdp export sa-filter set routing-instances VPN-100 protocols msdp import sa-filter set routing-instances VPN-100 protocols msdp group 100 local-address 10.10.47.100 set routing-instances VPN-100 protocols msdp group 100 peer 10.255.120.39 authentication-key “New York” set routing-instances VPN-100 protocols msdp group to_pe local-address 10.10.47.100 set routing-instances VPN-100 protocols msdp group to_pe peer 11.11.47.100
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie eine MSDP-Routing-Instanz:
Konfigurieren Sie die BGP-Exportrichtlinie.
[edit policy-options] user@host# set policy-statement bgp-to-ospf term 1 from protocol bgp user@host# set policy-statement bgp-to-ospf term 1 then accept
Konfigurieren Sie eine Richtlinie, die bestimmte Quell- und Gruppenadressen herausfiltert und alle anderen Quell- und Gruppenadressen akzeptiert.
[edit policy-options] user@host# set policy-statement sa-filter term bad-groups from route-filter 224.0.1.2/32 exact user@host# set policy-statement sa-filter term bad-groups from route-filter 224.0.1.2/32 exact user@host# set policy-statement sa-filter term bad-groups from route-filter 224.77.0.0/16 orlonger user@host# set policy-statement sa-filter term bad-groups then reject user@host# set policy-statement sa-filter term bad-sources from source-address-filter 10.0.0.0/8 orlonger user@host# set policy-statement sa-filter term bad-sources from source-address-filter 127.0.0.0/8 orlonger user@host# set policy-statement sa-filter term bad-sources then reject user@host# set policy-statement sa-filter term accept-everything-else then accept
Konfigurieren Sie den Routing-Instance-Typ und die Schnittstellen.
[edit routing-instances] user@host# set VPN-100 instance-type vrf user@host# set VPN-100 interface ge-0/0/0.100 user@host# set VPN-100 interface lo0.100
Konfigurieren Sie die Routing-Instanz, den Routenunterscheidungsmerkmal und das VRF-Ziel.
[edit routing-instances] user@host# set VPN-100 route-distinguisher 10.255.120.36:100 user@host# set VPN-100 vrf-target target:100:1
Konfigurieren Sie OSPF in der Routinginstanz.
[edit routing-instances] user@host# set VPN-100 protocols ospf export bgp-to-ospf user@host# set VPN-100 protocols ospf area 0.0.0.0 interface lo0.100 user@host# set VPN-100 protocols ospf area 0.0.0.0 interface ge-0/0/0.100
Konfigurieren Sie PIM in der Routing-Instanz.
[edit routing-instances] user@host# set VPN-100 protocols pim rp static address 11.11.47.100 user@host# set VPN-100 protocols pim interface lo0.100 mode sparse-dense user@host# set VPN-100 protocols pim interface lo0.100 version 2 user@host# set VPN-100 protocols pim interface ge-0/0/0.100 mode sparse-dense user@host# set VPN-100 protocols pim interface ge-0/0/0.100 version 2
Konfigurieren Sie MSDP in der Routing-Instanz.
[edit routing-instances] user@host# set VPN-100 protocols msdp export sa-filter user@host# set VPN-100 protocols msdp import sa-filter user@host# set VPN-100 protocols msdp group 100 local-address 10.10.47.100 user@host# set VPN-100 protocols msdp group 100 peer 10.255.120.39 authentication-key “New York” [edit routing-instances] user@host# set VPN-100 protocols msdp group to_pe local-address 10.10.47.100 [edit routing-instances] user@host# set VPN-100 protocols msdp group to_pe peer 11.11.47.100
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit routing-instances] user@host# commit
Befund
Bestätigen Sie Ihre Konfiguration, indem Sie den Befehl show policy-options und den Befehl show routing-instances aus dem Konfigurationsmodus eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show policy-options
policy-statement bgp-to-ospf {
term 1 {
from protocol bgp;
then accept;
}
}
policy-statement sa-filter {
term bad-groups {
from {
route-filter 224.0.1.2/32 exact;
