NESTA PÁGINA
Entender o BFD para rotas estáticas para uma detecção mais rápida de falhas de rede
Exemplo: configurar o BFD para rotas estáticas para uma detecção mais rápida de falhas de rede
Exemplo: configurar a autenticação BFD para proteger rotas estáticas
Exemplo: habilitar BFD em próximos hops qualificados em rotas estáticas para seleção de rota
Detecção de encaminhamento bidirecional para rotas estáticas
Entender o BFD para rotas estáticas para uma detecção mais rápida de falhas de rede
O protocolo de Detecção de Encaminhamento Bidirecional (BFD) é um mecanismo simples de saudação que detecta falhas em uma rede. O BFD trabalha com uma ampla variedade de ambientes de rede e topologias. Um par de dispositivos de roteamento troca pacotes BFD. Os pacotes Hello são enviados em um intervalo regular especificado. Uma falha de vizinho é detectada quando o dispositivo de roteamento para de receber uma resposta após um intervalo especificado. Os temporizadores de detecção de falha de BFD têm limites de tempo mais curtos do que os mecanismos de detecção de falha de rota estática, portanto, fornecem uma detecção mais rápida.
Os temporizadores de detecção de falhas de BFD podem ser ajustados para serem mais rápidos ou mais lentos. Quanto menor o valor do temporizador de detecção de falhas de BFD, mais rápida é a detecção de falhas e vice-versa. Por exemplo, os temporizadores podem se adaptar a um valor mais alto se a adjacência falhar (ou seja, o temporizador detecta falhas mais lentamente). Ou um vizinho pode negociar um valor mais alto para um temporizador do que o valor configurado. Os temporizadores se adaptam a um valor mais alto quando um flap de sessão BFD ocorre mais de três vezes em um intervalo de 15 segundos. Um algoritmo de retirada aumenta o intervalo de recebimento (Rx) em dois se a instância BFD local for o motivo da oscilação de sessão. O intervalo de transmissão (Tx) é aumentado em dois se a instância BFD remota for o motivo da oscilação de sessão. Você pode usar o clear bfd adaptation comando para retornar os temporizadores de intervalo BFD aos seus valores configurados. O clear bfd adaptation comando não tem hits, o que significa que o comando não afeta o fluxo de tráfego no dispositivo de roteamento.
Por padrão, o BFD é suportado em rotas estáticas de salto único.
Em dispositivos da Série MX, o BFD multihop não é suportado em uma rota estática se a rota estática estiver configurada com mais de um próximo salto. É recomendável evitar o uso de vários próximos saltos quando um BFD multihop for necessário para uma rota estática.
Para habilitar a detecção de falhas, inclua a bfd-liveness-detection declaração na configuração da rota estática.
O bfd-liveness-detection comando inclui o campo de descrição. Em dispositivos compatíveis com esse recurso, a descrição é um atributo no bfd-liveness-detection objeto. Este campo é aplicável somente para as rotas estáticas.
O protocolo BFD é compatível com rotas estáticas IPv6. Endereços IPv6 globais unicast e locais de enlace são suportados para rotas estáticas. O protocolo BFD não é suportado em endereços IPv6 multicast ou anycast. Para IPv6, o protocolo BFD suporta apenas rotas estáticas. O IPv6 para BFD também é compatível com o protocolo eBGP.
Para configurar o protocolo BFD para rotas estáticas IPv6, inclua a bfd-liveness-detection declaração no nível da [edit routing-options rib inet6.0 static route destination-prefix] hierarquia.
Você pode configurar um intervalo de espera para especificar quanto tempo a sessão BFD deve permanecer ativa antes que uma notificação de alteração de estado seja enviada.
Para especificar o intervalo de espera, inclua a holddown-interval declaração na configuração do BFD. Você pode configurar um número no intervalo de 0 a 255.000 milissegundos. O padrão é 0. Se a sessão BFD ficar inativa e voltar a subir durante o intervalo de espera, o cronômetro será reiniciado.
Se uma única sessão BFD incluir várias rotas estáticas, o intervalo de retenção com o valor mais alto será usado.
