Configuración del filtrado PIM
Descripción de los filtros de mensajes de multidifusión
Las fuentes de multidifusión y los enrutadores generan una cantidad considerable de mensajes de control, especialmente cuando se utiliza el modo PIM limitado. Estos mensajes forman árboles de distribución, localizan puntos de encuentro (RP) y enrutadores designados (RR) y pasan de un tipo de árbol a otro. En la mayoría de los casos, este sistema de mensajería multidifusión funciona de manera transparente y eficiente. Sin embargo, en algunas configuraciones, es necesario tener más control sobre el envío y la recepción de mensajes de control de multidifusión.
Puede configurar el filtrado de multidifusión para controlar el envío y la recepción de mensajes de control de multidifusión.
Para evitar que grupos y fuentes no autorizados se registren en un enrutador RP, puede definir una política de enrutamiento para rechazar mensajes de registro PIM de grupos y fuentes específicos, y configurar la política en el enrutador designado o en el enrutador RP.
Si configura la política de rechazo en un enrutador RP, rechaza los mensajes de registro PIM entrantes de los grupos y fuentes especificados. El enrutador RP también envía un mensaje de detención de registro mediante unidifusión al enrutador designado. Al recibir el mensaje de detención de registro, el enrutador designado envía mensajes periódicos de registro nulo para los grupos y fuentes especificados al enrutador RP.
Si configura la política de rechazo en un enrutador designado, deja de enviar mensajes de registro PIM para los grupos y fuentes especificados al enrutador RP.
Si configuró la política de rechazo en un enrutador RP, le recomendamos que configure la misma política en todos los enrutadores RP de su red de multidifusión.
Si elimina un grupo y una dirección de origen de la política de rechazo configurada en un enrutador RP y confirma la configuración, el enrutador RP registrará el grupo y el origen solo cuando el enrutador designado envíe un mensaje de registro nulo.
Consulte también
Filtrado de direcciones MAC
Cuando un enrutador está configurado exclusivamente con protocolos de multidifusión en una interfaz, la multidifusión establece el filtro de control de acceso de medios de interfaz (MAC) en modo promiscuo de multidifusión, y la cantidad de grupos de multidifusión es ilimitada. Sin embargo, cuando el enrutador no se utiliza exclusivamente para la multidifusión y otros protocolos como OSPF, protocolo de información de enrutamiento versión 2 (RIPv2) o protocolo de tiempo de red (NTP) se configuran en una interfaz, cada uno de estos protocolos solicita individualmente que el programa de interfaz el filtro MAC recoja solo su grupo de multidifusión respectivo. En este caso, sin la multidifusión configurada en la interfaz, el número máximo de filtros MAC de multidifusión se limita a 20. Por ejemplo, el número máximo de filtros MAC de interfaz para protocolos como OSPF (grupo de multidifusión 224.0.0.5) es 20, a menos que también se configure un protocolo de multidifusión en la interfaz.
No es necesaria ninguna configuración para los filtros MAC.
Filtrado de RP y DR Registrar mensajes
Puede filtrar mensajes de registro de multidifusión independiente de protocolo (PIM) enviados desde el enrutador designado (DR) o al punto de encuentro (RP). El RP PIM realiza un seguimiento de todas las fuentes activas en un único dominio de modo limitado pim. En algunos casos, se desea un mayor control sobre qué fuentes detecta un RP o qué fuentes notifica un DR a otros RP. El filtrado de mensajes de registro de RP y DR proporciona un alto grado de control sobre los mensajes de registro pim. El filtrado de mensajes también evita que grupos y fuentes no autorizados se registren con un enrutador RP.
Los mensajes de registro filtrados en una recuperación ante desastres no se envían al RP, pero los orígenes están disponibles para los usuarios locales. Los mensajes de registro que se filtran en un RP llegan desde los RD de origen, pero el enrutador los ignora. Las fuentes del tráfico de grupo de multidifusión se pueden limitar o dirigir mediante el filtrado de mensajes de registro rp o DR solos o juntos.
