AUF DIESER SEITE
Verständnis von BFD für statische Routen zur schnelleren Erkennung von Netzwerkausfällen
Beispiel: Konfigurieren von BFD für statische Routen zur schnelleren Erkennung von Netzwerkausfällen
Grundlegendes zur BFD-Authentifizierung für statische Routensicherheit
Beispiel: Konfigurieren der BFD-Authentifizierung zur Sicherung statischer Routen
Beispiel: Aktivieren von BFD auf qualifizierten Next Hops in statischen Routen für die Routenauswahl
Bidirektionale Weiterleitungserkennung für statische Routen
Verständnis von BFD für statische Routen zur schnelleren Erkennung von Netzwerkausfällen
Das Bidirectional Forwarding Detection (BFD)-Protokoll ist ein einfacher Hallo-Mechanismus, der Fehler in einem Netzwerk erkennt. BFD funktioniert mit einer Vielzahl von Netzwerkumgebungen und Topologien. Ein Routing-Gerätepaar tauscht BFD-Pakete aus. Hallo Pakete werden in einem bestimmten, regelmäßigen Intervall gesendet. Ein Neighbor-Fehler wird erkannt, wenn das Routinggerät nach einem angegebenen Intervall keine Antwort mehr empfängt. Die BfD-Timer zur Fehlererkennung haben kürzere Zeitgrenzen als die statischen Routing-Fehlererkennungsmechanismen, sodass sie eine schnellere Erkennung ermöglichen.
Die BfD-Timer zur Fehlererkennung können so eingestellt werden, dass sie schneller oder langsamer sind. Je niedriger der Wert des BFD-Timers für die Fehlererkennung ist, desto schneller ist die Fehlererkennung und umgekehrt. So können sich die Timer beispielsweise an einen höheren Wert anpassen, wenn die Adjacency fehlschlägt (das heißt, der Timer erkennt Fehler langsamer). Oder ein Nachbar kann einen höheren Wert für einen Timer aushandeln als den konfigurierten Wert. Die Timer passen sich an einen höheren Wert an, wenn eine BFD-Sitzungsklappe mehr als dreimal in einem Zeitraum von 15 Sekunden auftritt. Ein Back-off-Algorithmus erhöht das Empfangsintervall (Rx) um zwei, wenn die lokale BFD-Instanz der Grund für den Sitzungs-Flap ist. Das Übertragungsintervall (Tx) wird um zwei erhöht, wenn die Remote-BFD-Instanz der Grund für den Sitzungs-Flap ist. Sie können den clear bfd adaptation Befehl verwenden, um BFD-Intervall-Timer auf ihre konfigurierten Werte zurückzugeben. Der clear bfd adaptation Befehl ist hitless, was bedeutet, dass der Befehl keinen Einfluss auf den Datenverkehr auf dem Routinggerät hat.
Standardmäßig wird BFD auf statischen Single-Hop-Routen unterstützt.
Auf Geräten der MX-Serie wird Multihop-BFD auf einer statischen Route nicht unterstützt, wenn die statische Route mit mehr als einem nächsten Hop konfiguriert ist. Es wird empfohlen, die Verwendung mehrerer Next Hops zu vermeiden, wenn für eine statische Route ein Multihop-BFD erforderlich ist.
Um die Fehlererkennung zu ermöglichen, fügen Sie die bfd-liveness-detection Anweisung in die statische Routenkonfiguration ein.
Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 enthält der bfd-liveness-detection Befehl das Beschreibungsfeld. Die Beschreibung ist ein Attribut unter dem Objekt und wird nur auf Geräten der bfd-liveness-detection SRX-Serie unterstützt. Dieses Feld gilt nur für statische Routen.
In Junos OS Version 9.1 und höher wird das BFD-Protokoll für statische IPv6-Routen unterstützt. Globale Unicast- und link-lokale IPv6-Adressen werden für statische Routen unterstützt. Das BFD-Protokoll wird auf Multicast- oder Anycast-IPv6-Adressen nicht unterstützt. Für IPv6 unterstützt das BFD-Protokoll nur statische Routen und nur in Junos OS Version 9.3 und höher. IPv6 für BFD wird auch für das eBGP-Protokoll unterstützt.
Um das BFD-Protokoll für statische IPv6-Routen zu konfigurieren, fügen Sie die bfd-liveness-detection Anweisung auf [edit routing-options rib inet6.0 static route destination-prefix] Hierarchieebene ein.
In Junos OS Version 8.5 und höher können Sie ein Halteintervall konfigurieren, um anzugeben, wie lange die BFD-Sitzung unterbrochen werden muss, bevor eine Statusänderungsbenachrichtigung gesendet wird.
Um das Halteintervall anzugeben, fügen Sie die holddown-interval Anweisung in die BFD-Konfiguration ein. Sie können eine Zahl im Bereich von 0 bis 255.000 Millisekunden konfigurieren. Der Standardwert ist 0. Wenn die BFD-Sitzung ausfällt und während des Halteintervalls wieder hochgeht, wird der Timer neu gestartet.
