Configuración del filtrado PIM
Descripción de los filtros de mensajes de multidifusión
Los enrutadores y fuentes de multidifusión generan un número considerable de mensajes de control, especialmente cuando se utiliza el modo disperso PIM. Estos mensajes forman árboles de distribución, localizan puntos de encuentro (RP) y enrutadores designados (DR), y pasan de un tipo de árbol a otro. En la mayoría de los casos, este sistema de mensajería de multidifusión funciona de forma transparente y eficiente. Sin embargo, en algunas configuraciones, es necesario tener más control sobre el envío y la recepción de mensajes de control de multidifusión.
Puede configurar el filtrado de multidifusión para controlar el envío y la recepción de mensajes de control de multidifusión.
Para evitar que grupos y orígenes no autorizados se registren en un enrutador RP, puede definir una directiva de enrutamiento para rechazar mensajes de registro PIM de grupos y orígenes específicos, y configurar la directiva en el enrutador designado o en el enrutador RP.
Si configura la directiva de rechazo en un enrutador RP, esta rechaza los mensajes de registro PIM entrantes de los grupos y orígenes especificados. El enrutador RP también envía un mensaje de detención de registro por medio de unidifusión al enrutador designado. Al recibir el mensaje de detención de registro, el enrutador designado envía mensajes periódicos de registro nulo para los grupos y orígenes especificados al enrutador RP.
Si configura la directiva de rechazo en un enrutador designado, dejará de enviar mensajes de registro PIM para los grupos y orígenes especificados al enrutador RP.
Si ha configurado la directiva de rechazo en un enrutador RP, le recomendamos que configure la misma directiva en todos los enrutadores RP de la red de multidifusión.
Si elimina un grupo y una dirección de origen de la directiva de rechazo configurada en un enrutador RP y confirma la configuración, el enrutador RP registrará el grupo y el origen sólo cuando el enrutador designado envíe un mensaje de registro nulo.
Ver también
Filtrado de direcciones MAC
Cuando un enrutador se configura exclusivamente con protocolos de multidifusión en una interfaz, la multidifusión establece el filtro de control de acceso a medios (MAC) de la interfaz en modo promiscuo de multidifusión y el número de grupos de multidifusión es ilimitado. Sin embargo, cuando el enrutador no se utiliza exclusivamente para multidifusión y otros protocolos como OSPF, Protocolo de información de enrutamiento versión 2 (RIPv2) o Protocolo de tiempo de red (NTP) están configurados en una interfaz, cada uno de estos protocolos solicita individualmente que la interfaz programe el filtro MAC para recoger sólo su respectivo grupo de multidifusión. En este caso, sin multidifusión configurada en la interfaz, el número máximo de filtros MAC de multidifusión está limitado a 20. Por ejemplo, el número máximo de filtros MAC de interfaz para protocolos como OSPF (grupo de multidifusión 224.0.0.5) es 20, a menos que también se configure un protocolo de multidifusión en la interfaz.
No es necesaria ninguna configuración para los filtros MAC.
Filtrado de mensajes de registro de RP y DR
Puede filtrar los mensajes de registro de multidifusión independiente del protocolo (PIM) enviados desde el enrutador designado (DR) o al punto de encuentro (RP). PIM RP realiza un seguimiento de todas las fuentes activas en un único dominio de modo disperso PIM. En algunos casos, se desea tener más control sobre qué fuentes descubre un RP o sobre qué fuentes un DR notifica a otros RP. El filtrado de mensajes de registro de RP y DR proporciona un alto grado de control sobre los mensajes de registro PIM. El filtrado de mensajes también evita que grupos y orígenes no autorizados se registren en un enrutador RP.
Los mensajes de registro que se filtran en un DR no se envían al RP, pero los orígenes están disponibles para los usuarios locales. Los mensajes de registro que se filtran en un RP llegan de DR de origen, pero el enrutador los ignora. Los orígenes del tráfico de grupo de multidifusión se pueden limitar o dirigir mediante el filtrado de mensajes de registro de RP o DR solo o juntos.
