Exemples : Configuration de MSDP
Comprendre MSDP
Le protocole MSDP (Multicast Source Discovery Protocol) est utilisé pour connecter les domaines de routage multicast. Il s’exécute généralement sur le même routeur que le point de rendez-vous en mode clairsemé (RP) PIM (Protocol Independent Multicast). Chaque routeur MSDP établit des contiguïtés avec des homologues MSDP internes et externes, de la même manière que BGP établit des pairs. Ces routeurs homologues s’informent mutuellement des sources actives au sein du domaine. Lorsqu’ils détectent des sources actives, les routeurs peuvent envoyer des messages de jointure explicite PIM en mode clairsemé à la source active.
L’homologue avec l’adresse IP la plus élevée écoute passivement un numéro de port bien connu et attend que le côté avec l’adresse IP la plus basse établisse une connexion TCP (Transmission Control Protocol). Lorsqu’un RP PIM en mode clairsemé qui exécute MSDP prend connaissance d’une nouvelle source locale, il envoie le type, la longueur et les valeurs (TLV) de la source active à ses homologues MSDP. Lorsqu’un TLV actif source est reçu, une vérification peer-reverse-path-forwarding (peer-RPF) (différente de la même qu’une vérification RPF multicast) est effectuée pour s’assurer que cet homologue se trouve dans le chemin qui mène au RP d’origine. Si ce n’est pas le cas, le TLV actif de la source est abandonné. Ce TLV est compté comme un message « rejeté » actif à la source.
La vérification RPF de l’homologue MSDP est différente des vérifications RPF normales effectuées par les routeurs multicast non-MSDP. L’objectif de la vérification RPF de l’homologue est d’empêcher les messages actifs à la source de tourner en boucle. Le routeur R accepte les messages actifs à la source provenant du routeur S uniquement à partir du routeur voisin N ou d’un membre d’un groupe de maillage MSDP.
S ------------------> N ------------------> R
Le routeur R (le routeur qui accepte ou rejette les messages source actifs) localise son voisin RPF homologue MSDP (routeur N) de manière déterministe. Une série de règles est appliquée dans un ordre particulier aux messages source actifs reçus, et la première règle qui s’applique détermine le voisin RPF pair. Tous les messages actifs à la source provenant d’autres routeurs sont rejetés.
Les six règles appliquées aux messages actifs à la source provenant du routeur S reçus au niveau du routeur R à partir du routeur N sont les suivantes :
Si le routeur N est à l’origine du message source-active (le routeur N est le routeur S), alors le routeur N est également le voisin pair-RPF, et ses messages source-active sont acceptés.
Si le routeur N est membre du groupe de maillage R du routeur ou s’il s’agit de l’homologue configuré, le routeur N est le voisin RPF de l’homologue et ses messages actifs sur la source sont acceptés.
Si le routeur N est le tronçon BGP suivant de la route RPF de multidiffusion active vers le routeur S (le routeur N a installé la route sur le routeur R), alors le routeur N est le voisin RPF pair, et ses messages actifs à la source sont acceptés.
Si le routeur N est un homologue BGP externe (EBGP) ou BGP interne (IBGP) du routeur R et que le dernier numéro de système autonome (AS) dans le chemin BGP AS vers le routeur S est identique au numéro AS du routeur N, alors le routeur N est le voisin RPF pair et ses messages actifs source sont acceptés.
Si le routeur N utilise le même tronçon suivant que le tronçon suivant du routeur S, alors le routeur N est le voisin RPF pair, et ses messages actifs à la source sont acceptés.
Si le routeur N ne répond à aucun de ces critères, il n’est pas un voisin pair-RPF MSDP et ses messages actifs sur la source sont rejetés.
Les homologues MSDP qui reçoivent des TLV actifs à la source peuvent être limités par les informations d’accessibilité BGP. Si le chemin d'accès AS des informations d'accessibilité de la couche réseau (NLRI) contient le numéro AS de l'homologue récepteur précédé de l'avant-dernier, l'homologue émetteur utilise l'homologue récepteur comme prochain saut pour cette source. Si les informations sur l’horizon fractionné ne sont pas reçues, l’homologue peut être élagué de la liste de distribution TLV active-source.
Pour plus d’informations sur la configuration des groupes de maillage MSDP, reportez-vous à la section Exemple : configuration de MSDP avec des limites de source active et des groupes de maillage.