Para especificar os intervalos mínimos de transmissão e recepção para detecção de falhas, inclua a minimum-interval declaração na configuração do BFD.
Esse valor representa o intervalo mínimo após o qual o dispositivo de roteamento local transmite pacotes de saudação e o intervalo mínimo após o qual o dispositivo de roteamento espera receber uma resposta do vizinho com o qual estabeleceu uma sessão BFD. Você pode configurar um número no intervalo de 1 a 255.000 milissegundos. Opcionalmente, em vez de usar essa declaração, você pode configurar os intervalos mínimos de transmissão e recebimento separadamente usando as declarações transmit-interval minimum-interval e minimum-receive-interval .
Dependendo do seu ambiente de rede, estas recomendações adicionais podem ser aplicadas:
-
O intervalo mínimo recomendado para BFD centralizado é de 300 ms com um
multiplierde 3, e o intervalo mínimo recomendado para BFD distribuído é de 100 ms com ummultiplierde 3. -
Para implantações de rede em grande escala com um grande número de sessões de BFD, entre em contato com o suporte ao cliente da Juniper Networks para obter mais informações.
-
Para que as sessões de BFD permaneçam ativas durante um evento de switchover do Mecanismo de Roteamento quando o roteamento ativo sem interrupções (NSR) estiver configurado, especifique um intervalo mínimo de 2500 ms para sessões baseadas no Mecanismo de Roteamento. Para sessões BFD distribuídas com NSR configurado, as recomendações de intervalo mínimo permanecem inalteradas e dependem apenas da sua implantação de rede.
Para especificar o intervalo mínimo de recebimento para detecção de falha, inclua a minimum-receive-interval declaração na configuração do BFD. Esse valor representa o intervalo mínimo após o qual o dispositivo de roteamento espera receber uma resposta de um vizinho com o qual estabeleceu uma sessão BFD. Você pode configurar um número no intervalo de 1 a 255.000 milissegundos. Opcionalmente, em vez de usar essa declaração, você pode configurar o intervalo mínimo de recebimento usando a minimum-interval declaração no nível da [edit routing-options static route destination-prefix bfd-liveness-detection] hierarquia.
Para especificar o número de pacotes de saudação não recebidos pelo vizinho que faz com que a interface de origem seja declarada inativa, inclua a multiplier declaração na configuração do BFD. O valor padrão é 3. Você pode configurar um número no intervalo de 1 a 255.
Para especificar um limite para detectar a adaptação do tempo de detecção, inclua a threshold declaração na configuração do BFD.
Quando o tempo de detecção da sessão BFD se adapta a um valor igual ou superior ao limite, uma única interceptação e uma mensagem de log do sistema são enviadas. O tempo de detecção é baseado no multiplicador do valor do intervalo mínimo ou do intervalo mínimo de recebimento . O limite deve ser um valor maior do que o multiplicador para qualquer um desses valores configurados. Por exemplo, se o intervalo mínimo de recebimento for de 300 ms e o multiplicador for 3, o tempo total de detecção será de 900 ms. Portanto, o limite de tempo de detecção deve ter um valor superior a 900.
Para especificar o intervalo mínimo de transmissão para detecção de falha, inclua a transmit-interval minimum-interval declaração na configuração do BFD.
Esse valor representa o intervalo mínimo após o qual o dispositivo de roteamento local transmite pacotes de saudação ao vizinho com o qual estabeleceu uma sessão BFD. Você pode configurar um valor no intervalo de 1 a 255.000 milissegundos. Opcionalmente, em vez de usar essa declaração, você pode configurar o intervalo mínimo de transmissão usando a minimum-interval declaração no nível da [edit routing-options static route destination-prefix bfd-liveness-detection] hierarquia.
Para especificar o limite para a adaptação do intervalo de transmissão, inclua a transmit-interval threshold declaração na configuração do BFD.
O valor limite deve ser maior que o intervalo de transmissão. Quando o tempo de transmissão da sessão BFD se adapta a um valor maior que o limite, uma única interceptação e uma mensagem de log do sistema são enviadas. O tempo de detecção é baseado no multiplicador do valor para o intervalo mínimo ou na minimum-receive-interval instrução no nível da [edit routing-options static route destination-prefix bfd-liveness-detection] hierarquia. O limite deve ser um valor maior do que o multiplicador para qualquer um desses valores configurados.
