예: MSDP 구성
MSDP 이해
MSDP(Multicast Source Discovery Protocol)는 멀티캐스트 라우팅 도메인을 연결하는 데 사용됩니다. 일반적으로 PIM(Protocol Independent Multicast) RP(Sparse-Mode Rendezvous Point)와 동일한 라우터에서 실행됩니다. 각 MSDP 라우터는 BGP가 피어를 설정하는 방식과 유사한 내부 및 외부 MSDP 피어와 인접성을 구축합니다. 이러한 피어 라우터는 도메인 내의 활성 소스에 대해 서로 알려줍니다. 활성 소스를 감지하면 라우터는 PIM Sparse 모드의 명시적 조인 메시지를 활성 소스로 보낼 수 있습니다.
IP 주소가 높은 피어는 잘 알려진 포트 번호를 수동적으로 수신하며, 낮은 IP 주소로 측면을 대기하여 TCP(Transmission Control Protocol) 연결을 설정할 수 있습니다. MSDP를 실행하는 PIM sparse-mode RP가 새로운 로컬 소스를 인식하게 되면, 소스-액티브 유형, 길이 및 값(TLA)을 MSDP 피어로 보냅니다. Source-Active TLV를 수신하면 피어-RPF(Peer-RPF) 검사(멀티캐스트 RPF 검사와 동일하지 않음)가 수행되어 이 피어가 시작 RP로 이어지는 경로에 있는지 확인합니다. 그렇지 않은 경우 소스 활성 TLV가 삭제됩니다. 이 TLV는 "거부된" 소스 활성 메시지로 간주됩니다.
MSDP Peer-RPF 검사는 비 MSDP 멀티캐스트 라우터에서 수행하는 일반적인 RPF 검사와는 다릅니다. Peer-RPF 검사의 목적은 소스-활성 메시지가 루핑되는 것을 막는 것입니다. 라우터 R은 인접 라우터 N 또는 MSDP 메시 그룹 멤버에서만 라우터 S에서 발신된 소스 활성 메시지를 허용합니다.
S ------------------> N ------------------> R
라우터 R(액티브 소스 메시지를 수락하거나 거부하는 라우터)은 MSDP 라우터 N(Peer-RPF neighbor)을 결정적으로 찾습니다. 일련의 규칙이 수신된 소스-액티브 메시지에 특정 순서로 적용되며, 첫 번째 규칙은 peer-RPF neighbor를 결정합니다. 다른 라우터의 모든 소스-활성 메시지는 거부됩니다.
라우터 N에서 라우터 R에서 수신된 라우터 S에서 발신되는 Source-Active 메시지에 적용되는 6가지 규칙은 다음과 같습니다.
라우터 N이 소스 활성 메시지(라우터 N은 라우터 S)를 보낸 경우 라우터 N은 peer-RPF neighbor가 되며 Source-Active 메시지가 수락됩니다.
라우터 N이 라우터 R 메시 그룹의 구성원이거나 구성된 피어인 경우, 라우터 N은 peer-RPF neighbor이며 소스 활성 메시지가 수락됩니다.
라우터 N이 라우터 S를 향해 활성 멀티캐스트 RPF 경로의 다음 홉인 BGP인 경우(라우터 N은 라우터 R에 경로를 설치함), 라우터 N은 peer-RPF neighbor이며 소스 활성 메시지가 수락됩니다.
라우터 N이 라우터 R의 외부 BGP(EBGP) 또는 내부 BGP(IBGP) 피어이고, 라우터 S에 대한 BGP AS 경로의 마지막 AS(Autonomous System) 번호가 라우터 N의 AS 번호와 같다면 라우터 N은 peer-RPF neighbor이며 소스 활성 메시지가 수락됩니다.
라우터 N이 라우터 S에 대한 다음 홉과 동일한 다음 홉을 사용하는 경우, 라우터 N은 peer-RPF neighbor이며 소스 활성 메시지가 수락됩니다.
라우터 N이 이러한 기준을 충족하지 못하는 경우, 라우터 N은 MSDP peer-RPF neighbor가 아니며 소스-액티브 메시지는 거부됩니다.
소스 활성 TV를 수신하는 MSDP 피어는 BGP 도달 가능성 정보에 의해 제약을 받을 수 있습니다. 네트워크 레이어 도달 가능성 정보(NLRI)의 AS 경로에 두 번째로 미리 지불된 수신 피어의 AS 번호가 포함되어 있는 경우, 송신 피어는 수신 피어를 이 소스의 다음 홉으로 사용합니다. 분할 수평선 정보를 수신하지 않는 경우 피어는 소스 활성 TLV 배포 목록에서 정리할 수 있습니다.
MSDP 메시 그룹 구성에 대한 자세한 내용은 예: Active Source Limits 및 Mesh Group을 통한 MSDP 구성을 참조하십시오.