Wenn eine einzelne BFD-Sitzung mehrere statische Routen umfasst, wird das Halteintervall mit dem höchsten Wert verwendet.
Um die mindesten Sende- und Empfangsintervalle für die Fehlererkennung anzugeben, fügen Sie die minimum-interval Anweisung in die BFD-Konfiguration ein.
Dieser Wert stellt sowohl das Mindestintervall dar, nach dem das lokale Routinggerät Hallo-Pakete überträgt, als auch das Mindestintervall, nach dem das Routinggerät eine Antwort von dem Nachbarn erwartet, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können eine Zahl im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Optional können Sie anstelle dieser Anweisung die mindesten Sende- und Empfangsintervalle separat konfigurieren, indem Sie das Mindestintervall und minimum-receive-interval die Anweisungen für das Übertragungsintervall verwenden.
Ex4600-Switches unterstützen keine Mindestintervallwerte von weniger als 1 Sekunde.
BFD ist ein intensives Protokoll, das Systemressourcen verbraucht. Die Festlegung eines Mindestintervalls für BFD von weniger als 100 ms für Routing-Engine-basierten Sitzungen und 10 ms für verteilte BFD-Sitzungen kann zu unerwünschtem BFD-Flappen führen.
Je nach Ihrer Netzwerkumgebung können diese zusätzlichen Empfehlungen gelten:
-
Geben Sie für groß angelegte Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen ein Mindestintervall von 300 ms für Routing-Engine-basierte Sitzungen und 100 ms für verteilte BFD-Sitzungen an.
-
Für sehr große Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen wenden Sie sich an den Kundensupport von Juniper Networks, um weitere Informationen zu erhalten.
-
Damit BFD-Sitzungen während eines Routing-Engine-Switchover-Ereignisses bei der Konfiguration von Nonstop Active Routing (NSR) weiterhin geöffnet bleiben, geben Sie ein Mindestintervall von 2500 ms für Routing-Engine-basierte Sitzungen an. Für verteilte BFD-Sitzungen mit konfigurierter NSR sind die Mindestintervallempfehlungen unverändert und hängen nur von Ihrer Netzwerkbereitstellung ab.
Um das minimale Empfangsintervall für die Fehlererkennung anzugeben, fügen Sie die minimum-receive-interval Anweisung in die BFD-Konfiguration ein. Dieser Wert stellt das Mindestintervall dar, nach dem das Routinggerät eine Antwort von einem Nachbarn erwartet, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können eine Zahl im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Optional können Sie anstelle dieser Anweisung das minimale Empfangsintervall mithilfe der minimum-interval Anweisung auf [edit routing-options static route destination-prefix bfd-liveness-detection] Hierarchieebene konfigurieren.
Fügen Sie multiplier die Anweisung in die BFD-Konfiguration ein, um die Anzahl der Hallo-Pakete anzugeben, die nicht vom Nachbarn empfangen werden, der das Deklarieren der Ursprungsschnittstelle bewirkt. Der Standardwert ist 3. Sie können eine Zahl im Bereich von 1 bis 255 konfigurieren.
Um einen Schwellenwert für die Erkennung der Anpassung der Erkennungszeit anzugeben, fügen Sie die threshold Anweisung in die BFD-Konfiguration ein.
Wenn sich die Zeit für die BFD-Sitzungserkennung an einen Wert anpasst, der dem Schwellenwert entspricht oder höher ist, werden eine einzelne Trap und eine Systemprotokollnachricht gesendet. Die Erkennungszeit basiert auf dem Multiplikator des Minimum-Intervalls oder des Minimum-Empfangsintervall-Wertes . Der Schwellenwert muss einen höheren Wert als der Multiplikator für einen dieser konfigurierten Werte sein. Wenn das minimale Empfangsintervall beispielsweise 300 ms und der Multiplikator 3 beträgt, beträgt die Gesamterkennungszeit 900 ms. Daher muss der Schwellenwert für die Erkennungszeit einen Wert von höher als 900 haben.
Um das minimale Übertragungsintervall für die Fehlererkennung anzugeben, fügen Sie die transmit-interval minimum-interval Anweisung in die BFD-Konfiguration ein.
Dieser Wert stellt das Mindestintervall dar, nach dem das lokale Routinggerät Hallo-Pakete an den Nachbarn überträgt, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können einen Wert im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Optional können Sie anstelle dieser Anweisung das minimale Übertragungsintervall mithilfe der minimum-interval Anweisung auf [edit routing-options static route destination-prefix bfd-liveness-detection] Hierarchieebene konfigurieren.
Um den Schwellenwert für die Anpassung des Sendeintervalls anzugeben, fügen Sie die transmit-interval threshold Anweisung in die BFD-Konfiguration ein.
