Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bidirektionale Weiterleitungserkennung für statische Routen

Grundlegendes zu BFD für statische Routen für eine schnellere Erkennung von Netzwerkfehlern

Das BFD-Protokoll (Bidirectional Forwarding Detection) ist ein einfacher Hello-Mechanismus, der Fehler in einem Netzwerk erkennt. BFD funktioniert mit einer Vielzahl von Netzwerkumgebungen und Topologien. Ein Paar Routing-Geräte tauscht BFD-Pakete aus. Hello-Pakete werden in einem festgelegten, regelmäßigen Intervall gesendet. Ein Nachbarfehler wird erkannt, wenn das Routinggerät nach einem bestimmten Intervall keine Antwort mehr empfängt. Die BFD-Zeitgeber für die Fehlererkennung haben kürzere Zeitlimits als die Mechanismen zur Erkennung von statischen Routenfehlern, sodass sie eine schnellere Erkennung ermöglichen.

Die Timer für die BFD-Fehlererkennung können so eingestellt werden, dass sie schneller oder langsamer sind. Je niedriger der Timer-Wert für die BFD-Fehlererkennung ist, desto schneller ist die Fehlererkennung und umgekehrt. Die Timer können sich z. B. an einen höheren Wert anpassen, wenn die Nachbarschaft fehlschlägt (d. h., der Timer erkennt Fehler langsamer). Oder ein Nachbar kann einen höheren Wert für einen Timer aushandeln als den konfigurierten Wert. Die Timer passen sich an einen höheren Wert an, wenn eine BFD-Sitzungsklappe mehr als dreimal innerhalb von 15 Sekunden auftritt. Ein Backoff-Algorithmus erhöht das Empfangsintervall (Rx) um zwei, wenn die lokale BFD-Instanz der Grund für die Sitzungsklappe ist. Das Übertragungsintervall (Tx) wird um zwei erhöht, wenn die Remote-BFD-Instanz der Grund für die Sitzungsklappe ist. Sie können den clear bfd adaptation Befehl verwenden, um BFD-Intervall-Timer auf ihre konfigurierten Werte zurückzusetzen. Der clear bfd adaptation Befehl ist trefferlos, d. h., der Befehl wirkt sich nicht auf den Datenverkehrsfluss auf dem Routinggerät aus.

Standardmäßig wird BFD für statische Single-Hop-Routen unterstützt.

Hinweis:

Auf Geräten der MX-Serie wird Multihop-BFD auf einer statischen Route nicht unterstützt, wenn die statische Route mit mehr als einem nächsten Hop konfiguriert ist. Es wird empfohlen, die Verwendung mehrerer nächster Hops zu vermeiden, wenn für eine statische Route ein Multihop-BFD erforderlich ist.

Um die Fehlererkennung zu aktivieren, schließen Sie die Anweisung in die bfd-liveness-detection statische Routenkonfiguration ein.

Hinweis:

Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 enthält der bfd-liveness-detection Befehl das Beschreibungsfeld. Die Beschreibung ist ein Attribut unter dem bfd-liveness-detection Objekt und wird nur von Firewalls der SRX-Serie unterstützt. Dieses Feld gilt nur für die statischen Routen.

In Junos OS Version 9.1 und höher wird das BFD-Protokoll für statische IPv6-Routen unterstützt. Globale Unicast- und verbindungslokale IPv6-Adressen werden für statische Routen unterstützt. Das BFD-Protokoll wird für Multicast- oder Anycast-IPv6-Adressen nicht unterstützt. Für IPv6 unterstützt das BFD-Protokoll nur statische Routen und nur in Junos OS Version 9.3 und höher. IPv6 für BFD wird auch für das eBGP-Protokoll unterstützt.

Um das BFD-Protokoll für statische IPv6-Routen zu konfigurieren, fügen Sie die bfd-liveness-detection Anweisung auf Hierarchieebene [edit routing-options rib inet6.0 static route destination-prefix] ein.

In Junos OS Version 8.5 und höher können Sie ein Halteintervall konfigurieren, um anzugeben, wie lange die BFD-Sitzung aktiv bleiben muss, bevor eine Statusänderungsbenachrichtigung gesendet wird.

