Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Bidirektionale Weiterleitungserkennung für statische Routen

Grundlegendes zu BFD für statische Routen für eine schnellere Erkennung von Netzwerkausfällen

Das BFD-Protokoll (Bidirectional Forwarding Detection) ist ein einfacher Hallo-Mechanismus, der Fehler in einem Netzwerk erkennt. BFD arbeitet mit einer Vielzahl von Netzwerkumgebungen und -topologien. Ein Paar von Routing-Geräten tauscht BFD-Pakete aus. Hello-Pakete werden in einem festgelegten, regelmäßigen Intervall gesendet. Ein Nachbarfehler wird erkannt, wenn das Routinggerät nach einem bestimmten Intervall keine Antwort mehr empfängt. Die Timer für die BFD-Fehlererkennung haben kürzere Zeitlimits als die statischen Mechanismen zur Erkennung von Routenfehlern, sodass sie eine schnellere Erkennung ermöglichen.

Die Timer für die BFD-Fehlererkennung können so eingestellt werden, dass sie schneller oder langsamer sind. Je niedriger der Timerwert für die BFD-Fehlererkennung, desto schneller erfolgt die Fehlererkennung und umgekehrt. Beispielsweise können die Timer an einen höheren Wert angepasst werden, wenn die Nachbarschaft fehlschlägt (d. h., der Timer erkennt Fehler langsamer). Oder ein Nachbar kann einen höheren Wert für einen Timer aushandeln als den konfigurierten Wert. Die Timer passen sich an einen höheren Wert an, wenn eine BFD-Sitzungsklappe mehr als dreimal in einer Zeitspanne von 15 Sekunden auftritt. Ein Back-Off-Algorithmus erhöht das Empfangsintervall (Rx) um zwei, wenn die lokale BFD-Instanz der Grund für die Sitzungsstörung ist. Das Übertragungsintervall (Tx) wird um zwei erhöht, wenn die entfernte BFD-Instanz der Grund für die Sitzungsstörung ist. Mit dem Befehl können Sie BFD-Intervall-Timer clear bfd adaptation auf ihre konfigurierten Werte zurücksetzen. Der clear bfd adaptation Befehl ist hitless, was bedeutet, dass sich der Befehl nicht auf den Datenverkehrsfluss auf dem Routing-Gerät auswirkt.

Standardmäßig wird BFD auf statischen Single-Hop-Routen unterstützt.

Anmerkung:

Auf Geräten der MX-Serie wird Multihop-BFD auf einer statischen Route nicht unterstützt, wenn die statische Route mit mehr als einem nächsten Hop konfiguriert ist. Es wird empfohlen, die Verwendung mehrerer Next Hops zu vermeiden, wenn für eine statische Route ein Multihop-BFD erforderlich ist.

Um die Fehlererkennung zu aktivieren, schließen Sie die bfd-liveness-detection Anweisung in die Konfiguration der statischen Route ein.

Anmerkung:

Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 enthält der bfd-liveness-detection Befehl das Beschreibungsfeld. Die Beschreibung ist ein Attribut unter dem bfd-liveness-detection Objekt und wird nur auf Firewalls der SRX-Serie unterstützt. Dieses Feld gilt nur für die statischen Routen.

In Junos OS Version 9.1 und höher wird das BFD-Protokoll für statische IPv6-Routen unterstützt. Globale Unicast- und link-lokale IPv6-Adressen werden für statische Routen unterstützt. Das BFD-Protokoll wird für Multicast- oder Anycast-IPv6-Adressen nicht unterstützt. Für IPv6 unterstützt das BFD-Protokoll nur statische Routen und nur in Junos OS Version 9.3 und höher. IPv6 für BFD wird auch für das eBGP-Protokoll unterstützt.

Um das BFD-Protokoll für statische IPv6-Routen zu konfigurieren, schließen Sie die bfd-liveness-detection Anweisung auf der [edit routing-options rib inet6.0 static route destination-prefix] Hierarchieebene ein.

In Junos OS Version 8.5 und höher können Sie ein Halteintervall konfigurieren, um anzugeben, wie lange die BFD-Sitzung aktiv bleiben muss, bevor eine Benachrichtigung über eine Zustandsänderung gesendet wird.

