NESTA PÁGINA
Entendendo a BFD para rotas estáticas para uma detecção mais rápida de falhas na rede
Exemplo: configuração da BFD para rotas estáticas para uma detecção mais rápida de falhas na rede
Entendendo a autenticação de BFD para segurança de rotas estáticas
Exemplo: configuração da autenticação de BFD para proteger rotas estáticas
Exemplo: habilitar a BFD em próximos saltos qualificados em rotas estáticas para seleção de rotas
Detecção de encaminhamento bidirecional para rotas estáticas
Entendendo a BFD para rotas estáticas para uma detecção mais rápida de falhas na rede
O protocolo de detecção de encaminhamento bidirecional (BFD) é um mecanismo simples de olá que detecta falhas em uma rede. A BFD trabalha com uma ampla variedade de ambientes de rede e topologias. Um par de dispositivos de roteamento troca pacotes BFD. Olá, os pacotes são enviados em um intervalo específico e regular. Uma falha no vizinho é detectada quando o dispositivo de roteamento para de receber uma resposta após um intervalo especificado. Os temporistas de detecção de falhas de BFD têm prazos mais curtos do que os mecanismos estáticos de detecção de falhas de rota, para que eles forneçam uma detecção mais rápida.
Os temporizador de detecção de falhas de BFD podem ser ajustados para serem mais rápidos ou mais lentos. Quanto menor o valor do temporizour de detecção de falhas de BFD, mais rápido será a detecção de falhas e vice-versa. Por exemplo, os timers podem se adaptar a um valor mais alto se a adjacência falhar (ou seja, o temporizador detecta falhas mais lentamente). Ou um vizinho pode negociar um valor mais alto por um temporizador do que o valor configurado. Os tempores se adaptam a um valor mais alto quando uma aba de sessão BFD ocorre mais de três vezes em um período de 15 segundos. Um algoritmo de back-off aumenta o intervalo de recebimento (Rx) em dois se a instância local de BFD for a razão para a aba da sessão. O intervalo de transmissão (Tx) é aumentado em dois se a instância BFD remota for a razão para a aba da sessão. Você pode usar o clear bfd adaptation comando para devolver os temporizador de intervalo BFD aos seus valores configurados. O clear bfd adaptation comando é sem impacto, o que significa que o comando não afeta o fluxo de tráfego no dispositivo de roteamento.
Por padrão, o BFD é suportado em rotas estáticas de salto único.
Em dispositivos da Série MX, o BFD multihop não é suportado em uma rota estática se a rota estática estiver configurada com mais de um salto seguinte. É recomendável evitar usar vários saltos seguintes quando um BFD multihop é necessário para uma rota estática.
Para permitir a detecção de falhas, inclua a bfd-liveness-detection declaração na configuração de rota estática.
Começando pelo Junos OS Release 15.1X49-D70 e Junos OS Release 17.3R1, o comando inclui o bfd-liveness-detection campo de descrição. A descrição é um atributo sob o bfd-liveness-detection objeto e é suportado apenas em firewalls da Série SRX. Este campo é aplicável apenas para as rotas estáticas.
No Junos OS Release 9.1 e posterior, o protocolo BFD é suportado para rotas estáticas IPv6. Os endereços IPv6 unicast e link locais globais são suportados para rotas estáticas. O protocolo BFD não é suportado em endereços IPv6 multicast ou anycast. Para o IPv6, o protocolo BFD oferece suporte apenas a rotas estáticas e somente no Junos OS Release 9.3 e posteriores. O IPv6 para BFD também é compatível com o protocolo eBGP.
Para configurar o protocolo BFD para rotas estáticas IPv6, inclua a bfd-liveness-detection declaração no nível de [edit routing-options rib inet6.0 static route destination-prefix] hierarquia.
No Junos OS Release 8.5 e posterior, você pode configurar um intervalo de espera para especificar quanto tempo a sessão de BFD deve permanecer ativa antes que uma notificação de alteração de estado seja enviada.
Para especificar o intervalo de espera, inclua a holddown-interval declaração na configuração do BFD. Você pode configurar um número na faixa de 0 a 255.000 milissegundos. O padrão é 0. Se a sessão de BFD cair e depois voltar para cima durante o intervalo de espera, o temporizador será reiniciado.
