- 論壇徽章:
- 0
|
1. BFD應(yīng)用于IPv4/IPv6單跳環(huán)境
在IPV4/V6的單跳環(huán)境中��,部署B(yǎng)FD來檢測轉(zhuǎn)發(fā)路徑的連通性��,其基本工作原理相同���,這里介紹和具體應(yīng)用相關(guān)的幾個問題,首先是如何區(qū)分一個會話����,其次是BFD和Echo報文使用什么封裝,最后介紹一下單跳環(huán)境下的安全機制����。
1.1 會話區(qū)分
在單跳環(huán)境中,會話區(qū)分比較簡單�����,這是因為BFD協(xié)議規(guī)定����,對于同一個數(shù)據(jù)協(xié)議(如IPV4或IPV6),不管其中有多少應(yīng)用(如BGP�、OSPF����、IS-IS等)需要使用BFD提供的檢測服務(wù)����,在同一個邏輯或物理接口,兩個系統(tǒng)之間都只能建立一個BFD會話��。這樣一來�����,對于收到的BFD會話初始報文��,雖然其“Your Discirminator”為0�����,但系統(tǒng)根據(jù)報文封裝�、接收報文的接口就可以區(qū)分出BFD報文屬于哪個會話。
使用同一個會話的各種應(yīng)用使用相同的參數(shù)��,這樣�,如果各個應(yīng)用要求的故障檢測時間不一樣,需要系統(tǒng)自身設(shè)計策略處理這種情況,一種可行的策略是:選取所有應(yīng)用中檢測時間最短的參數(shù)作為報文發(fā)送間隔���,對于要求檢測時間更長的應(yīng)用�����,可以對來自BFD的通知滯后反應(yīng)����。
1.2 BFD報文封裝
在IPV4單跳環(huán)境中����,BFD控制報文必須使用UDP封裝����,目的端口必須是3784,源端口在49152和65535之間�。雖然BFD會話并不由源端口區(qū)分,而是由“Your Discriminator”區(qū)分��,但為了實現(xiàn)的高效��,同一個會話必須使用相同的源端口�。如果超過16384個會話同時激活,源端口可以重用����,但應(yīng)該均勻重用各個源端口(比如使用Hash)���。某些BFD實現(xiàn)可能使用UDP源端口來區(qū)分BFD會話,但最終的區(qū)分還是應(yīng)該使用“Your Discriminator”����。BFD報文的源IP地址和目的IP地址必須包含在發(fā)送BFD報文的接口的子網(wǎng)地址中。
IPV4單跳環(huán)境中�����,BFD的回聲報文也必須使用UDP封裝��,目的端口為3785�����,源端口可由具體的應(yīng)用來確定�。Echo報文的目的地址的選擇標準是必須使對端把報文沿原路回送,源地址的選擇標準是不會導(dǎo)致對端發(fā)送ICMP重定向報文�。Echo報文的其他內(nèi)容不作具體要求,只要能區(qū)分出Echo屬于哪個Session即可���。
IPV6環(huán)境中��,BFD報文和回聲報文的封裝和各種要求和IPV4環(huán)境中一樣��,唯一的不同是用IPV6封裝替換了IPV4封裝���。
1.3 安全考慮
在單跳環(huán)境中�,在不啟用認證的情況下���,BFD采用了一種簡單的輕載安全機制:所有BFD控制報文在發(fā)送時���,其TTL或Hop count必須為255.如果接收到的BFD控制報文���,其TTL或Hop count不為255��,那么必須丟棄���,這種機制在一定程度上避免了跨網(wǎng)段的偽造BFD報文攻擊,提供了一定安全性����,同時避免了使用認證時對設(shè)備處理造成的負荷。
如果使用了認證,發(fā)送報文時TTL或Hop count也必須為255�,不過接收報文時沒有強制要求TTL或Hop count不為255必須丟棄。
在IPV4和IPV6隧道情況下����,如果隧道不改變TTL或Hop count,那么可使用不加認證的BFD來提供一定的安全性�,否則應(yīng)該使用認證機制。
2. BFD應(yīng)用于IPv4/IPv6多跳環(huán)境
多跳環(huán)境和單跳環(huán)境相比�����,有一定不同����。首先是單跳環(huán)境下的使用跳數(shù)來判斷的輕載安全機制不能使用,保證安全性必須使用認證字段��。
其次�,在IPV4/IPV6多跳環(huán)境中,BFD報文的封裝稍有不同�,雖然也使用UDP封裝,不過目的端口必須使用4784.