Voir aussi
Configuration de MSDP
Pour configurer le protocole MSDP (Multicast Source Discovery Protocol), incluez l’instruction msdp suivante :
msdp { disable; active-source-limit { maximum number; threshold number; } data-encapsulation (disable | enable); export [ policy-names ]; group group-name { ... group-configuration ... } hold-time seconds; import [ policy-names ]; local-address address; keep-alive seconds; peer address { ... peer-configuration ... } rib-group group-name; source ip-prefix</prefix-length> { active-source-limit { maximum number; threshold number; } } sa-hold-time seconds; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier > <disable>; } group group-name { disable; export [ policy-names ]; import [ policy-names ]; local-address address; mode (mesh-group | standard); peer address { ... same statements as at the [edit protocols msdp peer address] hierarchy level shown just following ... } traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } } peer address { disable; active-source-limit { maximum number; threshold number; } authentication-key peer-key; default-peer; export [ policy-names ]; import [ policy-names ]; local-address address; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } } }
Vous pouvez inclure cette instruction aux niveaux hiérarchiques suivants :
[edit protocols][edit routing-instances routing-instance-name protocols][edit logical-systems logical-system-name protocols][edit logical-systems logical-system-name routing-instances routing-instance-name protocols]
Par défaut, MSDP est désactivé.
Voir aussi
Exemple : Configuration de MSDP dans une instance de routage
Cet exemple montre comment configurer MSDP dans une instance VRF.
Exigences
Avant de commencer :
Configurez les interfaces des routeurs.
Configurez un protocole de passerelle intérieure ou un routage statique. Voir la bibliothèque des protocoles de routage Junos OS pour les périphériques de routage.
Activez PIM. Reportez-vous à la section Présentation de PIM.
Aperçu
Vous pouvez configurer MSDP dans les types d’instances suivants :
Transfert
Pas de transfert
Routeur virtuel
Le VPLS
VRF (Anglais seulement)
MSDP est principalement utilisé dans une instance de routage pour prendre en charge les RP anycast sur le réseau, ce qui vous permet de configurer des RP redondants. L’adressage RP Anycast nécessite la prise en charge MSDP pour synchroniser les sources actives entre les RP.
Cet exemple inclut les paramètres MSDP suivants.
authentication-key : par défaut, les routeurs multicast acceptent et traitent tous les messages MSDP correctement formatés à partir de l’adresse homologue configurée. Ce comportement par défaut peut enfreindre les stratégies de sécurité dans de nombreuses organisations, car les messages MSDP proviennent par définition d'un autre domaine de routage qui échappe au contrôle des pratiques de sécurité de l'organisation du routeur multicast.
Le routeur peut authentifier les messages MSDP à l’aide de l’option de signature TCP Message Digest 5 (MD5) pour les sessions d’appairage MSDP. Cette authentification fournit une protection contre l’introduction de paquets usurpés dans une session d’appairage MSDP. Deux organisations mettant en uvre l’authentification MSDP doivent décider d’une clé lisible par l’homme sur leurs deux homologues. Cette clé est incluse dans le calcul de la signature MD5 pour chaque segment MSDP envoyé entre les deux homologues.
Vous configurez une clé d’authentification MSDP par pair, que l’homologue MSDP soit défini dans un groupe ou individuellement. Si vous configurez des clés d’authentification différentes pour le même homologue, l’une dans un groupe et l’autre individuellement, la clé individuelle est utilisée.
La clé homologue peut être une chaîne de texte comportant jusqu’à 16 lettres et chiffres. Les chaînes peuvent inclure n’importe quel caractère ASCII, à l’exception de (,), &, et [. Si vous incluez des espaces dans une clé d’authentification MSDP, placez tous les caractères entre guillemets ( » « ).
L’ajout, la suppression ou la modification d’une clé d’authentification MSDP dans une session d’appairage réinitialise la session MSDP existante et établit une nouvelle session entre les homologues MSDP concernés. Cet arrêt immédiat de la session permet d’éviter les retransmissions excessives et les éventuels délais d’expiration de la session dus à des clés incompatibles.
import and export : tous les protocoles de routage utilisent la table de routage pour stocker les routes qu’ils apprennent et pour déterminer les routes qu’ils annoncent dans leurs paquets de protocoles. La stratégie de routage vous permet de contrôler les routes que les protocoles de routage stockent dans la table de routage et récupèrent à partir de celle-ci.
Vous pouvez configurer une stratégie de routage globalement, pour un groupe ou pour un homologue individuel. Cet exemple montre comment configurer la stratégie pour un homologue individuel.
