Политики в мультикасте
Используя policy, можно более эффективно использовать полосу; можно исключить различные проблемы в сети (не большое кол-во state в сети (S,G)), благодаря указанию конкретных групп, конкретных источников; можно предотвратить DoS атак.
IGMP join
- можно указать через policy группу (route-filter) и источник (source-address) на которые нельзя подписываться.
set policy-options policy-statement block-igmp term 1 from route-filter 232.7.7.7 exact set policy-options policy-statement block-igmp term 1 from source-address 192.168.100.10/32 exact set policy-options policy-statement block-igmp term 1 then reject set protocols igmp interface ge-0/0/0.0 group-policy block-igmp
- можно ограничить кол-во подписок на интерфейсе.
set protocols igmp interface ge-0/0/0.0 group-limit 100
-каждый join считается как отдельная подписка: (*,g), (s,g) - 2 разных подписки
- каждый join на разные источники для одной и той же группы - отдельные подписки: (s1,g), (s2,g) - 2 разных подписки.
- если закоммитить число групп, которое по факту меньше числа уже изученных групп, то все записи сотрутся и хостам придется переподписаться.
PIM join, register message
Соседство фильтруем нежелательных соседей.
set policy-options policy-statement block-pim-neighbors term 1 from route-filter 10.1.1.1/32 exact set policy-options policy-statement block-pim-neighbors term 1 then reject set protocols igmp interface ge-0/0/0.0 neighbor-policy block-pim-neighbors
Если пришел пакет от роутера с адресом, описанном в policy, такой пакет будет отброшен. Если соседство уже было установлено до создания policy, то соседство будет сохраняться до истечения holdtime.
Для указания соседей в policy лучше использовать /32.
show pim statistics | match "Hello drop"
Join/prune фильтруем вх/исх сообщения
Есть несколько параметров по которым можно отстроить policy: neighbor, interface, route-filter (группа), source-route-filter (источник).
Пример для фильтрации входящих join:
set policy-options policy-statement block-income-join term bad-groups from route-filter 239.0.0.0/8 orlonger set policy-options policy-statement block-income-join term bad-groups then reject set policy-options policy-statement block-income-join term bad-group-source from route-filter 224.7.7.7/32 exact set policy-options policy-statement block-income-join term bad-group-source from source-address-filter 192.168.100.10/32 exact set policy-options policy-statement block-income-join term bad-group-source then reject set protocols pim import block-income-join
Для исходящих join/prune все тоже самое, только
set protocols pim export ...
Диагностика:
show pim statistics | match "Rx Join/Prunes filtered"
Register фильтруем исх сообщения на source DR / вх сообщения на RP
Пример для source DR:
set policy-options-policy-statement block-register-out term 1 from route-filter 224.7.7.7/32 exact set policy-options-policy-statement block-register-out term 1 from source-address-filter 192.168.100.10/32 exact set policy-options-policy-statement block-register-out term 1 then reject set protocols pim rp dr-register-policy block-register-out
В результате такой фильтрации source DR не будет слать к RP трафик от источника 192.168.100.10 с группой 224.7.7.7. Поэтому при использовании ASM получатели не смогут получать трафик от этого источника, а при использовании SSM получатели его все-равно получат.
Для диагностики:
show pim statistics | match "Tx register msgs filtering drop"
Для фильтрации вх сообщений на RP policy такое же, но:
set protocols pim rp rp-register-policy
BSR messages
Обычно используется, чтобы BSR из разных доменов не распространяли информацию о своих RP.
set policy-options policy-statement block-bsr-import term 1 from interface ge-0/0/0.0 set policy-options policy-statement block-bsr-import term 1 then reject set policy-options policy-statement block-bsr-export term 1 from interface ge-0/0/0.0 set policy-options policy-statement block-bsr-export term 1 then reject set protocols pim rp bootstrap-import block-bsr-import set protocols pim rp bootstrap-export block-bsr-export
show pim statistics interface ge-0/0/0.0 | match "V2 Bootstrap"
Еще один метод не распространять информацию об RP в другой домен - настроить PIMv1 на интерфейсе (т.к. BSR работает только с v2).
MSDP SA messages
- SA import
Для policy используются следующие критерии: neighbor, interface, route-filter (группа), source-address-filter (источник).
При применении policy проходят только явно разрешенные SA сообщения, для этого обязательно включить accept-all.
set policy-option policy-statement block-SA-imort term 1 from neighbor 192.168.1.2 interface ge-0/0/0.0 route-filter 224.7.7.7/32 exact source-address-filter 10.0.107.2/32 exact set policy-option policy-statement block-SA-imort term 1 then reject set policy-option policy-statement block-SA-imort term accept-all then accept all set protocols msdp group AS65009 peer 192.168.1.2 import block-SA-import show msdp source-active detail | mat Filtered
- SA export
Все тоже самое как и для import, только:
set protocols msdp group AS65009 peer 192.168.1.2 export block-SA-export
- SA limit
- Дефолтное ограничение - 25000. Можно ставить 1-1млн.
- Лимит можно ставить глобально, на группу, на пира. Применятся ВСЕ, а не более специфичные.
- Лимит можно ставить и для конкретной группы источников. При этом для пира стоит общее ограничение и для конкретной группы - применятся оба ограничения.
set protocols msdp active-source-limit maximum 10000 threshold 8000 set protocols msdp group AS65009 peer 192.168.100.10 source 10.1.0.0/16 active-source-limit 500 set protocols msdp group AS65009 peer 192.168.100.10 active-source-limit 10000 threshold 8000
Multicast traffic
Описано в RFC 2365, называется Administrative scoping (административные ограничения).
В основном используется для непрохождения трафика между доменам. Админу нужно задать огрничение для домена - с помощью пограничных интерфейсов.
В Junos 2 метода:
- Named scoping
Каждая группа должна быть именована. Один интерфейс может принадлежать нескольким группам.
set routing-options multicast scope auto-rp-deiscovery prefix 224.0.1.40/32 set routing-options multicast scope auto-rp-deiscovery interface ge-0/0/0.0 set routing-options multicast scope scoped-range prefix 239.0.0.0/8 set routing-options multicast scope scoped-range interface ge-0/0/0.0 show multicast scope
В примере показано как контролировать auto-RP трафик между доменами, чтобы не использовать RP другого домена.
- Scope policies
Более гибкий подход. Используя разные термы можно делать выборку по разным интерфейсам, тогда как в named-scope это займет кучу конфига.
Named scope и scoping policy - взаимоисключающие. При этом в named группа - 239.192/16 автоматически добавляется на интерфейсе, а при использовании scoping policy - автоматически не добавляется, нужно писать ручками.
set policy-option policy-stetment mcast-scope term 1 from interface ge-0/0/0.0 set policy-option policy-stetment mcast-scope term 1 from route-filter 239.0.0.0/8 orlonger set policy-option policy-stetment mcast-scope term 1 from route-filter 224.0.1.40/32 exact set policy-option policy-stetment mcast-scope term 1 from route-filter 224.0.1.39/32 exact set policy-option policy-stetment mcast-scope term 1 then reject set routing-options multicast scope-policy mcast-scope
Известные административные ограничения:
- site-local: 239.255/16
- organization-local: 239.192/14 - private use in network.
- unassigned: 239/10, 239.64/10, 239.128/10
- link-local: 224/24
© Наталия Бобкова 2014—2022