Um das Hold-Down-Intervall festzulegen, fügen Sie die holddown-interval Anweisung in die BFD-Konfiguration ein. Sie können eine Zahl im Bereich von 0 bis 255.000 Millisekunden konfigurieren. Der Standardwert ist 0. Wenn die BFD-Sitzung ausfällt und dann während des Halteintervalls wieder hochgefahren wird, wird der Timer neu gestartet.

Anmerkung:

Wenn eine einzelne BFD-Sitzung mehrere statische Routen enthält, wird das Hold-Down-Intervall mit dem höchsten Wert verwendet.

Um die minimalen Sende- und Empfangsintervalle für die Fehlererkennung anzugeben, fügen Sie die minimum-interval Anweisung in die BFD-Konfiguration ein.

Dieser Wert stellt sowohl das minimale Intervall dar, nach dem das lokale Routing-Gerät Hello-Pakete überträgt, als auch das minimale Intervall, nach dem das Routing-Gerät eine Antwort von dem Nachbarn erwartet, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können eine Zahl im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Anstatt diese Anweisung zu verwenden, können Sie optional die minimalen Sende- und Empfangsintervalle separat konfigurieren, indem Sie die Anweisungen transmit-interval minimum-interval und minimum-receive-interval verwenden.

Anmerkung:

Switches der Serie EX4600 und QFX5000, die Junos OS oder Junos OS Evolved ausgeführt werden, unterstützen keine Mindestintervallwerte von weniger als 1 Sekunde im zentralisierten und verteilten Modus.

Anmerkung:

BFD ist ein intensives Protokoll, das Systemressourcen verbraucht. Die Angabe eines Mindestintervalls für BFD von weniger als 100 ms für Routing-Engine-basierte Sitzungen und 10 ms für verteilte BFD-Sitzungen kann zu unerwünschtem BFD-Flapping führen.

Abhängig von Ihrer Netzwerkumgebung können die folgenden zusätzlichen Empfehlungen gelten:

  • Geben Sie für groß angelegte Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen ein Mindestintervall von 300 ms für Routing-Engine-basierte Sitzungen und 100 ms für verteilte BFD-Sitzungen an.

  • Bei sehr großen Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen wenden Sie sich an den Kundensupport von Juniper Networks, um weitere Informationen zu erhalten.

  • Damit BFD-Sitzungen während eines Routing-Engine-Switchover-Ereignisses aktiv bleiben, wenn Nonstop Active Routing (NSR) konfiguriert ist, geben Sie ein Mindestintervall von 2500 ms für Routing-Engine-basierte Sitzungen an. Für verteilte BFD-Sitzungen mit konfiguriertem NSR bleiben die Empfehlungen für das Mindestintervall unverändert und hängen nur von Ihrer Netzwerkbereitstellung ab.

Um das minimale Empfangsintervall für die Fehlererkennung anzugeben, fügen Sie die minimum-receive-interval Anweisung in die BFD-Konfiguration ein. Dieser Wert stellt das minimale Intervall dar, nach dem das Routing-Gerät eine Antwort von einem Nachbarn erwartet, mit dem es eine BFD-Sitzung aufgebaut hat. Sie können eine Zahl im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Anstatt diese Anweisung zu verwenden, können Sie optional das minimale Empfangsintervall mithilfe der minimum-interval Anweisung auf Hierarchieebene [edit routing-options static route destination-prefix bfd-liveness-detection] konfigurieren.

Um die Anzahl der hello-Pakete anzugeben, die nicht vom Nachbarn empfangen wurden, was dazu führt, dass die ursprüngliche Schnittstelle als inaktiv deklariert wird, fügen Sie die multiplier Anweisung in die BFD-Konfiguration ein. Der Standardwert ist 3. Sie können eine Zahl im Bereich von 1 bis 255 konfigurieren.

Um einen Schwellenwert für die Erkennung der Anpassung der Erkennungszeit anzugeben, fügen Sie die threshold Anweisung in die BFD-Konfiguration ein.

Wenn sich die Erkennungszeit der BFD-Sitzung an einen Wert anpasst, der gleich oder höher als der Schwellenwert ist, werden ein einzelner Trap und eine Systemprotokollmeldung gesendet. Die Erkennungszeit basiert auf dem Multiplikator des Minimum-Intervalls bzw. des Minimum-Empfangsintervall-Wertes . Der Schwellenwert muss ein höherer Wert als der Multiplikator für einen dieser konfigurierten Werte sein. Wenn das minimale Empfangsintervall beispielsweise 300 ms und der Multiplikator 3 beträgt, beträgt die Gesamterkennungszeit 900 ms. Daher muss der Schwellenwert für die Erkennungszeit einen Wert größer als 900 haben.

