Exemples : Configuration du mode clairsemé PIM
Comprendre le mode clairsemé PIM
Un domaine en mode clairsemé PIM (Protocol Independent Multicast) utilise le transfert RPF (Reverse-Path Forwarding) pour créer un chemin entre une source de données et le récepteur qui demande les données. Lorsqu’un destinataire émet une demande de jointure explicite, une vérification RPF est déclenchée. Un message de jonction PIM (*,G) est envoyé vers le RP à partir du routeur désigné du récepteur (DR). (Par définition, ce message est en fait appelé un message join/prune, mais pour plus de clarté dans cette description, il est appelé join ou prune, selon son contexte.) Le message de jointure est multicast saut par saut en amont vers le groupe ALL-PIM-ROUTERS (224.0.0.13) au moyen de l’interface RPF de chaque routeur jusqu’à ce qu’il atteigne le RP. Le routeur RP reçoit le message de jointure PIM (*,G) et ajoute l’interface sur laquelle il a été reçu à la liste des interfaces sortantes (OIL) de l’entrée d’état de transfert de l’arborescence des points de rendez-vous (RPT). Cela construit le RPT reliant le récepteur au RP. Le RPT reste en vigueur, même si aucune source active ne génère de trafic.
L’état (les entrées (*,G) ou (S,G) sont les informations utilisées pour transférer des paquets unicast ou multicast. S est l’adresse IP source, G est l’adresse du groupe multicast et * représente toute source envoyant au groupe G. Les routeurs gardent une trace de l’état de transfert multicast pour les interfaces entrantes et sortantes de chaque groupe.
Lorsqu’une source devient active, la DR source encapsule les paquets de données multicast dans un message de registre PIM et les envoie par unicast au routeur RP.
Si le routeur RP a des récepteurs intéressés dans le domaine PIM en mode clairsemé, il envoie un message de jointure PIM vers la source pour construire une arborescence du plus court chemin (SPT) vers la source. La source envoie des paquets multicast sur le réseau local, et la DR source encapsule les paquets dans un message de registre PIM et transmet le message au routeur RP au moyen d’unicast. Le routeur RP reçoit les messages du registre PIM de la source et ajoute ainsi une nouvelle source à l’arborescence de distribution, en gardant une trace des sources dans une table PIM. Une fois qu’un routeur RP reçoit des paquets en mode natif (avec S,G), il envoie un message d’arrêt de registre pour arrêter de recevoir les messages de registre au moyen d’unicast.
Dans l’application réelle, de nombreux récepteurs avec plusieurs SPT sont impliqués dans un flux de trafic multicast. Pour illustrer le processus, nous suivons le trafic multicast du routeur RP vers un récepteur. Dans ce cas, le routeur RP commence à envoyer des paquets multicast le long du RPT vers le DR du récepteur pour qu’ils soient livrés aux récepteurs intéressés. Lorsque la récupération d’urgence du récepteur reçoit le premier paquet du RPT, la récupération d’urgence envoie un message de jonction PIM vers la récupération d’urgence source pour commencer à construire un SPT vers la source. Lorsque la récupération d’urgence source reçoit le message de jonction PIM de la récupération d’urgence du récepteur, elle commence à envoyer du trafic vers le bas de tous les SPT. Lorsque le premier paquet multicast est reçu par le DR du récepteur, le DR du récepteur envoie un message d’élagage PIM au routeur RP pour empêcher l’envoi de paquets en double via le RPT. À son tour, le routeur RP cesse d’envoyer des paquets multicast à la DR du récepteur et envoie un message d’élagage PIM pour cette source sur la RPT vers la DR source afin d’arrêter la livraison des paquets multicast au routeur RP à partir de cette source particulière.
Si le routeur RP reçoit un message de registre PIM d’une source active, mais qu’aucun récepteur intéressé n’est intéressé dans le domaine PIM en mode clairsemé, il ajoute tout de même la source active dans la table PIM. Toutefois, après avoir ajouté la source active dans la table PIM, le routeur RP envoie un message d’arrêt du registre. Le routeur RP découvre l’existence de la source active et n’a plus besoin de recevoir la publicité de la source (qui utilise des ressources).
Si le nombre de messages de jointure PIM dépasse la MTU configurée, les messages sont fragmentés en mode clairsemé PIM IPv6. Pour éviter la fragmentation des messages de jointure PIM, le trafic multicast reçoit la MTU de l’interface au lieu de la MTU du chemin.
Les principales caractéristiques du mode clairsemé PIM sont les suivantes :
Les routeurs avec récepteurs en aval rejoignent une arborescence PIM en mode clairsemé par le biais d’un message de jointure explicite.
Les RP PIM en mode clairsemé sont les routeurs sur lesquels les récepteurs rencontrent les sources.
Les expéditeurs annoncent leur existence à un ou plusieurs RP, et les récepteurs interrogent les RP pour trouver des sessions de multidiffusion.
Une fois que les récepteurs obtiennent du contenu de sources via le RP, le routeur de dernier saut (le routeur le plus proche du récepteur) peut éventuellement supprimer le RP de l’arborescence de distribution partagée (*,G) si la nouvelle arborescence basée sur la source (S,G) est plus courte. Les destinataires peuvent alors obtenir du contenu directement à partir de la source.
