Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

3 层 VPN 中的提供商边缘链路保护

本主题将介绍配置预计算保护路径并提供示例,该路径可在 CE 路由器和备用 PE 路由器之间提供链路保护和备份路径。

了解主机快速重新路由

主机快速重新路由 (HFRR) 将预先计算的保护路径添加到数据包转发引擎 (PFE) 中,这样,如果提供商边缘设备和服务器场之间的链路变得无法进行转发,PFE 可以使用其他路径,而无需等待路由器或协议提供更新的转发信息。这种预先计算的保护路径通常称为修复或备份路径。

HFRR 是一种保护多点接口(如以太网)上的 IP 端点的技术。对于服务器端点的快速服务恢复至关重要的数据中心,此技术非常重要。接口或链路出现故障后,HFRR 使本地修复时间约为 50 毫秒。

考虑 图 3 中所示的网络拓扑。

图 3:主机快速重新路由 Network topology with MPLS L3VPN cloud, PE1 and PE2 routers connecting customer networks.

路由设备创建由地址解析协议 (ARP) 和 IPv6 邻接方发现协议 (NDP) 触发的主机路由转发条目。HFRR 通过路由协议提供的备份下一跃点来扩充主机路由。这些备份下一跳使到达的流量能够在网络重新融合时保持流动。

流量从连接到提供商边缘设备 PE1 和 PE2 的网络流向主机 A 和主机 B。此流量受 HFRR 保护。如果设备 PE2 与主机服务器之间的链路中断,流量将通过设备 PE1 重新路由到主机服务器。在拓扑中,主机 A 和主机 B 表示 LAN PC,统称为服务器场。PE 设备是在其之间配置了第 3 层 VPN 的路由器。设备 PE1 通过 ARP 或 IPv6 NDP 了解直接连接的主机。

设备 PE2 还包含有关服务器场网络的信息,并将此信息播发给设备 PE1。此播发使用内部 BGP (IBGP) 通过第 3 层 VPN 进行传输。在设备 PE1 和 PE2 上,此路由被视为到服务器场子网的直接路由。

设备 PE1 使用通过 ARP 和 NDP 获知的主机路由,将流量发送到服务器场中的主机。如果设备 PE1 与服务器场之间的链路中断且未配置 HFRR,路由设备将查找下一个最佳路由,即 IBGP 路由。此实施会导致流量在一段时间内丢失,直到更新发生且网络重新融合。设备 PE1 上配置的 HFRR 通过使用备份路径扩充 ARP 和 NDP 路由来解决此问题,这样流量就可以不间断地继续转发。

此特定拓扑中的备用路径是 IBGP 第 3 层 VPN 路由。在实际部署中,设备 PE2 还可以为其直接连接的服务器场网络配置链路保护,并且设备 PE1 可以使用设备 PE2 的第 3 层 VPN 路由通过自身向服务器场通告可访问性。因此,应在设备 PE1 和设备 PE2 上启用 HFRR。此外,设备 PE1 和设备 PE2 都应通过 BGP 播发对服务器场的可访问性。

例如,如果设备 PE1 到服务器场之间的链路以及设备 PE2 到服务器场之间的链路同时中断,则 PE 设备之间可能会形成临时路由环路。循环可以一直持续到两端的 BGP 获悉服务器场子网已关闭并撤回 BGP 路由。

ARP 前缀限制和停电补充超时

配置 HFRR 配置文件时,可选的 ARP 前缀限制会设置 ARP 路由的最大数量,从而为路由表中的每个 HFRR 配置文件创建的 FRR 路由数。此限制可防止 ARP 攻击耗尽路由设备上的虚拟内存。ARP 前缀限制不会限制转发表中的 ARP 路由。但是,它确实限制了 Junos OS 为配置文件读取的 ARP 路由数,从而限制了路由进程 (rpd) 在路由路由表和转发表中创建的 HFRR 路由数。

