Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

레이어 3 VPN에서 프로바이더 에지 링크 보호

이 주제는 CE 라우터와 대체 PE 라우터 간의 링크 보호 및 백업 경로를 제공하는 사전 컴퓨팅 보호 경로 구성에 대한 예를 설명하고 제공합니다.

호스트 Fast Reroute 이해하기

HFRR(Host Fast Reroute)은 프로바이더 에지 디바이스와 서버 팜 간의 링크가 포워딩에 사용할 수 없게 되면 라우터 또는 프로토콜이 업데이트된 포워딩 정보를 제공할 때까지 기다릴 필요 없이 다른 경로를 사용할 수 있도록 패킷 전달 엔진(PFE)에 미리 컴퓨팅된 보호 경로를 추가합니다. 이 사전 컴퓨팅 보호 경로는 종종 수리 또는 백업 경로라고 합니다.

HFRR은 이더넷과 같은 멀티포인트 인터페이스에서 IP 엔드포인트를 보호하는 기술입니다. 이 기술은 서버 엔드포인트에 대한 빠른 서비스 복원이 중요한 데이터센터에서 중요합니다. 인터페이스 또는 링크가 다운된 후, HFRR은 로컬 수리 시간을 약 50밀리초로 할 수 있습니다.

그림 3에 표시된 네트워크 토폴로지 를 고려하십시오.

그림 3: Host Fast Reroute Host Fast Reroute

라우팅 디바이스는 ARP(Address Resolution Protocol) 및 IPv6 NDP(Neighbor Discovery Protocol)에 의해 트리거된 호스트 경로 포워딩 항목을 생성합니다. HFRR은 라우팅 프로토콜에 의해 제공되는 백업 다음 홉으로 호스트 경로를 강화합니다. 이러한 백업 다음 홉을 사용하면 네트워크가 재통결되는 동안 도착하는 트래픽이 계속 흐르도록 할 수 있습니다.

프로바이더 에지 디바이스인 PE1 및 PE2에 연결된 네트워크에서 트래픽이 플로우하여 A와 호스트 B를 호스팅합니다. 이 트래픽은 HFRR로 보호됩니다. 링크가 디바이스 PE2와 호스트 서버 간에 중단되면 디바이스 PE1을 통해 호스트 서버로 트래픽이 다시 라우팅됩니다. 토폴로지에서 호스트 A와 호스트 B는 서버 팜으로 통칭하는 LAN PC를 나타냅니다. PE 디바이스는 그들 사이에 구성된 레이어 3 VPN을 가진 라우터입니다. 디바이스 PE1은 ARP 또는 IPv6 NDP를 통해 직접 연결된 호스트에 대해 학습합니다.

또한 디바이스 PE2는 서버 팜 네트워크에 대한 정보를 가지고 있으며 이 정보를 디바이스 PE1에 보급합니다. 이 광고는 내부 BGP(IBGP)를 사용하여 레이어 3 VPN을 통해 전송됩니다. 디바이스 PE1 및 PE2에서 이 경로는 서버 팜 서브넷으로의 직접 경로로 간주됩니다.

디바이스 PE1은 ARP 및 NDP를 통해 학습된 호스트 경로를 사용하여 서버 팜의 호스트 머신으로 트래픽을 전송합니다. 디바이스 PE1과 서버 팜 간의 링크가 중단되고 HFRR이 구성되지 않은 경우 라우팅 디바이스는 IBGP 경로인 다음으로 가장 좋은 경로를 찾습니다. 이 구현은 업데이트가 발생하고 네트워크가 재통결될 때까지 간격으로 트래픽 손실을 초래합니다. 디바이스 PE1에 구성된 HFRR은 트래픽이 중단 없이 계속 전달될 수 있도록 백업 경로로 ARP 및 NDP 경로를 확대하여 이 문제를 해결합니다.

이 특정 토폴로지의 백업 경로는 IBGP 레이어 3 VPN 경로입니다. 실제 구축에서 디바이스 PE2는 직접 연결된 서버 팜 네트워크에 대한 링크 보호를 구성할 수도 있으며, 디바이스 PE1은 디바이스 PE2에 대한 레이어 3 VPN 경로를 사용하여 서버 팜에 대한 연결성을 자체적으로 보급할 수 있습니다. 따라서 디바이스 PE1 및 디바이스 PE2 모두에서 HFRR이 활성화되어야 합니다. 또한 디바이스 PE1과 디바이스 PE2는 모두 BGP를 통해 서버 팜에 연결성을 보급해야 합니다.

