HCIE-广域承载解决方案专题03-Segment Routing隧道保护与检测技术

HCIE-广域承载解决方案专题03-Segment Routing隧道保护与检测技术+应用场景+基础配置

1 SR-MPLS故障保护技术概览

TE隧道故障保护有两种思路局部保护端到端保护。SR-MPLS TE沿用此思路,并在此基础上增强

image-20230908143423107

  • 局部保护: 切换快、值保护链路和节点
    • TI-LFA FRR
    • Anycast FRR
  • 端到端保护: 依赖检测机制快速切换、保护端到端路径
    • Hot-Standby
    • VPN FRR

1.1 TI-LFA FRR

TI-LFA(Topology-Independent Loop-free Alternate)FRR能为Segment Routing隧道提供链路及节点的保护。当某处链路或节点故障时,流量会快速切换到备份路径继续转发.

TI-LFA FRR可以同时保护链路故障和节点故障。由于节点故障的保护路径一定可以保护链路故障,所以TI-LFA优先计算节点保护

image-20230908143734585

简单来说, 传统LFA会在故障前提前计算好备份路径, 出现故障时会立刻切换对应的备份路径, 但是下一跳设备没有备份路径, 可能会导致LFA设备与下一跳设备之间出现环路; TI-LFA则用路径控制解决了环路产生问题.0

1.1.1 TI-LFA FRR的应用场景与配置

为了实现整体路径的保护,需要在多个节点IGP中使能TI-LFA FRR局部保护

image-20230908143832453

1.1.2 TI-LFA FRR的局限

对于SR隧道中的指定必经节点(首节点、尾节点、路径约束节点)故障,TI-LFA无法生成保护。如图SR转发路径中,对于作为必经节点的R1、R4和R6,TI-LFA无法生成保护路径

image-20230908143949230

1.1.3 TI-LFA FRR配置

以ISIS为例

isis 1 
	frr
		loop-free-alternate level-2
		ti-lfa level-2
		qu
	qu

1.2 Anycast FRR

通过Anycast FRR可以实现对于指定节点的故障保护。
如图让R4和R5发布相同的SID,这个SID就是Anycast SID。此时Anycast SID会在IGP中发布,其下一跳会指向路径中最近的节点,例如R4,那么R4被称为Anycast SID的最优节点,R5则是备份节点

简单来说, 可以理解为类似VRRP或者堆叠/集群的方式, 通过备份必经节点保证网络需求.

image-20230908144045279

1.2.1 Anycast FRR故障保护

  • Anycast FRR构造一个虚拟节点发布SID,然后采用TI-LFA算法计算虚拟节点的备份下一跳
  • 此时如果R4节点故障,TI-LFA根据计算的备份路径,通过R5继续转发

image-20230908144115342

1.3 Hot-Standby

  • SR的Hot-Standby就是通过控制器算出一条与主路径完全不同的备份路径,实现端到端的路径保护。
  • SR-MPLS Policy由主候选路径和备候选路径形成Hot-Standby, 主、备候选路径属于一个SR-MPLS Policy

image-20230908144201769

1.3.1 SR-MPLS Policy Hot-Standby原理

image-20230908144221702

1.3.2 Hot-Standby的局限

Hot-Standby能够保护端到端路径,但是不能解决隧道宿端PE设备的故障。例如本例中PE1会同时收到PE2和PE3发布的路由,并且优选PE2。如果PE2发生故障,只能通过路由收敛来恢复业务

image-20230908144300096

1.4 VPN FRR

VPN FRR利用基于VPN的私网路由快速切换技术。通过预先在源端PE中设置指向主用PE和备用PE的主备用转发路径,并结合PE故障快速探测,旨在解决CE双归PE的MPLS VPN网络中,PE节点故障导致的端到端业务收敛时间长的问题

image-20230908144331373

1.4.1 VPN FRR故障切换示例

image-20230908144400877

1.5 SR防微环简介

IGP协议的链路状态数据库各节点独立计算,导致其在无序收敛时可能会产生环路。这种环路会在转发路径上所有设备都完成收敛之后消失,此类暂态的环路被称为微环(Micro Loop)