자세한 내용은
MSDP 구성
MSDP(Multicast Source Discovery Protocol)를 구성하려면 다음과 같은 명령문을 msdp 포함합니다.
msdp { disable; active-source-limit { maximum number; threshold number; } data-encapsulation (disable | enable); export [ policy-names ]; group group-name { ... group-configuration ... } hold-time seconds; import [ policy-names ]; local-address address; keep-alive seconds; peer address { ... peer-configuration ... } rib-group group-name; source ip-prefix</prefix-length> { active-source-limit { maximum number; threshold number; } } sa-hold-time seconds; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier > <disable>; } group group-name { disable; export [ policy-names ]; import [ policy-names ]; local-address address; mode (mesh-group | standard); peer address { ... same statements as at the [edit protocols msdp peer address] hierarchy level shown just following ... } traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } } peer address { disable; active-source-limit { maximum number; threshold number; } authentication-key peer-key; default-peer; export [ policy-names ]; import [ policy-names ]; local-address address; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } } }
다음 계층 수준에서 이 명령문을 포함할 수 있습니다.
[edit protocols][edit routing-instances routing-instance-name protocols][edit logical-systems logical-system-name protocols][edit logical-systems logical-system-name routing-instances routing-instance-name protocols]
기본적으로 MSDP는 비활성화됩니다.
자세한 내용은
예: 라우팅 인스턴스에서 MSDP 구성
이 예에서는 VRF 인스턴스에서 MSDP를 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전:
라우터 인터페이스를 구성합니다.
내부 게이트웨이 프로토콜 또는 정적 라우팅을 구성합니다. 라우팅 디바이스에 대한 Junos OS 라우팅 프로토콜 라이브러리를 참조하십시오.
PIM을 활성화합니다. PIM 개요를 참조하십시오.
개요
다음과 같은 유형의 인스턴스에서 MSDP를 구성할 수 있습니다.
전달
포워딩 없음
가상 라우터
VPLS
VRF
라우팅 인스턴스에서 MSDP의 주요 사용은 이중화된 RP를 구성할 수 있는 네트워크에서 애니캐스트 RP를 지원하는 것입니다. 애니캐스트 RP 주소 지정에는 RP 간의 활성 소스를 동기화하기 위해 MSDP 지원이 필요합니다.
이 예에는 다음과 같은 MSDP 설정이 포함됩니다.
인증 키—기본적으로 멀티캐스트 라우터는 구성된 피어 주소에서 올바르게 포맷된 MSDP 메시지를 수락하고 처리합니다. 정의에 따른 MSDP 메시지는 멀티캐스트 라우터 조직의 보안 프랙티스를 통제할 수 없는 다른 라우팅 도메인에서 나온 것이므로 이러한 기본 동작은 많은 조직에서 보안 정책을 위반할 수 있습니다.
라우터는 MSDP 피어링 세션을 위한 TCP MD5(message digest 5) 서명 옵션을 사용하여 MSDP 메시지를 인증할 수 있습니다. 이 인증은 MSDP 피어링 세션에 스푸핑된 패킷이 유입되는 것을 방지합니다. MSDP 인증을 구현하는 두 조직은 두 피어에서 사람이 읽을 수 있는 키를 결정해야 합니다. 이 키는 두 피어 간에 전송되는 각 MSDP 세그먼트에 대한 MD5 서명 계산에 포함됩니다.
MSDP 피어가 그룹 내에서 정의되었는지 또는 개별적으로 정의되었는지 여부에 관계없이 피어별로 MSDP 인증 키를 구성합니다. 그룹의 동일한 피어에 대해 서로 다른 인증 키를 구성하고 각각 하나씩 구성하면 개별 키가 사용됩니다.
피어 키는 최대 16자리 숫자까지 스트링되는 텍스트가 될 수 있습니다. 문자열은 (,), 및 [를 제외하고 모든 ASCII 문자를 포함할 수 있습니다. MSDP 인증 키에 공백을 포함하면 모든 문자를 따옴표(" ")로 동봉합니다.
피어링 세션에서 MSDP 인증 키를 추가, 제거 또는 변경하면 기존 MSDP 세션을 재설정하고 영향을 받는 MSDP 피어 간에 새로운 세션이 설정됩니다. 이러한 즉각적인 세션 종료는 일치하지 않는 키로 인해 과도한 재전송 및 최종 세션 타임 아웃을 방지합니다.
가져오기 및 익스포트—모든 라우팅 프로토콜은 라우팅 테이블을 사용하여 학습한 경로를 저장하고 프로토콜 패킷에 어떤 라우트를 광고하는지 결정합니다. 라우팅 정책을 사용하면 라우팅 테이블에 저장하고 검색하는 라우팅 프로토콜을 제어할 수 있습니다.
그룹 또는 개별 피어를 위해 라우팅 정책을 전역적으로 구성할 수 있습니다. 이 예에서는 개별 피어에 대한 정책을 구성하는 방법을 보여줍니다.
그룹 수준에서 라우팅 정책을 구성하면 그룹의 각 피어는 그룹의 라우팅 정책을 승계합니다.