Se uma única sessão de BFD incluir várias rotas estáticas, o intervalo de espera com o valor mais alto é usado.
Para especificar os intervalos mínimos de transmissão e recebimento para detecção de falhas, inclua a minimum-interval declaração na configuração da BFD.
Esse valor representa tanto o intervalo mínimo após o qual o dispositivo de roteamento local transmite pacotes olá e o intervalo mínimo após o qual o dispositivo de roteamento espera receber uma resposta do vizinho com o qual estabeleceu uma sessão de BFD. Você pode configurar um número na faixa de 1 a 255.000 milissegundos. Opcionalmente, em vez de usar esta declaração, você pode configurar o mínimo de transmissão e receber intervalos separadamente usando o intervalo mínimo e minimum-receive-interval as declarações do intervalo de transmissão.
Os switches EX4600 não oferecem suporte a valores mínimos de intervalo de menos de 1 segundo.
BFD é um protocolo intensivo que consome recursos do sistema. Especificar um intervalo mínimo para BFD de menos de 100 ms para sessões baseadas em mecanismo de roteamento e 10 ms para sessões distribuídas de BFD pode causar flappings BFD não desejados.
Dependendo do seu ambiente de rede, essas recomendações adicionais podem ser aplicadas:
-
Para implantações de rede de grande escala com um grande número de sessões de BFD, especifique um intervalo mínimo de 300 ms para sessões baseadas em mecanismo de roteamento e 100 ms para sessões distribuídas de BFD.
-
Para implantações de rede de grande escala com um grande número de sessões de BFD, entre em contato com o suporte ao cliente da Juniper Networks para obter mais informações.
-
Para que as sessões de BFD permaneçam ativas durante um evento de switchover do Mecanismo de Roteamento quando o roteamento ativo ininterrupto (NSR) for configurado, especifique um intervalo mínimo de 2500 ms para sessões baseadas em mecanismo de roteamento. Para sessões distribuídas de BFD com NSR configurado, as recomendações de intervalo mínimo são inalteradas e dependem apenas da implantação da sua rede.
Para especificar o intervalo mínimo de recebimento para detecção de falhas, inclua a minimum-receive-interval declaração na configuração da BFD. Esse valor representa o intervalo mínimo após o qual o dispositivo de roteamento espera receber uma resposta de um vizinho com o qual estabeleceu uma sessão de BFD. Você pode configurar um número na faixa de 1 a 255.000 milissegundos. Opcionalmente, em vez de usar essa declaração, você pode configurar o intervalo mínimo de recebimento usando a minimum-interval declaração no nível de [edit routing-options static route destination-prefix bfd-liveness-detection] hierarquia.
Para especificar o número de pacotes de olá não recebidos pelo vizinho que faz com que a interface de origem seja declarada baixa, inclua a multiplier declaração na configuração da BFD. O valor padrão é 3. Você pode configurar um número na faixa de 1 a 255.
Para especificar um limite para detectar a adaptação do tempo de detecção, inclua a threshold declaração na configuração da BFD.
Quando o tempo de detecção de sessão de BFD se adapta a um valor igual ou superior ao limiar, uma única armadilha e uma mensagem de log do sistema são enviadas. O tempo de detecção é baseado no multiplicador do intervalo mínimo ou do valor mínimo de intervalo de recebimento . O limite deve ser um valor maior do que o multiplicador para qualquer um desses valores configurados. Por exemplo, se o intervalo mínimo de recebimento for de 300 ms e o multiplicador for 3, o tempo total de detecção é de 900 ms. Portanto, o limite de tempo de detecção deve ter um valor superior a 900.
Para especificar o intervalo mínimo de transmissão para detecção de falhas, inclua a transmit-interval minimum-interval declaração na configuração da BFD.
Esse valor representa o intervalo mínimo após o qual o dispositivo de roteamento local transmite pacotes de olá para o vizinho com o qual estabeleceu uma sessão de BFD. Você pode configurar um valor na faixa de 1 a 255.000 milissegundos. Opcionalmente, em vez de usar essa declaração, você pode configurar o intervalo mínimo de transmissão usando a minimum-interval declaração no nível de [edit routing-options static route destination-prefix bfd-liveness-detection] hierarquia.
