PIM フィルタリングの設定
マルチキャスト メッセージ フィルタについて
マルチキャスト ソースとルーターは、特に PIM スパース モードを使用する場合、大量の制御メッセージを生成します。これらのメッセージは、配信ツリーを形成し、ランデブーポイント(RP)と指定ルーター(DR)の位置を特定し、ツリーのタイプ間で遷移します。ほとんどの場合、このマルチキャストメッセージングシステムは透過的かつ効率的に動作します。ただし、一部の設定では、マルチキャスト制御メッセージの送受信をより詳細に制御する必要があります。
マルチキャスト フィルタリングを設定して、マルチキャスト制御メッセージの送受信を制御できます。
不正なグループおよび送信元が RP ルータに登録されないようにするには、特定のグループおよび送信元からの PIM 登録メッセージを拒否するルーティング ポリシーを定義し、指定されたルータまたは RP ルータにポリシーを設定します。
RP ルータで拒否ポリシーを設定すると、指定されたグループおよび送信元からの着信 PIM 登録メッセージを拒否します。また、RP ルータは、ユニキャストによって指定ルータに登録停止メッセージを送信します。登録停止メッセージを受信すると、指定ルーターは、指定されたグループおよび送信元の定期的なヌル登録メッセージを RP ルーターに送信します。
指定ルーターで拒否ポリシーを設定すると、指定されたグループおよび送信元の PIM 登録メッセージの RP ルーターへの送信が停止します。
RP ルーターで拒否ポリシーを設定した場合は、マルチキャスト ネットワーク内のすべての RP ルーターで同じポリシーを設定することをお勧めします。
RP ルーターに設定された拒否ポリシーからグループと送信元アドレスを削除し、設定をコミットした場合、RP ルーターは、指定されたルータがヌル登録メッセージを送信した場合にのみ、グループと送信元を登録します。
関連項目
MAC アドレスのフィルタリング
ルーターがインターフェイス上のマルチキャストプロトコルで排他的に設定されている場合、マルチキャストはインターフェイスメディアアクセス制御(MAC)フィルターをマルチキャストプロミスキャスモードに設定し、マルチキャストグループの数は無制限になります。しかし、ルーターがマルチキャスト専用ではなく、OSPF、ルーティング情報プロトコル バージョン 2(RIPv2)、またはネットワーク タイム プロトコル(NTP)などの他のプロトコルがインターフェイス上に設定されている場合、これらの各プロトコルは、インターフェイスがそれぞれのマルチキャスト グループのみを取得するように MAC フィルターをプログラムするように個別に要求します。この場合、インターフェイスにマルチキャストが設定されていない場合、マルチキャストMACフィルターの最大数は20に制限されます。例えば、インターフェイスにマルチキャストプロトコルも設定されていない限り、OSPF(マルチキャストグループ224.0.0.5)などのプロトコルのインターフェイスMACフィルターの最大数は20です。
MAC フィルターの設定は必要ありません。
RP および DR レジスタ メッセージのフィルタリング
指定ルーター(DR)またはランデブー ポイント(RP)に送信される PIM(プロトコル独立マルチキャスト)登録メッセージをフィルタリングできます。PIM RP は、1 つの PIM スパース モード ドメイン内のすべてのアクティブなソースを追跡します。場合によっては、RP が検出するソース、または DR が他の RP に通知するソースをより詳細に制御する必要があります。RP および DR レジスタ メッセージ フィルタリングにより、PIM レジスタ メッセージを高度に制御できます。また、メッセージ フィルタリングは、許可されていないグループや送信元が RP ルータに登録されるのを防ぎます。
DR でフィルター処理された登録メッセージは RP に送信されませんが、ローカル ユーザーはソースを使用できます。RP でフィルタリングされたメッセージは送信元 DR から到着しますが、ルータでは無視されます。マルチキャスト グループ トラフィックの送信元は、RP または DR レジスタ メッセージ フィルタリングを単独で、または一緒に使用することで、制限または送信できます。
登録フィルター ポリシーのアクションが登録メッセージの破棄である場合、ルーターは登録停止メッセージを DR に送信する必要があります。登録停止メッセージは、悪意のあるユーザーが意図的にトリガーしてルーティング プロセスを中断することを防ぐために調整されます。
マルチキャスト グループと送信元の情報は、ユニキャスト IP パケット内にカプセル化されます。この機能により、ルータは PIM 登録メッセージを送信または受信する前に、マルチキャスト グループと送信元情報を検査できます。
RP への着信レジスタ メッセージは、それ以上の処理の前に、設定されたレジスタ メッセージ フィルタリング ポリシーを介して渡されます。登録メッセージが拒否された場合、RP ルータは登録停止メッセージを DR に送信します。DR が登録停止メッセージを受信すると、DR はフィルタリングされたグループとソースの登録メッセージの RP への送信を停止します。レジスタ メッセージのフィルタリングには、次の 2 つのフィールドが使用されます。
