例:MSDP の設定
MSDP について
MSDP(Multicast Source Discovery Protocol)は、マルチキャスト ルーティング ドメインの接続に使用されます。通常、PIM(プロトコル独立マルチキャスト)スパースモードランデブーポイント(RP)と同じルーター上で動作します。各MSDPルーターは、BGPがピアを確立する方法と同様に、内部および外部のMSDPピアとの隣接関係を確立します。これらのピア ルーターは、ドメイン内のアクティブなソースについて相互に通知します。アクティブソースを検出すると、ルーターはPIMスパースモードの明示的な参加メッセージをアクティブソースに送信できます。
上位の IP アドレスを持つピアは、既知のポート番号を受動的にリッスンし、下位の IP アドレスを持つ側が伝送制御プロトコル(TCP)接続を確立するのを待ちます。MSDPを実行しているPIMスパースモードRPは、新しいローカルソースに気付くと、ソースアクティブ型、長さ、値(TLV)をMSDPピアに送信します。ソース/アクティブ TLV を受信すると、このピアが送信元 RP に戻るパスにあることを確認するために、ピアリバース パス転送(peer-RPF)チェック(マルチキャスト RPF チェックと同じではない)が実行されます。ない場合は、ソースアクティブ TLV が削除されます。この TLV は、「拒否された」ソースアクティブ メッセージとしてカウントされます。
MSDP ピア RPF チェックは、非 MSDP マルチキャスト ルーターによって実行される通常の RPF チェックとは異なります。ピア RPF チェックの目的は、ソース/アクティブ・メッセージのループを停止することです。ルーターRは、ネイバールーターNまたはMSDPメッシュグループメンバーからのみ、ルーターSが送信元とするソースアクティブメッセージを受け入れます。
S ------------------> N ------------------> R
ルーター R(アクティブ ソース メッセージを受け入れるか拒否するルーター)は、MSDP ピア RPF ネイバー(ルーター N)を決定的に特定します。一連のルールは、受信した送信元-アクティブ メッセージに特定の順序で適用され、最初に適用されるルールがピア RPF ネイバーを決定します。他のルーターからの送信元とアクティブなメッセージはすべて拒否されます。
ルーターNからルーターRで受信したルーターSで送信元アクティブなメッセージに適用される6つのルールは次のとおりです。
ルーター N が送信元アクティブ メッセージ(ルーター N はルーター S)を発信した場合、ルーター N もピア RPF ネイバーであり、その送信元とアクティブなメッセージが受け入れられます。
ルーター N がルーター R メッシュ グループのメンバーである場合、または設定済みのピアである場合、ルーター N はピア RPF ネイバーであり、その送信元とアクティブなメッセージが受け入れられます。
ルーター N が、ルーター S に向かうアクティブマルチキャスト RPF ルートの BGP ネクスト ホップである場合(ルーター N がルーター R にルートをインストールした場合)、ルーター N はピア RPF ネイバーであり、その送信元とアクティブなメッセージが受け入れられます。
ルーターNがルーターRの外部BGP(EBGP)または内部BGP(IBGP)ピアで、ルーターSへのBGP ASパスの最後の自律システム(AS)番号がルーターNのAS番号と同じ場合、ルーターNはピアRPFネイバーであり、送信元アクティブメッセージが受け入れられます。
ルーター N がルーター S へのネクスト ホップと同じネクスト ホップを使用する場合、ルーター N はピア RPF ネイバーであり、その送信元とアクティブなメッセージが受け入れられます。
ルーター N がこれらの基準のいずれにも適合しない場合、ルーター N は MSDP ピア RPF ネイバーではなく、送信元とアクティブなメッセージは拒否されます。
ソースアクティブ TLV を受信する MSDP ピアは、BGP 到達可能性情報によって制約される可能性があります。ネットワーク層到達可能性情報(NLRI)のASパスに、2番目から最後の先頭に付加された受信ピアのAS番号が含まれている場合、送信ピアはこのソースのネクストホップとして受信側ピアを使用しています。スプリット ホライズン情報を受信していない場合、ピアをソース/アクティブ TLV 配布リストから削除できます。
MSDP メッシュ グループの設定の詳細については、「 例: アクティブなソース制限とメッシュ グループを使用した MSDP の設定」を参照してください。
「」も参照
MSDP の設定
MSDP(Multicast Source Discovery Protocol)を設定するには、次のステートメントを msdp 含めます。
msdp { disable; active-source-limit { maximum number; threshold number; } data-encapsulation (disable | enable); export [ policy-names ]; group group-name { ... group-configuration ... } hold-time seconds; import [ policy-names ]; local-address address; keep-alive seconds; peer address { ... peer-configuration ... } rib-group group-name; source ip-prefix</prefix-length> { active-source-limit { maximum number; threshold number; } } sa-hold-time seconds; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier > <disable>; } group group-name { disable; export [ policy-names ]; import [ policy-names ]; local-address address; mode (mesh-group | standard); peer address { ... same statements as at the [edit protocols msdp peer address] hierarchy level shown just following ... } traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } } peer address { disable; active-source-limit { maximum number; threshold number; } authentication-key peer-key; default-peer; export [ policy-names ]; import [ policy-names ]; local-address address; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } } }
このステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit routing-instances routing-instance-name protocols][edit logical-systems logical-system-name protocols][edit logical-systems logical-system-name routing-instances routing-instance-name protocols]
デフォルトでは、MSDP は無効になっています。
「」も参照
例:ルーティング インスタンスでの MSDP の設定
この例では、VRF インスタンスで MSDP を設定する方法を示しています。
要件
開始する前に、以下を行います。
ルーター インターフェイスを設定します。
内部ゲートウェイ プロトコルまたは静的ルーティングを設定します。 ルーティング デバイスの Junos OS ルーティング プロトコル ライブラリを参照してください。
PIM を有効にします。 PIM の概要を参照してください。
概要
MSDP は、次のタイプのインスタンスで設定できます。
転送
転送なし
仮想ルーター
VPLS
VRF
ルーティング インスタンスにおける MSDP の主な用途は、ネットワーク内のエニキャスト RP をサポートすることで、冗長な RP を設定できます。エニキャスト RP アドレッシングには、MSDP のサポートが必要で、RP 間のアクティブ ソースを同期する必要があります。
この例には、次の MSDP 設定が含まれています。
認証キー—デフォルトでは、マルチキャスト ルーターは設定されたピア アドレスから適切にフォーマットされた MSDP メッセージを受け入れて処理します。MSDP メッセージは定義上、マルチキャスト ルーターの組織のセキュリティ手法を制御できない別のルーティング ドメインから送信されるため、このデフォルト動作は多くの組織のセキュリティ ポリシーに違反する可能性があります。
ルーターは、MSDP ピアリング セッションの TCP メッセージ ダイジェスト 5(MD5)署名オプションを使用して MSDP メッセージを認証できます。この認証は、MSDP ピアリング セッションに導入されるスプーフィングされたパケットに対する保護を提供します。MSDP 認証を実装する 2 つの組織は、両方のピアで人間が読める鍵を決定する必要があります。このキーは、2 つのピア間で送信される各 MSDP セグメントの MD5 シグネチャ計算に含まれています。
MSDP ピアがグループで定義されているか、個別に定義されているかに関係なく、MSDP 認証キーをピアごとに設定します。グループ内の同じピア鍵に対して異なる認証キーを設定し、1 つを個別に設定すると、個々の鍵が使用されます。
ピア キーは、最大 16 文字と桁の長いテキスト文字列を使用できます。文字列には、(,)、&および [を除く任意のASCII文字を含めることができます。MSDP 認証キーにスペースを含める場合は、すべての文字を引用符 (" ") で囲みます。
ピアリング セッションで MSDP 認証キーを追加、削除、または変更すると、既存の MSDP セッションがリセットされ、影響を受ける MSDP ピア間に新しいセッションが確立されます。この即時セッションの終了により、キーが一致していないために過度の再送信と最終的なセッション タイムアウトが発生するのを防ぐことができます。
インポート と エクスポート—すべてのルーティング プロトコルは、学習したルートを保存し、プロトコル パケットにアドバタイズするルートを決定するためにルーティング テーブルを使用します。ルーティング ポリシーを使用すると、ルーティング プロトコルがルーティング テーブルに格納するルートと、ルーティング テーブルから取得するルートを制御できます。
ルーティング ポリシーは、グローバル、グループ、または個々のピアに対して設定できます。この例では、個々のピアに対してポリシーを設定する方法を示しています。
ルーティング ポリシーをグループ レベルで設定すると、グループ内の各ピアはグループのルーティング ポリシーを継承します。
import ステートメントは、MSDP からソース/アクティブ キャッシュにインポートされるソース/アクティブ メッセージにポリシーを適用します。export ステートメントは、ソース/アクティブ・キャッシュから MSDP にエクスポートされるソース・アクティブ・メッセージにポリシーを適用します。複数のポリシーを指定すると、最初から最後まで指定された順序でポリシーが評価され、最初の照合ポリシーがルートに適用されます。インポート ポリシーに一致するものが見つからない場合、MSDP は MSDP ルーターから学習したルートのみをルーティング テーブルと共有します。エクスポート ポリシーに一致するものが見つからない場合、デフォルトの MSDP エクスポート ポリシーがソース/アクティブ キャッシュ内のエントリーに適用されます。照合条件のリストについては、表 1 を参照してください。
