BFD für BGP Sitzungen
Informationen zum BFD für BGP
Das Bidirectional Forwarding Detection (BFD)-Protokoll ist ein einfacher Hello-Mechanismus, der Fehler in einem Netzwerk erkennt. Hello-Pakete werden in einem angegebenen regelmäßigen Intervall gesendet. Ein Nachbarfehler wird erkannt, wenn das Routinggerät nicht mehr nach einem angegebenen Intervall eine Antwort erhält. BfD ist mit einer Vielzahl von Netzwerkumgebungen und Topologien geeignet. Die Failure Detection Timer für BFD sind kürzere Zeitbeschränkungen als Standardfehlererkennungsmechanismen für BGP, sodass sie eine schnellere Erkennung ermöglichen.
Die Konfiguration von BFD- und Graceful-Restart für eine BGP auf demselben Gerät ist nichtproduktiv. Wenn die Schnittstelle ausbricht, erkennt BFD dies sofort, stoppt die Weiterleitung des Datenverkehrs und die BGP-Sitzung läuft ab, während der graceful-Neustart den Datenverkehr trotz des Schnittstellenausfalls weiterleitiert, kann dieses Verhalten Netzwerkprobleme verursachen. Daher empfehlen wir nicht die Konfiguration von BFD und graceful Restart auf demselben Gerät.
Die Switches und Switches der QFX5000-Serie EX4600 unterstützen keine Minimalintervalle von weniger als 1 Sekunde.
QFX5110-, QFX5120-, QFX5200- und QFX5210-Switches unterstützen BfD (Bidirectional Forwarding Detection) über eine Inline-Unterstützung, wodurch Sitzungen unter 1 Sekunde konfiguriert werden können. Die Leistung kann je nach Systemlast variieren. Es werden 10 Inline-BFD-Sitzungen unterstützt und können mit einem Timer von 150 x 3 Millisekunden konfiguriert werden.
Die BFD Failure Detection Timer können schneller oder langsamer angepasst werden. Je geringer der Zeitwert des BFD Failure Detection Timer ist, desto schneller ist die Fehlererkennung und umgekehrt. Beispielsweise können sich Timer an einen höheren Wert anpassen, wenn die Adjacency ausfällt (d. h. der Timer erkennt Ausfälle langsamer). Oder ein Nachbar kann einen höheren Wert für einen Timer aushandeln als den konfigurierten Wert. Die Timer passen sich an einen höheren Wert an, wenn ein BFD-Sitzungs-Flap in einer Zeitspanne von 15 Sekunden (15.000 Millisekunden) mehr als dreifach erfolgt. Ein Back-Off-Algorithmus erhöht das Empfangsintervall (Rx) um zwei, wenn die lokale BFD-Instanz der Grund für den Sitzungs-Flap ist. Das Übertragungsintervall (Tx) wird um zwei erhöht, wenn die Remote-BFD-Instanz der Grund für den Sitzungs-Flap ist. Sie können den Befehl clear bfd adaptation verwenden, um BFD-Intervall-Timer zu ihren konfigurierten Werten zurücksenden. Der Befehl funktioniert ohne Treffsicherheit, d. h. der Befehl wirkt sich nicht auf den clear bfd adaptation Datenverkehrsfluss auf dem Routing-Gerät aus.
Auf allen Geräten der SRX-Serie wird eine hohe CPU-Auslastung ausgelöst, wenn beispielsweise CPU-intensive Befehle und SNMP-Walks dazu führt, dass das BFD-Protokoll zum Flap wird, während große Cpu-BGP verarbeitet werden. (Die Plattformunterstützung hängt von der Junos OS Ihrer Installation ab.)
Beginnend mit Junos OS Veröffentlichungsversion 15.1X49-D100 unterstützen SRX340, SRX345 und SRX1500 BFD.
Beginnend mit Junos OS Veröffentlichungs-15.1X49-D100 unterstützen SRX300- SRX320-Geräte Echtzeit-BFD.
Beginnend mit Junos OS Release 15.1X49-D110 unterstützen SRX550M-Geräte dediziertes BFD.
In Junos OS Version 8.3 und höher wird BFD in internen BGP (IBGP)- und Multihop external BGP (EBGP)-Sitzungen sowie auf Single-Hop-EBGP-Sitzungen unterstützt. In Junos OS Version 9.1 bis Junos OS Version 11.1 unterstützt BFD IPv6-Schnittstellen nur in statischen Routen. In Junos OS Version 11.2 und höher unterstützt das BFD IPv6-Schnittstellen mit BGP.
