例:MSDP の設定
MSDP について
マルチキャスト ルーティング ドメインの接続には、MSDP(マルチキャスト ソース検出プロトコル)が使用されます。通常、PIM(プロトコル独立マルチキャスト)スパースモードランデブーポイント(RP)と同じルーターで実行されます。各 MSDP ルーターは、BGP がピアを確立するのと同様に、内部および外部の MSDP ピアと隣接関係を確立します。これらのピア ルーターは、ドメイン内のアクティブなソースについて相互に通知します。ルーターは、アクティブな送信元を検出すると、PIM スパース モードの明示的参加メッセージをアクティブな送信元に送信できます。
上位の IP アドレスを持つピアは、既知のポート番号を受動的にリッスンし、下位の IP アドレスを持つ側が伝送制御プロトコル(TCP)接続を確立するのを待ちます。MSDP を実行している PIM スパース モード RP は、新しいローカル ソースを認識すると、ソース アクティブ タイプ、長さ、および値(TLV)を MSDP ピアに送信します。送信元アクティブ TLV を受信すると、ピア RPF(ピア RPF)チェックが実行され、このピアが送信元 RP に戻るパスであることを確認します。そうでない場合、ソースアクティブ TLV はドロップされます。このTLVは、「拒否された」ソースアクティブメッセージとしてカウントされます。
MSDP ピア RPF チェックは、非 MSDP マルチキャスト ルータによって行われる通常の RPF チェックとは異なります。ピア RPF チェックの目的は、ソースアクティブメッセージのループを停止することです。ルーター R は、ルーター S が発信した送信元アクティブ メッセージを、ネイバーのルーター N または MSDP メッシュ グループ メンバーからだけ受け入れます。
S ------------------> N ------------------> R
ルーター R(アクティブ ソース メッセージを受け入れる、または拒否するルーター)は、MSDP ピア RPF ネイバー(ルーター N)を決定論的に見つけます。一連のルールが特定の順序で受信された送信元アクティブ メッセージに適用され、最初に適用されるルールによってピア RPF ネイバーが決定されます。他のルーターからの送信元アクティブメッセージはすべて拒否されます。
ルーター R でルーター N から受信した送信元アクティブ メッセージに適用される 6 つのルールは次のとおりです。
ルーター N が送信元アクティブ メッセージを発信した場合(ルーター N はルーター S)、ルーター N はピア RPF ネイバーでもあり、その送信元アクティブ メッセージが受け入れられます。
ルーターNがルーターRメッシュグループのメンバーであるか、設定されたピアである場合、ルーターNはピアRPFネイバーであり、その送信元アクティブメッセージが受け入れられます。
ルーター N がルーター S に向かうアクティブ マルチキャスト RPF ルートの BGP ネクスト ホップである場合(ルーター N がルーター R にルートをインストールした場合)、ルーター N はピア RPF ネイバーであり、その送信元アクティブ メッセージが受け入れられます。
ルーターNがルーターRの外部BGP(EBGP)または内部BGP(IBGP)ピアであり、ルーターSへのBGPパスの最後の自律システム(AS)番号がルーターNのAS番号と同じ場合、ルーターNはピアRPFネイバーであり、その送信元アクティブメッセージが受け入れられます。
ルーター N がルーター S のネクストホップと同じネクストホップを使用する場合、ルーター N はピア RPF ネイバーとなり、その送信元アクティブ メッセージが受け入れられます。
ルーター N がこれらの基準のいずれにも当てはまらない場合、ルーター N は MSDP ピア RPF ネイバーではないため、送信元アクティブ メッセージは拒否されます。
ソースアクティブTLVを受信するMSDPピアは、BGP到達可能性情報によって制約されることがあります。ネットワーク層到達可能性情報(NLRI)のASパスの先頭に受信ピアのAS番号が最後から2番目に付加されている場合、送信ピアはこの送信元のネクストホップとして受信ピアを使用しています。スプリット ホライズン情報が受信されない場合は、ソースがアクティブな TLV 配信リストからピアを除外できます。
MSDP メッシュ グループの設定については、 例:アクティブなソース制限とメッシュ グループを使用した MSDP の設定を参照してください。
関連項目
MSDP の設定
MSDP(マルチキャスト ソース検出プロトコル)を設定するには、 msdp ステートメントを含めます。
msdp { disable; active-source-limit { maximum number; threshold number; } data-encapsulation (disable | enable); export [ policy-names ]; group group-name { ... group-configuration ... } hold-time seconds; import [ policy-names ]; local-address address; keep-alive seconds; peer address { ... peer-configuration ... } rib-group group-name; source ip-prefix</prefix-length> { active-source-limit { maximum number; threshold number; } } sa-hold-time seconds; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier > <disable>; } group group-name { disable; export [ policy-names ]; import [ policy-names ]; local-address