Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IS-IS 네트워크에서 LDP 터널을 통한 원격 LFA 이해하기

IS-IS 네트워크에서 LFA(Loop Free Alternate)는 로컬 수리 포인트(PLR)의 보호된 링크를 통해 도달할 수 있는 대상에 미리 계산된 백업 경로를 제공하는 직접 연결된 이웃입니다. 원격 LFA는 PLR에 직접 연결되지 않으며 동적으로 생성된 LDP 터널을 사용하여 원격 LFA 노드에 미리 계산된 백업 경로를 제공합니다. PLR은 기본 링크가 실패할 때 이 원격 LFA 백업 경로를 사용합니다. 원격 LFA의 주요 목표는 IS-IS 네트워크의 백업 범위를 늘리고 레이어 1 메트로 링을 보호하는 것입니다.

그러나 LFA는 종종 링 토폴로지에 구축되는 IS-IS 기반 메트로 이더넷 네트워크에 대한 전체 백업 커버리지를 제공하지 않습니다. 이러한 한계를 극복하기 위해 일반적으로 RSVP-TE(Resource Reservation Protocol Resource Reservation Protocol - Traffic Engineering) 백업 터널을 사용하여 백업 범위를 확장합니다. 그러나 대다수의 네트워크 프로바이더는 이미 LDP를 MPLS 터널 설정 프로토콜로 구현했으며 단순히 백업 커버리지를 위해 RSVP-TE 프로토콜을 구현하기를 원하지 않습니다. LDP는 IS-IS 네트워크의 모든 잠재적 목적지에 전송 터널을 자동으로 표시하므로 선호되는 프로토콜입니다. MPLS 터널 설정을 위해 구현된 기존 LDP는 IS-IS 네트워크 및 후속 LDP 대상 보호를 위해 재사용할 수 있으므로 백업 커버리지를 위한 RSVP-TE 백업 터널이 필요하지 않습니다.

원격 LFA 백업 경로를 계산하기 위해 IS-IS 프로토콜은 다음과 같은 방식으로 원격 LFA 노드를 결정합니다.

  1. PLR의 보호된 링크를 통해 인접 라우터에서 역방향 최단 경로를 먼저 계산합니다. 역방향 최단 경로는 먼저 발신 링크 메트릭 대신 수신 링크 메트릭을 사용하여 이웃 노드에 도달합니다.

    결과는 링크 및 노드 집합이며, 이는 각 리프 노드에서 루트 노드까지의 최단 경로입니다.

  2. 나머지 인접 라우터에서 최단 경로 우선(SPF)을 계산하여 보호 중인 링크를 트래버스하지 않고 도달할 수 있는 노드 목록을 찾습니다.

    그 결과 루트 노드에서 모든 리프 노드까지의 최단 경로에 또 다른 링크 및 노드 집합이 생깁니다.

  3. 위의 결과에서 공통 노드를 결정하고, 이러한 노드는 원격 LFA입니다.

IS-IS(Intermediate System to Intermediate System)는 LDP 경로에 대해 보급된 레이블을 수신합니다. IS-IS(Intermediate System to Intermediate System)는 광고된 각 LDP 경로에 대해 LDP가 제공한 다음 홉을 포함하고 있는지 확인합니다. 해당 IS-IS 경로에 백업 다음 홉이 있는 경우 IS-IS는 백업 정책을 실행하고 해당 LDP 레이블 스위칭 경로 다음 홉을 백업 다음 홉으로 하여 추가 추적 경로를 추가합니다. 백업 다음 홉이 없는 경우 LDP는 원격 LFA에 동적 LDP 터널을 구축하고 LDP는 원격 LFA 노드와 PLR 노드 사이에 대상 인접성을 설정합니다. 이 백업 경로에는 두 개의 LDP 레이블이 있습니다. 맨 위의 레이블은 PLR에서 원격 LFA 경로까지의 백업 경로를 나타내는 IS-IS 경로입니다. 하단 레이블은 원격 LFA에서 최종 목적지에 도달하기 위한 경로를 나타내는 LDP MPLS 레이블 스위칭 경로입니다. LDP 세션이 다운되어 원격 터널을 더 이상 사용할 수 없게 되면 IS-IS는 이 백업 LDP 터널을 사용하던 모든 경로를 변경합니다.

메모:

현재 Junos OS는 IPv4 전송 LSP만 지원합니다. IPv6 IGP 네트워크에 IPv4 전송 LSP를 재사용해야 하는 경우, 추적 경로의 레이블 스택에 IPv6 명시적 NULL 레이블을 추가합니다. 시스템은 IPv4 LSP를 IPv6 LSP로 자동 변환합니다.

LDP는 자동으로 대상 인접성에 의해 취약할 수 있으며, 이러한 위협은 다음 메커니즘 중 전부 또는 일부를 사용하여 완화할 수 있습니다.

  • 몇 홉 떨어진 원격 LFA는 확장된 Hello 메시지를 사용하여 대상 LDP 세션을 설정할 의사를 나타냅니다. 원격 LFA는 스푸핑된 확장 Hello를 필터링하고 액세스 또는 필터 목록에서 허용된 소스에서 시작된 Hello만 허용하여 스푸핑된 Extended Hello의 위협을 줄일 수 있습니다.

  • apply groups 또는 LDP 전역 수준 인증을 사용하여 주어진 IGP/LDP 도메인에서 TCP-MD5로 인증해야 합니다.

  • 추가 보안 조치로, 복구 또는 원격 터널 엔드포인트 라우터는 라우팅 도메인 외부에서 연결할 수 없는 주소 집합에서 할당되어야 합니다.

관련 설명서