Para especificar a versão do BFD, inclua a version declaração na configuração do BFD. O padrão é ter a versão detectada automaticamente.
Para incluir um endereço IP para o próximo salto da sessão BFD, inclua a neighbor declaração na configuração BFD.
Você deve configurar a neighbor declaração se o próximo salto especificado for um nome de interface. Se você especificar um endereço IP como o próximo salto, esse endereço será usado como o endereço vizinho para a sessão BFD.
Você pode configurar sessões de BFD para não se adaptarem às mudanças nas condições da rede. Para desativar a adaptação BFD, inclua a no-adaptation declaração na configuração BFD.
Recomendamos que você não desabilite a adaptação BFD, a menos que seja preferível não ter a adaptação BFD em sua rede.
Se o BFD estiver configurado apenas em uma extremidade de uma rota estática, a rota será removida da tabela de roteamento. O BFD estabelece uma sessão quando o BFD é configurado em ambas as extremidades da rota estática.
O BFD não é suportado em famílias de endereços ISO em rotas estáticas. O BFD suporta IS-IS.
Se você configurar o switchover gracioso do Mecanismo de Roteamento (GRES) ao mesmo tempo que o BFD, o GRES não preservará as informações de estado do BFD durante um failover.
Exemplo: configurar o BFD para rotas estáticas para uma detecção mais rápida de falhas de rede
Este exemplo mostra como configurar a Detecção de Encaminhamento Bidirecional (BFD) para rotas estáticas.
Requerimentos
Neste exemplo, nenhuma configuração especial além da inicialização do dispositivo é necessária.
Visão geral
Existem muitas aplicações práticas para rotas estáticas. O roteamento estático é frequentemente usado na borda da rede para dar suporte à conexão com redes stub, que, devido ao seu único ponto de entrada e saída, são adequadas à simplicidade de uma rota estática. No Junos OS, as rotas estáticas têm uma preferência global de 5. As rotas estáticas serão ativadas se o próximo salto especificado for alcançável.
Neste exemplo, você configura a rota estática 192.168.47.0/24 da rede do provedor para a rede do cliente, usando o endereço next-hop de 172.16.1.2. Você também configura uma rota padrão estática de 0.0.0.0/0 da rede do cliente para a rede do provedor, usando um endereço next-hop de 172.16.1.1.
Para fins de demonstração, algumas interfaces de loopback são configuradas no Dispositivo B e no Dispositivo D. Essas interfaces de loopback fornecem endereços para ping e, portanto, verificam se as rotas estáticas estão funcionando.
A Figura 1 mostra a rede de amostra.
Topologia
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova as quebras de linha, altere os detalhes necessários para corresponder à configuração de rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.
Dispositivo B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
Dispositivo D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
Tramitação processual
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI do Junos OS.
Para configurar o BFD para rotas estáticas:
No dispositivo B, configure as interfaces.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
No dispositivo B, crie uma rota estática e defina o endereço do próximo salto.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
No dispositivo B, configure o BFD para a rota estática.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
No Dispositivo B, configure as operações de rastreamento para BFD.
[edit protocols] user@B# set bfd traceoptions file bfd-trace user@B# set bfd traceoptions flag all
Se você terminar de configurar o Dispositivo B, confirme a configuração.
[edit] user@B# commit
No dispositivo D, configure as interfaces.
[edit interfaces] user@D# set ge-1/2/0 unit 1 description D->B user@D# set ge-1/2/0 unit 1 family inet address 172.16.1.2/24 user@D# set lo0 unit 2 family inet address 192.168.47.5/32 user@D# set lo0 unit 2 family inet address 192.168.47.6/32
No dispositivo D, crie uma rota estática e defina o endereço do próximo salto.
[edit routing-options] user@D# set static route 0.0.0.0/0 next-hop 172.16.1.1
No dispositivo D, configure o BFD para a rota estática.
[edit routing-options] user@D# set static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000
No Dispositivo D, configure operações de rastreamento para BFD.