Siehe auch
Beispiel: Konfigurieren des BFD auf internen BGP-Peer-Sitzungen
In diesem Beispiel wird gezeigt, wie Sie interne BGP (IBGP)-Peersitzungen mit dem Bidirectional Forwarding Detection (BFD)-Protokoll konfigurieren, um Fehler in einem Netzwerk zu erkennen.
Anforderungen
Bevor Sie dieses Beispiel konfigurieren, ist keine besondere Konfiguration über die Gerätein initialisierung hinaus erforderlich.
Überblick
Die Mindestkonfiguration, um BFD auf IBGP-Sitzungen zu ermöglichen, ist die Aussage in der BGP der Konfiguration aller Nachbarn, die an der bfd-liveness-detection minimum-interval BFD-Sitzung teilnehmen. Die minimum-interval Aussage gibt die minimalen Sende- und Empfangsintervalle zur Fehlererkennung an. Insbesondere stellt dieser Wert das Minimaleintervall dar, nach dem das lokale Routinggerät Hello-Pakete sendet, sowie das Minimaleintervall, das das Routinggerät erwartet, dass es eine Antwort von einem Nachbarn erhält, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können einen Wert von 1 bis 255.000 Millisekunden konfigurieren.
Optional können Sie die minimalen Sende- und Empfangsintervalle mithilfe der transmit-interval minimum-interval Anweisungen und der Anweisungen separat minimum-receive-interval angeben. Informationen zu diesen und anderen optionalen BFD-Konfigurationserklärungen finden Sie bfd-liveness-detection unter.
BfD ist ein intensives Protokoll, das Systemressourcen verbraucht. Die Angabe eines Minimalintervalls für BFD unter 100 Millisekunden für Routing-Engine-basierte Sitzungen und weniger als 10 Millisekunden für verteilte BFD-Sitzungen kann zu unerwünschtem BFD-Flapping führen.
Je nach Ihrer Netzwerkumgebung können die folgenden zusätzlichen Empfehlungen Anwendung finden:
Um zu verhindern, dass BFD-Flapping während des allgemeinen umschalten-Ereignisses Routing-Engine, geben Sie ein Minimalintervall von 5000 Millisekunden für Routing-Engine-basierte Sitzungen an. Dieser Mindestwert ist erforderlich, da während des allgemeinen Routing-Engine-Switchover-Ereignisses CPU-Ressourcen wie RPD, MIBD und SNMPD für mehr als den angegebenen Grenzwert verwendet werden. Daher werden die BfD-Verarbeitung und -Planung aufgrund dieses Mangels an CPU-Ressourcen beeinträchtigt.
Wenn die erste Steuerungsverbindung ausfällt, bleiben BFD-Sitzungen während des Dual Chassis Cluster Control Link-Szenarios hoch. Geben Sie ein Minimaleintervall von 6000 Millisekunden an, um zu verhindern, dass LACP für Routing-Engine-basierte Sitzungen auf dem sekundären Knoten flapping.
Geben Sie bei Netzwerkbereitstellungen in großem Umfang mit einer großen Anzahl von BFD-Sitzungen ein Minimalintervall von 300 Millisekunden für Routing-Engine-basierte Sitzungen und 100 Millisekunden für verteilte BFD-Sitzungen an.
Für Sehr große Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen wenden Sie sich Juniper Networks an den Kundensupport, um weitere Informationen zu erhalten.
Damit BFD-Sitzungen während eines Routing-Engine-Switchover-Ereignisses bei der Konfiguration von Nonstop Active Routing (NSR) aktiv bleiben, geben Sie ein Minimaleintervall von 2500 Millisekunden für Routing-Engine-basierte Sitzungen an. Bei verteilten BFD-Sitzungen mit NSR-Konfiguration werden die Minimalintervallempfehlungen nicht geändert und hängen nur von Ihrer Netzwerkbereitstellung ab.
BFD wird auf der Standard-Routinginstanz (dem Hauptrouter), Routing-Instanzen und logischen Systemen unterstützt. In diesem Beispiel wird BFD in logischen Systemen gezeigt.
Abbildung 1 zeigt ein typisches Netzwerk mit internen Peer-Sitzungen.
Konfiguration
CLI-Konfiguration
Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie diese in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit der Netzwerkkonfiguration erforderlich sind, und kopieren Sie die Befehle, und fügen Sie die Befehle CLI der Hierarchieebene [edit] ein.