임포트 명령문은 MSDP의 Source-Active 캐시로 임포트되는 Source-Active 메시지에 정책을 적용합니다. 내보내기 명령문은 Source-Active 캐시에서 MSDP로 내보낼 Source-Active 메시지에 정책을 적용합니다. 두 개 이상의 정책을 지정하면 정책이 첫 번째에서 마지막까지 지정된 순서로 평가되고 첫 번째 일치 정책이 경로에 적용됩니다. 임포트 정책에 대한 일치가 발견되지 않으면 MSDP는 MSDP 라우터에서 학습한 경로만 라우팅 테이블과 공유합니다. 내보내기 정책에 일치하는 항목이 없는 경우 기본 MSDP 내보내기 정책이 Source-Active 캐시의 엔트리에 적용됩니다. 일치 조건 목록은 표 1을 참조하십시오.
표 1: MSDP Source-Active Message Filter Match 조건 매치 조건
매치 온
인터페이스
이름 또는 IP 주소로 지정된 라우터 인터페이스 또는 인터페이스
이웃
인접 주소(소스 활성 메시지의 IP 헤더에 있는 소스 주소)
경로 필터
소스 활성 메시지에 포함된 멀티캐스트 그룹 주소
소스 주소 필터
소스 활성 메시지에 포함된 멀티캐스트 소스 주소
로컬 주소—MSDP 라우터(로컬 라우터)로 구성 중인 라우터의 주소를 식별합니다. MSDP를 구성하면 로컬 주소 명령문이 필요합니다. 또한, 라우터는 PIM(Protocol Independent Multicast) Sparse 모드 RP(Rendezvous Point)이어야 합니다.
peer—MSDP 라우터는 어떤 라우터가 동종 라우터인지 알아야 합니다. 로컬 라우터의 MSDP 피어인 이웃 라우터를 구성하여 피어 관계를 명시적으로 정의합니다. 피어 관계가 구축되면 MSDP 피어는 메시지를 교환하여 활성 멀티캐스트 소스를 광고합니다. MSDP가 작동하려면 하나 이상의 피어를 구성해야 합니다. MSDP를 구성하면 피어 명령문이 필요합니다. 또한, 라우터는 PIM(Protocol Independent Multicast) Sparse 모드 RP(Rendezvous Point)이어야 합니다.
MSDP 피어를 그룹으로 정렬할 수 있습니다. 각 그룹에는 최소 한 명의 피어가 포함되어야 합니다. 일부 피어의 소스를 차단하고 다른 피어에서 피어를 허용하거나 다른 그룹이 아닌 한 그룹에 추적 옵션을 설정하려는 경우 피어를 그룹에 배치하는 것이 유용합니다. 이 예에서는 MSDP 피어를 그룹으로 구성하는 방법을 보여줍니다. 그룹에서 MSDP 피어를 구성하면 그룹의 각 피어는 모든 그룹 수준 옵션을 상속받습니다.
구성
절차
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사 및 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set policy-options policy-statement bgp-to-ospf term 1 from protocol bgp set policy-options policy-statement bgp-to-ospf term 1 then accept set policy-options policy-statement sa-filter term bad-groups from route-filter 224.0.1.2/32 exact set policy-options policy-statement sa-filter term bad-groups from route-filter 224.77.0.0/16 orlonger set policy-options policy-statement sa-filter term bad-groups then reject set policy-options policy-statement sa-filter term bad-sources from source-address-filter 10.0.0.0/8 orlonger set policy-options policy-statement sa-filter term bad-sources from source-address-filter 127.0.0.0/8 orlonger set policy-options policy-statement sa-filter term bad-sources then reject set policy-options policy-statement sa-filter term accept-everything-else then accept set routing-instances VPN-100 instance-type vrf set routing-instances VPN-100 interface ge-0/0/0.100 set routing-instances VPN-100 interface lo0.100 set routing-instances VPN-100 route-distinguisher 10.255.120.36:100 set routing-instances VPN-100 vrf-target target:100:1 set routing-instances VPN-100 protocols ospf export bgp-to-ospf set routing-instances VPN-100 protocols ospf area 0.0.0.0 interface lo0.100 set routing-instances VPN-100 protocols ospf area 0.0.0.0 interface ge-0/0/0.100 set routing-instances VPN-100 protocols pim rp static address 11.11.47.100 set routing-instances VPN-100 protocols pim interface lo0.100 mode sparse-dense set routing-instances VPN-100 protocols pim interface lo0.100 version 2 set routing-instances VPN-100 protocols pim interface ge-0/0/0.100 mode sparse-dense set routing-instances VPN-100 protocols pim interface ge-0/0/0.100 version 2 set routing-instances VPN-100 protocols msdp export sa-filter set routing-instances VPN-100 protocols msdp import sa-filter set routing-instances VPN-100 protocols msdp group 100 local-address 10.10.47.100 set routing-instances VPN-100 protocols msdp group 100 peer 10.255.120.39 authentication-key “New York” set routing-instances VPN-100 protocols msdp group to_pe local-address 10.10.47.100 set routing-instances VPN-100 protocols msdp group to_pe peer 11.11.47.100
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. CLI 탐색에 대한 자세한 내용은 Junos OS CLI 사용자 가이드의 Configuration 모드에서 CLI Editor를 사용하는 것을 참조하십시오.