Si vous configurez la stratégie de routage au niveau du groupe, chaque homologue d'un groupe hérite de la stratégie de routage du groupe.
L’instruction import applique des stratégies aux messages actifs à la source importés dans le cache source actif à partir de MSDP. L’instruction export applique des stratégies aux messages actifs de la source exportés du cache actif de la source vers MSDP. Si vous spécifiez plusieurs stratégies, elles sont évaluées dans l’ordre spécifié, de la première à la dernière, et la première stratégie correspondante est appliquée à l’itinéraire. Si aucune correspondance n’est trouvée pour la stratégie d’importation, MSDP partage avec la table de routage uniquement les routes qui ont été apprises à partir des routeurs MSDP. Si aucune correspondance n’est trouvée pour la stratégie d’exportation, la stratégie d’exportation MSDP par défaut est appliquée aux entrées du cache source actif. Voir le tableau 1 pour une liste des conditions de correspondance.
Tableau 1 : conditions de correspondance du filtre de message source actif MSDP Condition de correspondance
Allumettes activées
interface
Interface(s) de routeur spécifiée(s) par nom ou adresse IP
voisin
Adresse voisine (l’adresse source dans l’en-tête IP du message source-actif)
filtre_route
Adresse de groupe multicast incorporée dans le message source-actif
filtre_adresse_source
Adresse de la source multicast incorporée dans le message source-active
local-address : identifie l’adresse du routeur que vous configurez en tant que routeur MSDP (le routeur local). Lorsque vous configurez MSDP, l’instruction local-address est requise. Le routeur doit également être un point de rendez-vous en mode clairsemé (RP) PIM (Protocol Independent Multicast).
peer : un routeur MSDP doit savoir quels routeurs sont ses homologues. Vous définissez explicitement les relations d’homologue en configurant les routeurs voisins qui sont les homologues MSDP du routeur local. Une fois les relations d’homologue établies, les homologues MSDP échangent des messages pour annoncer les sources de multidiffusion actives. Vous devez configurer au moins un homologue pour que MSDP fonctionne. Lorsque vous configurez MSDP, l’instruction homologue est requise. Le routeur doit également être un point de rendez-vous en mode clairsemé (RP) PIM (Protocol Independent Multicast).
Vous pouvez regrouper les homologues MSDP. Chaque groupe doit contenir au moins un pair. L’organisation des pairs en groupes est utile si vous souhaitez bloquer les sources de certains pairs et les accepter d’autres, ou définir des options de suivi sur un groupe et pas sur d’autres. Cet exemple montre comment configurer les homologues MSDP dans des groupes. Si vous configurez des homologues MSDP dans un groupe, chaque homologue d’un groupe hérite de toutes les options au niveau du groupe.
Topologie
La figure 1 illustre la topologie de cet exemple.
d’instance VRF
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set policy-options policy-statement bgp-to-ospf term 1 from protocol bgp set policy-options policy-statement bgp-to-ospf term 1 then accept set policy-options policy-statement sa-filter term bad-groups from route-filter 224.0.1.2/32 exact set policy-options policy-statement sa-filter term bad-groups from route-filter 224.77.0.0/16 orlonger set policy-options policy-statement sa-filter term bad-groups then reject set policy-options policy-statement sa-filter term bad-sources from source-address-filter 10.0.0.0/8 orlonger set policy-options policy-statement sa-filter term bad-sources from source-address-filter 127.0.0.0/8 orlonger set policy-options policy-statement sa-filter term bad-sources then reject set policy-options policy-statement sa-filter term accept-everything-else then accept set routing-instances VPN-100 instance-type vrf set routing-instances VPN-100 interface ge-0/0/0.100 set routing-instances VPN-100 interface lo0.100 set routing-instances VPN-100 route-distinguisher 10.255.120.36:100 set routing-instances VPN-100 vrf-target target:100:1 set routing-instances VPN-100 protocols ospf export bgp-to-ospf set routing-instances VPN-100 protocols ospf area 0.0.0.0 interface lo0.100 set routing-instances VPN-100 protocols ospf area 0.0.0.0 interface ge-0/0/0.100 set routing-instances VPN-100 protocols pim rp static address 11.11.47.100 set routing-instances VPN-100 protocols pim interface lo0.100 mode sparse-dense set routing-instances VPN-100 protocols pim interface lo0.100 version 2 set routing-instances VPN-100 protocols pim interface ge-0/0/0.100 mode sparse-dense set routing-instances VPN-100 protocols pim interface ge-0/0/0.100 version 2 set routing-instances VPN-100 protocols msdp export sa-filter set routing-instances VPN-100 protocols msdp import sa-filter set routing-instances VPN-100 protocols msdp group 100 local-address 10.10.47.100 set routing-instances VPN-100 protocols msdp group 100 peer 10.255.120.39 authentication-key “New York” set routing-instances VPN-100 protocols msdp group to_pe local-address 10.10.47.100 set routing-instances VPN-100 protocols msdp group to_pe peer 11.11.47.100
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer une instance de routage MSDP :
Configurez la stratégie d’exportation BGP.