Si la acción de la política de filtro de registro es descartar el mensaje de registro, el enrutador debe enviar un mensaje de detención de registro al DR. Los mensajes de detención de registro se limitan para evitar que los usuarios maliciosos los activen a propósito para interrumpir el proceso de enrutamiento.
El grupo de multidifusión y la información de origen se encapsulan dentro de paquetes IP de unidifusión. Esta función permite al enrutador inspeccionar el grupo de multidifusión y la información de origen antes de enviar o aceptar el mensaje de registro PIM.
Los mensajes de registro entrantes a un RP se pasan a través de la política de filtrado de mensajes de registro configurada antes de cualquier procesamiento posterior. Si se rechaza el mensaje de registro, el enrutador RP envía un mensaje de detención de registro al DR. Cuando el DR recibe el mensaje de detención de registro, el DR deja de enviar mensajes de registro para los grupos y fuentes filtrados al RP. Se utilizan dos campos para registrar el filtrado de mensajes:
Dirección de multidifusión de grupo
Dirección de origen
La sintaxis de las instrucciones de política existentes se usa para configurar el filtrado en estos dos campos. La route-filter
instrucción es útil para el filtrado de direcciones de grupo de multidifusión y la instrucción es útil para el source-address-filter
filtrado de direcciones de origen. En la mayoría de los casos, la acción es rechazar los mensajes de registro, pero son posibles políticas de filtrado más complejas.
El filtrado no se puede realizar en otros campos de encabezado, como la dirección de DR, el protocolo o el puerto. En algunas configuraciones, es posible que un RP no envíe mensajes de detención de registro cuando la acción de política es descartar los mensajes de registro. Esto no afecta el funcionamiento de la función, pero el enrutador seguirá recibiendo mensajes de registro.
Cuando se configura cualquier RP de difusión, el RP puede enviar o recibir mensajes de registro. Todos los RP del conjunto de RP de cualquiercast deben configurarse con las mismas políticas de filtrado de mensajes de registro de RP. De lo contrario, podría ser posible eludir la política de filtrado.
Consulte también
Filtrado de mensajes SA de MSDP
Junto con la aplicación de filtros activos de origen (SA) MSDP en todas las sesiones MSDP externas (dentro y fuera) para evitar que las SA para grupos y fuentes se filtren dentro y fuera de la red, debe aplicar filtros de enrutador de arranque (BSR). La aplicación de un filtro BSR al límite de una red evita que los mensajes BSR externos (que anuncian direcciones RP) se filtren a su red. Dado que los enrutadores en un dominio de modo limitado PIM necesitan conocer la dirección de un solo enrutador RP, tener más de uno en la red puede crear problemas.
Si no utilizó el ámbito de multidifusión para crear filtros de límite para todas las interfaces orientadas al cliente, es posible que desee usar filtros de unión PIM. Los ámbitos de multidifusión impiden que los paquetes de datos de multidifusión reales fluyan dentro o fuera de una interfaz. Los filtros de unión PIM evitan que se cree un estado de modo limitado pim en primer lugar. Dado que los filtros de unión PIM solo se aplican al estado de modo limitado pim, es posible que sea más beneficioso usar el ámbito de multidifusión para filtrar los datos reales.
Cuando se aplican filtros de firewall, los modificadores de acción del firewall, como registro, muestra y recuento, solo funcionan cuando se aplica el filtro en una interfaz entrante. Los modificadores no funcionan en una interfaz de salida.
Consulte también
Configuración de políticas de vecino PIM de nivel de interfaz
Puede configurar una política para filtrar vecinos PIM no deseados. En el ejemplo siguiente, la interfaz PIM compara las direcciones IP de los vecinos con la dirección IP en la instrucción de política antes de que tenga lugar cualquier procesamiento de saludo. Si cualquiera de las direcciones IP de vecino (principal o secundaria) hace coincidir la dirección IP especificada en la lista de prefijos, PIM cae el paquete de saludo y rechaza al vecino.