Gerät A
set logical-systems A interfaces lt-1/2/0 unit 1 description to-B set logical-systems A interfaces lt-1/2/0 unit 1 encapsulation ethernet set logical-systems A interfaces lt-1/2/0 unit 1 peer-unit 2 set logical-systems A interfaces lt-1/2/0 unit 1 family inet address 10.10.10.1/30 set logical-systems A interfaces lo0 unit 1 family inet address 192.168.6.5/32 set logical-systems A protocols bgp group internal-peers type internal set logical-systems A protocols bgp group internal-peers traceoptions file bgp-bfd set logical-systems A protocols bgp group internal-peers traceoptions flag bfd detail set logical-systems A protocols bgp group internal-peers local-address 192.168.6.5 set logical-systems A protocols bgp group internal-peers export send-direct set logical-systems A protocols bgp group internal-peers bfd-liveness-detection minimum-interval 1000 set logical-systems A protocols bgp group internal-peers neighbor 192.163.6.4 set logical-systems A protocols bgp group internal-peers neighbor 192.168.40.4 set logical-systems A protocols ospf area 0.0.0.0 interface lo0.1 passive set logical-systems A protocols ospf area 0.0.0.0 interface lt-1/2/0.1 set logical-systems A policy-options policy-statement send-direct term 2 from protocol direct set logical-systems A policy-options policy-statement send-direct term 2 then accept set logical-systems A routing-options router-id 192.168.6.5 set logical-systems A routing-options autonomous-system 17
Gerät B
set logical-systems B interfaces lt-1/2/0 unit 2 description to-A set logical-systems B interfaces lt-1/2/0 unit 2 encapsulation ethernet set logical-systems B interfaces lt-1/2/0 unit 2 peer-unit 1 set logical-systems B interfaces lt-1/2/0 unit 2 family inet address 10.10.10.2/30 set logical-systems B interfaces lt-1/2/0 unit 5 description to-C set logical-systems B interfaces lt-1/2/0 unit 5 encapsulation ethernet set logical-systems B interfaces lt-1/2/0 unit 5 peer-unit 6 set logical-systems B interfaces lt-1/2/0 unit 5 family inet address 10.10.10.5/30 set logical-systems B interfaces lo0 unit 2 family inet address 192.163.6.4/32 set logical-systems B protocols bgp group internal-peers type internal set logical-systems B protocols bgp group internal-peers local-address 192.163.6.4 set logical-systems B protocols bgp group internal-peers export send-direct set logical-systems B protocols bgp group internal-peers bfd-liveness-detection minimum-interval 1000 set logical-systems B protocols bgp group internal-peers neighbor 192.168.40.4 set logical-systems B protocols bgp group internal-peers neighbor 192.168.6.5 set logical-systems B protocols ospf area 0.0.0.0 interface lo0.2 passive set logical-systems B protocols ospf area 0.0.0.0 interface lt-1/2/0.2 set logical-systems B protocols ospf area 0.0.0.0 interface lt-1/2/0.5 set logical-systems B policy-options policy-statement send-direct term 2 from protocol direct set logical-systems B policy-options policy-statement send-direct term 2 then accept set logical-systems B routing-options router-id 192.163.6.4 set logical-systems B routing-options autonomous-system 17
Gerät C
set logical-systems C interfaces lt-1/2/0 unit 6 description to-B set logical-systems C interfaces lt-1/2/0 unit 6 encapsulation ethernet set logical-systems C interfaces lt-1/2/0 unit 6 peer-unit 5 set logical-systems C interfaces lt-1/2/0 unit 6 family inet address 10.10.10.6/30 set logical-systems C interfaces lo0 unit 3 family inet address 192.168.40.4/32 set logical-systems C protocols bgp group internal-peers type internal set logical-systems C protocols bgp group internal-peers local-address 192.168.40.4 set logical-systems C protocols bgp group internal-peers export send-direct set logical-systems C protocols bgp group internal-peers bfd-liveness-detection minimum-interval 1000 set logical-systems C protocols bgp group internal-peers neighbor 192.163.6.4 set logical-systems C protocols bgp group internal-peers neighbor 192.168.6.5 set logical-systems C protocols ospf area 0.0.0.0 interface lo0.3 passive set logical-systems C protocols ospf area 0.0.0.0 interface lt-1/2/0.6 set logical-systems C policy-options policy-statement send-direct term 2 from protocol direct set logical-systems C policy-options policy-statement send-direct term 2 then accept set logical-systems C routing-options router-id 192.168.40.4 set logical-systems C routing-options autonomous-system 17
Gerät A konfigurieren
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zur Navigation auf der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im CLI Benutzerhandbuch.
So konfigurieren Sie Gerät A:
Setzen Sie die CLI auf Logisches System A.
user@host> set cli logical-system A
Konfigurieren Sie die Schnittstellen.