グループ マルチキャスト アドレス
送信元アドレス
既存のポリシーステートメントの構文を使用して、これら2つのフィールドのフィルタリングを設定します。 route-filter ステートメントはマルチキャスト グループ アドレス フィルタリングに、 source-address-filter ステートメントは送信元アドレス フィルタリングに有効です。ほとんどの場合、アクションは登録メッセージ を拒否する ことですが、より複雑なフィルタリングポリシーも可能です。
DRアドレス、プロトコル、ポートなどの他のヘッダーフィールドに対してフィルタリングを実行することはできません。一部の設定では、ポリシー アクションが登録メッセージを破棄する場合、RP が登録停止メッセージを送信しない場合があります。これは機能の動作には影響しませんが、ルーターは引き続き登録メッセージを受信します。
エニーキャスト RP が設定されている場合、登録メッセージは RP によって送受信できます。エニーキャスト RP セット内のすべての RP は、同じ RP レジスタ メッセージ フィルタリング ポリシーで設定する必要があります。そうしないと、フィルタリングポリシーを回避できる可能性があります。
関連項目
MSDP SA メッセージのフィルタリング
グループおよびソースの SA がネットワークに出入りするのを防ぐために、すべての外部 MSDP セッション(インおよびアウト)に MSDP ソース アクティブ(SA)フィルタを適用するとともに、ブートストラップ ルータ(BSR)フィルタを適用する必要があります。ネットワークの境界に BSR フィルタを適用すると、(RP アドレスを通知する)外部 BSR メッセージがネットワークに漏洩するのを防ぐことができます。PIM スパース モード ドメイン内のルーターは 1 台の RP ルーターのアドレスしか認識できないため、ネットワーク内に複数のルーターがあると問題が発生する可能性があります。
マルチキャスト スコープを使用してすべての顧客向けインターフェイスの境界フィルターを作成しなかった場合は、PIM Join フィルターを使用できます。マルチキャスト スコープは、実際のマルチキャスト データ パケットがインターフェイスに出入りするのを防ぎます。PIM ジョイン フィルターは、PIM スパース モードの状態が最初に作成されるのを防ぎます。PIM 結合フィルターは PIM スパース モードの状態にのみ適用されるため、マルチキャスト スコープを使用して実際のデータをフィルター処理する方が有益な場合があります。
ファイアウォールフィルターを適用する場合、 log、 sample、 countなどのファイアウォールアクション修飾子は、インバウンドインターフェイスにフィルターを適用した場合にのみ機能します。修飾子は、アウトバウンドインターフェイスでは機能しません。
関連項目
インターフェイスレベルの PIM ネイバー ポリシーの設定
ポリシーを設定して、不要な PIM ネイバーをフィルタリングすることができます。次の例では、PIM インターフェイスは、hello 処理が行われる前に、ネイバー IP アドレスをポリシー ステートメント内の IP アドレスと比較します。ネイバー IP アドレス(プライマリまたはセカンダリ)のいずれかがプレフィックス リストで指定された IP アドレスと一致する場合、PIM は hello パケットをドロップし、ネイバーを拒否します。
PIM が不要な PIM ネイバーへのネイバー隣接関係を確立した後に PIM ネイバー ポリシーを設定した場合、ネイバー保留時間が経過するまで隣接関係はそのまま残ります。不要なネイバーが隣接関係を更新するために別の Hello メッセージを送信すると、ルーターは不要なアドレスを認識してネイバーを拒否します。
不要な PIM ネイバーをフィルタリングするポリシーを設定するには:
関連項目
送信 PIM 参加メッセージのフィルタリング
ネットワークのコアが MPLS を使用している場合、PIM の参加およびプルーニング メッセージはカスタマー エッジ(CE)ルーターで停止し、コアに面するインターフェイスに PIM ネイバーがないため、コアに向かって転送されません。ネットワークのコアが IP を使用している場合、PIM の参加およびプルーニング メッセージは、ネットワークのコアにあるアップストリームの PIM ネイバーに転送されます。
ネットワークのコアが IP と MPLS を組み合わせて使用している場合、CE ルーターのアップストリームのエグレス インターフェイスで特定の PIM 参加およびプルーニング メッセージをフィルタリングすることができます。
PIM スパース モード(PIM-SM)の参加をフィルタリングし、アップストリーム方向の IPv4 および IPv6 のエグレス インターフェイスでメッセージを整理できます。メッセージは、グループ アドレス、送信元アドレス、発信インターフェイス、PIM ネイバー、またはこれらの値の組み合わせに基づいてフィルタリングできます。フィルターを削除すると、PIM 定期参加タイマーが切れた後に参加が送信されます。
