Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuração da detecção de falhas do OSPF usando BFD

Entender a BFD para OSPF

O protocolo de detecção de encaminhamento bidirecional (BFD) é um mecanismo simples que detecta falhas em uma rede. A BFD trabalha com uma ampla variedade de ambientes de rede e topologias. Um par de dispositivos de roteamento trocam pacotes BFD. Olá, os pacotes são enviados em um intervalo regular especificado. Uma falha no vizinho é detectada quando o dispositivo de roteamento deixa de receber uma resposta após um intervalo especificado. Os temporizador de detecção de falhas de BFD têm prazos mais curtos do que os mecanismos de detecção de falhas do OSPF, por isso fornecem detecção mais rápida.

Os temporizadoras de detecção de falhas de BFD são adaptativos e podem ser ajustados para serem mais rápidos ou mais lentos. Quanto menor o valor do temporizador de detecção de falhas de BFD, mais rápido será a detecção de falhas e vice-versa. Por exemplo, os temporizadors podem se adaptar a um valor mais alto se a adjacência falhar (ou seja, o temporizador detecta falhas mais lentamente). Ou um vizinho pode negociar um valor mais alto por um temporizador do que o valor configurado. Os temporizadores adaptam-se a um valor mais alto quando uma aba de sessão BFD ocorre mais de três vezes em um período de 15 segundos. Um algoritmo de back-off aumenta o intervalo de recebimento (Rx) em dois se a instância BFD local for o motivo da aba de sessão. O intervalo de transmissão (Tx) é aumentado em dois se a instância BFD remota for o motivo da aba da sessão. Você pode usar o clear bfd adaptation comando para devolver os temporizador de intervalo BFD aos seus valores configurados. O clear bfd adaptation comando é sem sucesso, o que significa que o comando não afeta o fluxo de tráfego no dispositivo de roteamento.

Nota:

Os switches EX4600 não oferecem suporte a valores mínimos de intervalo de menos de 1 segundo.

Nota:

O BFD tem suporte para o OSPFv3 no Junos OS Release 9.3 e posterior.

Nota:

Para firewalls da Série SRX de filial, recomendamos 1000 ms como o intervalo mínimo de tempo de guarda para pacotes BFD.

Você pode configurar as seguintes configurações de protocolo BFD:

  • detection-time threshold— Limite para a adaptação do tempo de detecção. Quando o tempo de detecção de sessão BFD se adapta a um valor igual ou superior ao limiar configurado, uma única armadilha e uma única mensagem de log do sistema são enviadas.

  • full-neighbors-only— Capacidade de estabelecer sessões de BFD apenas para vizinhos do OSPF com adjacência completa do vizinho. O comportamento padrão é estabelecer sessões de BFD para todos os vizinhos do OSPF. Essa configuração está disponível no Junos OS Release 9.5 e posterior.

  • minimum-interval— Transmissão mínima e intervalo de recebimento para detecção de falhas. Essa configuração configura tanto o intervalo mínimo após o qual o dispositivo de roteamento local transmite pacotes olá e o intervalo mínimo após o qual o dispositivo de roteamento espera receber uma resposta do vizinho com o qual estabeleceu uma sessão de BFD. Ambos os intervalos estão em milissegundos. Você também pode especificar o mínimo de transmissão e receber intervalos separadamente usando as declarações e minimum-receive-interval as transmit-interval minimum-interval declarações.

    Nota:

    BFD é um protocolo intensivo que consome recursos do sistema. Especificar um intervalo mínimo para BFD de menos de 100 ms para sessões baseadas em mecanismos de roteamento e 10 ms para sessões distribuídas de BFD pode causar flapping BFD indesejável.

    Dependendo do seu ambiente de rede, o seguinte pode ser aplicado:

    • Para implantações de rede de grande escala com um grande número de sessões de BFD, especifique um intervalo mínimo de nada menos que 500 ms. Recomenda-se um intervalo de 1000 ms para evitar problemas de instabilidade.

    • Para que as sessões de BFD permaneçam ativas durante um evento de comutação do Mecanismo de Roteamento quando o roteamento ativo ininterrupto (NSR) for configurado, especifique um intervalo mínimo de 2500 ms para sessões baseadas em mecanismos de roteamento. Sem o NSR, as sessões baseadas em mecanismo de roteamento podem ter um intervalo mínimo de 100 ms.

    • Para sessões distribuídas de BFD com NSR configurado, as recomendações de intervalo mínimo não são alteradas e dependem apenas da sua implantação de rede.