Um das Hold-Down-Intervall anzugeben, fügen Sie die Anweisung in die holddown-interval BFD-Konfiguration ein. Sie können eine Zahl im Bereich von 0 bis 255.000 Millisekunden konfigurieren. Der Standardwert ist 0. Wenn die BFD-Sitzung ausfällt und dann während des Halteintervalls wieder hochgefahren wird, wird der Timer neu gestartet.

Hinweis:

Wenn eine einzelne BFD-Sitzung mehrere statische Routen enthält, wird das Halteintervall mit dem höchsten Wert verwendet.

Um die minimalen Sende- und Empfangsintervalle für die Fehlererkennung anzugeben, fügen Sie die Anweisung in die minimum-interval BFD-Konfiguration ein.

Dieser Wert stellt sowohl das minimale Intervall dar, nach dem das lokale Routinggerät Hello-Pakete überträgt, als auch das minimale Intervall, nach dem das Routinggerät erwartet, eine Antwort von dem Nachbarn zu erhalten, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können eine Zahl im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Anstatt diese Anweisung zu verwenden, können Sie optional die minimalen Sende- und Empfangsintervalle separat konfigurieren, indem Sie das minimale Sendeintervall und die Anweisungen senden-interval verwenden minimum-receive-interval .

Hinweis:

EX4600-Switches unterstützen keine Mindestintervallwerte von weniger als 1 Sekunde.

Hinweis:

BFD ist ein intensives Protokoll, das Systemressourcen verbraucht. Die Angabe eines Mindestintervalls für BFD von weniger als 100 ms für Routing-Engine-basierte Sitzungen und 10 ms für verteilte BFD-Sitzungen kann zu unerwünschtem BFD-Flattern führen.

Abhängig von Ihrer Netzwerkumgebung können die folgenden zusätzlichen Empfehlungen zutreffen:

  • Geben Sie für umfangreiche Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen ein Mindestintervall von 300 ms für Routing-Engine-basierte Sitzungen und 100 ms für verteilte BFD-Sitzungen an.

  • Bei sehr großen Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen wenden Sie sich an den Kundendienst von Juniper Networks, um weitere Informationen zu erhalten.

  • Damit BFD-Sitzungen während eines Routing-Engine-Switchover-Ereignisses aktiv bleiben, wenn Nonstop Active Routing (NSR) konfiguriert ist, geben Sie ein Mindestintervall von 2500 ms für Routing-Engine-basierte Sitzungen an. Für verteilte BFD-Sitzungen mit konfigurierter NSR bleiben die Empfehlungen für das Mindestintervall unverändert und hängen nur von Ihrer Netzwerkbereitstellung ab.

Um das minimale Empfangsintervall für die Fehlererkennung anzugeben, fügen Sie die Anweisung in die minimum-receive-interval BFD-Konfiguration ein. Dieser Wert stellt das minimale Intervall dar, nach dem das Routinggerät erwartet, eine Antwort von einem Nachbarn zu erhalten, mit dem es eine BFD-Sitzung aufgebaut hat. Sie können eine Zahl im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Anstatt diese Anweisung zu verwenden, können Sie optional das minimale Empfangsintervall konfigurieren, indem Sie die minimum-interval Anweisung auf Hierarchieebene [edit routing-options static route destination-prefix bfd-liveness-detection] verwenden.

Um die Anzahl der Hello-Pakete anzugeben, die nicht vom Nachbarn empfangen werden, der dazu führt, dass die Ursprungsschnittstelle als inaktiv deklariert wird, fügen Sie die Anweisung in die multiplier BFD-Konfiguration ein. Der Standardwert ist 3. Sie können eine Zahl im Bereich von 1 bis 255 konfigurieren.

Um einen Schwellenwert für die Erkennung der Anpassung der Erkennungszeit anzugeben, fügen Sie die Anweisung in die threshold BFD-Konfiguration ein.

Wenn sich die Erkennungszeit der BFD-Sitzung an einen Wert anpasst, der gleich oder höher als der Schwellenwert ist, werden ein einzelner Trap und eine Systemprotokollmeldung gesendet. Die Erkennungszeit basiert auf dem Multiplikator des Wertes für das minimale Intervall oder das minimale Empfangsintervall . Der Schwellenwert muss ein höherer Wert als der Multiplikator für einen dieser konfigurierten Werte sein. Wenn z. B. das minimale Empfangsintervall 300 ms und der Multiplikator 3 beträgt, beträgt die gesamte Erkennungszeit 900 ms. Daher muss der Schwellenwert für die Erkennungszeit einen Wert höher als 900 aufweisen.

