Konfiguration der OSPF-Fehlererkennung mit BFD
Grundlegendes zu BFD für OSPF
Das BFD-Protokoll (Bidirectional Forwarding Detection) ist ein einfacher Hallo-Mechanismus, der Fehler in einem Netzwerk erkennt. BFD arbeitet mit einer Vielzahl von Netzwerkumgebungen und -topologien. Ein Paar von Routing-Geräten tauscht BFD-Pakete aus. Hello-Pakete werden in einem festgelegten, regelmäßigen Intervall gesendet. Ein Nachbarfehler wird erkannt, wenn das Routinggerät nach einem bestimmten Intervall keine Antwort mehr empfängt. Die Timer für die BFD-Fehlererkennung haben kürzere Zeitlimits als die OSPF-Fehlererkennungsmechanismen, sodass sie eine schnellere Erkennung ermöglichen.
Die Timer für die BFD-Fehlererkennung sind adaptiv und können so eingestellt werden, dass sie schneller oder langsamer sind. Je niedriger der Timerwert für die BFD-Fehlererkennung, desto schneller erfolgt die Fehlererkennung und umgekehrt. Beispielsweise können die Timer an einen höheren Wert angepasst werden, wenn die Nachbarschaft fehlschlägt (d. h., der Timer erkennt Fehler langsamer). Oder ein Nachbar kann einen höheren Wert für einen Timer aushandeln als den konfigurierten Wert. Die Timer passen sich an einen höheren Wert an, wenn eine BFD-Sitzungsklappe mehr als dreimal in einer Zeitspanne von 15 Sekunden auftritt. Ein Back-Off-Algorithmus erhöht das Empfangsintervall (Rx) um zwei, wenn die lokale BFD-Instanz der Grund für die Sitzungsstörung ist. Das Übertragungsintervall (Tx) wird um zwei erhöht, wenn die entfernte BFD-Instanz der Grund für die Sitzungsstörung ist. Mit dem Befehl können Sie BFD-Intervall-Timer clear bfd adaptation auf ihre konfigurierten Werte zurücksetzen. Der clear bfd adaptation Befehl ist hitless, was bedeutet, dass sich der Befehl nicht auf den Datenverkehrsfluss auf dem Routing-Gerät auswirkt.
Switches der Serie EX4600 und QFX5000, die Junos OS oder Junos OS Evolved ausgeführt werden, unterstützen keine Mindestintervallwerte von weniger als 1 Sekunde im zentralisierten und verteilten Modus.
BFD wird für OSPFv3 in Junos OS Version 9.3 und höher unterstützt.
Für Firewalls der SRX-Serie für Zweigstellen empfehlen wir 1000 ms als minimales Keepalive-Zeitintervall für BFD-Pakete.
Für vSRX 3.0 empfehlen wir 300 ms als minimales Keepalive-Zeitintervall für BFD-Pakete.
Sie können die folgenden BFD-Protokolleinstellungen konfigurieren:
detection-time threshold—Schwellenwert für die Anpassung der Erkennungszeit. Wenn sich die Erkennungszeit der BFD-Sitzung an einen Wert anpasst, der gleich oder größer als der konfigurierte Schwellenwert ist, werden ein einzelner Trap und eine einzelne Systemprotokollnachricht gesendet.full-neighbors-only– Möglichkeit, BFD-Sitzungen nur für OSPF-Nachbarn einzurichten, die sich in direkter Nachbarschaft befinden. Das Standardverhalten besteht darin, BFD-Sitzungen für alle OSPF-Nachbarn einzurichten. Diese Einstellung ist in Junos OS Version 9.5 und höher verfügbar.minimum-intervalMinimales Sende- und Empfangsintervall für die Fehlererkennung. Diese Einstellung konfiguriert sowohl das minimale Intervall, nach dem das lokale Routing-Gerät Hello-Pakete überträgt, als auch das minimale Intervall, nach dem das Routing-Gerät eine Antwort von dem Nachbarn erwartet, mit dem es eine BFD-Sitzung eingerichtet hat. Beide Intervalle werden in Millisekunden angegeben. Sie können die minimalen Sende- und Empfangsintervalle auch separat mit dentransmit-interval minimum-intervalminimum-receive-intervalAnweisungen und angeben.Anmerkung:BFD ist ein intensives Protokoll, das Systemressourcen verbraucht. Die Angabe eines Mindestintervalls für BFD von weniger als 100 ms für Routing-Engine-basierte Sitzungen und 10 ms für verteilte BFD-Sitzungen kann zu unerwünschtem BFD-Flapping führen.