Para especificar o limiar para a adaptação do intervalo de transmissão, inclua a transmit-interval threshold declaração na configuração da BFD.
O valor limite deve ser maior do que o intervalo de transmissão. Quando a sessão de BFD transmite o tempo se adapta a um valor maior que o limiar, uma única armadilha e uma mensagem de log do sistema são enviadas. O tempo de detecção é baseado no multiplicador do valor para o intervalo mínimo ou a minimum-receive-interval declaração no nível hierárquico [edit routing-options static route destination-prefix bfd-liveness-detection] . O limite deve ser um valor maior do que o multiplicador para qualquer um desses valores configurados.
Para especificar a versão BFD, inclua a version declaração na configuração do BFD. O padrão é detectar automaticamente a versão.
Para incluir um endereço IP para o próximo salto da sessão de BFD, inclua a neighbor declaração na configuração da BFD.
Você deve configurar a neighbor declaração se o próximo salto especificado for um nome de interface. Se você especificar um endereço IP como o próximo salto, esse endereço é usado como endereço vizinho para a sessão de BFD.
No Junos OS Release 9.0 e posterior, você pode configurar sessões de BFD para não se adaptar às condições de rede em constante mudança. Para desativar a adaptação da BFD, inclua a no-adaptation declaração na configuração da BFD.
Recomendamos que você não desabile a adaptação ao BFD a menos que seja preferível não ter adaptação de BFD em sua rede.
Se a BFD estiver configurada apenas em uma extremidade de uma rota estática, a rota será removida da tabela de roteamento. A BFD estabelece uma sessão quando a BFD está configurada em ambas as extremidades da rota estática.
A BFD não é suportada em famílias de endereços ISO em rotas estáticas. A BFD oferece suporte ao IS-IS.
Se você configurar o switchover gracioso do mecanismo de roteamento (GRES) ao mesmo tempo que o BFD, o GRES não preservará as informações de estado do BFD durante um failover.
Veja também
Exemplo: configuração da BFD para rotas estáticas para uma detecção mais rápida de falhas na rede
Este exemplo mostra como configurar a detecção bidirecional de encaminhamento (BFD) para rotas estáticas.
Requisitos
Neste exemplo, nenhuma configuração especial além da inicialização do dispositivo é necessária.
Visão geral
Existem muitos aplicativos práticos para rotas estáticas. O roteamento estático é frequentemente usado na borda da rede para oferecer suporte a redes stub, que, dado seu único ponto de entrada e saída, são bem adequadas para a simplicidade de uma rota estática. No Junos OS, as rotas estáticas têm uma preferência global de 5. As rotas estáticas são ativadas se o próximo salto especificado for acessível.
Neste exemplo, você configura a rota estática 192.168.47.0/24 da rede do provedor para a rede do cliente, usando o endereço próximo de 172.16.1.2. Você também configura uma rota padrão estática de 0,0.0.0/0 da rede do cliente para a rede do provedor, usando um endereço próximo de 172.16.1.1.
Para fins de demonstração, algumas interfaces de loopback estão configuradas no dispositivo B e no dispositivo D. Essas interfaces de loopback fornecem endereços para ping e, assim, verificar se as rotas estáticas estão funcionando.
A Figura 1 mostra a rede de amostra.
Topologia
Configuração
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
Dispositivo B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
Dispositivo D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar a BFD para rotas estáticas:
No dispositivo B, configure as interfaces.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
No dispositivo B, crie uma rota estática e configure o endereço de próximo salto.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
No dispositivo B, configure o BFD para a rota estática.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
No dispositivo B, configure as operações de rastreamento para BFD.
[edit protocols] user@B# set bfd traceoptions file bfd-trace user@B# set bfd traceoptions flag all
Se você terminar de configurar o Dispositivo B, confirme a configuração.
[edit] user@B# commit
No Dispositivo D, configure as interfaces.
[edit interfaces] user@D# set ge-1/2/0 unit 1 description D->B user@D# set ge-1/2/0 unit 1 family inet address 172.16.1.2/24 user@D# set lo0 unit 2 family inet address 192.168.47.5/32 user@D# set lo0 unit 2 family inet address 192.168.47.6/32
No Dispositivo D, crie uma rota estática e configure o endereço de próximo salto.