L’aspect de transition du mode clairsemé PIM de l’arborescence partagée à l’arborescence basée sur la source est l’une des principales caractéristiques de PIM, car il empêche la surcharge du RP ou des liens centraux environnants.
Il existe des problèmes connexes concernant la source, les RP et les récepteurs lorsque le multicast en mode clairsemé est utilisé :
Les sources doivent pouvoir envoyer des messages à tous les RP.
Les RP doivent tous se connaître.
Les destinataires doivent envoyer des messages de jointure explicites à un RP connu.
Au départ, les receveurs n’ont besoin de connaître qu’un seul RP (ils apprennent plus tard à en connaître d’autres).
Les récepteurs peuvent s’élaguer explicitement à partir d’un arbre.
Les récepteurs qui ne passent jamais à une arborescence basée sur les sources exécutent en fait des arborescences basées sur le cœur (CBT).
Le mode clairsemé PIM dispose de fonctionnalités standard pour tous ces problèmes.
Point de rendez-vous
Le routeur RP sert de point d’échange d’informations pour les autres routeurs. Tous les routeurs d’un domaine PIM doivent fournir un mappage à un routeur RP. C’est le seul routeur qui a besoin de connaître les sources actives d’un domaine, les autres routeurs ont juste besoin de savoir comment atteindre le RP. De cette façon, le RP fait correspondre les récepteurs aux sources.
Le routeur RP se trouve en aval de la source et constitue l’une des extrémités de l’arborescence du chemin le plus court. Comme le montre la Figure 1, le routeur RP se trouve en amont du récepteur et forme donc une extrémité de l’arbre du point de rendez-vous.
L’avantage d’utiliser le RP comme point d’échange d’informations est qu’elle réduit la quantité d’état dans les routeurs non-RP. Aucun flooding réseau n’est nécessaire pour fournir aux routeurs non-RP des informations sur les sources actives.
Options de mappage RP
Les RP peuvent être appris par l’un des mécanismes suivants :
Configuration statique
Anycast RP
RP automatique
Routeur d’amorçage
Nous recommandons un mappage RP statique avec anycast RP et un routeur d’amorçage (BSR) avec une configuration auto-RP, car le mappage statique offre tous les avantages d’un routeur d’amorçage et d’un auto-RP sans la complexité des mécanismes BSR et auto-RP complets.
Voir aussi
Comprendre les routeurs désignés
Dans un domaine PIM en mode clairsemé (PIM-SM), il existe deux types de routeurs désignés (DR) à prendre en compte :
La récupération d’état du récepteur envoie des messages de jonction PIM et d’élagage PIM du réseau récepteur vers le RP.
La DR source envoie des messages de registre PIM du réseau source au RP.
Les routeurs PIM voisins diffusent des messages d’accueil PIM périodiques toutes les 30 secondes (valeur par défaut). Le message PIM hello inclut généralement une valeur de temps d’attente que le voisin doit utiliser, mais ce n’est pas une obligation. Si le message PIM hello n’inclut pas de valeur de temps d’attente, une valeur de délai d’expiration par défaut (dans Junos OS, 105 secondes) est utilisée. À la réception d’un message PIM hello, un routeur stocke l’adresse IP et la priorité de ce voisin. Si les priorités de récupération d’urgence correspondent, le routeur avec l’adresse IP la plus élevée est sélectionné comme récupération d’urgence.
En cas de défaillance d’une récupération d’urgence, une nouvelle récupération est sélectionnée à l’aide du même processus de comparaison des adresses IP.
La priorité de reprise après sinistre est spécifique au mode clairsemé PIM ; conformément à la RFC 3973, la priorité PIM DR ne peut pas être configurée explicitement en mode PIM Dense Mode (PIM-DM) dans IGMPv2 - PIM-DM ne prend en charge que les DR avec IGMPv1.
Services de tunnels PICs et multicast
Sur les routeurs Juniper Networks, les paquets de données sont encapsulés et désencapsulés dans des tunnels par le matériel et non par le logiciel exécuté sur le processeur du routeur. Le matériel utilisé pour créer des interfaces de tunnel sur les routeurs M Series et T Series est un PIC de services de tunnel. Si Juniper Networks M Series routeurs de périphérie multiservice et les routeurs centraux Juniper Networks T Series sont configurés en tant que points de rendez-vous ou en tant que DR en mode clairsemé PIM IP version 4 (IPv4) connectés à une source, un PIC des services de tunnel est requis. Juniper Networks MX Series Les routeurs de services Ethernet n’ont pas besoin de PIC de services de tunnel. Toutefois, sur les routeurs MX Series, vous devez activer les services de tunnel avec l’instruction tunnel-services sur une ou plusieurs combinaisons FPC et PIC en ligne au niveau de la [edit chassis fpc number pic number] hiérarchie.
Pour des raisons de redondance, il est fortement recommandé que chaque périphérique de routage dispose de plusieurs PIC de services de tunnel. Dans le cas des routeurs MX Series, il est recommandé de configurer plusieurs tunnel-services instructions.
