Konfigurieren der OSPF-Fehlererkennung mit BFD
Grundlegendes zu BFD für OSPF
Das Bidirectional Forwarding Detection (BFD)-Protokoll ist ein einfacher Hallo-Mechanismus, der Fehler in einem Netzwerk erkennt. BFD funktioniert mit einer Vielzahl von Netzwerkumgebungen und Topologien. Ein Paar Routing-Geräte tauschen BFD-Pakete aus. Hallo Pakete werden in einem bestimmten, regelmäßigen Intervall gesendet. Ein Neighbor-Fehler wird erkannt, wenn das Routinggerät nach einem angegebenen Intervall keine Antwort mehr empfängt. Die BfD-Timer zur Fehlererkennung haben kürzere Zeitgrenzen als die OSPF-Fehlererkennungsmechanismen, sodass sie eine schnellere Erkennung ermöglichen.
Die BfD-Timer zur Fehlererkennung sind anpassungsfähig und können so angepasst werden, dass sie schneller oder langsamer sind. Je niedriger der Wert des BFD-Timers für die Fehlererkennung ist, desto schneller ist die Fehlererkennung und umgekehrt. So können sich die Timer beispielsweise an einen höheren Wert anpassen, wenn die Adjacency ausfällt (das heißt, der Timer erkennt Fehler langsamer). Oder ein Nachbar kann einen höheren Wert für einen Timer aushandeln als den konfigurierten Wert. Die Timer passen sich an einen höheren Wert an, wenn ein BFD-Sitzungsflapp mehr als dreimal in einem Zeitraum von 15 Sekunden auftritt. Ein Back-off-Algorithmus erhöht das Empfangsintervall (Rx) um zwei, wenn die lokale BFD-Instanz der Grund für den Sitzungs-Flap ist. Das Übertragungsintervall (Tx) wird um zwei erhöht, wenn die Remote-BFD-Instanz der Grund für die Sitzungsklappe ist. Sie können den clear bfd adaptation Befehl verwenden, um BFD-Intervall-Timer auf ihre konfigurierten Werte zurückzugeben. Der clear bfd adaptation Befehl ist hitless, was bedeutet, dass der Befehl keinen Einfluss auf den Datenverkehr auf dem Routinggerät hat.
Ex4600-Switches unterstützen keine Mindestintervallwerte von weniger als 1 Sekunde.
BFD wird für OSPFv3 in Junos OS Version 9.3 und höher unterstützt.
Für Firewalls der SRX-Serie in Zweigstellen empfehlen wir 1000 ms als minimales keepalives Zeitintervall für BFD-Pakete.
Sie können die folgenden BFD-Protokolleinstellungen konfigurieren:
detection-time threshold—Schwellenwert für die Anpassung der Erkennungszeit. Wenn sich die Zeit für die BfD-Sitzungserkennung an einen Wert anpasst, der dem konfigurierten Schwellenwert entspricht oder höher ist, werden eine einzelne Trap- und eine einzelne Systemprotokollnachricht gesendet.full-neighbors-only— Möglichkeit, BFD-Sitzungen nur für OSPF-Nachbarn mit vollständiger Nachbarschaft einzurichten Das Standardverhalten besteht darin, BFD-Sitzungen für alle OSPF-Nachbarn einzurichten. Diese Einstellung ist in Junos OS Version 9.5 und höher verfügbar.minimum-interval– Minimales Sende- und Empfangsintervall für die Fehlererkennung. Diese Einstellung konfiguriert sowohl das Mindestintervall, nach dem das lokale Routinggerät Hallo-Pakete überträgt, als auch das Mindestintervall, nach dem das Routinggerät eine Antwort von dem Nachbarn erwartet, mit dem es eine BFD-Sitzung eingerichtet hat. Beide Intervalle liegen in Millisekunden. Sie können die mindesten Sende- und Empfangsintervalle auch separat mit den Anweisungen undminimum-receive-intervaldentransmit-interval minimum-intervalAnweisungen angeben.Hinweis:BFD ist ein intensives Protokoll, das Systemressourcen verbraucht. Die Festlegung eines Mindestintervalls für BFD von weniger als 100 ms für Routing-Engine-basierten Sitzungen und 10 ms für verteilte BFD-Sitzungen kann zu unerwünschtem BFD-Flappen führen.