address; mode (mesh-group | standard); peer address { ... same statements as at the [edit protocols msdp peer address] hierarchy level shown just following ... } traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } } peer address { disable; active-source-limit { maximum number; threshold number; } authentication-key peer-key; default-peer; export [ policy-names ]; import [ policy-names ]; local-address address; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } } }
以下の階層レベルでこのステートメントを含めることができます。
[edit protocols][edit routing-instances routing-instance-name protocols][edit logical-systems logical-system-name protocols][edit logical-systems logical-system-name routing-instances routing-instance-name protocols]
デフォルトでは、MSDP はディセーブルになっています。
関連項目
例:ルーティング インスタンスでの MSDP の設定
この例では、VRF インスタンスで MSDP を設定する方法を示します。
必要条件
始める前に:
ルーター インターフェイスを設定します。
内部ゲートウェイ プロトコルまたはスタティック ルーティングを設定します。 ルーティングデバイス用 Junos OS ルーティングプロトコルライブラリをご覧ください。
PIM を有効にします。 「PIM の概要」を参照してください。
概要
MSDPは、次のタイプのインスタンスで設定できます。
回送
転送なし
仮想ルーター
VPLS
ティッカー
ルーティング インスタンスでの MSDP の主な用途は、ネットワーク内のエニーキャスト RP をサポートすることで、冗長 RP を設定できます。エニーキャスト RP アドレッシングでは、RP 間でアクティブなソースを同期するために MSDP のサポートが必要です。
この例には、次の MSDP 設定が含まれています。
authentication-key—デフォルトでは、マルチキャストルーターは、設定されたピアアドレスから適切にフォーマットされたMSDPメッセージを受け入れて処理します。MSDP メッセージは、定義上、マルチキャスト ルーターの組織のセキュリティ プラクティスの制御が及ばない別のルーティング ドメインから送信されるため、この既定の動作は、多くの組織のセキュリティ ポリシーに違反する可能性があります。
ルーターは、MSDPピアリングセッションのTCPメッセージダイジェスト5(MD5)署名オプションを使用して、MSDPメッセージを認証できます。この認証は、MSDP ピアリング セッションに導入されるスプーフィングされたパケットに対する保護を提供します。MSDP 認証を実装する 2 つの組織は、両方のピアで人間が判読できるキーを決定する必要があります。この鍵は、2 つのピア間で送信される各 MSDP セグメントの MD5 シグネチャ計算に含まれます。
MSDP 認証キーは、MSDP ピアがグループで定義されているか個別に定義されているかに関係なく、ピアごとに設定します。同じピアに、グループ内の認証キーと個別の認証キーを設定すると、個別のキーが使用されます。
ピアキーには、最大 16 文字と数字のテキスト文字列を使用できます。文字列には、(,)、&、および [] を除く任意の ASCII 文字を含めることができます。MSDP 認証キーにスペースを含める場合は、すべての文字を引用符(" ")で囲みます。
ピアリング セッションで MSDP 認証キーを追加、削除、または変更すると、既存の MSDP セッションがリセットされ、影響を受ける MSDP ピア間に新しいセッションが確立されます。この即時セッション終了により、キーの不一致による過度の再送信や最終的なセッションタイムアウトを防ぐことができます。
インポート と エクスポート—すべてのルーティングプロトコルは、ルーティングテーブルを使用して、学習したルートを保存し、プロトコルパケットでアドバタイズするルートを決定します。ルーティング・ポリシーは、ルーティング・プロトコルがルーティング・テーブルに格納するルート、およびルーティング・テーブルから取得するルートを制御することができます。
ルーティングポリシーは、グローバルに、グループに対して、または個々のピアに対して設定できます。この例では、個々のピアに対してポリシーを設定する方法を示しています。
グループレベルでルーティング・ポリシーを設定すると、グループ内の各ピアがグループのルーティング・ポリシーを継承します。
import ステートメントは、MSDP からソースアクティブキャッシュにインポートされるソースアクティブメッセージにポリシーを適用します。export ステートメントは、ソースアクティブキャッシュから MSDP にエクスポートされるソースアクティブメッセージにポリシーを適用します。複数のポリシーを指定した場合は、指定した最初から最後の順序で評価され、最初に一致したポリシーがルートに適用されます。インポート ポリシーに一致するものが見つからない場合、MSDP は MSDP ルーターから学習したルートのみをルーティング テーブルと共有します。エクスポート ポリシーに一致するものが見つからない場合は、デフォルトの MSDP エクスポート ポリシーがソースアクティブ キャッシュ内のエントリに適用されます。整合条件のリストについては、表 1 を参照してください。