Nous recommandons également d’installer (ou de configurer) les PIC de tunnel sur différents FPC. Si vous n’avez qu’un seul PIC de tunnel ou si vous avez plusieurs PICs de tunnel installés sur un seul FPC et que ce FPC est supprimé, la session de multidiffusion ne s’affichera pas. Le fait d’avoir des PIC de tunnel redondants sur des FPC distincts peut aider à garantir qu’au moins un PIC de tunnel est disponible et que le multicast continuera à fonctionner.
Sur les routeurs MX Series, la configuration redondante ressemble à l’exemple suivant :
[edit chassis] user@mx-host# set fpc 1 pic 0 tunnel-services bandwidth 1g user@mx-host# set fpc 2 pic 0 tunnel-services bandwidth 1g
En mode PIM clairsemé, la DR source prend les paquets multicast initiaux et les encapsule dans des messages de registre PIM. La reprise après sinistre source monodiffuse ensuite les paquets vers le routeur RP PIM en mode clairsemé, où le message de registre PIM est désencapsulé.
Lorsqu’un routeur est configuré en tant que routeur RP PIM en mode clairsemé (en spécifiant une adresse à l’aide de l’instruction address au niveau de la [edit protocols pim rp local] hiérarchie) et qu’un PIC de tunnel est présent sur le routeur, une interface de désencapsulation du registre PIM, ou interface , est automatiquement créée. L’interface reçoit les messages du registre PIM et les désencapsule à l’aide du matériel.
Si le mode clairsemé PIM est activé et qu’un PIC de services de tunnel est présent sur le routeur, une interface d’encapsulation de registre PIM (interface pe ) est automatiquement créée pour chaque adresse RP. L’interface pe est utilisée pour encapsuler les paquets de données sources et envoyer les paquets aux adresses RP sur le PIM DR et le PIM RP. L’interface pe reçoit les messages du registre PIM et encapsule les paquets à l’aide du matériel.
Ne confondez pas les interfaces matérielles configurables pe et avec les interfaces logicielles pime et pimd non configurables. Les deux paires encapsulent et désencapsulent les paquets multicast et sont créées automatiquement. Toutefois, les interfaces pe et n’apparaissent que si un PIC des services de tunnel est présent. Les interfaces pime et pimd ne sont pas utiles dans les situations nécessitant les interfaces pe et .
Si la DR source est le RP, il n’y a pas besoin de messages de registre PIM et, par conséquent, pas besoin d’un PIC des services de tunnel.
Lorsque le mode clairsemé PIM est utilisé avec la version IP 6 (IPv6), un PIC de tunnel est requis sur le RP, mais pas sur la récupération d’urgence PIM IPv6. L’absence d’exigence de PIC de tunnel sur la récupération d’urgence IPv6 s’applique uniquement au mode clairsemé PIM IPv6 et ne doit pas être confondue avec les exigences du mode clairsemé PIM IPv4.
Le Tableau 1 présente la matrice complète des exigences du PIC de tunnel PIM IPv4 et IPv6.
IP Version |
PIC de tunnel sur RP |
PIC de tunnel sur DR |
|---|---|---|
IPv4 (en anglais) |
Oui |
Oui |
IPv6 (en anglais) |
Oui |
Non |
Activation du mode clairsemé PIM
En mode PIM clairsemé (PIM-SM), l’hypothèse est que très peu de récepteurs possibles veulent des paquets d’une source, de sorte que le réseau établit et envoie des paquets uniquement sur les branches qui ont au moins une feuille indiquant (par message) un désir pour le trafic. Les WAN sont des réseaux adaptés à un fonctionnement en mode clairsemé.
À partir de Junos OS version 16.1, PIM est désactivé par défaut. Lorsque vous activez PIM, il fonctionne en mode clairsemé par défaut. Vous n’avez pas besoin de configurer le protocole IGMP (Internet Group Management Protocol) version 2 pour une configuration en mode clairsemé. Une fois que vous avez activé PIM, par défaut, la version 2 d’IGMP est également activée.
Junos OS utilise PIM version 2 pour le mode point de rendez-vous (RP) (au niveau de la hiérarchie) et le mode d’interface [edit protocols pim rp static address address] (au niveau de la [edit protocols pim interface interface-name] hiérarchie).
Tous les systèmes d’un sous-réseau doivent exécuter la même version de PIM.
Vous pouvez configurer le mode clairsemé PIM globalement ou pour une instance de routage. Cet exemple montre comment configurer globalement le mode clairsemé PIM sur toutes les interfaces. Il montre également comment configurer un routeur RP statique et comment configurer les routeurs non-RP.
Pour configurer les propriétés du routeur pour le mode clairsemé PIM :
Voir aussi
Configuration de l’équilibrage de charge de jointure PIM
Par défaut, les messages de jointure PIM sont envoyés vers une source en fonction de la vérification de la table de routage RPF. S’il existe plusieurs chemins d’accès à coût égal vers la source, une interface en amont est choisie pour envoyer le message de jointure. Cette interface est également utilisée pour l’ensemble du trafic en aval, de sorte que même si d’autres interfaces sont disponibles, la charge multicast est concentrée sur une interface et un périphérique de routage en amont.
Pour le mode clairsemé PIM, vous pouvez configurer l’équilibrage de charge de jointure PIM pour répartir les messages de jointure et le trafic sur les chemins ascendants à coût égal (interfaces et périphériques de routage) fournis par le routage unicast vers une source. L’équilibrage de charge de jointure PIM est uniquement pris en charge pour les configurations PIM en mode clairsemé.