route-filter 224.77.0.0/16 orlonger;
}
then reject;
}
term bad-sources {
from {
source-address-filter 10.0.0.0/8 orlonger;
source-address-filter 127.0.0.0/8 orlonger;
}
then reject;
}
term accept-everything-else {
then accept;
}
}
user@host# show routing-instances
VPN-100 {
instance-type vrf;
interface ge-0/0/0.100; ## 'ge-0/0/0.100' is not defined
interface lo0.100; ## 'lo0.100' is not defined
route-distinguisher 10.255.120.36:100;
vrf-target target:100:1;
protocols {
ospf {
export bgp-to-ospf;
area 0.0.0.0 {
interface lo0.100;
interface ge-0/0/0.100;
}
}
pim {
rp {
static {
address 11.11.47.100;
}
}
interface lo0.100 {
mode sparse-dense;
version 2;
}
interface ge-0/0/0.100 {
mode sparse-dense;
version 2;
}
}
msdp {
export sa-filter;
import sa-filter;
group 100 {
local-address 10.10.47.100;
peer 10.255.120.39 {
authentication-key "Hashed key found - Replaced with $ABC123abc123"; ## SECRET-DATA
}
}
group to_pe {
local-address 10.10.47.100;
peer 11.11.47.100;
}
}
}
}
Verifizierung
Führen Sie die folgenden Befehle aus, um die Konfiguration zu überprüfen:
msdp-Instanz VPN-100 anzeigen
msdp source-active VPN-100 anzeigen
Multicast-Nutzungsinstanz VPN-100 anzeigen
Routing-Tabelle VPN-100.inet.4 anzeigen
Konfigurieren der Schnittstelle zum Akzeptieren von Datenverkehr von einer Remotequelle
Sie können eine eingehende Schnittstelle so konfigurieren, dass sie Multicast-Datenverkehr von einer Remotequelle akzeptiert. Eine Remotequelle ist eine Quelle, die sich nicht im selben Subnetz wie die eingehende Schnittstelle befindet. Abbildung 2 zeigt eine solche Topologie, bei der R2 eine Verbindung zur R1-Quelle in einem Subnetz und zur eingehenden Schnittstelle zu R3 (ge-1/3/0.0 in der Abbildung) in einem anderen Subnetz herstellt.
In dieser Topologie ist R2 ein Pass-Through-Gerät, auf dem kein PIM ausgeführt wird, daher ist R3 der erste Hop-Router für Multicastpakete, die von R1 gesendet werden. Da sich R1 und R3 in unterschiedlichen Subnetzen befinden, besteht das Standardverhalten von R3 darin, R1 als Remotequelle zu ignorieren. Sie können jedoch festlegen, dass R3 Multicast-Datenverkehr von R1 akzeptiert, indem Sie dies auf der Zielschnittstelle aktivieren accept-remote-source .
So akzeptieren Sie Datenverkehr von einer Remotequelle:
Siehe auch
Beispiel: Konfigurieren von MSDP mit aktiven Quelllimits und Mesh-Gruppen
In diesem Beispiel wird gezeigt, wie MSDP so konfiguriert wird, dass quellaktive Nachrichten gefiltert und die Überflutung von quellaktiven Nachrichten begrenzt wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Routerschnittstellen.
Konfigurieren Sie ein internes Gateway-Protokoll oder statisches Routing. Routing-Geräte finden Sie in der Junos OS Routing Protocols Library.
Aktivieren Sie den PIM-Sparse-Modus. Weitere Informationen finden Sie unter PIM-Übersicht.
Konfigurieren Sie den Router als PIM-RP im Sparse-Mode-Modus. Weitere Informationen finden Sie unter Konfigurieren lokaler PIM-RPs.
Überblick
Ein Router, der an MSDP-Nachrichten interessiert ist, z. B. ein RP, muss möglicherweise eine große Anzahl von MSDP-Nachrichten verarbeiten, insbesondere quellenaktive Nachrichten, die von anderen Routern eingehen. Aufgrund der potenziellen Notwendigkeit eines Routers, um Statustabellen für viele MSDP-Pakete zu untersuchen, zu verarbeiten und zu erstellen, besteht die Möglichkeit eines MSDP-basierten Denial-of-Service-Angriffs (DoS) auf einen Router, auf dem MSDP ausgeführt wird. Um diese Möglichkeit zu minimieren, können Sie den Router so konfigurieren, dass die Anzahl der aktiven Quellnachrichten, die der Router akzeptiert, begrenzt wird. Außerdem können Sie einen Schwellenwert für die Anwendung von RED (Random Early Detection) konfigurieren, um einige, aber nicht alle aktiven MSDP-Quellnachrichten zu verwerfen.