Si la acción de la política de filtro de registro es descartar el mensaje de registro, el enrutador debe enviar un mensaje de detención de registro al DR. Los mensajes de detención de registro se limitan para evitar que usuarios malintencionados los activen a propósito para interrumpir el proceso de enrutamiento.
La información de grupo y fuente de multidifusión se encapsula dentro de paquetes IP de unidifusión. Esta función permite que el enrutador inspeccione el grupo de multidifusión y la información de origen antes de enviar o aceptar el mensaje de registro PIM.
Los mensajes de registro entrantes a un RP se pasan a través de la directiva de filtrado de mensajes de registro configurada antes de cualquier procesamiento posterior. Si se rechaza el mensaje de registro, el enrutador RP envía un mensaje de detención de registro al DR. Cuando el DR recibe el mensaje de detención del registro, el DR deja de enviar mensajes de registro para los grupos y orígenes filtrados al RP. Se utilizan dos campos para el filtrado de mensajes de registro:
Dirección de multidifusión del grupo
Dirección de origen
La sintaxis de las instrucciones de directiva existentes se usa para configurar el filtrado en estos dos campos. La route-filter instrucción es útil para el filtrado de direcciones de grupo de multidifusión y la instrucción es útil para el filtrado de source-address-filter direcciones de origen. En la mayoría de los casos, la acción es rechazar los mensajes de registro, pero es posible que las políticas de filtrado sean más complejas.
El filtrado no se puede realizar en otros campos de encabezado, como la dirección DR, el protocolo o el puerto. En algunas configuraciones, es posible que un RP no envíe mensajes de detención de registro cuando la acción de la directiva es descartar los mensajes de registro. Esto no tiene ningún efecto en el funcionamiento de la función, pero el enrutador continuará recibiendo mensajes de registro.
Cuando se configura un RP de cualquier difusión, el RP puede enviar o recibir mensajes de registro. Todos los RP del conjunto de RP de anycast deben configurarse con las mismas directivas de filtrado de mensajes de registro de RP. De lo contrario, es posible eludir la política de filtrado.
Ver también
Filtrar mensajes SA de MSDP
Junto con la aplicación de filtros de origen activo (SA) de MSDP en todas las sesiones externas de MSDP (entrada y salida) para evitar que las SA para grupos y orígenes se filtren dentro y fuera de la red, debe aplicar filtros de enrutador de arranque (BSR). La aplicación de un filtro BSR al límite de una red impide que los mensajes BSR externos (que anuncian direcciones RP) se filtren a la red. Dado que los enrutadores en un dominio de modo disperso PIM necesitan saber la dirección de un solo enrutador RP, tener más de uno en la red puede crear problemas.
Si no utilizó el ámbito de multidifusión para crear filtros de límite para todas las interfaces orientadas al cliente, es posible que desee utilizar filtros de unión PIM. Los ámbitos de multidifusión impiden que los paquetes de datos de multidifusión fluyan dentro o fuera de una interfaz. Los filtros de unión PIM impiden que se cree el estado de modo disperso PIM en primer lugar. Dado que los filtros de unión PIM solo se aplican al estado de modo disperso PIM, podría ser más beneficioso utilizar el ámbito de multidifusión para filtrar los datos reales.
Cuando se aplican filtros de firewall, los modificadores de acción del firewall, como log, sample y count, sólo funcionan cuando se aplica el filtro en una interfaz de entrada. Los modificadores no funcionan en una interfaz de salida.
Ver también
Configuración de políticas de vecino de PIM a nivel de interfaz
Puede configurar una política para filtrar vecinos PIM no deseados. En el ejemplo siguiente, la interfaz PIM compara las direcciones IP vecinas con la dirección IP de la instrucción de política antes de que tenga lugar cualquier procesamiento de saludo. Si alguna de las direcciones IP vecinas (principal o secundaria) coincide con la dirección IP especificada en la lista de prefijos, PIM descarta el paquete de saludo y rechaza al vecino.