Der Schwellenwert muss größer als das Übertragungsintervall sein. Wenn sich die Sendezeit der BFD-Sitzung an einen Wert anpasst, der den Schwellenwert überschreitet, werden eine einzelne Trap und eine Systemprotokollnachricht gesendet. Die Erkennungszeit basiert auf dem Multiplikator des Wertes für das Mindestintervall oder die minimum-receive-interval Anweisung auf Hierarchieebene [edit routing-options static route destination-prefix bfd-liveness-detection] . Der Schwellenwert muss einen höheren Wert als der Multiplikator für einen dieser konfigurierten Werte sein.
Um die BFD-Version anzugeben, fügen Sie die version Anweisung in die BFD-Konfiguration ein. Standardmäßig wird die Version automatisch erkannt.
Um eine IP-Adresse für den nächsten Hop der BFD-Sitzung einzubeziehen, fügen Sie die neighbor Anweisung in die BFD-Konfiguration ein.
Sie müssen die neighbor Anweisung konfigurieren, wenn der angegebene nächste Hop ein Schnittstellenname ist. Wenn Sie eine IP-Adresse als nächsten Hop angeben, wird diese Adresse als Nachbarnadresse für die BFD-Sitzung verwendet.
In Junos OS Version 9.0 und höher können Sie BFD-Sitzungen so konfigurieren, dass sie sich nicht an veränderte Netzwerkbedingungen anpassen. Um die BFD-Anpassung zu deaktivieren, fügen Sie die no-adaptation Anweisung in die BFD-Konfiguration ein.
Wir empfehlen, dass Sie die BFD-Anpassung nicht deaktivieren, es sei denn, es ist besser, keine BFD-Anpassung in Ihrem Netzwerk zu haben.
Wenn BFD nur an einem Ende einer statischen Route konfiguriert ist, wird die Route aus der Routing-Tabelle entfernt. BFD stellt eine Sitzung fest, wenn BFD an beiden Enden der statischen Route konfiguriert wird.
BFD wird auf ISO-Adressfamilien in statischen Routen nicht unterstützt. BFD unterstützt IS-IS.
Wenn Sie graceful Routing Engine Switchover (GRES) gleichzeitig mit BFD konfigurieren, behält GRES die BFD-Statusinformationen während eines Failovers nicht bei.
Siehe auch
Beispiel: Konfigurieren von BFD für statische Routen zur schnelleren Erkennung von Netzwerkausfällen
Dieses Beispiel zeigt, wie Sie bidirektionale Weiterleitungserkennung (BIDIRECTIONAL Forwarding Detection, BFD) für statische Routen konfigurieren.
Anforderungen
In diesem Beispiel ist keine spezielle Konfiguration über die Geräteinitialisierung hinaus erforderlich.
Übersicht
Für statische Routen gibt es viele praktische Anwendungen. Statisches Routing wird häufig am Netzwerk-Edge verwendet, um die Anbindung an Stub-Netzwerke zu unterstützen, die sich aufgrund ihrer einzelnen Ein- und Ausgangspunkte gut für die Simplizität einer statischen Route eignen. In Junos OS haben statische Routen eine globale Präferenz von 5. Statische Routen werden aktiviert, wenn der angegebene nächste Hop erreichbar ist.
In diesem Beispiel konfigurieren Sie die statische Route 192.168.47.0/24 vom Providernetzwerk zum Kundennetzwerk unter Verwendung der Next-Hop-Adresse 172.16.1.2. Sie konfigurieren auch eine statische Standardroute von 0.0.0.0/0 vom Kundennetzwerk zum Provider-Netzwerk unter Verwendung der Next-Hop-Adresse 172.16.1.1.
Zu Demonstrationszwecken werden einige Loopback-Schnittstellen auf Gerät B und Gerät D konfiguriert. Diese Loopback-Schnittstellen stellen Adressen für Ping bereit und überprüfen somit, ob die statischen Routen funktionieren.
Abbildung 1 zeigt das Beispielnetzwerk.
Topologie
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, und kopieren Sie dann die Befehle und fügen sie auf Hierarchieebene in die [edit] CLI ein.
Gerät B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
Gerät D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
Verfahren
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie BFD für statische Routen:
Konfigurieren Sie auf Gerät B die Schnittstellen.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
Erstellen Sie auf Gerät B eine statische Route, und legen Sie die Next-Hop-Adresse fest.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
Konfigurieren Sie auf Gerät B BFD für die statische Route.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
Konfigurieren Sie auf Gerät B die Ablaufverfolgung für BFD.
[edit protocols] user@B# set bfd traceoptions file bfd-trace user@B# set bfd traceoptions flag all
Wenn Sie mit der Konfiguration von Gerät B fertig sind, bestätigen Sie die Konfiguration.
[edit] user@B# commit
Konfigurieren Sie auf Gerät D die Schnittstellen.
[edit interfaces] user@D# set ge-1/2/0 unit 1 description D->B user@D# set ge-1/2/0 unit 1 family inet address 172.16.1.2/24 user@D# set lo0 unit 2 family inet address 192.168.47.5/32 user@D# set lo0 unit 2 family inet address 192.168.47.6/32
Erstellen Sie auf Gerät D eine statische Route, und legen Sie die Next-Hop-Adresse fest.