イグレス インターフェイスで PIM スパース モード ジョイン メッセージをフィルタリングしてプルーニングするには、グループ アドレス、送信元アドレス、発信インターフェイス、または PIM ネイバーを拒否するポリシーを作成してから、ポリシーを適用します。
次に、グループ アドレス 224.0.1.2 および 225.1.1.1 の PIM 参加およびプルーニング メッセージをフィルタリングする例を示します。
関連項目
例:指定ルータでの発信 PIM 登録メッセージの停止
この例では、指定されたルータで発信 PIM 登録メッセージを停止する方法を示しています。
必要条件
始める前に:
ルーターがマルチキャスト ソースに直接接続されているかどうかを確認します。受信機はこれらのソースを特定できなければなりません。
ルーターがマルチキャストグループの受信者に直接接続されているかどうかを確認します。受信機が存在する場合は、IGMPが必要です。
マルチキャストをスパース モード、デンス モード、またはスパースデンス モードのいずれを使用するように構成するかを決定します。各モードには、異なる構成上の考慮事項があります。
スパース モードまたはスパース デンス モードが使用されている場合は、RP のアドレスを決定します。
スタティック設定、BSR、または自動RP方式でRPを見つけるかどうかを決定します。
PIM をスパース、デンス、またはスパースデンス モードで設定するときに、独自の RPF ルーティング テーブルを使用するようにマルチキャストを設定するかどうかを決定します。
マルチキャスト セッションのアナウンスをリッスンするように SAP プロトコルと SDP プロトコルを構成します。
IGMP を設定します。
PIM スタティック RP を設定します。
不正なグループおよび送信元からの PIM 登録メッセージをフィルタリングします。 例:RP ルータでの着信 PIM 登録メッセージの拒否を参照してください。
概要
この例では、グループ アドレスを 224.2.2.2/32 として、グループ内の送信元アドレスを 20.20.20.1/32 として設定します。グループおよび送信元アドレスの PIM 登録メッセージを送信しないように match アクションを設定します。次に、指定ルーターでポリシーを stop-pim-register-msg-drに設定します。
構成
プロシージャ
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 [edit] 階層レベルのCLIにコマンドをコピーして貼り付けます。
set policy-options policy-statement stop-pim-register-msg-dr from route-filter 224.2.2.2/32 exact set policy-options policy-statement stop-pim-register-msg-dr from source-address-filter 20.20.20.1/32 exact set policy-options policy-statement stop-pim-register-msg-dr then reject set protocols pim rp dr-register-policy stop-pim-register-msg-dr
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用するを参照してください。
指定されたルータで PIM 登録メッセージの発信を停止するには:
ポリシーのオプションを設定します。
[edit] user@host# edit policy-options
グループアドレスを設定します。
[edit policy-options] user@host# set policy statement stop-pim-register-msg-dr from route-filter 224.2.2.2/32 exact
送信元アドレスを設定します。
[edit policy-options] user@host# set policy statement stop-pim-register-msg-dr from source-address-filter 20.20.20.1/32 exact
一致アクションを設定します。
[edit policy-options] user@host# set policy statement stop-pim-register-msg-dr then reject
ポリシーを割り当てます。
[edit] user@host# set dr-register-policy stop-pim-register-msg-dr
業績
設定モードから、 show policy-options コマンドと show protocols コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show policy-options