Si configura una política de vecino PIM después de que PIM ya haya establecido una adyacencia de vecino a un vecino PIM no deseado, la adyacencia permanece intacta hasta que expire el tiempo de espera del vecino. Cuando el vecino no deseado envía otro mensaje de saludo para actualizar su adyacencia, el enrutador reconoce la dirección no deseada y rechaza al vecino.
Para configurar una política para filtrar vecinos PIM no deseados:
Consulte también
Filtrado de mensajes de unión de PIM salientes
Cuando el núcleo de la red usa MPLS, los mensajes de unión y poda PIM se detienen en los enrutadores de borde del cliente (CE) y no se reenvían hacia el núcleo, ya que estos enrutadores no tienen vecinos PIM en las interfaces orientadas al núcleo. Cuando el núcleo de la red usa IP, los mensajes de unión y poda PIM se reenvían a los vecinos PIM ascendentes en el núcleo de la red.
Cuando el núcleo de la red utiliza una combinación de IP y MPLS, es posible que desee filtrar ciertos mensajes de unión PIM y podar en la interfaz de salida ascendente de los enrutadores CE.
Puede filtrar el modo disperso PIM (PIM-SM) unir y podar mensajes en las interfaces de salida para IPv4 e IPv6 en la dirección ascendente. Los mensajes se pueden filtrar según la dirección del grupo, la dirección de origen, la interfaz de salida, el vecino PIM o una combinación de estos valores. Si se elimina el filtro, la unión se envía después de que expire el temporizador periódico de unión PIM.
Para filtrar los mensajes de unión y poda del modo PIM en las interfaces de salida, cree una política que rechace la dirección del grupo, la dirección de origen, la interfaz de salida o el vecino PIM y, a continuación, aplique la política.
En el siguiente ejemplo, se filtran los mensajes de unión y poda PIM para las direcciones de grupo 224.0.1.2 y 225.1.1.1.
Consulte también
Ejemplo: Detener los mensajes de registro de PIM salientes en un enrutador designado
En este ejemplo, se muestra cómo detener los mensajes de registro PIM salientes en un enrutador designado.
Requisitos
Antes de comenzar:
Determine si el enrutador está conectado directamente a cualquier fuente de multidifusión. Los receptores deben poder localizar estas fuentes.
Determine si el enrutador está conectado directamente a cualquier receptor de grupo de multidifusión. Si hay receptores presentes, se necesita IGMP.
Determine si debe configurar la multidifusión para que utilice el modo disperso, denso o de escasa densidad. Cada modo tiene diferentes consideraciones de configuración.
Determine la dirección del RP si se utiliza el modo escaso o escaso de densidad.
Determine si debe localizar el RP con la configuración estática, BSR o el método de RP automático.
Determine si debe configurar la multidifusión para que use su propia tabla de enrutamiento RPF al configurar PIM en modo escaso, denso o con poca densidad.
Configure los protocolos SAP y SDP para escuchar anuncios de sesión de multidifusión.
Configure IGMP.
Configure el RP estático pim.
Filtrar PIM registrar mensajes de grupos y fuentes no autorizados. Consulte Ejemplo: Rechazar mensajes de registro PIM entrantes en enrutadores RP.
Visión general
En este ejemplo, configure la dirección del grupo como 224.2.2.2/32 y la dirección de origen del grupo como 20.20.20.1/32. Establezca la acción de coincidencia para no enviar mensajes de registro PIM para el grupo y la dirección de origen. A continuación, configure la política en el enrutador designado para detener-pim-register-msg-dr.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit]
nivel de jerarquía.
set policy-options policy-statement stop-pim-register-msg-dr from route-filter 224.2.2.2/32 exact set policy-options policy-statement stop-pim-register-msg-dr from source-address-filter 20.20.20.1/32 exact set policy-options policy-statement stop-pim-register-msg-dr then reject set protocols pim rp dr-register-policy stop-pim-register-msg-dr
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.
Para detener los mensajes de registro PIM salientes en un enrutador designado:
Configure las opciones de política.