表 1:MSDP 送信元とアクティブなメッセージ フィルタの一致条件 照合条件
マッチオン
インターフェイス
名前または IP アドレスで指定されたルーター インターフェイスまたはインターフェイス
隣人
ネイバー アドレス(送信元-アクティブ メッセージの IP ヘッダー内の送信元アドレス)
ルート フィルター
送信元-アクティブ メッセージに埋め込まれたマルチキャスト グループ アドレス
送信元アドレスフィルター
送信元-アクティブ メッセージに埋め込まれたマルチキャスト 送信元アドレス
local-address—MSDP ルーター(ローカル ルーター)として設定しているルーターのアドレスを識別します。MSDP を設定するときは、 ローカル アドレス ステートメントが必要です。ルーターは、PIM(プロトコル独立マルチキャスト)スパースモードランデブーポイント(RP)である必要もあります。
ピア—MSDP ルーターは、どのルーターがピアかを認識する必要があります。ローカル ルーターの MSDP ピアであるネイバー ルーターを設定することで、ピア関係を明示的に定義します。ピア関係が確立されると、MSDP ピアはメッセージを交換してアクティブなマルチキャスト ソースをアドバタイズします。MSDP が機能するには、少なくとも 1 つのピアを設定する必要があります。MSDP を設定するときは、 ピア ステートメントが必要です。ルーターは、PIM(プロトコル独立マルチキャスト)スパースモードランデブーポイント(RP)である必要もあります。
MSDP ピアをグループに配置できます。各グループには、少なくとも 1 つのピアが含まれている必要があります。ピアをグループに配置することは、一部のピアからのソースをブロックして他のピアから受け入れる場合や、1 つのグループでトレース オプションを設定する場合に便利です。この例では、MSDP ピアをグループに設定する方法を示しています。グループ内の MSDP ピアを設定すると、グループ内の各ピアはすべてのグループ レベル オプションを継承します。
構成
手順
CLI クイック設定
この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。
set policy-options policy-statement bgp-to-ospf term 1 from protocol bgp set policy-options policy-statement bgp-to-ospf term 1 then accept set policy-options policy-statement sa-filter term bad-groups from route-filter 224.0.1.2/32 exact set policy-options policy-statement sa-filter term bad-groups from route-filter 224.77.0.0/16 orlonger set policy-options policy-statement sa-filter term bad-groups then reject set policy-options policy-statement sa-filter term bad-sources from source-address-filter 10.0.0.0/8 orlonger set policy-options policy-statement sa-filter term bad-sources from source-address-filter 127.0.0.0/8 orlonger set policy-options policy-statement sa-filter term bad-sources then reject set policy-options policy-statement sa-filter term accept-everything-else then accept set routing-instances VPN-100 instance-type vrf set routing-instances VPN-100 interface ge-0/0/0.100 set routing-instances VPN-100 interface lo0.100 set routing-instances VPN-100 route-distinguisher 10.255.120.36:100 set routing-instances VPN-100 vrf-target target:100:1 set routing-instances VPN-100 protocols ospf export bgp-to-ospf set routing-instances VPN-100 protocols ospf area 0.0.0.0 interface lo0.100 set routing-instances VPN-100 protocols ospf area 0.0.0.0 interface ge-0/0/0.100 set routing-instances VPN-100 protocols pim rp static address 11.11.47.100 set routing-instances VPN-100 protocols pim interface lo0.100 mode sparse-dense set routing-instances VPN-100 protocols pim interface lo0.100 version 2 set routing-instances VPN-100 protocols pim interface ge-0/0/0.100 mode sparse-dense set routing-instances VPN-100 protocols pim interface ge-0/0/0.100 version 2 set routing-instances VPN-100 