Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

レイヤー 3 VPN におけるプロバイダ エッジ リンク保護

このトピックでは、事前計算された保護パスの設定について説明し、例を挙げ、CEルーターと代替PEルーター間のリンク保護とバックアップパスを提供します。

ホスト高速再ルートについて

HFRR(Host Fast Reroute)により、PFE(パケット転送エンジン)に事前計算された保護パスが追加されます。プロバイダ エッジ デバイスとサーバー ファーム間のリンクが転送に使用できなくなった場合、PFE はルーターやプロトコルが更新された転送情報を提供するのを待つ必要なく、別のパスを使用できます。この事前計算された保護パスは、多くの場合、修復またはバックアップ パスと呼ばれます。

HFRRは、イーサネットなどのマルチポイントインターフェイス上のIPエンドポイントを保護する技術です。この技術は、サーバー エンドポイントの迅速なサービス復旧が重要なデータセンターで重要です。インターフェースまたはリンクがダウンした後、HFRRによってローカル修復時間は約50ミリ秒になります。

図 3 に示すネットワーク トポロジーを考えてみましょう。

図 3:Host Fast Reroute Host Fast Reroute

ルーティングデバイスは、アドレス解決プロトコル(ARP)とIPv6ネイバーディスカバリープロトコル(NDP)によってトリガーされたホストルート転送エントリーを作成します。HFRRは、ルーティングプロトコルが提供するバックアップネクストホップでホストルートを増強します。これらのバックアップネクストホップは、ネットワークの再コンバージェンス中に到着するトラフィックが流れ続けることを可能にします。

プロバイダ エッジ デバイス(PE1 および PE2)に接続されたネットワークから、A とホスト B へのトラフィック フローが行われます。このトラフィックは HFRR で保護されています。リンクがデバイスPE2とホストサーバーの間でダウンした場合、トラフィックはデバイスPE1を介してホストサーバーに再ルーティングされます。トポロジーでは、ホスト A とホスト B は LAN PC を表し、総称してサーバー ファームと呼ばれます。PE デバイスは、レイヤー 3 VPN が設定されたルーターです。デバイス PE1 は、ARP または IPv6 NDP を介して直接接続されたホストについて学習します。

デバイス PE2 は、サーバー ファーム ネットワークに関する情報も持ち、この情報をデバイス PE1 にアドバタイズします。この広告は、内部 BGP(IBGP)を使用してレイヤー 3 VPN を介して送信されます。デバイスPE1およびPE2では、このルートはサーバーファームサブネットへの直接ルートと見なされます。

デバイス PE1 は、ARP および NDP を介して学習したホスト ルートを使用して、サーバー ファーム内のホスト マシンにトラフィックを送信します。デバイス PE1 とサーバー ファーム間のリンクが中断され、HFRR が設定されていない場合、ルーティング デバイスは IBGP ルートである次に最適なルートを見つけます。この実装により、更新が発生し、ネットワークが再コンバージェンスされるまで、一定の間隔でトラフィックロスが発生します。デバイス PE1 に設定された HFRR は、バックアップ パスを使用して ARP および NDP ルートを拡張することで、この問題を解決します。これにより、トラフィックを中断することなく転送を継続できます。

この特定のトポロジのバックアップ パスは、IBGP レイヤー 3 VPN ルートです。実際の導入では、デバイス PE2 は直接接続されたサーバー ファーム ネットワークのリンク保護を構成することもできます。また、デバイス PE1 は、デバイス PE2 へのレイヤー 3 VPN ルートを使用して、それ自体でサーバー ファームへの到達可能性をアドバタイズできます。そのため、HFRR はデバイス PE1 とデバイス PE2 の両方で有効にする必要があります。また、デバイス PE1 とデバイス PE2 は、両方とも BGP を介してサーバー ファームへの到達可能性をアドバタイズする必要があります。

たとえば、デバイス PE1 からサーバー ファームへのリンクと、デバイス PE2 からサーバー ファームへのリンクが同時にダウンした場合、一時的なルーティング ループが PE デバイス間で発展する可能性があります。このループは、両端のBGPが、サーバーファームサブネットがダウンしていることを学習し、BGPルートを取り消すまで継続できます。

ARP プレフィックス制限と停電付加タイムアウト

HFRRプロファイルを設定する場合、オプションのARPプレフィックス制限はARPルート数に最大を設定するため、ルーティングテーブル内の各 HFRR プロファイルに対して作成されたFRRルートが設定されます。この制限により、ARP 攻撃がルーティング デバイス上の仮想メモリを使い果たすことを防ぎます。ARPプレフィックス制限は、転送テーブル内のARPルートを制限しません。ただし、Junos OS がプロファイル用に読み取る ARP ルートの数は制限されるため、ルーティング テーブルと転送テーブルでルーティング プロセス(rpd)が作成する HFRR ルートの数が制限されます。