L’équilibrage de charge de jointure PIM est pris en charge sur les VPN multicast draft-rosen (également appelés VPN multicast PIM doubles) et les VPN multicast basés sur BGP multiprotocoles (également appelés multicast VPN de couche 3 nouvelle génération). Lorsque l’équilibrage de charge de jointure PIM est activé dans un scénario VPN de couche 3 draft-rosen, l’équilibrage de charge est réalisé en fonction du nombre de jointures pour les périphériques de routage PE distants, et non pour les périphériques de routage P intermédiaires.
Si une route VPN de transfert multichemin BGP (IBGP) interne est disponible, Junos OS utilise la route VPN de transfert multichemin pour envoyer des messages de jointure aux routeurs PE distants afin d’obtenir un équilibrage de charge sur le VPN.
Par défaut, lorsque plusieurs jointures PIM sont reçues pour différents groupes, toutes les jointures sont envoyées à la même passerelle en amont choisie par le protocole de routage unicast. Même s’il existe plusieurs chemins à coût égal disponibles, ces chemins alternatifs ne sont pas utilisés pour distribuer le trafic multicast de la source vers les différents groupes.
Lorsque l’équilibrage de charge de jointure PIM est configuré, les jointures PIM sont réparties de manière égale entre toutes les interfaces et voisins en amont à coût égal. Chaque nouvelle jointure déclenche la sélection de l’interface en amont et du voisin les moins chargés. S’il existe plusieurs voisins sur la même interface (par exemple, sur un réseau local), l’équilibrage de charge de jointure conserve une valeur pour chacun des voisins et distribue également les jointures multicast (et le trafic en aval) entre eux.
Le nombre de jointures pour les interfaces et les voisins est géré globalement, et non par source. Par conséquent, il n’y a aucune garantie que les jointures d’une source particulière soient équilibrées en charge. Toutefois, les jointures de toutes les sources et de tous les groupes connus du périphérique de routage sont équilibrées en charge. Il n’y a pas non plus de moyen administratif de donner la préférence à un voisin par rapport à un autre : tous les chemins à coût égal sont traités de la même manière.
Vous pouvez configurer le filtrage des messages globalement ou pour une instance de routage. Cet exemple montre la configuration globale.
Vous configurez l’équilibrage de charge de jointure PIM sur les routeurs non-RP du domaine PIM.
Voir aussi
Modification du délai d’expiration de l’état de jointure
Cette section décrit comment configurer le délai d’expiration de l’état de jointure.
Un routeur en aval envoie régulièrement des messages de jointure pour actualiser l’état de jointure sur le routeur en amont. Si l’état de jointure n’est pas actualisé avant l’expiration du délai d’expiration, l’état de jointure est supprimé.
Par défaut, le délai d’expiration de l’état de jointure est de 210 secondes. Vous pouvez modifier ce délai d’expiration pour disposer d’un délai supplémentaire pour recevoir les messages de jointure. Étant donné que les messages sont appelés messages join-prune, le nom utilisé est l’instruction join-prune-timeout .
Pour modifier le délai d’expiration, incluez l’instruction join-prune-timeout suivante :
user@host# set protocols pim join-prune-timeout 230
La valeur du délai d’expiration de la jointure peut être comprise entre 210 et 420 secondes.
Voir aussi
Exemple : Activation de la suppression des jointures
Cet exemple décrit comment activer la suppression de jointure PIM.
Exigences
Avant de commencer :
Configurez les interfaces des routeurs.
Configurez un protocole de passerelle intérieure ou un routage statique. Voir la bibliothèque des protocoles de routage Junos OS pour les périphériques de routage.
Configurez le mode clairsemé PIM sur les interfaces. Reportez-vous à la section Activation du mode clairsemé PIM.
Aperçu
La suppression de jointure PIM permet à un routeur sur un réseau multi-accès de différer l’envoi de messages de jointure à un routeur en amont lorsqu’il voit des messages de jointure identiques sur le même réseau. Finalement, un seul routeur envoie ces messages de jointure, et les autres routeurs suppriment les messages identiques. La limitation du nombre de messages de jointure améliore l’évolutivité et l’efficacité en réduisant le nombre de messages envoyés au même routeur.
Cet exemple comprend les instructions suivantes :
override-interval : définit la durée maximale en millisecondes pour retarder l’envoi des messages de jointure de remplacement. Lorsqu’un routeur voit un message d’élagage pour une jointure qu’il est en train de supprimer, il attend avant d’envoyer un message de remplacement. L’attente permet d’éviter que plusieurs routeurs en aval n’envoient des messages de jonction de remplacement en même temps. L’intervalle de remplacement est un minuteur aléatoire dont la valeur est comprise entre 0 et la valeur de remplacement maximale.
propagation-delay : définit une valeur en millisecondes pour un minuteur d’attente d’élagage, qui spécifie le temps d’attente avant d’exécuter un élagage sur un routeur en amont. Pendant cette période, le routeur attend tous les messages de jonction de remplacement d’élagage qui pourraient être actuellement supprimés. La période pour le minuteur d’attente d’élagage est la somme de la valeur de l’intervalle de remplacement et de la valeur spécifiée pour le délai de propagation.
reset-tracking-bit : active la suppression des jointures PIM sur chaque interface multi-accès en aval. Cette instruction réinitialise un champ de bit de suivi (T-bit) sur l’option LAN prune delay hello de la valeur par défaut de 1 (suppression de jointure désactivée) à 0 (suppression de jointure activée).