Je nach Ihrer Netzwerkumgebung kann Folgendes gelten:
Geben Sie für groß angelegte Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen ein Mindestintervall von mindestens 500 ms an. Ein Intervall von 1000 ms wird empfohlen, um instabile Probleme zu vermeiden.
Damit BFD-Sitzungen während eines Routing-Engine-Switchover-Ereignisses bei der Konfiguration von Nonstop Active Routing (NSR) weiterhin geöffnet bleiben, geben Sie ein Mindestintervall von 2500 ms für Routing-Engine-basierte Sitzungen an. Ohne NSR können Routing-Engine-basierte Sitzungen ein Mindestintervall von 100 ms haben.
-
Für verteilte BFD-Sitzungen mit konfigurierter NSR sind die Mindestintervallempfehlungen unverändert und hängen nur von Ihrer Netzwerkbereitstellung ab.
-
Junos OS 21.2R1 und höher unterstützen verteilte OSPFv3- und ISIS-BFD-Sitzungen mit lokalen IPv6-Link-Adressen auf Routern der MX-Serie mit MPCs 1 bis 9 (es wird auf MPC 10 oder MPC 11 nicht unterstützt). Der Standard für IPv6 Link Local BFD ist inline-Modus.
-
BFD wird vor Junos 21.2 nicht verteilt (da FÜR OSPFv3 BFD in der Routing-Engine basiert).
Wenn Sie auf einem einzelnen QFX5100-Switch ein QFX-EM-4Q-Erweiterungsmodul hinzufügen, geben Sie ein Mindestintervall über 1000 ms an.
minimum-receive-interval– Minimales Empfangsintervall für die Fehlererkennung Mit dieser Einstellung wird das minimale Empfangsintervall in Millisekunden konfiguriert, nach dem das Routinggerät ein Hallo-Paket von einem Nachbarn empfängt, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können das mindeste Empfangsintervall auch mithilfe derminimum-intervalAnweisung angeben.multiplier— Multiplikator für Hallo-Pakete. Diese Einstellung konfiguriert die Anzahl der Hallo-Pakete, die nicht von einem Nachbarn empfangen werden, wodurch die Ursprungsschnittstelle deklariert wird. Standardmäßig führen drei fehlende Hallo-Pakete dazu, dass die Ursprungsschnittstelle deklariert wird.no-adaptation— Deaktiviert die BFD-Anpassung. Diese Einstellung deaktiviert die Anpassung von BFD-Sitzungen an sich ändernde Netzwerkbedingungen. Diese Einstellung ist in Junos OS Version 9.0 und höher verfügbar.Hinweis:Wir empfehlen, die BFD-Anpassung nicht zu deaktivieren, es sei denn, es ist empfehlenswert, keine BFD-Anpassung in Ihrem Netzwerk zu haben.
transmit-interval minimum-interval– Minimales Übertragungsintervall für die Fehlererkennung. Diese Einstellung konfiguriert das minimale Übertragungsintervall in Millisekunden, bei dem das lokale Routinggerät Hallo-Pakete an den Nachbarn überträgt, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können mithilfe der Anweisung auch dasminimum-intervalmindeste Übertragungsintervall angeben.transmit-interval threshold—Schwellenwert für die Anpassung des BfD-Sitzungsübertragungsintervalls. Wenn sich das Übertragungsintervall an einen Wert anpasst, der den Schwellenwert überschreitet, werden eine einzelne Trap und eine einzige Systemprotokollnachricht gesendet. Der Schwellenwert muss größer als das mindeste Übertragungsintervall sein. Wenn Sie versuchen, eine Konfiguration mit einem Schwellenwert unter dem Mindestübertragungsintervall zu bestätigen, zeigt das Routinggerät einen Fehler an und akzeptiert die Konfiguration nicht.version— BFD-Version. Mit dieser Einstellung wird die für die Erkennung verwendete BFD-Version konfiguriert. Sie können BFD-Version 1 explizit konfigurieren, oder das Routinggerät kann die BFD-Version automatisch erkennen. Standardmäßig erkennt das Routinggerät automatisch die BFD-Version, die entweder 0 oder 1 ist.