表 1: MSDP ソースアクティブ メッセージ フィルタ一致条件 一致条件
試合内容
インターフェイス
ルーターインターフェイス、または名前またはIPアドレスで指定されたインターフェイス
隣人
ネイバー アドレス(送信元アクティブ メッセージの IP ヘッダー内の送信元アドレス)
ルートフィルター
送信元アクティブメッセージに埋め込まれたマルチキャストグループアドレス
送信元アドレスフィルター
送信元アクティブ メッセージに埋め込まれたマルチキャスト送信元アドレス
ローカルアドレス—MSDPルーター(ローカルルーター)として設定するルーターのアドレスを特定します。MSDP を設定する場合、 ローカル アドレス ステートメントが必要です。また、ルーターは、PIM(プロトコル独立マルチキャスト)スパースモード ランデブー ポイント(RP)である必要があります。
ピア—MSDPルーターは、どのルーターがピアであるかを知っている必要があります。ピア関係を明示的に定義するには、ローカル ルーターの MSDP ピアである隣接ルーターを設定します。ピア関係が確立されると、MSDP ピアはメッセージを交換して、アクティブなマルチキャスト ソースをアドバタイズします。MSDP が機能するためには、少なくとも 1 つのピアを設定する必要があります。MSDP を設定する場合、 ピア ステートメントは必須です。また、ルーターは、PIM(プロトコル独立マルチキャスト)スパースモード ランデブー ポイント(RP)である必要があります。
MSDP ピアをグループにまとめることができます。各グループには、少なくとも 1 つのピアが含まれている必要があります。ピアをグループに配置すると、一部のピアからのソースをブロックして他のピアから受け入れる場合や、あるグループにトレースオプションを設定し、他のグループには設定しない場合に便利です。この例では、MSDP ピアをグループで設定する方法を示しています。グループにMSDPピアを設定すると、グループ内の各ピアがすべてのグループレベルオプションを継承します。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set policy-options policy-statement bgp-to-ospf term 1 from protocol bgp set policy-options policy-statement bgp-to-ospf term 1 then accept set policy-options policy-statement sa-filter term bad-groups from route-filter 224.0.1.2/32 exact set policy-options policy-statement sa-filter term bad-groups from route-filter 224.77.0.0/16 orlonger set policy-options policy-statement sa-filter term bad-groups then reject set policy-options policy-statement sa-filter term bad-sources from source-address-filter 10.0.0.0/8 orlonger set policy-options policy-statement sa-filter term bad-sources from source-address-filter 127.0.0.0/8 orlonger set policy-options policy-statement sa-filter term bad-sources then reject set policy-options policy-statement sa-filter term accept-everything-else then accept set routing-instances VPN-100 instance-type vrf set routing-instances VPN-100 interface ge-0/0/0.100 set routing-instances VPN-100 interface lo0.100 set routing-instances VPN-100 route-distinguisher 10.255.120.36:100 set routing-instances VPN-100 vrf-target target:100:1 set routing-instances VPN-100 protocols ospf export bgp-to-ospf set routing-instances VPN-100 protocols ospf area 0.0.0.0 interface lo0.100 set routing-instances VPN-100 protocols ospf area 0.0.0.0 interface ge-0/0/0.100 set routing-instances VPN-100 protocols pim rp static address 11.11.47.100 set routing-instances VPN-100 protocols pim interface lo0.100 mode sparse-dense set routing-instances VPN-100 protocols pim interface lo0.100 version 2 set routing-instances VPN-100 protocols pim interface ge-0/0/0.100 mode sparse-dense set routing-instances VPN-100 protocols pim interface ge-0/0/0.100 version 2 set routing-instances VPN-100 protocols msdp export sa-filter set