Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bidirektionale Weiterleitungserkennung für statische Routen

Verständnis von BFD für statische Routen zur schnelleren Erkennung von Netzwerkausfällen

Das Bidirectional Forwarding Detection (BFD)-Protokoll ist ein einfacher Hallo-Mechanismus, der Fehler in einem Netzwerk erkennt. BFD funktioniert mit einer Vielzahl von Netzwerkumgebungen und Topologien. Ein Routing-Gerätepaar tauscht BFD-Pakete aus. Hallo Pakete werden in einem bestimmten, regelmäßigen Intervall gesendet. Ein Neighbor-Fehler wird erkannt, wenn das Routinggerät nach einem angegebenen Intervall keine Antwort mehr empfängt. Die BfD-Timer zur Fehlererkennung haben kürzere Zeitgrenzen als die statischen Routing-Fehlererkennungsmechanismen, sodass sie eine schnellere Erkennung ermöglichen.

Die BfD-Timer zur Fehlererkennung können so eingestellt werden, dass sie schneller oder langsamer sind. Je niedriger der Wert des BFD-Timers für die Fehlererkennung ist, desto schneller ist die Fehlererkennung und umgekehrt. So können sich die Timer beispielsweise an einen höheren Wert anpassen, wenn die Adjacency fehlschlägt (das heißt, der Timer erkennt Fehler langsamer). Oder ein Nachbar kann einen höheren Wert für einen Timer aushandeln als den konfigurierten Wert. Die Timer passen sich an einen höheren Wert an, wenn eine BFD-Sitzungsklappe mehr als dreimal in einem Zeitraum von 15 Sekunden auftritt. Ein Back-off-Algorithmus erhöht das Empfangsintervall (Rx) um zwei, wenn die lokale BFD-Instanz der Grund für den Sitzungs-Flap ist. Das Übertragungsintervall (Tx) wird um zwei erhöht, wenn die Remote-BFD-Instanz der Grund für den Sitzungs-Flap ist. Sie können den clear bfd adaptation Befehl verwenden, um BFD-Intervall-Timer auf ihre konfigurierten Werte zurückzugeben. Der clear bfd adaptation Befehl ist hitless, was bedeutet, dass der Befehl keinen Einfluss auf den Datenverkehr auf dem Routinggerät hat.

Standardmäßig wird BFD auf statischen Single-Hop-Routen unterstützt.

Hinweis:

Auf Geräten der MX-Serie wird Multihop-BFD auf einer statischen Route nicht unterstützt, wenn die statische Route mit mehr als einem nächsten Hop konfiguriert ist. Es wird empfohlen, die Verwendung mehrerer Next Hops zu vermeiden, wenn für eine statische Route ein Multihop-BFD erforderlich ist.

Um die Fehlererkennung zu ermöglichen, fügen Sie die bfd-liveness-detection Anweisung in die statische Routenkonfiguration ein.

Hinweis:

Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 enthält der bfd-liveness-detection Befehl das Beschreibungsfeld. Die Beschreibung ist ein Attribut unter dem Objekt und wird nur auf Geräten der bfd-liveness-detection SRX-Serie unterstützt. Dieses Feld gilt nur für statische Routen.

In Junos OS Version 9.1 und höher wird das BFD-Protokoll für statische IPv6-Routen unterstützt. Globale Unicast- und link-lokale IPv6-Adressen werden für statische Routen unterstützt. Das BFD-Protokoll wird auf Multicast- oder Anycast-IPv6-Adressen nicht unterstützt. Für IPv6 unterstützt das BFD-Protokoll nur statische Routen und nur in Junos OS Version 9.3 und höher. IPv6 für BFD wird auch für das eBGP-Protokoll unterstützt.

Um das BFD-Protokoll für statische IPv6-Routen zu konfigurieren, fügen Sie die bfd-liveness-detection Anweisung auf [edit routing-options rib inet6.0 static route destination-prefix] Hierarchieebene ein.

In Junos OS Version 8.5 und höher können Sie ein Halteintervall konfigurieren, um anzugeben, wie lange die BFD-Sitzung unterbrochen werden muss, bevor eine Statusänderungsbenachrichtigung gesendet wird.