[edit routing-options] user@D# set static route 0.0.0.0/0 next-hop 172.16.1.1
Konfigurieren Sie auf Gerät D BFD für die statische Route.
[edit routing-options] user@D# set static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000
Konfigurieren Sie auf Gerät D die Ablaufverfolgung für BFD.
[edit protocols] user@D# set bfd traceoptions file bfd-trace user@D# set bfd traceoptions flag all
Wenn Sie mit der Konfiguration von Gerät D fertig sind, bestätigen Sie die Konfiguration.
[edit] user@D# commit
Ergebnisse
Bestätigen Sie Ihre Konfiguration durch Ausgabe von show interfaces, show protocolsund show routing-options Befehlen. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Gerät B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@D# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
}
}
}
Gerät D
user@D# show interfaces
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
lo0 {
unit 2 {
family inet {
address 192.168.47.5/32;
address 192.168.47.6/32;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
next-hop 172.16.1.1;
bfd-liveness-detection {
description Site - xxx;
minimum-interval 1000;
}
}
}
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen, ob BFD-Sitzungen aktiviert sind
Zweck
Stellen Sie sicher, dass die BFD-Sitzungen aktiviert sind, und zeigen Sie Details zu den BFD-Sitzungen an.
Aktion
Geben Sie im Betriebsmodus den show bfd session extensive Befehl ein.
user@B> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up lt-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000
Session up time 00:14:30
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 172
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 2, remote discriminator 1
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Die description Site- <xxx> wird nur auf Geräten der SRX-Serie unterstützt.
Wenn jeder Client mehr als ein Beschreibungsfeld hat, wird "und mehr" zusammen mit dem ersten Beschreibungsfeld angezeigt.
user@D> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.1 Up lt-1/2/0.1 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000
Session up time 00:14:35
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 170
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 1, remote discriminator 2
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Bedeutung
Die TX interval 1.000, RX interval 1.000 Ausgabe stellt die mit der minimum-interval Anweisung konfigurierte Einstellung dar. Alle anderen Ausgaben stellen die Standardeinstellungen für BFD dar. Um die Standardeinstellungen zu ändern, fügen Sie die optionalen Anweisungen unter der bfd-liveness-detection Anweisung ein.
Anzeigen detaillierter BFD-Ereignisse
Zweck
Zeigen Sie den Inhalt der BFD-Trace-Datei an, um bei Bedarf bei der Fehlerbehebung zu helfen.
Aktion
Geben Sie im Betriebsmodus den file show /var/log/bfd-trace Befehl ein.
user@B> file show /var/log/bfd-trace Nov 23 14:26:55 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 72 Nov 23 14:26:55 PPM Trace: BFD periodic xmit rt tbl index 172 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 108: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 83: (hex) 70 70 6d 64 5f 62 66 64 5f 73 65 6e 64 6d 73 67 20 3a 20 Nov 23 14:26:55 PPM Trace: ppmd_bfd_sendmsg : socket 12 len 24, ifl 78 src 172.16.1.1 dst 172.16.1.2 errno 65 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 93: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 68: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 74
Bedeutung
BFD-Nachrichten werden in die Trace-Datei geschrieben.
Grundlegendes zur BFD-Authentifizierung für statische Routensicherheit
Bidirectional Forwarding Detection (BFD) ermöglicht die schnelle Erkennung von Kommunikationsfehlern zwischen benachbarten Systemen. Standardmäßig ist die Authentifizierung für BFD-Sitzungen deaktiviert. Wenn Sie jedoch BFD über Protokolle auf Netzwerkebene ausführen, kann das Risiko von Serviceangriffen erheblich sein.
Wir empfehlen dringend die Authentifizierung, wenn Sie BFD über mehrere Hops oder über unsichere Tunnel ausführen.
Ab Junos OS Version 9.6 unterstützt Junos OS die Authentifizierung für BFD-Sitzungen, die über statische IPv4- und IPv6-Routen ausgeführt werden. DIE BFD-Authentifizierung wird in MPLS-OAM-Sitzungen nicht unterstützt. Die BFD-Authentifizierung wird nur in der Kanada- und US-Version des Junos OS-Images unterstützt und ist in der Exportversion nicht verfügbar.
DER EX3300 unterstützt BFD nur über statische Routen.
Sie authentifizieren BFD-Sitzungen, indem Sie einen Authentifizierungsalgorithmus und einen Schlüsselbund angeben und diese Konfigurationsinformationen dann mithilfe des Schlüsselbundnamens einer Sicherheitsauthentifizierung zuordnen.