[edit interfaces lt-1/2/0 unit 1] user@host:A# set description to-B user@host:A# set encapsulation ethernet user@host:A# set peer-unit 2 user@host:A# set family inet address 10.10.10.1/30 [edit interfaces lo0 unit 1] user@host:A# set family inet address 192.168.6.5/32
Konfiguration BGP.
Die
neighborAnweisungen sind sowohl für Gerät B als auch für Gerät C enthalten, obwohl Gerät A nicht direkt mit Gerät C verbunden ist.[edit protocols bgp group internal-peers] user@host:A# set type internal user@host:A# set local-address 192.168.6.5 user@host:A# set export send-direct user@host:A# set neighbor 192.163.6.4 user@host:A# set neighbor 192.168.40.4
Konfigurieren Sie BFD.
[edit protocols bgp group internal-peers] user@host:A# set bfd-liveness-detection minimum-interval 1000
Sie müssen dasselbe Minimaleintervall für den Verbindungs-Peer konfigurieren.
(optional) Konfigurieren Sie BFD-Ablaufverfolgung.
[edit protocols bgp group internal-peers] user@host:A# set traceoptions file bgp-bfd user@host:A# set traceoptions flag bfd detail
Konfiguration OSPF.
[edit protocols ospf area 0.0.0.0] user@host:A# set interface lo0.1 passive user@host:A# set interface lt-1/2/0.1
Konfigurieren Sie eine Richtlinie, die direkte Routen akzeptiert.
Andere nützliche Optionen für dieses Szenario könnten das Akzeptieren von Routen sein, die über lokale oder OSPF Routen gelernt werden.
[edit policy-options policy-statement send-direct term 2] user@host:A# set from protocol direct user@host:A# set then accept
Konfigurieren Sie die Router-ID und die autonome Systemnummer (AS).
[edit routing-options] user@host:A# set router-id 192.168.6.5 user@host:A# set autonomous-system 17
Wenn Sie die Konfiguration des Geräts bereits durchgeführt haben, geben Sie
commitsie im Konfigurationsmodus ein. Wiederholen Sie diese Schritte zur Konfiguration von Gerät B und Gerät C.
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesshow policy-options , und Befehle show protocolsshow routing-options eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host:A# show interfaces
lt-1/2/0 {
unit 1 {
description to-B;
encapsulation ethernet;
peer-unit 2;
family inet {
address 10.10.10.1/30;
}
}
}
lo0 {
unit 1 {
family inet {
address 192.168.6.5/32;
}
}
}
user@host:A# show policy-options
policy-statement send-direct {
term 2 {
from protocol direct;
then accept;
}
}
user@host:A# show protocols
bgp {
group internal-peers {
type internal;
traceoptions {
file bgp-bfd;
flag bfd detail;
}
local-address 192.168.6.5;
export send-direct;
bfd-liveness-detection {
minimum-interval 1000;
}
neighbor 192.163.6.4;
neighbor 192.168.40.4;
}
}
ospf {
area 0.0.0.0 {
interface lo0.1 {
passive;
}
interface lt-1/2/0.1;
}
}
user@host:A# show routing-options router-id 192.168.6.5; autonomous-system 17;
Überprüfung
Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der Aktivierung von BFD
- Überprüfen der BfD-Sitzungen
- Anzeigen detaillierter BFD-Veranstaltungen
- Anzeigen detaillierter BFD-Ereignisse nach der Deaktivierung und Reaktivierung einer Loopback-Schnittstelle
Überprüfen der Aktivierung von BFD
Zweck
Stellen Sie sicher, dass BFD zwischen den IBGP-Peers aktiviert ist.
Aktion
Geben Sie im Betriebsmodus den Befehl show bgp neighbor ein. Sie können den Filter | match bfd verwenden, um die Ausgabe zu verengen.
user@host:A> show bgp neighbor | match bfd Options: <BfdEnabled> BFD: enabled, up Trace file: /var/log/A/bgp-bfd size 131072 files 10 Options: <BfdEnabled> BFD: enabled, up Trace file: /var/log/A/bgp-bfd size 131072 files 10
Bedeutung
Die Ausgabe zeigt, dass logisches System A zwei Nachbarn hat, die mit BFD aktiviert sind. Wenn BFD nicht aktiviert ist, wird die Ausgabe BFD: disabled, down angezeigt, und <BfdEnabled> die Option ist nicht vorhanden. Wenn BFD aktiviert ist und die Sitzung ausgeschaltet ist, wird die Ausgabe BFD: enabled, down angezeigt. Die Ausgabe zeigt auch, dass BFD-bezogene Ereignisse in eine Protokolldatei geschrieben werden, da Trace-Vorgänge konfiguriert werden.