[edit protocols] user@D# set bfd traceoptions file bfd-trace user@D# set bfd traceoptions flag all
Se você terminar de configurar o Dispositivo D, confirme a configuração.
[edit] user@D# commit
Resultados
Confirme sua configuração emitindo os show interfacescomandos , show protocolse show routing-options . Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
Dispositivo B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@D# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
}
}
}
Dispositivo D
user@D# show interfaces
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
lo0 {
unit 2 {
family inet {
address 192.168.47.5/32;
address 192.168.47.6/32;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
next-hop 172.16.1.1;
bfd-liveness-detection {
description Site - xxx;
minimum-interval 1000;
}
}
}
Verificação
Confirme se a configuração está funcionando corretamente.
Verificando se as sessões de BFD estão ativas
Finalidade
Verifique se as sessões de BFD estão ativas e veja detalhes sobre as sessões de BFD.
Ação
Do modo operacional, insira o show bfd session extensive comando.
user@B> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up lt-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000
Session up time 00:14:30
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 172
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 2, remote discriminator 1
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
O description Site- <xxx> é suportado apenas nos firewalls da Série SRX.
Se cada cliente tiver mais de um campo de descrição, ele exibirá "e mais" junto com o primeiro campo de descrição.
user@D> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.1 Up lt-1/2/0.1 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000
Session up time 00:14:35
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 170
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 1, remote discriminator 2
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Significado
A TX interval 1.000, RX interval 1.000 saída representa a configuração configurada com a minimum-interval instrução. Todas as outras saídas representam as configurações padrão para BFD. Para modificar as configurações padrão, inclua as instruções opcionais na bfd-liveness-detection instrução.
Exibição de eventos BFD detalhados
Finalidade
Exiba o conteúdo do arquivo de rastreamento BFD para ajudar na solução de problemas, se necessário.
Ação
Do modo operacional, insira o file show /var/log/bfd-trace comando.
user@B> file show /var/log/bfd-trace Nov 23 14:26:55 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 72 Nov 23 14:26:55 PPM Trace: BFD periodic xmit rt tbl index 172 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 108: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 83: (hex) 70 70 6d 64 5f 62 66 64 5f 73 65 6e 64 6d 73 67 20 3a 20 Nov 23 14:26:55 PPM Trace: ppmd_bfd_sendmsg : socket 12 len 24, ifl 78 src 172.16.1.1 dst 172.16.1.2 errno 65 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 93: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 68: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 74
Significado
As mensagens BFD estão sendo gravadas no arquivo de rastreamento.
Entender a autenticação BFD para Segurança de rota estática
A Detecção de Encaminhamento Bidirecional (BFD) permite a detecção rápida de falhas de comunicação entre sistemas adjacentes. Por padrão, a autenticação para sessões de BFD está desabilitada. No entanto, quando você executa BFD em protocolos de Camada de Rede, o risco de ataques de serviço pode ser significativo.
É altamente recomendável usar a autenticação se você estiver executando BFD em vários saltos ou por meio de túneis inseguros.
A partir do Junos OS Release 9.6, o Junos OS oferece suporte à autenticação para sessões BFD executadas em rotas estáticas IPv4 e IPv6. A autenticação BFD não é suportada em sessões MPLS OAM. A autenticação BFD só é suportada na versão do Canadá e dos Estados Unidos da imagem do Junos OS e não está disponível na versão de exportação.
O EX3300 oferece suporte a BFD apenas em rotas estáticas.
Você autentica sessões BFD especificando um algoritmo de autenticação e conjunto de chaves e, em seguida, associando essas informações de configuração a um conjunto de chaves de autenticação de segurança usando o nome do conjunto de chaves.