Um das minimale Übertragungsintervall für die Fehlererkennung anzugeben, fügen Sie die Anweisung in die transmit-interval minimum-interval BFD-Konfiguration ein.

Dieser Wert stellt das minimale Intervall dar, nach dem das lokale Routinggerät Hello-Pakete an den Nachbarn überträgt, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können einen Wert im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Anstatt diese Anweisung zu verwenden, können Sie optional das minimale Übertragungsintervall mithilfe der minimum-interval Anweisung auf Hierarchieebene [edit routing-options static route destination-prefix bfd-liveness-detection] konfigurieren.

Um den Schwellwert für die Anpassung des Sendeintervalls festzulegen, nehmen Sie die Anweisung in die transmit-interval threshold BFD-Konfiguration auf.

Der Schwellenwert muss größer als das Sendeintervall sein. Wenn sich die Übertragungszeit der BFD-Sitzung an einen Wert anpasst, der größer als der Schwellenwert ist, werden ein einzelner Trap und eine Systemprotokollmeldung gesendet. Die Erkennungszeit basiert auf dem Multiplikator des Wertes für das minimale Intervall oder der minimum-receive-interval Anweisung auf Hierarchieebene [edit routing-options static route destination-prefix bfd-liveness-detection] . Der Schwellenwert muss ein höherer Wert als der Multiplikator für einen dieser konfigurierten Werte sein.

Um die BFD-Version anzugeben, schließen Sie die Anweisung in die version BFD-Konfiguration ein. Standardmäßig wird die Version automatisch erkannt.

Um eine IP-Adresse für den nächsten Hop der BFD-Sitzung einzuschließen, fügen Sie die Anweisung in die neighbor BFD-Konfiguration ein.

Hinweis:

Sie müssen die neighbor Anweisung konfigurieren, wenn der angegebene nächste Hop ein Schnittstellenname ist. Wenn Sie eine IP-Adresse als nächsten Hop angeben, wird diese Adresse als Nachbaradresse für die BFD-Sitzung verwendet.

In Junos OS Version 9.0 und höher können Sie BFD-Sitzungen so konfigurieren, dass sie sich nicht an sich ändernde Netzwerkbedingungen anpassen. Um die BFD-Anpassung zu deaktivieren, fügen Sie die Anweisung in die no-adaptation BFD-Konfiguration ein.

Hinweis:

Es wird empfohlen, die BFD-Anpassung nicht zu deaktivieren, es sei denn, es ist vorzuziehen, keine BFD-Anpassung in Ihrem Netzwerk zu haben.

Hinweis:

Wenn BFD nur an einem Ende einer statischen Route konfiguriert ist, wird die Route aus der Routing-Tabelle entfernt. BFD richtet eine Sitzung ein, wenn BFD an beiden Enden der statischen Route konfiguriert ist.

BFD wird für ISO-Adressfamilien in statischen Routen nicht unterstützt. BFD unterstützt IS-IS.

Wenn Sie GRES ( Graceful Routing Engine Switchover ) gleichzeitig mit BFD konfigurieren, behält GRES die BFD-Statusinformationen während eines Failovers nicht bei.

Beispiel: Konfigurieren von BFD für statische Routen für eine schnellere Erkennung von Netzwerkfehlern

In diesem Beispiel wird gezeigt, wie die bidirektionale Weiterleitungserkennung (Bidirectional Forwarding Detection, BFD) für statische Routen konfiguriert wird.

Anforderungen

In diesem Beispiel ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Übersicht

Es gibt viele praktische Anwendungen für statische Routen. Statisches Routing wird häufig am Netzwerkrand verwendet, um die Anbindung an Stub-Netzwerke zu unterstützen, die aufgrund ihres zentralen Ein- und Ausgangspunkts gut für die Einfachheit einer statischen Route geeignet sind. In Junos OS haben statische Routen die globale Präferenz 5. Statische Routen werden aktiviert, wenn der angegebene nächste Hop erreichbar ist.

