Configuração da detecção de falhas do OSPF usando BFD
Entendendo o BFD para OSPF
O protocolo de detecção de encaminhamento bidirecional (BFD) é um mecanismo simples de olá que detecta falhas em uma rede. A BFD trabalha com uma ampla variedade de ambientes de rede e topologias. Um par de dispositivos de roteamento trocam pacotes BFD. Olá, os pacotes são enviados em um intervalo específico e regular. Uma falha no vizinho é detectada quando o dispositivo de roteamento para de receber uma resposta após um intervalo especificado. Os temporizantes de detecção de falhas de BFD têm prazos mais curtos do que os mecanismos de detecção de falhas do OSPF, por isso fornecem detecção mais rápida.
Os temporizador de detecção de falhas de BFD são adaptativos e podem ser ajustados para serem mais rápidos ou mais lentos. Quanto menor o valor do temporizour de detecção de falhas de BFD, mais rápido será a detecção de falhas e vice-versa. Por exemplo, os timers podem se adaptar a um valor mais alto se a adjacência falhar (ou seja, o temporizador detecta falhas mais lentamente). Ou um vizinho pode negociar um valor mais alto por um temporizador do que o valor configurado. Os tempores se adaptam a um valor mais alto quando uma aba de sessão BFD ocorre mais de três vezes em um período de 15 segundos. Um algoritmo de back-off aumenta o intervalo de recebimento (Rx) em dois se a instância local de BFD for a razão para a aba da sessão. O intervalo de transmissão (Tx) é aumentado em dois se a instância BFD remota for a razão para a aba da sessão. Você pode usar o clear bfd adaptation comando para devolver os temporizador de intervalo BFD aos seus valores configurados. O clear bfd adaptation comando é sem impacto, o que significa que o comando não afeta o fluxo de tráfego no dispositivo de roteamento.
Os switches EX4600 não oferecem suporte a valores mínimos de intervalo de menos de 1 segundo.
O BFD é compatível com o OSPFv3 no Junos OS Release 9.3 e posterior.
Para firewalls da Série SRX de filial, recomendamos 1000 ms como o intervalo mínimo de tempo keepalive para pacotes BFD.
Você pode configurar as seguintes configurações de protocolo BFD:
detection-time threshold— Limite para a adaptação do tempo de detecção. Quando o tempo de detecção de sessão de BFD se adapta a um valor igual ou maior do que o limiar configurado, uma única armadilha e uma única mensagem de log do sistema são enviadas.full-neighbors-only— Capacidade de estabelecer sessões de BFD apenas para vizinhos OSPF com adjacência completa do vizinho. O comportamento padrão é estabelecer sessões de BFD para todos os vizinhos osPF. Essa configuração está disponível no Junos OS Release 9.5 e posterior.minimum-interval— Transmissão mínima e intervalo de recebimento para detecção de falhas. Essa configuração configura tanto o intervalo mínimo após o qual o dispositivo de roteamento local transmite pacotes de olá e o intervalo mínimo após o qual o dispositivo de roteamento espera receber uma resposta do vizinho com o qual estabeleceu uma sessão de BFD. Ambos os intervalos estão em milissegundos. Você também pode especificar o mínimo de transmissão e receber intervalos separadamente usando as declarações eminimum-receive-intervalastransmit-interval minimum-intervaldeclarações.Nota:BFD é um protocolo intensivo que consome recursos do sistema. Especificar um intervalo mínimo para BFD de menos de 100 ms para sessões baseadas em mecanismo de roteamento e 10 ms para sessões distribuídas de BFD pode causar flappings BFD não desejados.
Dependendo do seu ambiente de rede, o seguinte pode ser aplicado:
Para implantações de rede em grande escala com um grande número de sessões de BFD, especifique um intervalo mínimo de nada menos que 500 ms. Recomenda-se um intervalo de 1000 ms para evitar problemas de instabilidade.
Para que as sessões de BFD permaneçam ativas durante um evento de switchover do Mecanismo de Roteamento quando o roteamento ativo ininterrupto (NSR) for configurado, especifique um intervalo mínimo de 2500 ms para sessões baseadas em mecanismo de roteamento. Sem o NSR, as sessões baseadas em mecanismo de roteamento podem ter um intervalo mínimo de 100 ms.