[edit routing-options] user@D# set static route 0.0.0.0/0 next-hop 172.16.1.1
No dispositivo D, configure a BFD para a rota estática.
[edit routing-options] user@D# set static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000
No dispositivo D, configure as operações de rastreamento para BFD.
[edit protocols] user@D# set bfd traceoptions file bfd-trace user@D# set bfd traceoptions flag all
Se você terminar de configurar o Dispositivo D, confirme a configuração.
[edit] user@D# commit
Resultados
Confirme sua configuração emitindo os show interfacescomandos show protocolse show routing-options os comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
Dispositivo B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@D# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
}
}
}
Dispositivo D
user@D# show interfaces
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
lo0 {
unit 2 {
family inet {
address 192.168.47.5/32;
address 192.168.47.6/32;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
next-hop 172.16.1.1;
bfd-liveness-detection {
description Site - xxx;
minimum-interval 1000;
}
}
}
Verificação
Confirme se a configuração está funcionando corretamente.
Verificando se as sessões de BFD estão ativas
Propósito
Verifique se as sessões de BFD estão ativas e veja detalhes sobre as sessões de BFD.
Ação
A partir do modo operacional, entre no show bfd session extensive comando.
user@B> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up lt-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000
Session up time 00:14:30
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 172
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 2, remote discriminator 1
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
O description Site- <xxx> suporte é apenas nos firewalls da Série SRX.
Se cada cliente tiver mais de um campo de descrição, ele exibirá "e mais" junto com o campo de primeira descrição.
user@D> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.1 Up lt-1/2/0.1 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000
Session up time 00:14:35
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 170
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 1, remote discriminator 2
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Significado
A TX interval 1.000, RX interval 1.000 saída representa a configuração configurada com a minimum-interval declaração. Todas as outras saídas representam as configurações padrão para BFD. Para modificar as configurações padrão, inclua as declarações opcionais sob a bfd-liveness-detection declaração.
Visualização de eventos detalhados de BFD
Propósito
Visualize o conteúdo do arquivo de rastreamento BFD para ajudar na solução de problemas, se necessário.
Ação
A partir do modo operacional, entre no file show /var/log/bfd-trace comando.
user@B> file show /var/log/bfd-trace Nov 23 14:26:55 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 72 Nov 23 14:26:55 PPM Trace: BFD periodic xmit rt tbl index 172 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 108: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 83: (hex) 70 70 6d 64 5f 62 66 64 5f 73 65 6e 64 6d 73 67 20 3a 20 Nov 23 14:26:55 PPM Trace: ppmd_bfd_sendmsg : socket 12 len 24, ifl 78 src 172.16.1.1 dst 172.16.1.2 errno 65 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 93: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 68: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 74
Significado
As mensagens de BFD estão sendo escritas no arquivo de rastreamento.
Entendendo a autenticação de BFD para segurança de rotas estáticas
A detecção bidirecional de encaminhamento (BFD) permite a detecção rápida de falhas de comunicação entre sistemas adjacentes. Por padrão, a autenticação para sessões de BFD é desativada. No entanto, quando você executa a BFD sobre protocolos de camada de rede, o risco de ataques de serviço pode ser significativo.
Recomendamos fortemente o uso da autenticação se você estiver executando BFD em vários saltos ou através de túneis inseguros.
Começando com o Junos OS Release 9.6, o Junos OS oferece suporte à autenticação para sessões de BFD que correm por rotas estáticas IPv4 e IPv6. A autenticação de BFD não é suportada em sessões de OAM MPLS. A autenticação de BFD só é suportada na versão do Canadá e dos Estados Unidos da imagem do Junos OS e não está disponível na versão de exportação.
O EX3300 oferece suporte à BFD apenas em rotas estáticas.
Você autentica as sessões de BFD especificando um algoritmo de autenticação e chaveiro e, em seguida, associando essas informações de configuração com um chaveiro de autenticação de segurança usando o nome do chaveiro.