protocols msdp export sa-filter set routing-instances VPN-100 protocols msdp import sa-filter set routing-instances VPN-100 protocols msdp group 100 local-address 10.10.47.100 set routing-instances VPN-100 protocols msdp group 100 peer 10.255.120.39 authentication-key “New York” set routing-instances VPN-100 protocols msdp group to_pe local-address 10.10.47.100 set routing-instances VPN-100 protocols msdp group to_pe peer 11.11.47.100
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。CLI のナビゲーションの詳細については、『Junos OS CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。
MSDP ルーティング インスタンスを設定するには、次の手順に基います。
BGP エクスポート ポリシーを設定します。
[edit policy-options] user@host# set policy-statement bgp-to-ospf term 1 from protocol bgp user@host# set policy-statement bgp-to-ospf term 1 then accept
特定の送信元アドレスとグループ アドレスを除外し、他のすべての送信元アドレスとグループ アドレスを受け入れるポリシーを設定します。
[edit policy-options] user@host# set policy-statement sa-filter term bad-groups from route-filter 224.0.1.2/32 exact user@host# set policy-statement sa-filter term bad-groups from route-filter 224.0.1.2/32 exact user@host# set policy-statement sa-filter term bad-groups from route-filter 224.77.0.0/16 orlonger user@host# set policy-statement sa-filter term bad-groups then reject user@host# set policy-statement sa-filter term bad-sources from source-address-filter 10.0.0.0/8 orlonger user@host# set policy-statement sa-filter term bad-sources from source-address-filter 127.0.0.0/8 orlonger user@host# set policy-statement sa-filter term bad-sources then reject user@host# set policy-statement sa-filter term accept-everything-else then accept
ルーティング インスタンスのタイプとインターフェイスを設定します。
[edit routing-instances] user@host# set VPN-100 instance-type vrf user@host# set VPN-100 interface ge-0/0/0.100 user@host# set VPN-100 interface lo0.100
ルーティング インスタンス ルート識別と VRF ターゲットを設定します。
[edit routing-instances] user@host# set VPN-100 route-distinguisher 10.255.120.36:100 user@host# set VPN-100 vrf-target target:100:1
ルーティング インスタンスで OSPF を設定します。
[edit routing-instances] user@host# set VPN-100 protocols ospf export bgp-to-ospf user@host# set VPN-100 protocols ospf area 0.0.0.0 interface lo0.100 user@host# set VPN-100 protocols ospf area 0.0.0.0 interface ge-0/0/0.100
ルーティング インスタンスで PIM を設定します。
[edit routing-instances] user@host# set VPN-100 protocols pim rp static address 11.11.47.100 user@host# set VPN-100 protocols pim interface lo0.100 mode sparse-dense user@host# set VPN-100 protocols pim interface lo0.100 version 2 user@host# set VPN-100 protocols pim interface ge-0/0/0.100 mode sparse-dense user@host# set VPN-100 protocols pim interface ge-0/0/0.100 version 2
ルーティング インスタンスで MSDP を設定します。