예를 들어 디바이스 PE1에서 서버 팜으로의 링크와 디바이스 PE2 간의 링크가 모두 동시에 중단되면 PE 디바이스 간에 임시 라우팅 루프가 발생할 수 있습니다. 양쪽 끝의 BGP가 서버 팜 서브넷이 중단되고 BGP 경로를 철회한다는 것을 알게 될 때까지 루프는 계속될 수 있습니다.

ARP 접두사 제한 및 정전 보충 시간 제한

HFRR 프로필을 구성할 때 선택적 ARP 접두사 제한은 ARP 경로 수에 대한 최대값을 설정하므로 라우팅 테이블 각 HFRR 프로필에 대해 생성된 FRR 경로가 설정됩니다. 이 제한은 ARP 공격이 라우팅 디바이스의 가상 메모리를 소진하는 것을 방지합니다. ARP 접두사 제한은 포워딩 테이블 ARP 경로를 제한하지 않습니다. 그러나 프로필에 대해 읽는 ARP 경로의 수를 Junos OS 때문에 라우팅 테이블 및 포워딩 테이블 라우팅 프로세스(rpd)가 생성하는 HFRR 경로 수를 제한합니다.

ARP 접두사 제한은 각 HFRR 프로필에 적용됩니다. 이는 라우팅 테이블 모든 ARP/HFRR 경로의 총 수를 제한하지 않습니다. 각 HFRR 프로필에 대한 ARP/HFRR 경로의 수만 제한합니다.

ARP 접두사 제한을 설정하는 두 개의 구성 문(global-arp-prefix-limitarp-prefix-limit)이 있습니다. 하나는 글로벌 [edit routing-options host-fast-reroute] 계층 수준에, 다른 [edit routing-instances instance-name routing-options interface interface-name] 하나는 계층 수준에서 각각입니다. 글로벌 global-arp-prefix-limit 문은 라우팅 디바이스에 구성된 모든 HFRR 프로파일에 대해 기본 ARP 접두사 제한을 설정합니다. 문은 arp-prefix-limit 보호된 인터페이스에 global-arp-prefix-limit 대한 HFRR 프로필의 을(를) 재정의합니다.

HFRR 프로필의 ARP 경로 수가 구성된 ARP 접두사 제한의 80%에 도달하면 시스템 로그에 경고 메시지가 전송됩니다. ARP 접두사가 구성된 값의 80% 이상으로 유지되면 해당 HFRR 프로파일에 추가된 후속 ARP 경로에 대해 경고 메시지가 표시됩니다.

HFRR 프로필의 ARP 경로 수가 HFRR 프로필에 대해 구성된 ARP 접두사 제한의 100%에 도달하면 시스템 로그에 또 다른 경고 메시지가 전송됩니다. 숫자가 100% 임계값을 초과하면 HFRR 프로필이 비활성화됩니다. 이 경우 모든 ARP/FRR 경로가 라우팅 테이블 삭제됩니다. FRR 경로도 포워딩 테이블 삭제됩니다.

HFRR 프로필이 비활성화되면 정전 타이머가 시작됩니다. 이 타이머의 시간 제한 값은 ARP 캐시 시간 초과(커널 타임아웃) + 추가 정전 타이머입니다.

전역 및 HFRR당 CLI 문(global-supplementary-blackout-timersupplementary-blackout-timer)이 있습니다. 글로벌 값은 [edit routing-options host-fast-reroute] 계층 수준에 있으며 라우팅 디바이스의 모든 HFRR 프로필에 적용됩니다. 계층 수준에서 routing-instance 인터페이스 [edit routing-instances instance-name routing-options interface interface-name] 에 구성된 추가 정전 타이머는 해당 HFRR 프로필에 대한 전역 값만 재정의합니다.

정전 타이머가 만료되면 HFRR 프로필이 다시 활성화되고 Junos OS ARP 경로를 다시 학습하고 HFRR 경로를 다시 만듭니다. ARP 접두사 제한이 다시 초과되지 않으면 HFRR 경로가 작동합니다.