    • O Junos OS 21.2R1 e, posteriormente, suporta sessões distribuídas de OSPFv3 e ISIS BFD com endereços locais de enlace IPv6 em roteadores da série MX que executam MPCs de 1 a 9 (não é suportado no MPC 10 ou MPC 11). O padrão para o enlace IPv6 local BFD é o modo inline.

    • A BFD não é distribuída antes do Junos 21.2 (porque para OSPFv3, a BFD é baseada no mecanismo de roteamento).

    • Em um único switch QFX5100, quando você adiciona um módulo de expansão QFX-EM-4Q, especifique um intervalo mínimo superior a 1000 ms.

  • minimum-receive-interval— Intervalo mínimo de recebimento para detecção de falhas. Essa configuração configura o intervalo mínimo de recebimento, em milissegundos, após o qual o dispositivo de roteamento espera receber um pacote olá de um vizinho com o qual estabeleceu uma sessão BFD. Você também pode especificar o intervalo mínimo de recebimento usando a minimum-interval declaração.

  • multiplier— Multiplicador para pacotes olá. Essa configuração configura o número de pacotes hello que não são recebidos por um vizinho, o que faz com que a interface de origem seja declarada baixa. Por padrão, três pacotes hello perdidos fazem com que a interface de origem seja declarada para baixo.

  • no-adaptation— Desativa a adaptação da BFD. Essa configuração desativa as sessões de BFD da adaptação às mudanças nas condições da rede. Essa configuração está disponível no Junos OS Release 9.0 e posterior.

    Nota:

    Recomendamos que você não desabile a adaptação ao BFD a menos que seja preferível não ter adaptação de BFD em sua rede.

  • transmit-interval minimum-interval— Intervalo mínimo de transmissão para detecção de falhas. Essa configuração configura o intervalo mínimo de transmissão, em milissegundos, no qual o dispositivo de roteamento local transmite pacotes olá ao vizinho com o qual estabeleceu uma sessão BFD. Você também pode especificar o intervalo mínimo de transmissão usando a minimum-interval declaração.

  • transmit-interval threshold— Limiar para a adaptação do intervalo de transmissão de sessão BFD. Quando o intervalo de transmissão se adapta a um valor maior que o limiar, uma única armadilha e uma única mensagem de log do sistema são enviadas. O valor limite deve ser maior do que o intervalo mínimo de transmissão. Se você tentar comprometer uma configuração com um valor de limite menor do que o intervalo mínimo de transmissão, o dispositivo de roteamento exibe um erro e não aceita a configuração.

  • version— versão BFD. Essa configuração configura a versão BFD usada para detecção. Você pode configurar explicitamente a versão 1 da BFD ou o dispositivo de roteamento pode detectar automaticamente a versão BFD. Por padrão, o dispositivo de roteamento detecta automaticamente a versão BFD, que é 0 ou 1.

Você também pode rastrear operações de BFD para fins de solução de problemas.

Exemplo: configurar BFD para OSPF

Este exemplo mostra como configurar o protocolo de detecção de encaminhamento bidirecional (BFD) para OSPF.

Requisitos

Antes de começar:

Visão geral

Uma alternativa para ajustar o intervalo de olá do OSPF e as configurações de intervalo sem intervalo para aumentar a convergência de rota é configurar o BFD. O protocolo BFD é um mecanismo de olá simples que detecta falhas em uma rede. Os temporizador de detecção de falhas de BFD têm limites de temporizador mais curtos do que os mecanismos de detecção de falhas do OSPF, fornecendo assim uma detecção mais rápida.

O BFD é útil em interfaces que não conseguem detectar falhas rapidamente, como interfaces Ethernet. Outras interfaces, como as interfaces SONET, já têm detecção integrada de falhas. Configurar a BFD nessas interfaces é desnecessário.

Você configura o BFD em um par de interfaces OSPF vizinhas. Ao contrário do intervalo de olá do OSPF e das configurações de intervalo morto, você não precisa habilitar o BFD em todas as interfaces em uma área de OSPF.

Neste exemplo, você permite a detecção de falhas, incluindo a bfd-liveness-detection declaração na interface osPF vizinha fe-0/1/0 na área 0.0.0.0.0 e configura o intervalo de troca de pacotes BFD para 300 milissegundos, configure 4 como o número de pacotes hello perdidos que fazem com que a interface de origem seja declarada baixa, e configure sessões de BFD apenas para vizinhos do OSPF com adjacência completa do vizinho, incluindo as seguintes configurações:

  • somente para vizinhos completos — no Junos OS Release 9.5 e posterior, configura o protocolo BFD para estabelecer sessões de BFD apenas para vizinhos de OSPF com adjacência completa do vizinho. O comportamento padrão é estabelecer sessões de BFD para todos os vizinhos do OSPF.