[edit routing-instances] user@host# set VPN-100 protocols msdp export sa-filter user@host# set VPN-100 protocols msdp import sa-filter user@host# set VPN-100 protocols msdp group 100 local-address 10.10.47.100 user@host# set VPN-100 protocols msdp group 100 peer 10.255.120.39 authentication-key “New York” [edit routing-instances] user@host# set VPN-100 protocols msdp group to_pe local-address 10.10.47.100 [edit routing-instances] user@host# set VPN-100 protocols msdp group to_pe peer 11.11.47.100
デバイスの設定が完了したら、設定をコミットします。
[edit routing-instances] user@host# commit
結果
設定モードから show policy-options コマンドと show routing-instances コマンドを入力して、設定を確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host# show policy-options
policy-statement bgp-to-ospf {
term 1 {
from protocol bgp;
then accept;
}
}
policy-statement sa-filter {
term bad-groups {
from {
route-filter 224.0.1.2/32 exact;
route-filter 224.77.0.0/16 orlonger;
}
then reject;
}
term bad-sources {
from {
source-address-filter 10.0.0.0/8 orlonger;
source-address-filter 127.0.0.0/8 orlonger;
}
then reject;
}
term accept-everything-else {
then accept;
}
}
user@host# show routing-instances
VPN-100 {
instance-type vrf;
interface ge-0/0/0.100; ## 'ge-0/0/0.100' is not defined
interface lo0.100; ## 'lo0.100' is not defined
route-distinguisher 10.255.120.36:100;
vrf-target target:100:1;
protocols {
ospf {
export bgp-to-ospf;
area 0.0.0.0 {
interface lo0.100;
interface ge-0/0/0.100;
}
}
pim {
rp {
static {
address 11.11.47.100;
}
}
interface lo0.100 {
mode sparse-dense;
version 2;
}
interface ge-0/0/0.100 {
mode sparse-dense;
version 2;
}
}
msdp {
export sa-filter;
import sa-filter;
group 100 {
local-address 10.10.47.100;
peer 10.255.120.39 {
authentication-key "Hashed key found - Replaced with $ABC123abc123"; ## SECRET-DATA
}
}
group to_pe {
local-address 10.10.47.100;
peer 11.11.47.100;
}
}
}
}
検証
設定を検証するには、次のコマンドを実行します。
show msdp instance VPN-100
show msdp source-active VPN-100
show multicast usage instance VPN-100
show route table VPN-100.inet.4
リモート ソースからのトラフィックを受け入れるインターフェイスの設定
受信インターフェイスを設定して、リモート ソースからのマルチキャスト トラフィックを受け入れることもできます。リモート ソースは、受信インターフェイスと同じサブネット上にはないソースです。 図 2 は、R2 が 1 つのサブネット上の R1 ソースと、別のサブネット上の R3(図の ge-1/3/0.0)上の受信インターフェイスに接続するトポロジを示しています。
このトポロジでは、R2 は PIM を実行していないパススルー デバイスであるため、R3 は R1 から送信されるマルチキャスト パケットの最初のホップ ルーターです。R1 と R3 は異なるサブネットにあるため、R3 の既定の動作は R1 をリモート ソースとして無視することです。ただし、R3 はターゲット インターフェイスで有効にすることで、R1 からのマルチキャスト トラフィックを accept-remote-source 受け入れることもできます。
リモート ソースからのトラフィックを受け入れる方法は次のとおりです。
「」も参照
例:アクティブなソース制限とメッシュ グループを使用した MSDP の設定
この例では、MSDP を設定してソース/アクティブ メッセージをフィルタリングし、送信元/アクティブ メッセージのフラッディングを制限する方法を示しています。
要件
開始する前に、以下を行います。
ルーター インターフェイスを設定します。
内部ゲートウェイ プロトコルまたは静的ルーティングを設定します。 ルーティング デバイスの Junos OS ルーティング プロトコル ライブラリを参照してください。
PIM スパース モードを有効にします。 PIM の概要を参照してください。
