Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

레이어 3 VPN의 프로바이더 에지 링크 보호

이 주제는 고객 에지(CE) 라우터와 대체 PE 라우터 간의 링크 보호 및 백업 경로를 제공하는 사전 계산된 보호 경로 구성에 대한 설명과 예를 제공합니다.

Host Fast Reroute 이해

Host Fast Reroute(HFRR)는 공급자 에지 디바이스와 서버 팜 간의 링크를 포워딩에 사용할 수 없게 되면 라우터 또는 프로토콜이 업데이트된 포워딩 정보를 제공할 때까지 기다릴 필요 없이 PFE가 다른 경로를 사용할 수 있도록 패킷 포워딩 엔진(PFE)에 미리 계산된 보호 경로를 추가합니다. 이 미리 계산된 보호 경로를 복구 또는 백업 경로라고도 합니다.

HFRR은 이더넷과 같은 멀티포인트 인터페이스에서 IP 엔드포인트를 보호하는 기술입니다. 이 기술은 서버 엔드포인트에 대한 빠른 서비스 복원이 중요한 데이터 센터에서 중요합니다. 인터페이스 또는 링크가 다운된 후 HFRR은 로컬 수리 시간을 약 50밀리초로 설정합니다.

그림 3에 표시된 네트워크 토폴로지를 고려하십시오.

그림 3: Host Fast Reroute Network topology with MPLS L3VPN cloud, PE1 and PE2 routers connecting customer networks.

라우팅 디바이스는 ARP(Address Resolution Protocol) 및 IPv6 NDP(Neighbor Discovery Protocol)에 의해 트리거된 호스트 경로 포워딩 항목을 생성합니다. HFRR은 라우팅 프로토콜에서 제공하는 백업 다음 홉으로 호스트 경로를 강화합니다. 이러한 백업 다음 홉을 사용하면 네트워크가 다시 통합되는 동안 도착하는 트래픽의 흐름을 유지할 수 있습니다.

트래픽은 프로바이더 에지 디바이스인 PE1 및 PE2에 연결된 네트워크에서 호스트 A와 호스트 B로 흐릅니다. 이 트래픽은 HFRR로 보호됩니다. 디바이스 PE2와 호스트 서버 간의 링크가 다운되면 트래픽은 디바이스 PE1을 통해 호스트 서버로 다시 라우팅됩니다. 토폴로지에서 호스트 A와 호스트 B는 LAN PC를 나타내며, 이를 통칭하여 서버 팜이라고 합니다. PE 디바이스는 레이어 3 VPN이 구성된 라우터입니다. 디바이스 PE1은 ARP 또는 IPv6 NDP를 통해 직접 연결된 호스트에 대해 학습합니다.

또한 디바이스 PE2는 서버 팜 네트워크에 대한 정보를 보유하고 있으며 이 정보를 디바이스 PE1에 보급합니다. 이 광고는 내부 BGP(IBGP)를 사용하는 레이어 3 VPN을 통해 전송됩니다. 디바이스 PE1 및 PE2에서 이 경로는 서버 팜 서브넷에 대한 직접 경로로 간주됩니다.

디바이스 PE1은 ARP 및 NDP를 통해 학습된 호스트 경로를 사용하여 서버 팜의 호스트 시스템으로 트래픽을 전송합니다. 디바이스 PE1과 서버 팜 간의 링크가 중단되고 HFRR이 구성되지 않은 경우, 라우팅 디바이스는 다음으로 적합한 경로인 IBGP 경로를 찾습니다. 이 구현으로 인해 업데이트가 발생하고 네트워크가 다시 통합될 때까지 일정 간격으로 트래픽 손실이 발생합니다. 디바이스 PE1에 구성된 HFRR은 트래픽이 중단 없이 계속 전달될 수 있도록 백업 경로로 ARP 및 NDP 경로를 보강하여 이 문제를 해결합니다.

이 특정 토폴로지의 백업 경로는 IBGP 레이어 3 VPN 경로입니다. 실제 구축에서 디바이스 PE2는 직접 연결된 서버 팜 네트워크에 대한 링크 보호를 구성할 수도 있으며, 디바이스 PE1은 디바이스 PE2에 대한 레이어 3 VPN 경로를 사용하여 자체적으로 서버 팜에 도달 가능성을 보급할 수 있습니다. 따라서 HFRR은 디바이스 PE1과 디바이스 PE2 모두에서 활성화되어야 합니다. 또한 디바이스 PE1 및 디바이스 PE2 모두 BGP를 통해 서버 팜에 도달 가능성을 보급해야 합니다.