-
Para sessões distribuídas de BFD com NSR configurado, as recomendações de intervalo mínimo são inalteradas e dependem apenas da implantação da sua rede.
-
O Junos OS 21.2R1 e posteriormente suportam sessões distribuídas de OSPFv3 e ISIS BFD com endereços locais de enlace IPv6 em roteadores da série MX que executam MPCs de 1 a 9 (não é suportado no MPC 10 ou MPC 11). O padrão para BFD local do link IPv6 é o modo em linha.
-
A BFD não é distribuída antes do Junos 21.2 (porque para o OSPFv3, a BFD é baseada no mecanismo de roteamento).
Em um único switch de QFX5100, ao adicionar um módulo de expansão QFX-EM-4Q, especifique um intervalo mínimo superior a 1000 ms.
minimum-receive-interval— Intervalo mínimo de recebimento para detecção de falhas. Essa configuração configura o intervalo mínimo de recebimento, em milissegundos, após o qual o dispositivo de roteamento espera receber um pacote de olá de um vizinho com o qual estabeleceu uma sessão de BFD. Você também pode especificar o intervalo mínimo de recebimento usando aminimum-intervaldeclaração.multiplier— Multiplicador para pacotes de olá. Essa configuração configura o número de pacotes de olá que não são recebidos por um vizinho, o que faz com que a interface de origem seja declarada baixa. Por padrão, três pacotes de olá perdidos fazem com que a interface de origem seja declarada para baixo.no-adaptation— Desativa a adaptação do BFD. Essa configuração desativa as sessões de BFD da adaptação às condições de rede em constante mudança. Essa configuração está disponível no Junos OS Release 9.0 e posterior.Nota:Recomendamos que você não desabile a adaptação ao BFD a menos que seja preferível não ter adaptação de BFD em sua rede.
transmit-interval minimum-interval— Intervalo mínimo de transmissão para detecção de falhas. Essa configuração configura o intervalo mínimo de transmissão, em milissegundos, no qual o dispositivo de roteamento local transmite pacotes de olá para o vizinho com o qual estabeleceu uma sessão de BFD. Você também pode especificar o intervalo mínimo de transmissão usando aminimum-intervaldeclaração.transmit-interval threshold— Limite para a adaptação do intervalo de transmissão de sessão de BFD. Quando o intervalo de transmissão se adapta a um valor maior que o limiar, uma única armadilha e uma única mensagem de log do sistema são enviadas. O valor limite deve ser maior do que o intervalo mínimo de transmissão. Se você tentar confirmar uma configuração com um valor de limite menor do que o intervalo mínimo de transmissão, o dispositivo de roteamento exibe um erro e não aceita a configuração.version— versão BFD. Essa configuração configura a versão BFD usada para detecção. Você pode configurar explicitamente a versão BFD 1, ou o dispositivo de roteamento pode detectar automaticamente a versão BFD. Por padrão, o dispositivo de roteamento detecta automaticamente a versão BFD automaticamente, que é 0 ou 1.
Você também pode rastrear as operações de BFD para fins de solução de problemas.
Exemplo: Configuração do BFD para OSPF
Este exemplo mostra como configurar o protocolo de detecção de encaminhamento bidirecional (BFD) para OSPF.
Requisitos
Antes de começar:
Configure as interfaces do dispositivo. Consulte a biblioteca de interfaces de rede do Junos OS para dispositivos de roteamento.
Configure os identificadores do roteador para os dispositivos em sua rede OSPF. Veja exemplo: configuração de um identificador de roteador OSPF.
Controle OSPF designado para eleição de roteador. Veja exemplo: Controle da eleição de roteador designado pelo OSPF.
Configure uma rede OSPF de área única. Veja exemplo: configuração de uma rede OSPF de área única.
Configure uma rede OSPF multiárea. Veja exemplo: Configuração de uma rede OSPF multiárea.