Sie können auch BFD-Vorgänge zur Fehlerbehebung nachverfolgen.
Beispiel: Konfigurieren von BFD für OSPF
In diesem Beispiel wird gezeigt, wie Sie das BFD-Protokoll (Bidirectional Forwarding Detection) für OSPF konfigurieren.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Geräteschnittstellen. Weitere Informationen finden Sie in der Junos OS Network Interfaces Library für Routing-Geräte.
Konfigurieren Sie die Router-Kennungen für die Geräte in Ihrem OSPF-Netzwerk. Siehe Beispiel: Konfigurieren eines OSPF-Router-Bezeichners.
Wählen Sie den vom OSPF vorgesehenen Router aus. Siehe Beispiel: Kontrolle der OSPF Designated Router-Wahl.
Konfigurieren Sie ein OSPF-Netzwerk mit nur einem Bereich. Siehe Beispiel: Konfigurieren eines Single-Area-OSPF-Netzwerks.
Konfigurieren Sie ein OSPF-Netzwerk mit mehreren Umgebungen. Siehe Beispiel: Konfigurieren eines OSPF-Netzwerks mit mehreren Bereichen.
Konfigurieren Sie ein OSPF-Netzwerk mit mehreren Umgebungen. Siehe Beispiel: Konfigurieren eines OSPF-Netzwerks mit mehreren Bereichen.
Übersicht
Eine Alternative zur Anpassung der OSPF Hallo Intervall- und Totintervalleinstellungen, um die Routenkonvergenz zu erhöhen, ist die Konfiguration von BFD. Das BFD-Protokoll ist ein einfacher Hallo-Mechanismus, der Fehler in einem Netzwerk erkennt. Die BfD-Timer zur Fehlererkennung haben kürzere Zeitlimits als die OSPF-Fehlererkennungsmechanismen und bieten so eine schnellere Erkennung.
BFD ist nützlich für Schnittstellen, die Fehler nicht schnell erkennen können, wie z. B. Ethernet-Schnittstellen. Andere Schnittstellen, wie z. B. SONET-Schnittstellen, verfügen bereits über integrierte Fehlererkennung. Die Konfiguration von BFD auf diesen Schnittstellen ist überflüssig.
Sie konfigurieren BFD auf einem Paar benachbarter OSPF-Schnittstellen. Im Gegensatz zu den OSPF Hallo Intervall- und Totintervalleinstellungen müssen Sie BFD nicht auf allen Schnittstellen in einem OSPF-Bereich aktivieren.
In diesem Beispiel aktivieren Sie die Fehlererkennung, indem Sie die bfd-liveness-detection Anweisung auf der benachbarten OSPF-Schnittstelle fe-0/1/0 im Bereich 0.0.0.0 angeben und das BFD-Paketaustauschintervall auf 300 Millisekunden konfigurieren, 4 als Die Anzahl der verpassten Hallo-Pakete konfigurieren, die dazu führen, dass die Ursprungsschnittstelle deklariert wird, und konfigurieren BFD-Sitzungen nur für OSPF-Nachbarn mit vollständiger Nachbarschaft, indem Sie die folgenden Einstellungen angeben:
Nur mit vollständigen Nachbarn: In Junos OS Version 9.5 und höher konfiguriert das BFD-Protokoll so, dass BFD-Sitzungen nur für OSPF-Nachbarn mit vollständiger Nachbarschaft einrichten. Das Standardverhalten besteht darin, BFD-Sitzungen für alle OSPF-Nachbarn einzurichten.
Minimum-Interval: Konfiguriert das Mindestintervall in Millisekunden, nach dem das lokale Routing-Gerät Hallo-Pakete überträgt, sowie das Mindestintervall, nach dem das Routinggerät eine Antwort von dem Nachbarn erwartet, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können eine Zahl im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Sie können die mindesten Sende- und Empfangsintervalle auch separat angeben, indem Sie die Mindestintervalle für das Übertragungsintervall und
minimum-receive-intervaldie Anweisungen verwenden.Hinweis:BFD ist ein intensives Protokoll, das Systemressourcen verbraucht. Die Festlegung eines Mindestintervalls für BFD von weniger als 100 ms für Routing-Engine-basierten Sitzungen und 10 ms für verteilte BFD-Sitzungen kann zu unerwünschtem BFD-Flappen führen.