HFRR 프로필이 차단목록되어 있고 비활성화된 상태인 경우, 모든 커밋 작업 중 또는 라우팅 프로세스(rpd)가 명령으로 restart routing 다시 시작될 때마다 ARP 상태의 재평가가 수행됩니다.

기본 경로 및 백업 경로 후보

HFRR 다음 홉의 기본 경로는 ARP 및 IPv6 NDP 경로에 의해 제공됩니다. 이들은 /32 또는 /128 경로입니다. 백업 경로는 로컬 인터페이스에 구성된 주소의 정확한 접두사 일치입니다. 예를 들어, 구성된 로컬 주소가 10.0.0.5/24인 경우, 라우팅 디바이스는 백업 경로 선택을 위해 접두사 길이가 24인 접두사 10.0.0.0의 정확한 일치를 찾습니다.

백업 경로 선택을 위한 제약 조건은 다음과 같습니다.

  • 라우팅 디바이스의 HFRR 지원 인터페이스에 구성된 동일한 서브넷 주소와 일치하는 접두사여야 합니다.

  • 원격 엔드에는 경로 어그리게이션(요약이라고도 함)이 구성되지 않아야 합니다. 예를 들어, 원격 엔드가 2개 이상의 /24 서브넷을 결합하여 접두사 길이가 /24보다 작은 서브넷을 보급하는 경우, Junos OS 이 요약된 경로를 백업 경로로 선택하지 않습니다.

  • /32 또는 /128(ARP 또는 NDP) 경로에 대해 가장 긴 접두사 일치를 가진 다른 프로토콜에서 학습된 라우팅 테이블 다른 경로가 있는 경우 해당 경로는 백업 후보로 선택되지 않습니다. 예를 들어, 로컬 인터페이스 주소가 10.0.0.5/24라고 가정합니다. 또한 라우팅 테이블 접두사 10.0.0.0/24와 접두사 10.0.0.0/28의 OSPF 경로가 있는 IBGP 경로를 포함하고 있다고 가정합니다. /28 경로가 서브넷의 특정 접두사에 대해 더 나은 경로이지만, Junos OS 10.0.0.0/28을 백업 후보로 고려하지 않습니다. IBGP 경로는 모든 호스트 경로의 백업 후보가 됩니다. 그러나 전역 복구 후에는 OSPF 경로가 포워딩에 사용됩니다.

간단히 말해, 백업 후보는 HFRR로 보호하는 서브넷 로컬 인터페이스와 동일한 접두사의 경로여야 합니다.

백업 경로 선택 정책

백업 선택을 위해 레이어 3 VPN 경로만 고려됩니다. HFRR은 일반적인 BGP 경로 선택 알고리즘을 사용하여 최고의 백업 경로 하나를 선택합니다. 하나의 백업 경로만 선택되었습니다. 여러 백업 경로 후보가 있는 경우 선택 알고리즘이 최상의 백업 경로를 선택합니다. HFRR은 어느 시점에서나 2개의 경로, 한 개의 기본 및 1개의 백업만 제공합니다. 선택한 백업 경로 자체에 두 개의 경로가 있는 경우, 해당 백업 다음 홉의 첫 번째 경로가 HFRR 경로의 백업 다음 홉으로 사용됩니다.

기본 경로는 하나의 무게로 설치됩니다. 백업 경로는 0x4000 중량으로 설치됩니다. 백업 경로는 분명히 기본 인터페이스와 동일하지 않은 인터페이스를 통과하는 경로여야 합니다.

백업 경로는 인터페이스가 속한 라우팅 테이블 만 조회됩니다. IPv4의 경우, Junos OS .inet.0을 사용합니다 routing-instance-name. IPv6의 경우, Junos OS .inet6.0을 확인합니다 routing-instance-name.

HFRR 경로의 특성

HFRR 경로는 포워딩 전용 경로이며 경로 해결에 사용되지 않습니다. HFRR 경로에는 호스트 주소가 있습니다. 즉, 접두사 길이는 /32 또는 /128입니다. 이중 라우팅 엔진이 있는 플랫폼의 경우 백업 라우팅 프로세스(rpd)도 HFRR 경로를 생성합니다. 그러나 백업 외출 프로세스(rpd)는 라우팅 엔진 전환 후 백업이 기본이 될 때까지 라우팅 테이블 HFRR 경로를 설치하지 않습니다.