Um das minimale Sendeintervall für die Fehlererkennung anzugeben, fügen Sie die transmit-interval minimum-interval Anweisung in die BFD-Konfiguration ein.

Dieser Wert stellt das minimale Intervall dar, nach dem das lokale Routing-Gerät Hello-Pakete an den Nachbarn überträgt, mit dem es eine BFD-Sitzung aufgebaut hat. Sie können einen Wert im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Anstatt diese Anweisung zu verwenden, können Sie optional das minimale Übertragungsintervall mit der minimum-interval Anweisung auf Hierarchieebene [edit routing-options static route destination-prefix bfd-liveness-detection] konfigurieren.

Um den Schwellwert für die Anpassung des Sendeintervalls festzulegen, nehmen Sie die transmit-interval threshold Anweisung in die BFD-Konfiguration auf.

Der Schwellwert muss größer als das Sendeintervall sein. Wenn sich die Übertragungszeit der BFD-Sitzung an einen Wert anpasst, der größer als der Schwellenwert ist, werden ein einzelner Trap und eine Systemprotokollmeldung gesendet. Die Erkennungszeit basiert auf dem Multiplikator des Wertes für das Minimum-Intervall bzw. der minimum-receive-interval Anweisung auf Hierarchieebene [edit routing-options static route destination-prefix bfd-liveness-detection] . Der Schwellenwert muss ein höherer Wert als der Multiplikator für einen dieser konfigurierten Werte sein.

Um die BFD-Version anzugeben, fügen Sie die version Anweisung in die BFD-Konfiguration ein. Standardmäßig wird die Version automatisch erkannt.

Um eine IP-Adresse für den nächsten Hop der BFD-Sitzung einzuschließen, fügen Sie die neighbor Anweisung in die BFD-Konfiguration ein.

Anmerkung:

Sie müssen die Anweisung neighbor konfigurieren, wenn der nächste angegebene Hop ein Schnittstellenname ist. Wenn Sie eine IP-Adresse als nächsten Hop angeben, wird diese Adresse als Nachbaradresse für die BFD-Sitzung verwendet.

In Junos OS Version 9.0 und höher können Sie BFD-Sitzungen so konfigurieren, dass sie nicht an sich ändernde Netzwerkbedingungen angepasst werden. Um die BFD-Anpassung zu deaktivieren, fügen Sie die no-adaptation Anweisung in die BFD-Konfiguration ein.

Anmerkung:

Es wird empfohlen, die BFD-Anpassung nicht zu deaktivieren, es sei denn, es ist vorzuziehen, keine BFD-Anpassung in Ihrem Netzwerk zu haben.

Anmerkung:

Wenn BFD nur an einem Ende einer statischen Route konfiguriert ist, wird die Route aus der Routing-Tabelle entfernt. BFD richtet eine Sitzung ein, wenn BFD an beiden Enden der statischen Route konfiguriert ist.

BFD wird für ISO-Adressfamilien in statischen Routen nicht unterstützt. BFD unterstützt IS-IS.

Wenn Sie GRES ( Graceful Routing-Engine Switchover ) gleichzeitig mit BFD konfigurieren, behält GRES die BFD-Statusinformationen während eines Failovers nicht bei.

Beispiel: Konfigurieren von BFD für statische Routen zur schnelleren Erkennung von Netzwerkfehlern

In diesem Beispiel wird gezeigt, wie die bidirektionale Weiterleitungserkennung (Bidirectional Forwarding Detection, BFD) für statische Routen konfiguriert wird.

Anforderungen

In diesem Beispiel ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Überblick

Es gibt viele praktische Anwendungen für statische Routen. Statisches Routing wird häufig am Netzwerk-Edge verwendet, um die Anbindung an Stub-Netzwerke zu unterstützen, die sich aufgrund ihres zentralen Ein- und Ausgangspunkts gut für die Simplizität einer statischen Route eignen. In Junos OS haben statische Routen eine globale Präferenz von 5. Statische Routen werden aktiviert, wenn der angegebene nächste Hop erreichbar ist.