As seções a seguir descrevem os algoritmos de autenticação, as chaves de segurança e o nível de autenticação com suporte que podem ser configurados:
- Algoritmos de autenticação BFD
- Chaves de autenticação de segurança
- Autenticação estrita versus frouxa
Algoritmos de autenticação BFD
O Junos OS oferece suporte aos seguintes algoritmos para autenticação BFD:
simple-password— senha de texto simples. Um a 16 bytes de texto simples são usados para autenticar a sessão BFD. Uma ou mais senhas podem ser configuradas. Esse método é o menos seguro e deve ser usado somente quando as sessões de BFD não estão sujeitas à interceptação de pacotes.
keyed-md5— Algoritmo de hash Keyed Message Digest 5 para sessões com intervalos de transmissão e recebimento superiores a 100 ms. Para autenticar a sessão BFD, o MD5 com chave usa uma ou mais chaves secretas (geradas pelo algoritmo) e um número de sequência que é atualizado periodicamente. Com esse método, os pacotes são aceitos na extremidade receptora da sessão se uma das chaves corresponder e o número de sequência for maior ou igual ao último número de sequência recebido. Embora mais seguro do que uma simples senha, esse método é vulnerável a ataques de repetição. Aumentar a taxa na qual o número de sequência é atualizado pode reduzir esse risco.
meticulous-keyed-md5— algoritmo de hash meticuloso do Message Digest 5. Esse método funciona da mesma maneira que o MD5 com chave, mas o número de sequência é atualizado a cada pacote. Embora seja mais seguro do que o MD5 com chave e senhas simples, esse método pode levar mais tempo para autenticar a sessão.
keyed-sha-1— Algoritmo de hash seguro com chave I para sessões com intervalos de transmissão e recepção superiores a 100 ms. Para autenticar a sessão BFD, o SHA com chave usa uma ou mais chaves secretas (geradas pelo algoritmo) e um número de sequência que é atualizado periodicamente. A chave não é transportada dentro dos pacotes. Com esse método, os pacotes são aceitos na extremidade receptora da sessão se uma das chaves corresponder e o número de sequência for maior que o último número de sequência recebido.
meticulous-keyed-sha-1— Algoritmo de hash seguro meticuloso com chave I. Esse método funciona da mesma maneira que o SHA com chave, mas o número de sequência é atualizado a cada pacote. Embora seja mais seguro do que SHA com chave e senhas simples, esse método pode levar mais tempo para autenticar a sessão.
O roteamento ativo sem interrupções (NSR) não é compatível com algoritmos de autenticação meticulous-keyed-md5 e meticulous-keyed-sha-1. As sessões de BFD que usam esses algoritmos podem ficar inativas após um switchover.
Os switches da Série QFX5000 e os switches EX4600 não oferecem suporte a valores mínimos de intervalo inferiores a 1 segundo.
Chaves de autenticação de segurança
O conjunto de chaves de autenticação de segurança define os atributos de autenticação usados para atualizações de chave de autenticação. Quando o conjunto de chaves de autenticação de segurança é configurado e associado a um protocolo por meio do nome do conjunto de chaves, as atualizações de chave de autenticação podem ocorrer sem interromper os protocolos de roteamento e sinalização.
As chaves de autenticação contêm uma ou mais chaves. Cada chaveiro contém uma ou mais chaves. Cada chave contém os dados secretos e a hora em que a chave se torna válida. O algoritmo e as chaves devem ser configurados em ambas as extremidades da sessão BFD e devem corresponder. Qualquer incompatibilidade na configuração impede que a sessão BFD seja criada.
O BFD permite vários clientes por sessão, e cada cliente pode ter suas próprias chaves e algoritmos definidos. Para evitar confusão, recomendamos especificar apenas uma chave de autenticação de segurança.
Autenticação estrita versus frouxa
Por padrão, a autenticação estrita é habilitada e a autenticação é verificada em ambas as extremidades de cada sessão BFD. Opcionalmente, para facilitar a migração de sessões não autenticadas para sessões autenticadas, você pode configurar a verificação flexível. Quando a verificação flexível é configurada, os pacotes são aceitos sem que a autenticação seja verificada em cada extremidade da sessão. Esta característica destina-se apenas a períodos transitórios.
Exemplo: configurar a autenticação BFD para proteger rotas estáticas
Este exemplo mostra como configurar a autenticação de detecção de encaminhamento bidirecional (BFD) para rotas estáticas.
Requerimentos
Junos OS versão 9.6 ou posterior (versão Canadá e Estados Unidos).
A autenticação BFD só é suportada na versão do Canadá e dos Estados Unidos da imagem do Junos OS e não está disponível na versão de exportação.
