Problem
Ein Benutzer hat eine 5060 und versucht, von einem Ghost-Server, über die Firewall zu Clients, zu Multicast. Beide Router sind richtig eingerichtet, laufen mit dem PIM-spärlichen Modus und einer SSM-Gruppe von 232.0.0.0/8, aber das Setup funktioniert nicht.
Ein Cisco-Router befindet sich auf jeder Seite der PA-5060, wie unten gezeigt:
(RP/FHR) LHR
[mcast Source]---------[CiscoR1]---------[pa-5060]---------[CiscoR2]--------[mcast Client]
* Multicast-Traffic wird nicht von der Quelle an den Client weitergeleitet, obwohl (*, G) RPT auf und ab erscheint.
* (S, G) der Eintrag ist im Multicast-Eintrag nicht zu sehen, d.h. kein SPT, obwohl das RP/BSR und rpt (*. G) erscheint richtig.
Lösung
Der quellverkehr wird von CiscoR1 an die PA-5060 korrekt weitergeleitet, jedoch erzeugt der PA-5060 keinen (S, G)
Eintrag, da der Multicast-Verkehr nicht den richtigen Sicherheitsrichtlinien entspricht.
Die Sicherheitsrichtlinien müssen mit dem "SourceIP" der mcast-Quelle und der Destination IP an die Multicast-Adresse, also 225.70.25.9, konfiguriert werden, vorausgesetzt, es handelt sich um die betreffende mcast-Gruppe.
Das Setup scheitert, weil die Zielzone auf die Zielzone gesetzt wurde, die mit [CiscoR2] verbunden ist.
Die Angabe einer bestimmten Zone der OIF (ausgehende Schnittstelle) funktioniert nicht mit Multicast-Traffic, da die Ziel-IP nicht im Routen-Look-up zu finden ist. Daher wird Sie nicht mit der fraglichen Sicherheitspolitik übereinstimmen.
Besitzer: jbaucom