In diesem Beispiel konfigurieren Sie die statische Route 192.168.47.0/24 vom Anbieternetzwerk zum Kundennetzwerk unter Verwendung der Next-Hop-Adresse 172.16.1.2. Außerdem konfigurieren Sie die statische Standardroute 0.0.0.0/0 vom Kundennetzwerk zum Anbieternetzwerk unter Verwendung der Next-Hop-Adresse 172.16.1.1.

Zu Demonstrationszwecken sind einige Loopback-Schnittstellen auf Gerät B und Gerät D konfiguriert. Diese Loopback-Schnittstellen stellen Adressen für den Ping bereit und stellen so sicher, dass die statischen Routen funktionieren.

Abbildung 1 zeigt das Beispielnetzwerk.

Abbildung 1: Kundenrouten, die mit einem Service Provider Customer Routes Connected to a Service Provider verbunden sind

Topologie

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein.

Gerät B

Gerät D

Verfahren

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.

So konfigurieren Sie BFD für statische Routen:

  1. Konfigurieren Sie auf Gerät B die Schnittstellen.

  2. Erstellen Sie auf Gerät B eine statische Route, und legen Sie die Adresse des nächsten Hops fest.

  3. Konfigurieren Sie auf Gerät B BFD für die statische Route.

  4. Konfigurieren Sie auf Gerät B Ablaufverfolgungsvorgänge für BFD.

  5. Wenn Sie mit der Konfiguration von Gerät B fertig sind, bestätigen Sie die Konfiguration.

  6. Konfigurieren Sie auf Gerät D die Schnittstellen.

  7. Erstellen Sie auf Gerät D eine statische Route, und legen Sie die Adresse des nächsten Hops fest.

  8. Konfigurieren Sie auf Gerät D BFD für die statische Route.

  9. Konfigurieren Sie auf Gerät D Ablaufverfolgungsvorgänge für BFD.

  10. Wenn Sie mit der Konfiguration von Gerät D fertig sind, bestätigen Sie die Konfiguration.

Ergebnisse

Bestätigen Sie Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocolsund show routing-options eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Gerät B

Gerät D

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen, ob BFD-Sitzungen verfügbar sind

Zweck

Vergewissern Sie sich, dass die BFD-Sitzungen aktiv sind, und zeigen Sie Details zu den BFD-Sitzungen an.

Aktion

Geben Sie im Betriebsmodus den show bfd session extensive Befehl ein.

Hinweis:

Sie description Site- <xxx> wird nur von den Firewalls der SRX-Serie unterstützt.

Wenn jeder Client mehr als ein Beschreibungsfeld hat, wird "und mehr" zusammen mit dem ersten Beschreibungsfeld angezeigt.

Bedeutung

Die TX interval 1.000, RX interval 1.000 Ausgabe stellt die Einstellung dar, die mit der minimum-interval Anweisung konfiguriert wurde. Alle anderen Ausgaben stellen die Standardeinstellungen für BFD dar. Um die Standardeinstellungen zu ändern, fügen Sie die optionalen Anweisungen unter die bfd-liveness-detection Anweisung ein.

Anzeigen detaillierter BFD-Ereignisse

Zweck

Zeigen Sie den Inhalt der BFD-Ablaufverfolgungsdatei an, um bei Bedarf bei der Fehlerbehebung zu helfen.

Aktion

Geben Sie im Betriebsmodus den file show /var/log/bfd-trace Befehl ein.

Bedeutung

BFD-Meldungen werden in die Trace-Datei geschrieben.

Grundlegendes zur BFD-Authentifizierung für die Sicherheit statischer Routen

Bidirectional Forwarding Detection (BFD) ermöglicht die schnelle Erkennung von Kommunikationsfehlern zwischen benachbarten Systemen. Standardmäßig ist die Authentifizierung für BFD-Sitzungen deaktiviert. Wenn Sie BFD jedoch über Protokolle der Netzwerkschicht ausführen, kann das Risiko von Dienstangriffen erheblich sein.

Hinweis:

Es wird dringend empfohlen, die Authentifizierung zu verwenden, wenn Sie BFD über mehrere Hops oder durch unsichere Tunnel ausführen.