Überprüfen der BfD-Sitzungen
Zweck
Stellen Sie sicher, dass die BFD-Sitzungen eingerichtet sind, und zeigen Sie Details zu den BFD-Sitzungen an.
Aktion
Geben Sie im Betriebsmodus den Befehl show bfd session extensive ein.
user@host:A> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
192.163.6.4 Up 3.000 1.000 3
Client BGP, TX interval 1.000, RX interval 1.000
Session up time 00:54:40
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Logical system 12, routing table index 25
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 10, remote discriminator 9
Echo mode disabled/inactive
Multi-hop route table 25, local-address 192.168.6.5
Detect Transmit
Address State Interface Time Interval Multiplier
192.168.40.4 Up 3.000 1.000 3
Client BGP, TX interval 1.000, RX interval 1.000
Session up time 00:48:03
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Logical system 12, routing table index 25
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 14, remote discriminator 13
Echo mode disabled/inactive
Multi-hop route table 25, local-address 192.168.6.5
2 sessions, 2 clients
Cumulative transmit rate 2.0 pps, cumulative receive rate 2.0 ppsBedeutung
Die TX interval 1.000, RX interval 1.000 Ausgabe stellt die mit der Anweisung konfigurierte Einstellung minimum-interval dar. Alle anderen Ausgaben stellen die Standardeinstellungen für BFD dar. Um die Standardeinstellungen zu ändern, geben Sie die optionalen Anweisungen in der Anweisung bfd-liveness-detection an.
Anzeigen detaillierter BFD-Veranstaltungen
Zweck
Zeigen Sie die Inhalte der BFD-Trace-Datei an, um Sie bei der Fehlerbehebung bei Bedarf zu unterstützen.
Aktion
Geben Sie im Betriebsmodus den Befehl file show /var/log/A/bgp-bfd ein.
user@host:A> file show /var/log/A/bgp-bfd Aug 15 17:07:25 trace_on: Tracing to "/var/log/A/bgp-bfd" started Aug 15 17:07:26.492190 bgp_peer_init: BGP peer 192.163.6.4 (Internal AS 17) local address 192.168.6.5 not found. Leaving peer idled Aug 15 17:07:26.493176 bgp_peer_init: BGP peer 192.168.40.4 (Internal AS 17) local address 192.168.6.5 not found. Leaving peer idled Aug 15 17:07:32.597979 task_connect: task BGP_17.192.163.6.4+179 addr 192.163.6.4+179: No route to host Aug 15 17:07:32.599623 bgp_connect_start: connect 192.163.6.4 (Internal AS 17): No route to host Aug 15 17:07:36.869394 task_connect: task BGP_17.192.168.40.4+179 addr 192.168.40.4+179: No route to host Aug 15 17:07:36.870624 bgp_connect_start: connect 192.168.40.4 (Internal AS 17): No route to host Aug 15 17:08:04.599220 task_connect: task BGP_17.192.163.6.4+179 addr 192.163.6.4+179: No route to host Aug 15 17:08:04.601135 bgp_connect_start: connect 192.163.6.4 (Internal AS 17): No route to host Aug 15 17:08:08.869717 task_connect: task BGP_17.192.168.40.4+179 addr 192.168.40.4+179: No route to host Aug 15 17:08:08.869934 bgp_connect_start: connect 192.168.40.4 (Internal AS 17): No route to host Aug 15 17:08:36.603544 advertising receiving-speaker only capabilty to neighbor 192.163.6.4 (Internal AS 17) Aug 15 17:08:36.606726 bgp_read_message: 192.163.6.4 (Internal AS 17): 0 bytes buffered Aug 15 17:08:36.609119 Initiated BFD session to peer 192.163.6.4 (Internal AS 17): address=192.163.6.4 ifindex=0 ifname=(none) txivl=1000 rxivl=1000 mult=3 ver=255 Aug 15 17:08:36.734033 advertising receiving-speaker only capabilty to neighbor 192.168.40.4 (Internal AS 17) Aug 15 17:08:36.738436 Initiated BFD session to peer 192.168.40.4 (Internal AS 17): address=192.168.40.4 ifindex=0 ifname=(none) txivl=1000 rxivl=1000 mult=3 ver=255 Aug 15 17:08:40.537552 BFD session to peer 192.163.6.4 (Internal AS 17) up Aug 15 17:08:40.694410 BFD session to peer 192.168.40.4 (Internal AS 17) up
Bedeutung
Bevor die Routen eingerichtet werden, wird No route to host die Nachricht in der Ausgabe angezeigt. Nach der Einrichtung der Routen zeigen die beiden letzten Zeilen, dass beide BFD-Sitzungen eingerichtet werden.