[edit] user@host# edit policy-options
Establezca la dirección del grupo.
[edit policy-options] user@host# set policy statement stop-pim-register-msg-dr from route-filter 224.2.2.2/32 exact
Establezca la dirección de origen.
[edit policy-options] user@host# set policy statement stop-pim-register-msg-dr from source-address-filter 20.20.20.1/32 exact
Establezca la acción de coincidencia.
[edit policy-options] user@host# set policy statement stop-pim-register-msg-dr then reject
Asigne la política.
[edit] user@host# set dr-register-policy stop-pim-register-msg-dr
Resultados
Desde el modo de configuración, escriba los comandos y show protocols
para confirmar la show policy-options
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host#show policy-options
policy-statement stop-pim-register-msg-dr { from { route-filter 224.2.2.2/32 exact; source-address-filter 20.20.20.1/32 exact; } then reject; } [edit] user@host#show protocols
pim { rp { dr-register-policy stop-pim-register-msg-dr; } }
Si ha terminado de configurar el dispositivo, ingrese confirmar desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar direcciones y puertos de SAP y SDP
- Verificar la versión de IGMP
- Verificar el modo PIM y la configuración de interfaz
- Verificar la configuración de PIM RP
Verificar direcciones y puertos de SAP y SDP
Propósito
Compruebe que SAP y SDP estén configurados para escuchar las direcciones y los puertos de grupo correctos.
Acción
Desde el modo operativo, ingrese el show sap listen
comando.
Verificar la versión de IGMP
Propósito
Verifique que la versión 2 de IGMP esté configurada en todas las interfaces aplicables.
Acción
Desde el modo operativo, ingrese el show igmp interface
comando.
Verificar el modo PIM y la configuración de interfaz
Propósito
Verifique que el modo disperso PIM esté configurado en todas las interfaces aplicables.
Acción
Desde el modo operativo, ingrese el show pim interfaces
comando.
Filtrado de mensajes de unión pim entrantes
El ámbito de multidifusión controla la propagación de mensajes de multidifusión. Mientras que el ámbito de multidifusión impide que los paquetes de datos de multidifusión reales fluyan dentro o fuera de una interfaz, los filtros de unión PIM impiden que se cree un estado en un enrutador. Un estado( las entradas (*,G) o (S,G) es la información utilizada para reenviar paquetes de unidifusión o multidifusión. El uso de filtros de unión PIM impide el transporte del tráfico de multidifusión a través de una red y la caída de paquetes en un ámbito en el borde de la red. Además, los filtros de unión PIM reducen el potencial de ataques de denegación de servicio (DoS) y la explosión del estado pim: un gran número de mensajes de unión PIM reenviados a cada enrutador en el árbol de punto de encuentro (RPT), lo que resulta en consumo de memoria.
Para usar filtros de unión PIM para restringir eficazmente el tráfico de multidifusión de ciertas direcciones de origen, cree y aplique la política de enrutamiento en todos los enrutadores de la red.
Consulte la Tabla 1 para obtener una lista de condiciones de coincidencia.
Condición de coincidencia |
Coincidencias en |
---|---|
Interfaz |
Interfaz de enrutador o interfaces especificadas por nombre o dirección IP |
Vecino |
Dirección de vecino (la dirección de origen en el encabezado IP del mensaje join and prune) |
filtro de ruta |
Dirección de grupo de multidifusión integrada en el mensaje de unión y poda |
filtro de dirección de origen |
Dirección de origen de multidifusión integrada en el mensaje de unión y poda |
En el ejemplo siguiente se muestra cómo crear un filtro de unión PIM. El filtro se compone de un filtro de ruta y un filtro de dirección de origen: grupos defectuosos y fuentes erróneas, respectivamente. el filtro de grupos defectuosos impide que (*,G) o (S,G) se reciban mensajes de unión para todos los grupos enumerados. El filtro de fuentes erróneas impide que (S,G) se reciban mensajes de unión para todas las fuentes enumeradas. El filtro de grupos defectuosos y el de fuentes erróneas están en dos términos diferentes. Si los filtros de ruta y los filtros de dirección de origen están en el mismo término, lógicamente se ANDed.