Standardmäßig akzeptiert der Router 25.000 aktive Quellnachrichten, bevor der Rest ignoriert wird. Der Grenzwert kann zwischen 1 und 1.000.000 liegen. Der Grenzwert gilt sowohl für die Anzahl der Nachrichten als auch für die Anzahl der MSDP-Peers.
Standardmäßig akzeptiert der Router 24.000 quellenaktive Nachrichten, bevor er das RED-Profil anwendet, um einen möglichen DoS-Angriff zu verhindern. Diese Zahl kann auch zwischen 1 und 1.000.000 liegen. Die nächsten 1000 Nachrichten werden vom RED-Profil geprüft und die akzeptierten Nachrichten verarbeitet. Wenn Sie keine Drop-Profile konfigurieren (wie in diesem Beispiel nicht), ist RED weiterhin wirksam und fungiert als primärer Mechanismus zum Verwalten von Überlastungen. Wenn im standardmäßigen RED-Drop-Profil der Füllstand der Paketwarteschlange 0 Prozent beträgt, beträgt die Drop-Wahrscheinlichkeit 0 Prozent. Wenn der Füllstand 100 Prozent beträgt, beträgt die Tropfenwahrscheinlichkeit 100 Prozent.
Der Router ignoriert source-aktive Nachrichten mit gekapselten TCP-Paketen. Multicast verwendet kein TCP. Segmente in Quell-aktiven Nachrichten sind höchstwahrscheinlich das Ergebnis von Wurmaktivitäten.
Die für den Schwellenwert konfigurierte Anzahl muss kleiner sein als die Zahl, die für die maximale Anzahl aktiver MSDP-Quellen konfiguriert ist.
Sie können ein aktives Quelllimit global, für eine Gruppe oder für einen Peer konfigurieren. Wenn aktive Quellgrenzwerte auf mehreren Ebenen der Hierarchie konfiguriert sind (wie in diesem Beispiel gezeigt), werden alle angewendet.
Sie können ein aktives Quelllimit sowohl für einen Adressbereich als auch für einen bestimmten Peer konfigurieren. Bei einem Grenzwert für aktive Quellen pro Quelle werden ein IP-Präfix und eine Präfixlänge anstelle einer bestimmten Adresse verwendet. Sie können mehr als ein Limit für aktive Quellen pro Quelle konfigurieren. Die längste Übereinstimmung bestimmt das Limit.
Die Grenzwerte für aktive Quellen pro Quelle können mit den Grenzwerten für aktive Quellen auf der Ebene der Peer-, Gruppen- und globalen (Instanz-)Hierarchie kombiniert werden. Grenzwerte pro Quelle werden vor allen anderen Arten von Grenzwerten für aktive Quellen angewendet. Die Grenzwerte werden in der folgenden Reihenfolge getestet:
Pro Quelle
Pro Peer oder Gruppe
Pro Instanz
Eine aktive Quellnachricht muss alle festgelegten Grenzwerte "bestehen", bevor sie akzeptiert wird. Wenn beispielsweise eine Quelle mit einem Limit von 10.000 aktiven Multicast-Gruppen konfiguriert ist und die Instanz mit einem Limit von 5000 konfiguriert ist (und keine anderen Quellen oder Limits konfiguriert sind), werden nur 5000 aktive Quellnachrichten von dieser Quelle akzeptiert.
MSDP-Mesh-Gruppen sind Gruppen von Peers, die in einer Full-Mesh-Topologie konfiguriert sind, die die Überflutung von quellaktiven Nachrichten auf benachbarte Peers begrenzt. Jedes Mesh-Gruppenmitglied muss über eine Peer-Verbindung mit jedem anderen Mesh-Gruppenmitglied verfügen. Wenn eine quellenaktive Nachricht von einem Mesh-Gruppenmitglied empfangen wird, wird die source-aktive Nachricht immer akzeptiert, aber nicht an andere Mitglieder derselben Mesh-Gruppe überflutet. Die Quell-Aktiv-Nachricht wird jedoch an Nicht-Mesh-Gruppen-Peers oder Mitglieder anderer Mesh-Gruppen überflutet. Standardmäßig gelten die standardmäßigen Überflutungsregeln, wenn mesh-group nicht angegeben ist.
Wenn Sie MSDP-Mesh-Gruppen konfigurieren, müssen Sie alle Mitglieder auf die gleiche Weise konfigurieren. Wenn Sie kein vollständiges Mesh konfigurieren, kann es zu einer übermäßigen Überflutung von quellenaktiven Nachrichten kommen.