Si configura una política de vecino de PIM después de que PIM ya haya establecido una adyacencia de vecino a un vecino de PIM no deseado, la adyacencia permanece intacta hasta que expire el tiempo de retención del vecino. Cuando el vecino no deseado envía otro mensaje de saludo para actualizar su adyacencia, el enrutador reconoce la dirección no deseada y rechaza al vecino.
Para configurar una directiva para filtrar vecinos de PIM no deseados:
Ver también
Filtrado de mensajes salientes de unión a PIM
Cuando el núcleo de la red usa MPLS, los mensajes de unión y poda de PIM se detienen en los enrutadores perimetrales del cliente (CE) y no se reenvían hacia el núcleo, ya que estos enrutadores no tienen vecinos PIM en las interfaces orientadas al núcleo. Cuando el núcleo de la red utiliza IP, los mensajes de unión y poda de PIM se reenvían a los vecinos PIM ascendentes en el núcleo de la red.
Cuando el núcleo de la red utiliza una combinación de IP y MPLS, es posible que desee filtrar determinados mensajes de unión PIM y podar en la interfaz de salida ascendente de los enrutadores CE.
Puede filtrar los mensajes de unión en modo disperso PIM (PIM-SM) y podar los mensajes en las interfaces de salida para IPv4 e IPv6 en la dirección ascendente. Los mensajes se pueden filtrar según la dirección del grupo, la dirección de origen, la interfaz de salida, el vecino PIM o una combinación de estos valores. Si se quita el filtro, la unión se envía después de que caduque el temporizador de unión periódica PIM.
Para filtrar los mensajes de unión y poda del modo disperso de PIM en las interfaces de salida, cree una directiva que rechace la dirección del grupo, la dirección de origen, la interfaz de salida o el vecino de PIM y, a continuación, aplique la política.
En el ejemplo siguiente se filtran los mensajes de unión PIM y se podan las direcciones de grupo 224.0.1.2 y 225.1.1.1.
Ver también
Ejemplo: detener mensajes de registro PIM salientes en un enrutador designado
En este ejemplo se muestra cómo detener los mensajes de registro PIM salientes en un enrutador designado.
Requisitos
Antes de empezar:
Determine si el enrutador está conectado directamente a algún origen de multidifusión. Los receptores deben ser capaces de localizar estas fuentes.
Determine si el enrutador está conectado directamente a algún receptor de grupo de multidifusión. Si hay receptores presentes, se necesita IGMP.
Determine si desea configurar la multidifusión para utilizar el modo disperso, denso o disperso. Cada modo tiene diferentes consideraciones de configuración.
Determine la dirección del RP si se utiliza el modo disperso o de densidad dispersa.
Determine si desea localizar el RP con la configuración estática, BSR o el método de RP automático.
Determine si desea configurar la multidifusión para que utilice su propia tabla de enrutamiento RPF al configurar PIM en modo disperso, denso o de densidad dispersa.
Configure los protocolos SAP y SDP para escuchar anuncios de sesiones de multidifusión.
Configure IGMP.
Configure el RP estático PIM.
Filtrar PIM registrar mensajes de grupos y orígenes no autorizados. Consulte Ejemplo: Rechazo de mensajes de registro PIM entrantes en enrutadores RP.
Visión general
En este ejemplo, se configura la dirección del grupo como 224.2.2.2/32 y la dirección de origen en el grupo como 20.20.20.1/32. Establezca la acción de coincidencia para que no envíe mensajes de registro PIM para el grupo y la dirección de origen. A continuación, configure la política en el enrutador designado para stop-pim-register-msg-dr.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.
set policy-options policy-statement stop-pim-register-msg-dr from route-filter 224.2.2.2/32 exact set policy-options policy-statement stop-pim-register-msg-dr from source-address-filter 20.20.20.1/32 exact set policy-options policy-statement stop-pim-register-msg-dr then reject set protocols pim rp dr-register-policy stop-pim-register-msg-dr
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para detener la salida de mensajes de registro PIM en un enrutador designado:
Configure las opciones de directiva.