또한 HFRR 경로가 라우팅 테이블 존재하는 경우, HFRR 경로는 유니캐스트 uRPF(Reverse Path Forwarding) 계산에 사용됩니다.

HFRR 경로 제거

보호 인터페이스가 구성에서 삭제되거나 비활성화되는 경우, 라우팅 인스턴스에서 HFRR이 구성되고 라우팅 인스턴스가 비활성화되거나 삭제되거나 HFRR(link-protection (Host Fast Reroute))을 활성화하는 문이 삭제되거나 비활성화되면 HFRR 경로가 삭제됩니다. 라우팅 프로세스가 재시작되는 경우와 같이 인스턴스 라우팅에 치명적인 작업이 있을 때 HFRR 경로가 삭제되고 읽습니다. 모든 백업 경로가 삭제되면 HFRR 경로도 제거됩니다. BGP가 경로를 철회하거나 BGP가 비활성화 또는 삭제되는 경우와 같은 것입니다.

보호된 인터페이스가 다운되고 HFRR이 삭제되거나 비활성화되면 타이머는 20초의 시간 제한으로 시작됩니다. HFRR 경로 삭제는 타이머가 만료된 후에 발생합니다. 이는 인터페이스가 플래핑(빠르게 켜지고 끊어지는 경우) Junos OS 트래픽 손실을 유발하는 경로 삭제 및 추가 작업을 불필요하게 수행하지 않도록 하기 위한 것입니다. 이 타이머는 인터페이스가 다운되거나 HFRR 경로가 삭제되거나 비활성화된 경우에만 사용됩니다.

HFRR 경로는 다음 경우에 즉시 제거됩니다.

  • 백업 경로가 중단되고 다른 잠재적 백업 경로가 없습니다.

  • ARP 삭제 메시지가 수신됩니다.

  • 라우팅 프로세스(rpd)가 종료됩니다.

HFRR을 지원하는 인터페이스

HFRR은 이더넷 인터페이스에서만 허용됩니다. 포인트 투 포인트 인터페이스에서 HFRR을 구성하면 커밋 작업이 실패합니다.

유형 VPN 라우팅 및 포워딩(VRF)의 라우팅 인스턴스에 따라 구성된 인터페이스만 허용됩니다. 다른 유형의 라우팅 인스턴스에서 HFRR을 구성하면 커밋 작업이 실패합니다.

다음 요구 사항이 충족되지 않으면 커밋 작업은 실패하지 않습니다. 그러나 인터페이스는 HFRR에 의해 보호되지 않으며, 인터페이스는 명령 출력에서 show hfrr profiles 비활성으로 표시됩니다.

  • HFRR은 번호가 지정된 인터페이스에서만 허용되며, 이는 주소가 인터페이스에 할당되어야 한다는 것을 의미합니다. 예를 들어 주소가 있는 인터페이스에서 IPv4를 구성하고 주소 없이는 IPv6을 구성할 수 없습니다.

  • HFRR 보호를 위해 구성된 인터페이스는 계층 수준에서 구성 [edit interfaces] 되어야 하며 라우팅 인스턴스에도 연결되어야 합니다.

  • 라우팅 인스턴스에는 가상 터널(VT) 인터페이스 또는 vrf-table-label 포함된 문이 있어야 합니다.

인터페이스가 명령 출력에서 show hfrr profiles 비활성으로 표시되는 또 다른 이유는 인터페이스가 한 인스턴스에서 다른 인스턴스로 마이그레이션하고 HFRR 구성이 이전 라우팅 인스턴스에 있을 때입니다.

HFRR은 여기에 표시된 대로 동일한 라우팅 인스턴스에 속하는 경우 중복 논리적 장치에서 지원되지 않습니다.

여기에 표시된 대로 중복 서브넷을 구성하고 중복 서브넷 모두에서 HFRR을 활성화하면 라우팅 프로토콜 프로세스(rpd)가 RPD_ASSERT 오류를 생성합니다.

더 보기