예를 들어, 서버 팜에 대한 디바이스 PE1 간의 링크와 서버 팜에 대한 디바이스 PE2 간의 링크가 동시에 다운되는 경우 PE 디바이스 간에 임시 라우팅 루프가 발생할 수 있습니다. 루프는 양쪽 끝의 BGP가 서버 팜 서브넷이 다운되었음을 알고 BGP 경로를 철회할 때까지 계속될 수 있습니다.

ARP 접두사 제한 및 블랙아웃 추가 타임아웃

HFRR 프로필을 구성할 때 선택적 ARP 접두사 제한은 ARP 경로 수에 대한 최대값을 설정하므로 라우팅 테이블의 각 HFRR 프로필에 대해 생성된 FRR 경로도 설정됩니다. 이 제한은 ARP 공격이 라우팅 디바이스의 가상 메모리를 소진하는 것을 방지합니다. ARP 접두사 제한은 포워딩 테이블에서 ARP 경로를 제한하지 않습니다. 그러나 이는 Junos OS가 프로필에 대해 읽는 ARP 경로의 수를 제한하므로 라우팅 프로세스(rpd)가 라우팅 테이블과 포워딩 테이블에서 생성하는 HFRR 경로의 수를 제한합니다.

ARP 접두사 제한은 각 HFRR 프로필에 적용됩니다. 라우팅 테이블에 있는 모든 ARP/HFRR 경로의 총 개수를 제한하지는 않습니다. 각 HFRR 프로파일에 대한 ARP/HFRR 경로 수만 제한합니다.

ARP 접두사 제한을 설정하는 두 개의 구성 문( global-arp-prefix-limit arp-prefix-limit 및)이 있으며, 하나는 글로벌 [edit routing-options host-fast-reroute] 계층 수준에서, [edit routing-instances instance-name routing-options interface interface-name] 다른 하나는 계층 수준에서 각각 적용됩니다. global global-arp-prefix-limit 문은 라우팅 디바이스에서 구성된 모든 HFRR 프로파일에 대한 기본 ARP 접두사 제한을 설정합니다. 명령문은 arp-prefix-limit 보호된 인터페이스의 해당 HFRR 프로파일에 대한 을(를global-arp-prefix-limit) 재정의합니다.

HFRR 프로필의 ARP 경로 수가 구성된 ARP 접두사 제한의 80%에 도달하면 시스템 로그에 경고 메시지가 전송됩니다. ARP 접두사가 구성된 값의 80% 이상으로 유지되는 경우, 해당 HFRR 프로파일에 추가된 모든 후속 ARP 경로에 대해 경고 메시지가 표시됩니다.

HFRR 프로필의 ARP 경로 수가 HFRR 프로필에 대해 구성된 ARP 접두사 제한의 100%에 도달하면 시스템 로그에 또 다른 경고 메시지가 전송됩니다. 수치가 100% 임계값을 초과하면 HFRR 프로필이 비활성화됩니다. 이 경우 모든 ARP/FRR 경로는 라우팅 테이블에서 삭제됩니다. FRR 경로는 포워딩 테이블에서도 삭제됩니다.

HFRR 프로파일이 비활성화된 후 블랙아웃 타이머가 시작됩니다. 이 타이머의 시간 제한 값은 ARP 캐시 시간 제한(커널 시간 제한) + 보조 블랙아웃 타이머입니다.

전역 및 HFRR당 CLI 문( global-supplementary-blackout-timer supplementary-blackout-timer 및)이 있습니다. 글로벌 값은 [edit routing-options host-fast-reroute] 계층 수준에 있으며 라우팅 디바이스의 모든 HFRR 프로필에 적용됩니다. 계층 수준에서 routing-instance 인터페이스 [edit routing-instances instance-name routing-options interface interface-name] 에 구성된 보충 블랙아웃 타이머는 해당 HFRR 프로필에 대한 전역 값만 재정의합니다.