ルーターを PIM スパース モード RP として設定します。 「ローカル PIM RP の設定」を参照してください。
概要
RP などの MSDP メッセージに関心のあるルーターは、他のルーターから受信する大量の MSDP メッセージ(特にソースアクティブ メッセージ)を処理しなければならない場合があります。多くの MSDP パケットの状態テーブルを調べ、処理し、作成するルーターが必要になる可能性があるため、MSDP を実行するルーターに MSDP ベースのサービス拒否(DoS)攻撃が発生する可能性があります。この可能性を最小限に抑えるために、ルーターが受け入れる送信元アクティブ メッセージの数を制限するようにルーターを設定できます。また、RED(Random Early Detection)を適用するためのしきい値を設定して、一部の MSDP アクティブ ソース メッセージをドロップできます。ただし、すべての MSDP アクティブ ソース メッセージはドロップしません。
デフォルトでは、ルーターは残りのメッセージを無視する前に、25,000 個のソース アクティブ メッセージを受け入れます。制限は 1~1,000,000 です。この制限は、メッセージの数と MSDP ピアの数の両方に適用されます。
デフォルトでは、ルーターは、DOS 攻撃の可能性を防ぐために RED プロファイルを適用する前に、24,000 個のソースアクティブ メッセージを受け入れます。この数値は、1 から 1,000,000 までの範囲にすることもできます。次の 1,000 件のメッセージが RED プロファイルによってスクリーニングされ、受け入れられたメッセージが処理されます。ドロップ プロファイルを設定しない場合(この例では設定していない場合)、RED は引き続き有効であり、輻輳を管理するための主要なメカニズムとして機能します。デフォルト RED ドロップ プロファイルでは、パケット キューの塗りつぶしレベルが 0% の場合、ドロップ確率は 0% です。塗りつぶしレベルが 100% の場合、ドロップ確率は 100% です。
ルーターは、カプセル化された TCP パケットを持つソース/アクティブ メッセージを無視します。マルチキャストは TCP を使用しません。メッセージ内のセグメントはワームアクティビティの結果である可能性が最も高いです。
しきい値に設定された数は、アクティブなMSDPソースの最大数に対して設定された数よりも小さくする必要があります。
アクティブなソース制限は、グローバル、グループ、またはピアに対して設定できます。アクティブなソース制限が階層の複数レベルで設定されている場合(この例に示すように)、すべてが適用されます。
アドレス範囲と特定のピアに対して、アクティブな送信元制限を設定できます。ソースごとのアクティブな送信元制限では、特定のアドレスではなく IP プレフィックスとプレフィックス長が使用されます。ソースごとに複数のアクティブなソース制限を設定できます。最長一致が制限を決定します。
ソース単位のアクティブなソース制限は、ピア、グループ、グローバル(インスタンス)階層レベルでアクティブなソース制限と組み合わせることができます。ソースごとの制限は、他のタイプのアクティブなソース制限の前に適用されます。制限は次の順序でテストされます。
ソース単位
ピアまたはグループ単位
インスタンス単位
アクティブなソース・メッセージは、受け入れられる前に確立されたすべての制限を「渡す」必要があります。たとえば、ソースが 10,000 個のアクティブなマルチキャスト グループのアクティブソース制限で設定され、インスタンスが 5000 の制限で設定されている場合(他のソースまたは制限が設定されていない場合)、このソースから受け入れられるアクティブなソース メッセージは 5,000 のみです。
MSDP メッシュ グループは、フルメッシュ トポロジで設定されたピアのグループで、送信元とアクティブなメッセージのフラッディングを隣接するピアに制限します。すべてのメッシュ グループ メンバーは、他のすべてのメッシュ グループ メンバーとピア接続する必要があります。ソース/アクティブ・メッセージがメッシュ・グループ・メンバーから受信されると、ソース・アクティブ・メッセージは常に受け入れられますが、同じメッシュ・グループの他のメンバーにはフラッディングされません。ただし、ソースアクティブ メッセージは、メッシュ以外のグループ ピアまたは他のメッシュ グループのメンバーにフラッディングされます。既定では、 メッシュ グループ が指定されていない場合は、標準フラッディング ルールが適用されます。
MSDP メッシュ グループを設定する場合、すべてのメンバーを同じ方法で設定する必要があります。フル メッシュを設定しないと、ソースアクティブ メッセージの過剰なフラッディングが発生する可能性があります。
MSDP メッシュ グループに共通するアプリケーションは、ピアリバースパス転送(peer-RPF)チェック バイパスです。たとえば、自律システム(AS)内に2つのMSDPピアがあり、そのうちの1つだけが別のASへの外部MSDPセッションを持っている場合、内部MSDPピアは、外部リンクを持つピアによって中継された受信ソースアクティブメッセージを拒否することがよくあります。外部MSDPピアは、別のAS内のソースへのネクストホップを介して内部MSDPピアから到達する必要があり、このネクストホップ条件が確実でないため、拒否が発生します。拒否を防ぐには、内部 MSDP ピアで MSDP メッシュ グループを設定して、ソース/アクティブ メッセージを常に受け入れます。
ピア RPF チェックをバイパスする別の方法は、デフォルト ピアを設定することです。MSDP ピア(特にスタブ ネットワーク)が 1 つだけのネットワークでは、送信元とアクティブなメッセージを常に受け入れる必要があります。MSDP のデフォルト ピアは MSDP ピアで、ピア RPF チェックを実行せずにすべてのソースアクティブ メッセージが受け入れられます。デフォルト ピア ステートメントを含めると、ピア レベルまたはグループ レベルで デフォルト ピア を確立できます。
表 2 は、この例でフラッディングがピアによって処理される方法を説明しています。.