routing-instances VPN-100 protocols msdp import sa-filter set routing-instances VPN-100 protocols msdp group 100 local-address 10.10.47.100 set routing-instances VPN-100 protocols msdp group 100 peer 10.255.120.39 authentication-key “New York” set routing-instances VPN-100 protocols msdp group to_pe local-address 10.10.47.100 set routing-instances VPN-100 protocols msdp group to_pe peer 11.11.47.100
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLI のナビゲーションについては、『Junos OS CLIユーザーガイド』の「 コンフィギュレーション・モードで CLI エディタを使用する」を参照してください。
MSDP ルーティング インスタンスを設定するには:
BGP エクスポート ポリシーを設定します。
[edit policy-options] user@host# set policy-statement bgp-to-ospf term 1 from protocol bgp user@host# set policy-statement bgp-to-ospf term 1 then accept
特定の送信元およびグループアドレスを除外し、他のすべての送信元およびグループアドレスを受け入れるポリシーを設定します。
[edit policy-options] user@host# set policy-statement sa-filter term bad-groups from route-filter 224.0.1.2/32 exact user@host# set policy-statement sa-filter term bad-groups from route-filter 224.0.1.2/32 exact user@host# set policy-statement sa-filter term bad-groups from route-filter 224.77.0.0/16 orlonger user@host# set policy-statement sa-filter term bad-groups then reject user@host# set policy-statement sa-filter term bad-sources from source-address-filter 10.0.0.0/8 orlonger user@host# set policy-statement sa-filter term bad-sources from source-address-filter 127.0.0.0/8 orlonger user@host# set policy-statement sa-filter term bad-sources then reject user@host# set policy-statement sa-filter term accept-everything-else then accept
ルーティングインスタンスのタイプとインターフェイスを設定します。
[edit routing-instances] user@host# set VPN-100 instance-type vrf user@host# set VPN-100 interface ge-0/0/0.100 user@host# set VPN-100 interface lo0.100
ルーティングインスタンスルート識別子とVRFターゲットを設定します。
[edit routing-instances] user@host# set VPN-100 route-distinguisher 10.255.120.36:100 user@host# set VPN-100 vrf-target target:100:1
ルーティングインスタンスでOSPFを設定します。
[edit routing-instances] user@host# set VPN-100 protocols ospf export bgp-to-ospf user@host# set VPN-100 protocols ospf area 0.0.0.0 interface lo0.100 user@host# set VPN-100 protocols ospf area 0.0.0.0 interface ge-0/0/0.100
ルーティングインスタンスでPIMを設定します。
[edit routing-instances] user@host# set VPN-100 protocols pim rp static address 11.11.47.100 user@host# set VPN-100 protocols pim interface lo0.100 mode sparse-dense user@host# set VPN-100 protocols pim interface lo0.100 version 2 user@host# set VPN-100 protocols pim interface ge-0/0/0.100 mode sparse-dense user@host# set VPN-100 protocols pim interface ge-0/0/0.100 version 2
ルーティングインスタンスでMSDPを設定します。