Abhängig von Ihrer Netzwerkumgebung kann Folgendes zutreffen:
Geben Sie für groß angelegte Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen ein Mindestintervall von mindestens 500 ms an. Ein Intervall von 1000 ms wird empfohlen, um Instabilitätsprobleme zu vermeiden.
Damit BFD-Sitzungen während eines Routing-Engine-Switchover-Ereignisses aktiv bleiben, wenn Nonstop Active Routing (NSR) konfiguriert ist, geben Sie ein Mindestintervall von 2500 ms für Routing-Engine-basierte Sitzungen an. Ohne NSR können Routing-Engine-basierte Sitzungen ein Mindestintervall von 100 ms haben.
-
Für verteilte BFD-Sitzungen mit konfiguriertem NSR bleiben die Empfehlungen für das Mindestintervall unverändert und hängen nur von Ihrer Netzwerkbereitstellung ab.
-
Junos OS 21.2R1 und höher unterstützen verteilte OSPFv3- und ISIS-BFD-Sitzungen mit lokalen IPv6-Link-Adressen auf Routern der MX-Serie, auf denen MPCs 1 bis 9 ausgeführt werden (dies wird auf MPC 10 oder MPC 11 nicht unterstützt). Die Standardeinstellung für IPv6 Link Local BFD ist der Inline-Modus.
-
BFD wird nicht vor Junos 21.2 verteilt (da BFD für OSPFv3 in der Routing-Engine basiert).
Wenn Sie auf einem einzelnen QFX5100-Switch ein QFX-EM-4Q-Erweiterungsmodul hinzufügen, geben Sie ein Mindestintervall über 1000 ms an.
minimum-receive-interval– Minimales Empfangsintervall für die Fehlererkennung. Mit dieser Einstellung wird das minimale Empfangsintervall in Millisekunden konfiguriert, nach dem das Routinggerät ein Hello-Paket von einem Nachbarn erwartet, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können auch das minimale Empfangsintervall mithilfe derminimum-intervalAnweisung angeben.multiplier– Multiplikator für Hallo-Pakete. Mit dieser Einstellung wird die Anzahl der hello-Pakete konfiguriert, die nicht von einem Nachbarn empfangen werden, was dazu führt, dass die ursprüngliche Schnittstelle als inaktiv deklariert wird. Standardmäßig führen drei verpasste hello-Pakete dazu, dass die ursprüngliche Schnittstelle als inaktiv deklariert wird.no-adaptation—Deaktiviert die BFD-Anpassung. Diese Einstellung verhindert, dass sich BFD-Sitzungen an sich ändernde Netzwerkbedingungen anpassen. Diese Einstellung ist in Junos OS Version 9.0 und höher verfügbar.Anmerkung:Es wird empfohlen, die BFD-Anpassung nicht zu deaktivieren, es sei denn, es ist vorzuziehen, die BFD-Anpassung in Ihrem Netzwerk nicht zu verwenden.
transmit-interval minimum-interval– Minimales Übertragungsintervall für die Fehlererkennung. Mit dieser Einstellung wird das minimale Übertragungsintervall in Millisekunden konfiguriert, in dem das lokale Routing-Gerät hello-Pakete an den Nachbarn sendet, mit dem es eine BFD-Sitzung eingerichtet hat. Mit derminimum-intervalAnweisung können Sie auch das minimale Übertragungsintervall angeben.transmit-interval threshold—Schwellenwert für die Anpassung des Sendeintervalls der BFD-Sitzung. Wenn sich das Übertragungsintervall an einen Wert anpasst, der größer als der Schwellenwert ist, werden ein einzelner Trap und eine einzelne Systemprotokollmeldung gesendet. Der Schwellwert muss größer als das minimale Sendeintervall sein. Wenn Sie versuchen, eine Konfiguration mit einem Schwellenwert zu bestätigen, der kleiner als das minimale Übertragungsintervall ist, zeigt das Routing-Gerät einen Fehler an und akzeptiert die Konfiguration nicht.version—BFD-Version. Mit dieser Einstellung wird die BFD-Version konfiguriert, die für die Erkennung verwendet wird. Sie können die BFD-Version 1 explizit konfigurieren, oder das Routing-Gerät kann die BFD-Version automatisch erkennen. Standardmäßig erkennt das Routing-Gerät automatisch die BFD-Version, die entweder 0 oder 1 ist.