[edit] user@host# edit policy-options
Establezca la dirección del grupo.
[edit policy-options] user@host# set policy statement stop-pim-register-msg-dr from route-filter 224.2.2.2/32 exact
Establezca la dirección de origen.
[edit policy-options] user@host# set policy statement stop-pim-register-msg-dr from source-address-filter 20.20.20.1/32 exact
Establezca la acción del partido.
[edit policy-options] user@host# set policy statement stop-pim-register-msg-dr then reject
Asigne la directiva.
[edit] user@host# set dr-register-policy stop-pim-register-msg-dr
Resultados
Desde el modo de configuración, confirme la configuración introduciendo los show policy-options comandos y show protocols . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show policy-options
policy-statement stop-pim-register-msg-dr {
from {
route-filter 224.2.2.2/32 exact;
source-address-filter 20.20.20.1/32 exact;
}
then reject;
}
[edit]
user@host# show protocols
pim {
rp {
dr-register-policy stop-pim-register-msg-dr;
}
}
Cuando haya terminado de configurar el dispositivo, escriba confirmar desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificación de direcciones y puertos SAP y SDP
- Verificación de la versión IGMP
- Verificación del modo PIM y la configuración de la interfaz
- Verificación de la configuración de PIM RP
Verificación de direcciones y puertos SAP y SDP
Propósito
Verifique que SAP y SDP estén configurados para escuchar en las direcciones y puertos de grupo correctos.
Acción
Desde el modo operativo, ingrese el show sap listen comando.
Verificación de la versión IGMP
Propósito
Compruebe que la versión 2 de IGMP esté configurada en todas las interfaces aplicables.
Acción
Desde el modo operativo, ingrese el show igmp interface comando.
Verificación del modo PIM y la configuración de la interfaz
Propósito
Compruebe que el modo disperso de PIM esté configurado en todas las interfaces aplicables.
Acción
Desde el modo operativo, ingrese el show pim interfaces comando.
Filtrado de mensajes entrantes de unión a PIM
El ámbito de multidifusión controla la propagación de mensajes de multidifusión. Mientras que el ámbito de multidifusión impide que los paquetes de datos de multidifusión reales entren o salgan de una interfaz, los filtros de unión PIM impiden que se cree un estado en un enrutador. Un estado (las entradas (*,G) o (S,G)) es la información utilizada para reenviar paquetes de unidifusión o multidifusión. El uso de filtros de unión PIM evita el transporte de tráfico de multidifusión a través de una red y la caída de paquetes en un ámbito en el borde de la red. Además, los filtros de unión PIM reducen la posibilidad de ataques de denegación de servicio (DoS) y explosión del estado PIM: un gran número de mensajes de unión PIM reenviados a cada enrutador en el árbol de puntos de encuentro (RPT), lo que resulta en un consumo de memoria.
Para utilizar filtros de unión PIM para restringir eficazmente el tráfico de multidifusión desde determinadas direcciones de origen, cree y aplique la política de enrutamiento en todos los enrutadores de la red.
Consulte la Tabla 1 para obtener una lista de las condiciones de coincidencia.
Condición de coincidencia |
Partidos activados |
|---|---|
interfaz |
Interfaz o interfaces de enrutador especificadas por nombre o dirección IP |
vecino |
Dirección del vecino (la dirección de origen en el encabezado IP del mensaje de unión y poda) |
route-filter |
Dirección de grupo de multidifusión incrustada en el mensaje de unión y poda |
fuente-dirección-filtro |
Dirección de origen de multidifusión incrustada en el mensaje de unión y poda |
En el ejemplo siguiente se muestra cómo crear un filtro de unión PIM. El filtro se compone de un filtro de ruta y un filtro de direcciones de origen: grupos defectuosos y orígenes incorrectos, respectivamente. el filtro de grupos defectuosos impide que se reciban mensajes de unión (*,G) o (S,G) para todos los grupos enumerados. El filtro de fuentes erróneas impide que se reciban mensajes de unión (S,G) para todas las fuentes enumeradas. El filtro de grupos malos y el filtro de fuentes incorrectas están en dos términos diferentes. Si los filtros de ruta y los filtros de direcciones de origen están en el mismo término, son lógicamente ANDed.