[edit routing-instances] user@host# set VPN-100 protocols msdp export sa-filter user@host# set VPN-100 protocols msdp import sa-filter user@host# set VPN-100 protocols msdp group 100 local-address 10.10.47.100 user@host# set VPN-100 protocols msdp group 100 peer 10.255.120.39 authentication-key “New York” [edit routing-instances] user@host# set VPN-100 protocols msdp group to_pe local-address 10.10.47.100 [edit routing-instances] user@host# set VPN-100 protocols msdp group to_pe peer 11.11.47.100
デバイスの設定が完了したら、設定をコミットします。
[edit routing-instances] user@host# commit
業績
設定モードから show policy-options コマンドと show routing-instances コマンドを入力し、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host# show policy-options
policy-statement bgp-to-ospf {
term 1 {
from protocol bgp;
then accept;
}
}
policy-statement sa-filter {
term bad-groups {
from {
route-filter 224.0.1.2/32 exact;
route-filter 224.77.0.0/16 orlonger;
}
then reject;
}
term bad-sources {
from {
source-address-filter 10.0.0.0/8 orlonger;
source-address-filter 127.0.0.0/8 orlonger;
}
then reject;
}
term accept-everything-else {
then accept;
}
}
user@host# show routing-instances
VPN-100 {
instance-type vrf;
interface ge-0/0/0.100; ## 'ge-0/0/0.100' is not defined
interface lo0.100; ## 'lo0.100' is not defined
route-distinguisher 10.255.120.36:100;
vrf-target target:100:1;
protocols {
ospf {
export bgp-to-ospf;
area 0.0.0.0 {
interface lo0.100;
interface ge-0/0/0.100;
}
}
pim {
rp {
static {
address 11.11.47.100;
}
}
interface lo0.100 {
mode sparse-dense;
version 2;
}
interface ge-0/0/0.100 {
mode sparse-dense;
version 2;
}
}
msdp {
export sa-filter;
import sa-filter;
group 100 {
local-address 10.10.47.100;
peer 10.255.120.39 {
authentication-key "Hashed key found - Replaced with $ABC123abc123"; ## SECRET-DATA
}
}
group to_pe {
local-address 10.10.47.100;
peer 11.11.47.100;
}
}
}
}
検証
構成を確認するには、次のコマンドを実行します。
show msdp instance VPN-100
show msdp source-active VPN-100
マルチキャスト使用インスタンスVPN-100を表示
show route table VPN-100.inet.4
リモートソースからのトラフィックを受け入れるためのインターフェイスの設定
リモートソースからのマルチキャストトラフィックを受け入れるように着信インターフェイスを設定できます。リモートソースとは、着信インターフェイスと同じサブネット上にないソースのことです。 図2 は、R2が1つのサブネット上のR1ソースに接続し、別のサブネット上のR3上の受信インターフェイス(図のge-1/3/0.0)に接続するようなトポロジを示しています。
からのマルチキャストトラフィックの受け入れ
このトポロジーでは、R2 は PIM を実行していないパススルー デバイスであるため、R3 は R1 から送信されたマルチキャスト パケットのファースト ホップ ルーターになります。R1 と R3 は異なるサブネットに存在するため、R3 のデフォルトの動作では R1 はリモート ソースとして無視されます。ただし、ターゲット インターフェイスで accept-remote-source を有効にすることで、R3 に R1 からのマルチキャスト トラフィックを受け込ませることができます。
リモートソースからのトラフィックを受け入れるには:
関連項目
例:アクティブなソース制限とメッシュ グループを使用した MSDP の設定
この例では、送信元アクティブ メッセージをフィルタリングし、送信元アクティブ メッセージのフラッディングを制限するように MSDP を設定する方法を示します。
必要条件
始める前に:
ルーター インターフェイスを設定します。
内部ゲートウェイ プロトコルまたはスタティック ルーティングを設定します。 ルーティングデバイス用 Junos OS ルーティングプロトコルライブラリをご覧ください。
PIM スパース モードを有効にします。 「PIM の概要」を参照してください。