Sie können BFD-Vorgänge auch zu Zwecken der Fehlerbehebung verfolgen.
Beispiel: BFD für OSPF konfigurieren
In diesem Beispiel wird gezeigt, wie das BFD-Protokoll (Bidirectional Forwarding Detection) für OSPF konfiguriert wird.
Anforderungen
Bevor Sie beginnen:
Konfigurieren Sie die Geräteschnittstellen. Routing-Geräte finden Sie in der Junos OS Network Interfaces Library.
Konfigurieren Sie die Router-IDs für die Geräte in Ihrem OSPF-Netzwerk. Siehe Beispiel: Konfigurieren einer OSPF-Router-Kennung.
Kontrollieren Sie die Auswahl des designierten OSPF-Routers. Siehe Beispiel: Steuern der OSPF-Auswahl für designierte Router.
Konfigurieren Sie ein OSPF-Netzwerk mit nur einem Bereich. Siehe Beispiel: Konfigurieren eines OSPF-Netzwerks für einen einzelnen Bereich.
Konfigurieren Sie ein Mehrbereichs-OSPF-Netzwerk. Siehe Beispiel: Konfigurieren eines Mehrbereichs-OSPF-Netzwerks.
Konfigurieren Sie ein Mehrbereichs-OSPF-Netzwerk. Siehe Beispiel: Konfigurieren eines Mehrbereichs-OSPF-Netzwerks.
Überblick
Eine Alternative zum Anpassen der OSPF-Einstellungen für das Hallo-Intervall und das tote Intervall, um die Routenkonvergenz zu erhöhen, ist die Konfiguration von BFD. Das BFD-Protokoll ist ein einfacher Hallo-Mechanismus, der Ausfälle in einem Netzwerk erkennt. Die Stopper für die BFD-Fehlererkennung haben kürzere Timer-Limits als die OSPF-Fehlererkennungsmechanismen und ermöglichen so eine schnellere Erkennung.
BFD ist nützlich für Schnittstellen, die Fehler nicht schnell erkennen können, wie z. B. Ethernet-Schnittstellen. Andere Schnittstellen, wie z. B. SONET-Schnittstellen, verfügen bereits über eine integrierte Fehlererkennung. Die Konfiguration von BFD auf diesen Schnittstellen ist nicht erforderlich.
Sie konfigurieren BFD auf einem Paar benachbarter OSPF-Schnittstellen. Im Gegensatz zu den OSPF-Einstellungen "Hallo-Intervall" und "Tot-Intervall" müssen Sie BFD nicht auf allen Schnittstellen in einem OSPF-Bereich aktivieren.
In diesem Beispiel aktivieren Sie die Fehlererkennung, indem Sie die bfd-liveness-detection Anweisung auf der benachbarten OSPF-Schnittstelle fe-0/1/0 in den Bereich 0.0.0.0 einfügen und das BFD-Paketaustauschintervall auf 300 Millisekunden konfigurieren, 4 als die Anzahl der verpassten Hallo-Pakete konfigurieren, die dazu führen, dass die ursprüngliche Schnittstelle als inaktiv deklariert wird, und BFD-Sitzungen nur für OSPF-Nachbarn mit vollständiger Nachbarnachbarschaft konfigurieren, indem Sie die folgenden Einstellungen einschließen:
Full-Neighbors-Only: Konfiguriert in Junos OS Version 9.5 und höher das BFD-Protokoll so, dass BFD-Sitzungen nur für OSPF-Nachbarn mit vollständiger Nachbarschaft eingerichtet werden. Das Standardverhalten besteht darin, BFD-Sitzungen für alle OSPF-Nachbarn einzurichten.
minimum-interval: Konfiguriert das minimale Intervall in Millisekunden, nach dem das lokale Routing-Gerät Hello-Pakete überträgt, sowie das minimale Intervall, nach dem das Routing-Gerät eine Antwort von dem Nachbarn erwartet, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können eine Zahl im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Sie können die minimalen Sende- und Empfangsintervalle auch separat angeben, indem Sie die Anweisungen für das Übertragungsintervall, das Minimum-Intervall und
minimum-receive-intervaldie Anweisungen verwenden.Anmerkung:BFD ist ein intensives Protokoll, das Systemressourcen verbraucht. Die Angabe eines Mindestintervalls für BFD von weniger als 100 ms für Routing-Engine-basierte Sitzungen und 10 ms für verteilte BFD-Sitzungen kann zu unerwünschtem BFD-Flapping führen.