送信元-アクティブメッセージの受信元 |
送信元-アクティブメッセージのフラッディング先 |
ソース/アクティブ メッセージがフラッディングされていない |
|---|---|---|
ピア 21 |
ピア 11、ピア 12、ピア 13、ピア 31、ピア 32 |
ピア 22 |
ピア 11 |
ピア 21、ピア 22、ピア 31、ピア 32 |
ピア 12、ピア 13 |
ピア 31 |
ピア 21、ピア 22、ピア 11、ピア 12、ピア 13、ピア 32 |
– |
図 3 は、同じメッシュ グループ内の異なるメッシュ グループとピア間のソースアクティブ メッセージ フラッディングを示しています。
この例には、次の設定が含まれています。
active-source-limit maximum 10000 —10,000 個のアクティブ ソースの制限を他のすべてのピアに適用します。
データカプセル化ディスエーブル:MSDPを使用するRPルーターで、MSDPソースアクティブメッセージ内のMSDPレジスタメッセージで受信したマルチキャストデータのデフォルトカプセル化を無効にします。
MSDP データカプセル化は主にマルチキャスト トラフィックのバースト ソースに関係します。数分ごとに 1 つのパケットのみを送信するソースでは、ソースとそのマルチキャスト グループ(S、G)間の状態関係のタイムアウトに問題があります。ルーターは、S、G(状態テーブル)の再確立を試みる間にデータを失います。その結果、マルチキャスト レジスタ メッセージにはデータが含まれています。MSDP ソース/アクティブ メッセージ内のこのデータ カプセル化は、設定を通じてオンまたはオフにできます。
デフォルトでは、MSDP データカプセル化が有効になっています。MSDP を実行している RP は、ソースのレジスタ メッセージに到着したデータ パケットを受け取り、MSDP 送信元アクティブ メッセージ内のデータをカプセル化します。
ただし、データカプセル化では、 inet.1 テーブル(これも転送テーブル)のマルチキャスト転送キャッシュエントリと、 inet.4 テーブルのルーティングテーブルエントリの両方が作成されます。データカプセル化を行わない場合、MSDP は inet.4 テーブルにルーティング テーブル エントリのみを作成します。インターネット ワームやその他の形式の DoS 攻撃など、状況によっては、ルーターの転送テーブルがこれらのエントリを埋める場合があります。転送テーブルが MSDP エントリで満たされないようにするには、MSDP データ カプセル化を使用しないようにルーターを設定できます。ただし、データカプセル化を無効にした場合、ルーターはカプセル化されたデータを無視して破棄します。データカプセル化がなければ、約 3 分を超える送信間隔を持つバースト ソースを持つマルチキャスト アプリケーションがうまく機能しない可能性があります。
group MSDP-group local-address 10.1.2.3—ローカル ルーター(このルーター)のアドレスを指定します。
グループ MSDP グループ モード メッシュ グループ — MSDP-group グループに属するすべてのピアがメッシュ グループ メンバーであることを指定します。
group MSDP-group peer 10.10.10.10 —送信元アクティブ メッセージがネイバー ピア 10.10.10.10 に送信されるのを防ぎます。
グループ MSDP グループ ピア 10.10.10.10 アクティブ ソース制限最大 7500—グループ MSDP グループの MSDP ピア 10.10.10.10 に 7500 アクティブ ソースの制限を適用します。
ピア 10.0.0.1 アクティブ ソース制限最大 5,000 しきい値 4000—4,000 個のアクティブ ソースと 5,000 個のアクティブ ソースの制限を MSDP ピア 10.0.0.1 に適用します。
source 10.1.0.0/16 active-source-limit maximum 500 —10.1.0.0/16 ネットワーク上の任意のソースに 500 個のアクティブ ソースの制限を適用します。
トポロジ
構成
手順
CLI クイック設定
この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。
set protocols msdp data-encapsulation disable set protocols msdp active-source-limit maximum 10000 set protocols msdp peer 10.0.0.1 active-source-limit maximum 5000 set protocols msdp peer 10.0.0.1 active-source-limit threshold 4000 set protocols msdp source 10.1.0.0/16 active-source-limit maximum 500 set protocols msdp group MSDP-group mode mesh-group set protocols msdp group MSDP-group local-address 10.1.2.3 set protocols msdp group MSDP-group peer 10.10.10.10 active-source-limit maximum 7500
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。CLI のナビゲーションの詳細については、『Junos OS CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。
MSDP ソース アクティブ ルートとメッシュ グループを設定するには、次の手順に沿います。
(オプション)データカプセル化を無効にします。
[edit protocols msdp] user@host# set data-encapsulation disable
アクティブなソース制限を設定します。
[edit protocols msdp] user@host# set peer 10.0.0.1 active-source-limit maximum 5000 threshold 4000 user@host# set group MSDP-group peer 10.10.10.10 active-source-limit maximum 7500 user@host# set active-source-limit maximum 10000 user@host# set source 10.1.0.0/16 active-source-limit maximum 500
(オプション)警告メッセージがログに記録されるしきい値と、ログ メッセージ間の時間を設定します。
[edit protocols msdp] user@host# set active-source-limit log-warning 80 user@host# set active-source-limit log-interval 20
メッシュ グループを設定します。