Para filtrar mensajes de unión PIM entrantes:
Consulte también
Ejemplo: Rechazar mensajes de registro PIM entrantes en enrutadores RP
En este ejemplo, se muestra cómo rechazar mensajes de registro PIM entrantes en enrutadores RP.
Requisitos
Antes de comenzar:
Determine si el enrutador está conectado directamente a cualquier fuente de multidifusión. Los receptores deben poder localizar estas fuentes.
Determine si el enrutador está conectado directamente a cualquier receptor de grupo de multidifusión. Si hay receptores presentes, se necesita IGMP.
Determine si debe configurar la multidifusión para que utilice el modo disperso, denso o de escasa densidad. Cada modo tiene diferentes consideraciones de configuración.
Determine la dirección del RP si se utiliza el modo escaso o escaso de densidad.
Determine si debe localizar el RP con la configuración estática, BSR o el método de RP automático.
Determine si debe configurar la multidifusión para que use su propia tabla de enrutamiento RPF al configurar PIM en modo escaso, denso o con poca densidad.
Configure los protocolos SAP y SDP para escuchar anuncios de sesión de multidifusión. Consulte Configurar el protocolo de anuncio de sesión.
Configure IGMP. Consulte Configuración de IGMP.
Configure el RP estático pim. Consulte Configurar RP estático.
Visión general
En este ejemplo, configure la dirección del grupo como 224.1.1.1/32 y la dirección de origen del grupo como 10.10.10.1/32. Establezca la acción de coincidencia para rechazar mensajes de registro PIM y asignar reject-pim-register-msg-rp como la política en el RP.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit
desde el [edit]
modo de configuración.
set policy-options policy-statement reject-pim-register-msg-rp from route-filter 224.1.1.1/32 exact set policy-options policy-statement reject-pim-register-msg-rp from source-address-filter 10.10.10.1/32 exact set policy-options policy-statement reject-pim-register-msg-rp then reject set protocols pim rp rp-register-policy reject-pim-register-msg-rp
Procedimiento paso a paso
En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.
Para rechazar los mensajes de registro pim entrantes en un enrutador RP:
Configure las opciones de política.
[edit] user@host# edit policy-options
Establezca la dirección del grupo.
[edit policy-options] user@host# set policy statement reject-pim-register-msg-rp from route-filter 224.1.1.1/32 exact
Establezca la dirección de origen.
[edit policy-options] user@host# set policy statement reject-pim-register-msg-rp from source-address-filter 10.10.10.1/32 exact
Establezca la acción de coincidencia.
[edit policy-options] user@host# set policy statement reject-pim-register-msg-rp then reject
Configure el protocolo.
[edit] user@host# edit protocols pim rp
Asigne la política.
[edit] user@host# set rp-register-policy reject-pim-register-msg-rp
Resultados
Desde el modo de configuración, escriba el comando y show protocols pim
para confirmar la show policy-options
configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host#show policy-options
policy-statement reject-pim-register-msg-rp { from { route-filter 224.1.1.1/32 exact; source-address-filter 10.10.10.1/32 exact; } then reject; } [edit] user@host#show protocols pim
rp { rp-register-policy reject-pim-register-msg-rp; }
Si ha terminado de configurar el dispositivo, ingrese confirmar desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificar direcciones y puertos de SAP y SDP
- Verificar la versión de IGMP
- Verificar el modo PIM y la configuración de interfaz
- Verificar los mensajes de registro pim
Verificar direcciones y puertos de SAP y SDP
Propósito
Compruebe que SAP y SDP estén configurados para escuchar las direcciones y los puertos de grupo correctos.
Acción
Desde el modo operativo, ingrese el show sap listen
comando.
Verificar la versión de IGMP
Propósito
Verifique que la versión 2 de IGMP esté configurada en todas las interfaces aplicables.