Ab Junos OS Version 9.6 unterstützt Junos OS die Authentifizierung für BFD-Sitzungen, die über statische IPv4- und IPv6-Routen ausgeführt werden. Die BFD-Authentifizierung wird in MPLS-OAM-Sitzungen nicht unterstützt. Die BFD-Authentifizierung wird nur in der kanadischen und US-Version des Junos OS-Images unterstützt und ist in der Exportversion nicht verfügbar.

Hinweis:

Der EX3300 unterstützt BFD nur über statische Routen.

Sie authentifizieren BFD-Sitzungen, indem Sie einen Authentifizierungsalgorithmus und einen Schlüsselbund angeben und diese Konfigurationsinformationen dann mithilfe des Schlüsselbundnamens einem Schlüsselbund für die Sicherheitsauthentifizierung zuordnen.

In den folgenden Abschnitten werden die unterstützten Authentifizierungsalgorithmen, Sicherheitsschlüsselbunde und Authentifizierungsebenen beschrieben, die konfiguriert werden können:

BFD-Authentifizierungsalgorithmen

Junos OS unterstützt die folgenden Algorithmen für die BFD-Authentifizierung:

  • simple-password: Nur-Text-Passwort. Ein bis 16 Byte Klartext werden verwendet, um die BFD-Sitzung zu authentifizieren. Es können ein oder mehrere Passwörter konfiguriert werden. Diese Methode ist die am wenigsten sichere und sollte nur verwendet werden, wenn BFD-Sitzungen nicht vom Abfangen von Paketen betroffen sind.

  • keyed-md5 - Keyed Message Digest 5-Hash-Algorithmus für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Zur Authentifizierung der BFD-Sitzung verwendet MD5 mit Schlüssel einen oder mehrere geheime Schlüssel (die vom Algorithmus generiert werden) und eine Sequenznummer, die regelmäßig aktualisiert wird. Bei dieser Methode werden Pakete am empfangenden Ende der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer oder gleich der zuletzt empfangenen Sequenznummer ist. Obwohl diese Methode sicherer ist als ein einfaches Passwort, ist sie anfällig für Replay-Angriffe. Durch Erhöhen der Aktualisierungsrate der Sequenznummer kann dieses Risiko verringert werden.

  • meticulous-keyed-md5 - Hash-Algorithmus für Message Digest 5 mit akribischer Schlüssel. Diese Methode funktioniert auf die gleiche Weise wie MD5, aber die Sequenznummer wird mit jedem Paket aktualisiert. Obwohl diese Methode sicherer ist als MD5-Schlüssel und einfache Kennwörter, kann die Authentifizierung der Sitzung zusätzliche Zeit in Anspruch nehmen.

  • keyed-sha-1 - Keyed Secure Hash Algorithm I für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Um die BFD-Sitzung zu authentifizieren, verwendet SHA mit Schlüssel einen oder mehrere geheime Schlüssel (die vom Algorithmus generiert werden) und eine Sequenznummer, die regelmäßig aktualisiert wird. Der Schlüssel wird nicht in den Paketen mitgeführt. Bei dieser Methode werden Pakete am empfangenden Ende der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer als die zuletzt empfangene Sequenznummer ist.

  • meticulous-keyed-sha-1 - Sicherer Hash-Algorithmus I, der mit akribischen Schlüsseln versehen ist. Diese Methode funktioniert auf die gleiche Weise wie verschlüsselte SHA, aber die Sequenznummer wird mit jedem Paket aktualisiert. Obwohl diese Methode sicherer ist als verschlüsselter SHA und einfache Kennwörter, kann die Authentifizierung der Sitzung zusätzliche Zeit in Anspruch nehmen.

Hinweis:

Nonstop Active Routing (NSR) wird mit den Authentifizierungsalgorithmen aticulous-keyed-md5 und akticulous-keyed-sha-1 nicht unterstützt. BFD-Sitzungen, die diese Algorithmen verwenden, können nach einer Umstellung ausfallen.

Hinweis:

Switches der QFX5000-Serie und EX4600-Switches unterstützen keine Mindestintervallwerte von weniger als 1 Sekunde.