  • intervalo mínimo — configura o intervalo mínimo, em milissegundos, após o qual o dispositivo de roteamento local transmite pacotes olá, bem como o intervalo mínimo após o qual o dispositivo de roteamento espera receber uma resposta do vizinho com a qual estabeleceu uma sessão BFD. Você pode configurar um número na faixa de 1 a 255.000 milissegundos. Você também pode especificar o mínimo de transmissão e receber intervalos separadamente usando o intervalo mínimo e minimum-receive-interval as declarações do intervalo de transmissão.

    Nota:

    BFD é um protocolo intensivo que consome recursos do sistema. Especificar um intervalo mínimo para BFD de menos de 100 ms para sessões baseadas em mecanismos de roteamento e 10 ms para sessões distribuídas de BFD pode causar flapping BFD indesejável.

    Dependendo do seu ambiente de rede, essas recomendações adicionais podem se aplicar:

    • Para implantações de rede de grande escala com um grande número de sessões de BFD, especifique um intervalo mínimo de nada menos que 500 ms. Recomenda-se um intervalo de 1000 ms para evitar problemas de instabilidade.

      Nota:
      • Para o processo ofuscado, o conjunto de intervalo de tempo de detecção é inferior a 300 ms. Se houver um processo de alta prioridade, como o ppmd em execução no sistema, a CPU pode gastar tempo no processo ppmd em vez do processo bfdd.

      • Para firewalls da Série SRX de filial, recomendamos 1000 ms como o intervalo mínimo de tempo de guarda para pacotes BFD.

    • Para implantações de rede de grande escala com um grande número de sessões de BFD, entre em contato com o suporte ao cliente da Juniper Networks para obter mais informações.

    • Para que as sessões de BFD permaneçam ativas durante um evento de comutação do Mecanismo de Roteamento quando o roteamento ativo ininterrupto (NSR) for configurado, especifique um intervalo mínimo de 2500 ms para sessões baseadas em mecanismos de roteamento. Para sessões distribuídas de BFD com NSR configurado, as recomendações de intervalo mínimo não são alteradas e dependem apenas da sua implantação de rede.

  • multiplicador — configura o número de pacotes hello não recebidos por um vizinho que faz com que a interface de origem seja declarada baixa. Por padrão, três pacotes hello perdidos fazem com que a interface de origem seja declarada para baixo. Você pode configurar um valor na faixa de 1 a 255.

Topologia

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente o protocolo BFD para OSPF, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com sua configuração de rede, copiar e colar os comandos na CLI no nível de hierarquia [editar] e, em seguida, entrar no commit modo de configuração.

Procedimento passo a passo

Para configurar o protocolo BFD para OSPF em uma interface vizinha:

  1. Crie uma área de OSPF.

    Nota:

    Para especificar o OSPFv3, inclua a ospf3 declaração no nível de [edit protocols] hierarquia.

  2. Especifique a interface.

  3. Especifique os intervalos mínimos de transmissão e recebimento.

  4. Configure o número de pacotes hello perdidos que fazem com que a interface de origem seja declarada para baixo.

  5. Configure sessões de BFD apenas para vizinhos do OSPF com adjacência completa do vizinho.

  6. Se você terminar de configurar o dispositivo, comprometa a configuração.

    Nota:

    Repita toda essa configuração na outra interface vizinha.

Resultados

Confirme sua configuração entrando no show protocols ospf comando. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Para confirmar sua configuração OSPFv3, entre no show protocols ospf3 comando.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificando as sessões de BFD

Propósito

Verifique se as interfaces OSPF têm sessões BFD ativas, e que os componentes de sessão foram configurados corretamente.

Ação

Do modo operacional, entre no show bfd session detail comando.

Significado

A saída exibe informações sobre as sessões de BFD.

  • O campo de endereço exibe o endereço IP do vizinho.

  • O campo interface exibe a interface configurada para BFD.

  • O campo do Estado exibe o estado do vizinho e deve mostrar o Full para refletir a adjacência completa do vizinho que você configurou.

  • O campo Transmit Interval exibe o intervalo de tempo configurado para enviar pacotes BFD.

  • O campo Multiplier exibe o multiplicador que você configurou.