MSDP 라우팅 인스턴스를 구성하려면 다음을 수행합니다.
BGP 내보내기 정책을 구성합니다.
[edit policy-options] user@host# set policy-statement bgp-to-ospf term 1 from protocol bgp user@host# set policy-statement bgp-to-ospf term 1 then accept
특정 소스 및 그룹 주소를 필터링하고 다른 모든 소스 및 그룹 주소를 수용하는 정책을 구성합니다.
[edit policy-options] user@host# set policy-statement sa-filter term bad-groups from route-filter 224.0.1.2/32 exact user@host# set policy-statement sa-filter term bad-groups from route-filter 224.0.1.2/32 exact user@host# set policy-statement sa-filter term bad-groups from route-filter 224.77.0.0/16 orlonger user@host# set policy-statement sa-filter term bad-groups then reject user@host# set policy-statement sa-filter term bad-sources from source-address-filter 10.0.0.0/8 orlonger user@host# set policy-statement sa-filter term bad-sources from source-address-filter 127.0.0.0/8 orlonger user@host# set policy-statement sa-filter term bad-sources then reject user@host# set policy-statement sa-filter term accept-everything-else then accept
라우팅 인스턴스 유형 및 인터페이스를 구성합니다.
[edit routing-instances] user@host# set VPN-100 instance-type vrf user@host# set VPN-100 interface ge-0/0/0.100 user@host# set VPN-100 interface lo0.100
라우팅 인스턴스 라우트 구분자 및 VRF 대상을 구성합니다.
[edit routing-instances] user@host# set VPN-100 route-distinguisher 10.255.120.36:100 user@host# set VPN-100 vrf-target target:100:1
라우팅 인스턴스에서 OSPF를 구성합니다.
[edit routing-instances] user@host# set VPN-100 protocols ospf export bgp-to-ospf user@host# set VPN-100 protocols ospf area 0.0.0.0 interface lo0.100 user@host# set VPN-100 protocols ospf area 0.0.0.0 interface ge-0/0/0.100
라우팅 인스턴스에서 PIM을 구성합니다.
[edit routing-instances] user@host# set VPN-100 protocols pim rp static address 11.11.47.100 user@host# set VPN-100 protocols pim interface lo0.100 mode sparse-dense user@host# set VPN-100 protocols pim interface lo0.100 version 2 user@host# set VPN-100 protocols pim interface ge-0/0/0.100 mode sparse-dense user@host# set VPN-100 protocols pim interface ge-0/0/0.100 version 2
라우팅 인스턴스에서 MSDP를 구성합니다.
[edit routing-instances] user@host# set VPN-100 protocols msdp export sa-filter user@host# set VPN-100 protocols msdp import sa-filter user@host# set VPN-100 protocols msdp group 100 local-address 10.10.47.100 user@host# set VPN-100 protocols msdp group 100 peer 10.255.120.39 authentication-key “New York” [edit routing-instances] user@host# set VPN-100 protocols msdp group to_pe local-address 10.10.47.100 [edit routing-instances] user@host# set VPN-100 protocols msdp group to_pe peer 11.11.47.100
디바이스 구성을 완료한 경우 구성을 커밋합니다.
[edit routing-instances] user@host# commit
결과
show policy-options 명령 및 configuration 모드에서 show routing-instances 명령어로 입력하여 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않는 경우 이 예제의 지침을 반복하여 구성을 수정합니다.
user@host# show policy-options
policy-statement bgp-to-ospf {
term 1 {
from protocol bgp;
then accept;
}
}
policy-statement sa-filter {
term bad-groups {
from {
route-filter 224.0.1.2/32 exact;
route-filter 224.77.0.0/16 orlonger;
}
then reject;
}
term bad-sources {
from {
source-address-filter 10.0.0.0/8 orlonger;
source-address-filter 127.0.0.0/8 orlonger;
}
then reject;
}
term accept-everything-else {
then accept;
}
}
user@host# show routing-instances
VPN-100 {
instance-type vrf;
interface ge-0/0/0.100; ## 'ge-0/0/0.100' is not defined
interface lo0.100; ## 'lo0.100' is not defined
route-distinguisher 10.255.120.36:100;
vrf-target target:100:1;
protocols {
ospf {
export bgp-to-ospf;
area 0.0.0.0 {
interface lo0.100;
interface ge-0/0/0.100;
}
}
pim {
rp {
static {
address 11.11.47.100;
}
}
interface lo0.100 {
mode sparse-dense;
version 2;
}
interface ge-0/0/0.100 {
mode sparse-dense;
version 2;
}
}
msdp {
export sa-filter;
import sa-filter;
group 100 {
local-address 10.10.47.100;
peer 10.255.120.39 {
authentication-key "Hashed key found - Replaced with $ABC123abc123"; ## SECRET-DATA
}
}
group to_pe {
local-address 10.10.47.100;
peer 11.11.47.100;
}
}
}
}
확인
구성을 확인하려면 다음 명령을 실행합니다.
msdp 인스턴스 VPN-100 표시
msdp Source-Active VPN-100을 보여 줘
멀티캐스트 사용 인스턴스 VPN-100을 보여 줍니다.
route table VPN-100.inet.4를 표시합니다.