As seções a seguir descrevem os algoritmos de autenticação suportados, chaveiros de segurança e o nível de autenticação que podem ser configurados:
- Algoritmos de autenticação de BFD
- Chaveiros de autenticação de segurança
- Autenticação rigorosa versus frouxa
Algoritmos de autenticação de BFD
O Junos OS oferece suporte aos seguintes algoritmos para autenticação de BFD:
senha simples — senha de texto simples. Um a 16 bytes de texto simples são usados para autenticar a sessão de BFD. Uma ou mais senhas podem ser configuradas. Este método é o menos seguro e deve ser usado apenas quando as sessões de BFD não estiverem sujeitas à interceptação de pacotes.
keyed-md5 — algoritmo de hash keyed Message Digest 5 para sessões com intervalos de transmissão e recebimento superiores a 100 ms. Para autenticar a sessão de BFD, o MD5 chaveado usa uma ou mais chaves secretas (geradas pelo algoritmo) e um número de sequência que é atualizado periodicamente. Com esse método, os pacotes são aceitos no final da sessão se uma das chaves combinar e o número de sequência for maior do que ou igual ao número da última sequência recebida. Embora seja mais seguro do que uma senha simples, esse método é vulnerável a ataques de repetição. Aumentar a taxa em que o número da sequência é atualizado pode reduzir esse risco.
meticuloso-keyed-md5 — Algoritmo de hash meticuloso keyed Message Digest 5. Esse método funciona da mesma maneira que o MD5 chaveado, mas o número de sequência é atualizado com cada pacote. Embora seja mais seguro do que o MD5 chaveado e senhas simples, esse método pode levar mais tempo para autenticar a sessão.
keyed-sha-1 — Keyed Secure Hash Algorithm I para sessões com intervalos de transmissão e recebimento superiores a 100 ms. Para autenticar a sessão de BFD, a SHA chaveada usa uma ou mais chaves secretas (geradas pelo algoritmo) e um número de sequência que é atualizado periodicamente. A chave não é carregada dentro dos pacotes. Com este método, os pacotes são aceitos no final da sessão se uma das chaves combinar e o número da sequência for maior do que o número da última sequência recebida.
meticulosamente chaveada-sha-1 — Meticuloso algoritmo de hash seguro chave I. Este método funciona da mesma maneira que o SHA chaveado, mas o número de sequência é atualizado com cada pacote. Embora seja mais seguro do que o SHA chaveado e senhas simples, esse método pode levar mais tempo para autenticar a sessão.
O roteamento ativo sem parar (NSR) não é suportado com algoritmos de autenticação meticuloso-keyed-keyed-md5 e meticuloso-keyed-keyed-sha-1. As sessões de BFD usando esses algoritmos podem cair após uma mudança.
os switches da Série QFX5000 e os switches EX4600 não oferecem suporte a valores mínimos de intervalo de menos de 1 segundo.
Chaveiros de autenticação de segurança
O chaveiro de autenticação de segurança define os atributos de autenticação usados para autenticação das principais atualizações. Quando o keychain de autenticação de segurança é configurado e associado a um protocolo por meio do nome do chaveiro, as atualizações chave de autenticação podem ocorrer sem interromper os protocolos de roteamento e sinalização.
O chaveiro de autenticação contém um ou mais chaveiros. Cada chaveiro contém uma ou mais chaves. Cada chave detém os dados secretos e o momento em que a chave se torna válida. O algoritmo e a chaveiro devem ser configurados em ambas as extremidades da sessão de BFD, e eles devem combinar. Qualquer incompatibilidade na configuração impede que a sessão de BFD seja criada.
A BFD permite vários clientes por sessão, e cada cliente pode ter sua própria chaveiro e algoritmo definidos. Para evitar confusão, recomendamos especificar apenas um chaveiro de autenticação de segurança.
Autenticação rigorosa versus frouxa
Por padrão, a autenticação rigorosa é habilitada, e a autenticação é verificada em ambas as extremidades de cada sessão de BFD. Opcionalmente, para facilitar a migração de sessões não autenticadas para sessões autenticadas, você pode configurar a verificação frouxa. Quando a verificação frouxa é configurada, os pacotes são aceitos sem que a autenticação seja verificada em cada extremidade da sessão. Esse recurso destina-se apenas a períodos de transição.
Exemplo: configuração da autenticação de BFD para proteger rotas estáticas
Este exemplo mostra como configurar a autenticação de detecção de encaminhamento bidirecional (BFD) para rotas estáticas.