Lorsque plusieurs messages de jointure identiques sont reçus, un minuteur de suppression de jointure aléatoire est activé, avec une plage de 66 à 84 millisecondes. Le minuteur est réinitialisé chaque fois que la suppression de jointure est déclenchée.
Topologie
La figure 2 illustre la topologie utilisée dans cet exemple.
de jointure
Les éléments de la figure représentent les fonctions suivantes :
L’hôte 0 est la source de multidiffusion.
L’hôte 1, l’hôte 2, l’hôte 3 et l’hôte 4 sont des récepteurs.
Le routeur R0 est le routeur de premier saut et le RP.
Le routeur R1 est un routeur en amont.
Les routeurs R2, R3, R4 et R5 sont des routeurs en aval dans le réseau local multicast.
Cet exemple montre la configuration des périphériques en aval : routeurs R2, R3, R4 et R5.
Configuration
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
[edit] set protocols pim traceoptions file pim.log set protocols pim traceoptions file size 5m set protocols pim traceoptions file world-readable set protocols pim traceoptions flag join detail set protocols pim traceoptions flag prune detail set protocols pim traceoptions flag normal detail set protocols pim traceoptions flag register detail set protocols pim rp static address 10.255.112.160 set protocols pim interface all mode sparse set protocols pim interface all version 2 set protocols pim interface fxp0.0 disable set protocols pim reset-tracking-bit set protocols pim propagation-delay 500 set protocols pim override-interval 4000
Procédure
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer la suppression de jointure PIM sur un routeur en aval non-RP dans le réseau local multicast :
Configurez le mode clairsemé PIM sur les interfaces.
[edit] user@host# edit protocols pim [edit protocols pim] user@host# set rp static address 10.255.112.160 [edit protocols pim] user@host# set interface all mode sparse version 2 [edit protocols pim] user@host# set interface all version 2 [edit protocols pim] user@host# set interface fxp0.0 disable
Activez le minuteur de suppression des jointures.
[edit protocols pim] user@host# set reset-tracking-bit
Configurez la valeur de l’intervalle de remplacement de l’élagage.
[edit protocols pim] user@host# set override-interval 4000
Configurez le délai de propagation de la liaison.
[edit protocols pim] user@host# set propagation-delay 500
(Facultatif) Configurez les opérations de suivi PIM.
[edit protocols pim] user@host# set traceoptions file pim.log size 5m world-readable [edit protocols pim] user@host# set traceoptions flag join detail [edit protocols pim] user@host# set traceoptions flag normal detail [edit protocols pim] user@host# set traceoptions flag register detail
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit protocols pim] user@host# commit
Résultats
À partir du mode configuration, confirmez votre configuration en entrant la show protocols commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@host# show protocols
pim {
traceoptions {
file pim.log size 5m world-readable;
flag join detail;
flag prune detail;
flag normal detail;
flag register detail;
}
rp {
static {
address 10.255.112.160;
}
}
interface all {
mode sparse;
version 2;
}
interface fxp0.0 {
disable;
}
reset-tracking-bit;
propagation-delay 500;
override-interval 4000;
}
Vérification
Pour vérifier la configuration, exécutez les commandes suivantes sur les routeurs en amont et en aval :
Afficher PIM Rejoindre Étendu
Afficher l’itinéraire multicast étendu
Exemple : Configuration du mode clairsemé PIM sur un VPN IPsec
Les VPN IPsec établissent des connexions point à point sécurisées entre les sites sur Internet. L’implémentation Junos OS des VPN IPsec prend en charge le trafic multicast et unicast. L’exemple suivant montre comment configurer le mode clairsemé PIM pour la solution multicast et comment configurer IPsec pour sécuriser votre trafic.
La configuration présentée dans cet exemple fonctionne sur les plates-formes suivantes :
Routeurs M Series et T Series avec l’un des PIC suivants :
PIC pour les services adaptatifs (AS)
Multiservices (MS) PIC
JCS1200 plate-forme avec un PIC multiservices (MS-500)
Il n’est pas nécessaire que les points de terminaison de tunnel soient du même type de plateforme. Par exemple, l’appareil situé à une extrémité du tunnel peut être un routeur JCS1200, tandis que l’appareil à l’autre extrémité peut être un routeur T Series autonome. Les deux routeurs qui sont les points de terminaison du tunnel peuvent se trouver dans le même système autonome ou dans des systèmes autonomes différents.
Dans la configuration illustrée dans cet exemple, OSPF est configuré entre les points de terminaison du tunnel. Sur la Figure 3, les points de terminaison du tunnel sont R0 et R1. Le réseau qui contient la source de multidiffusion est connecté à R0. Le réseau qui contient les récepteurs multicast est connecté à R1. R1 sert de point de rendez-vous (RP) configuré statiquement.
IPsec
Pour configurer le mode clairsemé PIM avec IPsec :
Sur R0, configurez l’interface Gigabit Ethernet entrante.