원격 소스에서 트래픽 수용을 위한 인터페이스 구성
수신 인터페이스를 구성하여 원격 소스에서 멀티캐스트 트래픽을 수용할 수 있습니다. 원격 소스는 수신 인터페이스와 동일한 서브넷에 없는 소스입니다. 그림 2 는 이러한 토폴로지로, R2는 한 서브넷의 R1 소스와 다른 서브넷의 R3(그림에서 ge-1/3/0.0)의 수신 인터페이스에 연결합니다.
에서 멀티캐스트 트래픽 허용
이 토폴로지 R2는 PIM을 실행하지 않는 패스스루 디바이스이므로 R3은 R1에서 전송되는 멀티캐스트 패킷을 위한 첫 번째 홉 라우터입니다. R1과 R3는 서로 다른 서브넷에 있기 때문에 R3의 기본 동작은 R1을 원격 소스로 무시하는 것입니다. 그러나 대상 인터페이스를 활성화하면 R3에서 R1의 멀티캐스트 트래픽을 허용할 accept-remote-source 수 있습니다.
원격 소스에서 트래픽을 수용하려면 다음을 수행합니다.
자세한 내용은
예: Active Source Limits 및 Mesh Group을 통한 MSDP 구성
이 예에서는 MSDP를 구성하여 소스 활성 메시지를 필터링하고 Source-Active 메시지의 플러딩을 제한하는 방법을 보여줍니다.
요구 사항
시작하기 전:
라우터 인터페이스를 구성합니다.
내부 게이트웨이 프로토콜 또는 정적 라우팅을 구성합니다. 라우팅 디바이스에 대한 Junos OS 라우팅 프로토콜 라이브러리를 참조하십시오.
PIM Sparse 모드를 활성화합니다. PIM 개요를 참조하십시오.
라우터를 PIM Sparse 모드 RP로 구성합니다. 로컬 PIM RP 구성을 참조하십시오.
개요
RP와 같은 MSDP 메시지에 관심이 있는 라우터는 많은 MSDP 메시지( 특히 다른 라우터에서 전달되는 소스-액티브 메시지)를 처리해야 할 수 있습니다. 많은 MSDP 패킷에 대해 라우터가 상태 테이블을 검사, 처리 및 생성해야 할 가능성이 있기 때문에 MSDP를 실행하는 라우터에 대한 MSDP 기반 DoS(Denial-of-Service) 공격이 발생할 가능성이 있습니다. 이러한 가능성을 최소화하기 위해 라우터가 라우터에서 수락하는 소스 활성 메시지의 수를 제한하도록 라우터를 구성할 수 있습니다. 또한, 일부 MSDP 활성 소스 메시지를 삭제하기 위해 RED(Random Early Detection)를 적용하기 위한 임계값을 구성할 수 있습니다.
기본적으로 라우터는 나머지를 무시하기 전에 25,000개의 소스 활성 메시지를 허용합니다. 한도는 1에서 1,000,000까지입니다. 이 제한은 메시지 수와 MSDP 피어 수 모두에 적용됩니다.
기본적으로 라우터는 24,000개의 소스-액티브 메시지를 허용한 후 RED 프로파일을 적용하여 가능한 DoS 공격을 차단합니다. 이 숫자는 또한 1에서 1,000,000까지 다양합니다. 다음 1000 메시지는 RED 프로필과 처리된 수락된 메시지에 의해 가려집니다. 드롭 프로파일을 구성하지 않는 경우(이 예에서는 아님) RED가 여전히 유효하며 혼잡을 관리하기 위한 기본 메커니즘으로 작동합니다. 기본 RED 드롭 프로파일에서 패킷 큐 채우기 레벨이 0%인 경우 드롭 가능성은 0%입니다. 채우기 수준이 100%인 경우 드롭 가능성은 100%입니다.
라우터는 캡슐화된 TCP 패킷이 있는 소스 활성 메시지를 무시합니다. 멀티캐스트는 TCP를 사용하지 않습니다. 소스-액티브 메시지 내 세그먼트는 웜 활동의 결과일 가능성이 큽니다.
임계값에 대해 구성된 개수는 활성 MSDP 소스의 최대 개수에 대해 구성된 개수보다 적어야 합니다.