ルーターを PIM スパースモード RP として設定します。 ローカル PIM RP の設定を参照してください。
概要
RP などの MSDP メッセージを必要とするルータは、他のルータから着信する大量の MSDP メッセージ、特に送信元アクティブ メッセージを処理しなければならない場合があります。ルーターは、多くの MSDP パケットの状態テーブルを調査、処理、および作成する必要があるため、MSDP を実行しているルーターに対して MSDP ベースのサービス拒否(DoS)攻撃を受ける可能性があります。この可能性を最小限に抑えるために、ルーターが受け入れる送信元アクティブ メッセージの数を制限するようにルーターを設定できます。また、ランダム早期検出(RED)を適用するしきい値を設定して、すべてではなく一部の MSDP アクティブ送信元メッセージをドロップすることもできます。
デフォルトでは、ルーターは 25,000 件の送信元アクティブ メッセージを受け入れてから、残りを無視します。制限は 1 から 1,000,000 までです。この制限は、メッセージの数と MSDP ピアの数の両方に適用されます。
デフォルトでは、ルーターは DoS 攻撃の可能性を防ぐために、RED プロファイルを適用する前に 24,000 件の送信元アクティブメッセージを受け入れます。この数値の範囲は 1 から 1,000,000 にすることもできます。次の 1000 件のメッセージが RED プロファイルによってスクリーニングされ、受け入れられたメッセージが処理されます。ドロッププロファイルを設定しない場合(この例では設定されません)、REDは引き続き有効であり、輻輳を管理するための主要なメカニズムとして機能します。デフォルトの RED ドロッププロファイルでは、パケットキューのフィルレベルが 0 パーセントの場合、ドロップ確率は 0 パーセントです。充填レベルが 100% の場合、落下確率は 100% です。
ルーターは、カプセル化されたTCPパケットを持つ送信元アクティブメッセージを無視します。マルチキャストは TCP を使用しません。ソースアクティブメッセージ内のセグメントは、ワームアクティビティの結果である可能性が最も高いです。
しきい値に設定される数は、アクティブな MSDP ソースの最大数に対して設定された数より小さくなければなりません。
アクティブなソース制限は、グローバルに、グループに対して、またはピアに対して設定できます。アクティブなソース制限が階層の複数のレベルで設定されている場合(この例を参照)、すべてが適用されます。
アクティブ ソース制限は、アドレス範囲および特定のピアに対して設定できます。ソースごとのアクティブな送信元制限では、特定のアドレスではなく、IP プレフィックスとプレフィックス長を使用します。ソースごとのアクティブなソース制限を複数設定できます。最も長い一致によって制限が決まります。
ソースごとのアクティブソース制限は、ピア、グループ、グローバル(インスタンス)階層レベルで、アクティブなソース制限と組み合わせることができます。ソースごとの制限は、他のタイプのアクティブなソース制限よりも前に適用されます。制限は次の順序でテストされます。
ソースごと
ピア単位またはグループ単位
インスタンスごと
アクティブな送信元メッセージは、受け入れられる前に設定されたすべての制限に「合格」する必要があります。たとえば、送信元がアクティブなマルチキャストグループ10,000のアクティブなソース制限で設定され、インスタンスが5000の制限で設定されている場合(他のソースや制限が設定されていない場合)、この送信元からのアクティブな送信元メッセージは5000のみ受け入れられます。
MSDP メッシュ グループは、フルメッシュ トポロジで設定されたピアのグループで、隣接するピアへの送信元アクティブ メッセージのフラッディングを制限します。すべてのメッシュグループメンバーは、他のすべてのメッシュグループメンバーとピア接続を持っている必要があります。メッシュグループメンバーからソースアクティブメッセージを受信すると、ソースアクティブメッセージは常に受け入れられますが、同じメッシュグループの他のメンバーにはフラッディングされません。ただし、source-active メッセージは、非メッシュ グループ ピアまたは他のメッシュ グループのメンバーにフラッディングされます。既定では、 mesh-group が指定されていない場合、標準のフラッディング ルールが適用されます。
MSDP メッシュ グループを設定する場合は、すべてのメンバーを同じ方法で設定する必要があります。フルメッシュを設定しないと、送信元アクティブメッセージが過剰にフラッディングする可能性があります。
MSDP メッシュ グループの一般的なアプリケーションは、ピア RPF(ピア リバース パス フォワーディング)チェック バイパスです。たとえば、自律システム(AS)内に2つのMSDPピアがあり、そのうちの1つだけが別のASへの外部MSDPセッションを持っている場合、内部MSDPピアは、外部リンクを持つピアによってリレーされた受信ソースアクティブメッセージを拒否することがよくあります。拒否が発生するのは、外部MSDPピアが内部MSDPピアから別のASのソースに向かうネクストホップを介して到達可能でなければならず、このネクストホップの状態が定かではないためです。拒否されないようにするには、内部 MSDP ピアに MSDP メッシュ グループを設定して、常に送信元アクティブ メッセージを受け入れるようにします。
ピア RPF チェックをバイパスする別の方法は、デフォルト ピアを設定することです。MSDP ピアが 1 つしかないネットワーク、特にスタブ ネットワークでは、source-active メッセージを常に受け入れる必要があります。MSDP デフォルト ピアは、ピア RPF チェックを実行せずにすべての送信元アクティブ メッセージが受け入れられる MSDP ピアです。 default-peer ステートメントを含めることで、ピアまたはグループ レベルでデフォルト ピアを確立できます。
表 2 に、この例のピアによるフラッディングの処理方法を示します。.