policy-statement stop-pim-register-msg-dr {
from {
route-filter 224.2.2.2/32 exact;
source-address-filter 20.20.20.1/32 exact;
}
then reject;
}
[edit]
user@host# show protocols
pim {
rp {
dr-register-policy stop-pim-register-msg-dr;
}
}
デバイスの設定が完了したら、設定モードから コミット を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
SAPおよびSDPのアドレスとポートの検証
目的
SAP と SDP が正しいグループ アドレスとポートでリッスンするように構成されていることを確認します。
アクション
動作モードから、 show sap listen コマンドを入力します。
IGMP バージョンの検証
目的
IGMP バージョン 2 が、該当するすべてのインターフェイスで設定されていることを確認します。
アクション
動作モードから、 show igmp interface コマンドを入力します。
PIM モードとインターフェイス設定の確認
目的
PIM スパース モードが、該当するすべてのインターフェイスで設定されていることを確認します。
アクション
動作モードから、 show pim interfaces コマンドを入力します。
受信 PIM 参加メッセージのフィルタリング
マルチキャスト スコープは、マルチキャスト メッセージの伝達を制御します。マルチキャスト スコープは、実際のマルチキャスト データ パケットがインターフェイスに出入りするのを防ぎますが、PIM ジョイン フィルターは、ルーターで状態が作成されるのを防ぎます。状態(*,G)または(S,G)エントリは、ユニキャストまたはマルチキャストパケットの転送に使用される情報です。PIM ジョイン フィルタを使用すると、ネットワーク上でのマルチキャスト トラフィックの転送や、ネットワークのエッジにあるスコープでのパケットのドロップを防止できます。また、PIM ジョイン フィルターは、DoS(サービス拒否)攻撃や PIM 状態の爆発(大量の PIM ジョイン メッセージがランデブー ポイント ツリー(RPT)上の各ルーターに転送され、メモリ消費につながる可能性を低減します。
PIM ジョイン フィルターを使用して、特定の送信元アドレスからのマルチキャスト トラフィックを効率的に制限するには、ルーティング ポリシーを作成し、ネットワーク内のすべてのルーターに適用します。
整合条件のリストについては、 表 1 を参照してください。
一致条件 |
試合内容 |
|---|---|
インターフェイス |
ルーターインターフェイス、または名前またはIPアドレスで指定されたインターフェイス |
隣人 |
ネイバー アドレス(join およびプルーニング メッセージの IP ヘッダー内の送信元アドレス) |
ルートフィルター |
参加およびプルーニング メッセージに埋め込まれたマルチキャスト グループ アドレス |
送信元アドレスフィルター |
結合およびプルーニング メッセージに埋め込まれたマルチキャスト送信元アドレス |
次の例は、PIM 結合フィルターの作成方法を示しています。フィルターは、ルート フィルターと送信元アドレス フィルター(それぞれ不良グループ と 不良ソース)で構成されます。 不良グループ フィルターは、リストされているすべてのグループについて、(*,G) または (S,G) ジョイン メッセージが受信されないようにします。 不正なソース フィルターは、リストされているすべてのソースの (S,G) ジョイン メッセージが受信されないようにします。 不良グループ フィルターと 不良ソース フィルターは、2 つの異なる用語にあります。ルート フィルターと送信元アドレス フィルターが同じ項内にある場合、それらは論理的に AND で表現されます。
受信した PIM 参加メッセージをフィルタリングするには:
関連項目
例:RP ルータでの着信 PIM 登録メッセージの拒否
この例では、RP ルータで着信 PIM 登録メッセージを拒否する方法を示します。
必要条件
始める前に:
ルーターがマルチキャスト ソースに直接接続されているかどうかを確認します。受信機はこれらのソースを特定できなければなりません。
ルーターがマルチキャストグループの受信者に直接接続されているかどうかを確認します。受信機が存在する場合は、IGMPが必要です。
マルチキャストをスパース モード、デンス モード、またはスパースデンス モードのいずれを使用するように構成するかを決定します。各モードには、異なる構成上の考慮事項があります。
スパース モードまたはスパース デンス モードが使用されている場合は、RP のアドレスを決定します。
スタティック設定、BSR、または自動RP方式でRPを見つけるかどうかを決定します。
PIM をスパース、デンス、またはスパースデンス モードで設定するときに、独自の RPF ルーティング テーブルを使用するようにマルチキャストを設定するかどうかを決定します。