Visão geral
Você pode configurar a autenticação para sessões BFD executadas em rotas estáticas IPv4 e IPv6. Instâncias de roteamento e sistemas lógicos também são suportados.
As etapas a seguir são necessárias para configurar a autenticação em uma sessão BFD:
Especifique o algoritmo de autenticação BFD para a rota estática.
Associe as chaves de autenticação à rota estática.
Configure as chaves de autenticação de segurança relacionadas. Isso deve ser configurado no roteador principal.
Recomendamos que você especifique a verificação de autenticação flexível se estiver fazendo a transição de sessões não autenticadas para sessões autenticadas.
[edit] user@host> set routing-options static route ipv4 bfd-liveness-detection authentication loose-check
A Figura 2 mostra a rede de amostra.
Topologia
Configuração
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova as quebras de linha, altere os detalhes necessários para corresponder à configuração de rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.
Dispositivo B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
Dispositivo D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
Tramitação processual
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI do Junos OS.
Para configurar o BFD para rotas estáticas:
No dispositivo B, configure as interfaces.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
No dispositivo B, crie uma rota estática e defina o endereço do próximo salto.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
No dispositivo B, configure o BFD para a rota estática.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
No Dispositivo B, especifique o algoritmo (keyed-md5, keyed-sha-1, meticulous-keyed-md5, meticulous-keyed-sha-1 ou simple-password) a ser usado para autenticação BFD na rota estática.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1
Observação:Não há suporte para o roteamento ativo sem interrupções (NSR) com os algoritmos de autenticação meticulous-keyed-md5 e meticulous-keyed-sha-1. As sessões de BFD que usam esses algoritmos podem ficar inativas após um switchover.
-
No Dispositivo B, especifique as chaves a serem usadas para associar sessões BFD na rota especificada com os atributos exclusivos das chaves de autenticação de segurança.
Isso deve corresponder ao nome das chaves configurado no nível da
[edit security authentication key-chains]hierarquia.[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4
No dispositivo B, especifique as informações exclusivas de autenticação de segurança para sessões BFD:
-
O nome das chaves correspondente, conforme especificado na Etapa 5.
Pelo menos uma chave, um inteiro exclusivo entre 0 e 63. A criação de várias chaves permite que vários clientes usem a sessão BFD.
Os dados secretos usados para permitir o acesso à sessão.
A hora em que a chave de autenticação se torna ativa, no formato yyyy-mm-dd.hh:mm:ss.
[edit security authentication-key-chains key-chain bfd-kc4] user@B# set key 5 secret "$ABC123$ABC123$ABC123" user@B# set key 5 start-time "2011-1-1.12:00:00 -0800"
-
Se você terminar de configurar o Dispositivo B, confirme a configuração.
[edit] user@B# commit
Repita a configuração no dispositivo D.
O algoritmo e as chaves devem ser configurados em ambas as extremidades da sessão BFD e devem corresponder. Qualquer incompatibilidade na configuração impede que a sessão BFD seja criada.
Resultados
Confirme sua configuração emitindo os show interfacescomandos , show routing-optionse show security . Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
Dispositivo B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
authentication {
key-chain bfd-kc4;
algorithm keyed-sha-1;
}
}
}
}
user@B# show security
authentication-key-chains {
key-chain bfd-kc4 {
key 5 {
secret "$ABC123$ABC123$ABC123"; ## SECRET-DATA
start-time "2011-1-1.12:00:00 -0800";
}
}
}
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando se as sessões de BFD estão ativas
- Exibindo detalhes sobre a sessão BFD
- Exibindo informações abrangentes da sessão BFD
Verificando se as sessões de BFD estão ativas
Finalidade
Verifique se as sessões de BFD estão ativas.
Ação
Do modo operacional, insira o show bfd session comando.
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Significado
A saída do comando mostra que a sessão BFD está ativa.
Exibindo detalhes sobre a sessão BFD
Finalidade
Veja detalhes sobre as sessões de BFD e certifique-se de que a autenticação esteja configurada.
Ação
Do modo operacional, insira o show bfd session detail comando.
user@B> show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000, Authenticate
Session up time 00:53:58
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Significado
Na saída do comando, Authenticate é exibido para indicar que a autenticação BFD está configurada.