Um das Halteintervall anzugeben, fügen Sie die holddown-interval Anweisung in die BFD-Konfiguration ein. Sie können eine Zahl im Bereich von 0 bis 255.000 Millisekunden konfigurieren. Der Standardwert ist 0. Wenn die BFD-Sitzung ausfällt und während des Halteintervalls wieder hochgeht, wird der Timer neu gestartet.

Hinweis:

Wenn eine einzelne BFD-Sitzung mehrere statische Routen umfasst, wird das Halteintervall mit dem höchsten Wert verwendet.

Um die mindesten Sende- und Empfangsintervalle für die Fehlererkennung anzugeben, fügen Sie die minimum-interval Anweisung in die BFD-Konfiguration ein.

Dieser Wert stellt sowohl das Mindestintervall dar, nach dem das lokale Routinggerät Hallo-Pakete überträgt, als auch das Mindestintervall, nach dem das Routinggerät eine Antwort von dem Nachbarn erwartet, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können eine Zahl im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Optional können Sie anstelle dieser Anweisung die mindesten Sende- und Empfangsintervalle separat konfigurieren, indem Sie das Mindestintervall und minimum-receive-interval die Anweisungen für das Übertragungsintervall verwenden.

Hinweis:

Ex4600-Switches unterstützen keine Mindestintervallwerte von weniger als 1 Sekunde.

Hinweis:

BFD ist ein intensives Protokoll, das Systemressourcen verbraucht. Die Festlegung eines Mindestintervalls für BFD von weniger als 100 ms für Routing-Engine-basierten Sitzungen und 10 ms für verteilte BFD-Sitzungen kann zu unerwünschtem BFD-Flappen führen.

Je nach Ihrer Netzwerkumgebung können diese zusätzlichen Empfehlungen gelten:

  • Geben Sie für groß angelegte Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen ein Mindestintervall von 300 ms für Routing-Engine-basierte Sitzungen und 100 ms für verteilte BFD-Sitzungen an.

  • Für sehr große Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen wenden Sie sich an den Kundensupport von Juniper Networks, um weitere Informationen zu erhalten.

  • Damit BFD-Sitzungen während eines Routing-Engine-Switchover-Ereignisses bei der Konfiguration von Nonstop Active Routing (NSR) weiterhin geöffnet bleiben, geben Sie ein Mindestintervall von 2500 ms für Routing-Engine-basierte Sitzungen an. Für verteilte BFD-Sitzungen mit konfigurierter NSR sind die Mindestintervallempfehlungen unverändert und hängen nur von Ihrer Netzwerkbereitstellung ab.

Um das minimale Empfangsintervall für die Fehlererkennung anzugeben, fügen Sie die minimum-receive-interval Anweisung in die BFD-Konfiguration ein. Dieser Wert stellt das Mindestintervall dar, nach dem das Routinggerät eine Antwort von einem Nachbarn erwartet, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können eine Zahl im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Optional können Sie anstelle dieser Anweisung das minimale Empfangsintervall mithilfe der minimum-interval Anweisung auf [edit routing-options static route destination-prefix bfd-liveness-detection] Hierarchieebene konfigurieren.

Fügen Sie multiplier die Anweisung in die BFD-Konfiguration ein, um die Anzahl der Hallo-Pakete anzugeben, die nicht vom Nachbarn empfangen werden, der das Deklarieren der Ursprungsschnittstelle bewirkt. Der Standardwert ist 3. Sie können eine Zahl im Bereich von 1 bis 255 konfigurieren.

Um einen Schwellenwert für die Erkennung der Anpassung der Erkennungszeit anzugeben, fügen Sie die threshold Anweisung in die BFD-Konfiguration ein.

Wenn sich die Zeit für die BFD-Sitzungserkennung an einen Wert anpasst, der dem Schwellenwert entspricht oder höher ist, werden eine einzelne Trap und eine Systemprotokollnachricht gesendet. Die Erkennungszeit basiert auf dem Multiplikator des Minimum-Intervalls oder des Minimum-Empfangsintervall-Wertes . Der Schwellenwert muss einen höheren Wert als der Multiplikator für einen dieser konfigurierten Werte sein. Wenn das minimale Empfangsintervall beispielsweise 300 ms und der Multiplikator 3 beträgt, beträgt die Gesamterkennungszeit 900 ms. Daher muss der Schwellenwert für die Erkennungszeit einen Wert von höher als 900 haben.