Je nach Ihrer Netzwerkumgebung können diese zusätzlichen Empfehlungen gelten:
Geben Sie für groß angelegte Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen ein Mindestintervall von mindestens 500 ms an. Ein Intervall von 1000 ms wird empfohlen, um instabile Probleme zu vermeiden.
Hinweis:Für den bfdd-Prozess ist das festgelegte Erkennungszeitintervall niedriger als 300 ms. Wenn auf dem System ein Prozess mit hoher Priorität wie ppmd ausgeführt wird, verbringt die CPU möglicherweise Zeit für den ppmd-Prozess und nicht für den bfdd-Prozess.
Für Firewalls der SRX-Serie in Zweigstellen empfehlen wir 1000 ms als minimales keepalives Zeitintervall für BFD-Pakete.
Für sehr große Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen wenden Sie sich an den Kundensupport von Juniper Networks, um weitere Informationen zu erhalten.
Damit BFD-Sitzungen während eines Routing-Engine-Switchover-Ereignisses bei der Konfiguration von Nonstop Active Routing (NSR) weiterhin geöffnet bleiben, geben Sie ein Mindestintervall von 2500 ms für Routing-Engine-basierte Sitzungen an. Für verteilte BFD-Sitzungen mit konfigurierter NSR sind die Mindestintervallempfehlungen unverändert und hängen nur von Ihrer Netzwerkbereitstellung ab.
Multiplikator: Konfiguriert die Anzahl der Hallo-Pakete, die nicht von einem Nachbarn empfangen werden, wodurch die Ursprungsschnittstelle deklariert wird. Standardmäßig führen drei fehlende Hallo-Pakete dazu, dass die Ursprungsschnittstelle deklariert wird. Sie können einen Wert im Bereich von 1 bis 255 konfigurieren.
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um das BFD-Protokoll für OSPF schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen sie alle Zeilenumbrüche, ändern alle erforderlichen Details, um ihre Netzwerkkonfiguration zu entsprechen, kopieren Sie die Befehle, fügen Sie sie auf Hierarchieebene [bearbeiten] in die CLI ein, und geben Sie dann aus dem Konfigurationsmodus ein commit .
[edit] set protocols ospf area 0.0.0.0 interface fe-0/0/1 bfd-liveness-detection minimum-interval 300 set protocols ospf area 0.0.0.0 interface fe-0/0/1 bfd-liveness-detection multiplier 4 set protocols ospf area 0.0.0.0 interface fe-0/0/1 bfd-liveness-detection full-neighbors-only
Schritt-für-Schritt-Verfahren
So konfigurieren Sie das BFD-Protokoll für OSPF auf einer benachbarten Schnittstelle:
Erstellen Sie einen OSPF-Bereich.
Hinweis:Um OSPFv3 anzugeben, fügen Sie die
ospf3Anweisung auf[edit protocols]Hierarchieebene ein.[edit] user@host# edit protocols ospf area 0.0.0.0
Geben Sie die Schnittstelle an.
[edit protocols ospf area 0.0.0.0] user@host# set interface fe-0/0/1
Geben Sie die mindesten Sende- und Empfangsintervalle an.
[edit protocols ospf area 0.0.0.0 ] user@host# set interface fe-0/0/1 bfd-liveness-detection minimum-interval 300
Konfigurieren Sie die Anzahl der verpassten Hallo-Pakete, die dazu führen, dass die Ursprungsschnittstelle deklariert wird.
[edit protocols ospf area 0.0.0.0 ] user@host# set interface fe-0/0/1 bfd-liveness-detection multiplier 4
Konfigurieren Sie BFD-Sitzungen nur für OSPF-Nachbarn mit vollständiger Nachbarschaft.
[edit protocols ospf area 0.0.0.0 ] user@host# set interface fe-0/0/1 bfd-liveness-detection full-neighbors-only
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit protocols ospf area 0.0.0.0 ] user@host# commit
Hinweis:Wiederholen Sie diese gesamte Konfiguration auf der anderen benachbarten Schnittstelle.