In den folgenden Abschnitten werden die unterstützten Authentifizierungsalgorithmen, Sicherheitsschlüsselketten und Authentifizierungsebenen beschrieben, die konfiguriert werden können:
- BFD-Authentifizierungsalgorithmen
- Sicherheitsauthentifizierungs-Keychains
- Strikte versus lose Authentifizierung
BFD-Authentifizierungsalgorithmen
Junos OS unterstützt die folgenden Algorithmen für DIE BFD-Authentifizierung:
simple-password – Klartextkennwort. Zur Authentifizierung der BFD-Sitzung werden 1 bis 16 Byte Klartext verwendet. Ein oder mehrere Passwörter können konfiguriert werden. Diese Methode ist die geringste Sicherheit und sollte nur verwendet werden, wenn BFD-Sitzungen nicht dem Abfangen von Paketen unterliegen.
keyed-md5– Keyed Message Digest 5 Hash-Algorithmus für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Zur Authentifizierung der BFD-Sitzung verwendet keyed MD5 einen oder mehrere geheime Schlüssel (vom Algorithmus generiert) und eine Sequenznummer, die in regelmäßigen Abständen aktualisiert wird. Mit dieser Methode werden Pakete am empfangenden Ende der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer oder gleich der letzten erhaltenen Sequenznummer ist. Obwohl diese Methode sicherer ist als ein einfaches Passwort, ist sie anfällig für Wiederholungsangriffe. Wenn die Sequenznummer aktualisiert wird, kann dieses Risiko verringert werden.
akribisch-keyed-md5 – Akribisch keyed Message Digest 5 Hash-Algorithmus. Diese Methode funktioniert auf dieselbe Weise wie keyed MD5, aber die Sequenznummer wird mit jedem Paket aktualisiert. Diese Methode ist zwar sicherer als der schlüsselgebundene MD5 und einfache Passwörter, kann jedoch zusätzliche Zeit in Anspruch nehmen, um die Sitzung zu authentifizieren.
keyed-sha-1 – Keyed Secure Hash Algorithm I für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Zur Authentifizierung der BFD-Sitzung verwendet keyed SHA einen oder mehrere geheime Schlüssel (vom Algorithmus generiert) und eine Sequenznummer, die in regelmäßigen Abständen aktualisiert wird. Der Schlüssel wird nicht in den Paketen übertragen. Mit dieser Methode werden Pakete am Empfangenden Ende der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer ist als die zuletzt empfangene Sequenznummer.
akribisch-sha-1 – Akribisch verschlüsselter sicherer Hash-Algorithmus I. Diese Methode funktioniert auf dieselbe Weise wie keyed SHA, aber die Sequenznummer wird mit jedem Paket aktualisiert. Obwohl diese Methode sicherer ist als schlüsselgebundene SHA und einfache Passwörter, kann die Authentifizierung der Sitzung zusätzliche Zeit in Anspruch nehmen.
Nonstop Active Routing (NSR) wird mit Authentifizierungsalgorithmen akribisch-keyed-md5 und akribisch-keyed-sha-1 nicht unterstützt. BFD-Sitzungen, die diese Algorithmen verwenden, können nach einem Switchover ausfallen.
Switches der QFX5000-Serie und EX4600-Switches unterstützen keine Mindestintervallwerte von weniger als 1 Sekunde.
Sicherheitsauthentifizierungs-Keychains
Der Schlüsselbund für die Sicherheitsauthentifizierung definiert die Authentifizierungsattribute, die für Authentifizierungsschlüsselaktualisierungen verwendet werden. Wenn der Schlüsselbund für die Sicherheitsauthentifizierung konfiguriert und über den Namen des Schlüsselbundes einem Protokoll zugeordnet ist, können Authentifizierungsschlüsselaktualisierungen erfolgen, ohne dass Routing- und Signalprotokolle unterbrochen werden.
Der Authentifizierungsschlüsselbund enthält einen oder mehrere Schlüsselketten. Jeder Schlüsselbund enthält einen oder mehrere Schlüssel. Jeder Schlüssel enthält die geheimen Daten und den Zeitpunkt, zu dem der Schlüssel gültig wird. Der Algorithmus und der Schlüsselbund müssen an beiden Enden der BFD-Sitzung konfiguriert werden, und sie müssen übereinstimmen. Jede Inkonsensierung in der Konfiguration verhindert, dass die BFD-Sitzung erstellt wird.
BFD erlaubt mehrere Clients pro Sitzung, und für jeden Client kann ein eigener Schlüsselbund und ein eigener Algorithmus definiert werden. Um Verwechslungen zu vermeiden, empfehlen wir, nur einen Schlüsselbund für die Sicherheitsauthentifizierung anzugeben.
Strikte versus lose Authentifizierung
Standardmäßig ist die strikte Authentifizierung aktiviert und die Authentifizierung wird an beiden Enden jeder BFD-Sitzung überprüft. Optional können Sie eine lose Prüfung konfigurieren, um eine reibungslose Migration von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen zu ermöglichen. Wenn eine lose Prüfung konfiguriert ist, werden Pakete akzeptiert, ohne dass die Authentifizierung an jedem Ende der Sitzung geprüft wird. Diese Funktion ist nur für Übergangszeiten vorgesehen.
Beispiel: Konfigurieren der BFD-Authentifizierung zur Sicherung statischer Routen
Dieses Beispiel zeigt, wie Sie die BFD-Authentifizierung (Bidirectional Forwarding Detection) für statische Routen konfigurieren.