Exibindo informações abrangentes da sessão BFD
Finalidade
Veja informações mais detalhadas sobre as sessões de BFD.
Ação
Do modo operacional, insira o show bfd session extensive comando.
user@B> show bfd session extensive
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000, Authenticate
keychain bfd-kc4, algo keyed-sha-1, mode strict
Session up time 01:39:45
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 3, remote discriminator 4
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-kc4, algo keyed-sha-1, mode strict
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Significado
Na saída do comando, Authenticate é exibido para indicar que a autenticação BFD está configurada. A saída do extensive comando fornece o nome do conjunto de chaves, o algoritmo de autenticação e o modo para cada cliente na sessão.
O description Site- <xxx> é suportado apenas nos firewalls da Série SRX.
Se cada cliente tiver mais de um campo de descrição, ele exibirá "e mais" junto com o primeiro campo de descrição.
Exemplo: habilitar BFD em próximos hops qualificados em rotas estáticas para seleção de rota
Este exemplo mostra como configurar uma rota estática com vários próximos saltos possíveis. Cada próximo salto tem a Detecção de Encaminhamento Bidirecional (BFD) habilitada.
Requerimentos
Neste exemplo, nenhuma configuração especial além da inicialização do dispositivo é necessária.
Visão geral
Neste exemplo, o dispositivo B tem a rota estática 192.168.47.0/24 com dois próximos hops possíveis. Os dois próximos saltos são definidos usando duas qualified-next-hop instruções. Cada próximo salto tem BFD habilitado.
O BFD também está habilitado no Dispositivo D porque o BFD deve ser habilitado em ambas as extremidades da conexão.
Um próximo salto é incluído na tabela de roteamento se a sessão BFD estiver ativa. O próximo salto é removido da tabela de roteamento se a sessão BFD estiver inativa.
Veja a Figura 3.
qualificado
Topologia
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente este exemplo, copie os comandos a seguir, cole-os em um arquivo de texto, remova as quebras de linha, altere os detalhes necessários para corresponder à configuração de rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia.
Dispositivo B
set interfaces fe-0/1/0 unit 2 description secondary-B->D set interfaces fe-0/1/0 unit 2 family inet address 192.168.2.1/24 set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set routing-options static route 192.168.47.0/24 qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 set routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
Dispositivo D
set interfaces fe-0/1/0 unit 3 description secondary-D->B set interfaces fe-0/1/0 unit 3 family inet address 192.168.2.2/24 set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set routing-options static route 0.0.0.0/0 qualified-next-hop 192.168.2.1 set routing-options static route 0.0.0.0/0 qualified-next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 60
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Uso do Editor de CLI no Modo de Configuração no Guia do Usuário da CLI do Junos OS.
Para configurar uma rota estática com dois próximos hops possíveis, ambos com BFD habilitado:
No dispositivo B, configure as interfaces.
[edit interfaces fe-0/1/0] user@B# set unit 2 description secondary-B->D user@B# set unit 2 family inet address 192.168.2.1/24 [edit interfaces ge-1/2/0] user@B# set unit 0 description B->D user@B# set unit 0 family inet address 172.16.1.1/24
No dispositivo B, configure a rota estática com dois próximos saltos, ambos com BFD habilitado.
[edit routing-options static route 192.168.47.0/24] user@B# set qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 user@B# set qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
No dispositivo D, configure as interfaces.
[edit interfaces fe-0/1/0] user@D# set unit 3 description secondary-D->B user@D# set unit 3 family inet address 192.168.2.2/24 [edit interfaces ge-1/2/0] user@D# set unit 1 description D->B user@D# set unit 1 family inet address 172.16.1.2/24
No dispositivo D, configure uma rota estática padrão habilitada para BFD com dois próximos saltos para a rede do provedor.
Nesse caso, o BFD é habilitado na rota, não nos próximos saltos.