In diesem Beispiel konfigurieren Sie die statische Route 192.168.47.0/24 vom Anbieternetzwerk zum Kundennetzwerk unter Verwendung der Next-Hop-Adresse 172.16.1.2. Außerdem konfigurieren Sie eine statische Standardroute von 0.0.0.0/0 vom Kundennetzwerk zum Provider-Netzwerk unter Verwendung der Next-Hop-Adresse 172.16.1.1.

Zu Demonstrationszwecken werden einige Loopback-Schnittstellen auf Gerät B und Gerät D konfiguriert. Diese Loopback-Schnittstellen stellen Adressen bereit, um zu pingen und so zu überprüfen, ob die statischen Routen funktionieren.

Abbildung 1 zeigt das Beispielnetzwerk.

Abbildung 1: Kundenrouten, die mit einem Service Provider Customer Routes Connected to a Service Provider verbunden sind

Topologie

Konfiguration

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie Ihrer Netzwerkkonfiguration entsprechen, und kopieren Sie dann die Befehle, und fügen Sie sie dann in die CLI auf der [edit] Hierarchieebene ein.

Gerät B

Gerät D

Verfahren

Schritt-für-Schritt-Anleitung

Für das folgende Beispiel ist es erforderlich, dass Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.

So konfigurieren Sie BFD für statische Routen:

  1. Konfigurieren Sie auf Gerät B die Schnittstellen.

  2. Erstellen Sie auf Gerät B eine statische Route, und legen Sie die Adresse für den nächsten Hop fest.

  3. Konfigurieren Sie auf Gerät B BFD für die statische Route.

  4. Konfigurieren Sie auf Gerät B Ablaufverfolgungsvorgänge für BFD.

  5. Wenn Sie mit der Konfiguration von Gerät B fertig sind, bestätigen Sie die Konfiguration.

  6. Konfigurieren Sie auf Gerät D die Schnittstellen.

  7. Erstellen Sie auf Gerät D eine statische Route, und legen Sie die Adresse für den nächsten Hop fest.

  8. Konfigurieren Sie auf Gerät D BFD für die statische Route.

  9. Konfigurieren Sie auf Gerät D Ablaufverfolgungsvorgänge für BFD.

  10. Wenn Sie mit der Konfiguration von Gerät D fertig sind, bestätigen Sie die Konfiguration.

Befund

Bestätigen Sie Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocolsund show routing-options eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Gerät B

Gerät D

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen, ob BFD-Sitzungen verfügbar sind

Zweck

Vergewissern Sie sich, dass die BFD-Sitzungen aktiv sind, und zeigen Sie Details zu den BFD-Sitzungen an.

Aktion

Geben Sie im Betriebsmodus den show bfd session extensive Befehl ein.

Anmerkung:

Diese description Site- <xxx> Funktion wird nur von Firewalls der SRX-Serie unterstützt.

Wenn jeder Client mehr als ein Beschreibungsfeld hat, wird "und mehr" zusammen mit dem ersten Beschreibungsfeld angezeigt.

Bedeutung

Die TX interval 1.000, RX interval 1.000 Ausgabe stellt die mit der Anweisung konfigurierte minimum-interval Einstellung dar. Alle anderen Ausgaben stellen die Standardeinstellungen für BFD dar. Um die Standardeinstellungen zu ändern, fügen Sie die optionalen Anweisungen unter der bfd-liveness-detection Anweisung ein.

Anzeigen detaillierter BFD-Ereignisse

Zweck

Zeigen Sie den Inhalt der BFD-Ablaufverfolgungsdatei an, um bei Bedarf die Fehlerbehebung zu unterstützen.

Aktion

Geben Sie im Betriebsmodus den file show /var/log/bfd-trace Befehl ein.

Bedeutung

BFD-Meldungen werden in die Trace-Datei geschrieben.

Grundlegendes zur BFD-Authentifizierung für die statische Routensicherheit

Bidirectional Forwarding Detection (BFD) ermöglicht die schnelle Erkennung von Kommunikationsfehlern zwischen benachbarten Systemen. Standardmäßig ist die Authentifizierung für BFD-Sitzungen deaktiviert. Wenn Sie jedoch BFD über Protokolle der Netzwerkschicht ausführen, kann das Risiko von Dienstangriffen erheblich sein.

Anmerkung:

Es wird dringend empfohlen, die Authentifizierung zu verwenden, wenn Sie BFD über mehrere Hops oder durch unsichere Tunnel ausführen.