Um das minimale Übertragungsintervall für die Fehlererkennung anzugeben, fügen Sie die transmit-interval minimum-interval Anweisung in die BFD-Konfiguration ein.

Dieser Wert stellt das Mindestintervall dar, nach dem das lokale Routinggerät Hallo-Pakete an den Nachbarn überträgt, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können einen Wert im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Optional können Sie anstelle dieser Anweisung das minimale Übertragungsintervall mithilfe der minimum-interval Anweisung auf [edit routing-options static route destination-prefix bfd-liveness-detection] Hierarchieebene konfigurieren.

Um den Schwellenwert für die Anpassung des Sendeintervalls anzugeben, fügen Sie die transmit-interval threshold Anweisung in die BFD-Konfiguration ein.

Der Schwellenwert muss größer als das Übertragungsintervall sein. Wenn sich die Sendezeit der BFD-Sitzung an einen Wert anpasst, der den Schwellenwert überschreitet, werden eine einzelne Trap und eine Systemprotokollnachricht gesendet. Die Erkennungszeit basiert auf dem Multiplikator des Wertes für das Mindestintervall oder die minimum-receive-interval Anweisung auf Hierarchieebene [edit routing-options static route destination-prefix bfd-liveness-detection] . Der Schwellenwert muss einen höheren Wert als der Multiplikator für einen dieser konfigurierten Werte sein.

Um die BFD-Version anzugeben, fügen Sie die version Anweisung in die BFD-Konfiguration ein. Standardmäßig wird die Version automatisch erkannt.

Um eine IP-Adresse für den nächsten Hop der BFD-Sitzung einzubeziehen, fügen Sie die neighbor Anweisung in die BFD-Konfiguration ein.

Hinweis:

Sie müssen die neighbor Anweisung konfigurieren, wenn der angegebene nächste Hop ein Schnittstellenname ist. Wenn Sie eine IP-Adresse als nächsten Hop angeben, wird diese Adresse als Nachbarnadresse für die BFD-Sitzung verwendet.

In Junos OS Version 9.0 und höher können Sie BFD-Sitzungen so konfigurieren, dass sie sich nicht an veränderte Netzwerkbedingungen anpassen. Um die BFD-Anpassung zu deaktivieren, fügen Sie die no-adaptation Anweisung in die BFD-Konfiguration ein.

Hinweis:

Wir empfehlen, dass Sie die BFD-Anpassung nicht deaktivieren, es sei denn, es ist besser, keine BFD-Anpassung in Ihrem Netzwerk zu haben.

Hinweis:

Wenn BFD nur an einem Ende einer statischen Route konfiguriert ist, wird die Route aus der Routing-Tabelle entfernt. BFD stellt eine Sitzung fest, wenn BFD an beiden Enden der statischen Route konfiguriert wird.

BFD wird auf ISO-Adressfamilien in statischen Routen nicht unterstützt. BFD unterstützt IS-IS.

Wenn Sie graceful Routing Engine Switchover (GRES) gleichzeitig mit BFD konfigurieren, behält GRES die BFD-Statusinformationen während eines Failovers nicht bei.

Beispiel: Konfigurieren von BFD für statische Routen zur schnelleren Erkennung von Netzwerkausfällen

Dieses Beispiel zeigt, wie Sie bidirektionale Weiterleitungserkennung (BIDIRECTIONAL Forwarding Detection, BFD) für statische Routen konfigurieren.

Anforderungen

In diesem Beispiel ist keine spezielle Konfiguration über die Geräteinitialisierung hinaus erforderlich.

Übersicht

Für statische Routen gibt es viele praktische Anwendungen. Statisches Routing wird häufig am Netzwerk-Edge verwendet, um die Anbindung an Stub-Netzwerke zu unterstützen, die sich aufgrund ihrer einzelnen Ein- und Ausgangspunkte gut für die Simplizität einer statischen Route eignen. In Junos OS haben statische Routen eine globale Präferenz von 5. Statische Routen werden aktiviert, wenn der angegebene nächste Hop erreichbar ist.

