Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

了解 IS-IS 网络中 LDP 隧道上的远程 LFA

在 IS-IS 网络中,无环路备用 (LFA) 是直连邻接方,为通过本地修复点 (PLR) 上的受保护链路可访问的目标提供预先计算的备用路径。远程 LFA 不会直接连接到 PLR,而是使用动态创建的 LDP 隧道向远程 LFA 节点提供预计算的备份路径。当主链路发生故障时,PLR 使用此远程 LFA 备份路径。远程 LFA 的主要目标是扩大 IS-IS 网络的备份覆盖范围,并为第 1 层城域网提供保护。

但是,对于通常部署在环形拓扑中的 IS-IS 城域以太网网络,LFA 无法提供完全的备份覆盖范围。为了克服这一限制,资源预留协议资源预留协议 - 流量工程 (RSVP-TE) 备份隧道通常用于扩展备份覆盖范围。但是,大多数网络提供商已将 LDP 作为 MPLS 隧道设置协议实施,不想仅仅为了备份覆盖范围而实施 RSVP-TE 协议。LDP 会自动为 IS-IS 网络中的所有潜在目标提供传输隧道,因此成为首选协议。为 MPLS 隧道设置实施的现有 LDP 可以用于保护 IS-IS 网络和后续 LDP 目标,从而不再需要 RSVP-TE 备份隧道进行备份覆盖范围。

要计算远程 LFA 备份路径,IS-IS 协议将按以下方式确定远程 LFA 节点:

  1. 首先计算从相邻路由器通过 PLR 的受保护链路的反向最短路径。反向最短路径首先使用传入链路指标(而非传出链路指标)到达相邻节点。

    结果是一组链路和节点,这是从每个叶节点到根节点的最短路径。

  2. 计算剩余相邻路由器上的最短路径优先 (SPF),以查找无需遍历受保护链路即可访问的节点列表。

    结果是,从根节点到所有叶节点的最短路径上还有另一组链路和节点。

  3. 根据上述结果确定公共节点,这些节点是远程 LFA。

IS-IS 侦听 LDP 路由的播发标签。对于每个播发的 LDP 路由,IS-IS 会检查其是否包含提供的 LDP 下一跃点。如果相应的 IS-IS 路由有备份下一跃点,则 IS-IS 将运行备份策略并添加一个附加跟踪路由,并将相应的 LDP 标签交换路径下一跃点作为备份下一跃点。如果没有备用下一跃点,LDP 会构建到远程 LFA 的动态 LDP 隧道,LDP 在远程 LFA 节点和 PLR 节点之间建立目标邻接。此备份路由有两个 LDP 标签。顶部标签是 IS-IS 路由,表示从 PLR 到远程 LFA 路由的备份路径。底部标签是 LDP MPLS 标签交换路径,表示从远程 LFA 到达最终目标的路由。当 LDP 会话中断且远程隧道不再可用时,IS-IS 会更改一直使用此备用 LDP 隧道的所有路由。

注意:

目前,Junos OS 仅支持 IPv4 传输 LSP。如果需要为 IPv6 IGP 网络重用 IPv4 传输 LSP,请将 IPv6 显式 NULL 标签添加到跟踪路由的标签堆栈中。系统会自动将 IPv4 LSP 转换为 IPv6 LSP。

LDP 可能会受到自动目标邻接的攻击,可以使用以下全部或部分机制来缓解这些威胁:

  • 距离多个跃点的远程 LFA 使用扩展的 hello 消息来表示愿意建立有针对性的 LDP 会话。远程 LFA 可以通过过滤并仅接受来自访问或过滤器列表允许的来源的威胁来降低欺骗扩展问候的威胁。

  • 需要使用 TCP-MD5 验证给定 IGP/LDP 域中的所有自动目标 LDP 会话,并使用应用组或 LDP 全局级别身份验证。

  • 作为一项增加的安全措施,维修或远程隧道端点路由器应从路由域外部无法访问的一组地址进行分配。