Schlüsselanhänger für die Sicherheitsauthentifizierung

Der Schlüsselbund für die Sicherheitsauthentifizierung definiert die Authentifizierungsattribute, die für die Aktualisierung des Authentifizierungsschlüssels verwendet werden. Wenn der Schlüsselbund für die Sicherheitsauthentifizierung konfiguriert und über den Schlüsselbundnamen einem Protokoll zugeordnet ist, können Aktualisierungen des Authentifizierungsschlüssels erfolgen, ohne die Routing- und Signalisierungsprotokolle zu unterbrechen.

Der Authentifizierungsschlüsselbund enthält einen oder mehrere Schlüsselbunde. Jeder Schlüsselbund enthält einen oder mehrere Schlüssel. Jeder Schlüssel enthält die geheimen Daten und den Zeitpunkt, zu dem der Schlüssel gültig wird. Der Algorithmus und der Schlüsselbund müssen an beiden Enden der BFD-Sitzung konfiguriert sein, und sie müssen übereinstimmen. Jede Diskrepanz in der Konfiguration verhindert, dass die BFD-Sitzung erstellt wird.

BFD lässt mehrere Clients pro Sitzung zu, und für jeden Client kann ein eigener Schlüsselbund und Algorithmus definiert werden. Um Verwechslungen zu vermeiden, empfehlen wir, nur einen Schlüsselbund für die Sicherheitsauthentifizierung anzugeben.

Strikte versus lose Authentifizierung

Standardmäßig ist die strikte Authentifizierung aktiviert, und die Authentifizierung wird an beiden Enden jeder BFD-Sitzung überprüft. Um die Migration von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen zu erleichtern, können Sie optional eine lose Überprüfung konfigurieren. Wenn eine lockere Überprüfung konfiguriert ist, werden Pakete akzeptiert, ohne dass die Authentifizierung an beiden Enden der Sitzung überprüft wird. Diese Funktion ist nur für Übergangszeiten vorgesehen.

Beispiel: Konfigurieren der BFD-Authentifizierung zum Sichern statischer Routen

In diesem Beispiel wird gezeigt, wie die BFD-Authentifizierung (Bidirectional Forwarding Detection) für statische Routen konfiguriert wird.

Anforderungen

Junos OS Version 9.6 oder höher (Version für Kanada und USA).

Die BFD-Authentifizierung wird nur in der kanadischen und US-Version des Junos OS-Images unterstützt und ist in der Exportversion nicht verfügbar.

Übersicht

Sie können die Authentifizierung für BFD-Sitzungen konfigurieren, die über statische IPv4- und IPv6-Routen ausgeführt werden. Routing-Instanzen und logische Systeme werden ebenfalls unterstützt.

Die folgenden Schritte sind erforderlich, um die Authentifizierung für eine BFD-Sitzung zu konfigurieren:

  1. Geben Sie den BFD-Authentifizierungsalgorithmus für die statische Route an.

  2. Verknüpfen Sie den Authentifizierungsschlüsselbund mit der statischen Route.

  3. Konfigurieren Sie den zugehörigen Schlüsselbund für die Sicherheitsauthentifizierung. Dies muss auf dem Hauptrouter konfiguriert werden.

Tipp:

Es wird empfohlen, beim Übergang von nicht authentifizierten zu authentifizierten Sitzungen eine Überprüfung der losen Authentifizierung anzugeben.

Abbildung 2 zeigt das Beispielnetzwerk.

Abbildung 2: Kundenrouten, die mit einem Service Provider Customer Routes Connected to a Service Provider verbunden sind

Topologie

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein.

Gerät B

Gerät D

Verfahren

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.

So konfigurieren Sie BFD für statische Routen:

  1. Konfigurieren Sie auf Gerät B die Schnittstellen.

  2. Erstellen Sie auf Gerät B eine statische Route, und legen Sie die Adresse des nächsten Hops fest.

  3. Konfigurieren Sie auf Gerät B BFD für die statische Route.

  4. Geben Sie auf Gerät B den Algorithmus (keyed-md5, keyed-sha-1, meticulous-keyed-md5, akribulous-keyed-sha-1 oder simple-password) an, der für die BFD-Authentifizierung auf der statischen Route verwendet werden soll.