In diesem Beispiel konfigurieren Sie die statische Route 192.168.47.0/24 vom Providernetzwerk zum Kundennetzwerk unter Verwendung der Next-Hop-Adresse 172.16.1.2. Sie konfigurieren auch eine statische Standardroute von 0.0.0.0/0 vom Kundennetzwerk zum Provider-Netzwerk unter Verwendung der Next-Hop-Adresse 172.16.1.1.

Zu Demonstrationszwecken werden einige Loopback-Schnittstellen auf Gerät B und Gerät D konfiguriert. Diese Loopback-Schnittstellen stellen Adressen für Ping bereit und überprüfen somit, ob die statischen Routen funktionieren.

Abbildung 1 zeigt das Beispielnetzwerk.

Abbildung 1: Kundenrouten, die mit einem Service Provider verbunden sind Customer Routes Connected to a Service Provider

Topologie

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, und kopieren Sie dann die Befehle und fügen sie auf Hierarchieebene in die [edit] CLI ein.

Gerät B

Gerät D

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.

So konfigurieren Sie BFD für statische Routen:

  1. Konfigurieren Sie auf Gerät B die Schnittstellen.

  2. Erstellen Sie auf Gerät B eine statische Route, und legen Sie die Next-Hop-Adresse fest.

  3. Konfigurieren Sie auf Gerät B BFD für die statische Route.

  4. Konfigurieren Sie auf Gerät B die Ablaufverfolgung für BFD.

  5. Wenn Sie mit der Konfiguration von Gerät B fertig sind, bestätigen Sie die Konfiguration.

  6. Konfigurieren Sie auf Gerät D die Schnittstellen.

  7. Erstellen Sie auf Gerät D eine statische Route, und legen Sie die Next-Hop-Adresse fest.

  8. Konfigurieren Sie auf Gerät D BFD für die statische Route.

  9. Konfigurieren Sie auf Gerät D die Ablaufverfolgung für BFD.

  10. Wenn Sie mit der Konfiguration von Gerät D fertig sind, bestätigen Sie die Konfiguration.

Ergebnisse

Bestätigen Sie Ihre Konfiguration durch Ausgabe von show interfaces, show protocolsund show routing-options Befehlen. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Gerät B

Gerät D

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen, ob BFD-Sitzungen aktiviert sind

Zweck

Stellen Sie sicher, dass die BFD-Sitzungen aktiviert sind, und zeigen Sie Details zu den BFD-Sitzungen an.

Aktion

Geben Sie im Betriebsmodus den show bfd session extensive Befehl ein.

Hinweis:

Die description Site- <xxx> wird nur auf Geräten der SRX-Serie unterstützt.

Wenn jeder Client mehr als ein Beschreibungsfeld hat, wird "und mehr" zusammen mit dem ersten Beschreibungsfeld angezeigt.

Bedeutung

Die TX interval 1.000, RX interval 1.000 Ausgabe stellt die mit der minimum-interval Anweisung konfigurierte Einstellung dar. Alle anderen Ausgaben stellen die Standardeinstellungen für BFD dar. Um die Standardeinstellungen zu ändern, fügen Sie die optionalen Anweisungen unter der bfd-liveness-detection Anweisung ein.

Anzeigen detaillierter BFD-Ereignisse

Zweck

Zeigen Sie den Inhalt der BFD-Trace-Datei an, um bei Bedarf bei der Fehlerbehebung zu helfen.

Aktion

Geben Sie im Betriebsmodus den file show /var/log/bfd-trace Befehl ein.

Bedeutung

BFD-Nachrichten werden in die Trace-Datei geschrieben.

Grundlegendes zur BFD-Authentifizierung für statische Routensicherheit

Bidirectional Forwarding Detection (BFD) ermöglicht die schnelle Erkennung von Kommunikationsfehlern zwischen benachbarten Systemen. Standardmäßig ist die Authentifizierung für BFD-Sitzungen deaktiviert. Wenn Sie jedoch BFD über Protokolle auf Netzwerkebene ausführen, kann das Risiko von Serviceangriffen erheblich sein.

Hinweis:

Wir empfehlen dringend die Authentifizierung, wenn Sie BFD über mehrere Hops oder über unsichere Tunnel ausführen.

