AUF DIESER SEITE
Grundlegendes zu BFD für statische Routen für eine schnellere Erkennung von Netzwerkausfällen
Beispiel: Konfigurieren von BFD für statische Routen zur schnelleren Erkennung von Netzwerkfehlern
Grundlegendes zur BFD-Authentifizierung für die statische Routensicherheit
Beispiel: Konfigurieren der BFD-Authentifizierung zum Sichern statischer Routen
Beispiel: Aktivieren von BFD für qualifizierte Next Hops in statischen Routen für die Routenauswahl
Bidirektionale Weiterleitungserkennung für statische Routen
Grundlegendes zu BFD für statische Routen für eine schnellere Erkennung von Netzwerkausfällen
Das BFD-Protokoll (Bidirectional Forwarding Detection) ist ein einfacher Hallo-Mechanismus, der Fehler in einem Netzwerk erkennt. BFD arbeitet mit einer Vielzahl von Netzwerkumgebungen und -topologien. Ein Paar von Routing-Geräten tauscht BFD-Pakete aus. Hello-Pakete werden in einem festgelegten, regelmäßigen Intervall gesendet. Ein Nachbarfehler wird erkannt, wenn das Routinggerät nach einem bestimmten Intervall keine Antwort mehr empfängt. Die Timer für die BFD-Fehlererkennung haben kürzere Zeitlimits als die statischen Mechanismen zur Erkennung von Routenfehlern, sodass sie eine schnellere Erkennung ermöglichen.
Die Timer für die BFD-Fehlererkennung können so eingestellt werden, dass sie schneller oder langsamer sind. Je niedriger der Timerwert für die BFD-Fehlererkennung, desto schneller erfolgt die Fehlererkennung und umgekehrt. Beispielsweise können die Timer an einen höheren Wert angepasst werden, wenn die Nachbarschaft fehlschlägt (d. h., der Timer erkennt Fehler langsamer). Oder ein Nachbar kann einen höheren Wert für einen Timer aushandeln als den konfigurierten Wert. Die Timer passen sich an einen höheren Wert an, wenn eine BFD-Sitzungsklappe mehr als dreimal in einer Zeitspanne von 15 Sekunden auftritt. Ein Back-Off-Algorithmus erhöht das Empfangsintervall (Rx) um zwei, wenn die lokale BFD-Instanz der Grund für die Sitzungsstörung ist. Das Übertragungsintervall (Tx) wird um zwei erhöht, wenn die entfernte BFD-Instanz der Grund für die Sitzungsstörung ist. Mit dem Befehl können Sie BFD-Intervall-Timer clear bfd adaptation auf ihre konfigurierten Werte zurücksetzen. Der clear bfd adaptation Befehl ist hitless, was bedeutet, dass sich der Befehl nicht auf den Datenverkehrsfluss auf dem Routing-Gerät auswirkt.
Standardmäßig wird BFD auf statischen Single-Hop-Routen unterstützt.
Auf Geräten der MX-Serie wird Multihop-BFD auf einer statischen Route nicht unterstützt, wenn die statische Route mit mehr als einem nächsten Hop konfiguriert ist. Es wird empfohlen, die Verwendung mehrerer Next Hops zu vermeiden, wenn für eine statische Route ein Multihop-BFD erforderlich ist.
Um die Fehlererkennung zu aktivieren, schließen Sie die bfd-liveness-detection Anweisung in die Konfiguration der statischen Route ein.
Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 enthält der bfd-liveness-detection Befehl das Beschreibungsfeld. Die Beschreibung ist ein Attribut unter dem bfd-liveness-detection Objekt und wird nur auf Firewalls der SRX-Serie unterstützt. Dieses Feld gilt nur für die statischen Routen.
In Junos OS Version 9.1 und höher wird das BFD-Protokoll für statische IPv6-Routen unterstützt. Globale Unicast- und link-lokale IPv6-Adressen werden für statische Routen unterstützt. Das BFD-Protokoll wird für Multicast- oder Anycast-IPv6-Adressen nicht unterstützt. Für IPv6 unterstützt das BFD-Protokoll nur statische Routen und nur in Junos OS Version 9.3 und höher. IPv6 für BFD wird auch für das eBGP-Protokoll unterstützt.