TI-LFA功能正常情况如图,P1感知到P2节点发生故障后进入TI-LFA FRR切换流程。

向报文中插入Repair List<16005,16057>,通过16005转发到16006

image-20230908144439978

1.5.1 SR本地正切防微环

设备的收敛时间不同导致微环:例如P1路由收敛后不再携带Repair List。此时查询到达16006路由下一跳节点为P3。如果P3此时未完成收敛,其指向16006的下一跳依然为P1,产生本地正切环路。

启用防微环后P1启动定时器T1,期间报文依旧按照TI-LFA策略<16005,16057>转发,等待其他节点收敛

image-20230908144503469

1.5.2 SR本地回切防微环

在故障恢复后路径回切时也可能出现微环:例如此时P2故障恢复,如果P1未完成收敛将流量转发给P3,但是P3已完成收敛会将流量转发回P1,形成本地回切微环。

启用防微环,P3完成收敛后计算出防微环Segment List为<16002, 16024>。PE1将报文转发P1,此时由于P1未完成收敛将报文转发给P3。P3将插入此防微环Segment List,从P1转发给P2最后到PE2

image-20230908144658491

1.5.3 SR远端防微环

在路径切换过程中,不仅可能导致本地微环,也可能引起远端节点之间形成环路,即远端微环
如图PE2和PE3之间链路故障,如果P2率先完成收敛而P1未完成收敛,报文在P1-P2间将形成环路。

使能远端防微环后,P2收敛后针对访问PE3的报文计算防微环Segment List<16003,16037>。此时即使P1为未完成收敛,依然会将流量从P3转发到PE3

image-20230908144742342

1.5.4 TI-LFA与防微环的对比

  • TI-LFA
    • 目的:为目的地址在本地计算备份路径
    • 触发条件:主路径链路/节点故障
  • 防微环
    • 目的:防止主路径更新时候的临时环路
    • 触发条件:主路径信息更新

2 SBFD

2.1 SBFD简介

BFD进行大量链路检测时,其状态机的协商时间会变长,不适合Segement Routing。SBFD(Seamless Bidirectional Forwarding Detection)是BFD的一种简化机制,它简化了BFD的状态机,缩短了协商时间,提高了整个网络的灵活性,能够支撑SR隧道检测

image-20230908144940509

2.2 SBFD工作原理

image-20230908150934201

  • 在链路检测前,两端互相发送SBFD控制报文通告SBFD描述信息
  • 链路检测时,发起端主动发送SBFD Echo回声报文,反射端根据本端情况环回此报文。发起端根据反射报文决定本端状态

image-20230908151004552

  • 反射端构造的环回报文携带两种报文状态字段,Admin Down或者Up
  • 起端收到反射端发回的Up报文则将本地状态置为Up。发起端收到反射端返回Admin Down报文,则将状态置为Down, 发起端在定时器超时前收不到返回报文,也将状态置为Down

3 Segment Routing的典型应用场景

3.1 单域SR-MPLS BE

image-20230908151205695

  • SR-MPLS BE适用于无严格要求、无需路径规划的业务
  • 下游路由器向上游分配SID, 形成SR-MPLS转发路径
  • 控制面使用MP-BGP发布私网业务标签
  • 另外, SR-MPLS BE在生产网络中可以作为SR-MPLS TE业务的备份方案

3.2 单域SR-MPLS TE

image-20230908151523810

SR-MPLS TE适用于有严格SLA要求、需要路径规划的场景,例如DCI(Data Center Interconnection)
SR标签由IGP协议发布。控制器使用BGP-LS收集网络拓扑、网络带宽、时延和标签等属性

控制器根据约束条件计算出符合业务需求的转发路径,然后将算路结果通过PCEP或NETCONF下发到转发器。也可由工程师手工配置严格转发路径,然后通过PCEP将路径托管到控制器