전역적으로, 그룹 또는 피어에 대해 활성 소스 제한을 구성할 수 있습니다. 이 예에서와 같이 계층의 여러 수준에서 활성 소스 한계가 구성된 경우 모두 적용됩니다.
주소 범위와 특정 피어에 대한 활성 소스 제한을 구성할 수 있습니다. 소스당 활성 소스 제한은 특정 주소 대신 IP 접두사 및 접두사 길이를 사용합니다. 소스당 1개 이상의 활성 소스 제한을 구성할 수 있습니다. 가장 긴 일치가 한계를 결정합니다.
소스별 활성 소스 제한은 피어, 그룹 및 글로벌(인스턴스) 계층 수준에서 활성 소스 제한과 결합할 수 있습니다. 소스별 제한은 다른 유형의 활성 소스 제한 이전에 적용됩니다. 제한은 다음 순서로 테스트됩니다.
소스당
피어 또는 그룹별
인스턴스당
활성 소스 메시지는 수락되기 전에 설정된 모든 제한을 "통과"해야 합니다. 예를 들어, 소스가 10,000개의 활성 멀티캐스트 그룹에 대한 활성 소스 제한으로 구성되고 인스턴스가 5000개의 제한으로 구성되고 다른 소스나 제한은 구성되지 않은 경우, 이 소스에서 5000개의 활성 소스 메시지만 허용됩니다.
MSDP 메시 그룹은 소스-액티브 메시지의 플러딩을 이웃 피어로 제한하는 풀 메시 토폴로지로 구성된 피어 그룹입니다. 모든 메시 그룹 멤버는 다른 모든 메시 그룹 멤버와 피어 연결을 가져야 합니다. 소스-활성 메시지가 메시 그룹 멤버로부터 수신되면 소스 활성 메시지가 항상 수락되지만 동일한 메시 그룹의 다른 구성원으로 플러드되지는 않습니다. 그러나 Source-active 메시지는 비 메시 그룹 피어 또는 다른 메시 그룹의 구성원으로 플러드됩니다. 메시 그룹이 지정되지 않은 경우 기본적으로 표준 플러딩 규칙이 적용됩니다.
MSDP 메시 그룹을 구성할 때는 모든 구성원을 동일한 방식으로 구성해야 합니다. 풀 메시를 구성하지 않으면 소스 활성 메시지의 과도한 플러딩이 발생할 수 있습니다.
MSDP 메시 그룹에 공통된 애플리케이션은 Peer-RPF(Peer-Reverse Path-Forwarding) 체크 바이패스입니다. 예를 들어, AS(Autonomous System) 내에 MSDP 피어가 2개 있고 그 중 하나만 다른 AS에 대한 외부 MSDP 세션을 가지고 있는 경우, 내부 MSDP 피어는 외부 링크가 있는 피어가 중계하는 수신 소스-활성 메시지를 거부하는 경우가 많습니다. 외부 MSDP 피어는 다른 AS의 소스를 향해 다음 홉을 통해 내부 MSDP 피어에 의해 도달해야 하기 때문에 거부가 발생하며 이 넥넥트 홉 조건은 확실하지 않습니다. 거부를 방지하려면 항상 Source-active 메시지를 수신할 수 있도록 내부 MSDP 피어에 MSDP 메시 그룹을 구성하십시오.
Peer-RPF 검사를 우회하는 다른 방법은 기본 피어를 구성하는 것입니다. 단 하나의 MSDP 피어(특히 스텁 네트워크)가 있는 네트워크에서는 항상 소스-액티브 메시지를 받아들여야 합니다. MSDP 기본 피어는 PEER-RPF 검사를 수행하지 않고 모든 소스-활성 메시지를 수락하는 MSDP 피어입니다. 기본 피어 명령문을 포함함으로써 피어 또는 그룹 수준에서 기본 피어 를 설정할 수 있습니다.
표 2 는 이 예에서 피어가 플러딩을 처리하는 방법을 설명합니다. .
출처-활성 메시지 |
소스-활성 메시지 플러드 |
소스-활성 메시지가 플러드되지 않음 |
|---|---|---|
피어 21 |
Peer 11, Peer 12, Peer 13, Peer 31, Peer 32 |
피어 22 |
피어 11 |
Peer 21, Peer 22, Peer 31, Peer 32 |
Peer 12, Peer 13 |
피어 31 |
Peer 21, Peer 22, Peer 11, Peer 12, Peer 13, Peer 32 |
– |
그림 3 은 동일한 메시 그룹 내의 서로 다른 메시 그룹과 피어 간의 소스 활성 메시지 플러딩을 보여줍니다.
이 예에는 다음 설정이 포함됩니다.
active-source-limit 최대 10000—다른 모든 피어에 10,000개의 활성 소스 한도를 적용합니다.
데이터 캡슐화 비활성화—MSDP를 사용하는 RP 라우터에서 MSDP 소스-액티브 메시지 내부의 MSDP 등록 메시지에서 수신되는 멀티캐스트 데이터의 기본 캡슐화를 비활성화합니다.