[edit policy-options] user@host# set policy-statement bgp-to-ospf term 1 from protocol bgp user@host# set policy-statement bgp-to-ospf term 1 then accept
Configurez une stratégie qui filtre certaines adresses source et de groupe et accepte toutes les autres adresses source et de groupe.
[edit policy-options] user@host# set policy-statement sa-filter term bad-groups from route-filter 224.0.1.2/32 exact user@host# set policy-statement sa-filter term bad-groups from route-filter 224.0.1.2/32 exact user@host# set policy-statement sa-filter term bad-groups from route-filter 224.77.0.0/16 orlonger user@host# set policy-statement sa-filter term bad-groups then reject user@host# set policy-statement sa-filter term bad-sources from source-address-filter 10.0.0.0/8 orlonger user@host# set policy-statement sa-filter term bad-sources from source-address-filter 127.0.0.0/8 orlonger user@host# set policy-statement sa-filter term bad-sources then reject user@host# set policy-statement sa-filter term accept-everything-else then accept
Configurez le type d’instance de routage et les interfaces.
[edit routing-instances] user@host# set VPN-100 instance-type vrf user@host# set VPN-100 interface ge-0/0/0.100 user@host# set VPN-100 interface lo0.100
Configurez le séparateur d’itinéraire de l’instance de routage et la cible VRF.
[edit routing-instances] user@host# set VPN-100 route-distinguisher 10.255.120.36:100 user@host# set VPN-100 vrf-target target:100:1
Configurez OSPF dans l’instance de routage.
[edit routing-instances] user@host# set VPN-100 protocols ospf export bgp-to-ospf user@host# set VPN-100 protocols ospf area 0.0.0.0 interface lo0.100 user@host# set VPN-100 protocols ospf area 0.0.0.0 interface ge-0/0/0.100
Configurez PIM dans l’instance de routage.
[edit routing-instances] user@host# set VPN-100 protocols pim rp static address 11.11.47.100 user@host# set VPN-100 protocols pim interface lo0.100 mode sparse-dense user@host# set VPN-100 protocols pim interface lo0.100 version 2 user@host# set VPN-100 protocols pim interface ge-0/0/0.100 mode sparse-dense user@host# set VPN-100 protocols pim interface ge-0/0/0.100 version 2
Configurez MSDP dans l’instance de routage.
[edit routing-instances] user@host# set VPN-100 protocols msdp export sa-filter user@host# set VPN-100 protocols msdp import sa-filter user@host# set VPN-100 protocols msdp group 100 local-address 10.10.47.100 user@host# set VPN-100 protocols msdp group 100 peer 10.255.120.39 authentication-key “New York” [edit routing-instances] user@host# set VPN-100 protocols msdp group to_pe local-address 10.10.47.100 [edit routing-instances] user@host# set VPN-100 protocols msdp group to_pe peer 11.11.47.100
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit routing-instances] user@host# commit
Résultats
Confirmez votre configuration en entrant la commande show policy-options et la commande show routing-instances à partir du mode configuration. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show policy-options
policy-statement bgp-to-ospf {
term 1 {
from protocol bgp;
then accept;
}
}
policy-statement sa-filter {
term bad-groups {
from {
route-filter 224.0.1.2/32 exact;
route-filter 224.77.0.0/16 orlonger;
}
then reject;
}
term bad-sources {
from {
source-address-filter 10.0.0.0/8 orlonger;
source-address-filter 127.0.0.0/8 orlonger;
}
then reject;
}
term accept-everything-else {
then accept;
}
}
user@host# show routing-instances
VPN-100 {
instance-type vrf;
interface ge-0/0/0.100; ## 'ge-0/0/0.100' is not defined
interface lo0.100; ## 'lo0.100' is not defined
route-distinguisher 10.255.120.36:100;
vrf-target target:100:1;
protocols {
ospf {
export bgp-to-ospf;
area 0.0.0.0 {
interface lo0.100;
interface ge-0/0/0.100;
}
}
pim {
rp {
static {
address 11.11.47.100;
}
}
interface lo0.100 {
mode sparse-dense;
version 2;
}
interface ge-0/0/0.100 {
mode sparse-dense;
version 2;
}
}
msdp {