3.3 单域SR-MPLS Policy

  • 跨自治域访问场景下,推荐由控制集中计算然后下发端到端SR-MPLS TE
  • 在ASBR之间配置BGP EPE(Egress Peer Engineering),互相分配BGP Peer SID
  • 然后ASBR通过BGP-LS上报BGP EPE生成的标签和网络拓扑信息

image-20230908151545238

  • 在E2E SR-MPLS TE隧道创建之前,控制器需要先完成域内SR-MPLS TE隧道创建。
  • 如需减少标签深度,可以为域内隧道配置Binding SID。
  • 如图PE1和PE2到达ASBR的隧道分别配置BSID 1000和2000

image-20230908151706720

  • 控制器全局计算,将路径标签整合生成标签栈下发给转发器。
  • 如图所示,PE1到PE2的标签栈为<1000,304,2000>。
  • 标签栈中1000和2000为BSID,在域内转发时会替换为域内的SR标签栈

image-20230908151726988

4 Segment Routing的基础配置

4.1 SR-MPLS BE

image-20230908153554576

组网需求:

  • PE1和PE2设备各有一个CE属于VPN实例vpna
  • 在骨干网络中部署L3VPN迭代SR-MPLS BE隧道,使得CE1和CE2的loopback1接口可以相互通信
  • 在ensp模拟时, PE、P设备需要使用NE40E设备

配置思路

  1. 完成设备接口IP地址及OSPF配置
  2. 骨干网上使能MPLS,配置Segment Routing,建立SR LSP
  3. 在PE1与PE2之间建立MP-BGP对等体关系
  4. PE上使能VPN实例IPv4地址族
  5. 在PE设备上配置隧道选择策略,优选SR LSP
  6. 结果验证

配置演示

image-20230908153731757

image-20230908153901683

image-20230908153921767

image-20230908154023493

image-20230908154039115

image-20230908154044920

4.2 SR-MPLS TE

image-20230908154853815

组网需求:

  • PE1和PE2设备各有一个CE属于VPN实例vpna
  • 在骨干网络中部署L3VPN迭代SR-MPLS TE隧道,使得CE1和CE2的loopback1接口可以相互通信

配置思路:

  1. 完成设备接口IP地址及OSPF配置
  2. 骨干网上使能MPLS,配置Segment Routing,建立SR-MPLS TE LSP
  3. 在PE1与PE2之间建立MP-BGP对等体关系
  4. PE上使能VPN实例IPv4地址族
  5. PE之间配置MP-IBGP交换路由信息
  6. 在PE设备上配置隧道选择策略,优选SR-MPLS TE

配置演示

image-20230908155055412

image-20230908155111986

image-20230908155120492

image-20230908155137077

image-20230908155153815

image-20230908155201557

4.3 SR-MPLS Policy

image-20230908155217804

组网需求:

  • PE1和PE2设备各有一个CE属于VPN实例vpna
  • 在骨干网络中部署L3VPN迭代静态SR-MPLS Policy,使得CE1和CE2的loopback1接口可以相互通信

配置思路:

  1. 骨干网上使能MPLS,配置SR-MPLS Policy
  2. 在PE1与PE2之间建立MP-BGP对等体关系
  3. PE上使能VPN实例IPv4地址族
  4. 在PE设备为路由配置扩展团体属性Color,并交换路由信息
  5. 在PE设备上配置隧道选择策略

配置演示

image-20230908155343443

image-20230908155348926

image-20230908155357080

image-20230908155410907

image-20230908155424448

image-20230908155431572

上述三个配置都没有以代码块的形式编写出来, 原因还是现在SR-MPLS已经被SRv6取代, 退一步变成了一个过渡方案, 加上eNSP没有SR的控制器, 导致SR-MPLS Policy和部分SR-MPLS TE实验无法完成, 所以我觉得提供代码块形式的命令有些没必要了, 有需要可以看看

posted @ 2023-09-27 11:25  Qurare  阅读(662)  评论(0编辑  收藏  举报