MSDP 데이터 캡슐화는 주로 멀티캐스트 트래픽의 폭주 소스에 대한 우려입니다. 몇 분마다 한 패킷만 전송하는 소스는 소스와 멀티캐스트 그룹(S,G) 간의 상태 관계 타임아웃에 문제가 있습니다. 라우터는 (S,G) 상태 테이블을 재구축하는 동안 데이터를 잃게 됩니다. 따라서 멀티캐스트 등록 메시지에는 데이터가 포함되어 있으며 MSDP 소스-액티브 메시지의 데이터 캡슐화는 구성을 통해 설정 또는 해제될 수 있습니다.
기본적으로 MSDP 데이터 캡슐화가 활성화됩니다. MSDP를 실행하는 RP는 소스의 등록 메시지에 도착하는 데이터 패킷을 가져와 MSDP Source-active 메시지 내부에 데이터를 캡슐화합니다.
그러나 데이터 캡슐화는 inet.1 테이블 내 멀티캐스트 포워딩 캐시 엔트리(포워딩 테이블이기도 함)와 inet.4 테이블의 라우팅 테이블 엔트리를 모두 만듭니다. 데이터 캡슐화가 없으면 MSDP는 inet.4 테이블의 라우팅 테이블 항목만 만듭니다. 인터넷 웜의 존재 또는 다른 형태의 DoS 공격과 같은 일부 상황에서는 라우터의 포워딩 테이블이 이러한 엔트리로 채워질 수 있습니다. 포워딩 테이블이 MSDP 엔트리로 채워지지 않도록 MSDP 데이터 캡슐화를 사용하지 않도록 라우터를 구성할 수 있습니다. 그러나 데이터 캡슐화를 사용하지 않도록 설정하면 라우터는 캡슐화된 데이터를 무시하고 폐기합니다. 데이터 캡슐화가 없다면, 버스티 소스가 있는 멀티캐스트 애플리케이션은 전송 간격이 약 3분 이상인 경우, 제대로 작동하지 않을 수 있습니다.
그룹 MSDP-group 로컬 주소 10.1.2.3—로컬 라우터의 주소를 지정합니다(이 라우터).
그룹 MSDP-group 모드 메시 그룹— MSDP-group 에 속하는 모든 피어가 메시 그룹 멤버임을 지정합니다.
group MSDP-group peer 10.10.10.10—인접한 피어 10.10.10.10으로 소스 활성 메시지를 보내는 것을 방지합니다.
그룹 MSDP-group 피어 10.10.10.10 활성 소스 제한 최대 7500—그룹 MSDP 그룹의 MSDP 피어 10.10.10.10에 7500개의 활성 소스 한도를 적용합니다.
peer 10.0.0.1 active-source-limit 최대 5000 임계값 4000—4000개의 활성 소스의 threshhold와 5000개의 활성 소스를 MSDP 피어 10.0.0.1로 제한합니다.
source 10.1.0.0/16 Active Source-Limit 최대 500— 10.1.0.0/16 네트워크의 모든 소스에 500개의 활성 소스 제한을 적용합니다.
토폴로지
구성
절차
CLI 빠른 구성
이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣고, 줄 바꿈을 제거하고, 네트워크 구성에 필요한 세부 정보를 변경하고, 명령을 계층 수준에서 CLI [edit] 에 복사 및 붙여넣은 다음 구성 모드에서 입력 commit 합니다.
set protocols msdp data-encapsulation disable set protocols msdp active-source-limit maximum 10000 set protocols msdp peer 10.0.0.1 active-source-limit maximum 5000 set protocols msdp peer 10.0.0.1 active-source-limit threshold 4000 set protocols msdp source 10.1.0.0/16 active-source-limit maximum 500 set protocols msdp group MSDP-group mode mesh-group set protocols msdp group MSDP-group local-address 10.1.2.3 set protocols msdp group MSDP-group peer 10.10.10.10 active-source-limit maximum 7500
단계별 절차
다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. CLI 탐색에 대한 자세한 내용은 Junos OS CLI 사용자 가이드의 Configuration 모드에서 CLI Editor를 사용하는 것을 참조하십시오.
MSDP 소스 활성 경로 및 메시 그룹을 구성하려면 다음을 수행합니다.
(선택사항) 데이터 캡슐화를 비활성화합니다.
[edit protocols msdp] user@host# set data-encapsulation disable
활성 소스 제한을 구성합니다.
[edit protocols msdp] user@host# set peer 10.0.0.1 active-source-limit maximum 5000 threshold 4000 user@host# set group MSDP-group peer 10.10.10.10 active-source-limit maximum 7500 user@host# set active-source-limit maximum 10000 user@host# set source 10.1.0.0/16 active-source-limit maximum 500
(선택사항) 경고 메시지가 기록되는 임계값과 로그 메시지 간의 시간 양을 구성합니다.