    Hinweis:

    Nonstop Active Routing (NSR) wird mit den Authentifizierungsalgorithmen "Meticulous-Keyed-MD5" und "Meticulous-Keyed-SHA-1" nicht unterstützt. BFD-Sitzungen, die diese Algorithmen verwenden, können nach einer Umstellung ausfallen.

  5. Geben Sie auf Gerät B den Schlüsselbund an, der verwendet werden soll, um BFD-Sitzungen auf der angegebenen Route mit den eindeutigen Schlüsselbundattributen für die Sicherheitsauthentifizierung zu verknüpfen.

    Dieser sollte mit dem auf der Hierarchieebene [edit security authentication key-chains] konfigurierten Schlüsselbundnamen übereinstimmen.

  6. Geben Sie auf Gerät B die eindeutigen Sicherheitsauthentifizierungsinformationen für BFD-Sitzungen an:

    • Der übereinstimmende Schlüsselbundname, wie in Schritt 5 angegeben.

    • Mindestens ein Schlüssel, eine eindeutige ganze Zahl zwischen 0 und 63. Durch das Erstellen mehrerer Schlüssel können mehrere Clients die BFD-Sitzung verwenden.

    • Die geheimen Daten, die verwendet werden, um den Zugriff auf die Sitzung zu ermöglichen.

    • Der Zeitpunkt, zu dem der Authentifizierungsschlüssel aktiv wird, im Format yyyy-mm-dd.hh:mm:ss.

  7. Wenn Sie mit der Konfiguration von Gerät B fertig sind, bestätigen Sie die Konfiguration.

  8. Wiederholen Sie die Konfiguration auf Gerät D.

    Der Algorithmus und der Schlüsselbund müssen an beiden Enden der BFD-Sitzung konfiguriert sein, und sie müssen übereinstimmen. Jede Diskrepanz in der Konfiguration verhindert, dass die BFD-Sitzung erstellt wird.

Ergebnisse

Bestätigen Sie Ihre Konfiguration, indem Sie die show interfacesBefehle , show routing-optionsund show security eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Gerät B

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen, ob BFD-Sitzungen verfügbar sind

Zweck

Vergewissern Sie sich, dass die BFD-Sitzungen aktiv sind.

Aktion

Geben Sie im Betriebsmodus den show bfd session Befehl ein.

Bedeutung

Die Befehlsausgabe zeigt, dass die BFD-Sitzung aktiv ist.

Anzeigen von Details zur BFD-Sitzung

Zweck

Zeigen Sie Details zu den BFD-Sitzungen an, und stellen Sie sicher, dass die Authentifizierung konfiguriert ist.

Aktion

Geben Sie im Betriebsmodus den show bfd session detail Befehl ein.

Bedeutung

In der Befehlsausgabe wird Authenticate angezeigt, um anzuzeigen, dass die BFD-Authentifizierung konfiguriert ist.

Anzeigen umfangreicher BFD-Sitzungsinformationen

Zweck

Hier finden Sie weitere Informationen zu den BFD-Sitzungen.

Aktion

Geben Sie im Betriebsmodus den show bfd session extensive Befehl ein.

Bedeutung

In der Befehlsausgabe wird Authenticate angezeigt, um anzuzeigen, dass die BFD-Authentifizierung konfiguriert ist. Die Ausgabe für den Befehl enthält den Namen des Schlüsselbunds, den Authentifizierungsalgorithmus und den extensive Modus für jeden Client in der Sitzung.

Hinweis:

Sie description Site- <xxx> wird nur von den Firewalls der SRX-Serie unterstützt.

Wenn jeder Client mehr als ein Beschreibungsfeld hat, wird "und mehr" zusammen mit dem ersten Beschreibungsfeld angezeigt.

Beispiel: Aktivieren von BFD auf qualifizierten nächsten Hops in statischen Routen für die Routenauswahl

In diesem Beispiel wird gezeigt, wie eine statische Route mit mehreren möglichen nächsten Hops konfiguriert wird. Für jeden nächsten Hop ist die Bidirectional Forwarding Detection (BFD) aktiviert.

Anforderungen

In diesem Beispiel ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Übersicht

In diesem Beispiel verfügt Gerät B über die statische Route 192.168.47.0/24 mit zwei möglichen nächsten Hops. Die beiden nächsten Hops werden mit zwei qualified-next-hop Anweisungen definiert. Für jeden nächsten Hop ist BFD aktiviert.