Beginnend mit Junos OS Version 9.6 unterstützt Junos OS die Authentifizierung für BFD-Sitzungen, die über statische IPv4- und IPv6-Routen ausgeführt werden. Die BFD-Authentifizierung wird für MPLS-OAM-Sitzungen nicht unterstützt. Die BFD-Authentifizierung wird nur in der kanadischen und US-Version des Junos OS-Images unterstützt und ist in der Exportversion nicht verfügbar.

Anmerkung:

Der EX3300 unterstützt BFD nur über statische Routen.

Sie authentifizieren BFD-Sitzungen, indem Sie einen Authentifizierungsalgorithmus und einen Schlüsselbund angeben und diese Konfigurationsinformationen dann mithilfe des Schlüsselbundnamens mit einem Schlüsselbund für die Sicherheitsauthentifizierung verknüpfen.

In den folgenden Abschnitten werden die unterstützten Authentifizierungsalgorithmen, Sicherheitsschlüsselbunde und Authentifizierungsebenen beschrieben, die konfiguriert werden können:

BFD-Authentifizierungsalgorithmen

Junos OS unterstützt die folgenden Algorithmen für die BFD-Authentifizierung:

  • simple-password: Nur-Text-Passwort. Ein bis 16 Byte Klartext werden zur Authentifizierung der BFD-Sitzung verwendet. Es können ein oder mehrere Passwörter konfiguriert werden. Diese Methode ist die am wenigsten sichere und sollte nur verwendet werden, wenn BFD-Sitzungen nicht abgefangen werden.

  • keyed-md5: Keyed Message Digest 5-Hash-Algorithmus für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Um die BFD-Sitzung zu authentifizieren, verwendet MD5 mit Schlüsseln einen oder mehrere geheime Schlüssel (die vom Algorithmus generiert werden) und eine Sequenznummer, die regelmäßig aktualisiert wird. Bei dieser Methode werden Pakete auf der Empfängerseite der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer oder gleich der zuletzt empfangenen Sequenznummer ist. Diese Methode ist zwar sicherer als ein einfaches Passwort, aber anfällig für Replay-Angriffe. Dieses Risiko kann verringert werden, indem Sie die Häufigkeit erhöhen, mit der die Sequenznummer aktualisiert wird.

  • meticulous-keyed-md5: Sorgfältig verschlüsselter Message Digest 5-Hash-Algorithmus. Diese Methode funktioniert auf die gleiche Weise wie MD5 mit Schlüsseln, aber die Sequenznummer wird mit jedem Paket aktualisiert. Diese Methode ist zwar sicherer als MD5 mit Schlüsseln und einfache Kennwörter, kann jedoch zusätzliche Zeit in Anspruch nehmen, um die Sitzung zu authentifizieren.

  • keyed-sha-1 – Keyed Secure Hash Algorithm I für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Um die BFD-Sitzung zu authentifizieren, verwendet SHA mit Schlüsseln einen oder mehrere geheime Schlüssel (die vom Algorithmus generiert werden) und eine Sequenznummer, die regelmäßig aktualisiert wird. Der Schlüssel wird nicht in den Paketen transportiert. Bei dieser Methode werden Pakete auf der empfangenden Seite der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer als die zuletzt empfangene Sequenznummer ist.

  • meticulous-keyed-sha-1 – Sorgfältig verschlüsselter sicherer Hash-Algorithmus I. Diese Methode funktioniert auf die gleiche Weise wie verschlüsseltes SHA, aber die Sequenznummer wird mit jedem Paket aktualisiert. Diese Methode ist zwar sicherer als SHA mit Schlüsseln und einfache Kennwörter, kann jedoch zusätzliche Zeit in Anspruch nehmen, um die Sitzung zu authentifizieren.

Anmerkung:

Nonstop Active Routing (NSR) wird mit den Authentifizierungsalgorithmen meticulous-keyed-md5 und meticulous-keyed-sha-1 nicht unterstützt. BFD-Sitzungen, die diese Algorithmen verwenden, können nach einem Switchover ausfallen.

Anmerkung:

Switches der QFX5000-Serie und EX4600-Switches unterstützen keine Mindestintervallwerte von weniger als 1 Sekunde.