Ergebnisse
Bestätigen Sie Ihre Konfiguration durch Eingabe des show protocols ospf Befehls. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show protocols ospf
area 0.0.0.0 {
interface fe-0/0/1.0 {
bfd-liveness-detection {
minimum-interval 300;
multiplier 4;
full-neighbors-only;
}
}
}
Geben Sie den show protocols ospf3 Befehl ein, um Ihre OSPFv3-Konfiguration zu bestätigen.
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfung der BFD-Sitzungen
Zweck
Stellen Sie sicher, dass die OSPF-Schnittstellen aktive BFD-Sitzungen haben und dass die Sitzungskomponenten korrekt konfiguriert wurden.
Aktion
Geben Sie im Betriebsmodus den show bfd session detail Befehl ein.
Bedeutung
Die Ausgabe zeigt Informationen zu den BFD-Sitzungen an.
Im Feld "Adresse" wird die IP-Adresse des Nachbarn angezeigt.
Das Feld Schnittstelle zeigt die Schnittstelle an, die Sie für BFD konfiguriert haben.
Das Feld Status zeigt den Status des Nachbarn an und sollte vollständig angezeigt werden, um die von Ihnen konfigurierte vollständige Nachbarschaft widerzuspiegeln.
Das Feld Übertragungsintervall zeigt das Zeitintervall an, das Sie für das Senden von BFD-Paketen konfiguriert haben.
Das Multiplikatorfeld zeigt den konfigurierten Multiplikator an.
Grundlegendes zur BFD-Authentifizierung für OSPF
Bidirectional Forwarding Detection (BFD) ermöglicht die schnelle Erkennung von Kommunikationsfehlern zwischen benachbarten Systemen. Standardmäßig ist die Authentifizierung für BFD-Sitzungen deaktiviert. Wenn Sie jedoch BFD über Protokolle auf Netzwerkebene ausführen, kann das Risiko von Serviceangriffen erheblich sein. Wir empfehlen dringend die Authentifizierung, wenn Sie BFD über mehrere Hops oder über unsichere Tunnel ausführen. Ab Junos OS Version 9.6 unterstützt Junos OS die Authentifizierung für BFD-Sitzungen, die über OSPFv2 ausgeführt werden. DIE BFD-Authentifizierung wird in MPLS-OAM-Sitzungen nicht unterstützt. Die BFD-Authentifizierung wird nur in der Kanada- und US-Version des Junos OS-Images unterstützt und ist in der Exportversion nicht verfügbar.
Sie authentifizieren BFD-Sitzungen, indem Sie einen Authentifizierungsalgorithmus und einen Schlüsselbund angeben und diese Konfigurationsinformationen dann mithilfe des Schlüsselbundnamens einer Sicherheitsauthentifizierung zuordnen.
In den folgenden Abschnitten werden die unterstützten Authentifizierungsalgorithmen, Sicherheitsschlüsselketten und Authentifizierungsebenen beschrieben, die konfiguriert werden können:
- BFD-Authentifizierungsalgorithmen
- Sicherheitsauthentifizierungs-Keychains
- Strikte versus lose Authentifizierung
BFD-Authentifizierungsalgorithmen
Junos OS unterstützt die folgenden Algorithmen für DIE BFD-Authentifizierung:
simple-password – Klartextkennwort. Zur Authentifizierung der BFD-Sitzung werden 1 bis 16 Byte Klartext verwendet. Ein oder mehrere Passwörter können konfiguriert werden. Diese Methode ist die geringste Sicherheit und sollte nur verwendet werden, wenn BFD-Sitzungen nicht dem Abfangen von Paketen unterliegen.
keyed-md5– Keyed Message Digest 5 Hash-Algorithmus für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Zur Authentifizierung der BFD-Sitzung verwendet keyed MD5 einen oder mehrere geheime Schlüssel (vom Algorithmus generiert) und eine Sequenznummer, die in regelmäßigen Abständen aktualisiert wird. Mit dieser Methode werden Pakete am empfangenden Ende der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer oder gleich der zuletzt empfangenen Sequenznummer ist. Obwohl diese Methode sicherer ist als ein einfaches Passwort, ist sie anfällig für Replay-Angriffe. Wenn die Sequenznummer aktualisiert wird, kann dieses Risiko verringert werden.