Para filtrar los mensajes de unión PIM entrantes:
Ver también
Ejemplo: Rechazar mensajes de registro PIM entrantes en enrutadores RP
En este ejemplo se muestra cómo rechazar mensajes de registro PIM entrantes en enrutadores RP.
Requisitos
Antes de empezar:
Determine si el enrutador está conectado directamente a algún origen de multidifusión. Los receptores deben ser capaces de localizar estas fuentes.
Determine si el enrutador está conectado directamente a algún receptor de grupo de multidifusión. Si hay receptores presentes, se necesita IGMP.
Determine si desea configurar la multidifusión para utilizar el modo disperso, denso o disperso. Cada modo tiene diferentes consideraciones de configuración.
Determine la dirección del RP si se utiliza el modo disperso o de densidad dispersa.
Determine si desea localizar el RP con la configuración estática, BSR o el método de RP automático.
Determine si desea configurar la multidifusión para que utilice su propia tabla de enrutamiento RPF al configurar PIM en modo disperso, denso o de densidad dispersa.
Configure los protocolos SAP y SDP para escuchar anuncios de sesiones de multidifusión. Consulte Configuración del protocolo de anuncio de sesión.
Configure IGMP. Consulte Configuración de IGMP.
Configure el RP estático PIM. Consulte Configuración de RP estático.
Visión general
En este ejemplo, configure la dirección del grupo como 224.1.1.1/32 y la dirección de origen en el grupo como 10.10.10.1/32. Establezca la acción de coincidencia para rechazar mensajes de registro PIM y asigne reject-pim-register-msg-rp como política en el RP.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.
set policy-options policy-statement reject-pim-register-msg-rp from route-filter 224.1.1.1/32 exact set policy-options policy-statement reject-pim-register-msg-rp from source-address-filter 10.10.10.1/32 exact set policy-options policy-statement reject-pim-register-msg-rp then reject set protocols pim rp rp-register-policy reject-pim-register-msg-rp
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para rechazar los mensajes de registro PIM entrantes en un enrutador RP:
Configure las opciones de directiva.
[edit] user@host# edit policy-options
Establezca la dirección del grupo.
[edit policy-options] user@host# set policy statement reject-pim-register-msg-rp from route-filter 224.1.1.1/32 exact
Establezca la dirección de origen.
[edit policy-options] user@host# set policy statement reject-pim-register-msg-rp from source-address-filter 10.10.10.1/32 exact
Establezca la acción del partido.
[edit policy-options] user@host# set policy statement reject-pim-register-msg-rp then reject
Configure el protocolo.
[edit] user@host# edit protocols pim rp
Asigne la directiva.
[edit] user@host# set rp-register-policy reject-pim-register-msg-rp
Resultados
Desde el modo de configuración, confirme la configuración introduciendo el show policy-options comando y show protocols pim . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit]
user@host# show policy-options
policy-statement reject-pim-register-msg-rp {
from {
route-filter 224.1.1.1/32 exact;
source-address-filter 10.10.10.1/32 exact;
}
then reject;
}
[edit]
user@host# show protocols pim
rp {
rp-register-policy reject-pim-register-msg-rp;
}
Cuando haya terminado de configurar el dispositivo, escriba confirmar desde el modo de configuración.
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
- Verificación de direcciones y puertos SAP y SDP
- Verificación de la versión IGMP
- Verificación del modo PIM y la configuración de la interfaz
- Comprobación de los mensajes de registro PIM
Verificación de direcciones y puertos SAP y SDP
Propósito
Verifique que SAP y SDP estén configurados para escuchar en las direcciones y puertos de grupo correctos.
Acción
Desde el modo operativo, ingrese el show sap listen comando.
Verificación de la versión IGMP
Propósito
Compruebe que la versión 2 de IGMP esté configurada en todas las interfaces aplicables.