블랙아웃 타이머가 만료되면 HFRR 프로필이 다시 활성화되고 Junos OS가 ARP 경로를 다시 학습하고 HFRR 경로를 다시 생성합니다. ARP 접두사 제한이 다시 초과되지 않으면 HFRR 경로가 작동합니다.

HFRR 프로필이 차단 목록에 올라 있고 비활성화 상태인 경우, 모든 커밋 작업 중 또는 명령으로 라우팅 프로세스(rpd)를 다시 시작할 때마다 ARP 상태의 재평가가 restart routing 수행됩니다.

기본 경로 및 백업 경로 후보

HFRR 다음 홉의 기본 경로는 ARP 및 IPv6 NDP 경로에 의해 제공됩니다. 이러한 경로는 /32 또는 /128 경로입니다. 백업 경로는 로컬 인터페이스에 구성된 주소와 정확히 일치하는 접두사입니다. 예를 들어, 구성된 로컬 주소가 10.0.0.5/24인 경우, 라우팅 디바이스는 백업 경로 선택을 위해 접두사 길이가 24인 접두사 10.0.0.0의 정확한 일치를 찾습니다.

백업 경로 선택에 대한 제약 조건은 다음과 같습니다.

  • - 라우팅 디바이스의 HFRR 지원 인터페이스에 구성된 동일한 서브넷 주소와 일치하는 접두사여야 합니다.

  • 원격 엔드에는 경로 집계(요약이라고도 함)가 구성되어 있지 않아야 합니다. 예를 들어, 원격 엔드가 두 개 이상의 /24 서브넷을 결합하여 접두사 길이가 /24보다 작은 서브넷을 보급하는 경우, Junos OS는 이 요약된 경로를 백업 경로로 선택하지 않습니다.

  • /32 또는 /128(ARP 또는 NDP) 경로에 대해 접두사가 가장 긴 다른 프로토콜에서 학습한 다른 라우팅 테이블 경로가 있는 경우 해당 경로는 백업 후보로 선택되지 않습니다. 예를 들어, 로컬 인터페이스 주소가 10.0.0.5/24라고 가정해봅시다. 또한 라우팅 테이블에 접두사가 10.0.0.0/24인 IBGP 경로와 접두사가 10.0.0.0/28인 OSPF 경로가 포함되어 있다고 가정합니다. 서브넷의 특정 접두사에 대해서는 /28 경로가 더 나은 경로이지만, Junos OS는 10.0.0.0/28을 백업 후보로 간주하지 않습니다. IBGP 경로는 모든 호스트 경로의 백업 후보가 됩니다. 그러나 전역 복구 후에는 OSPF 경로가 포워딩에 사용됩니다.

간단히 말해, 백업 후보는 HFRR로 보호하는 서브넷 로컬 인터페이스와 접두사가 동일한 경로여야 합니다.

백업 경로 선택 정책

레이어 3 VPN 경로만 백업 선택 대상으로 고려됩니다. HFRR은 일반적인 BGP 경로 선택 알고리즘을 사용하여 하나의 최상의 백업 경로를 선택합니다. 백업 경로는 하나만 선택됩니다. 백업 경로 후보가 여러 개 있는 경우 선택 알고리즘이 최상의 백업 경로를 선택합니다. HFRR은 특정 시점에 두 개의 경로, 즉 기본 경로와 백업 경로만 제공합니다. 선택한 백업 경로 자체에 두 개의 경로가 있는 경우 해당 백업 다음 홉의 첫 번째 경로가 HFRR 경로에 대한 백업 다음 홉으로 사용됩니다.

기본 경로는 가중치 1로 설치됩니다. 백업 경로는 0x4000의 가중치로 설치됩니다. 백업 경로는 분명히 기본 인터페이스와 동일하지 않은 인터페이스를 통과하는 경로여야 합니다.

백업 경로는 인터페이스가 속한 라우팅 테이블에서만 조회됩니다. IPv4의 경우, Junos OS는 .inet.0을 사용합니다 routing-instance-name. IPv6의 경우 Junos OS는 .inet6.0을 routing-instance-name확인합니다.