送信元アクティブ メッセージの受信元 |
送信元アクティブ メッセージのフラッディング先 |
送信元アクティブ メッセージがフラッディングされていない |
|---|---|---|
ピア21 |
ピア 11、ピア 12、ピア 13、ピア 31、ピア 32 |
ピア 22 |
ピア11 |
ピア 21、ピア 22、ピア 31、ピア 32 |
ピア12、ピア13 |
ピア31 |
ピア 21、ピア 22、ピア 11、ピア 12、ピア 13、ピア 32 |
– |
図 3 は、異なるメッシュ グループと同じメッシュ グループ内のピア間の送信元アクティブ メッセージ フラッディングを示しています。
この例には、次の設定が含まれています。
active-source-limit maximum 10000—10,000 のアクティブ ソースの制限を他のすべてのピアに適用します。
データカプセル化の無効化:MSDP を使用する RP ルータでは、MSDP ソースアクティブ メッセージ内の MSDP 登録メッセージで受信したマルチキャスト データのデフォルトのカプセル化を無効にします。
MSDP データ カプセル化は、主にマルチキャスト トラフィックのバースト性ソースに関係します。数分に 1 パケットしか送信しない送信元は、送信元とそのマルチキャスト グループ (S,G) 間の状態関係のタイムアウトに問題があります。ルーターは、(S,G)状態テーブルを再確立しようとする間にデータを失います。その結果、マルチキャスト レジスタ メッセージにはデータが含まれ、MSDP ソースアクティブ メッセージでのこのデータ カプセル化は、設定によってオンまたはオフにできます。
デフォルトでは、MSDP データ カプセル化は有効になっています。MSDP を実行している RP は、送信元の登録メッセージに到着したデータ パケットを取得し、MSDP 送信元アクティブ メッセージ内にデータをカプセル化します。
ただし、データカプセル化では、 inet.1 テーブルにマルチキャスト転送キャッシュエントリ(転送テーブルでもあります)と 、inet.4 テーブルにルーティングテーブルエントリの両方が作成されます。データ カプセル化を使用しない場合、MSDP は inet.4 テーブルにルーティング テーブルのエントリーのみを作成します。インターネットワームの存在やその他の形態のDoS攻撃など、状況によっては、ルーターの転送テーブルがこれらのエントリでいっぱいになることがあります。転送テーブルがMSDPエントリーでいっぱいになるのを防ぐために、MSDPデータカプセル化を使用しないようにルーターを設定できます。ただし、データ カプセル化を無効にすると、ルーターはカプセル化されたデータを無視して廃棄します。データのカプセル化を使用しないと、送信間隔が約 3 分を超えるバースト性ソースを持つマルチキャスト アプリケーションはうまく動作しない可能性があります。
グループ MSDP グループ ローカル アドレス 10.1.2.3:ローカル ルータ(このルータ)のアドレスを指定します。
グループ MSDP グループ モード mesh-group: MSDP グループ グループに属するすべてのピアがメッシュ グループ メンバーであることを指定します。
グループ MSDP グループ ピア 10.10.10.10:隣接ピア 10.10.10.10 への送信元アクティブ メッセージの送信を防止します。
グループMSDPグループピア10.10.10.10アクティブソース制限最大7500:グループ MSDPグループのMSDPピア10.10.10.10に7500のアクティブソースの制限を適用します。
ピア 10.0.0.1 アクティブソース制限最大5000しきい値 4000:MSDPピア10.0.0.1に4000アクティブソースのスレッシュホールドと5000アクティブソースの制限を適用します。
source 10.1.0.0/16 active-source-limit maximum 500:10.1.0.0/16 ネットワーク上の任意の送信元に 500 個のアクティブ ソースの制限を適用します。
位相幾何学
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set protocols msdp data-encapsulation disable set protocols msdp active-source-limit maximum 10000 set protocols msdp peer 10.0.0.1 active-source-limit maximum 5000 set protocols msdp peer 10.0.0.1 active-source-limit threshold 4000 set protocols msdp source 10.1.0.0/16 active-source-limit maximum 500 set protocols msdp group MSDP-group mode mesh-group set protocols msdp group MSDP-group local-address 10.1.2.3 set protocols msdp group MSDP-group peer 10.10.10.10 active-source-limit maximum 7500
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、『Junos OS CLIユーザーガイド』の「 コンフィギュレーション・モードで CLI エディタを使用する」を参照してください。
MSDPソースのアクティブルートとメッシュグループを設定するには、次の手順に従います。
(オプション)データのカプセル化を無効にします。
[edit protocols msdp] user@host# set data-encapsulation disable
アクティブなソース制限を設定します。
[edit protocols msdp] user@host# set peer 10.0.0.1 active-source-limit maximum 5000 threshold 4000 user@host# set group MSDP-group peer 10.10.10.10 active-source-limit maximum 7500 user@host# set active-source-limit maximum 10000 user@host# set source 10.1.0.0/16 active-source-limit maximum 500
(オプション)警告メッセージが記録されるしきい値と、ログ メッセージ間の時間を設定します。
[edit protocols msdp] user@host# set active-source-limit log-warning 80 user@host# set active-source-limit log-interval 20
メッシュグループを設定します。