Configure uma rede OSPF multiárea. Veja exemplo: Configuração de uma rede OSPF multiárea.
Visão geral
Uma alternativa para ajustar o intervalo DEPF e as configurações de intervalo inativo para aumentar a convergência de rota é configurar o BFD. O protocolo BFD é um mecanismo simples de olá que detecta falhas em uma rede. Os temporizantes de detecção de falhas de BFD têm limites de temporizantes mais curtos do que os mecanismos de detecção de falhas do OSPF, proporcionando assim uma detecção mais rápida.
A BFD é útil em interfaces que não conseguem detectar falhas rapidamente, como interfaces Ethernet. Outras interfaces, como as interfaces SONET, já têm detecção integrada de falhas. Configurar o BFD nessas interfaces é desnecessário.
Você configura o BFD em um par de interfaces OSPF vizinhas. Ao contrário das configurações de intervalo sem intervalo e intervalo os OSPF, você não precisa habilitar o BFD em todas as interfaces em uma área de OSPF.
Neste exemplo, você permite a detecção de falhas incluindo a bfd-liveness-detection declaração na interface osPF vizinha fe-0/1/0 na área 0.0.0.0 e configura o intervalo de troca de pacotes BFD para 300 milissegundos, configure 4 como o número de pacotes de olá perdidos que fazem com que a interface de origem seja declarada para baixo, e configure sessões de BFD apenas para vizinhos OSPF com adjacência completa do vizinho, incluindo as seguintes configurações:
somente para vizinhos completos — no Junos OS Release 9.5 e posterior, configura o protocolo BFD para estabelecer sessões de BFD apenas para vizinhos OSPF com adjacência completa do vizinho. O comportamento padrão é estabelecer sessões de BFD para todos os vizinhos osPF.
intervalo mínimo — configura o intervalo mínimo, em milissegundos, após o qual o dispositivo de roteamento local transmite pacotes olá, bem como o intervalo mínimo após o qual o dispositivo de roteamento espera receber uma resposta do vizinho com a qual estabeleceu uma sessão de BFD. Você pode configurar um número na faixa de 1 a 255.000 milissegundos. Você também pode especificar o mínimo de transmissão e receber intervalos separadamente usando o intervalo mínimo e
minimum-receive-intervalas declarações do intervalo de transmissão.Nota:BFD é um protocolo intensivo que consome recursos do sistema. Especificar um intervalo mínimo para BFD de menos de 100 ms para sessões baseadas em mecanismo de roteamento e 10 ms para sessões distribuídas de BFD pode causar flappings BFD não desejados.
Dependendo do seu ambiente de rede, essas recomendações adicionais podem ser aplicadas:
Para implantações de rede em grande escala com um grande número de sessões de BFD, especifique um intervalo mínimo de nada menos que 500 ms. Recomenda-se um intervalo de 1000 ms para evitar problemas de instabilidade.
Nota:Para o processo ofuscado, o conjunto de intervalo de tempo de detecção é inferior a 300 ms. Se houver um processo de alta prioridade, como o ppmd em execução no sistema, a CPU pode gastar tempo no processo ppmd em vez do processo bfdd.
Para firewalls da Série SRX de filial, recomendamos 1000 ms como o intervalo mínimo de tempo keepalive para pacotes BFD.
Para implantações de rede de grande escala com um grande número de sessões de BFD, entre em contato com o suporte ao cliente da Juniper Networks para obter mais informações.
Para que as sessões de BFD permaneçam ativas durante um evento de switchover do Mecanismo de Roteamento quando o roteamento ativo ininterrupto (NSR) for configurado, especifique um intervalo mínimo de 2500 ms para sessões baseadas em mecanismo de roteamento. Para sessões distribuídas de BFD com NSR configurado, as recomendações de intervalo mínimo são inalteradas e dependem apenas da implantação da sua rede.
multiplicador — configura o número de pacotes de olá não recebidos por um vizinho que faz com que a interface de origem seja declarada baixa. Por padrão, três pacotes de olá perdidos fazem com que a interface de origem seja declarada para baixo. Você pode configurar um valor na faixa de 1 a 255.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente o protocolo BFD para OSPF, copiar os seguintes comandos, cole-os em um arquivo de texto, remover quaisquer quebras de linha, alterar quaisquer detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos no CLI no nível de hierarquia [editar] e então entrar no commit modo de configuração.