Ab Junos OS Version 9.6 unterstützt Junos OS die Authentifizierung für BFD-Sitzungen, die über statische IPv4- und IPv6-Routen ausgeführt werden. DIE BFD-Authentifizierung wird in MPLS-OAM-Sitzungen nicht unterstützt. Die BFD-Authentifizierung wird nur in der Kanada- und US-Version des Junos OS-Images unterstützt und ist in der Exportversion nicht verfügbar.

Hinweis:

DER EX3300 unterstützt BFD nur über statische Routen.

Sie authentifizieren BFD-Sitzungen, indem Sie einen Authentifizierungsalgorithmus und einen Schlüsselbund angeben und diese Konfigurationsinformationen dann mithilfe des Schlüsselbundnamens einer Sicherheitsauthentifizierung zuordnen.

In den folgenden Abschnitten werden die unterstützten Authentifizierungsalgorithmen, Sicherheitsschlüsselketten und Authentifizierungsebenen beschrieben, die konfiguriert werden können:

BFD-Authentifizierungsalgorithmen

Junos OS unterstützt die folgenden Algorithmen für DIE BFD-Authentifizierung:

  • simple-password – Klartextkennwort. Zur Authentifizierung der BFD-Sitzung werden 1 bis 16 Byte Klartext verwendet. Ein oder mehrere Passwörter können konfiguriert werden. Diese Methode ist die geringste Sicherheit und sollte nur verwendet werden, wenn BFD-Sitzungen nicht dem Abfangen von Paketen unterliegen.

  • keyed-md5– Keyed Message Digest 5 Hash-Algorithmus für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Zur Authentifizierung der BFD-Sitzung verwendet keyed MD5 einen oder mehrere geheime Schlüssel (vom Algorithmus generiert) und eine Sequenznummer, die in regelmäßigen Abständen aktualisiert wird. Mit dieser Methode werden Pakete am empfangenden Ende der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer oder gleich der letzten erhaltenen Sequenznummer ist. Obwohl diese Methode sicherer ist als ein einfaches Passwort, ist sie anfällig für Wiederholungsangriffe. Wenn die Sequenznummer aktualisiert wird, kann dieses Risiko verringert werden.

  • akribisch-keyed-md5 – Akribisch keyed Message Digest 5 Hash-Algorithmus. Diese Methode funktioniert auf dieselbe Weise wie keyed MD5, aber die Sequenznummer wird mit jedem Paket aktualisiert. Diese Methode ist zwar sicherer als der schlüsselgebundene MD5 und einfache Passwörter, kann jedoch zusätzliche Zeit in Anspruch nehmen, um die Sitzung zu authentifizieren.

  • keyed-sha-1 – Keyed Secure Hash Algorithm I für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Zur Authentifizierung der BFD-Sitzung verwendet keyed SHA einen oder mehrere geheime Schlüssel (vom Algorithmus generiert) und eine Sequenznummer, die in regelmäßigen Abständen aktualisiert wird. Der Schlüssel wird nicht in den Paketen übertragen. Mit dieser Methode werden Pakete am Empfangenden Ende der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer ist als die zuletzt empfangene Sequenznummer.

  • akribisch-sha-1 – Akribisch verschlüsselter sicherer Hash-Algorithmus I. Diese Methode funktioniert auf dieselbe Weise wie keyed SHA, aber die Sequenznummer wird mit jedem Paket aktualisiert. Obwohl diese Methode sicherer ist als schlüsselgebundene SHA und einfache Passwörter, kann die Authentifizierung der Sitzung zusätzliche Zeit in Anspruch nehmen.

Hinweis:

Nonstop Active Routing (NSR) wird mit Authentifizierungsalgorithmen akribisch-keyed-md5 und akribisch-keyed-sha-1 nicht unterstützt. BFD-Sitzungen, die diese Algorithmen verwenden, können nach einem Switchover ausfallen.

Hinweis:

Switches der QFX5000-Serie und EX4600-Switches unterstützen keine Mindestintervallwerte von weniger als 1 Sekunde.