[edit protocols msdp] user@host# set group MSDP-group mode mesh-group user@host# set group MSDP-group peer 10.10.10.10 user@host# set group MSDP-group local-address 10.1.2.3
デバイスの設定が完了したら、設定をコミットします。
[edit routing-instances] user@host# commit
業績
show protocols コマンドを入力して、設定を確認します。
user@host# show protocols
msdp {
data-encapsulation disable;
active-source-limit {
maximum 10000;
}
peer 10.0.0.1 {
active-source-limit {
maximum 5000;
threshold 4000;
}
}
source 10.1.0.0/16 {
active-source-limit {
maximum 500;
}
}
group MSDP-group {
mode mesh-group;
local-address 10.1.2.3;
peer 10.10.10.10 {
active-source-limit {
maximum 7500;
}
}
}
}
検証
構成を確認するには、次のコマンドを実行します。
show msdp source-active
MSDP の統計情報を表示する
MSDP プロトコル トラフィックのトレース
トレース操作では、送受信される各種ルーティングプロトコルパケットやルーティングポリシーアクションなど、ルーティングプロトコルの動作に関する詳細メッセージを記録します。特定のトレース フラグを含めることで、どのトレース操作をログに記録するかを指定できます。次の表では、含めることができるフラグについて説明します。
旗 |
形容 |
|---|---|
すべての |
すべての操作をトレースします。 |
全般 |
一般的なイベントをトレースします。 |
キープアライブ |
キープアライブ メッセージをトレースします。 |
正常 |
通常のイベントをトレースします。 |
パケット |
すべての MSDP パケットをトレースします。 |
政策 |
トレース・ポリシー処理。 |
ルート |
ルーティング テーブルに対する MSDP の変更をトレースします。 |
ソースアクティブ |
送信元がアクティブなパケットをトレースします。 |
ソースアクティブ要求 |
ソース-アクティブ要求パケットをトレースします。 |
ソースアクティブ応答 |
送信元がアクティブな応答パケットをトレースします。 |
状態 |
状態遷移をトレースします。 |
タスク |
タスク処理をトレースします。 |
タイマー |
トレース・タイマー処理。 |
MSDP トレースは、すべてのピア、特定のグループ内のすべてのピア、または特定のピアに対して設定できます。
次の例では、すべてのルーティング プロトコル パケットに対してトレースが有効になっています。その後、特定のグループ内のMSDPピアのみにトレースを絞り込みます。MSDP のトレース操作を設定するには、次の手順に従います。
関連項目
MSDP の無効化
ルーターで MSDP を無効にするには、 disable ステートメントを含めます。
disable;
MSDPは、すべてのピア、グループ内のすべてのピア、または個々のピアに対してグローバルに無効にできます。
以下の階層レベルのすべてのMSDPピアに対してグローバルに。
[edit protocols msdp][edit logical-systems logical-system-name protocols msdp][edit routing-instances routing-instance-name protocols msdp][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp]
以下の階層レベルのグループ内のすべてのピア:
[edit protocols msdp group group-name][edit logical-systems logical-system-name protocols msdp group group-name][edit routing-instances routing-instance-name protocols msdp group group-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp group group-name]
以下の階層レベルの個々のピアの場合:
[edit protocols msdp peer address][edit protocols msdp group group-name peer address][edit logical-systems logical-system-name protocols msdp peer address][edit logical-systems logical-system-name protocols msdp group group-name peer address][edit routing-instances routing-instance-name protocols msdp peer address][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp peer address][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp group group-name peer address]
グループ レベルで MSDP をディセーブルにすると、グループ内の各ピアはディセーブルになります。
例:MSDP の設定
PIM スパースモード ランデブー ポイントおよび MSDP ピアとして機能するルーターを設定します。
[edit]
routing-options {
interface-routes {
rib-group ifrg;
}
rib-groups {
ifrg {
import-rib [inet.0 inet.2];
}
mcrg {
export-rib inet.2;
import-rib inet.2;
}
}
}
protocols {
bgp {
group lab {
type internal;
family any;
neighbor 192.168.6.18 {
local-address 192.168.6.17;
}
}
}
pim {
dense-groups {
224.0.1.39/32;
224.0.1.40/32;
}
rib-group mcrg;
rp {
local {
address 192.168.1.1;
}
}
interface all {
mode sparse-dense;
version 1;
}
}
msdp {
rib-group mcrg;
group lab {
peer 192.168.6.18 {
local-address 192.168.6.17;
}
}
}
}