Requisitos
Junos OS Release 9.6 ou posterior (versão Canda e Estados Unidos).
A autenticação de BFD só é suportada na versão do Canadá e dos Estados Unidos da imagem do Junos OS e não está disponível na versão de exportação.
Visão geral
Você pode configurar a autenticação para sessões de BFD que correm por rotas estáticas IPv4 e IPv6. Instâncias de roteamento e sistemas lógicos também são suportados.
As etapas a seguir são necessárias para configurar a autenticação em uma sessão de BFD:
Especifique o algoritmo de autenticação de BFD para a rota estática.
Associe o chaveiro de autenticação com a rota estática.
Configure o keychain de autenticação de segurança relacionado. Isso deve ser configurado no roteador principal.
Recomendamos que você especifique a verificação de autenticação frouxa se você está fazendo a transição de sessões não autenticadas para sessões autenticadas.
[edit] user@host> set routing-options static route ipv4 bfd-liveness-detection authentication loose-check
A Figura 2 mostra a rede de amostra.
Topologia
Configuração
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
Dispositivo B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
Dispositivo D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
Procedimento
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar a BFD para rotas estáticas:
No dispositivo B, configure as interfaces.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
No dispositivo B, crie uma rota estática e configure o endereço de próximo salto.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
No dispositivo B, configure o BFD para a rota estática.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
No dispositivo B, especifique o algoritmo (keyed-md5, keyed-sha-1, meticulosa-keyed-keyed-md5, meticulosa-keyed-keyed-sha-1 ou simple-password) a ser usado para autenticação de BFD na rota estática.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1
Nota:O roteamento ativo sem parar (NSR) não é suportado com os algoritmos de autenticação meticuloso-keyed-keyed-md5 e meticuloso-keyed-sha-1. As sessões de BFD usando esses algoritmos podem cair após uma mudança.
-
No dispositivo B, especifique o chaveiro a ser usado para associar sessões de BFD na rota especificada com os atributos exclusivos de keychain de autenticação de segurança.
Isso deve combinar com o nome de chaveiro configurado no nível de
[edit security authentication key-chains]hierarquia.[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4
No dispositivo B, especifique as informações exclusivas de autenticação de segurança para sessões de BFD:
-
O nome de chaveiro correspondente conforme especificado na Etapa 5.
Pelo menos uma chave, um inteiro único entre 0 e 63. A criação de várias chaves permite que vários clientes usem a sessão de BFD.
Os dados secretos usados para permitir o acesso à sessão.
No momento em que a chave de autenticação se torna ativa, no formato yyyy-mm-dd.hh:mm:ss.
[edit security authentication-key-chains key-chain bfd-kc4] user@B# set key 5 secret "$ABC123$ABC123$ABC123" user@B# set key 5 start-time "2011-1-1.12:00:00 -0800"
-
Se você terminar de configurar o Dispositivo B, confirme a configuração.
[edit] user@B# commit
Repita a configuração no dispositivo D.
O algoritmo e a chaveiro devem ser configurados em ambas as extremidades da sessão de BFD, e eles devem combinar. Qualquer incompatibilidade na configuração impede que a sessão de BFD seja criada.
Resultados
Confirme sua configuração emitindo os show interfacescomandos show routing-optionse show security os comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
Dispositivo B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
authentication {
key-chain bfd-kc4;
algorithm keyed-sha-1;
}
}
}
}
user@B# show security
authentication-key-chains {
key-chain bfd-kc4 {
key 5 {
secret "$ABC123$ABC123$ABC123"; ## SECRET-DATA
start-time "2011-1-1.12:00:00 -0800";
}
}
}
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando se as sessões de BFD estão ativas
- Ver detalhes sobre a sessão da BFD
- Visualização de extensas informações de sessão de BFD
Verificando se as sessões de BFD estão ativas
Propósito
Verifique se as sessões de BFD estão ativas.
Ação
A partir do modo operacional, entre no show bfd session comando.
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Significado
A saída de comando mostra que a sessão de BFD está ativa.
Ver detalhes sobre a sessão da BFD
Propósito
Veja detalhes sobre as sessões de BFD e certifique-se de que a autenticação esteja configurada.