Sicherheitsauthentifizierungs-Keychains

Der Schlüsselbund für die Sicherheitsauthentifizierung definiert die Authentifizierungsattribute, die für Authentifizierungsschlüsselaktualisierungen verwendet werden. Wenn der Schlüsselbund für die Sicherheitsauthentifizierung konfiguriert und über den Namen des Schlüsselbundes einem Protokoll zugeordnet ist, können Authentifizierungsschlüsselaktualisierungen erfolgen, ohne dass Routing- und Signalprotokolle unterbrochen werden.

Der Authentifizierungsschlüsselbund enthält einen oder mehrere Schlüsselketten. Jeder Schlüsselbund enthält einen oder mehrere Schlüssel. Jeder Schlüssel enthält die geheimen Daten und den Zeitpunkt, zu dem der Schlüssel gültig wird. Der Algorithmus und der Schlüsselbund müssen an beiden Enden der BFD-Sitzung konfiguriert werden, und sie müssen übereinstimmen. Jede Inkonsensierung in der Konfiguration verhindert, dass die BFD-Sitzung erstellt wird.

BFD erlaubt mehrere Clients pro Sitzung, und für jeden Client kann ein eigener Schlüsselbund und ein eigener Algorithmus definiert werden. Um Verwechslungen zu vermeiden, empfehlen wir, nur einen Schlüsselbund für die Sicherheitsauthentifizierung anzugeben.

Strikte versus lose Authentifizierung

Standardmäßig ist die strikte Authentifizierung aktiviert und die Authentifizierung wird an beiden Enden jeder BFD-Sitzung überprüft. Optional können Sie eine lose Prüfung konfigurieren, um eine reibungslose Migration von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen zu ermöglichen. Wenn eine lose Prüfung konfiguriert ist, werden Pakete akzeptiert, ohne dass die Authentifizierung an jedem Ende der Sitzung geprüft wird. Diese Funktion ist nur für Übergangszeiten vorgesehen.

Beispiel: Konfigurieren der BFD-Authentifizierung zur Sicherung statischer Routen

Dieses Beispiel zeigt, wie Sie die BFD-Authentifizierung (Bidirectional Forwarding Detection) für statische Routen konfigurieren.

Anforderungen

Junos OS Version 9.6 oder höher (Canda und US-Version).

Die BFD-Authentifizierung wird nur in der Kanada- und US-Version des Junos OS-Images unterstützt und ist in der Exportversion nicht verfügbar.

Übersicht

Sie können die Authentifizierung für BFD-Sitzungen konfigurieren, die über statische IPv4- und IPv6-Routen ausgeführt werden. Routing-Instanzen und logische Systeme werden ebenfalls unterstützt.

Die folgenden Schritte sind erforderlich, um die Authentifizierung in einer BFD-Sitzung zu konfigurieren:

  1. Geben Sie den BFD-Authentifizierungsalgorithmus für die statische Route an.

  2. Verknüpfen Sie den Authentifizierungsschlüsselbund mit der statischen Route.

  3. Konfigurieren Sie den zugehörigen Schlüsselbund für die Sicherheitsauthentifizierung. Dies muss auf dem Hauptrouter konfiguriert werden.

Tipp:

Wir empfehlen, die lose Authentifizierungsprüfung anzugeben, wenn Sie von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen wechseln.

Abbildung 2 zeigt das Beispielnetzwerk.

Abbildung 2: Kundenrouten, die mit einem Service Provider verbunden sind Customer Routes Connected to a Service Provider

Topologie

Konfiguration

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, und kopieren Sie dann die Befehle und fügen sie auf Hierarchieebene in die [edit] CLI ein.

Gerät B

Gerät D

Verfahren

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.

So konfigurieren Sie BFD für statische Routen:

  1. Konfigurieren Sie auf Gerät B die Schnittstellen.

  2. Erstellen Sie auf Gerät B eine statische Route, und legen Sie die Next-Hop-Adresse fest.

  3. Konfigurieren Sie auf Gerät B BFD für die statische Route.

  4. Geben Sie auf Gerät B den Algorithmus (keyed-md5, keyed-sha-1, akribisch-keyed-md5, akribisch-keyed-sha-1 oder simple-password) an, der für die BFD-Authentifizierung auf der statischen Route verwendet werden soll.