export sa-filter;
import sa-filter;
group 100 {
local-address 10.10.47.100;
peer 10.255.120.39 {
authentication-key "Hashed key found - Replaced with $ABC123abc123"; ## SECRET-DATA
}
}
group to_pe {
local-address 10.10.47.100;
peer 11.11.47.100;
}
}
}
}
Vérification
Pour vérifier la configuration, exécutez les commandes suivantes :
show msdp instance VPN-100
show msdp source-active VPN-100
show instance d’utilisation multicast VPN-100
show table de routage VPN-100.inet.4
Configuration de l’interface pour accepter le trafic provenant d’une source distante
Vous pouvez configurer une interface entrante pour qu’elle accepte le trafic multicast provenant d’une source distante. Une source distante est une source qui ne se trouve pas sur le même sous-réseau que l’interface entrante. La figure 2 montre une telle topologie, où R2 se connecte à la source R1 sur un sous-réseau et à l’interface entrante sur R3 (ge-1/3/0.0 dans la figure) sur un autre sous-réseau.
distante
Dans cette topologie, R2 est un périphérique pass-through n’exécutant pas PIM, donc R3 est le premier routeur de saut pour les paquets de multicast envoyés à partir de R1. Étant donné que R1 et R3 se trouvent dans des sous-réseaux différents, le comportement par défaut de R3 est de ne pas considérer R1 comme une source distante. Toutefois, vous pouvez faire en sorte que R3 accepte le trafic multicast de R1 en l’activant accept-remote-source sur l’interface cible.
Pour accepter le trafic provenant d’une source distante :
Voir aussi
Exemple : Configuration de MSDP avec des limites de source active et des groupes de maillage
Cet exemple montre comment configurer MSDP pour filtrer les messages actifs à la source et limiter le flot de messages actifs à la source.
Exigences
Avant de commencer :
Configurez les interfaces des routeurs.
Configurez un protocole de passerelle intérieure ou un routage statique. Voir la bibliothèque des protocoles de routage Junos OS pour les périphériques de routage.
Activez le mode clairsemé PIM. Reportez-vous à la section Présentation de PIM.
Configurez le routeur en tant que RP PIM en mode clairsemé. Reportez-vous à la section Configuration des RP PIM locaux.
Aperçu
Un routeur intéressé par les messages MSDP, tel qu’un RP, peut être amené à traiter un grand nombre de messages MSDP, en particulier les messages actifs à la source, provenant d’autres routeurs. Étant donné qu’un routeur peut avoir besoin d’examiner, de traiter et de créer des tables d’état pour de nombreux paquets MSDP, il est possible qu’une attaque par déni de service (DoS) basée sur MSDP soit lancée sur un routeur exécutant MSDP. Pour minimiser cette possibilité, vous pouvez configurer le routeur pour limiter le nombre de messages actifs de la source qu’il accepte. En outre, vous pouvez configurer un seuil pour l’application de la détection précoce aléatoire (RED) afin d’abandonner certains messages source actifs MSDP, mais pas tous.
Par défaut, le routeur accepte 25 000 messages actifs de la source avant d’ignorer le reste. La limite peut être comprise entre 1 et 1 000 000. La limite s’applique à la fois au nombre de messages et au nombre d’homologues MSDP.
Par défaut, le routeur accepte 24 000 messages source-actifs avant d’appliquer le profil RED pour éviter une éventuelle attaque par déni de service. Ce nombre peut également être compris entre 1 et 1 000 000. Les 1000 messages suivants sont filtrés par le profil RED et les messages acceptés sont traités. Si vous ne configurez aucun profil d’interruption (ce qui n’est pas le cas dans cet exemple), RED est toujours en vigueur et fonctionne comme le principal mécanisme de gestion de l’encombrement. Dans le profil d’abandon RED par défaut, lorsque le niveau de remplissage de la file d’attente de paquets est de 0 %, la probabilité d’abandon est de 0 %. Lorsque le niveau de remplissage est de 100 %, la probabilité d’abandon est de 100 %.
