Tunnel pour paquets IP Multicast PIX - Tunnel pour paquets IP Multicast à travers le PIX ccnp_cch

Sommaire • Configuration • Vérification • Résolution de problèmes • Introduction - Composants utilisés - Rappel • Configuration - Schéma du réseau - Configurations • Vérification • Résolution de problèmes ccnp_cch

Introduction Rappel Composants utilisés ccnp_cch IP TV et d'autres flux avec contenu média d'entreprise (tels des streams de stockage) peuvent utiliser IP Multicast pour économiser de la bande passante pendant la déli- vrance du contenu à l'utilisateur final. Malheureusement les paquets IP multicast ne traversent pas le PIX. Ce document montre une méthode pour contourner cette limi- tation en encapsulant les paquets multicast dans un tunnel GRE pour les faire passer à travers le PIX. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes : ● Pare-feu PIX Cisco version 4.0.x et suivantes. ● Cisco Secure PIX Firewall Software release 4.4 et suivantes ● Routeur Cisco série 4500 ● Routeur Cisco série 4700 ● IOS Cisco Release 12.x et suivantes Rappel Comme cela est expliqué dans la documentation du PIX, le PIX n'achemine pas les pa- quets multicast même si plusieurs protocoles de routage utilisent des paquets multi- cast pour transmettre leurs informations de routage. cisco considère que cela est dan- gereux de laisser passer des protocoles de routage à travers le pare-feu PIX. Si les rou- tes sur l'interface non protégée sont corrompues, des routes transmises du côté proté- gé du pare-feu vont polluer les routeurs de ce côté. Configuration Par défaut, l'interface externe (outside) du PIX est Ethernet0 (Gi0 pour des cartes Giga- bit) et l'interface interne est Ethernet1 (ou Gi1 pour des cartes Gigabit). Le réseau in- terne est caché du réseau externe, aussi il est important de connaître les adresses IP à utiliser quand on configure le tunnel. Dans cet exemple de configuration, le routeur connecté sur l'interface externe (Cisco 4500) doit utiliser l'adresse externe du routeur interne (Cisco 4700) sur l'interface Ethernet 4 pour la destination du tunnel. L'adresse de l'interface Ethernet 4 du routeur Cisco 4700 est traduite statiquement (avec NAT) de son adresse réelle 10.10.10.1 vers son adresse externe 131.108.2.7 ccnp_cch 10.1.1.0/24

Configuration partielle Routeur 4500 Schéma du réseau Tunnel Inside Outside Receveur Cisco 4500 4700 PIX tun0 E0 E3 E1 E4 Source Multicast Configurations Configuration partielle Routeur 4500 ip multicast−routing ! interface Tunnel0 ip unnumbered Ethernet3 ip pim sparse−dense−mode tunnel source Ethernet3 !−−− L'adresse destination du tunnel est l'adresse externe de !−−− l'interface Ethernet4 du routeur interne (Cisco 4700). tunnel destination 131.108.2.7 interface Ethernet0 ip address 131.108.3.1 255.255.255.0 interface Ethernet3 ip address 131.108.2.5 255.255.255.0 ccnp_cch

Configuration partielle du PIX Configuration partielle Routeur 4700 nameif ethernet0 outside security0 nameif ethernet1 inside security100 ip address outside 131.108.2.6 255.255.255.0 ip address inside 10.10.10.2 255.255.255.0 global (outside) 1 131.108.2.8 − 131.108.2.61 netmask 255.255.255.0 global (outside) 1 131.108.2.62 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 !−−− Traduction statique de l'adresse de l'interface Ethernet4 !−−− du routeur en une adresse globale sur le PIX. static (inside, outside) 131.108.2.7 10.10.10.1 netmask 255.255.255.255 ! !−−− Permet à l'adresse de l'interface Ethernet3 du routeur externe !−−− de transmettre des paquets vers l'adresse de l'interface !--- Ethernet4 du routeur interne. access−list 101 permit gre host 131.108.2.5 host 131.108.2.7 access−group 101 in interface outside !−−− Dans le PIX Software 4.x, vous devez utiliser la commande !--- conduit pour autoriser l'accès. conduit permit gre host 131.108.2.7 host 131.108.2.5 Configuration partielle Routeur 4700 ip multicast−routing ip mroute 131.108.0.0 255.255.0.0 Tunnel0 ! interface Tunnel0 ip unnumbered Ethernet4 ip pim sparse−dense−mode tunnel source Ethernet4 !−−− L'adresse destination du Tunnel est l'interface externe !−−− Ethernet3 du routeur (Cisco 4500). tunnel destination 131.108.2.5 interface Ethernet0 ip address 10.10.11.1 255.255.255.0 interface Ethernet4 ip address 10.10.10.1 255.255.255.0 ip route 0.0.0.0 0.0.0.0 10.10.10.2 ccnp_cch

Résolution de problèmes Vérification Cette section fournit des informations que vous pouvez utiliser pour confirmer que votre configuration fonctionne correctement. Vous pouvez exécuter les commandes suivantes sur le routeur: ● show ip pim neighbor − Affiche les voisins PIM (Protocol Independent Multicast) découverts. ● show ip mroute − Affiche les entrées de la table de routage multicast active qui ont interface dans la liste des interfaces de sortie. Vous pouvez exécuter les commandes suivantes sur le PIX: ● show xlate − Affiche le contenu de la table de traduction. Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes liés à votre configuration. Vous pouvez exécuter les commandes suivantes sur le routeur: ● debug ip pim − Trace les paquets PIM packets reçus et transmis et les évènements liés à PIM. ● clear xlate − Efface le contenu de la table de traduction. ccnp_cch