[edit routing-options static route 0.0.0.0/0] user@D# set qualified-next-hop 192.168.2.1 user@D# set qualified-next-hop 172.16.1.1 user@D# set bfd-liveness-detection minimum-interval 60
Resultados
Confirme sua configuração emitindo os show interfaces comandos e show routing-options . Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@B# show interfaces
fe-0/1/0 {
unit 2 {
description secondary-B->D;
family inet {
address 192.168.2.1/24;
}
}
}
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
qualified-next-hop 192.168.2.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
qualified-next-hop 172.16.1.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
}
}
user@D# show interfaces
fe-0/1/0 {
unit 3 {
description secondary-D->B;
family inet {
address 192.168.2.2/24;
}
}
}
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
qualified-next-hop 192.168.2.1;
qualified-next-hop 172.16.1.1;
bfd-liveness-detection {
minimum-interval 60;
}
}
}
Se você terminar de configurar os dispositivos, entre no commit do modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando as tabelas de roteamento
- Verificando as sessões BFD
- Removendo BFD do dispositivo D
- Removendo BFD de um próximo salto
Verificando as tabelas de roteamento
Finalidade
Certifique-se de que a rota estática apareça na tabela de roteamento no Dispositivo B com dois próximos saltos possíveis.
Ação
user@B> show route 192.168.47.0 extensive
inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)
192.168.47.0/24 (1 entry, 1 announced)
TSI:
KRT in-kernel 192.168.47.0/24 -> {192.168.2.2}
*Static Preference: 5
Next hop type: Router
Address: 0x9334010
Next-hop reference count: 1
Next hop: 172.16.1.2 via ge-1/2/0.0
Next hop: 192.168.2.2 via fe-0/1/0.2, selected
State: <Active Int Ext>
Age: 9
Task: RT
Announcement bits (1): 3-KRT
AS path: I
Significado
Ambos os próximos saltos estão listados. O próximo salto 192.168.2.2 é a rota selecionada.
Verificando as sessões BFD
Finalidade
Certifique-se de que as sessões de BFD estejam ativas.
Ação
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 0.720 0.240 3
192.168.2.2 Up fe-0/1/0.2 0.720 0.240 3
2 sessions, 2 clients
Cumulative transmit rate 8.3 pps, cumulative receive rate 8.3 pps
Significado
A saída mostra que as sessões de BFD estão ativas.
Removendo BFD do dispositivo D
Finalidade
Demonstre o que acontece quando a sessão BFD está inativa para os próximos saltos.
Ação
Desative o BFD no dispositivo D.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
Execute novamente o
show bfd sessioncomando no dispositivo B.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 172.16.1.2 Down ge-1/2/0.0 3.000 1.000 3 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3 2 sessions, 2 clients Cumulative transmit rate 2.0 pps, cumulative receive rate 2.0 ppsExecute novamente o
show route 192.168.47.0comando no dispositivo B.user@B> show route 192.168.47.0
Significado
Como esperado, quando as sessões de BFD estão inativas, a rota estática é removida da tabela de roteamento.
Removendo BFD de um próximo salto
Finalidade
Demonstre o que acontece quando apenas um próximo salto tem BFD habilitado.
Ação
Se ainda não estiver desativado, desative o BFD no dispositivo D.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
Desative o BFD em um dos próximos saltos no dispositivo B.
[edit routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2] user@B# deactivate bfd-liveness-detection user@B# commit
Execute novamente o
show bfd sessioncomando no dispositivo B.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3Execute novamente o
show route 192.168.47.0 extensivecomando no dispositivo B.user@B> show route 192.168.47.0 extensive inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) 192.168.47.0/24 (1 entry, 1 announced) TSI: KRT in-kernel 192.168.47.0/24 -> {172.16.1.2} *Static Preference: 5 Next hop type: Router, Next hop index: 624 Address: 0x92f0178 Next-hop reference count: 3 Next hop: 172.16.1.2 via ge-1/2/0.0, selected State: <Active Int Ext> Age: 2:36 Task: RT Announcement bits (1): 3-KRT AS path: I
Significado
Como esperado, a sessão BFD está inativa para o próximo salto 192.168.2.2. O próximo salto 172.16.1.2 permanece na tabela de roteamento e a rota permanece ativa, porque o BFD não é uma condição para que esse próximo salto permaneça válido.