ARP 前缀限制将应用于每个 HFRR 配置文件。它不限制路由表中所有 ARP/HFRR 路由的总数。它仅限制每个 HFRR 配置文件的 ARP/HFRR 路由数。

有两个配置语句 ( global-arp-prefix-limit arp-prefix-limit ) 用于设置 ARP 前缀限制,一个在全 [edit routing-options host-fast-reroute] 局层次结构级别,另一个 [edit routing-instances instance-name routing-options interface interface-name] 在层次结构级别。全局 global-arp-prefix-limit 语句为路由设备上配置的所有 HFRR 配置文件设置默认 ARP 前缀限制。该 arp-prefix-limit 语句将 global-arp-prefix-limit 覆盖该受保护接口的 for that HFRR 配置文件。

当 HFRR 配置文件中的 ARP 路由数达到配置的 ARP 前缀限制的 80% 时,将向系统日志发送警告消息。如果 ARP 前缀仍大于配置值的 80%,则对于添加到该 HFRR 配置文件的任何后续 ARP 路由,将显示警告消息。

当 HFRR 配置文件中的 ARP 路由数达到为 HFRR 配置文件配置的 ARP 前缀限制的 100% 时,将向系统日志发送另一条警告消息。当数字超过 100% 阈值时,HFRR 配置文件将被停用。发生这种情况时,所有 ARP/FRR 路由都将从路由表中删除。FRR 路由也会从转发表中删除。

停用 HFRR 配置文件后,将启动停电计时器。该计时器的超时值为 ARP 缓存超时(内核超时)+ 补充停电计时器。

有全局和每个 HFRR CLI 语句( global-supplementary-blackout-timer supplementary-blackout-timer )。全局值位于 [edit routing-options host-fast-reroute] 层次结构级别,适用于路由设备上的所有 HFRR 配置文件。在 [edit routing-instances instance-name routing-options interface interface-name] 层次结构级别为路由实例接口配置的补充停电计时器仅覆盖该 HFRR 配置文件的全局值。

当停电计时器到期时,HFRR 配置文件将重新激活,并且 Junos OS 会重新学习 ARP 路由并重新创建 HFRR 路由。如果未再次超过 ARP 前缀限制,则 HFRR 路由将启动。

如果 HFRR 配置文件被列入黑名单并处于停用状态,则在每次提交作期间或每当使用 restart routing 命令重新启动路由进程 (rpd) 时,都会重新评估 ARP 状态。

主路由和备用路由候选项

HFRR 下一跃点的主要路由由 ARP 和 IPv6 NDP 路由提供。这些是 /32 或 /128 路由。备份路由与本地接口上配置的地址前缀完全匹配。例如,如果配置的本地地址为 10.0.0.5/24,路由设备将查找前缀 10.0.0.0、前缀长度为 24 的完全匹配项,以选择备份路由。

备份路由选择的约束如下:

  • 必须是与路由设备支持 HFRR 的接口上配置的相同子网地址匹配的前缀。

  • 远程端不得配置路由聚合(也称为汇总)。例如,如果远程端合并两个或多个 /24 子网来播发前缀长度小于 /24 的子网,则 Junos OS 不会选择此汇总路由作为备份路由。

  • 如果另一个协议获知的路由表中存在另一个路由,且该路由的前缀最长匹配与 /32 或 /128(ARP 或 NDP)路由匹配,则不会将该路由选为备用路由。例如,假设本地接口地址为 10.0.0.5/24。此外,假设路由表包含前缀为 10.0.0.0/24 的 IBGP 路由和前缀为 10.0.0.0/28 的 OSPF 路由。尽管 /28 路由对于子网中的某些前缀来说是更好的路由,但 Junos OS 并未将 10.0.0.0/28 视为备用候选版本。IBGP 路由将成为所有主机路由的备用候选项。但是,在全局修复之后,OSPF 路由将用于转发。