[edit interfaces] user@host# set ge-0/1/1 description "incoming interface" user@host# set ge-0/1/1 unit 0 family inet address 10.20.0.1/30
Sur R0, configurez l’interface Gigabit Ethernet sortante.
[edit interfaces] user@host# set ge-0/0/7 description "outgoing interface" user@host# set ge-0/0/7 unit 0 family inet address 10.10.1.1/30
Sur R0, configurez l’unité 0 sur l’interface sp- . Junos OS utilise l’unité 0 pour la journalisation des services et d’autres communications provenant du PIC des services.
[edit interfaces] user@host# set sp-0/2/0 unit 0 family inet
Sur R0, configurez les interfaces logiques qui participent aux services IPsec. Dans cet exemple, l’unité 1 est l’interface orientée vers l’intérieur. L’unité 1001 correspond à l’interface faisant face au site IPsec distant.
[edit interfaces] user@host# set sp-0/2/0 unit 1 family inet user@host# set sp-0/2/0 unit 1 service-domain inside user@host# set sp-0/2/0 unit 1001 family inet user@host# set sp-0/2/0 unit 1001 service-domain outside
En R0, dirigez le trafic OSPF vers le tunnel IPsec.
[edit protocols ospf] user@host# set area 0.0.0.0 interface sp-0/2/0.1 user@host# set parea 0.0.0.0 interface ge-0/1/1.0 passive user@host# set area 0.0.0.0 interface lo0.0
Sur R0, configurez le mode clairsemé PIM. Cet exemple utilise une configuration RP statique. Étant donné que R0 est un routeur non-RP, configurez l’adresse du routeur RP, qui est l’adresse routable attribuée à l’interface de bouclage sur R1.
[edit protocols pim] user@host# set rp static address 10.255.0.156 user@host# set interfaces sp-0/2/0.1 user@host# set interfaces ge-0/1/1.0 user@host# set interfaces lo0.0
Sur R0, créez une règle pour une association de sécurité IKE dynamique bidirectionnelle (SA) qui fait référence à la stratégie IKE et à la stratégie IPsec.
[edit services ipsec-vpn rule ipsec_rule] user@host# set term ipsec_dynamic then remote-gateway 10.10.1.2 user@host# set term ipsec_dynamic then dynamic ike-policy ike_policy user@host# set term ipsec_dynamic then dynamic ipsec-policy ipsec_policy user@host# set match-direction input
Sur R0, configurez la proposition IPsec. Cet exemple utilise le protocole d’en-tête d’authentification (AH).
[edit services ipsec-vpn ipsec proposal ipsec_prop] user@host# set protocol ah user@host# set authentication-algorithm hmac-md5-96
Sur R0, définissez la stratégie IPsec.
[edit services ipsec-vpn ipsec policy ipsec_policy] user@host# set perfect-forward-secrecy keys group1 user@host# set proposal ipsec_prop
Sur R0, configurez les détails de l’authentification et du chiffrement IKE.
[edit services ipsec-vpn ike proposal ike_prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group1 user@host# set authentication-algorithm md5 user@host# set authentication-algorithm 3des-cbc
Sur R0, définissez la stratégie IKE.
[edit services ipsec-vpn ike policy ike_policy] user@host# set proposals ike_prop user@host# set pre-shared-key ascii-text "$ABC123"
Sur R0, créez un ensemble de services qui définit des informations spécifiques à IPsec. La première commande associe la règle IKE SA à IPsec. La seconde commande définit l’adresse de l’extrémité locale du tunnel de sécurité IPsec. Les deux dernières commandes configurent les interfaces logiques qui participent aux services IPsec. L’unité 1 concerne le trafic IPsec orienté vers l’intérieur. L’unité 1001 est destinée au trafic IPsec orienté vers l’extérieur.
[edit services service-set ipsec_svc] user@host# set ipsec-vpn-rules ipsec_rule user@host# set ipsec-vpn-options local-gateway 10.10.1.1 user@host# set next-hop-service inside-service-interface sp-0/2/0.1 user@host# set next-hop-service outside-service-interface sp-0/2/0.1001
Sur R1, configurez l’interface Gigabit Ethernet entrante.
[edit interfaces] user@host# set ge-2/0/1 description "incoming interface" user@host# set ge-2/0/1 unit 0 family inet address 10.10.1.2/30
Sur R1, configurez l’interface Gigabit Ethernet sortante.
[edit interfaces] user@host# set ge-2/0/0 description "outgoing interface" user@host# set ge-2/0/0 unit 0 family inet address 10.20.0.5/30
Sur R1, configurez l’interface de bouclage.
[edit interfaces] user@host# set lo0.0 family inet address 10.255.0.156
Sur R1, configurez l’unité 0 sur l’interface sp- . Junos OS utilise l’unité 0 pour la journalisation des services et d’autres communications provenant du PIC des services.
[edit interfacesinterfaces] user@host# set sp-2/1/0 unit 0 family inet
Sur R1, configurez les interfaces logiques qui participent aux services IPsec. Dans cet exemple, l’unité 1 est l’interface orientée vers l’intérieur. L’unité 1001 correspond à l’interface faisant face au site IPsec distant.