Anforderungen
Junos OS Version 9.6 oder höher (Canda und US-Version).
Die BFD-Authentifizierung wird nur in der Kanada- und US-Version des Junos OS-Images unterstützt und ist in der Exportversion nicht verfügbar.
Übersicht
Sie können die Authentifizierung für BFD-Sitzungen konfigurieren, die über statische IPv4- und IPv6-Routen ausgeführt werden. Routing-Instanzen und logische Systeme werden ebenfalls unterstützt.
Die folgenden Schritte sind erforderlich, um die Authentifizierung in einer BFD-Sitzung zu konfigurieren:
Geben Sie den BFD-Authentifizierungsalgorithmus für die statische Route an.
Verknüpfen Sie den Authentifizierungsschlüsselbund mit der statischen Route.
Konfigurieren Sie den zugehörigen Schlüsselbund für die Sicherheitsauthentifizierung. Dies muss auf dem Hauptrouter konfiguriert werden.
Wir empfehlen, die lose Authentifizierungsprüfung anzugeben, wenn Sie von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen wechseln.
[edit] user@host> set routing-options static route ipv4 bfd-liveness-detection authentication loose-check
Abbildung 2 zeigt das Beispielnetzwerk.
Topologie
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, und kopieren Sie dann die Befehle und fügen sie auf Hierarchieebene in die [edit] CLI ein.
Gerät B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
Gerät D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
Verfahren
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie BFD für statische Routen:
Konfigurieren Sie auf Gerät B die Schnittstellen.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
Erstellen Sie auf Gerät B eine statische Route, und legen Sie die Next-Hop-Adresse fest.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
Konfigurieren Sie auf Gerät B BFD für die statische Route.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
Geben Sie auf Gerät B den Algorithmus (keyed-md5, keyed-sha-1, akribisch-keyed-md5, akribisch-keyed-sha-1 oder simple-password) an, der für die BFD-Authentifizierung auf der statischen Route verwendet werden soll.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1
Hinweis:Nonstop Active Routing (NSR) wird mit den Authentifizierungsalgorithmen akribisch-keyed-md5 und akribisch-keyed-sha-1 nicht unterstützt. BFD-Sitzungen, die diese Algorithmen verwenden, können nach einem Switchover ausfallen.
-
Geben Sie auf Gerät B den Schlüsselbund an, der verwendet werden soll, um BFD-Sitzungen auf der angegebenen Route mit den einzigartigen Sicherheitsauthentifizierungs-Schlüsselkettenattributen zu verknüpfen.
Dies sollte mit dem Aufschlüsselungsnamen übereinstimmen, der
[edit security authentication key-chains]auf Hierarchieebene konfiguriert wurde.[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4
Geben Sie auf Gerät B die eindeutigen Sicherheitsauthentifizierungsinformationen für BFD-Sitzungen an:
-
Der übereinstimmende Schlüsselkettenname, wie in Schritt 5 angegeben.
Mindestens eine Taste, eine eindeutige Ganze zwischen 0 und 63. Durch das Erstellen mehrerer Schlüssel können mehrere Clients die BFD-Sitzung verwenden.
Die geheimen Daten, die verwendet wurden, um den Zugriff auf die Sitzung zu ermöglichen.
Der Zeitpunkt, zu dem der Authentifizierungsschlüssel aktiv wird, im Format yyyy-mm-dd.hh:mm:ss.
[edit security authentication-key-chains key-chain bfd-kc4] user@B# set key 5 secret "$ABC123$ABC123$ABC123" user@B# set key 5 start-time "2011-1-1.12:00:00 -0800"
-
Wenn Sie mit der Konfiguration von Gerät B fertig sind, bestätigen Sie die Konfiguration.
[edit] user@B# commit
Wiederholen Sie die Konfiguration auf Gerät D.
Der Algorithmus und der Schlüsselbund müssen an beiden Enden der BFD-Sitzung konfiguriert werden, und sie müssen übereinstimmen. Jede Inkonsensierung in der Konfiguration verhindert, dass die BFD-Sitzung erstellt wird.
Ergebnisse
Bestätigen Sie Ihre Konfiguration durch Ausgabe von show interfaces, show routing-optionsund show security Befehlen. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Gerät B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
authentication {
key-chain bfd-kc4;
algorithm keyed-sha-1;
}
}
}
}
user@B# show security
authentication-key-chains {
key-chain bfd-kc4 {
key 5 {
secret "$ABC123$ABC123$ABC123"; ## SECRET-DATA
start-time "2011-1-1.12:00:00 -0800";
}
}
}
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen, ob BFD-Sitzungen aktiviert sind
- Anzeigen von Details zur BFD-Sitzung
- Umfassende BFD-Sitzungsinformationen anzeigen
Überprüfen, ob BFD-Sitzungen aktiviert sind
Zweck
Stellen Sie sicher, dass die BFD-Sitzungen aktiv sind.
Aktion
Geben Sie im Betriebsmodus den show bfd session Befehl ein.
