Prise en charge anti-usurpation d’identité des étiquettes MPLS dans les IP VPN BGP/MPLS (Inter-AS Option B)

Junos OS version 16.1 et ultérieures corrige les failles de sécurité attribuées à l’option B. Les nouvelles fonctionnalités fournissent un filtrage des RD basé sur des stratégies (protection contre l’usurpation d’étiquette MPLS) pour garantir que seuls les RD générés dans le domaine du fournisseur de services sont acceptés. Dans le même temps, le filtrage peut être utilisé pour filtrer les adresses VPN-IPv4 de bouclage générées par les implémentations PIM Rosen des PE Cisco, qui peuvent entraîner des problèmes de routage et une perte de trafic si elles sont importées dans des tables VRF (Virtual Routing and Forwarding) client. Ces fonctionnalités sont prises en charge sur les routeurs M, MX et T Series lors de l’utilisation des MPC MPC1, MPC2 et MPC3D.

L’option B d’Inter-AS utilise BGP pour signaler les étiquettes VPN entre les ASBR. Les tunnels MPLS de base sont locaux pour chaque AS, et les tunnels empilés s’exécutent de bout en bout entre les routeurs PE sur les différentes routes VPN AS. La prise en charge anti-usurpation d’identité de Junos OS pour les implémentations de l’option B fonctionne en créant des contextes de table de transfert MPLS distincts. Une table mpls.0 distincte est créée pour chaque ensemble d’homologues ASBR VPN. Par conséquent, chaque table de transfert MPLS contient uniquement les étiquettes pertinentes annoncées au groupe d’homologues AS-Option B inter. Les paquets reçus avec une étiquette MPLS différente sont abandonnés. Les homologues de l’option B sont accessibles via des interfaces locales configurées dans le cadre de l’IMF (un nouveau type d’instance de routage créé pour les voisins BGP inter-AS qui nécessitent une protection contre l’usurpation d’identité MPLS), de sorte que les paquets MPLS arrivant des homologues de l’option B sont résolus dans la table de transfert MPLS spécifique à l’instance.

Pour activer la prise en charge anti-usurpation d’identité pour les étiquettes MPLS, configurez des instances distinctes du nouveau type d’instance de routage, mpls-forwarding, sur toutes les liaisons Inter-AS compatibles MPLS (qui doivent exécuter un MPC pris en charge). Configurez ensuite chaque homologue de l’option B pour qu’il utilise cette instance de routage comme étant forwarding-context sous BGP. Il forme la session de transport avec les homologues et exécute des fonctions de transfert pour le trafic des homologues. La vérification de l’usurpation d’identité a lieu entre tous les pairs ayant des IMF différentes mpls-forwarding . Pour les homologues ayant le même forwarding-context, la vérification de l’usurpation d’identité n’est pas nécessaire, car les homologues partagent la même table MFI.mpls.0.

Notez que la prise en charge de la protection contre l’usurpation d’identité pour les étiquettes MPLS est également prise en charge sur les réseaux mixtes, c’est-à-dire ceux qui incluent des périphériques réseau Juniper qui n’exécutent pas de MPC pris en charge, tant que la liaison Inter-AS compatible MPLS se trouve sur un MPC pris en charge. Toutes les fonctionnalités d’interface à commutation d’étiquettes (LSI) existantes dans le réseau, telles que vrf-table-label, continueront de fonctionner normalement.

L’option B d’Inter-AS prend en charge le basculement GRES (Graceful RE Switchover), le routage actif ininterrompu (NSR) et les mises à niveau logicielles en service (ISSU unifié).