Ação
A partir do modo operacional, entre no show bfd session detail comando.
user@B> show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000, Authenticate
Session up time 00:53:58
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Significado
Na saída de comando, o Authenticate é exibido para indicar que a autenticação de BFD está configurada.
Visualização de extensas informações de sessão de BFD
Propósito
Veja informações mais detalhadas sobre as sessões de BFD.
Ação
A partir do modo operacional, entre no show bfd session extensive comando.
user@B> show bfd session extensive
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000, Authenticate
keychain bfd-kc4, algo keyed-sha-1, mode strict
Session up time 01:39:45
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 3, remote discriminator 4
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-kc4, algo keyed-sha-1, mode strict
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Significado
Na saída de comando, o Authenticate é exibido para indicar que a autenticação de BFD está configurada. A saída para o extensive comando fornece o nome de chaveiro, o algoritmo de autenticação e o modo para cada cliente na sessão.
O description Site- <xxx> suporte é apenas nos firewalls da Série SRX.
Se cada cliente tiver mais de um campo de descrição, ele exibirá "e mais" junto com o campo de primeira descrição.
Exemplo: habilitar a BFD em próximos saltos qualificados em rotas estáticas para seleção de rotas
Este exemplo mostra como configurar uma rota estática com vários saltos próximos possíveis. Cada salto seguinte tem a detecção de encaminhamento bidirecional (BFD) habilitada.
Requisitos
Neste exemplo, nenhuma configuração especial além da inicialização do dispositivo é necessária.
Visão geral
Neste exemplo, o dispositivo B tem a rota estática 192.168.47.0/24 com dois possíveis próximos saltos. Os dois próximos saltos são definidos usando duas qualified-next-hop declarações. Cada salto seguinte tem BFD habilitado.
A BFD também está habilitada no dispositivo D porque a BFD deve ser habilitada em ambas as extremidades da conexão.
Um próximo salto está incluído na tabela de roteamento se a sessão de BFD estiver ativada. O próximo salto é removido da tabela de roteamento se a sessão de BFD estiver baixa.
Veja a Figura 3.
Topologia
Configuração
Procedimento
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.
Dispositivo B
set interfaces fe-0/1/0 unit 2 description secondary-B->D set interfaces fe-0/1/0 unit 2 family inet address 192.168.2.1/24 set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set routing-options static route 192.168.47.0/24 qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 set routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
Dispositivo D
set interfaces fe-0/1/0 unit 3 description secondary-D->B set interfaces fe-0/1/0 unit 3 family inet address 192.168.2.2/24 set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set routing-options static route 0.0.0.0/0 qualified-next-hop 192.168.2.1 set routing-options static route 0.0.0.0/0 qualified-next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 60
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar uma rota estática com dois possíveis próximos saltos, ambos com BFD habilitado:
No dispositivo B, configure as interfaces.
[edit interfaces fe-0/1/0] user@B# set unit 2 description secondary-B->D user@B# set unit 2 family inet address 192.168.2.1/24 [edit interfaces ge-1/2/0] user@B# set unit 0 description B->D user@B# set unit 0 family inet address 172.16.1.1/24
No dispositivo B, configure a rota estática com dois saltos seguintes, ambos com BFD habilitado.
[edit routing-options static route 192.168.47.0/24] user@B# set qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 user@B# set qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
No Dispositivo D, configure as interfaces.
[edit interfaces fe-0/1/0] user@D# set unit 3 description secondary-D->B user@D# set unit 3 family inet address 192.168.2.2/24 [edit interfaces ge-1/2/0] user@D# set unit 1 description D->B user@D# set unit 1 family inet address 172.16.1.2/24
No dispositivo D, configure uma rota estática padrão habilitada para BFD com dois saltos seguintes para a rede do provedor.
Neste caso, a BFD está habilitada na rota, não nos próximos saltos.