[edit interfaces] user@host# set sp-2/1/0 unit 1 family inet user@host# set sp-2/1/0 unit 1 service-domain inside user@host# set sp-2/1/0 unit 1001 family inet user@host# set sp-2/1/0 unit 1001 service-domain outside
Sur R1, dirigez le trafic OSPF dans le tunnel IPsec.
[edit protocols ospf] user@host# set area 0.0.0.0 interface sp-2/1/0.1 user@host# set area 0.0.0.0 interface ge-2/0/0.0 passive user@host# set area 0.0.0.0 interface lo0.0
Sur R1, configurez le mode clairsemé PIM. R1 est un routeur RP. Lorsque vous configurez l’adresse RP locale, utilisez l’adresse partagée, qui est l’adresse de l’interface de bouclage de R1.
[edit protocols pim] user@host# set rp local address 10.255.0.156 user@host# set interface sp-2/1/0.1 user@host# set interface ge-2/0/0.0 user@host# set interface lo0.0 family inet
Sur R1, créez une règle pour une association de sécurité (SA) Internet Key Exchange dynamique bidirectionnelle qui fait référence à la stratégie IKE et à la stratégie IPsec.
[edit services ipsec-vpn rule ipsec_rule] user@host# set term ipsec_dynamic from source-address 192.168.195.34/32 user@host# set term ipsec_dynamic then remote-gateway 10.10.1.1 user@host# set term ipsec_dynamic then dynamic ike-policy ike_policy user@host# set term ipsec_dynamic then dynamic ipsec-policy ipsec_policy user@host# set match-direction input
Sur R1, définissez la proposition IPsec pour la SA dynamique.
[edit services ipsec-vpn ipsec proposal ipsec_prop] user@host# set protocol ah user@host# set authentication-algorithm hmac-md5-96
Sur R1, définissez la stratégie IPsec.
[edit services ipsec-vpn ipsec policy ipsec_policy] user@host# set perfect-forward-secrecy keys group1 user@host# set proposal ipsec_prop
Sur R1, configurez les détails de l’authentification et du chiffrement IKE.
[edit services ipsec-vpn ike proposal ike_prop] user@host# set authentication-method pre-shared-keys user@host# set dh-group group1 user@host# set authentication-algorithm md5 user@host# set authentication-algorithm 3des-cbc
Sur R0, définissez la stratégie IKE.
[edit services ipsec-vpn ike policy ike_policy] user@host# set proposal ike_prop user@host# set pre-shared-key ascii-text "$ABC123"
Sur R1, créez un ensemble de services qui définit des informations spécifiques à IPsec. La première commande associe la règle IKE SA à IPsec. La seconde commande définit l’adresse de l’extrémité locale du tunnel de sécurité IPsec. Les deux dernières commandes configurent les interfaces logiques qui participent aux services IPsec. L’unité 1 concerne le trafic IPsec orienté vers l’intérieur. L’unité 1001 est destinée au trafic IPsec orienté vers l’extérieur.
[edit services service-set ipsec_svc] user@host# set ipsec-vpn-rules ipsec_rule user@host# set ipsec-vpn-options local-gateway 10.10.1.2 user@host# set next-hop-service inside-service-interface sp-2/1/0.1 user@host# set next-hop-service outside-service-interface sp-2/1/0.1001
Pour vérifier la configuration, exécutez les commandes suivantes :
Vérifiez les RP que les différents routeurs ont découverts.
user@host> show pim rps extensive inet
Vérifiez que la négociation IPsec SA a réussi.
user@host> show services ipsec-vpn ipsec security-associations
Vérifiez que la négociation IKE SA a réussi.
user@host> show services ipsec-vpn ike security-associations
Vérifiez que le trafic passe par le tunnel IPsec.
user@host> show services ipsec-vpn ipsec statistics
Voir aussi
Exemple : Configuration du multicast pour les routeurs virtuels avec des interfaces IPv6
Un routeur virtuel est un type d’instance de routage simplifié qui dispose d’une seule table de routage. Cet exemple montre comment configurer PIM dans un routeur virtuel.
Exigences
Avant de commencer, configurez un protocole de passerelle intérieure ou un routage statique. Voir la bibliothèque des protocoles de routage Junos OS pour les périphériques de routage.
Aperçu
Vous pouvez configurer PIM pour le type d’instance de routeur virtuel ainsi que pour le type d’instance vrf . Le type d’instance de routeur virtuel est similaire au type d’instance vrf utilisé avec les VPN de couche 3, sauf qu’il est utilisé pour les applications non liées au VPN.
Le type d’instance de routeur virtuel n’a pas d’exigences en matière d’importation et de transfert VPN (VRF), d’exportation VRF, de cible VRF ou de distinction de route. Le type d’instance de routeur virtuel est utilisé pour les situations VPN sans couche 3.
Lorsque PIM est configuré sous le type d’instance de routeur virtuel , la configuration VPN n’est pas basée sur la RFC 2547, BGP/VPN MPLS, de sorte que le fonctionnement PIM n’est pas conforme au projet de draft-rosen-vpn-mcast-07.txt Internet, Multicast in MPLS/BGP VPNs. Dans le type d’instance de routeur virtuel , PIM fonctionne dans une instance de routage par elle-même, formant des contiguïtés avec les voisins PIM sur les interfaces d’instance de routage comme le font les autres protocoles de routage avec les voisins de l’instance de routage.