Le routeur ignore les messages actifs à la source contenant des paquets TCP encapsulés. La multidiffusion n’utilise pas TCP ; Les segments à l’intérieur des messages actifs à la source sont très probablement le résultat de l’activité des vers.
Le nombre configuré pour le seuil doit être inférieur au nombre configuré pour le nombre maximal de sources MSDP actives.
Vous pouvez configurer une limite de sources actives globalement, pour un groupe ou pour un pair. Si des limites de sources actives sont configurées à plusieurs niveaux de la hiérarchie (comme illustré dans cet exemple), elles sont toutes appliquées.
Vous pouvez configurer une limite de source active pour une plage d’adresses ainsi que pour un homologue spécifique. Une limite de source active par source utilise un préfixe IP et une longueur de préfixe au lieu d’une adresse spécifique. Vous pouvez configurer plus d’une limite de sources actives par source. La correspondance la plus longue détermine la limite.
Les limites de sources actives par source peuvent être combinées avec les limites de sources actives au niveau de la hiérarchie des pairs, des groupes et des instances globales. Les limites par source sont appliquées avant tout autre type de limite de source active. Les limites sont testées dans l’ordre suivant :
Par source
Par pair ou par groupe
Par instance
Un message source actif doit « dépasser » toutes les limites établies avant d’être accepté. Par exemple, si une source est configurée avec une limite de source active de 10 000 groupes multicast actifs et que l’instance est configurée avec une limite de 5 000 (et qu’aucune autre source ou limite n’est configurée), seuls 5 000 messages source actifs sont acceptés à partir de cette source.
Les groupes de maillage MSDP sont des groupes d’homologues configurés dans une topologie à maillage complet qui limite l’inondation de messages actifs à la source vers des homologues voisins. Chaque membre d’un groupe de maillage doit avoir une connexion homologue avec tous les autres membres d’un groupe de maillage. Lorsqu’un message source actif est reçu d’un membre d’un groupe de maillage, le message source actif est toujours accepté, mais n’est pas envoyé aux autres membres du même groupe de maillage. Toutefois, le message source-actif est inondé vers des homologues de groupes non maillés ou des membres d’autres groupes de maillage. Par défaut, les règles de flooding standard s’appliquent si mesh-group n’est pas spécifié.
Lors de la configuration des groupes de maillage MSDP, vous devez configurer tous les membres de la même manière. Si vous ne configurez pas un maillage complet, un flooding excessif de messages actifs à la source peut se produire.
Une application courante pour les groupes de maillage MSDP est le contournement de vérification peer-reverse-path-forwarding (peer-RPF). Par exemple, s’il y a deux homologues MSDP à l’intérieur d’un système autonome (AS) et qu’un seul d’entre eux a une session MSDP externe vers un autre AS, l’homologue MSDP interne rejette souvent les messages entrants actifs de la source relayés par l’homologue avec le lien externe. Le rejet se produit parce que l’homologue MSDP externe doit être accessible par l’homologue MSDP interne via le saut suivant vers la source dans un autre AS, et cette condition de saut suivant n’est pas certaine. Pour éviter les rejets, configurez un groupe de maillage MSDP sur l’homologue MSDP interne afin qu’il accepte toujours les messages actifs de la source.
Une autre façon de contourner la vérification pair-RPF consiste à configurer un homologue par défaut. Dans les réseaux avec un seul homologue MSDP, en particulier les réseaux stub, le message source actif doit toujours être accepté. Un homologue MSDP par défaut est un homologue MSDP à partir duquel tous les messages actifs à la source sont acceptés sans effectuer la vérification RPF de l’homologue. Vous pouvez établir un homologue par défaut au niveau de l’homologue ou du groupe en incluant l’instruction default-peer .
Dans cet exemple, le tableau 2 explique comment les inondations sont gérées par les pairs. .
Message actif-source reçu de |
Message actif source inondé vers |
Le message source-actif n’est pas inondé |
|---|---|---|
Peer 21 |
Pair 11, Peer 12, Peer 13, Peer 31, Peer 32 |
Peer 22 |
Pair 11 |
Peer 21, Peer 22, Peer 31, Peer 32 |
Pair 12, Peer 13 |
Peer 31 |
Pair 21, Peer 22, Peer 11, Peer 12, Peer 13, Peer 32 |
– |
La figure 3 illustre le flooding de messages source-actif entre différents groupes de maillage et homologues au sein d’un même groupe de maillage.
de messages actifs à la source
Cet exemple inclut les paramètres suivants :
active-source-limit maximum 10000 : applique une limite de 10 000 sources actives à tous les autres homologues.
data-encapsulation disable : sur un routeur RP utilisant MSDP, désactive l’encapsulation par défaut des données multicast reçues dans les messages d’enregistrement MSDP à l’intérieur des messages actifs source MSDP.
