了解 IS-IS 网络中基于 LDP 隧道的远程 LFA
在 IS-IS 网络中,无环路备用 (LFA) 是一个直接连接的邻接方,它提供预先计算出的备份路径,通过本地修复点 (PLR) 上的受保护链路可到达目的地。远程 LFA 不会直接连接到 PLR,而是使用动态创建的 LDP 隧道到远程 LFA 节点提供预先计算的备份路径。当主链路出现故障时,PLR 会使用此远程 LFA 备份路径。远程 LFA 的主要目标是增加 IS-IS 网络的备份覆盖范围,并为第 1 层城域网环网提供保护。
但是,LFA 并不能为通常部署在环形拓扑结构中的基于 IS-IS 的城域城域以太网网络提供完全的备份覆盖。为了克服这一限制,通常使用资源预留协议资源预留协议 - 流量工程 (RSVP-TE) 备份隧道来扩展备份覆盖范围。但是,大多数网络提供商已将 LDP 作为 MPLS 隧道建立协议实施,不希望仅为了备份覆盖而实施 RSVP-TE 协议。LDP 会自动建立到 IS-IS 网络中所有潜在目的地的传输隧道,因此是首选协议。为 MPLS 隧道设置实施的现有 LDP 可重复用于保护 IS-IS 网络和后续 LDP 目标,因此无需使用 RSVP-TE 备份隧道来进行备份覆盖。
要计算远程 LFA 备份路径,IS-IS 协议按以下方式确定远程 LFA 节点:
-
首先计算从相邻路由器穿过 PLR 受保护链路的反向最短路径。反向最短路径首先使用传入链路指标(而不是传出链路指标)到达相邻节点。
结果是一组链路和节点,即从每个叶节点到根节点的最短路径。
-
首先计算其余相邻路由器上的最短路径 (SPF),以查找在不遍历受保护链路的情况下可以到达的节点列表。
结果是在从根节点到所有叶节点的最短路径上的另一组链路和节点。
-
从上述结果中确定公共节点,这些节点即为远程 LFA。
IS-IS 侦听 LDP 路由的播发标签。对于每个播发的 LDP 路由,IS-IS 会检查其是否包含提供的下一跃点的 LDP。如果相应的 IS-IS 路由确实有备份下一跃点,则 IS-IS 会运行备份策略,并添加一个附加跟踪路由,并将相应的 LDP 标签交换路径下一跃点作为备份下一跃点。如果没有备份下一跳,LDP 会构建到远程 LFA 的动态 LDP 隧道,LDP 会在远程 LFA 节点和 PLR 节点之间建立目标邻接关系。此备份路由有两个 LDP 标签。顶部标签是 IS-IS 路由,表示从 PLR 到远程 LFA 路由的备用路径。底部标签是 LDP MPLS 标签交换路径,表示从远程 LFA 到达最终目的地的路由。当 LDP 会话关闭且远程隧道不再可用时,IS-IS 将更改一直使用此备份 LDP 隧道的所有路由。
目前,Junos OS 仅支持 IPv4 传输 LSP。如果您需要为 IPv6 IGP 网络重复使用 IPv4 传输 LSP,请在跟踪路由的标签堆栈中添加 IPv6 显式 NULL 标签。系统会自动将 IPv4 LSP 转换为 IPv6 LSP。
LDP 可能容易受到自动目标邻接的攻击,可以使用以下全部或部分机制来缓解这些威胁:
-
几个跃点之外的远程 LFA 使用扩展的 hello 消息来表示愿意建立目标 LDP 会话。远程 LFA 可以通过过滤它们并仅接受来自访问或过滤器列表允许的来源来减少欺骗性扩展问候的威胁。
-
需要使用应用组或 LDP 全局级身份验证,使用 TCP-MD5 对给定 IGP/LDP 域中所有自动定位的 LDP 会话进行身份验证。
-
作为额外的安全措施,应从一组无法从路由域外部访问的地址来分配修复或远程隧道端点路由器。