Anzeigen detaillierter BFD-Ereignisse nach der Deaktivierung und Reaktivierung einer Loopback-Schnittstelle
Zweck
Sehen Sie selbst, was passiert, nachdem Sie einen Router oder Switch heruntergefahren haben, und bringen Sie ihn wieder zusammen. Um das Herunterschalten eines Routers oder Switches zu simulieren, deaktivieren Sie die Loopback-Schnittstelle auf Logischem System B.
Aktion
Geben Sie im Konfigurationsmodus den Befehl
deactivate logical-systems B interfaces lo0 unit 2 family inetein.user@host:A# deactivate logical-systems B interfaces lo0 unit 2 family inet user@host:A# commit
Geben Sie im Betriebsmodus den Befehl
file show /var/log/A/bgp-bfdein.user@host:A> file show /var/log/A/bgp-bfd ... Aug 15 17:20:55.995648 bgp_read_v4_message:9747: NOTIFICATION received from 192.163.6.4 (Internal AS 17): code 6 (Cease) subcode 6 (Other Configuration Change) Aug 15 17:20:56.004508 Terminated BFD session to peer 192.163.6.4 (Internal AS 17) Aug 15 17:21:28.007755 task_connect: task BGP_17.192.163.6.4+179 addr 192.163.6.4+179: No route to host Aug 15 17:21:28.008597 bgp_connect_start: connect 192.163.6.4 (Internal AS 17): No route to host
Geben Sie im Konfigurationsmodus den Befehl
activate logical-systems B interfaces lo0 unit 2 family inetein.user@host:A# activate logical-systems B interfaces lo0 unit 2 family inet user@host:A# commit
Geben Sie im Betriebsmodus den Befehl
file show /var/log/A/bgp-bfdein.user@host:A> file show /var/log/A/bgp-bfd ... Aug 15 17:25:53.623743 advertising receiving-speaker only capabilty to neighbor 192.163.6.4 (Internal AS 17) Aug 15 17:25:53.631314 Initiated BFD session to peer 192.163.6.4 (Internal AS 17): address=192.163.6.4 ifindex=0 ifname=(none) txivl=1000 rxivl=1000 mult=3 ver=255 Aug 15 17:25:57.570932 BFD session to peer 192.163.6.4 (Internal AS 17) up
Informationen zur BFD-Authentifizierung für BGP
Das bidirektionale Forwarding Detection Protocol (BFD) ermöglicht die schnelle Erkennung von Kommunikationsfehlern zwischen benachbarten Systemen. Standardmäßig ist die Authentifizierung für BFD-Sitzungen deaktiviert. Bei der Ausführung von BFD über Netzwerkschicht kann das Risiko eines Dienstangriffs erheblich sein. Wir empfehlen dringend die Verwendung von Authentifizierung, wenn BfD über mehrere Hops oder durch unsichere Tunnel ausgeführt wird. Ab Version Junos OS 9.6 unterstützt Junos OS Authentifizierung für BFD-Sitzungen, die über eine BGP. In OAM-Sitzungen wird die BFD-Authentifizierung MPLS nicht unterstützt. Die BFD-Authentifizierung wird nur in Kanada und den USA unterstützt, da das Junos OS-Image nicht in der Exportversion verfügbar ist.
Sie authentifizieren BFD-Sitzungen durch Angabe eines Authentifizierungsalgorithmus und Keychains und verknüpfen diese Konfigurationsinformationen dann mit einer Schlüsselkette zur Sicherheitsauthentifizierung mit dem Schlüsselchain-Namen.
In den folgenden Abschnitten werden die unterstützten Authentifizierungsalgorithmen, Sicherheits-Keychains und der Grad der Authentifizierung, die konfiguriert werden können, beschrieben:
- BFD-Authentifizierungsalgorithmen
- Sicherheitsauthentifizierungs-Keychains
- Strikte und lose Authentifizierung im Vergleich
BFD-Authentifizierungsalgorithmen
Junos OS unterstützt die folgenden Algorithmen für die BFD-Authentifizierung:
simple-password— Klartextkennwort. Zur Authentifizierung der BFD-Sitzung werden ein bis 16 Bytes Klartext verwendet. Es können mindestens ein Passwort konfiguriert werden. Diese Methode ist am sichersten und sollte nur verwendet werden, wenn BFD-Sitzungen nicht dem Abfangen von Paketen unterliegen.