BFD ist auch auf Gerät D aktiviert, da BFD an beiden Enden der Verbindung aktiviert sein muss.

Ein nächster Hop wird in die Routing-Tabelle aufgenommen, wenn die BFD-Sitzung aktiv ist. Der nächste Hop wird aus der Routing-Tabelle entfernt, wenn die BFD-Sitzung ausgefallen ist.

Siehe Abbildung 3.

Abbildung 3: BFD für qualifizierte Next Hops BFD Enabled on Qualified Next Hops aktiviert

Topologie

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, und kopieren Sie dann die Befehle und fügen Sie sie in die CLI auf Hierarchieebene [edit] ein.

Gerät B

Gerät D

Schritt-für-Schritt-Anleitung

Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.

So konfigurieren Sie eine statische Route mit zwei möglichen nächsten Hops, beide mit aktiviertem BFD:

  1. Konfigurieren Sie auf Gerät B die Schnittstellen.

  2. Konfigurieren Sie auf Gerät B die statische Route mit zwei nächsten Hops, beide mit aktiviertem BFD.

  3. Konfigurieren Sie auf Gerät D die Schnittstellen.

  4. Konfigurieren Sie auf Gerät D eine BFD-fähige statische Standardroute mit zwei nächsten Hops zum Provider-Netzwerk.

    In diesem Fall wird BFD auf der Route aktiviert, nicht auf den nächsten Hops.

Ergebnisse

Bestätigen Sie Ihre Konfiguration, indem Sie die show interfaces Befehle und show routing-options eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration der Geräte fertig sind, geben Sie Commit aus dem Konfigurationsmodus ein.

Überprüfung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Routing-Tabellen

Zweck

Stellen Sie sicher, dass die statische Route in der Routing-Tabelle auf Gerät B mit zwei möglichen nächsten Hops angezeigt wird.

Aktion
Bedeutung

Beide nächsten Hops werden aufgelistet. Der nächste Hop 192.168.2.2 ist die ausgewählte Route.

Verifizieren der BFD-Sitzungen

Zweck

Stellen Sie sicher, dass die BFD-Sitzungen verfügbar sind.

Aktion
Bedeutung

Die Ausgabe zeigt, dass die BFD-Sitzungen aktiv sind.

Entfernen von BFD von Gerät D

Zweck

Demonstrieren Sie, was passiert, wenn die BFD-Sitzung für beide nächsten Hops nicht verfügbar ist.

Aktion
  1. Deaktivieren Sie BFD auf Gerät D.

  2. Führen Sie den show bfd session Befehl auf Gerät B erneut aus.

  3. Führen Sie den show route 192.168.47.0 Befehl auf Gerät B erneut aus.

Bedeutung

Wie erwartet wird die statische Route aus der Routing-Tabelle entfernt, wenn die BFD-Sitzungen ausgefallen sind.

Entfernen von BFD aus einem nächsten Hop

Zweck

Demonstrieren Sie, was passiert, wenn nur bei einem nächsten Hop BFD aktiviert ist.

Aktion
  1. Wenn es noch nicht deaktiviert ist, deaktivieren Sie BFD auf Gerät D.

  2. Deaktivieren Sie BFD auf einem der nächsten Hops auf Gerät B.

  3. Führen Sie den show bfd session Befehl auf Gerät B erneut aus.

  4. Führen Sie den show route 192.168.47.0 extensive Befehl auf Gerät B erneut aus.

Bedeutung

Wie erwartet ist die BFD-Sitzung für den nächsten Hop 192.168.2.2 nicht verfügbar. Der nächste Hop 172.16.1.2 verbleibt in der Routingtabelle, und die Route bleibt aktiv, da BFD keine Bedingung dafür ist, dass dieser nächste Hop gültig bleibt.

Tabelle der Versionshistorie
Release
Beschreibung
15.1X49-D70
Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 enthält der bfd-liveness-detection Befehl das Beschreibungsfeld. Die Beschreibung ist ein Attribut unter dem bfd-liveness-detection Objekt und wird nur von Firewalls der SRX-Serie unterstützt. Dieses Feld gilt nur für die statischen Routen.