Abhängig von Ihrer Netzwerkumgebung können die folgenden zusätzlichen Empfehlungen gelten:
Geben Sie für groß angelegte Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen ein Mindestintervall von mindestens 500 ms an. Ein Intervall von 1000 ms wird empfohlen, um Instabilitätsprobleme zu vermeiden.
Anmerkung:-
Für den bfdd-Prozess ist das eingestellte Erkennungszeitintervall kleiner als 300 ms. Wenn auf dem System ein Prozess mit hoher Priorität, wie z. B. ppmd, ausgeführt wird, verbringt die CPU möglicherweise Zeit mit dem ppmd-Prozess und nicht mit dem bfdd-Prozess.
-
Für Firewalls der SRX-Serie für Zweigstellen empfehlen wir 1000 ms als minimales Keepalive-Zeitintervall für BFD-Pakete.
-
Für vSRX 3.0 empfehlen wir 300 ms als minimales Keepalive-Zeitintervall für BFD-Pakete.
-
Bei sehr großen Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen wenden Sie sich an den Kundensupport von Juniper Networks, um weitere Informationen zu erhalten.
Damit BFD-Sitzungen während eines Routing-Engine-Switchover-Ereignisses aktiv bleiben, wenn Nonstop Active Routing (NSR) konfiguriert ist, geben Sie ein Mindestintervall von 2500 ms für Routing-Engine-basierte Sitzungen an. Für verteilte BFD-Sitzungen mit konfiguriertem NSR bleiben die Empfehlungen für das Mindestintervall unverändert und hängen nur von Ihrer Netzwerkbereitstellung ab.
multiplier: Konfiguriert die Anzahl der Hello-Pakete, die von einem Nachbarn nicht empfangen wurden, was dazu führt, dass die ursprüngliche Schnittstelle als inaktiv deklariert wird. Standardmäßig führen drei verpasste hello-Pakete dazu, dass die ursprüngliche Schnittstelle als inaktiv deklariert wird. Sie können einen Wert im Bereich von 1 bis 255 konfigurieren.
Topologie
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um das BFD-Protokoll für OSPF schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die erforderlich sind, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie in die CLI auf der [Bearbeiten]-Hierarchieebene ein und geben Sie sie dann aus dem Konfigurationsmodus heraus commit .
[edit] set protocols ospf area 0.0.0.0 interface fe-0/0/1 bfd-liveness-detection minimum-interval 300 set protocols ospf area 0.0.0.0 interface fe-0/0/1 bfd-liveness-detection multiplier 4 set protocols ospf area 0.0.0.0 interface fe-0/0/1 bfd-liveness-detection full-neighbors-only
Schritt-für-Schritt-Anleitung
So konfigurieren Sie das BFD-Protokoll für OSPF auf einer benachbarten Schnittstelle:
Erstellen Sie einen OSPF-Bereich.
Anmerkung:Um OSPFv3 anzugeben, fügen Sie die
ospf3Anweisung auf der[edit protocols]Hierarchieebene ein.[edit] user@host# edit protocols ospf area 0.0.0.0
Geben Sie die Schnittstelle an.
[edit protocols ospf area 0.0.0.0] user@host# set interface fe-0/0/1
Geben Sie die minimalen Sende- und Empfangsintervalle an.
[edit protocols ospf area 0.0.0.0 ] user@host# set interface fe-0/0/1 bfd-liveness-detection minimum-interval 300
Konfigurieren Sie die Anzahl der verpassten hello-Pakete, die dazu führen, dass die ursprüngliche Schnittstelle als inaktiv deklariert wird.
[edit protocols ospf area 0.0.0.0 ] user@host# set interface fe-0/0/1 bfd-liveness-detection multiplier 4
Konfigurieren Sie BFD-Sitzungen nur für OSPF-Nachbarn mit vollständiger Nachbarnachbarschaft.
[edit protocols ospf area 0.0.0.0 ] user@host# set interface fe-0/0/1 bfd-liveness-detection full-neighbors-only
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit protocols ospf area 0.0.0.0 ] user@host# commit
Anmerkung:Wiederholen Sie diese gesamte Konfiguration auf der anderen benachbarten Schnittstelle.