[edit protocols msdp] user@host# set group MSDP-group mode mesh-group user@host# set group MSDP-group peer 10.10.10.10 user@host# set group MSDP-group local-address 10.1.2.3
デバイスの設定が完了したら、設定をコミットします。
[edit routing-instances] user@host# commit
結果
show protocols コマンドを入力して設定を確認します。
user@host# show protocols
msdp {
data-encapsulation disable;
active-source-limit {
maximum 10000;
}
peer 10.0.0.1 {
active-source-limit {
maximum 5000;
threshold 4000;
}
}
source 10.1.0.0/16 {
active-source-limit {
maximum 500;
}
}
group MSDP-group {
mode mesh-group;
local-address 10.1.2.3;
peer 10.10.10.10 {
active-source-limit {
maximum 7500;
}
}
}
}
検証
設定を検証するには、次のコマンドを実行します。
show msdp source-active
show msdp statistics
MSDP プロトコル トラフィックのトレース
トレース操作は、送受信されるさまざまなタイプのルーティング プロトコル パケット、ルーティング ポリシー アクションなど、ルーティング プロトコルの運用に関する詳細なメッセージを記録します。ログに記録するトレース操作を指定するには、特定のトレース フラグを含めます。次の表に、含めるフラグを示します。
フラグ |
説明 |
|---|---|
すべての |
すべての操作をトレースします。 |
一般 |
一般的なイベントをトレースします。 |
Keepalive |
キープアライブ メッセージをトレースします。 |
通常 |
正常なイベントをトレースします。 |
パケット |
すべての MSDP パケットをトレースします。 |
ポリシー |
トレース ポリシー処理。 |
ルート |
MSDP の変更をルーティング テーブルにトレースします。 |
ソースアクティブ |
送信元とアクティブなパケットをトレースします。 |
source-active-request |
ソース/アクティブ要求パケットをトレースします。 |
source-active-response |
ソース/アクティブ応答パケットをトレースします。 |
状態 |
状態の移行をトレースします。 |
タスク |
タスク処理をトレースします。 |
タイマー |
タイマー処理をトレースします。 |
MSDP トレースは、すべてのピア、特定のグループ内のすべてのピア、または特定のピアに対して設定できます。
次の例では、すべてのルーティング プロトコル パケットに対してトレースが有効になっています。その後、特定のグループの MSDP ピアのみに焦点を絞ってトレースを絞り込みます。MSDP のトレース操作を設定するには、次の手順に進めます。
「」も参照
MSDP の無効化
ルーターで MSDP を無効にするには、次のステートメントを disable 含めます。
disable;
MSDP は、すべてのピア、グループ内のすべてのピア、または個々のピアに対してグローバルに無効にすることができます。
すべての MSDP ピアについて、以下の階層レベルでグローバルに表示します。
[edit protocols msdp][edit logical-systems logical-system-name protocols msdp][edit routing-instances routing-instance-name protocols msdp][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp]
以下の階層レベルのグループ内のすべてのピアについて、
[edit protocols msdp group group-name][edit logical-systems logical-system-name protocols msdp group group-name][edit routing-instances routing-instance-name protocols msdp group group-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp group group-name]
以下の階層レベルの個々のピアの場合:
[edit protocols msdp peer address][edit protocols msdp group group-name peer address][edit logical-systems logical-system-name protocols msdp peer address][edit logical-systems logical-system-name protocols msdp group group-name peer address][edit routing-instances routing-instance-name protocols msdp peer address][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp peer address][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp group group-name peer address]
グループ レベルで MSDP を無効にした場合、グループ内の各ピアは無効になります。
例:MSDP の設定
PIM スパース モード ランデブー ポイントおよび MSDP ピアとして機能するようにルーターを設定します。
[edit]
routing-options {
interface-routes {
rib-group ifrg;
}
rib-groups {
ifrg {
import-rib [inet.0 inet.2];
}
mcrg {
export-rib inet.2;
import-rib inet.2;
}
}
}
protocols {
bgp {
group lab {
type internal;
family any;
neighbor 192.168.6.18 {
local-address 192.168.6.17;
}
}
}
pim {
dense-groups {
224.0.1.39/32;
224.0.1.40/32;
}
rib-group mcrg;
rp {
local {
address 192.168.1.1;
}
}
interface all {
mode sparse-dense;
version 1;
}
}
msdp {
rib-group mcrg;
group lab {
peer 192.168.6.18 {
local-address 192.168.6.17;
}
}
}
}