Entender a autenticação de BFD para OSPF

A detecção bidirecional de encaminhamento (BFD) permite a detecção rápida de falhas de comunicação entre sistemas adjacentes. Por padrão, a autenticação para sessões de BFD é desabilitada. No entanto, quando você executa a BFD sobre protocolos de camada de rede, o risco de ataques de serviço pode ser significativo. Recomendamos fortemente o uso da autenticação se você estiver executando BFD em vários hops ou através de túneis inseguros. Começando com o Junos OS Release 9.6, o Junos OS oferece suporte à autenticação para sessões de BFD em execução no OSPFv2. A autenticação de BFD não é suportada em sessões de OAM MPLS. A autenticação de BFD só é suportada na versão do Canadá e dos Estados Unidos da imagem do Junos OS e não está disponível na versão de exportação.

Você autentica as sessões de BFD especificando um algoritmo de autenticação e chaveiro e associando essas informações de configuração a um chaveiro de autenticação de segurança usando o nome do chaveiro.

As seções a seguir descrevem os algoritmos de autenticação suportados, chaveiros de segurança e o nível de autenticação que podem ser configurados:

Algoritmos de autenticação de BFD

O Junos OS oferece suporte aos seguintes algoritmos para autenticação de BFD:

  • senha simples — senha de texto simples. Um a 16 bytes de texto simples são usados para autenticar a sessão BFD. Uma ou mais senhas podem ser configuradas. Esse método é o menos seguro e deve ser usado apenas quando as sessões de BFD não estiverem sujeitas à interceptação de pacotes.

  • keyed-md5 — algoritmo de hash keyed Message Digest 5 para sessões com intervalos de transmissão e recebimento superiores a 100 ms. Para autenticar a sessão BFD, o MD5 com chave usa uma ou mais chaves secretas (geradas pelo algoritmo) e um número de sequência atualizado periodicamente. Com esse método, os pacotes são aceitos no final da sessão se uma das chaves combinar e o número da sequência for maior ou igual ao número da última sequência recebida. Embora seja mais seguro do que uma senha simples, esse método é vulnerável a ataques de repetição. Aumentar a taxa em que o número da sequência é atualizado pode reduzir esse risco.

  • md5 de chave meticulosa — algoritmo de hash de Message Digest 5 com chave meticulosa. Esse método funciona da mesma maneira que o MD5 chaveado, mas o número de sequência é atualizado com cada pacote. Embora seja mais seguro do que o MD5 e as senhas simples, esse método pode levar mais tempo para autenticar a sessão.

  • keyed-sha-1 — Keyed Secure Hash Algorithm I para sessões com intervalos de transmissão e recebimento superiores a 100 ms. Para autenticar a sessão BFD, o SHA chaveado usa uma ou mais chaves secretas (geradas pelo algoritmo) e um número de sequência que é atualizado periodicamente. A chave não é transportada dentro dos pacotes. Com esse método, os pacotes são aceitos no final da sessão se uma das chaves combinar e o número da sequência for maior do que o número da última sequência recebida.

  • de chave meticulosa-sha-1 — Algoritmo de Hash Seguro e Meticuloso I. Esse método funciona da mesma maneira que o SHA chaveado, mas o número da sequência é atualizado com cada pacote. Embora seja mais seguro do que sha chave e senhas simples, esse método pode levar mais tempo para autenticar a sessão.

Nota:

O roteamento ativo ininterrupto (NSR) não é suportado pelos algoritmos de autenticação meticulosamente chave-keyed-md5 e meticulosamente keyed-sha-1. As sessões de BFD usando esses algoritmos podem cair após uma troca.

Nota:

Os switches da Série QFX5000 e os switches EX4600 não oferecem suporte a valores mínimos de intervalo de menos de 1 segundo.

Chaveiros de autenticação de segurança

O chaveiro de autenticação de segurança define os atributos de autenticação usados para autenticação das principais atualizações. Quando o chaveiro de autenticação de segurança é configurado e associado a um protocolo por meio do nome do chaveiro, as atualizações de chave de autenticação podem ocorrer sem interromper protocolos de roteamento e sinalização.

O chaveiro de autenticação contém um ou mais chaveiros. Cada chaveiro contém uma ou mais chaves. Cada chave detém os dados secretos e o momento em que a chave se torna válida. O algoritmo e o chaveiro devem ser configurados em ambas as extremidades da sessão de BFD, e eles devem combinar. Qualquer incompatibilidade na configuração impede que a sessão de BFD seja criada.

A BFD permite vários clientes por sessão, e cada cliente pode ter seu próprio chaveiro e algoritmo definidos. Para evitar confusão, recomendamos especificar apenas um chaveiro de autenticação de segurança.