简而言之,备用备用路由必须是与您使用 HFRR 保护的子网本地接口具有相同前缀的路由。

备份路径选择策略

备份选择仅考虑第 3 层 VPN 路由。HFRR 使用通常的 BGP 路径选择算法选择一条最佳备份路由。仅选择一个备份路径。如果存在多个备用路径候选路径,则选择算法会选择最佳备份路径。HFRR 在任何时间点仅提供两条路径,一条主路径和一条备份路径。如果所选备份路径本身包含两条路径,则该备份下一跃点中的第一条路径将用作 HFRR 路由的备份下一跃点。

主路径的安装权重为 1。备份路径的安装权重为 0x4000。备用路径显然必须是通过与主接口不同的接口的路径。

仅在接口所属的路由表中查找备份路由。对于 IPv4,Junos OS 使用 routing-instance-name.inet.0。对于 IPv6,Junos OS 采用 routing-instance-name.inet6.0 格式。

HFRR路由的特点

HFRR 路由是仅转发路由,不用于路由解析。HFRR 路由具有主机地址,这意味着它们的前缀长度为 /32 或 /128。对于具有双路由引擎的平台,备份路由进程 (rpd) 也会创建 HFRR 路由。但是,在路由引擎切换后备份成为主路由之前,备份郊出进程 (rpd) 不会将 HFRR 路由安装到路由表。

另请注意,如果路由表中存在 HFRR 路由,则该 HFRR 路由将用于单播反向路径转发 (uRPF) 计算。

移除 HFRR 路由

如果在配置中删除或停用了受保护的接口,在路由实例上配置了 HFRR 而路由实例已停用或删除,或者启用 HFRR ( link-protection (Host Fast Reroute) ) 的语句被删除或停用,则 HFRR 路由将被删除。当路由实例上发生灾难性作时(例如重新启动路由进程时),HFRR 路由将被删除并重新添加。如果删除了所有备份路由,则也会移除 HFRR 路由。例如,当 BGP 撤回路由时,或者当 BGP 被停用或删除时。

受保护的接口关闭后,如果 HFRR 被删除或停用,计时器将以 20 秒的超时开始。HFRR 路由删除会在计时器过期后发生。这是为了确保如果接口发生翻动(快速上升和下降),Junos OS 不会不必要地执行导致流量丢失的路由删除和添加。仅当接口关闭或者 HFRR 路由被删除或停用时,才使用此计时器。

在以下情况下,HFRR 路由将立即清除:

  • 备份路由出现故障,并且没有其他可能的备份路径。

  • 收到 ARP 删除消息。

  • 路由进程 (rpd) 终止。

支持 HFRR 的接口

HFRR 仅在以太网接口上被允许。如果在点对点接口上配置 HFRR,则提交作将失败。

仅接受在 VPN 路由和转发 (VRF) 类型的路由实例下配置的接口。如果在其他类型的路由实例上配置 HFRR,则提交作将失败。

当不满足以下要求时,提交作不会失败。但是,该接口不受 HFRR 保护,并且该接口在命令输出中 show hfrr profiles 标记为非活动:

  • HFRR 只允许在带编号的接口上使用,这意味着必须为接口分配地址。例如,您不能在接口上配置有地址的 IPv4,而不能配置没有地址的 IPv6。

  • 必须为 [edit interfaces] “HFRR 保护”配置在层次结构级别配置接口,并且还必须连接到路由实例。

  • 路由实例必须具有虚拟隧道 (VT) 接口或 vrf-table-label 包含语句。

接口可能在命令输出中被 show hfrr profiles 标记为非活动状态的另一个原因是,当接口从一个实例迁移到另一个实例时,并且 HFRR 配置位于之前的路由实例中。

如果重叠的逻辑单元属于同一个路由实例,则不支持 HFRR,如下所示:

如果按此处所示配置重叠子网,并在两个重叠子网上启用 HFRR,则路由协议进程 (rpd) 将生成RPD_ASSERT错误。

另见