Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Verstehen von Remote-LFA über LDP-Tunnel in IS-IS-Netzwerken

In einem IS-IS-Netzwerk ist ein Loop Free Alternate (LFA) ein direkt verbundener Nachbar, der vorberechnene Backup-Pfade zu den Zielen bereitstellt, die über den geschützten Link am Point of Local Repair (PLR) erreichbar sind. Eine Remote-LFA ist nicht direkt mit dem PLR verbunden und stellt vorkompilierte Backup-Pfade mit dynamisch erstellten LDP-Tunneln zum Remote-LFA-Knoten bereit. Der PLR verwendet diesen Remote-LFA-Backup-Pfad, wenn die primäre Verbindung ausfällt. Das Hauptziel der Remote-LFA ist es, die Backup-Abdeckung für die IS-IS-Netzwerke zu erhöhen und Schutz für Layer-1-Metro-Ringe zu bieten.

LFAs bieten jedoch keine vollständige Backup-Abdeckung für IS-IS-basierte Metro Ethernet-Netzwerke, die häufig in einer Ringtopologie bereitgestellt werden. Um diese Einschränkung zu überwinden, werden üblicherweise rsVP-TE-Backup-Tunnel (Resource Reservation Protocol Resource Reservation Protocol – Traffic Engineering) verwendet, um die Backup-Abdeckung zu erweitern. Die Mehrheit der Netzwerkanbieter hat LDP als MPLS-Tunnel-Setup-Protokoll bereits implementiert und möchte das RSVP-TE-Protokoll nicht nur für die Backup-Abdeckung implementieren. LDP bringt automatisch Transporttunnel zu allen potenziellen Zielen in einem IS-IS-Netzwerk und ist daher das bevorzugte Protokoll. Die für die Einrichtung des MPLS-Tunnels implementierten LDP-Lösungen können zum Schutz von IS-IS-Netzwerken und nachfolgenden LDP-Zielen wiederverwendet werden, wodurch rsVP-TE-Backup-Tunnel für eine Backup-Abdeckung überflüssig werden.

Um den Remote-LFA-Backup-Pfad zu berechnen, bestimmt das IS-IS-Protokoll den entfernten LFA-Knoten wie folgt:

  1. Berechnet zuerst den umgekehrt kürzesten Pfad vom benachbarten Router über die geschützte Verbindung eines PLR. Der umgekehrte kürzeste Pfad verwendet zunächst die Kennzahl für eingehende Verbindungen anstelle der Metrik für ausgehende Verbindungen, um einen benachbarten Knoten zu erreichen.

    Das Ergebnis ist eine Reihe von Verbindungen und Knoten, der kürzeste Pfad von jedem Leaf-Knoten zum Root-Knoten.

  2. Berechnet den kürzesten Pfad zuerst (SPF) auf den verbleibenden benachbarten Routern, um die Liste der Knoten zu finden, die erreicht werden können, ohne die geschützte Verbindung zu passieren.

    Das Ergebnis ist eine weitere Reihe von Verbindungen und Knoten auf dem kürzesten Pfad vom Stammknoten zu allen Leaf-Knoten.

  3. Bestimmt die gemeinsamen Knoten aus den oben genannten Ergebnissen, Diese Knoten sind die Remote-LFAs.

IS-IS lauscht auf die angekündigten Label für die LDP-Routen. Für jede angekündigte LDP-Route prüft IS-IS, ob sie eine LDP enthält, die als nächster Hop bereitgestellt wird. Wenn die entsprechende IS-IS-Route einen Backup-Next Hop enthält, führt IS-IS die Backup-Richtlinie aus und fügt eine zusätzliche Tracking-Route mit dem entsprechenden LDP-Label-Switched Path Next Hop als Backup next Hop hinzu. Wenn es keine Backup-Next-Hops gibt, erstellt LDP einen dynamischen LDP-Tunnel zur Remote-LFA, und LDP stellt eine gezielte Nachbarschaft zwischen dem Entfernt-LFA-Knoten und dem PLR-Knoten her. Diese Backup-Route hat zwei LDP-Label. Das oberste Label ist die IS-IS-Route, die den Backup-Pfad vom PLR zur Remote-LFA-Route bezeichnet. Das untere Label ist der LDP-MPLS-Label-Switched-Pfad, der die Route für das Erreichen des ultimativen Ziels über die Remote-LFA bezeichnet. Wenn eine LDP-Sitzung ausfällt und ein Remote-Tunnel nicht mehr verfügbar ist, ändert IS-IS alle Routen, die diesen Backup-LDP-Tunnel verwendet haben.

Hinweis:

Derzeit unterstützt Junos OS nur IPv4-Transport-LSPs. Wenn Sie IPv4-Transport-LSPs für IPv6-IGP-Netzwerke wiederverwenden müssen, fügen Sie dem Labelstack der Tracking-Route ein explizites IPv6-NULL-Label hinzu. Das System konvertiert den IPv4-LSP automatisch in einen IPv6-LSP.

LDP kann durch eine automatisch gezielte Nachbarschaft anfällig sein, und diese Bedrohungen können mit allen oder einigen der folgenden Mechanismen abgewehrt werden:

  • Remote-LFAs, die mehrere Hops entfernt sind, verwenden erweiterte Hallo-Nachrichten, um die Bereitschaft zu zeigen, eine gezielte LDP-Sitzung einzurichten. Eine Remote-LFA kann die Bedrohung von spoofed Extended Hallos reduzieren, indem sie sie filtert und nur diejenigen akzeptiert, die aus Quellen stammen, die von einer Zugriffs- oder Filterliste zugelassen sind.

  • Es besteht die Notwendigkeit, alle automatisch zielgerichteten LDP-Sitzungen in der angegebenen IGP/LDP-Domäne mithilfe von Anwendungsgruppen oder LDP-Authentifizierung auf globaler LDP-Ebene mit TCP-MD5 zu authentifizieren.

  • Als zusätzliche Sicherheitsmaßnahme sollte den Reparatur- oder Remote-Tunnel-Endpunktroutern eine Reihe von Adressen zugewiesen werden, die von außerhalb der Routing-Domäne nicht erreichbar sind.