Eine gängige Anwendung für MSDP-Mesh-Gruppen ist die Peer-Reverse-Path-Forwarding (Peer-RPF)-Check-Bypass. Wenn sich z. B. zwei MSDP-Peers in einem autonomen System (AS) befinden und nur einer von ihnen eine externe MSDP-Sitzung zu einem anderen AS hat, lehnt der interne MSDP-Peer häufig eingehende quellenaktive Nachrichten ab, die vom Peer über den externen Link weitergeleitet werden. Die Ablehnung erfolgt, weil der externe MSDP-Peer für den internen MSDP-Peer über den nächsten Hop zur Quelle in einem anderen AS erreichbar sein muss und diese Bedingung für den nächsten Hop nicht sicher ist. Um Ablehnungen zu vermeiden, konfigurieren Sie eine MSDP-Mesh-Gruppe auf dem internen MSDP-Peer, sodass sie immer quellaktive Nachrichten akzeptiert.
Eine alternative Möglichkeit, die Peer-RPF-Prüfung zu umgehen, besteht darin, einen Standardpeer zu konfigurieren. In Netzwerken mit nur einem MSDP-Peer, insbesondere in Stub-Netzwerken, muss die source-active-Nachricht immer akzeptiert werden. Ein MSDP-Standardpeer ist ein MSDP-Peer, von dem alle quellenaktiven Nachrichten akzeptiert werden, ohne dass die Peer-RPF-Prüfung durchgeführt wird. Sie können einen Standardpeer auf Peer- oder Gruppenebene einrichten, indem Sie die default-peer-Anweisung einschließen.
In Tabelle 2 wird in diesem Beispiel erläutert, wie Flooding von Peers gehandhabt wird. .
Quellaktive Nachricht empfangen von |
Quellaktive Nachricht überflutet an |
Quellaktive Nachricht wird nicht überflutet an |
|---|---|---|
Peer 21 |
Peer 11, Peer 12, Peer 13, Peer 31, Peer 32 |
Peer 22 |
Peer 11 |
Peer 21, Peer 22, Peer 31, Peer 32 |
Peer 12, Peer 13 |
Peer 31 |
Peer 21, Peer 22, Peer 11, Peer 12, Peer 13, Peer 32 |
– |
Abbildung 3 veranschaulicht die flutende quellaktive Nachricht zwischen verschiedenen Mesh-Gruppen und Peers innerhalb derselben Mesh-Gruppe.
Dieses Beispiel enthält die folgenden Einstellungen:
active-source-limit maximum 10000 - Wendet ein Limit von 10.000 aktiven Quellen auf alle anderen Peers an.
data-encapsulation disable: Deaktiviert auf einem RP-Router, der MSDP verwendet, die Standardkapselung von Multicast-Daten, die in MSDP-Registernachrichten innerhalb von MSDP-Source-Active-Nachrichten empfangen werden.
Bei der MSDP-Datenkapselung handelt es sich hauptsächlich um Bursty-Quellen von Multicast-Datenverkehr. Quellen, die nur alle paar Minuten ein Paket senden, haben Probleme mit dem Timeout von Statusbeziehungen zwischen Quellen und ihren Multicastgruppen (S, G). Router verlieren Daten, während sie versuchen, (S,G)-Zustandstabellen wiederherzustellen. Daher enthalten Multicastregisternachrichten Daten, und diese Datenkapselung in quellenaktiven MSDP-Nachrichten kann über die Konfiguration aktiviert oder deaktiviert werden.
Standardmäßig ist die MSDP-Datenkapselung aktiviert. Ein RP, auf dem MSDP ausgeführt wird, nimmt die Datenpakete, die in der Registernachricht der Quelle eingehen, entgegen und kapselt die Daten in eine MSDP-Quellaktivnachricht.