最大的不同是區(qū)分會話的方式不一樣�。我們知道,一個會話為檢測一條轉(zhuǎn)發(fā)路徑的連通性而建立�����,在多跳環(huán)境中,不同轉(zhuǎn)發(fā)路徑之間可能有不同程度的重疊��,包括第一跳接口和最后一跳接口都有可能重疊�。因此,象單跳環(huán)境那樣使用接口區(qū)分不太現(xiàn)實����。BFD在多跳環(huán)境下有兩種方式來區(qū)分會話:
l 一種是只關(guān)心源地址和目的地址之間的轉(zhuǎn)發(fā)路徑是否連通,不關(guān)心中間經(jīng)過的節(jié)點���。這種情況下���,當收到BFD會話初始報文(“Your Discirminator”為0)時,使用源和目的地址來區(qū)分屬于哪個會話�����。
l 另一種是使用帶外方式來預(yù)先獲取discriminator.這樣在BFD會話初始報文中就會攜帶非0的“Your Discirminator”�����,使用“Your Discirminator”就可以直接區(qū)分會話���。BFD for MPLS就使用這種方式���,通過使用LSP-ping[RFC4379]來預(yù)先獲取Discriminator.這種方式的缺點是需要額外的組件來預(yù)先獲取discriminator.
另外,需要討論一下單向鏈路上的BFD部署的問題��。單向鏈路就象交通規(guī)則中“單行道”�����,在該鏈路上數(shù)據(jù)是單向流通的�,不過可通過其他路徑作回程。因為回程路徑可能是多跳的�,所以單向鏈路上BFD的部署也被納入多跳范疇。單向路徑可以用一種比較巧妙的方法解決會話區(qū)分問題�,因為在單向鏈路上是單跳的,所以在該方向上是可以用接口區(qū)分會話的�,因此,只要要避免在區(qū)分出會話之前使用可能為多跳的回程路徑發(fā)送BFD報文����,就可以解決單向鏈路及其回程路徑的會話區(qū)分問題。這正好可以利用BFD的“角色”特性:設(shè)定單向鏈路的發(fā)送方工作在Active角色�����,接收方工作在Passive角色。那么對于接收方來說����,收到發(fā)送方的BFD報文,通過接收報文的接口就可區(qū)分會話����,同時也確認了“Your Discirminator”字段,這時才開始從回程路徑發(fā)送BFD報文�����,因為這時已經(jīng)確認了“Your Discirminator”�,所以對端也可以區(qū)分會話。
最后�����,需要說明一下BFD在MPLS網(wǎng)絡(luò)中作多跳部署時��,和FRR的共存問題�。如果BFD的檢測時間比FRR切換時間短,那么即使FRR成功切換到了備份路徑�,BFD還會報錯�,容易引起錯誤處理����。所以BFD協(xié)議規(guī)定���,在這種情況下BFD的檢測時間應(yīng)該比FRR切換時間長���。
不過,BFD可代替RSVP Hello用于FRR時的鄰居故障檢測����,這時BFD作單跳部署,不必把BFD檢測時間設(shè)置為比FRR切換時間長��。原因如下:對于鏈路down����,BFD上報故障時能攜帶故障原因,所以設(shè)備對于BFD報的鏈路down和鏈路層上報的鏈路down不會重復(fù)處理����;至于鏈路單通、節(jié)點故障則可用BFD檢測到�����,并觸發(fā)FRR. |
|
免費注冊
發(fā)表于 2008-11-01 21:50