Descripción de LFA remota a través de túneles LDP en redes IS-IS
En una red IS-IS, una alternativa sin bucle (LFA) es un vecino conectado directamente que proporciona rutas de respaldo precomputadas a los destinos a los que se puede llegar a través del vínculo protegido en el punto de reparación local (PLR). Una LFA remota no está directamente conectada al PLR y proporciona rutas de respaldo precomputadas mediante túneles LDP creados dinámicamente al nodo LFA remoto. El PLR usa esta ruta de copia de seguridad de LFA remota cuando se produce un error en el vínculo principal. El objetivo principal de la LFA remota es aumentar la cobertura de respaldo para las redes IS-IS y proporcionar protección para los anillos metropolitanos de capa 1.
Sin embargo, las LFA no proporcionan una cobertura de respaldo completa para redes Metro Ethernet basadas en IS-IS, que a menudo se despliegan en una topología de anillo. Para superar esta limitación, los túneles de respaldo de ingeniería de tráfico (RSVP-TE) del Protocolo de reserva de recursos del protocolo de reserva de recursos se utilizan comúnmente para extender la cobertura de la copia de seguridad. Sin embargo, la mayoría de los proveedores de red ya implementaron LDP como el protocolo de configuración de túnel MPLS y no quieren implementar el protocolo RSVP-TE simplemente para cobertura de respaldo. LDP abre automáticamente túneles de transporte a todos los destinos potenciales de una red IS-IS y, por lo tanto, es el protocolo preferido. El LDP existente implementado para la configuración del túnel MPLS se puede reutilizar para la protección de las redes IS-IS y los destinos LDP subsiguientes, lo que elimina la necesidad de túneles de respaldo RSVP-TE para la cobertura de respaldo.
Para calcular la ruta de copia de seguridad de LFA remota, el protocolo IS-IS determina el nodo LFA remoto de la siguiente manera:
-
Calcula primero la ruta más corta inversa desde el enrutador adyacente a través del vínculo protegido de un PLR. La ruta más corta inversa primero usa la métrica del vínculo entrante en lugar de la métrica de vínculo saliente para llegar a un nodo vecino.
El resultado es un conjunto de vínculos y nodos, que es la ruta más corta desde cada nodo leaf hasta el nodo raíz.
-
Calcula la primera ruta más corta (SPF) en los enrutadores adyacentes restantes para encontrar la lista de nodos a los que se puede llegar sin atravesar el vínculo que está protegido.
El resultado es otro conjunto de vínculos y nodos en la ruta más corta desde el nodo raíz hasta todos los nodos leaf.
-
Determina los nodos comunes a partir de los resultados anteriores, Estos nodos son los LFA remotos.
IS-IS escucha las etiquetas anunciadas para las rutas LDP. Para cada ruta de LDP anunciada, IS-IS comprueba si contiene un LDP suministrado el siguiente salto. Si la ruta IS-IS correspondiente tiene un siguiente salto de copia de seguridad, IS-IS ejecuta la política de respaldo y agrega una ruta de seguimiento adicional con la ruta LDP conmutada por etiqueta correspondiente siguiente salto como siguiente salto de copia de seguridad. Si no hay próximos saltos de copia de seguridad, LDP crea un túnel LDP dinámico para la LFA remota y LDP establece una adyacencia de destino entre el nodo LFA remoto y el nodo PLR. Esta ruta de respaldo tiene dos etiquetas LDP. La etiqueta superior es la ruta IS-IS, que indica la ruta de copia de seguridad desde el PLR hasta la ruta LFA remota. La etiqueta inferior es la ruta de conmutación de etiquetas LDP MPLS que indica la ruta para llegar al destino final desde la LFA remota. Cuando una sesión de LDP falla y un túnel remoto ya no está disponible, IS-IS cambia todas las rutas que han estado usando este túnel de LDP de respaldo.
Actualmente, Junos OS solo admite LSP de transporte IPv4. Si necesita reutilizar LSP de transporte IPv4 para redes IPv6 IGP, agregue una etiqueta NULL explícita IPv6 a la pila de etiquetas de la ruta de seguimiento. El sistema convierte automáticamente el LSP IPv4 en un LSP IPv6.
El LDP puede ser vulnerable por una adyacencia dirigida automáticamente, y estas amenazas se pueden mitigar mediante todos o algunos de los siguientes mecanismos:
-
Las LFA remotas que están a varios saltos de distancia usan mensajes de saludo extendidos para indicar que están dispuestos a establecer una sesión de LDP dirigida. Una LFA remota puede reducir la amenaza de falsificar saludos extendidos mediante el filtrado y aceptando solo aquellos que se originan en fuentes permitidas por una lista de acceso o filtros.
-
Existe la necesidad de autenticar con TCP-MD5 todas las sesiones de LDP de destino automático en el dominio de IGP/LDP dado mediante el uso de grupos de aplicación o autenticación de nivel global LDP.
-
Como medida de seguridad adicional, los enrutadores de punto de conexión de túnel remoto o de reparación se deben asignar desde un conjunto de direcciones que no se puedan acceder desde fuera del dominio de enrutamiento.