[edit protocols msdp] user@host# set active-source-limit log-warning 80 user@host# set active-source-limit log-interval 20
메시 그룹을 구성합니다.
[edit protocols msdp] user@host# set group MSDP-group mode mesh-group user@host# set group MSDP-group peer 10.10.10.10 user@host# set group MSDP-group local-address 10.1.2.3
디바이스 구성을 완료한 경우 구성을 커밋합니다.
[edit routing-instances] user@host# commit
결과
show 프로토콜 명령을 입력하여 구성을 확인합니다.
user@host# show protocols
msdp {
data-encapsulation disable;
active-source-limit {
maximum 10000;
}
peer 10.0.0.1 {
active-source-limit {
maximum 5000;
threshold 4000;
}
}
source 10.1.0.0/16 {
active-source-limit {
maximum 500;
}
}
group MSDP-group {
mode mesh-group;
local-address 10.1.2.3;
peer 10.10.10.10 {
active-source-limit {
maximum 7500;
}
}
}
}
확인
구성을 확인하려면 다음 명령을 실행합니다.
msdp 소스 활성을 보여 줘
msdp 통계 표시
MSDP 프로토콜 트래픽 추적
추적 작업은 송수신되는 다양한 유형의 라우팅 프로토콜 패킷과 라우팅 정책 작업 등 라우팅 프로토콜의 작동에 대한 자세한 메시지를 기록합니다. 특정 추적 플래그를 포함하여 어떤 추적 작업이 로깅되는지 지정할 수 있습니다. 다음 표는 포함할 수 있는 플래그를 설명합니다.
플래그 |
설명 |
|---|---|
모든 |
모든 작업을 추적합니다. |
일반 |
일반 이벤트를 추적합니다. |
Keepalive |
유지 메시지를 추적합니다. |
정상적인 |
정상적인 이벤트를 추적합니다. |
패킷을 |
모든 MSDP 패킷을 추적합니다. |
정책 |
추적 정책 처리. |
경로 |
라우팅 테이블에 대한 MSDP 변경을 추적합니다. |
소스-활성 |
추적 소스 활성 패킷. |
Source-Active-Request |
소스 활성 요청 패킷 추적. |
Source-Active-Response |
추적 소스-활성 응답 패킷. |
상태 |
상태 전환을 추적합니다. |
작업 |
작업 처리 추적. |
타이머 |
추적 타이머 처리. |
모든 피어, 특정 그룹의 모든 피어 또는 특정 피어에 대해 MSDP 추적을 구성할 수 있습니다.
다음 예에서는 모든 라우팅 프로토콜 패킷에 대해 추적이 활성화됩니다. 추적은 특정 그룹의 MSDP 피어에만 집중하도록 좁혀지게 합니다. MSDP에 대한 추적 작업을 구성하려면 다음을 수행합니다.
자세한 내용은
MSDP 비활성화
라우터에서 MSDP를 비활성화하려면 다음과 같은 명령문을 disable 포함합니다.
disable;
모든 피어, 그룹의 모든 피어 또는 개별 피어에 대해 MSDP를 전역적으로 비활성화할 수 있습니다.
다음 계층 수준에서 모든 MSDP 피어에 대해 전 세계적:
[edit protocols msdp][edit logical-systems logical-system-name protocols msdp][edit routing-instances routing-instance-name protocols msdp][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp]
다음 계층 수준에서 그룹의 모든 피어에 대해:
[edit protocols msdp group group-name][edit logical-systems logical-system-name protocols msdp group group-name][edit routing-instances routing-instance-name protocols msdp group group-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp group group-name]
다음 계층 수준에서 개별 피어의 경우:
[edit protocols msdp peer address][edit protocols msdp group group-name peer address][edit logical-systems logical-system-name protocols msdp peer address][edit logical-systems logical-system-name protocols msdp group group-name peer address][edit routing-instances routing-instance-name protocols msdp peer address][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp peer address][edit logical-systems logical-system-name routing-instances routing-instance-name protocols msdp group group-name peer address]
그룹 수준에서 MSDP를 비활성화하면 그룹의 각 피어는 비활성화됩니다.
예: MSDP 구성
PIM Sparse 모드의 만남 지점 및 MSDP 피어로 작동하도록 라우터를 구성합니다.
[edit]
routing-options {
interface-routes {
rib-group ifrg;
}
rib-groups {
ifrg {
import-rib [inet.0 inet.2];
}
mcrg {
export-rib inet.2;
import-rib inet.2;
}
}
}
protocols {
bgp {
group lab {
type internal;
family any;
neighbor 192.168.6.18 {
local-address 192.168.6.17;
}
}
}
pim {
dense-groups {
224.0.1.39/32;
224.0.1.40/32;
}
rib-group mcrg;
rp {
local {
address 192.168.1.1;
}
}
interface all {
mode sparse-dense;
version 1;
}
}
msdp {
rib-group mcrg;
group lab {
peer 192.168.6.18 {
local-address 192.168.6.17;
}
}
}
}