Schlüsselbunde für die Sicherheitsauthentifizierung

Der Sicherheitsauthentifizierungsschlüsselbund definiert die Authentifizierungsattribute, die für die Aktualisierung des Authentifizierungsschlüssels verwendet werden. Wenn der Schlüsselbund für die Sicherheitsauthentifizierung konfiguriert und über den Schlüsselbundnamen mit einem Protokoll verknüpft ist, können Aktualisierungen des Authentifizierungsschlüssels erfolgen, ohne die Routing- und Signalisierungsprotokolle zu unterbrechen.

Der Authentifizierungsschlüsselbund enthält einen oder mehrere Schlüsselbunde. Jeder Schlüsselbund enthält einen oder mehrere Schlüssel. Jeder Schlüssel enthält die geheimen Daten und den Zeitpunkt, zu dem der Schlüssel gültig wird. Der Algorithmus und der Schlüsselbund müssen an beiden Enden der BFD-Sitzung konfiguriert sein, und sie müssen übereinstimmen. Jede Nichtübereinstimmung in der Konfiguration verhindert, dass die BFD-Sitzung erstellt wird.

BFD erlaubt mehrere Clients pro Sitzung, und jeder Client kann seinen eigenen Schlüsselbund und Algorithmus definieren. Um Verwechslungen zu vermeiden, wird empfohlen, nur einen Schlüsselbund für die Sicherheitsauthentifizierung anzugeben.

Strenge versus lose Authentifizierung

Standardmäßig ist die strikte Authentifizierung aktiviert, und die Authentifizierung wird an beiden Enden jeder BFD-Sitzung überprüft. Um die Migration von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen zu erleichtern, können Sie optional die lose Überprüfung konfigurieren. Wenn lose Überprüfung konfiguriert ist, werden Pakete akzeptiert, ohne dass an jedem Ende der Sitzung eine Authentifizierungsprüfung durchgeführt wird. Diese Funktion ist nur für Übergangszeiten vorgesehen.

Beispiel: Konfigurieren der BFD-Authentifizierung zum Sichern statischer Routen

In diesem Beispiel wird gezeigt, wie die BFD-Authentifizierung (Bidirectional Forwarding Detection) für statische Routen konfiguriert wird.

Anforderungen

Junos OS Version 9.6 oder höher (Canda- und US-Version).

Die BFD-Authentifizierung wird nur in der kanadischen und US-Version des Junos OS-Images unterstützt und ist in der Exportversion nicht verfügbar.

Überblick

Sie können die Authentifizierung für BFD-Sitzungen konfigurieren, die über statische IPv4- und IPv6-Routen ausgeführt werden. Routing-Instanzen und logische Systeme werden ebenfalls unterstützt.

Die folgenden Schritte sind erforderlich, um die Authentifizierung in einer BFD-Sitzung zu konfigurieren:

  1. Geben Sie den BFD-Authentifizierungsalgorithmus für die statische Route an.

  2. Verknüpfen Sie den Authentifizierungsschlüsselbund mit der statischen Route.

  3. Konfigurieren Sie den zugehörigen Schlüsselbund für die Sicherheitsauthentifizierung. Dies muss auf dem Hauptrouter konfiguriert werden.

Trinkgeld:

Es wird empfohlen, die Überprüfung der losen Authentifizierung anzugeben, wenn Sie von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen wechseln.

Abbildung 2 zeigt das Beispielnetzwerk.

Abbildung 2: Kundenrouten, die mit einem Service Provider Customer Routes Connected to a Service Provider verbunden sind

Topologie

Konfiguration

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie Ihrer Netzwerkkonfiguration entsprechen, und kopieren Sie dann die Befehle, und fügen Sie sie dann in die CLI auf der [edit] Hierarchieebene ein.

Gerät B

Gerät D

Verfahren

Schritt-für-Schritt-Anleitung

Für das folgende Beispiel ist es erforderlich, dass Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.

So konfigurieren Sie BFD für statische Routen:

  1. Konfigurieren Sie auf Gerät B die Schnittstellen.

  2. Erstellen Sie auf Gerät B eine statische Route, und legen Sie die Adresse für den nächsten Hop fest.

  3. Konfigurieren Sie auf Gerät B BFD für die statische Route.

  4. Geben Sie auf Gerät B den Algorithmus (keyed-md5, keyed-sha-1, meticulous-keyed-md5, meticulous-keyed-sha-1 oder simple-password) an, der für die BFD-Authentifizierung auf der statischen Route verwendet werden soll.

