Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Entender o LFA remoto sobre túneis LDP em redes IS-IS

Em uma rede IS-IS, uma alternativa sem loop (LFA) é um vizinho diretamente conectado que fornece caminhos de backup pré-compensados para os destinos que podem ser alcançados por meio do link protegido no ponto de reparo local (PLR). Um LFA remoto não está diretamente conectado ao PLR e fornece caminhos de backup pré-configurados usando túneis LDP criados dinamicamente para o nó LFA remoto. O PLR usa esse caminho de backup LFA remoto quando o link primário falha. O principal objetivo do LFA remoto é aumentar a cobertura de backup para as redes IS-IS e fornecer proteção para anéis metro de Camada 1.

No entanto, os LFAs não fornecem cobertura completa de backup para redes Metro Ethernet baseadas no IS-IS, que são frequentemente implantadas em uma topologia em anel. Para superar essa limitação, os túneis de backup do Protocolo de Reserva de Recursos de Reserva de Recursos — Engenharia de Tráfego (RSVP-TE) são comumente usados para estender a cobertura de backup. No entanto, a maioria dos provedores de rede já implementou o LDP como o protocolo de configuração de túnel MPLS e não quer implementar o protocolo RSVP-TE apenas para cobertura de backup. O LDP traz automaticamente túneis de transporte para todos os destinos potenciais em uma rede IS-IS e, portanto, é o protocolo preferido. O LDP existente implementado para a configuração do túnel MPLS pode ser reutilizado para a proteção de redes IS-IS e destinos LDP subsequentes, eliminando assim a necessidade de túneis de backup RSVP-TE para cobertura de backup.

Para calcular o caminho de backup LFA remoto, o protocolo IS-IS determina o nó LFA remoto da seguinte maneira:

  1. Calcula o caminho mais curto reverso primeiro do roteador adjacente através do enlace protegido de um PLR. O caminho mais curto reverso primeiro usa a métrica de link de entrada em vez da métrica de enlace de saída para alcançar um nó vizinho.

    O resultado é um conjunto de links e nós, que é o caminho mais curto de cada nó leaf até o nó raiz.

  2. Calcula o caminho mais curto primeiro (SPF) nos roteadores adjacentes restantes para encontrar a lista de nós que podem ser alcançados sem que o enlace esteja protegido.

    O resultado é outro conjunto de links e nós no caminho mais curto do nó raiz para todos os nós leaf.

  3. Determina os nós comuns dos resultados acima, esses nós são os LFAs remotos.

O IS-IS ouve os rótulos anunciados para as rotas LDP. Para cada rota LDP anunciada, o IS-IS verifica se ele contém um LDP fornecido no próximo salto. Se a rota IS-IS correspondente tiver um próximo salto de backup, o IS-IS executa a política de backup e adiciona uma rota de rastreamento adicional com o próximo salto comutada por rótulos LDP correspondente como o próximo salto de backup. Se não houver backup no próximo salto, o LDP constrói um túnel LDP dinâmico para o LFA remoto, e o LDP estabelece uma adjacência direcionada entre o nó LFA remoto e o nó PLR. Essa rota de backup tem duas etiquetas LDP. O rótulo superior é a rota IS-IS, que denota o caminho de backup do PLR até a rota LFA remota. A etiqueta inferior é o caminho comutada por rótulos LDP MPLS que denota a rota para chegar ao destino final a partir do LFA remoto. Quando uma sessão de LDP cai e um túnel remoto não está mais disponível, o IS-IS altera todas as rotas que têm usado este túnel LDP de backup.

Nota:

Atualmente, o Junos OS oferece suporte apenas a LSPs de transporte IPv4. Se você precisar reutilizar os LSPs de transporte IPv4 para redes IPv6 IGP, adicione um rótulo NULL explícito de IPv6 à pilha de rótulos da rota de rastreamento. O sistema converte automaticamente o IPv4 LSP em um LSP IPv6.

O LDP pode estar vulnerável por uma adjacência direcionada automaticamente, e essas ameaças podem ser mitigadas usando todos ou alguns dos seguintes mecanismos:

  • As LFAs remotas que estão a vários saltos de distância usam mensagens de olá estendidas para indicar a disposição de estabelecer uma sessão de LDP direcionada. Um LFA remoto pode reduzir a ameaça de olás estendidos falsificados filtrando-os e aceitando apenas aqueles que se originam em fontes permitidas por uma lista de acesso ou filtro.

  • É necessário autenticar com o TCP-MD5 todas as sessões de LDP auto-direcionadas no determinado domínio IGP/LDP usando grupos aplicados ou autenticação de nível global LDP.

  • Como medida de segurança adicional, os roteadores de endpoint de túnel remoto ou de reparo devem ser atribuídos a partir de um conjunto de endereços que não podem ser alcançados de fora do domínio de roteamento.

Documentação relacionada