L’encapsulation des données MSDP concerne principalement les sources en rafale de trafic multicast. Les sources qui n’envoient qu’un seul paquet toutes les quelques minutes ont des problèmes avec le délai d’expiration des relations d’état entre les sources et leurs groupes de multidiffusion (S,G). Les routeurs perdent des données lorsqu’ils tentent de rétablir des tables d’état (S,G). Par conséquent, les messages de registre multicast contiennent des données, et cette encapsulation des données dans les messages MSDP actifs sur la source peut être activée ou désactivée via la configuration.
Par défaut, l’encapsulation des données MSDP est activée. Un RP exécutant MSDP prend les paquets de données arrivant dans le message d'enregistrement de la source et encapsule les données à l'intérieur d'un message MSDP actif à la source.
Toutefois, l’encapsulation de données crée à la fois une entrée de cache de transfert multicast dans la table inet.1 (également appelée table de transfert) et une entrée de table de routage dans la table inet.4 . Sans encapsulation des données, MSDP crée uniquement une entrée de table de routage dans la table inet.4 . Dans certaines circonstances, telles que la présence de vers Internet ou d'autres formes d'attaque DoS, la table de transfert du routeur peut se remplir de ces entrées. Pour éviter que la table de transfert ne se remplisse d’entrées MSDP, vous pouvez configurer le routeur pour qu’il n’utilise pas l’encapsulation de données MSDP. Toutefois, si vous désactivez l’encapsulation des données, le routeur ignore et ignore les données encapsulées. Sans encapsulation des données, les applications multicast avec des sources en rafale ayant des intervalles de transmission supérieurs à environ 3 minutes peuvent ne pas fonctionner correctement.
group MSDP-group local-address 10.1.2.3 : spécifie l’adresse du routeur local (ce routeur).
group MSDP-group mode mesh-group : spécifie que tous les homologues appartenant au groupe MSDP-group sont membres d’un groupe de maillage.
group MSDP-group peer 10.10.10.10 : empêche l’envoi de messages actifs à la source vers l’homologue voisin 10.10.10.10.
group MSDP-group peer 10.10.10.10 active-source-limit maximum 7500 : applique une limite de 7500 sources actives à l’homologue MSDP 10.10.10.10 dans le groupe MSDP-group.
peer 10.0.0.1 active-source-limit maximum 5000 threshold 4000 : applique une limite de 4000 sources actives et une limite de 5000 sources actives à l’homologue MSDP 10.0.0.1.
source 10.1.0.0/16 active-source-limit maximum 500 : applique une limite de 500 sources actives à n’importe quelle source sur le réseau 10.1.0.0/16.
Topologie
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
set protocols msdp data-encapsulation disable set protocols msdp active-source-limit maximum 10000 set protocols msdp peer 10.0.0.1 active-source-limit maximum 5000 set protocols msdp peer 10.0.0.1 active-source-limit threshold 4000 set protocols msdp source 10.1.0.0/16 active-source-limit maximum 500 set protocols msdp group MSDP-group mode mesh-group set protocols msdp group MSDP-group local-address 10.1.2.3 set protocols msdp group MSDP-group peer 10.10.10.10 active-source-limit maximum 7500
Procédure étape par étape
L’exemple suivant nécessite que vous naviguiez à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer les routes actives source MSDP et les groupes de maillage :
(Facultatif) Désactivez l’encapsulation des données.
[edit protocols msdp] user@host# set data-encapsulation disable
Configurez les limites de la source active.
[edit protocols msdp] user@host# set peer 10.0.0.1 active-source-limit maximum 5000 threshold 4000 user@host# set group MSDP-group peer 10.10.10.10 active-source-limit maximum 7500 user@host# set active-source-limit maximum 10000 user@host# set source 10.1.0.0/16 active-source-limit maximum 500
(Facultatif) Configurez le seuil à partir duquel les messages d’avertissement sont consignés et le délai entre les messages de journal.
[edit protocols msdp] user@host# set active-source-limit log-warning 80 user@host# set active-source-limit log-interval 20
Configurez le groupe de maillage.