Befund
Bestätigen Sie Ihre Konfiguration, indem Sie den show protocols ospf Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@host# show protocols ospf
area 0.0.0.0 {
interface fe-0/0/1.0 {
bfd-liveness-detection {
minimum-interval 300;
multiplier 4;
full-neighbors-only;
}
}
}
Geben Sie den show protocols ospf3 Befehl ein, um Ihre OSPFv3-Konfiguration zu bestätigen.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Verifizieren der BFD-Sitzungen
Zweck
Stellen Sie sicher, dass die OSPF-Schnittstellen über aktive BFD-Sitzungen verfügen und dass die Sitzungskomponenten ordnungsgemäß konfiguriert wurden.
Aktion
Geben Sie im Betriebsmodus den show bfd session detail Befehl ein.
Bedeutung
In der Ausgabe werden Informationen zu den BFD-Sitzungen angezeigt.
Im Feld Adresse wird die IP-Adresse des Nachbarn angezeigt.
Im Feld Schnittstelle wird die Schnittstelle angezeigt, die Sie für BFD konfiguriert haben.
Im Feld "Status" wird der Status des Nachbarn angezeigt, und "Full" sollte "Full" angezeigt werden, um die von Ihnen konfigurierte Nachbarschaft zwischen dem vollständigen Nachbarn widerzuspiegeln.
Im Feld Übertragungsintervall wird das Zeitintervall angezeigt, das Sie für das Senden von BFD-Paketen konfiguriert haben.
Im Feld Multiplikator wird der von Ihnen konfigurierte Multiplikator angezeigt.
Grundlegendes zur BFD-Authentifizierung für OSPF
Bidirectional Forwarding Detection (BFD) ermöglicht die schnelle Erkennung von Kommunikationsfehlern zwischen benachbarten Systemen. Standardmäßig ist die Authentifizierung für BFD-Sitzungen deaktiviert. Wenn Sie jedoch BFD über Protokolle der Netzwerkschicht ausführen, kann das Risiko von Dienstangriffen erheblich sein. Es wird dringend empfohlen, die Authentifizierung zu verwenden, wenn Sie BFD über mehrere Hops oder durch unsichere Tunnel ausführen. Beginnend mit Junos OS Version 9.6 unterstützt Junos OS die Authentifizierung für BFD-Sitzungen, die über OSPFv2 ausgeführt werden. Die BFD-Authentifizierung wird für MPLS-OAM-Sitzungen nicht unterstützt. Die BFD-Authentifizierung wird nur in der kanadischen und US-Version des Junos OS-Images unterstützt und ist in der Exportversion nicht verfügbar.
Sie authentifizieren BFD-Sitzungen, indem Sie einen Authentifizierungsalgorithmus und einen Schlüsselbund angeben und diese Konfigurationsinformationen dann mithilfe des Schlüsselbundnamens mit einem Schlüsselbund für die Sicherheitsauthentifizierung verknüpfen.
In den folgenden Abschnitten werden die unterstützten Authentifizierungsalgorithmen, Sicherheitsschlüsselbunde und Authentifizierungsebenen beschrieben, die konfiguriert werden können:
- BFD-Authentifizierungsalgorithmen
- Schlüsselbunde für die Sicherheitsauthentifizierung
- Strenge versus lose Authentifizierung
BFD-Authentifizierungsalgorithmen
Junos OS unterstützt die folgenden Algorithmen für die BFD-Authentifizierung:
simple-password: Nur-Text-Passwort. Ein bis 16 Byte Klartext werden zur Authentifizierung der BFD-Sitzung verwendet. Es können ein oder mehrere Passwörter konfiguriert werden. Diese Methode ist die am wenigsten sichere und sollte nur verwendet werden, wenn BFD-Sitzungen nicht abgefangen werden.
keyed-md5: Keyed Message Digest 5-Hash-Algorithmus für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Um die BFD-Sitzung zu authentifizieren, verwendet MD5 mit Schlüsseln einen oder mehrere geheime Schlüssel (die vom Algorithmus generiert werden) und eine Sequenznummer, die regelmäßig aktualisiert wird. Bei dieser Methode werden Pakete auf der Empfängerseite der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer oder gleich der zuletzt empfangenen Sequenznummer ist. Diese Methode ist zwar sicherer als ein einfaches Passwort, aber anfällig für Replay-Angriffe. Dieses Risiko kann verringert werden, indem Sie die Häufigkeit erhöhen, mit der die Sequenznummer aktualisiert wird.