keyed-md5- Keyed Message Digest 5 Hash-Algorithmus für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Zur Authentifizierung der BFD-Sitzung verwendet der wichtige MD5 einen oder mehrere geheime Schlüssel (vom Algorithmus generiert) und eine Sequenznummer, die regelmäßig aktualisiert wird. Bei dieser Methode werden Pakete am Ende der Empfangenden Sitzung akzeptiert, wenn einer der Schlüssel zueinander entspricht und die Sequenznummer größer oder gleich der letzten empfangenen Folgenummer ist. Obwohl diese Methode sicherer ist als ein einfaches Kennwort, ist sie anfällig für Replay-Angriffe. Wenn die Geschwindigkeit der Aktualisierung der Folgenummer erhöht wird, kann dieses Risiko reduziert werden.
meticulous-keyed-md5— Verschlüsselter Message Digest 5 Hash-Algorithmus. Diese Methode funktioniert genauso wie der Schlüssel zu MD5, aber die Sequence Number wird mit jedem Paket aktualisiert. Obwohl diese Methode sicherer ist als die Schlüssel-MD5 und einfache Passwörter, kann es mehr Zeit dauern, die Sitzung zu authentifizieren.
keyed-sha-1Keyed Secure Hash-Algorithmus I für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Zur Authentifizierung der BFD-Sitzung verwendet die Schlüsselschlüssel (vom Algorithmus generiert) und eine Sequenznummer, die regelmäßig aktualisiert wird. Der Schlüssel wird nicht in den Paketen übertragen. Bei dieser Methode werden Pakete am empfangenden Ende der Sitzung akzeptiert, wenn einer der Schlüssel zueinander passt und die Sequence Number größer ist als die letzte empfangene Folgenummer.
meticulous-keyed-sha-1— Verschlüsselter und wichtiger Secure Hash-Algorithmus I. Diese Methode funktioniert genauso wie der Schlüssel zu SHA, aber die Sequence Number wird mit jedem Paket aktualisiert. Obwohl diese Methode sicherer ist als die Schlüsselschlüssel und einfache Passwörter, kann die Authentifizierung der Sitzung zusätzliche Zeit in Dauern dauern.
Nonstop Active Routing (NSR) wird von anderen Authentifizierungsalgorithmen nicht unterstützt – keyed-md5 und anderen wichtigen Sha-1-Authentifizierungsalgorithmen. BfD-Sitzungen mit diesen Algorithmen können nach einem Switchover heruntergehen.
Die Switches und Switches der QFX5000-Serie EX4600 unterstützen keine Minimalintervalle von weniger als 1 Sekunde.
Sicherheitsauthentifizierungs-Keychains
Die Schlüsselkette zur Sicherheitsauthentifizierung definiert die Authentifizierungsattribute, die für Authentifizierungsschlüssel-Updates verwendet werden. Wenn die Schlüsselkette zur Sicherheitsauthentifizierung konfiguriert und über den Keychain-Namen mit einem Protokoll verknüpft wird, können Authentifizierungsschlüssel ohne Unterbrechung von Routing- und Signalisierungsprotokollen aktualisiert werden.
Die Authentifizierungs-Keychain enthält eine oder mehrere Keychains. Jede Schlüsselkette enthält einen oder mehrere Schlüssel. Jeder Schlüssel enthält die geheimen Daten und die Zeit, zu der der Schlüssel gültig wird. Der Algorithmus und die Keychain müssen an beiden Enden der BFD-Sitzung konfiguriert sein und müssen übereinstimmen. In der Konfiguration wird verhindert, dass die BFD-Sitzung erstellt wird.
Das BFD ermöglicht mehrere Clients pro Sitzung, und jeder Client kann über eine eigene Schlüsselkette und einen eigenen Algorithmus definiert sein. Um Verwirrungen zu vermeiden, empfehlen wir, nur eine Schlüsselkette zur Sicherheitsauthentifizierung anzugeben.
Strikte und lose Authentifizierung im Vergleich
Standardmäßig ist die strikte Authentifizierung aktiviert und die Authentifizierung wird an beiden Enden jeder BFD-Sitzung geprüft. Optional können Sie für eine reibungslose Migration von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen loses Prüfen konfigurieren. Wenn lose Überprüfungen konfiguriert sind, werden Pakete akzeptiert, ohne dass an jedem Sitzungsende die Authentifizierung geprüft wird. Diese Funktion ist nur für Übergangszeiträume vorgesehen.