マルチキャスト セッションのアナウンスをリッスンするように SAP プロトコルと SDP プロトコルを構成します。 セッションアナウンスプロトコルの設定を参照してください。
IGMP を設定します。 IGMPの設定を参照してください。
PIM スタティック RP を設定します。 スタティック RP の設定を参照してください。
概要
この例では、グループ アドレスを 224.1.1.1/32 として、グループ内の送信元アドレスを 10.10.10.1/32 として設定します。PIM 登録メッセージを拒否し、RP のポリシーとして reject-pim-register-msg-rp を割り当てるように一致アクションを設定します。
構成
プロシージャ
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードから commit を入力します。
set policy-options policy-statement reject-pim-register-msg-rp from route-filter 224.1.1.1/32 exact set policy-options policy-statement reject-pim-register-msg-rp from source-address-filter 10.10.10.1/32 exact set policy-options policy-statement reject-pim-register-msg-rp then reject set protocols pim rp rp-register-policy reject-pim-register-msg-rp
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用するを参照してください。
RP ルータで着信 PIM 登録メッセージを拒否するには、次の手順を実行します。
ポリシーのオプションを設定します。
[edit] user@host# edit policy-options
グループアドレスを設定します。
[edit policy-options] user@host# set policy statement reject-pim-register-msg-rp from route-filter 224.1.1.1/32 exact
送信元アドレスを設定します。
[edit policy-options] user@host# set policy statement reject-pim-register-msg-rp from source-address-filter 10.10.10.1/32 exact
一致アクションを設定します。
[edit policy-options] user@host# set policy statement reject-pim-register-msg-rp then reject
プロトコルを設定します。
[edit] user@host# edit protocols pim rp
ポリシーを割り当てます。
[edit] user@host# set rp-register-policy reject-pim-register-msg-rp
業績
設定モードから、 show policy-options and show protocols pim コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show policy-options
policy-statement reject-pim-register-msg-rp {
from {
route-filter 224.1.1.1/32 exact;
source-address-filter 10.10.10.1/32 exact;
}
then reject;
}
[edit]
user@host# show protocols pim
rp {
rp-register-policy reject-pim-register-msg-rp;
}
デバイスの設定が完了したら、設定モードから コミット を入力します。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
SAPおよびSDPのアドレスとポートの検証
目的
SAP と SDP が正しいグループ アドレスとポートでリッスンするように構成されていることを確認します。
アクション
動作モードから、 show sap listen コマンドを入力します。
IGMP バージョンの検証
目的
IGMP バージョン 2 が、該当するすべてのインターフェイスで設定されていることを確認します。
アクション
動作モードから、 show igmp interface コマンドを入力します。
PIM モードとインターフェイス設定の確認
目的
PIM スパース モードが、該当するすべてのインターフェイスで設定されていることを確認します。
アクション
動作モードから、 show pim interfaces コマンドを入力します。
PIM RP および DR でのレジスタ メッセージ フィルタの設定