meticulous-keyed-md5: Sorgfältig verschlüsselter Message Digest 5-Hash-Algorithmus. Diese Methode funktioniert auf die gleiche Weise wie MD5 mit Schlüsseln, aber die Sequenznummer wird mit jedem Paket aktualisiert. Diese Methode ist zwar sicherer als MD5 mit Schlüsseln und einfache Kennwörter, kann jedoch zusätzliche Zeit in Anspruch nehmen, um die Sitzung zu authentifizieren.
keyed-sha-1 – Keyed Secure Hash Algorithm I für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Um die BFD-Sitzung zu authentifizieren, verwendet SHA mit Schlüsseln einen oder mehrere geheime Schlüssel (die vom Algorithmus generiert werden) und eine Sequenznummer, die regelmäßig aktualisiert wird. Der Schlüssel wird nicht in den Paketen transportiert. Bei dieser Methode werden Pakete auf der empfangenden Seite der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer als die zuletzt empfangene Sequenznummer ist.
meticulous-keyed-sha-1 – Sorgfältig verschlüsselter sicherer Hash-Algorithmus I. Diese Methode funktioniert auf die gleiche Weise wie verschlüsseltes SHA, aber die Sequenznummer wird mit jedem Paket aktualisiert. Diese Methode ist zwar sicherer als SHA mit Schlüsseln und einfache Kennwörter, kann jedoch zusätzliche Zeit in Anspruch nehmen, um die Sitzung zu authentifizieren.
Nonstop Active Routing (NSR) wird mit den Authentifizierungsalgorithmen meticulous-keyed-md5 und meticulous-keyed-sha-1 nicht unterstützt. BFD-Sitzungen, die diese Algorithmen verwenden, können nach einem Switchover ausfallen.
Switches der QFX5000-Serie und EX4600-Switches unterstützen keine Mindestintervallwerte von weniger als 1 Sekunde.
Schlüsselbunde für die Sicherheitsauthentifizierung
Der Sicherheitsauthentifizierungsschlüsselbund definiert die Authentifizierungsattribute, die für die Aktualisierung des Authentifizierungsschlüssels verwendet werden. Wenn der Schlüsselbund für die Sicherheitsauthentifizierung konfiguriert und über den Schlüsselbundnamen mit einem Protokoll verknüpft ist, können Aktualisierungen des Authentifizierungsschlüssels erfolgen, ohne die Routing- und Signalisierungsprotokolle zu unterbrechen.
Der Authentifizierungsschlüsselbund enthält einen oder mehrere Schlüsselbunde. Jeder Schlüsselbund enthält einen oder mehrere Schlüssel. Jeder Schlüssel enthält die geheimen Daten und den Zeitpunkt, zu dem der Schlüssel gültig wird. Der Algorithmus und der Schlüsselbund müssen an beiden Enden der BFD-Sitzung konfiguriert sein, und sie müssen übereinstimmen. Jede Nichtübereinstimmung in der Konfiguration verhindert, dass die BFD-Sitzung erstellt wird.
BFD erlaubt mehrere Clients pro Sitzung, und jeder Client kann seinen eigenen Schlüsselbund und Algorithmus definieren. Um Verwechslungen zu vermeiden, wird empfohlen, nur einen Schlüsselbund für die Sicherheitsauthentifizierung anzugeben.
Strenge versus lose Authentifizierung
Standardmäßig ist die strikte Authentifizierung aktiviert, und die Authentifizierung wird an beiden Enden jeder BFD-Sitzung überprüft. Um die Migration von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen zu erleichtern, können Sie optional die lose Überprüfung konfigurieren. Wenn lose Überprüfung konfiguriert ist, werden Pakete akzeptiert, ohne dass an jedem Ende der Sitzung eine Authentifizierungsprüfung durchgeführt wird. Diese Funktion ist nur für Übergangszeiten vorgesehen.
Konfigurieren der BFD-Authentifizierung für OSPF
Ab Junos OS Version 9.6 können Sie die Authentifizierung für BFD-Sitzungen konfigurieren, die über OSPFv2 ausgeführt werden. Routinginstanzen werden ebenfalls unterstützt.