[edit protocols msdp] user@host# set group MSDP-group mode mesh-group user@host# set group MSDP-group peer 10.10.10.10 user@host# set group MSDP-group local-address 10.1.2.3
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit routing-instances] user@host# commit
Résultats
Confirmez votre configuration en entrant la commande show protocols .
user@host# show protocols
msdp {
data-encapsulation disable;
active-source-limit {
maximum 10000;
}
peer 10.0.0.1 {
active-source-limit {
maximum 5000;
threshold 4000;
}
}
source 10.1.0.0/16 {
active-source-limit {
maximum 500;
}
}
group MSDP-group {
mode mesh-group;
local-address 10.1.2.3;
peer 10.10.10.10 {
active-source-limit {
maximum 7500;
}
}
}
}
Vérification
Pour vérifier la configuration, exécutez les commandes suivantes :
show msdp source-active
Afficher les statistiques MSDP
Traçage du trafic du protocole MSDP
Les opérations de suivi enregistrent des messages détaillés sur le fonctionnement des protocoles de routage, tels que les différents types de paquets de protocole de routage envoyés et reçus, et les actions de stratégie de routage. Vous pouvez spécifier les opérations de traçage qui sont consignées en incluant des indicateurs de suivi spécifiques. Le tableau suivant décrit les indicateurs que vous pouvez inclure.
Drapeau |
Description |
|---|---|
tout |
Tracez toutes les opérations. |
Généralités |
Tracez les événements généraux. |
Keepalive (en anglais seulement) |
Tracez les messages keepalive. |
normal |
Tracez les événements normaux. |
Paquets |
Tracez tous les paquets MSDP. |
politique |
Traitement des stratégies de suivi. |
route |
Suivez les modifications MSDP dans la table de routage. |
source-active |
Tracez les paquets actifs de la source. |
demande_active_source |
Tracez les paquets de requête actifs de la source. |
réponse-active-source |
Tracez les paquets de réponse actifs de la source. |
état |
Tracez les transitions d’état. |
tâche |
Suivre le traitement des tâches. |
minuteur |
Traitement du minuteur de traçage. |
Vous pouvez configurer le suivi MSDP pour tous les homologues, pour tous les pairs d’un groupe particulier ou pour un homologue particulier.
Dans l’exemple suivant, le suivi est activé pour tous les paquets du protocole de routage. Ensuite, le traçage est restreint pour se concentrer uniquement sur les pairs MSDP d’un groupe particulier. Pour configurer les opérations de suivi pour MSDP :
Voir aussi
Désactivation de MSDP
Pour désactiver MSDP sur le routeur, incluez l’instruction disable suivante :
disable;
Vous pouvez désactiver MSDP globalement pour tous les pairs, pour tous les pairs d’un groupe ou pour un pair individuel.
Globalement pour tous les homologues MSDP aux niveaux hiérarchiques suivants :
[edit protocols msdp][edit logical-systems logical-system-name protocols msdp][edit routing-instances routing-instance-name protocols msdp][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp]
Pour tous les pairs d’un groupe aux niveaux hiérarchiques suivants :
[edit protocols msdp group group-name][edit logical-systems logical-system-name protocols msdp group group-name][edit routing-instances routing-instance-name protocols msdp group group-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp group group-name]
Pour un homologue individuel aux niveaux hiérarchiques suivants :
[edit protocols msdp peer address][edit protocols msdp group group-name peer address][edit logical-systems logical-system-name protocols msdp peer address][edit logical-systems logical-system-name protocols msdp group group-name peer address][edit routing-instances routing-instance-name protocols msdp peer address][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp peer address][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp group group-name peer address]
Si vous désactivez MSDP au niveau du groupe, tous les pairs du groupe sont désactivés.
Exemple : Configuration de MSDP
Configurez un routeur pour qu’il joue le rôle de point de rendez-vous PIM en mode clairsemé et d’homologue MSDP :
[edit]
routing-options {
interface-routes {
rib-group ifrg;
}
rib-groups {
ifrg {
import-rib [inet.0 inet.2];
}
mcrg {
export-rib inet.2;
import-rib inet.2;
}
}
}
protocols {
bgp {
group lab {
type internal;
family any;
neighbor 192.168.6.18 {
local-address 192.168.6.17;
}
}
}
pim {
dense-groups {
224.0.1.39/32;
224.0.1.40/32;
}
rib-group mcrg;
rp {
local {
address 192.168.1.1;
}
}
interface all {
mode sparse-dense;
version 1;
}
}
msdp {
rib-group mcrg;
group lab {
peer 192.168.6.18 {
local-address 192.168.6.17;
}
}
}
}