HFRR 경로의 특징

HFRR 경로는 포워딩 전용 경로이며 경로 해결에 사용되지 않습니다. HFRR 경로는 호스트 주소를 가지며, 이는 접두사 길이가 /32 또는 /128임을 의미합니다. 이중 라우팅 엔진이 있는 플랫폼의 경우, 백업 라우팅 프로세스(rpd)는 HFRR 경로도 생성합니다. 그러나 백업 외출 프로세스(rpd)는 라우팅 엔진 전환 후 백업이 기본이 될 때까지 라우팅 테이블에 HFRR 경로를 설치하지 않습니다.

또한 라우팅 테이블에 HFRR 경로가 있는 경우 HFRR 경로는 유니캐스트 uRPF(reverse-path-forwarding) 계산에 사용됩니다.

HFRR 경로 제거

HFRR 경로는 구성에서 보호 인터페이스가 삭제 또는 비활성화되는 경우, 라우팅 인스턴스에서 HFRR이 구성되고 라우팅 인스턴스가 비활성화 또는 삭제되는 경우, HFRR( link-protection (Host Fast Reroute) )을 활성화하는 문이 삭제 또는 비활성화되는 경우 삭제됩니다. HFRR 경로는 라우팅 프로세스가 다시 시작될 때와 같이 인스턴스를 라우팅하는 데 치명적인 작업이 있을 때 삭제되고 다시 추가됩니다. 모든 백업 경로가 삭제되면 HFRR 경로도 제거됩니다. BGP가 경로를 철회하거나 BGP가 비활성화 또는 삭제되는 경우와 같은 것입니다.

보호된 인터페이스가 다운된 후 HFRR이 삭제 또는 비활성화되면 타이머는 20초의 시간 초과로 시작됩니다. HFRR 경로 삭제는 타이머가 만료된 후에 발생합니다. 이는 인터페이스가 플래핑(빠르게 작동 및 중단)되는 경우, Junos OS가 트래픽 손실을 유발하는 경로 삭제 및 추가 작업을 불필요하게 수행하지 않도록 하기 위한 것입니다. 이 타이머는 인터페이스가 다운되거나 HFRR 경로가 삭제 또는 비활성화된 경우에만 사용됩니다.

HFRR 경로는 다음과 같은 경우에 즉시 제거됩니다.

  • 백업 경로가 다운되고 다른 잠재적 백업 경로가 없습니다.

  • ARP 삭제 메시지가 수신됩니다.

  • 라우팅 프로세스(rpd)가 종료됩니다.

HFRR을 지원하는 인터페이스

HFRR은 이더넷 인터페이스에서만 허용됩니다. point-to-point 인터페이스에서 HFRR을 구성할 경우, 커밋 작업은 실패합니다.

VPN 라우팅 및 포워딩(VRF) 유형의 라우팅 인스턴스에 따라 구성된 인터페이스만 허용됩니다. 다른 유형의 라우팅 인스턴스에서 HFRR을 구성하면 커밋 작업이 실패합니다.

다음 요구 사항이 충족되지 않으면 커밋 작업이 실패하지 않습니다. 그러나 인터페이스는 HFRR에 의해 보호되지 않으며 인터페이스는 명령 출력에서 비활성으로 표시됩니다. show hfrr profiles

  • HFRR은 번호가 지정된 인터페이스에서만 허용되며, 이는 인터페이스에 주소를 할당해야 함을 의미합니다. 예를 들어, 주소가 있는 인터페이스에서 IPv4를 구성하고 주소 없이 IPv6을 구성할 수 없습니다.

  • HFRR 보호를 위해 구성된 인터페이스는 계층 수준에서 구성 [edit interfaces] 되어야 하며 또한 라우팅 인스턴스에 연결되어야 합니다.

  • 라우팅 인스턴스에는 가상 터널(VT) 인터페이스 또는 vrf-table-label 문이 포함되어야 합니다.

명령 출력에서 show hfrr profiles 인터페이스가 비활성으로 표시될 수 있는 또 다른 이유는 인터페이스가 한 인스턴스에서 다른 인스턴스로 마이그레이션 중이고 HFRR 구성이 이전 라우팅 인스턴스에 있는 경우입니다.

HFRR은 다음과 같이 동일한 라우팅 인스턴스에 속하는 경우 중첩 논리적 단위에서 지원되지 않습니다.

여기에 표시된 대로 중복 서브넷을 구성하고 중복되는 서브넷 모두에서 HFRR을 활성화하면 라우팅 프로토콜 프로세스(rpd)가 RPD_ASSERT 오류를 생성합니다.

참조