Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IS-ISネットワークにおけるLDPトンネルを介したリモートLFAについて

IS-ISネットワークでは、ループフリー代替(LFA)は、直接接続されたネイバーであり、PLR(Point of Local Repair)上の保護されたリンクを介して到達可能な宛先に事前計算されたバックアップパスを提供します。リモート LFA は PLR に直接接続されておらず、動的に作成された LDP トンネルを使用して、事前に計算されたバックアップ パスをリモート LFA ノードに提供します。PLR は、プライマリ リンクに障害が発生した場合、このリモート LFA バックアップ パスを使用します。リモート LFA の主な目的は、IS-IS ネットワークのバックアップ カバレッジを拡大し、レイヤー 1 メトロリングを保護することです。

ただし、LFA は、リング トポロジーで展開されることが多い IS-IS ベースのメトロイーサネット ネットワークに対しては、完全なバックアップ カバレッジを提供しません。この制限を克服するために、バックアップ範囲を拡張するために、リソース予約プロトコル リソース予約プロトコル - トラフィック制御(RSVP-TE)バックアップトンネルが一般的に使用されます。しかし、ネットワーク プロバイダの大多数は、MPLS トンネル設定プロトコルとして LDP をすでに実装しており、単にバックアップ カバレッジとして RSVP-TE プロトコルを実装することを望んでいません。LDPは、IS-ISネットワーク内のすべての潜在的な宛先へのトランスポートトンネルを自動的に起動するため、優先プロトコルとなっています。MPLS トンネル設定用に実装された既存の LDP は、IS-IS ネットワークと後続の LDP 宛先の保護に再利用できるため、バックアップ カバレッジのための RSVP-TE バックアップ トンネルが不要になります。

リモート LFA バックアップ パスを計算するために、IS-IS プロトコルは以下の方法でリモート LFA ノードを決定します。

  1. 隣接ルーターからPLRの保護されたリンクを経由する逆最短パスを最初に計算します。逆最短パスは、まず発信リンクのメトリックではなく、受信リンクのメトリックを使用して隣接ノードに到達します。

    その結果、リンクとノードのセットが作成され、各リーフノードからルートノードへの最短パスとなります。

  2. 隣接する残りのルーターの SPF(最短パス ファースト)を計算して、保護されているリンクを通過せずに到達できるノードのリストを検索します。

    その結果、ルート ノードからすべてのリーフ ノードまでの最短パス上に、別のリンクとノードのセットが作成されます。

  3. 上記の結果から共通ノードを決定し、これらのノードはリモート LFA です。

IS-ISは、LDPルートのアドバタイズされたラベルをリッスンします。IS-ISは、アドバタイズされたLDPルートごとに、LDP提供のネクストホップが含まれているかどうかを確認します。対応するIS-ISルートにバックアップネクストホップがある場合、IS-ISはバックアップポリシーを実行し、対応するLDPラベルスイッチパスネクストホップを持つ追跡ルートを追加します。バックアップ ネクスト ホップがない場合、LDP はリモート LFA への動的 LDP トンネルを構築し、LDP はリモート LFA ノードと PLR ノードの間にターゲット隣接関係を確立します。このバックアップルートには 2 つの LDP ラベルがあります。一番上のラベルは IS-IS ルートで、PLR からリモート LFA ルートへのバックアップ パスを示しています。一番下のラベルは、リモート LFA から最終宛先に到達するためのルートを示す LDP MPLS ラベルスイッチ パスです。LDP セッションがダウンし、リモート トンネルが利用できなくなると、IS-IS はこのバックアップ LDP トンネルを使用していたすべてのルートを変更します。

手記:

現在、Junos OSはIPv4トランスポートLSPのみをサポートしています。IPv6 IGP ネットワークで IPv4 トランスポート LSP を再利用する必要がある場合は、IPv6 explicit NULL ラベルをトラッキングルートのラベルスタックに追加します。システムは自動的に IPv4 LSP を IPv6 LSP に変換します。

LDPは、自動的にターゲットとなる隣接関係によって脆弱になる可能性があり、これらの脅威は、次のメカニズムのすべてまたは一部を使用して軽減できます。

  • 数ホップ離れた場所にあるリモート LFA は、拡張 Hello メッセージを使用して、ターゲットとなる LDP セッションを確立する意思を示します。リモート LFA は、拡張 hello をフィルタリングし、アクセス リストまたはフィルタ リストで許可された送信元から発信されたものだけを受け入れることで、スプーフィングされた拡張 hello の脅威を軽減できます。

  • 適用グループまたはLDPグローバルレベル認証を使用して、特定のIGP/LDPドメイン内のすべての自動ターゲットLDPセッションをTCP-MD5で認証する必要があります。

  • 追加のセキュリティ対策として、ルーティングドメインの外部からは到達できない一連のアドレスから、修復ルーターまたはリモートトンネルエンドポイントルーターを割り当てる必要があります。

関連資料