Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Grundlegendes zu Remote-LFA-over-LDP-Tunneln in IS-IS-Netzwerken

In einem IS-IS-Netzwerk ist eine schleifenfreie Alternative (LFA) ein direkt verbundener Nachbar, der vorberechnete Backup-Pfade zu den Zielen bereitstellt, die über die geschützte Verbindung am lokalen Reparaturpunkt (PLR) erreichbar sind. Ein Remote-LFA ist nicht direkt mit dem PLR verbunden und stellt vorberechnete Backup-Pfade über dynamisch erstellte LDP-Tunnel zum Remote-LFA-Knoten bereit. Der PLR verwendet diesen Remote-LFA-Backup-Pfad, wenn die primäre Verbindung ausfällt. Das primäre Ziel des Remote-LFA besteht darin, die Backup-Abdeckung für IS-IS-Netzwerke zu erhöhen und Schutz für Layer-1-Metro-Ringe zu bieten.

LFAs bieten jedoch keine vollständige Backup-Abdeckung für IS-IS-basierte Metro Ethernet-Netzwerke, die oft in einer Ringtopologie bereitgestellt werden. Um diese Einschränkung zu überwinden, werden häufig RSVP-TE-Sicherungstunnel (Resource Reservation Protocol, Resource Reservation Protocol – Traffic Engineering) verwendet, um die Sicherungsabdeckung zu erweitern. Ein Großteil der Netzbetreiber hat LDP jedoch bereits als MPLS-Tunnelaufbauprotokoll implementiert und möchte das RSVP-TE-Protokoll nicht nur für die Backup-Abdeckung implementieren. LDP ruft automatisch Transporttunnel zu allen potenziellen Zielen in einem IS-IS-Netzwerk auf und ist daher das bevorzugte Protokoll. Das vorhandene LDP, das für das MPLS-Tunnel-Setup implementiert wurde, kann für den Schutz von IS-IS-Netzwerken und nachfolgenden LDP-Zielen wiederverwendet werden, wodurch die Notwendigkeit von RSVP-TE-Backup-Tunneln für die Backup-Abdeckung entfällt.

Um den Remote-LFA-Backup-Pfad zu berechnen, bestimmt das IS-IS-Protokoll den Remote-LFA-Knoten wie folgt:

  1. Berechnet zuerst den umgekehrten kürzesten Weg vom benachbarten Router über die geschützte Verbindung eines PLR. Der umgekehrt kürzeste Pfad verwendet zuerst die Metrik für eingehende Verbindungen anstelle der Metrik für ausgehende Verbindungen, um einen benachbarten Knoten zu erreichen.

    Das Ergebnis ist eine Reihe von Verknüpfungen und Knoten, die den kürzesten Weg von jedem Leaf-Knoten zum Stammknoten darstellen.

  2. Berechnet den kürzesten Pfad zuerst (SPF) auf den verbleibenden benachbarten Routern, um die Liste der Knoten zu finden, die erreicht werden können, ohne die zu schützende Verbindung zu überqueren.

    Das Ergebnis ist eine weitere Gruppe von Links und Knoten auf dem kürzesten Pfad vom Stammknoten zu allen Blattknoten.

  3. Bestimmt die gemeinsamen Knoten aus den obigen Ergebnissen, Bei diesen Knoten handelt es sich um die Remote-LFAs.

IS-IS hört auf die angekündigten Bezeichnungen für die LDP-Routen. Für jede angekündigte LDP-Route prüft IS-IS, ob sie einen LDP-bereitgestellten nächsten Hop enthält. Wenn die entsprechende IS-IS-Route über einen Backup-Next-Hop verfügt, führt IS-IS die Backup-Richtlinie aus und fügt eine zusätzliche Tracking-Route mit dem entsprechenden LDP-Label-Switched-Pfad Next Hop als Backup-Next-Hop hinzu. Wenn keine Backup-Next-Hops vorhanden sind, baut LDP einen dynamischen LDP-Tunnel zum Remote-LFA auf, und LDP stellt eine gezielte Nachbarschaft zwischen dem Remote-LFA-Knoten und dem PLR-Knoten her. Diese Sicherungsroute verfügt über zwei LDP-Labels. Die oberste Beschriftung ist die IS-IS-Route, die den Backup-Pfad vom PLR zur Remote-LFA-Route angibt. Die untere Beschriftung ist der LDP-MPLS-Label-Switched-Pfad, der die Route zum Erreichen des endgültigen Ziels von der entfernten LFA angibt. Wenn eine LDP-Sitzung ausfällt und kein Remote-Tunnel mehr verfügbar ist, ändert IS-IS alle Routen, die diesen Backup-LDP-Tunnel verwendet haben.

Anmerkung:

Derzeit unterstützt Junos OS nur IPv4-Transport-LSPs. Wenn Sie IPv4-Transport-LSPs für IPv6-IGP-Netzwerke wiederverwenden müssen, fügen Sie dem Bezeichnungsstapel der Nachverfolgungsroute eine explizite IPv6-Bezeichnung NULL hinzu. Das System wandelt den IPv4-LSP automatisch in einen IPv6-LSP um.

LDP kann durch eine automatisch anvisierte Nachbarschaft angreifbar sein, und diese Bedrohungen können mit allen oder einigen der folgenden Mechanismen abgewehrt werden:

  • Remote-LFAs, die mehrere Hops entfernt sind, verwenden erweiterte Hallo-Nachrichten, um die Bereitschaft anzuzeigen, eine gezielte LDP-Sitzung einzurichten. Ein Remote-LFA kann die Bedrohung durch gefälschte erweiterte Hallos verringern, indem er sie filtert und nur diejenigen akzeptiert, die von Quellen stammen, die durch eine Zugriffs- oder Filterliste zulässig sind.

  • Es besteht die Notwendigkeit, alle automatisch ausgerichteten LDP-Sitzungen in der jeweiligen IGP/LDP-Domäne mit TCP-MD5 zu authentifizieren, indem Gruppen angewendet oder LDP-Authentifizierung auf globaler Ebene verwendet werden.

  • Als zusätzliche Sicherheitsmaßnahme sollten die Reparatur- oder Remotetunnelendpunktrouter von einer Reihe von Adressen zugewiesen werden, die von außerhalb der Routing-Domäne nicht erreichbar sind.

Zugehörige Dokumentation