In den folgenden Abschnitten finden Sie Anweisungen zum Konfigurieren und Anzeigen der BFD-Authentifizierung auf OSPF:
- Konfigurieren von BFD-Authentifizierungsparametern
- Anzeigen von Authentifizierungsinformationen für BFD-Sitzungen
Konfigurieren von BFD-Authentifizierungsparametern
Es sind nur drei Schritte erforderlich, um die Authentifizierung für eine BFD-Sitzung zu konfigurieren:
Geben Sie den BFD-Authentifizierungsalgorithmus für das OSPFv2-Protokoll an.
Verknüpfen Sie den Authentifizierungsschlüsselbund mit dem OSPFv2-Protokoll.
Konfigurieren Sie den zugehörigen Schlüsselbund für die Sicherheitsauthentifizierung.
So konfigurieren Sie die BFD-Authentifizierung:
Die BFD-Authentifizierung wird nur in der kanadischen und US-Version des Junos OS-Images unterstützt und ist in der Exportversion nicht verfügbar.
Anzeigen von Authentifizierungsinformationen für BFD-Sitzungen
Sie können die vorhandene BFD-Authentifizierungskonfiguration mit den show bfd session detail Befehlen und show bfd session extensive anzeigen.
Das folgende Beispiel zeigt die BFD-Authentifizierung, die für die BGP-Gruppe if2-ospf konfiguriert ist. Er gibt den verschlüsselten SHA-1-Authentifizierungsalgorithmus und den Schlüsselbundnamen bfd-ospf an. Der Authentifizierungsschlüsselbund besteht aus zwei Schlüsseln. Schlüssel 1 enthält die geheimen Daten "$ABC 123$ABC123" und eine Startzeit vom 1. Juni 2009 um 9:46:02 Uhr PST. Schlüssel 2 enthält die geheimen Daten "$ABC 123$ABC123" und eine Startzeit vom 1. Juni 2009 um 15:29:20 Uhr PST.
[edit protocols ospf]
area 0.0.0.1 {
interface if2-ospf {
bfd-liveness-detection {
authentication {
algorithm keyed-sha-1;
key-chain bfd-ospf;
}
}
}
}
[edit security]
authentication key-chains {
key-chain bfd-ospf {
key 1 {
secret “$ABC123$ABC123”; ## SECRET-DATA
start-time “2009-6-1.09:46:02 -0700”;
}
key 2 {
secret “$ABC123$ABC123”;
start-time “2009-6-1.15:29:20 -0700”; ## SECRET-DATA
}
}
}
Wenn Sie diese Aktualisierungen für Ihre Konfiguration übernehmen, wird eine Ausgabe ähnlich der folgenden angezeigt. In der show bfd session detail Ausgabe des Befehls wird Authentifizieren angezeigt, um anzugeben, dass die BFD-Authentifizierung konfiguriert ist.
Details zur BFD-Sitzung anzeigen
user@host# show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
10.9.1.33 Up so-7/1/0.0 0.600 0.200 3
Client OSPF, TX interval 0.200, RX interval 0.200, multiplier 3, Authenticate
Session up time 3d 00:34
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated
1 sessions, 1 clients
Cumulative transmit rate 10.0 pps, cumulative receive rate 10.0 pps
Weitere Informationen zur Konfiguration erhalten Sie mit dem show bfd session extensive Befehl. Die Ausgabe für diesen Befehl enthält den Namen des Schlüsselbunds, den Authentifizierungsalgorithmus und -modus für jeden Client in der Sitzung sowie den allgemeinen Konfigurationsstatus der BFD-Authentifizierung, den Namen des Schlüsselbunds sowie den Authentifizierungsalgorithmus und -modus.
bfd-Sitzung ausführlich anzeigen
user@host# show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
10.9.1.33 Up so-7/1/0.0 0.600 0.200 3
Client OSPF, TX interval 0.200, RX interval 0.200, multiplier 3, Authenticate
keychain bfd-ospf, algo keyed-md5, mode loose
Session up time 3d 00:34
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated
Min async interval 0.200, min slow interval 1.000
Adaptive async tx interval 0.200, rx interval 0.200
Local min tx interval 0.200, min rx interval 0.200, multiplier 3
Remote min tx interval 0.100, min rx interval 0.100, multiplier 3
Threshold transmission interval 0.000, Threshold for detection time 0.000
Local discriminator 11, remote discriminator 80
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-ospf, algo keyed-sha-1, mode strict
1 sessions, 1 clients
Cumulative transmit rate 10.0 pps, cumulative receive rate 10.0 pps