[edit] set protocols ospf area 0.0.0.0 interface fe-0/0/1 bfd-liveness-detection minimum-interval 300 set protocols ospf area 0.0.0.0 interface fe-0/0/1 bfd-liveness-detection multiplier 4 set protocols ospf area 0.0.0.0 interface fe-0/0/1 bfd-liveness-detection full-neighbors-only
Procedimento passo a passo
Para configurar o protocolo BFD para OSPF em uma interface vizinha:
Crie uma área de OSPF.
Nota:Para especificar o OSPFv3, inclua a
ospf3declaração no nível de[edit protocols]hierarquia.[edit] user@host# edit protocols ospf area 0.0.0.0
Especifique a interface.
[edit protocols ospf area 0.0.0.0] user@host# set interface fe-0/0/1
Especifique o mínimo de transmissão e receba intervalos.
[edit protocols ospf area 0.0.0.0 ] user@host# set interface fe-0/0/1 bfd-liveness-detection minimum-interval 300
Configure o número de pacotes de olá perdidos que fazem com que a interface de origem seja declarada para baixo.
[edit protocols ospf area 0.0.0.0 ] user@host# set interface fe-0/0/1 bfd-liveness-detection multiplier 4
Configure sessões de BFD apenas para vizinhos OSPF com adjacência completa do vizinho.
[edit protocols ospf area 0.0.0.0 ] user@host# set interface fe-0/0/1 bfd-liveness-detection full-neighbors-only
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit protocols ospf area 0.0.0.0 ] user@host# commit
Nota:Repita toda essa configuração na outra interface vizinha.
Resultados
Confirme sua configuração inserindo o show protocols ospf comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host# show protocols ospf
area 0.0.0.0 {
interface fe-0/0/1.0 {
bfd-liveness-detection {
minimum-interval 300;
multiplier 4;
full-neighbors-only;
}
}
}
Para confirmar sua configuração OSPFv3, entre no show protocols ospf3 comando.
Verificação
Confirme se a configuração está funcionando corretamente.
Verificando as sessões de BFD
Propósito
Verifique se as interfaces OSPF têm sessões BFD ativas e que os componentes da sessão foram configurados corretamente.
Ação
A partir do modo operacional, entre no show bfd session detail comando.
Significado
A saída exibe informações sobre as sessões de BFD.
O campo endereço exibe o endereço IP do vizinho.
O campo interface exibe a interface que você configurou para BFD.
O campo State exibe o estado do vizinho e deve mostrar Full para refletir a adjacência completa do vizinho que você configurou.
O campo Transmit Interval exibe o intervalo de tempo configurado para enviar pacotes BFD.
O campo Multiplier exibe o multiplicador que você configurou.
Entendendo a autenticação de BFD para OSPF
A detecção bidirecional de encaminhamento (BFD) permite a detecção rápida de falhas de comunicação entre sistemas adjacentes. Por padrão, a autenticação para sessões de BFD é desativada. No entanto, quando você executa a BFD sobre protocolos de camada de rede, o risco de ataques de serviço pode ser significativo. Recomendamos fortemente o uso da autenticação se você estiver executando BFD em vários saltos ou através de túneis inseguros. Começando com o Junos OS Release 9.6, o Junos OS oferece suporte à autenticação para sessões de BFD que correm sobre o OSPFv2. A autenticação de BFD não é suportada em sessões de OAM MPLS. A autenticação de BFD só é suportada na versão do Canadá e dos Estados Unidos da imagem do Junos OS e não está disponível na versão de exportação.
Você autentica as sessões de BFD especificando um algoritmo de autenticação e chaveiro e, em seguida, associando essas informações de configuração com um chaveiro de autenticação de segurança usando o nome do chaveiro.