PIM レジスタ メッセージは、指定ルータ(DR)によってランデブー ポイント(RP)に送信されます。グループの送信元が送信を開始すると、DR はユニキャスト PIM レジスタ パケットを RP に送信します。
登録メッセージには、次の目的があります。
送信元がグループに送信していることを RP に通知します。
送信元から送信された最初のマルチキャスト パケットを RP に配信し、最短パス ツリー(SPT)に配信します。
PIM RP は、1 つの PIM スパース モード ドメイン内のすべてのアクティブなソースを追跡します。場合によっては、RP が検出するソースや、DR が他の RP に通知するソースをより詳細に制御する必要があります。RP または DR レジスタ メッセージ フィルタリングにより、PIM レジスタ メッセージを高度に制御できます。メッセージ フィルタリングにより、許可されていないグループや送信元が RP ルーターに登録されるのを防ぎます。
RP または DR レジスタ メッセージ フィルタリングを設定して、RP が検出するマルチキャスト ソースの数と場所を制御します。登録メッセージ フィルタを DR に適用して発信登録メッセージを制御したり、RP に適用して着信登録メッセージを制御したりできます。
エニーキャスト RP を設定する場合、エニーキャスト RP セット内のすべての RP を同じレジスタ メッセージ フィルタリング ポリシーで設定する必要があります。
メッセージ フィルタリングは、グローバルに構成することも、ルーティング インスタンスに対して構成することもできます。次の例は、グローバル設定を示しています。
送信元アドレス 10.10.94.2 からのマルチキャスト グループ範囲 224.1.1.0/24 の登録パケットをドロップするように RP フィルタを設定するには:
グループ範囲224.1.1.0/24および送信元アドレス10.10.10.1/32の登録パケットを送信しないようにDRフィルタを設定するには:
DRで、ポリシーを設定します。
[edit policy-options policy-statement outgoing-policy-for-rp] user@host# set from route-filter 224.1.1.0/24 orlonger user@host# set from source-address-filter 10.10.10.1/32 exact user@host# set then reject user@host# exit
ポリシーをDRに適用します。
スタティック アドレスは、DR がフィルタリングされたレジスタ メッセージを送信しないようにする RP のアドレスです。
[edit protocols pim rp] user@host# set dr-register-policy outgoing-policy-for-dr user@host# set static 10.10.10.3 user@host# exit
マルチキャストグループ 224.1.1.5 の登録メッセージを受け入れ、224.1.1.1 の登録メッセージを拒否するポリシー式を設定するには、次のようにします。
RP で、ポリシーを構成します。
[edit policy-options policy-statement reject_224_1_1_1] user@host# set from route-filter 224.1.1.0/24 orlonger user@host# set from source-address-filter 10.10.94.2/32 exact user@host# set then reject user@host# exit
[edit policy-options policy-statement accept_224_1_1_5] user@host# set term one from route-filter 224.1.1.5/32 exact user@host# set term one from source-address-filter 10.10.94.2/32 exact user@host# set term one then accept user@host# set term two then reject user@host# exit
ポリシーを RP に適用します。
[edit protocols pim rp] user@host# set rp-register-policy [ reject_224_1_1_1 | accept_224_1_1_5 ] user@host# set local address 10.10.10.5
フィルターの動作を監視するには、 show pim statistics コマンドを実行します。コマンド出力には、フィルタリングに関連する以下のフィールドが含まれています。
RP フィルタリングされたソース
フィルタリングされたRx結合/プルーン
フィルタリングされた Tx 結合/プルーニング
Rxレジスタメッセージフィルタリングドロップ
Txレジスタメッセージフィルタリングドロップ