Acción
Desde el modo operativo, ingrese el show igmp interface comando.
Verificación del modo PIM y la configuración de la interfaz
Propósito
Compruebe que el modo disperso de PIM esté configurado en todas las interfaces aplicables.
Acción
Desde el modo operativo, ingrese el show pim interfaces comando.
Configuración de filtros de mensajes de registro en un PIM RP y DR
Los mensajes de registro PIM se envían al punto de encuentro (RP) mediante un enrutador designado (DR). Cuando un origen de un grupo comienza a transmitir, el DR envía paquetes de registro PIM de unidifusión al RP.
Los mensajes de registro tienen las siguientes finalidades:
Notifique al RP que un origen está enviando a un grupo.
Entregue los paquetes de multidifusión iniciales enviados por el origen al RP para su entrega por el árbol de ruta más corta (SPT).
PIM RP realiza un seguimiento de todas las fuentes activas en un único dominio de modo disperso PIM. En algunos casos, desea tener más control sobre los orígenes que descubre un RP o sobre qué orígenes un DR notifica a otros RP. El filtrado de mensajes de registro de RP o DR proporciona un alto grado de control sobre los mensajes de registro PIM. El filtrado de mensajes impide que grupos y orígenes no autorizados se registren en un enrutador RP.
Configure el filtrado de mensajes de registro de RP o DR para controlar el número y la ubicación de los orígenes de multidifusión que detecta un RP. Puede aplicar filtros de mensajes de registro en un DR para controlar los mensajes de registro salientes o aplicarlos en un RP para controlar los mensajes de registro entrantes.
Cuando se configura RP de anycast, todos los RP del conjunto de RP de anycast deben configurarse con la misma directiva de filtrado de mensajes de registro.
Puede configurar el filtrado de mensajes globalmente o para una instancia de enrutamiento. Estos ejemplos muestran la configuración global.
Para configurar un filtro RP para colocar los paquetes de registro para el intervalo de grupos de multidifusión 224.1.1.0/24 desde la dirección de origen 10.10.94.2:
Para configurar un filtro de recuperación ante desastres que impida el envío de paquetes de registro para el intervalo de grupos 224.1.1.0/24 y la dirección de origen 10.10.10.1/32:
En el DR, configure la directiva.
[edit policy-options policy-statement outgoing-policy-for-rp] user@host# set from route-filter 224.1.1.0/24 orlonger user@host# set from source-address-filter 10.10.10.1/32 exact user@host# set then reject user@host# exit
Aplique la política a la República Dominicana.
La dirección estática es la dirección del RP al que no desea que el DR envíe los mensajes de registro filtrados.
[edit protocols pim rp] user@host# set dr-register-policy outgoing-policy-for-dr user@host# set static 10.10.10.3 user@host# exit
Para configurar una expresión de directiva para aceptar mensajes de registro para el grupo de multidifusión 224.1.1.5 pero rechazar los de 224.1.1.1:
En el RP, configure las directivas.
[edit policy-options policy-statement reject_224_1_1_1] user@host# set from route-filter 224.1.1.0/24 orlonger user@host# set from source-address-filter 10.10.94.2/32 exact user@host# set then reject user@host# exit
[edit policy-options policy-statement accept_224_1_1_5] user@host# set term one from route-filter 224.1.1.5/32 exact user@host# set term one from source-address-filter 10.10.94.2/32 exact user@host# set term one then accept user@host# set term two then reject user@host# exit
Aplique las directivas al RP.
[edit protocols pim rp] user@host# set rp-register-policy [ reject_224_1_1_1 | accept_224_1_1_5 ] user@host# set local address 10.10.10.5
Para supervisar el funcionamiento de los filtros, ejecute el show pim statistics comando. El resultado del comando contiene los siguientes campos relacionados con el filtrado:
Fuente filtrada RP
Rx Joins/Prunes filtradas
Tx Joins/Ciruelas pasas filtradas
Rx Register msgs gota de filtrado
Tx Register msgs filtering drop