    Anmerkung:

    Nonstop Active Routing (NSR) wird mit den Authentifizierungsalgorithmen meticulous-keyed-md5 und meticulous-keyed-sha-1 nicht unterstützt. BFD-Sitzungen, die diese Algorithmen verwenden, können nach einem Switchover ausfallen.

  5. Geben Sie auf Gerät B den Schlüsselbund an, der verwendet werden soll, um BFD-Sitzungen auf der angegebenen Route mit den eindeutigen Schlüsselbundattributen für die Sicherheitsauthentifizierung zu verknüpfen.

    Dieser sollte mit dem auf der Hierarchieebene [edit security authentication key-chains] konfigurierten Schlüsselbundnamen übereinstimmen.

  6. Geben Sie auf Gerät B die eindeutigen Sicherheitsauthentifizierungsinformationen für BFD-Sitzungen an:

    • Der übereinstimmende Schlüsselbundname, wie in Schritt 5 angegeben.

    • Mindestens ein Schlüssel, eine eindeutige ganze Zahl zwischen 0 und 63. Durch das Erstellen mehrerer Schlüssel können mehrere Clients die BFD-Sitzung verwenden.

    • Die geheimen Daten, die verwendet werden, um den Zugriff auf die Sitzung zu ermöglichen.

    • Der Zeitpunkt, zu dem der Authentifizierungsschlüssel aktiv wird, im Format yyyy-mm-dd.hh:mm:ss.

  7. Wenn Sie mit der Konfiguration von Gerät B fertig sind, bestätigen Sie die Konfiguration.

  8. Wiederholen Sie die Konfiguration auf Gerät D.

    Der Algorithmus und der Schlüsselbund müssen an beiden Enden der BFD-Sitzung konfiguriert sein, und sie müssen übereinstimmen. Jede Nichtübereinstimmung in der Konfiguration verhindert, dass die BFD-Sitzung erstellt wird.

Befund

Bestätigen Sie Ihre Konfiguration, indem Sie die show interfacesBefehle , show routing-optionsund show security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Gerät B

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen, ob BFD-Sitzungen verfügbar sind

Zweck

Vergewissern Sie sich, dass die BFD-Sitzungen aktiv sind.

Aktion

Geben Sie im Betriebsmodus den show bfd session Befehl ein.

Bedeutung

Die Befehlsausgabe zeigt an, dass die BFD-Sitzung aktiv ist.

Anzeigen von Details zur BFD-Sitzung

Zweck

Zeigen Sie Details zu den BFD-Sitzungen an, und stellen Sie sicher, dass die Authentifizierung konfiguriert ist.

Aktion

Geben Sie im Betriebsmodus den show bfd session detail Befehl ein.

Bedeutung

In der Befehlsausgabe wird Authentifizieren angezeigt, um anzugeben, dass die BFD-Authentifizierung konfiguriert ist.

Anzeigen umfangreicher BFD-Sitzungsinformationen

Zweck

Sehen Sie sich detailliertere Informationen zu den BFD-Sitzungen an.

Aktion

Geben Sie im Betriebsmodus den show bfd session extensive Befehl ein.

Bedeutung

In der Befehlsausgabe wird Authentifizieren angezeigt, um anzugeben, dass die BFD-Authentifizierung konfiguriert ist. Die Ausgabe des extensive Befehls enthält den Namen des Schlüsselbunds, den Authentifizierungsalgorithmus und den Modus für jeden Client in der Sitzung.

Anmerkung:

Diese description Site- <xxx> Funktion wird nur von Firewalls der SRX-Serie unterstützt.

Wenn jeder Client mehr als ein Beschreibungsfeld hat, wird "und mehr" zusammen mit dem ersten Beschreibungsfeld angezeigt.

Beispiel: Aktivieren von BFD für qualifizierte Next Hops in statischen Routen für die Routenauswahl

In diesem Beispiel wird gezeigt, wie eine statische Route mit mehreren möglichen Next Hops konfiguriert wird. Für jeden nächsten Hop ist die bidirektionale Weiterleitungserkennung (BFD) aktiviert.

Anforderungen

In diesem Beispiel ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.

Überblick

In diesem Beispiel hat Gerät B die statische Route 192.168.47.0/24 mit zwei möglichen nächsten Hops. Die beiden nächsten Hops werden mithilfe von zwei qualified-next-hop Anweisungen definiert. Für jeden nächsten Hop ist BFD aktiviert.