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Bedeutung
Die Befehlsausgabe zeigt, dass die BFD-Sitzung aktiv ist.
Anzeigen von Details zur BFD-Sitzung
Zweck
Zeigen Sie Details zu den BFD-Sitzungen an und stellen Sie sicher, dass die Authentifizierung konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show bfd session detail Befehl ein.
user@B> show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000, Authenticate
Session up time 00:53:58
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Bedeutung
In der Befehlsausgabe wird Authentifizieren angezeigt, um anzugeben, dass die BFD-Authentifizierung konfiguriert ist.
Umfassende BFD-Sitzungsinformationen anzeigen
Zweck
Sehen Sie sich detaillierte Informationen zu den BFD-Sitzungen an.
Aktion
Geben Sie im Betriebsmodus den show bfd session extensive Befehl ein.
user@B> show bfd session extensive
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000, Authenticate
keychain bfd-kc4, algo keyed-sha-1, mode strict
Session up time 01:39:45
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 3, remote discriminator 4
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-kc4, algo keyed-sha-1, mode strict
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Bedeutung
In der Befehlsausgabe wird Authentifizieren angezeigt, um anzugeben, dass die BFD-Authentifizierung konfiguriert ist. Die Ausgabe für den extensive Befehl liefert den Schlüsselkettennamen, den Authentifizierungsalgorithmus und den Modus für jeden Client in der Sitzung.
Die description Site- <xxx> wird nur auf Geräten der SRX-Serie unterstützt.
Wenn jeder Client mehr als ein Beschreibungsfeld hat, wird "und mehr" zusammen mit dem ersten Beschreibungsfeld angezeigt.
Beispiel: Aktivieren von BFD auf qualifizierten Next Hops in statischen Routen für die Routenauswahl
Dieses Beispiel zeigt, wie Sie eine statische Route mit mehreren möglichen Next Hops konfigurieren. Jeder nächste Hop ist bidirektionale Weiterleitungserkennung (BFD) aktiviert.
Anforderungen
In diesem Beispiel ist keine spezielle Konfiguration über die Geräteinitialisierung hinaus erforderlich.
Übersicht
In diesem Beispiel verfügt Gerät B über die statische Route 192.168.47.0/24 mit zwei möglichen next Hops. Die beiden nächsten Hops werden mithilfe von zwei qualified-next-hop Anweisungen definiert. Jeder nächste Hop ist BFD aktiviert.
BFD ist auch auf Gerät D aktiviert, da BFD an beiden Enden der Verbindung aktiviert sein muss.
Ein nächster Hop wird in der Routing-Tabelle enthalten, wenn die BFD-Sitzung aktiv ist. Der nächste Hop wird aus der Routing-Tabelle entfernt, wenn die BFD-Sitzung ausfällt.
Siehe Abbildung 3.
aktiviert
Topologie
Konfiguration
Verfahren
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, und kopieren Sie dann die Befehle und fügen sie auf Hierarchieebene in die [edit] CLI ein.
Gerät B
set interfaces fe-0/1/0 unit 2 description secondary-B->D set interfaces fe-0/1/0 unit 2 family inet address 192.168.2.1/24 set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set routing-options static route 192.168.47.0/24 qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 set routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
Gerät D
set interfaces fe-0/1/0 unit 3 description secondary-D->B set interfaces fe-0/1/0 unit 3 family inet address 192.168.2.2/24 set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set routing-options static route 0.0.0.0/0 qualified-next-hop 192.168.2.1 set routing-options static route 0.0.0.0/0 qualified-next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 60
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie eine statische Route mit zwei möglichen nächsten Hops, beide mit BFD-aktiviert:
Konfigurieren Sie auf Gerät B die Schnittstellen.
[edit interfaces fe-0/1/0] user@B# set unit 2 description secondary-B->D user@B# set unit 2 family inet address 192.168.2.1/24 [edit interfaces ge-1/2/0] user@B# set unit 0 description B->D user@B# set unit 0 family inet address 172.16.1.1/24
Konfigurieren Sie auf Gerät B die statische Route mit zwei nächsten Hops, beide bei aktivierter BFD.
[edit routing-options static route 192.168.47.0/24] user@B# set qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 user@B# set qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
Konfigurieren Sie auf Gerät D die Schnittstellen.
[edit interfaces fe-0/1/0] user@D# set unit 3 description secondary-D->B user@D# set unit 3 family inet address 192.168.2.2/24 [edit interfaces ge-1/2/0] user@D# set unit 1 description D->B user@D# set unit 1 family inet address 172.16.1.2/24
Konfigurieren Sie auf Gerät D eine BFD-aktivierte statische Standardroute mit zwei nächsten Hops zum Provider-Netzwerk.
In diesem Fall ist BFD auf der Route aktiviert, nicht auf den nächsten Hops.