Cet exemple comprend les étapes générales suivantes :
Sur R1, configurez une instance de routeur virtuel avec trois interfaces (ge-0/0/0.0, ge-0/1/0.0 et ge-0/1/1.0).
Configurez le PIM et le RP.
Configurez un groupe statique MLD contenant les interfaces ge-0/1/0.0 et ge-0/1/1.0.
Après avoir configuré cet exemple, vous devez être en mesure d’envoyer du trafic multicast de R2 à ge-0/0/0 sur R1 vers le groupe statique et de vérifier que le trafic sort de ge-0/1/0.0 et ge-0/1/1.0.
N’incluez pas l’instruction group-address pour le type d’instance virtual-router .
Topologie
La figure 4 illustre la topologie de cet exemple.
Configuration
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode de configuration.
[edit] set interfaces ge-0/0/0 unit 0 family inet6 address 2001:4:4:4::1/64 set interfaces ge-0/1/0 unit 0 family inet6 address 2001:24:24:24::1/64 set interfaces ge-0/1/1 unit 0 family inet6 address 2001:7:7:7::1/64 set protocols mld interface ge-0/1/0.0 static group ff0e::10 set protocols mld interface ge-0/1/1.0 static group ff0e::10 set routing-instances mvrf1 instance-type virtual-router set routing-instances mvrf1 interface ge-0/0/0.0 set routing-instances mvrf1 interface ge-0/1/0.0 set routing-instances mvrf1 interface ge-0/1/1.0 set routing-instances mvrf1 protocols pim rp local family inet6 address 2001:1:1:1::1 set routing-instances mvrf1 protocols pim interface ge-0/0/0.0 set routing-instances mvrf1 protocols pim interface ge-0/1/0.0 set routing-instances mvrf1 protocols pim interface ge-0/1/1.0
Procédure étape par étape
L’exemple suivant vous oblige à naviguer à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration du Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer la multidiffusion pour les routeurs virtuels :
Configurez les interfaces.
[edit] user@host# edit interfaces [edit interfaces] user@host# set ge-0/0/0 unit 0 family inet6 address 2001:4:4:4::1/64 [edit interfaces] user@host# set ge-0/1/0 unit 0 family inet6 address 2001:24:24:24::1/64 [edit interfaces] user@host# set ge-0/1/1 unit 0 family inet6 address 2001:7:7:7::1/64 [edit interfaces] user@host# exit
Configurez le type d’instance de routage.
[edit] user@host# edit routing-instances [edit routing-instances] user@host# set mvrf1 instance-type virtual-router
Configurez les interfaces dans l’instance de routage.
[edit routing-instances] user@host# set mvrf1 interface ge-0/0/0 [edit routing-instances] user@host# set mvrf1 interface ge-0/1/0 [edit routing-instances] user@host# set mvrf1 interface ge-0/1/1
Configurez PIM et le RP dans l’instance de routage.
[edit routing-instances] user@host# set mvrf1 protocols pim rp local family inet6 address 2001:1:1:1::1
Configurez PIM sur les interfaces.
[edit routing-instances] user@host# set mvrf1 protocols pim interface ge-0/0/0 [edit routing-instances] user@host# set mvrf1 protocols pim interface ge-0/1/0 [edit routing-instances] user@host# set mvrf1 protocols pim interface ge-0/1/1 [edit routing-instances] user@host# exit
Configurez le groupe MLD.
[edit] user@host# edit protocols mld [edit protocols mld] user@host# set interface ge-0/1/0.0 static group ff0e::10 [edit protocols mld] user@host# set interface ge-0/1/1.0 static group ff0e::10
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit routing-instances] user@host# commit
Résultats
Confirmez votre configuration en entrant les commandes show interfaces, show routing-instances et show protocols .
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet6 {
address 2001:4:4:4::1/64;
}
}
}
ge-0/1/0 {
unit 0 {
family inet6 {
address 2001:24:24:24::1/64;
}
}
}
ge-0/1/1 {
unit 0 {
family inet6 {
address 2001:7:7:7::1/64;
}
}
}
user@host# show routing-instances
mvrf1 {
instance-type virtual-router;
interface ge-0/0/0.0;
interface ge-0/1/0.0;
interface ge-0/1/1.0;
protocols {
pim {
rp {
local {
family inet6 {
address 2001:1:1:1::1;
}
}
}
interface ge-0/0/0.0;
interface ge-0/1/0.0;
interface ge-0/1/1.0;
}
}
}
user@host# show protocols
mld {
interface ge-0/1/0.0 {
static {
group ff0e::10;
}
}
interface ge-0/1/1.0 {
static {
group ff0e::10;
}
}
}
Vérification
Pour vérifier la configuration, exécutez les commandes suivantes :
Afficher le groupe MLD
afficher l’interface mld
Afficher les statistiques MLD
afficher l’interface multicast
Afficher l’itinéraire multicast
afficher le RPF multicast
Afficher les interfaces PIM
afficher la jointure pim
Afficher les voisins PIM
afficher la table de transfert d’itinéraire
show route instance
afficher la table de routage
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plate-forme et la version que vous utilisez. Utilisez l’Explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.