ARP プレフィックス制限は、各 HFRR プロファイルに適用されます。ルーティング・テーブル内のすべてのARP/HFRRルートの総カウントを制限するものではありません。HFRR プロファイルごとに ARP/HFRR ルートの数のみを制限します。

ARPプレフィックス制限を設定する設定ステートメント(および)は、グローバル[edit routing-options host-fast-reroute]階層レベルでそれぞれ1つ、階層レベルでそれぞれ設定された[edit routing-instances instance-name routing-options interface interface-name]2つの設定ステートメント(global-arp-prefix-limitおよびarp-prefix-limit)があります。グローバルglobal-arp-prefix-limitステートメントは、ルーティング・デバイスに設定されたすべての HFRR プロファイルにデフォルト ARP プレフィックス制限を設定します。ステートメントはarp-prefix-limit、その保護されたインターフェースにglobal-arp-prefix-limit対するその HFRR プロファイルの を上書きします。

HFRR プロファイルの ARP ルート数が設定した ARP プレフィックス制限の 80% に達すると、システム ログに警告メッセージが送信されます。ARP プレフィックスが設定した値の 80% を超えるままの場合、HFRR プロファイルに追加された後続の ARP ルートに対して警告メッセージが表示されます。

HFRRプロファイルのARPルート数が、HFRRプロファイルに設定されたARPプレフィックス制限の100%に達すると、別の警告メッセージがシステムログに送信されます。数値が 100% のしきい値を超えると、HFRR プロファイルは非アクティブになります。この場合、すべての ARP/FRR ルートがルーティング テーブルから削除されます。FRR ルートも転送テーブルから削除されます。

HFRR プロファイルを非アクティブ化した後、停電タイマーが開始されます。このタイマーのタイムアウト値は、ARP キャッシュ タイムアウト(カーネル タイムアウト)+ 付加停電タイマーです。

グローバルおよび HFRR 単位の CLI ステートメント(global-supplementary-blackout-timer および supplementary-blackout-timer)があります。グローバル値は 階層 [edit routing-options host-fast-reroute] レベルであり、ルーティング・デバイス上のすべての HFRR プロファイルに適用されます。階層レベルで [edit routing-instances instance-name routing-options interface interface-name] ルーティング・インスタンス・インターフェースに設定された付加停電タイマーは、HFRR プロファイルのグローバル値のみを上書きします。

停電タイマーが切れると、HFRR プロファイルが再有効化され、Junos OS が ARP ルートを再学習して HFRR ルートを再作成します。ARP プレフィックス制限を再び超えない場合、HFRR ルートはアップします。

HFRR プロファイルがブロックリスト化されており、非アクティブ状態の場合、ARP 状態の再評価は、コミット操作のたびに、または コマンドでルーティング・プロセス (rpd) が再始動されるたびに実行されます restart routing

プライマリ ルートとバックアップ ルートの候補

HFRR ネクストホップのプライマリ ルートは、ARP および IPv6 NDP ルートによって提供されます。これらは/32または/128ルートです。バックアップ ルートは、ローカル インターフェイスで設定されたアドレスの完全なプレフィックス一致です。例えば、設定されたローカルアドレスが10.0.0.5/24の場合、ルーティングデバイスは、バックアップルートを選択するためにプレフィックス長が24のプレフィックス10.0.0.0と完全に一致するものを検索します。

バックアップ ルート選択の制約は次のとおりです。

  • ルーティング デバイスの HFRR 対応インターフェイスで設定されたのと同じサブネット アドレスに一致するプレフィックスである必要があります。

  • リモートエンドには、ルートアグリゲーション(集約とも呼ばれる)が設定されている必要はありません。例えば、リモートエンドが2つ以上の/24サブネットを組み合わせて/24より小さいプレフィックス長のサブネットをアドバタイズする場合、Junos OSはこの要約ルートをバックアップルートとして選択しません。

  • /32 または /128(ARP または NDP)ルートに対して最長プレフィックス一致を持つ別のプロトコルによって学習された別のルートがある場合、そのルートはバックアップ候補として選択されません。例えば、ローカル インターフェイス アドレスが 10.0.0.5/24 であるとします。また、ルーティングテーブルに、プレフィックスが10.0.0.0/24のIBGPルートと、プレフィックスが10.0.0.0/28のOSPFルートが含まれているとします。/28 ルートはサブネット内の特定のプレフィックスに適したルートですが、Junos OS は 10.0.0.0/28 をバックアップ候補とは見なしません。IBGP ルートは、すべてのホスト ルートのバックアップ候補になります。ただし、グローバル修復後、OSPF ルートが転送に使用されます。