[edit routing-options static route 0.0.0.0/0] user@D# set qualified-next-hop 192.168.2.1 user@D# set qualified-next-hop 172.16.1.1 user@D# set bfd-liveness-detection minimum-interval 60
Ergebnisse
Bestätigen Sie Ihre Konfiguration mit der Ausgabe und den show interfaces show routing-options Befehlen. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@B# show interfaces
fe-0/1/0 {
unit 2 {
description secondary-B->D;
family inet {
address 192.168.2.1/24;
}
}
}
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
qualified-next-hop 192.168.2.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
qualified-next-hop 172.16.1.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
}
}
user@D# show interfaces
fe-0/1/0 {
unit 3 {
description secondary-D->B;
family inet {
address 192.168.2.2/24;
}
}
}
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
qualified-next-hop 192.168.2.1;
qualified-next-hop 172.16.1.1;
bfd-liveness-detection {
minimum-interval 60;
}
}
}
Wenn Sie mit der Konfiguration der Geräte fertig sind, geben Sie Commit aus dem Konfigurationsmodus ein.
Überprüfung
Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der Routing-Tabellen
- Überprüfung der BFD-Sitzungen
- Entfernen von BFD von Gerät D
- Entfernen von BFD von one Next Hop
Überprüfen der Routing-Tabellen
Zweck
Stellen Sie sicher, dass die statische Route in der Routing-Tabelle auf Gerät B mit zwei möglichen nächsten Hops angezeigt wird.
Aktion
user@B> show route 192.168.47.0 extensive
inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)
192.168.47.0/24 (1 entry, 1 announced)
TSI:
KRT in-kernel 192.168.47.0/24 -> {192.168.2.2}
*Static Preference: 5
Next hop type: Router
Address: 0x9334010
Next-hop reference count: 1
Next hop: 172.16.1.2 via ge-1/2/0.0
Next hop: 192.168.2.2 via fe-0/1/0.2, selected
State: <Active Int Ext>
Age: 9
Task: RT
Announcement bits (1): 3-KRT
AS path: I
Bedeutung
Beide nächsten Hops werden aufgelistet. Der nächste Hop 192.168.2.2 ist die ausgewählte Route.
Überprüfung der BFD-Sitzungen
Zweck
Stellen Sie sicher, dass die BFD-Sitzungen aktiviert sind.
Aktion
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 0.720 0.240 3
192.168.2.2 Up fe-0/1/0.2 0.720 0.240 3
2 sessions, 2 clients
Cumulative transmit rate 8.3 pps, cumulative receive rate 8.3 pps
Bedeutung
Die Ausgabe zeigt, dass die BFD-Sitzungen aktiv sind.
Entfernen von BFD von Gerät D
Zweck
Zeigen Sie, was passiert, wenn die BFD-Sitzung für beide nächsten Hops ausfällt.
Aktion
Deaktivieren Sie BFD auf Gerät D.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
Führen Sie den
show bfd sessionBefehl auf Gerät B erneut aus.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 172.16.1.2 Down ge-1/2/0.0 3.000 1.000 3 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3 2 sessions, 2 clients Cumulative transmit rate 2.0 pps, cumulative receive rate 2.0 ppsFühren Sie den
show route 192.168.47.0Befehl auf Gerät B erneut aus.user@B> show route 192.168.47.0
Bedeutung
Wenn die BFD-Sitzungen ausfallen, wird erwartungsgemäß die statische Route aus der Routingtabelle entfernt.
Entfernen von BFD von one Next Hop
Zweck
Zeigen Sie, was passiert, wenn nur ein nächster Hop BFD aktiviert hat.
Aktion
Wenn es nicht bereits deaktiviert ist, deaktivieren Sie BFD auf Gerät D.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
Deaktivieren Sie BFD auf einem der nächsten Hops auf Gerät B.
[edit routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2] user@B# deactivate bfd-liveness-detection user@B# commit
Führen Sie den
show bfd sessionBefehl auf Gerät B erneut aus.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3Führen Sie den
show route 192.168.47.0 extensiveBefehl auf Gerät B erneut aus.user@B> show route 192.168.47.0 extensive inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) 192.168.47.0/24 (1 entry, 1 announced) TSI: KRT in-kernel 192.168.47.0/24 -> {172.16.1.2} *Static Preference: 5 Next hop type: Router, Next hop index: 624 Address: 0x92f0178 Next-hop reference count: 3 Next hop: 172.16.1.2 via ge-1/2/0.0, selected State: <Active Int Ext> Age: 2:36 Task: RT Announcement bits (1): 3-KRT AS path: I
Bedeutung
Wie erwartet, ist die BFD-Sitzung für den 192.168.2.2 nächsten Hop ausgefallen. Der nächste Hop 172.16.1.2 bleibt in der Routing-Tabelle, und die Route bleibt aktiv, da BFD keine Bedingung dafür ist, dass dieser nächste Hop gültig bleibt.
bfd-liveness-detection Befehl das Beschreibungsfeld. Die Beschreibung ist ein Attribut unter dem Objekt und wird nur auf Geräten der
bfd-liveness-detection SRX-Serie unterstützt. Dieses Feld gilt nur für statische Routen.