    Hinweis:

    Nonstop Active Routing (NSR) wird mit den Authentifizierungsalgorithmen akribisch-keyed-md5 und akribisch-keyed-sha-1 nicht unterstützt. BFD-Sitzungen, die diese Algorithmen verwenden, können nach einem Switchover ausfallen.

  5. Geben Sie auf Gerät B den Schlüsselbund an, der verwendet werden soll, um BFD-Sitzungen auf der angegebenen Route mit den einzigartigen Sicherheitsauthentifizierungs-Schlüsselkettenattributen zu verknüpfen.

    Dies sollte mit dem Aufschlüsselungsnamen übereinstimmen, der [edit security authentication key-chains] auf Hierarchieebene konfiguriert wurde.

  6. Geben Sie auf Gerät B die eindeutigen Sicherheitsauthentifizierungsinformationen für BFD-Sitzungen an:

    • Der übereinstimmende Schlüsselkettenname, wie in Schritt 5 angegeben.

    • Mindestens eine Taste, eine eindeutige Ganze zwischen 0 und 63. Durch das Erstellen mehrerer Schlüssel können mehrere Clients die BFD-Sitzung verwenden.

    • Die geheimen Daten, die verwendet wurden, um den Zugriff auf die Sitzung zu ermöglichen.

    • Der Zeitpunkt, zu dem der Authentifizierungsschlüssel aktiv wird, im Format yyyy-mm-dd.hh:mm:ss.

  7. Wenn Sie mit der Konfiguration von Gerät B fertig sind, bestätigen Sie die Konfiguration.

  8. Wiederholen Sie die Konfiguration auf Gerät D.

    Der Algorithmus und der Schlüsselbund müssen an beiden Enden der BFD-Sitzung konfiguriert werden, und sie müssen übereinstimmen. Jede Inkonsensierung in der Konfiguration verhindert, dass die BFD-Sitzung erstellt wird.

Ergebnisse

Bestätigen Sie Ihre Konfiguration durch Ausgabe von show interfaces, show routing-optionsund show security Befehlen. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Gerät B

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen, ob BFD-Sitzungen aktiviert sind

Zweck

Stellen Sie sicher, dass die BFD-Sitzungen aktiv sind.

Aktion

Geben Sie im Betriebsmodus den show bfd session Befehl ein.

Bedeutung

Die Befehlsausgabe zeigt, dass die BFD-Sitzung aktiv ist.

Anzeigen von Details zur BFD-Sitzung

Zweck

Zeigen Sie Details zu den BFD-Sitzungen an und stellen Sie sicher, dass die Authentifizierung konfiguriert ist.

Aktion

Geben Sie im Betriebsmodus den show bfd session detail Befehl ein.

Bedeutung

In der Befehlsausgabe wird Authentifizieren angezeigt, um anzugeben, dass die BFD-Authentifizierung konfiguriert ist.

Umfassende BFD-Sitzungsinformationen anzeigen

Zweck

Sehen Sie sich detaillierte Informationen zu den BFD-Sitzungen an.

Aktion

Geben Sie im Betriebsmodus den show bfd session extensive Befehl ein.

Bedeutung

In der Befehlsausgabe wird Authentifizieren angezeigt, um anzugeben, dass die BFD-Authentifizierung konfiguriert ist. Die Ausgabe für den extensive Befehl liefert den Schlüsselkettennamen, den Authentifizierungsalgorithmus und den Modus für jeden Client in der Sitzung.

Hinweis:

Die description Site- <xxx> wird nur auf Geräten der SRX-Serie unterstützt.

Wenn jeder Client mehr als ein Beschreibungsfeld hat, wird "und mehr" zusammen mit dem ersten Beschreibungsfeld angezeigt.

Beispiel: Aktivieren von BFD auf qualifizierten Next Hops in statischen Routen für die Routenauswahl

Dieses Beispiel zeigt, wie Sie eine statische Route mit mehreren möglichen Next Hops konfigurieren. Jeder nächste Hop ist bidirektionale Weiterleitungserkennung (BFD) aktiviert.

Anforderungen

In diesem Beispiel ist keine spezielle Konfiguration über die Geräteinitialisierung hinaus erforderlich.

Übersicht

In diesem Beispiel verfügt Gerät B über die statische Route 192.168.47.0/24 mit zwei möglichen next Hops. Die beiden nächsten Hops werden mithilfe von zwei qualified-next-hop Anweisungen definiert. Jeder nächste Hop ist BFD aktiviert.