要するに、バックアップ候補となるのは、HFRR で保護しているサブネット・ローカル・インターフェースと同じプレフィックスを持つルートでなければなりません。

バックアップ パス選択ポリシー

バックアップ選択では、レイヤー 3 VPN ルートのみが考慮されます。HFRR は通常の BGP パス選択アルゴリズムを使用して、最適なバックアップ ルートを 1 つ選択します。バックアップ パスは 1 つだけ選択されます。複数のバックアップ パス候補がある場合、選択アルゴリズムが最適なバックアップ パスを選択します。HFRR は、任意の時点で 1 次バックアップと 1 つのバックアップの 2 つのパスのみを提供します。選択したバックアップ・パス自体に 2 つのパスがある場合、そのバックアップ・ネクスト・ホップの最初のパスが HFRR ルートのバックアップ・ネクスト・ホップとして使用されます。

プライマリ パスは、重み 1 でインストールされます。バックアップ パスは、重み付け0x4000でインストールされます。バックアップ パスは明らかに、プライマリ インターフェイスと同じではないインターフェイスを通るパスである必要があります。

バックアップ ルートは、インターフェイスが属するルーティング テーブルでのみ検索されます。IPv4 では、Junos OS は .inet.0 を使用 routing-instance-nameします。IPv6 の場合、Junos OS は .inet6.0 を参照 routing-instance-nameします。

HFRRルートの特性

HFRR ルートは転送専用ルートであり、ルート解決には使用されません。HFRR ルートにはホスト アドレスがあり、プレフィックス長として /32 または /128 を持ちます。デュアル ルーティング エンジンを搭載したプラットフォームの場合、バックアップ ルーティング プロセス(rpd)によって HFRR ルートも作成されます。ただし、バックアップ・アウト・プロセス (rpd) は、ルーティング・エンジンの切り替え後にバックアップがプライマリになるまで、HFRR ルートをルーティング・テーブルにインストールしません。

また、HFRR ルートがルーティング テーブルに存在する場合、HFRR ルートはユニキャスト uRPF(reverse-path-forwarding)計算に使用されることにも注意してください。

HFRR ルートの削除

HFRR がルーティング・インスタンスで設定され、ルーティング・インスタンスが非アクティブ化または削除された場合、または HFRR(link-protection (Host Fast Reroute)) を有効にするステートメントが削除または非アクティブ化された場合、保護されたインターフェースがコンフィギュレーションで削除または非アクティブ化された場合、HFRR ルートは削除されます。HFRR ルートは、ルーティング・プロセスの再始動時など、インスタンスのルーティングで致命的な操作が行われた場合に削除され、読み取られます。すべてのバックアップ・ルートが削除された場合は、HFRR ルートも削除されます。BGPがルートを取り消す場合やBGPが無効化または削除された場合などです。

保護されたインターフェイスがダウンし、HFRR が削除または非アクティブ化されると、タイマーは 20 秒のタイムアウトで開始します。HFRR ルート削除は、タイマーの期限が切れた後に発生します。これは、インターフェイスがフラッピングしている(急速に上がったり下がったりしている)場合、Junos OSがトラフィック損失を引き起こすルートの削除や追加を不必要に実行しないようにするためです。このタイマーは、インターフェイスがダウンしている場合、または HFRR ルートが削除または非アクティブ化されている場合にのみ使用されます。

HFRR ルートは、以下の場合に直ちにパージされます。

  • バックアップ ルートがダウンし、他にバックアップ パスが存在しない可能性があります。

  • ARP削除メッセージを受信しました。

  • ルーティングプロセス(rpd)は終了します。

HFRR をサポートするインターフェイス

HFRR は、イーサネット・インターフェースでのみ許可されます。ポイントツーポイント インターフェイスで HFRR を設定すると、コミット操作は失敗します。

VRF(タイプ VPN ルーティングおよび転送)のルーティング インスタンスで設定されたインターフェイスのみが受け入れられます。他のタイプのルーティング・インスタンスに HFRR を設定すると、コミット操作は失敗します。

以下の要件を満たさない場合、コミット操作は失敗しません。ただし、インターフェースは HFRR によって保護されず、コマンド出力では show hfrr profiles インターフェースが非アクティブとマークされます。

  • HFRR は、番号付きインターフェースでのみ許可されており、アドレスをインターフェースに割り当てる必要があることを意味します。例えば、アドレスを持つインターフェイス上でIPv4を設定し、アドレスなしでIPv6を設定することはできません。

  • HFRR 保護用に設定されたインターフェースは、 [edit interfaces] 階層レベルで設定し、またルーティング・インスタンスに接続する必要があります。

  • ルーティングインスタンスには、仮想トンネル(VT)インターフェイスまたは ステートメントが vrf-table-label 含まれている必要があります。

コマンド出力で show hfrr profiles インターフェイスが非アクティブとマークされるもう 1 つの理由は、インターフェイスが 1 つのインスタンスから別のインスタンスに移行していて、HFRR 設定が以前のルーティング インスタンスにある場合です。

以下に示すように、同じルーティング・インスタンスに属している場合、HFRR は重複する論理ユニットではサポートされていません。

ここに示すように重複するサブネットを設定し、重複するサブネットの両方で HFRR を有効にすると、ルーティング プロトコル プロセス(rpd)はRPD_ASSERT エラーを生成します。

「」も参照