akribisch-keyed-md5 – Akribisch keyed Message Digest 5 Hash-Algorithmus. Diese Methode funktioniert auf dieselbe Weise wie keyed MD5, aber die Sequenznummer wird mit jedem Paket aktualisiert. Diese Methode ist zwar sicherer als der schlüsselgebundene MD5 und einfache Passwörter, kann jedoch zusätzliche Zeit in Anspruch nehmen, um die Sitzung zu authentifizieren.
keyed-sha-1 – Keyed Secure Hash Algorithm I für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Zur Authentifizierung der BFD-Sitzung verwendet keyed SHA einen oder mehrere geheime Schlüssel (vom Algorithmus generiert) und eine Sequenznummer, die in regelmäßigen Abständen aktualisiert wird. Der Schlüssel wird nicht in den Paketen übertragen. Mit dieser Methode werden Pakete am Empfangende der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer ist als die zuletzt empfangene Sequenznummer.
akribisch-sha-1 – Akribisch verschlüsselter sicherer Hash-Algorithmus I. Diese Methode funktioniert auf die gleiche Weise wie keyed SHA, aber die Sequenznummer wird mit jedem Paket aktualisiert. Obwohl diese Methode sicherer ist als schlüsselgebundene SHA und einfache Passwörter, kann die Authentifizierung der Sitzung zusätzliche Zeit in Anspruch nehmen.
Nonstop Active Routing (NSR) wird mit den Authentifizierungsalgorithmen akribisch-keyed-md5 und akribisch-keyed-sha-1 nicht unterstützt. BFD-Sitzungen, die diese Algorithmen verwenden, können nach einem Switchover ausfallen.
Switches der QFX5000-Serie und EX4600-Switches unterstützen keine Mindestintervallwerte von weniger als 1 Sekunde.
Sicherheitsauthentifizierungs-Keychains
Der Schlüsselbund für die Sicherheitsauthentifizierung definiert die Authentifizierungsattribute, die für Authentifizierungsschlüsselaktualisierungen verwendet werden. Wenn der Schlüsselbund für die Sicherheitsauthentifizierung konfiguriert und über den Namen des Schlüsselbundes einem Protokoll zugeordnet ist, können Authentifizierungsschlüsselaktualisierungen erfolgen, ohne dass Routing- und Signalprotokolle unterbrochen werden.
Der Authentifizierungsschlüsselbund enthält einen oder mehrere Schlüsselketten. Jeder Schlüsselbund enthält einen oder mehrere Schlüssel. Jeder Schlüssel enthält die geheimen Daten und den Zeitpunkt, zu dem der Schlüssel gültig wird. Der Algorithmus und der Schlüsselbund müssen an beiden Enden der BFD-Sitzung konfiguriert werden, und sie müssen übereinstimmen. Jede Nichtübereinstimmung in der Konfiguration verhindert, dass die BFD-Sitzung erstellt wird.
BFD erlaubt mehrere Clients pro Sitzung, und für jeden Client kann ein eigener Schlüsselbund und ein eigener Algorithmus definiert werden. Um Verwechslungen zu vermeiden, empfehlen wir, nur einen Schlüsselbund für die Sicherheitsauthentifizierung anzugeben.
Strikte versus lose Authentifizierung
Standardmäßig ist die strikte Authentifizierung aktiviert und die Authentifizierung wird an beiden Enden jeder BFD-Sitzung überprüft. Optional können Sie eine lose Prüfung konfigurieren, um eine reibungslose Migration von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen zu ermöglichen. Wenn eine lose Prüfung konfiguriert ist, werden Pakete akzeptiert, ohne dass die Authentifizierung an jedem Ende der Sitzung geprüft wird. Diese Funktion ist nur für Übergangszeiten vorgesehen.
Konfigurieren der BFD-Authentifizierung für OSPF
Ab Junos OS Version 9.6 können Sie die Authentifizierung für BFD-Sitzungen konfigurieren, die über OSPFv2 ausgeführt werden. Routing-Instanzen werden ebenfalls unterstützt.
In den folgenden Abschnitten finden Sie Anweisungen zur Konfiguration und Anzeige der BFD-Authentifizierung auf OSPF:
- Konfigurieren von BFD-Authentifizierungsparametern
- Anzeigen von Authentifizierungsinformationen für BFD-Sitzungen
Konfigurieren von BFD-Authentifizierungsparametern
Es sind nur drei Schritte erforderlich, um die Authentifizierung in einer BFD-Sitzung zu konfigurieren:
Geben Sie den BFD-Authentifizierungsalgorithmus für das OSPFv2-Protokoll an.