Bei der Datenkapselung wird jedoch sowohl ein Multicast-Weiterleitungscacheeintrag in der Tabelle inet.1 (dies ist auch die Weiterleitungstabelle) als auch ein Routing-Tabelleneintrag in der Tabelle inet.4 erstellt. Ohne Datenkapselung erstellt MSDP nur einen Routing-Tabelleneintrag in der inet.4-Tabelle . Unter bestimmten Umständen, z. B. beim Vorhandensein von Internetwürmern oder anderen Formen von DoS-Angriffen, kann sich die Weiterleitungstabelle des Routers mit diesen Einträgen füllen. Um zu verhindern, dass sich die Weiterleitungstabelle mit MSDP-Einträgen füllt, können Sie den Router so konfigurieren, dass er keine MSDP-Datenkapselung verwendet. Wenn Sie jedoch die Datenkapselung deaktivieren, ignoriert und verwirft der Router die gekapselten Daten. Ohne Datenkapselung funktionieren Multicast-Anwendungen mit Burst-Quellen mit Übertragungsintervallen von mehr als etwa 3 Minuten möglicherweise nicht gut.
group MSDP-group local-address 10.1.2.3 - Gibt die Adresse des lokalen Routers (dieser Router) an.
group MSDP-group mode mesh-group: Gibt an, dass alle Peers, die zur MSDP-group-Gruppe gehören, Mesh-Gruppenmitglieder sind.
group MSDP-group peer 10.10.10.10 - Verhindert das Senden von Quellaktivnachrichten an den benachbarten Peer 10.10.10.10.
group MSDP-group peer 10.10.10.10 active-source-limit maximum 7500 – Wendet ein Limit von 7500 aktiven Quellen auf MSDP-Peer 10.10.10.10 in der Gruppe MSDP-group an.
peer 10.0.0.1 active-source-limit maximum 5000 threshold 4000 - Wendet einen Schwellenwert von 4000 aktiven Quellen und ein Limit von 5000 aktiven Quellen auf MSDP-Peer 10.0.0.1 an.
source 10.1.0.0/16 active-source-limit maximum 500 - Wendet ein Limit von 500 aktiven Quellen auf jede Quelle im Netzwerk 10.1.0.0/16 an.
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle und fügen Sie sie in die CLI auf Hierarchieebene ein, und geben Sie sie dann aus dem [edit] Konfigurationsmodus ein commit .
set protocols msdp data-encapsulation disable set protocols msdp active-source-limit maximum 10000 set protocols msdp peer 10.0.0.1 active-source-limit maximum 5000 set protocols msdp peer 10.0.0.1 active-source-limit threshold 4000 set protocols msdp source 10.1.0.0/16 active-source-limit maximum 500 set protocols msdp group MSDP-group mode mesh-group set protocols msdp group MSDP-group local-address 10.1.2.3 set protocols msdp group MSDP-group peer 10.10.10.10 active-source-limit maximum 7500
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie aktive MSDP-Quellrouten und Mesh-Gruppen:
(Optional) Deaktivieren Sie die Datenkapselung.
[edit protocols msdp] user@host# set data-encapsulation disable
Konfigurieren Sie die Grenzwerte für aktive Quellen.
[edit protocols msdp] user@host# set peer 10.0.0.1 active-source-limit maximum 5000 threshold 4000 user@host# set group MSDP-group peer 10.10.10.10 active-source-limit maximum 7500 user@host# set active-source-limit maximum 10000 user@host# set source 10.1.0.0/16 active-source-limit maximum 500
(Optional) Konfigurieren Sie den Schwellenwert, ab dem Warnmeldungen protokolliert werden, und die Zeitspanne zwischen den Protokollmeldungen.
[edit protocols msdp] user@host# set active-source-limit log-warning 80 user@host# set active-source-limit log-interval 20
Konfigurieren Sie die Netzgruppe.
[edit protocols msdp] user@host# set group MSDP-group mode mesh-group user@host# set group MSDP-group peer 10.10.10.10 user@host# set group MSDP-group local-address 10.1.2.3
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit routing-instances] user@host# commit
Befund
Bestätigen Sie Ihre Konfiguration, indem Sie den Befehl show protocols eingeben.
user@host# show protocols
msdp {
data-encapsulation disable;
active-source-limit {
maximum 10000;
}
peer 10.0.0.1 {
active-source-limit {
maximum 5000;
threshold 4000;
}
}
source 10.1.0.0/16 {
active-source-limit {
maximum 500;
}
}
group MSDP-group {
mode mesh-group;
local-address 10.1.2.3;
peer 10.10.10.10 {
active-source-limit {
maximum 7500;
}
}
}
}
Verifizierung
Führen Sie die folgenden Befehle aus, um die Konfiguration zu überprüfen:
MSDP source-active anzeigen
MSDP-Statistik anzeigen
Ablaufverfolgung des MSDP-Protokolldatenverkehrs
Bei Ablaufverfolgungsvorgängen werden detaillierte Meldungen über den Betrieb von Routingprotokollen aufgezeichnet, z. B. die verschiedenen Typen von gesendeten und empfangenen Routingprotokollpaketen sowie Routingrichtlinienaktionen. Sie können angeben, welche Ablaufverfolgungsvorgänge protokolliert werden, indem Sie bestimmte Ablaufverfolgungsflags einschließen. In der folgenden Tabelle werden die Flags beschrieben, die Sie einschließen können.