Siehe auch
Beispiel: Konfigurieren der BFD-Authentifizierung für BGP
Ab Version Junos OS 9.6 können Sie die Authentifizierung für BFD-Sitzungen konfigurieren, die über eine BGP. Für die Konfiguration der Authentifizierung in einer BFD-Sitzung sind nur drei Schritte erforderlich:
Geben Sie den BFD-Authentifizierungsalgorithmus für das BGP an.
Assoziieren Sie die Authentifizierungs-Keychain mit BGP Protokoll.
Konfigurieren Sie die zugehörige Sicherheitsauthentifizierungs-Keychain.
Die folgenden Abschnitte enthalten Anweisungen zum Konfigurieren und Anzeigen der BFD-Authentifizierung auf BGP:
- Konfigurieren von BFD-Authentifizierungsparametern
- Anzeigen von Authentifizierungsinformationen für BFD-Sitzungen
Konfigurieren von BFD-Authentifizierungsparametern
Die BFD-Authentifizierung kann für das gesamte Protokoll BGP Protokoll oder für eine bestimmte Gruppe, einen BGP, einen Nachbarn oder eine Routinginstanz konfiguriert werden.
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Informationen zur Navigation in CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI Benutzerhandbuch.
So konfigurieren Sie die BFD-Authentifizierung:
Die BFD-Authentifizierung wird nur in Kanada und den USA unterstützt, da das Junos OS-Image nicht in der Exportversion verfügbar ist.
Anzeigen von Authentifizierungsinformationen für BFD-Sitzungen
Sie können die vorhandene BFD-Authentifizierungskonfiguration mit den und show bfd session detail den show bfd session extensive Befehlen anzeigen.
Im folgenden Beispiel wird die BFD-Authentifizierung, die für die BGP bgp-gr1 konfiguriert ist, veranschaulicht. Es gibt den schlüsselbasierten SHA-1-Authentifizierungsalgorithmus und den Namen einer Schlüsselkette von bfd-bgp an. Die Authentifizierungs-Keychain wird mit zwei Schlüsseln konfiguriert. Schlüssel enthält die geheimen Daten " und eine Startzeit vom 1$ABC123$ABC123 1. Juni 2009, um 9:46:02 PST. Der Schlüssel enthält die geheimen Daten " und eine Startzeit vom 2$ABC123$ABC123 1. Juni 2009, um 15:29:20 Uhr PST.
[edit protocols bgp]
group bgp-gr1 {
bfd-liveness-detection {
authentication {
algorithm keyed-sha-1;
key-chain bfd-bgp;
}
}
}
[edit security]
authentication key-chains {
key-chain bfd-bgp {
key 1 {
secret “$ABC123$ABC123”;
start-time “2009-6-1.09:46:02 -0700”;
}
key 2 {
secret “$ABC123$ABC123”;
start-time “2009-6-1.15:29:20 -0700”;
}
}
}
Wenn Sie diese Updates für Ihre Konfiguration festlegen, sehen Sie die Ausgabe ähnlich wie die folgenden. Wird in der Ausgabe für den Befehl angezeigt, um show bfd session detail anzuzeigen, Authenticate dass die BFD-Authentifizierung konfiguriert ist. Weitere Informationen zur Konfiguration erhalten Sie mit dem show bfd session extensive Befehl. Die Ausgabe für diesen Befehl enthält den Schlüsselchain-Namen, den Authentifizierungsalgorithmus und -modus für jeden Client in der Sitzung sowie den BFD-Konfigurationsstatus der Gesamtauthentifizierung, den Schlüsselkettennamen sowie den Authentifizierungsalgorithmus und -modus.
show bfd Sitzungsdetails
user@host# show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
192.0.2.2 Up ge-0/1/5.0 0.900 0.300 3
Client BGP, TX interval 0.300, RX interval 0.300, Authenticate
Session up time 3d 00:34
Local diagnostic None, remote diagnostic NbrSignal
Remote state Up, version 1
Replicated
show bfd Sitzung umfassend
user@host# show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
192.0.2.2 Up ge-0/1/5.0 0.900 0.300 3
Client BGP, TX interval 0.300, RX interval 0.300, Authenticate
keychain bfd-bgp, algo keyed-sha-1, mode strict
Session up time 00:04:42
Local diagnostic None, remote diagnostic NbrSignal
Remote state Up, version 1
Replicated
Min async interval 0.300, min slow interval 1.000
Adaptive async TX interval 0.300, RX interval 0.300
Local min TX interval 0.300, minimum RX interval 0.300, multiplier 3
Remote min TX interval 0.300, min RX interval 0.300, multiplier 3
Local discriminator 2, remote discriminator 2
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-bgp, algo keyed-sha-1, mode strict