Weisen Sie den Authentifizierungsschlüsselbund dem OSPFv2-Protokoll zu.
Konfigurieren Sie den zugehörigen Schlüsselbund für die Sicherheitsauthentifizierung.
So konfigurieren Sie die BFD-Authentifizierung:
Die BFD-Authentifizierung wird nur in der Kanada- und US-Version des Junos OS-Images unterstützt und ist in der Exportversion nicht verfügbar.
Anzeigen von Authentifizierungsinformationen für BFD-Sitzungen
Sie können die vorhandene BFD-Authentifizierungskonfiguration mit den show bfd session detail befehlen und show bfd session extensive anzeigen.
Das folgende Beispiel zeigt die für die if2-ospf BGP-Gruppe konfigurierte BFD-Authentifizierung. Es gibt den schlüsselgebundenen SHA-1-Authentifizierungsalgorithmus und den Schlüsselbundnamen bfd-ospf an. Der Authentifizierungsschlüsselbund ist mit zwei Schlüsseln konfiguriert. Key 1 enthält die geheimen Daten "$ABC 123$ABC123" und eine Startzeit vom 1. Juni 2009 um 9:46:02 Uhr PST. Schlüssel 2 enthält die geheimen Daten "$ABC 123$ABC123" und eine Startzeit vom 1. Juni 2009 um 15:29:20 Uhr PST.
[edit protocols ospf]
area 0.0.0.1 {
interface if2-ospf {
bfd-liveness-detection {
authentication {
algorithm keyed-sha-1;
key-chain bfd-ospf;
}
}
}
}
[edit security]
authentication key-chains {
key-chain bfd-ospf {
key 1 {
secret “$ABC123$ABC123”; ## SECRET-DATA
start-time “2009-6-1.09:46:02 -0700”;
}
key 2 {
secret “$ABC123$ABC123”;
start-time “2009-6-1.15:29:20 -0700”; ## SECRET-DATA
}
}
}
Wenn Sie diese Updates für Ihre Konfiguration festlegen, wird eine Ausgabe ähnlich wie folgt angezeigt. In der Ausgabe für den show bfd session detail Befehl wird Authenticate angezeigt, um anzugeben, dass die BFD-Authentifizierung konfiguriert ist.
bfd-Sitzungsdetails anzeigen
user@host# show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
10.9.1.33 Up so-7/1/0.0 0.600 0.200 3
Client OSPF, TX interval 0.200, RX interval 0.200, multiplier 3, Authenticate
Session up time 3d 00:34
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated
1 sessions, 1 clients
Cumulative transmit rate 10.0 pps, cumulative receive rate 10.0 pps
Verwenden Sie den show bfd session extensive Befehl, um weitere Informationen zur Konfiguration zu erhalten. Die Ausgabe für diesen Befehl enthält den Schlüsselbundnamen, den Authentifizierungsalgorithmus und -modus für jeden Client in der Sitzung sowie den allgemeinen BfD-Authentifizierungskonfigurationsstatus, den Schlüsselbundnamen sowie den Authentifizierungsalgorithmus und -modus.
bfd-Sitzung umfassend anzeigen
user@host# show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
10.9.1.33 Up so-7/1/0.0 0.600 0.200 3
Client OSPF, TX interval 0.200, RX interval 0.200, multiplier 3, Authenticate
keychain bfd-ospf, algo keyed-md5, mode loose
Session up time 3d 00:34
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated
Min async interval 0.200, min slow interval 1.000
Adaptive async tx interval 0.200, rx interval 0.200
Local min tx interval 0.200, min rx interval 0.200, multiplier 3
Remote min tx interval 0.100, min rx interval 0.100, multiplier 3
Threshold transmission interval 0.000, Threshold for detection time 0.000
Local discriminator 11, remote discriminator 80
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-ospf, algo keyed-sha-1, mode strict
1 sessions, 1 clients
Cumulative transmit rate 10.0 pps, cumulative receive rate 10.0 pps