Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Descripción del LFA remoto a través de túneles LDP en redes IS-IS

En una red IS-IS, una alternativa libre de bucle (LFA) es un vecino conectado directamente que proporciona rutas de respaldo precalculadas a los destinos accesibles a través del vínculo protegido en el punto de reparación local (PLR). Un LFA remoto no está conectado directamente al PLR y proporciona rutas de respaldo precalculadas mediante túneles LDP creados dinámicamente al nodo LFA remoto. El PLR utiliza esta ruta de copia de seguridad remota de LFA cuando falla el vínculo principal. El objetivo principal del LFA remoto es aumentar la cobertura de respaldo para las redes IS-IS y proporcionar protección para los anillos metropolitanos de capa 1.

Sin embargo, los LFA no proporcionan una cobertura de respaldo completa para las redes Metro Ethernet basadas en IS-IS, que a menudo se implementan en una topología de anillo. Para superar esta limitación, los túneles de reserva del Protocolo de reserva de recursos - ingeniería de tráfico (RSVP-TE) se utilizan comúnmente para ampliar la cobertura de la copia de seguridad. Sin embargo, la mayoría de los proveedores de red ya han implementado LDP como protocolo de configuración de túnel MPLS y no quieren implementar el protocolo RSVP-TE simplemente para la cobertura de respaldo. LDP abre automáticamente túneles de transporte a todos los destinos potenciales en una red IS-IS y, por lo tanto, es el protocolo preferido. El LDP existente implementado para la configuración del túnel MPLS se puede reutilizar para la protección de redes IS-IS y destinos LDP posteriores, eliminando así la necesidad de túneles de respaldo RSVP-TE para la cobertura de respaldo.

Para calcular la ruta de copia de seguridad de LFA remota, el protocolo IS-IS determina el nodo LFA remoto de la siguiente manera:

  1. Calcula primero la ruta inversa más corta desde el enrutador adyacente a través del vínculo protegido de un PLR. La ruta más corta inversa utiliza primero la métrica de vínculo entrante en lugar de la métrica de vínculo saliente para llegar a un nodo vecino.

    El resultado es un conjunto de vínculos y nodos, que es la ruta más corta desde cada nodo hoja hasta el nodo raíz.

  2. Calcula la ruta más corta primero (SPF) en los enrutadores adyacentes restantes para encontrar la lista de nodos a los que se puede acceder sin atravesar el vínculo que se está protegiendo.

    El resultado es otro conjunto de vínculos y nodos en la ruta más corta desde el nodo raíz a todos los nodos hoja.

  3. Determina los nodos comunes a partir de los resultados anteriores, Estos nodos son los LFA remotos.

IS-IS escucha las etiquetas anunciadas para las rutas LDP. Para cada ruta de LDP anunciada, IS-IS comprueba si contiene un LDP suministrado en el próximo salto. Si la ruta IS-IS correspondiente tiene un próximo salto de reserva, IS-IS ejecuta la política de copia de seguridad y agrega una ruta de seguimiento adicional con la ruta de conmutación de etiquetas LDP correspondiente en el próximo salto como el siguiente salto de reserva. Si no hay próximos saltos de copia de seguridad, LDP crea un túnel LDP dinámico hacia el LFA remoto y LDP establece una adyacencia específica entre el nodo LFA remoto y el nodo PLR. Esta ruta de copia de seguridad tiene dos etiquetas LDP. La etiqueta superior es la ruta IS-IS, que indica la ruta de respaldo desde el PLR hasta la ruta LFA remota. La etiqueta inferior es la ruta de conmutación de etiquetas LDP MPLS que indica la ruta para llegar al destino final desde el LFA remoto. Cuando una sesión de LDP deja de funcionar y un túnel remoto ya no está disponible, IS-IS cambia todas las rutas que han estado utilizando este túnel LDP de reserva.

Nota:

Actualmente, Junos OS solo admite LSP de transporte IPv4. Si necesita reutilizar los LSP de transporte IPv4 para redes IGP IPv6, agregue una etiqueta NULL explícita IPv6 a la pila de etiquetas de la ruta de seguimiento. El sistema convierte automáticamente el LSP IPv4 en un LSP IPv6.

LDP puede ser vulnerable por una adyacencia dirigida automáticamente, y estas amenazas se pueden mitigar utilizando todos o algunos de los siguientes mecanismos:

  • Los LFA remotos que están a varios saltos de distancia utilizan mensajes de saludo extendidos para indicar que están dispuestos a establecer una sesión de LDP específica. Un LFA remoto puede reducir la amenaza de los saludos extendidos falsificados filtrándolos y aceptando solo aquellos que se originan en fuentes permitidas por una lista de acceso o filtro.

  • Es necesario autenticar con TCP-MD5 todas las sesiones LDP dirigidas automáticamente en el dominio IGP/LDP dado mediante grupos de aplicación o autenticación de nivel global de LDP.

  • Como medida de seguridad adicional, la reparación o los enrutadores de punto de conexión de túnel remoto deben asignarse desde un conjunto de direcciones a las que no se puede acceder desde fuera del dominio de enrutamiento.

Documentación relacionada