BFD ist auch auf Gerät D aktiviert, da BFD an beiden Enden der Verbindung aktiviert sein muss.

Ein nächster Hop wird in der Routing-Tabelle enthalten, wenn die BFD-Sitzung aktiv ist. Der nächste Hop wird aus der Routing-Tabelle entfernt, wenn die BFD-Sitzung ausfällt.

Siehe Abbildung 3.

Abbildung 3: BFD auf qualifizierten Next Hops BFD Enabled on Qualified Next Hops aktiviert

Topologie

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, und kopieren Sie dann die Befehle und fügen sie auf Hierarchieebene in die [edit] CLI ein.

Gerät B

Gerät D

Schritt-für-Schritt-Verfahren

Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.

So konfigurieren Sie eine statische Route mit zwei möglichen nächsten Hops, beide mit BFD-aktiviert:

  1. Konfigurieren Sie auf Gerät B die Schnittstellen.

  2. Konfigurieren Sie auf Gerät B die statische Route mit zwei nächsten Hops, beide bei aktivierter BFD.

  3. Konfigurieren Sie auf Gerät D die Schnittstellen.

  4. Konfigurieren Sie auf Gerät D eine BFD-aktivierte statische Standardroute mit zwei nächsten Hops zum Provider-Netzwerk.

    In diesem Fall ist BFD auf der Route aktiviert, nicht auf den nächsten Hops.

Ergebnisse

Bestätigen Sie Ihre Konfiguration mit der Ausgabe und den show interfaces show routing-options Befehlen. Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration der Geräte fertig sind, geben Sie Commit aus dem Konfigurationsmodus ein.

Überprüfung

Bestätigen Sie, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Routing-Tabellen

Zweck

Stellen Sie sicher, dass die statische Route in der Routing-Tabelle auf Gerät B mit zwei möglichen nächsten Hops angezeigt wird.

Aktion
Bedeutung

Beide nächsten Hops werden aufgelistet. Der nächste Hop 192.168.2.2 ist die ausgewählte Route.

Überprüfung der BFD-Sitzungen

Zweck

Stellen Sie sicher, dass die BFD-Sitzungen aktiviert sind.

Aktion
Bedeutung

Die Ausgabe zeigt, dass die BFD-Sitzungen aktiv sind.

Entfernen von BFD von Gerät D

Zweck

Zeigen Sie, was passiert, wenn die BFD-Sitzung für beide nächsten Hops ausfällt.

Aktion
  1. Deaktivieren Sie BFD auf Gerät D.

  2. Führen Sie den show bfd session Befehl auf Gerät B erneut aus.

  3. Führen Sie den show route 192.168.47.0 Befehl auf Gerät B erneut aus.

Bedeutung

Wenn die BFD-Sitzungen ausfallen, wird erwartungsgemäß die statische Route aus der Routingtabelle entfernt.

Entfernen von BFD von one Next Hop

Zweck

Zeigen Sie, was passiert, wenn nur ein nächster Hop BFD aktiviert hat.

Aktion
  1. Wenn es nicht bereits deaktiviert ist, deaktivieren Sie BFD auf Gerät D.

  2. Deaktivieren Sie BFD auf einem der nächsten Hops auf Gerät B.

  3. Führen Sie den show bfd session Befehl auf Gerät B erneut aus.

  4. Führen Sie den show route 192.168.47.0 extensive Befehl auf Gerät B erneut aus.

Bedeutung

Wie erwartet, ist die BFD-Sitzung für den 192.168.2.2 nächsten Hop ausgefallen. Der nächste Hop 172.16.1.2 bleibt in der Routing-Tabelle, und die Route bleibt aktiv, da BFD keine Bedingung dafür ist, dass dieser nächste Hop gültig bleibt.

Tabelle "Versionshistorie"
Release
Beschreibung
15.1X49-D70
Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 enthält der bfd-liveness-detection Befehl das Beschreibungsfeld. Die Beschreibung ist ein Attribut unter dem Objekt und wird nur auf Geräten der bfd-liveness-detection SRX-Serie unterstützt. Dieses Feld gilt nur für statische Routen.