Acción
Desde el modo operativo, ingrese el show igmp interface
comando.
Verificar el modo PIM y la configuración de interfaz
Propósito
Verifique que el modo disperso PIM esté configurado en todas las interfaces aplicables.
Acción
Desde el modo operativo, ingrese el show pim interfaces
comando.
Configuración de filtros de registro de mensajes en un PIM RP y DR
Los mensajes de registro PIM se envían al punto de encuentro (RP) por un enrutador designado (DR). Cuando un origen para un grupo comienza a transmitirse, el DR envía paquetes de registro pim de unidifusión al RP.
Los mensajes de registro tienen los siguientes propósitos:
Notifique al RP que un origen está enviando a un grupo.
Entregue los paquetes de multidifusión iniciales enviados por el origen al RP para su entrega en el árbol de rutas más cortas (SPT).
El RP PIM realiza un seguimiento de todas las fuentes activas en un único dominio de modo limitado pim. En algunos casos, desea tener más control sobre qué fuentes descubre un RP o qué fuentes notifica un DR a otros RP. El filtrado de mensajes de registro de RP o DR proporciona un alto grado de control sobre los mensajes de registro pim. El filtrado de mensajes impide que grupos y fuentes no autorizados se registren en un enrutador RP.
Configure el filtrado de mensajes de registro de RP o DR para controlar el número y la ubicación de las fuentes de multidifusión que detecta un RP. Puede aplicar filtros de mensajes de registro en un DR para controlar los mensajes de registro salientes o aplicarlos en un RP para controlar los mensajes de registro entrantes.
Cuando se configura cualquier RP de difusión, todos los RP del conjunto de RP de cualquiercast deben configurarse con la misma política de filtrado de mensajes de registro.
Puede configurar el filtrado de mensajes globalmente o para una instancia de enrutamiento. Estos ejemplos muestran la configuración global.
Para configurar un filtro RP para eliminar los paquetes de registro para el intervalo de grupo de multidifusión 224.1.1.0/24 desde la dirección de origen 10.10.94.2:
Para configurar un filtro DR para evitar el envío de paquetes de registro para el intervalo de grupos 224.1.1.0/24 y la dirección de origen 10.10.10.1/32:
En el DR, configure la política.
[edit policy-options policy-statement outgoing-policy-for-rp] user@host# set from route-filter 224.1.1.0/24 orlonger user@host# set from source-address-filter 10.10.10.1/32 exact user@host# set then reject user@host# exit
Aplique la política al DR.
La dirección estática es la dirección del RP al que no desea que el DR envíe los mensajes de registro filtrados.
[edit protocols pim rp] user@host# set dr-register-policy outgoing-policy-for-dr user@host# set static 10.10.10.3 user@host# exit
Para configurar una expresión de política para aceptar mensajes de registro para el grupo de multidifusión 224.1.1.5, pero rechazarlos para 224.1.1.1:
En el RP, configure las políticas.
[edit policy-options policy-statement reject_224_1_1_1] user@host# set from route-filter 224.1.1.0/24 orlonger user@host# set from source-address-filter 10.10.94.2/32 exact user@host# set then reject user@host# exit
[edit policy-options policy-statement accept_224_1_1_5] user@host# set term one from route-filter 224.1.1.5/32 exact user@host# set term one from source-address-filter 10.10.94.2/32 exact user@host# set term one then accept user@host# set term two then reject user@host# exit
Aplique las políticas al RP.
[edit protocols pim rp] user@host# set rp-register-policy [ reject_224_1_1_1 | accept_224_1_1_5 ] user@host# set local address 10.10.10.5
Para supervisar la operación de los filtros, ejecute el show pim statistics
comando. El resultado del comando contiene los siguientes campos relacionados con el filtrado:
Fuente filtrada rp
Uniones/podas de recepción filtradas
Combinaciones de transmisión/podas filtradas
Caída del filtrado de rx Register msgs
Pérdida de filtrado de tx Register msgs