Flagge |
Beschreibung |
|---|---|
alle |
Verfolgen Sie alle Vorgänge. |
Allgemein |
Verfolgen Sie allgemeine Ereignisse. |
Keepalive |
Verfolgen Sie Keepalive-Nachrichten. |
normal |
Verfolgen Sie normale Ereignisse. |
Pakete |
Verfolgen Sie alle MSDP-Pakete. |
Politik |
Verarbeitung von Ablaufverfolgungsrichtlinien. |
Route |
Verfolgen Sie MSDP-Änderungen in der Routing-Tabelle. |
source-aktiv |
Verfolgen Sie quellenaktive Pakete. |
source-active-request |
Verfolgen Sie quellenaktive Anforderungspakete. |
source-active-response |
Verfolgen Sie quellenaktive Antwortpakete. |
Zustand |
Verfolgen Sie Zustandsübergänge. |
Aufgabe |
Verfolgen Sie die Aufgabenverarbeitung. |
Zeitschaltuhr |
Trace-Timer-Verarbeitung. |
Sie können die MSDP-Ablaufverfolgung für alle Peers, für alle Peers in einer bestimmten Gruppe oder für einen bestimmten Peer konfigurieren.
Im folgenden Beispiel ist die Ablaufverfolgung für alle Routingprotokollpakete aktiviert. Anschließend wird die Ablaufverfolgung eingegrenzt, um sich nur auf MSDP-Peers in einer bestimmten Gruppe zu konzentrieren. So konfigurieren Sie Ablaufverfolgungsvorgänge für MSDP:
Siehe auch
Deaktivieren von MSDP
Um MSDP auf dem Router zu deaktivieren, fügen Sie die disable folgende Anweisung ein:
disable;
Sie können MSDP global für alle Peers, für alle Peers in einer Gruppe oder für einen einzelnen Peer deaktivieren.
Global für alle MSDP-Peers auf den folgenden Hierarchieebenen:
[edit protocols msdp][edit logical-systems logical-system-name protocols msdp][edit routing-instances routing-instance-name protocols msdp][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp]
Für alle Peers in einer Gruppe auf den folgenden Hierarchieebenen:
[edit protocols msdp group group-name][edit logical-systems logical-system-name protocols msdp group group-name][edit routing-instances routing-instance-name protocols msdp group group-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp group group-name]
Für einen einzelnen Peer auf den folgenden Hierarchieebenen:
[edit protocols msdp peer address][edit protocols msdp group group-name peer address][edit logical-systems logical-system-name protocols msdp peer address][edit logical-systems logical-system-name protocols msdp group group-name peer address][edit routing-instances routing-instance-name protocols msdp peer address][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp peer address][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp group group-name peer address]
Wenn Sie MSDP auf Gruppenebene deaktivieren, wird jeder Peer in der Gruppe deaktiviert.
Beispiel: MSDP konfigurieren
Konfigurieren Sie einen Router so, dass er als PIM-Sparse-Mode-Rendezvouspunkt und MSDP-Peer fungiert:
[edit]
routing-options {
interface-routes {
rib-group ifrg;
}
rib-groups {
ifrg {
import-rib [inet.0 inet.2];
}
mcrg {
export-rib inet.2;
import-rib inet.2;
}
}
}
protocols {
bgp {
group lab {
type internal;
family any;
neighbor 192.168.6.18 {
local-address 192.168.6.17;
}
}
}
pim {
dense-groups {
224.0.1.39/32;
224.0.1.40/32;
}
rib-group mcrg;
rp {
local {
address 192.168.1.1;
}
}
interface all {
mode sparse-dense;
version 1;
}
}
msdp {
rib-group mcrg;
group lab {
peer 192.168.6.18 {
local-address 192.168.6.17;
}
}
}
}