BFD ist auch auf Gerät D aktiviert, da BFD an beiden Enden der Verbindung aktiviert sein muss.

Ein nächster Hop wird in die Routing-Tabelle aufgenommen, wenn die BFD-Sitzung aktiv ist. Der nächste Hop wird aus der Routing-Tabelle entfernt, wenn die BFD-Sitzung ausgefallen ist.

Siehe Abbildung 3.

Abbildung 3: BFD-Aktivierung für qualifizierte Next Hops BFD Enabled on Qualified Next Hops

Topologie

Konfiguration

Verfahren

CLI Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie Ihrer Netzwerkkonfiguration entsprechen, und kopieren Sie dann die Befehle, und fügen Sie sie dann in die CLI auf der [edit] Hierarchieebene ein.

Gerät B

Gerät D

Schritt-für-Schritt-Anleitung

Für das folgende Beispiel ist es erforderlich, dass Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.

So konfigurieren Sie eine statische Route mit zwei möglichen Next Hops, beide mit aktiviertem BFD:

  1. Konfigurieren Sie auf Gerät B die Schnittstellen.

  2. Konfigurieren Sie auf Gerät B die statische Route mit zwei Next Hops, beide mit aktiviertem BFD.

  3. Konfigurieren Sie auf Gerät D die Schnittstellen.

  4. Konfigurieren Sie auf Gerät D eine BFD-aktivierte statische Standardroute mit zwei Next Hops zum Provider-Netzwerk.

    In diesem Fall ist BFD für die Route aktiviert, nicht für die nächsten Hops.

Befund

Bestätigen Sie Ihre Konfiguration, indem Sie die show interfaces Befehle und show routing-options eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.

Wenn Sie mit der Konfiguration der Geräte fertig sind, wechseln Sie in den Konfigurationsmodus "Commit" .

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Routing-Tabellen

Zweck

Stellen Sie sicher, dass die statische Route in der Routing-Tabelle auf Gerät B mit zwei möglichen nächsten Hops angezeigt wird.

Aktion
Bedeutung

Beide Next Hops werden aufgelistet. Der nächste Hop 192.168.2.2 ist die ausgewählte Route.

Verifizieren der BFD-Sitzungen

Zweck

Stellen Sie sicher, dass die BFD-Sitzungen aktiv sind.

Aktion
Bedeutung

Die Ausgabe zeigt, dass die BFD-Sitzungen aktiv sind.

Entfernen von BFD von Gerät D

Zweck

Demonstrieren Sie, was passiert, wenn die BFD-Sitzung für beide nächsten Hops unterbrochen ist.

Aktion
  1. Deaktivieren Sie BFD auf Gerät D.

  2. Führen Sie den show bfd session Befehl auf Gerät B erneut aus.

  3. Führen Sie den show route 192.168.47.0 Befehl auf Gerät B erneut aus.

Bedeutung

Wie erwartet, wird die statische Route aus der Routing-Tabelle entfernt, wenn die BFD-Sitzungen ausfallen.

Entfernen von BFD aus One Next Hop

Zweck

Demonstrieren Sie, was passiert, wenn BFD nur für einen nächsten Hop aktiviert ist.

Aktion
  1. Falls es noch nicht deaktiviert ist, deaktivieren Sie BFD auf Gerät D.

  2. Deaktivieren Sie BFD bei einem der nächsten Hops auf Gerät B.

  3. Führen Sie den show bfd session Befehl auf Gerät B erneut aus.

  4. Führen Sie den show route 192.168.47.0 extensive Befehl auf Gerät B erneut aus.

Bedeutung

Wie erwartet, ist die BFD-Sitzung für den nächsten Hop 192.168.2.2 nicht verfügbar. Der nächste Hop 172.16.1.2 verbleibt in der Routing-Tabelle, und die Route bleibt aktiv, da BFD keine Bedingung dafür ist, dass dieser nächste Hop gültig bleibt.

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
15,1 x 49-D70
Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 enthält der bfd-liveness-detection Befehl das Beschreibungsfeld. Die Beschreibung ist ein Attribut unter dem bfd-liveness-detection Objekt und wird nur auf Firewalls der SRX-Serie unterstützt. Dieses Feld gilt nur für die statischen Routen.