As seções a seguir descrevem os algoritmos de autenticação suportados, chaveiros de segurança e o nível de autenticação que podem ser configurados:
- Algoritmos de autenticação de BFD
- Chaveiros de autenticação de segurança
- Autenticação rigorosa versus frouxa
Algoritmos de autenticação de BFD
O Junos OS oferece suporte aos seguintes algoritmos para autenticação de BFD:
senha simples — senha de texto simples. Um a 16 bytes de texto simples são usados para autenticar a sessão de BFD. Uma ou mais senhas podem ser configuradas. Este método é o menos seguro e deve ser usado apenas quando as sessões de BFD não estiverem sujeitas à interceptação de pacotes.
keyed-md5 — algoritmo de hash keyed Message Digest 5 para sessões com intervalos de transmissão e recebimento superiores a 100 ms. Para autenticar a sessão de BFD, o MD5 chaveado usa uma ou mais chaves secretas (geradas pelo algoritmo) e um número de sequência que é atualizado periodicamente. Com esse método, os pacotes são aceitos no final da sessão se uma das chaves combinar e o número de sequência for maior do que ou igual ao número da última sequência recebida. Embora seja mais seguro do que uma senha simples, esse método é vulnerável a ataques de repetição. Aumentar a taxa em que o número da sequência é atualizado pode reduzir esse risco.
meticuloso-keyed-md5 — Algoritmo de hash meticuloso keyed Message Digest 5. Esse método funciona da mesma maneira que o MD5 chaveado, mas o número de sequência é atualizado com cada pacote. Embora seja mais seguro do que o MD5 chaveado e senhas simples, esse método pode levar mais tempo para autenticar a sessão.
keyed-sha-1 — Keyed Secure Hash Algorithm I para sessões com intervalos de transmissão e recebimento superiores a 100 ms. Para autenticar a sessão de BFD, a SHA chaveada usa uma ou mais chaves secretas (geradas pelo algoritmo) e um número de sequência que é atualizado periodicamente. A chave não é carregada dentro dos pacotes. Com este método, os pacotes são aceitos no final da sessão se uma das chaves combinar e o número da sequência for maior do que o número da última sequência recebida.
meticulosamente chaveada-sha-1 — Meticuloso algoritmo de hash seguro chave I. Este método funciona da mesma maneira que o SHA chaveado, mas o número de sequência é atualizado com cada pacote. Embora seja mais seguro do que o SHA chaveado e senhas simples, esse método pode levar mais tempo para autenticar a sessão.
O roteamento ativo sem parar (NSR) não é suportado com os algoritmos de autenticação meticuloso-keyed-keyed-md5 e meticuloso-keyed-sha-1. As sessões de BFD usando esses algoritmos podem cair após uma mudança.
os switches da Série QFX5000 e os switches EX4600 não oferecem suporte a valores mínimos de intervalo de menos de 1 segundo.
Chaveiros de autenticação de segurança
O chaveiro de autenticação de segurança define os atributos de autenticação usados para autenticação das principais atualizações. Quando o keychain de autenticação de segurança é configurado e associado a um protocolo por meio do nome do chaveiro, as atualizações chave de autenticação podem ocorrer sem interromper os protocolos de roteamento e sinalização.
O chaveiro de autenticação contém um ou mais chaveiros. Cada chaveiro contém uma ou mais chaves. Cada chave detém os dados secretos e o momento em que a chave se torna válida. O algoritmo e a chaveiro devem ser configurados em ambas as extremidades da sessão de BFD, e eles devem combinar. Qualquer incompatibilidade na configuração impede que a sessão de BFD seja criada.
A BFD permite vários clientes por sessão, e cada cliente pode ter sua própria chaveiro e algoritmo definidos. Para evitar confusão, recomendamos especificar apenas um chaveiro de autenticação de segurança.
Autenticação rigorosa versus frouxa
Por padrão, a autenticação rigorosa é habilitada e a autenticação é verificada em ambas as extremidades de cada sessão de BFD. Opcionalmente, para facilitar a migração de sessões não autenticadas para sessões autenticadas, você pode configurar a verificação frouxa. Quando a verificação frouxa é configurada, os pacotes são aceitos sem que a autenticação seja verificada em cada extremidade da sessão. Esse recurso destina-se apenas a períodos de transição.