Autenticação rigorosa versus solta

Por padrão, a autenticação rigorosa é habilitada e a autenticação é verificada em ambas as extremidades de cada sessão de BFD. Opcionalmente, para facilitar a migração de sessões não autenticadas para sessões autenticadas, você pode configurar verificações soltas. Quando a verificação solta é configurada, os pacotes são aceitos sem que a autenticação seja verificada em cada extremidade da sessão. Esse recurso destina-se apenas a períodos de transição.

Configuração da autenticação de BFD para OSPF

Começando com o Junos OS Release 9.6, você pode configurar a autenticação para sessões de BFD em execução sobre o OSPFv2. Instâncias de roteamento também são suportadas.

As seções a seguir fornecem instruções para configurar e visualizar a autenticação de BFD no OSPF:

Configuração de parâmetros de autenticação de BFD

Apenas três etapas são necessárias para configurar a autenticação em uma sessão de BFD:

  1. Especifique o algoritmo de autenticação BFD para o protocolo OSPFv2.

  2. Associe o chaveiro de autenticação ao protocolo OSPFv2.

  3. Configure o chaveiro de autenticação de segurança relacionado.

Para configurar a autenticação de BFD:

  1. Especifique o algoritmo (keyed-md5, keyed-sha-1, meticulosa-keyed-keyed-md5, meticulosa-keyed-keyed-sha-1 ou simple-password) para usar para autenticação de BFD em uma rota ou instância de roteamento OSPF.
    Nota:

    O roteamento ativo ininterrupto (NSR) não é suportado por algoritmos de autenticação de md5 com chave meticulosa e meticulosa. As sessões de BFD usando esses algoritmos podem cair após uma troca.

  2. Especifique o chaveiro a ser usado para associar sessões de BFD na rota ou instância de roteamento osPF especificada com os atributos exclusivos de chaveiro de autenticação de segurança.

    Esse chaveiro deve combinar com o nome de chaveiro configurado no nível de [edit security authentication key-chains] hierarquia.

    Nota:

    O algoritmo e o chaveiro devem ser configurados em ambas as extremidades da sessão de BFD, e eles devem combinar. Qualquer incompatibilidade na configuração impede que a sessão de BFD seja criada.

  3. Especifique as informações exclusivas de autenticação de segurança para sessões de BFD:
    • O nome de chaveiro correspondente conforme especificado na Etapa 2.

    • Pelo menos uma chave, um inteiro único entre 0 e 63. Criar várias chaves permite que vários clientes usem a sessão BFD.

    • Os dados secretos usados para permitir o acesso à sessão.

    • No momento em que a chave de autenticação se torna ativa, no formato yyyy-mm-dd.hh:mm:ss.

  4. (Opcional) Especifique a verificação de autenticação solta se você está fazendo a transição de sessões não autenticadas para sessões autenticadas.
  5. (Opcional) Veja sua configuração usando o ou show bfd session extensive o show bfd session detail comando.
  6. Repita as etapas deste procedimento para configurar a outra ponta da sessão BFD.
Nota:

A autenticação de BFD só é suportada na versão do Canadá e dos Estados Unidos da imagem do Junos OS e não está disponível na versão de exportação.

Visualização de informações de autenticação para sessões de BFD

Você pode ver a configuração de autenticação BFD existente usando os comandos e show bfd session extensive comandosshow bfd session detail.

O exemplo a seguir mostra a autenticação de BFD configurada para o grupo BGP if2-ospf . Ele especifica o algoritmo de autenticação SHA-1 chave e um nome chaveiro de bfd-ospf. O chaveiro de autenticação está configurado com duas chaves. A Chave 1 contém os dados secretos "$ABC 123$ABC123" e um horário de início de 1º de junho de 2009, às 9:46:02 PST. A Chave 2 contém os dados secretos "$ABC 123$ABC123" e um horário de início de 1º de junho de 2009, às 15:29:20 PST.

Se você comprometer essas atualizações em sua configuração, verá uma saída semelhante à seguinte. Na saída para o comando, o show bfd session detail Authenticate é exibido para indicar que a autenticação de BFD está configurada.

mostrar detalhes da sessão ofuscada

Para obter mais informações sobre a configuração, use o show bfd session extensive comando. A saída para este comando fornece o nome de chaveiro, o algoritmo e o modo de autenticação para cada cliente na sessão, e o status geral de configuração de autenticação de BFD, nome de chaveiro e algoritmo e modo de autenticação.

mostrar sessão de ofuscação extensa