[edit routing-options static route 0.0.0.0/0] user@D# set qualified-next-hop 192.168.2.1 user@D# set qualified-next-hop 172.16.1.1 user@D# set bfd-liveness-detection minimum-interval 60
Resultados
Confirme sua configuração emitindo os comandos e show routing-options os show interfaces comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@B# show interfaces
fe-0/1/0 {
unit 2 {
description secondary-B->D;
family inet {
address 192.168.2.1/24;
}
}
}
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
qualified-next-hop 192.168.2.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
qualified-next-hop 172.16.1.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
}
}
user@D# show interfaces
fe-0/1/0 {
unit 3 {
description secondary-D->B;
family inet {
address 192.168.2.2/24;
}
}
}
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
qualified-next-hop 192.168.2.1;
qualified-next-hop 172.16.1.1;
bfd-liveness-detection {
minimum-interval 60;
}
}
}
Se você terminar de configurar os dispositivos, insira o commit a partir do modo de configuração.
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificando as tabelas de roteamento
- Verificando as sessões de BFD
- Removendo a BFD do dispositivo D
- Removendo a BFD do One Next Hop
Verificando as tabelas de roteamento
Propósito
Certifique-se de que a rota estática apareça na tabela de roteamento do dispositivo B com dois possíveis próximos saltos.
Ação
user@B> show route 192.168.47.0 extensive
inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)
192.168.47.0/24 (1 entry, 1 announced)
TSI:
KRT in-kernel 192.168.47.0/24 -> {192.168.2.2}
*Static Preference: 5
Next hop type: Router
Address: 0x9334010
Next-hop reference count: 1
Next hop: 172.16.1.2 via ge-1/2/0.0
Next hop: 192.168.2.2 via fe-0/1/0.2, selected
State: <Active Int Ext>
Age: 9
Task: RT
Announcement bits (1): 3-KRT
AS path: I
Significado
Ambos os próximos saltos estão listados. O próximo salto 192.168.2.2 é a rota selecionada.
Verificando as sessões de BFD
Propósito
Certifique-se de que as sessões de BFD estejam ativas.
Ação
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 0.720 0.240 3
192.168.2.2 Up fe-0/1/0.2 0.720 0.240 3
2 sessions, 2 clients
Cumulative transmit rate 8.3 pps, cumulative receive rate 8.3 pps
Significado
A saída mostra que as sessões de BFD estão ativas.
Removendo a BFD do dispositivo D
Propósito
Demonstrar o que acontece quando a sessão de BFD estiver baixa para ambos os próximos saltos.
Ação
Desativar a BFD no dispositivo D.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
Reprise do comando no
show bfd sessiondispositivo B.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 172.16.1.2 Down ge-1/2/0.0 3.000 1.000 3 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3 2 sessions, 2 clients Cumulative transmit rate 2.0 pps, cumulative receive rate 2.0 ppsReprise do comando no
show route 192.168.47.0dispositivo B.user@B> show route 192.168.47.0
Significado
Como esperado, quando as sessões de BFD estão inativas, a rota estática é removida da tabela de roteamento.
Removendo a BFD do One Next Hop
Propósito
Demonstrar o que acontece quando apenas um próximo salto tiver BFD habilitado.
Ação
Se ainda não estiver desativado, desative a BFD no dispositivo D.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
Desativar a BFD em um dos próximos saltos no dispositivo B.
[edit routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2] user@B# deactivate bfd-liveness-detection user@B# commit
Reprise do comando no
show bfd sessiondispositivo B.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3Reprise do comando no
show route 192.168.47.0 extensivedispositivo B.user@B> show route 192.168.47.0 extensive inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) 192.168.47.0/24 (1 entry, 1 announced) TSI: KRT in-kernel 192.168.47.0/24 -> {172.16.1.2} *Static Preference: 5 Next hop type: Router, Next hop index: 624 Address: 0x92f0178 Next-hop reference count: 3 Next hop: 172.16.1.2 via ge-1/2/0.0, selected State: <Active Int Ext> Age: 2:36 Task: RT Announcement bits (1): 3-KRT AS path: I
Significado
Como esperado, a sessão de BFD caiu para o próximo salto de 192.168.2.2. O próximo salto 172.16.1.2 permanece na tabela de roteamento, e a rota permanece ativa, porque a BFD não é uma condição para que este próximo salto permaneça válido.
bfd-liveness-detection campo de descrição. A descrição é um atributo sob o
bfd-liveness-detection objeto e é suportado apenas em firewalls da Série SRX. Este campo é aplicável apenas para as rotas estáticas.