Configuração da autenticação de BFD para OSPF
Começando com o Junos OS Release 9.6, você pode configurar a autenticação para sessões de BFD em execução sobre o OSPFv2. As instâncias de roteamento também são suportadas.
As seções a seguir fornecem instruções para configurar e visualizar a autenticação de BFD no OSPF:
- Configuração de parâmetros de autenticação de BFD
- Visualização de informações de autenticação para sessões de BFD
Configuração de parâmetros de autenticação de BFD
Apenas três etapas são necessárias para configurar a autenticação em uma sessão de BFD:
Especifique o algoritmo de autenticação de BFD para o protocolo OSPFv2.
Associe o keychain de autenticação com o protocolo OSPFv2.
Configure o keychain de autenticação de segurança relacionado.
Para configurar a autenticação de BFD:
A autenticação de BFD só é suportada na versão do Canadá e dos Estados Unidos da imagem do Junos OS e não está disponível na versão de exportação.
Visualização de informações de autenticação para sessões de BFD
Você pode ver a configuração de autenticação BFD existente usando os comandos e show bfd session extensive comandosshow bfd session detail.
O exemplo a seguir mostra a autenticação de BFD configurada para o grupo BGP if2-ospf . Ele especifica o algoritmo de autenticação SHA-1 chaveado e um nome chaveiro de bfd-ospf. O chaveiro de autenticação está configurado com duas chaves. A chave 1 contém os dados secretos "$ABC 123$ABC123" e uma hora de início de 1 de junho de 2009, às 9:46:02 PST. A Chave 2 contém os dados secretos "$ABC 123$ABC123" e uma hora de início de 1º de junho de 2009, às 15h29 PST.
[edit protocols ospf]
area 0.0.0.1 {
interface if2-ospf {
bfd-liveness-detection {
authentication {
algorithm keyed-sha-1;
key-chain bfd-ospf;
}
}
}
}
[edit security]
authentication key-chains {
key-chain bfd-ospf {
key 1 {
secret “$ABC123$ABC123”; ## SECRET-DATA
start-time “2009-6-1.09:46:02 -0700”;
}
key 2 {
secret “$ABC123$ABC123”;
start-time “2009-6-1.15:29:20 -0700”; ## SECRET-DATA
}
}
}
Se você confirmar essas atualizações à sua configuração, verá uma saída semelhante à seguinte. Na saída para o comando, o show bfd session detail Authenticate é exibido para indicar que a autenticação de BFD está configurada.
mostrar detalhes da sessão ofuscada
user@host# show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
10.9.1.33 Up so-7/1/0.0 0.600 0.200 3
Client OSPF, TX interval 0.200, RX interval 0.200, multiplier 3, Authenticate
Session up time 3d 00:34
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated
1 sessions, 1 clients
Cumulative transmit rate 10.0 pps, cumulative receive rate 10.0 pps
Para obter mais informações sobre a configuração, use o show bfd session extensive comando. A saída para este comando fornece o nome de chaveiro, o algoritmo e o modo de autenticação para cada cliente na sessão, e o status geral de configuração de autenticação de BFD, nome do chaveiro e algoritmo e modo de autenticação.
mostrar sessão ofuscada extensa
user@host# show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
10.9.1.33 Up so-7/1/0.0 0.600 0.200 3
Client OSPF, TX interval 0.200, RX interval 0.200, multiplier 3, Authenticate
keychain bfd-ospf, algo keyed-md5, mode loose
Session up time 3d 00:34
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated
Min async interval 0.200, min slow interval 1.000
Adaptive async tx interval 0.200, rx interval 0.200
Local min tx interval 0.200, min rx interval 0.200, multiplier 3
Remote min tx interval 0.100, min rx interval 0.100, multiplier 3
Threshold transmission interval 0.000, Threshold for detection time 0.000
Local discriminator 11, remote discriminator 80
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-ospf, algo keyed-sha-1, mode strict
1 sessions, 1 clients
Cumulative transmit rate 10.0 pps, cumulative receive rate 10.0 pps