canevas-acl

Ce canevas ne concerne que les ACL à mettre en place. Pour obtenir le canevas
complet avec toutes les configurations voir sur
http://www.univ-valenciennes.fr/CRU/MBone/canevas-config.html

Pour les adresses à portée administrée (239.xxx.xxx.xxx) voir le document : http://www.services.cnrs.fr/wws/d_read/fmbone-ops/scoped-addr.pdf

interface tunnel xx
    description Tunnel vers Fmbone-2
    ....
    ip multicast boundary 10
    ....

router bgp [votre numéro d'A.S]
    ....
    neighbor 193.48.56.xy distribution list 20 in
    neighbor 193.48.56.xy distribution list 30 out
....

# Si le routeur est RP
#       ip pim rp-address [adresse IP] 10

# si le routeur est RP pour le RR ou le RM et peer en MSDP avec le NIO ou le NRD
        ip pim rp-address [addresse IP de loopbackN] 10
        ....
        ip msdp sa-filter in 193.48.56.x list 108      ! x à adapter selon votre NRD
        ip msdp sa-filter out 193.48.56.x list 109
        ....

# L'ACL 10 correspond à la commande "ip multicast boudary"
# Les deux premières lignes doivent être enlevées si le routeur n'est pas RP, sinon, auto-rp ne marcherait pas.
      access list 10 deny 224.0.1.39
      access list 10 deny 224.0.1.40
      access-list 10 deny 224.0.0.0 0.0.255.255
      access-list 10 deny 239.192.240.0 0.0.127.255    ! voir le document scoped-addr.pdf
      access-list 10 deny 239.255.0.0 0.0.255.255        ! voir le document scoped-addr.pdf
      access list 10 permit any

access list 20 permit 0.0.0.0
access list 20 deny any

      access-list 30 deny 0.0.0.0
      access-list 30 deny 10.0.0.0 0.255.255.255
      access-list 30 deny 172.16.0.0 0.15.255.255
      access-list 30 deny 192.168.0.0 0.0.255.255
      access-list 30 permit any

# si le routeur est RP et peer en MSDP
    access-list 108 deny ip any host 224.0.2.2 ! ne pas accepter SUN RPC PMAPPROC_CALLIT
    access-list 108 deny ip any host 224.0.1.2 ! ne pas accepter SGI Dogfight
    access-list 108 deny ip any host 224.0.1.3 ! ne pas accepter Rwhod
    access-list 108 deny ip any host 224.0.1.22 ! ne pas accepter SVRLOC
    access-list 108 deny ip any host 224.0.1.24 ! ne pas accepter microsoft-ds
    access-list 108 deny ip any host 224.0.1.35 ! ne pas accepter SVRLOC-DA
    access-list 108 deny ip any host 224.0.1.39 ! ne pas accepter cisco-rp-announce
    access-list 108 deny ip any host 224.0.1.40 ! ne pas accepter cisco-rp-discovery
    access-list 108 deny ip any host 224.0.1.60 ! ne pas accepter hp-device-disc
    access-list 108 deny ip 10.0.0.0 0.255.255.255 any   ! ne pas accepter les sources privees
    access-list 108 deny ip 127.0.0.0 0.255.255.255 any
    access-list 108 deny ip 172.16.0.0 0.15.255.255 any
    access-list 108 deny ip 192.168.0.0 0.0.255.255 any
    access-list 108 deny ip [prefix] [masque] any ! ne pas accepter nos propres sources
    [...]
    ! accepter tout le reste
    access-list 108 permit ip any any

    access-list 109 deny ip any host 224.0.2.2 ! ne pas diffuser SUN RPC PMAPPROC_CALLIT
    access-list 109 deny ip any host 224.0.1.2 ! ne pas diffuser SGI Dogfight
    access-list 109 deny ip any host 224.0.1.3 ! ne pas diffuser Rwhod
    access-list 109 deny ip any host 224.0.1.22 ! ne pas diffuser SVRLOC
    access-list 109 deny ip any host 224.0.1.24 ! ne pas diffuser microsoft-ds
    access-list 109 deny ip any host 224.0.1.35 ! ne pas diffuser SVRLOC-DA
    access-list 109 deny ip any host 224.0.1.39 ! ne pas diffuser cisco-rp-announce
    access-list 109 deny ip any host 224.0.1.40 ! ne pas diffuser cisco-rp-discovery
    access-list 109 deny ip any host 224.0.1.60 ! ne pas diffuser hp-device-disc
    access-list 109 deny ip 10.0.0.0 0.255.255.255 any   ! ne pas diffuser les sources privees
    access-list 109 deny ip 127.0.0.0 0.255.255.255 any
    access-list 109 deny ip 172.16.0.0 0.15.255.255 any
    access-list 109 deny ip 192.168.0.0 0.0.255.255 any
    ! diffuser tout le reste
    access-list 109 permit ip any any