Um das BFD-Protokoll für statische IPv6-Routen zu konfigurieren, schließen Sie die bfd-liveness-detection Anweisung auf der [edit routing-options rib inet6.0 static route destination-prefix] Hierarchieebene ein.
In Junos OS Version 8.5 und höher können Sie ein Halteintervall konfigurieren, um anzugeben, wie lange die BFD-Sitzung aktiv bleiben muss, bevor eine Benachrichtigung über eine Zustandsänderung gesendet wird.
Um das Hold-Down-Intervall festzulegen, fügen Sie die holddown-interval Anweisung in die BFD-Konfiguration ein. Sie können eine Zahl im Bereich von 0 bis 255.000 Millisekunden konfigurieren. Der Standardwert ist 0. Wenn die BFD-Sitzung ausfällt und dann während des Halteintervalls wieder hochgefahren wird, wird der Timer neu gestartet.
Wenn eine einzelne BFD-Sitzung mehrere statische Routen enthält, wird das Hold-Down-Intervall mit dem höchsten Wert verwendet.
Um die minimalen Sende- und Empfangsintervalle für die Fehlererkennung anzugeben, fügen Sie die minimum-interval Anweisung in die BFD-Konfiguration ein.
Dieser Wert stellt sowohl das minimale Intervall dar, nach dem das lokale Routing-Gerät Hello-Pakete überträgt, als auch das minimale Intervall, nach dem das Routing-Gerät eine Antwort von dem Nachbarn erwartet, mit dem es eine BFD-Sitzung eingerichtet hat. Sie können eine Zahl im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Anstatt diese Anweisung zu verwenden, können Sie optional die minimalen Sende- und Empfangsintervalle separat konfigurieren, indem Sie die Anweisungen transmit-interval minimum-interval und minimum-receive-interval verwenden.
Switches der Serie EX4600 und QFX5000, die Junos OS oder Junos OS Evolved ausgeführt werden, unterstützen keine Mindestintervallwerte von weniger als 1 Sekunde im zentralisierten und verteilten Modus.
BFD ist ein intensives Protokoll, das Systemressourcen verbraucht. Die Angabe eines Mindestintervalls für BFD von weniger als 100 ms für Routing-Engine-basierte Sitzungen und 10 ms für verteilte BFD-Sitzungen kann zu unerwünschtem BFD-Flapping führen.
Abhängig von Ihrer Netzwerkumgebung können die folgenden zusätzlichen Empfehlungen gelten:
-
Geben Sie für groß angelegte Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen ein Mindestintervall von 300 ms für Routing-Engine-basierte Sitzungen und 100 ms für verteilte BFD-Sitzungen an.
-
Bei sehr großen Netzwerkbereitstellungen mit einer großen Anzahl von BFD-Sitzungen wenden Sie sich an den Kundensupport von Juniper Networks, um weitere Informationen zu erhalten.
-
Damit BFD-Sitzungen während eines Routing-Engine-Switchover-Ereignisses aktiv bleiben, wenn Nonstop Active Routing (NSR) konfiguriert ist, geben Sie ein Mindestintervall von 2500 ms für Routing-Engine-basierte Sitzungen an. Für verteilte BFD-Sitzungen mit konfiguriertem NSR bleiben die Empfehlungen für das Mindestintervall unverändert und hängen nur von Ihrer Netzwerkbereitstellung ab.
Um das minimale Empfangsintervall für die Fehlererkennung anzugeben, fügen Sie die minimum-receive-interval Anweisung in die BFD-Konfiguration ein. Dieser Wert stellt das minimale Intervall dar, nach dem das Routing-Gerät eine Antwort von einem Nachbarn erwartet, mit dem es eine BFD-Sitzung aufgebaut hat. Sie können eine Zahl im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Anstatt diese Anweisung zu verwenden, können Sie optional das minimale Empfangsintervall mithilfe der minimum-interval Anweisung auf Hierarchieebene [edit routing-options static route destination-prefix bfd-liveness-detection] konfigurieren.
Um die Anzahl der hello-Pakete anzugeben, die nicht vom Nachbarn empfangen wurden, was dazu führt, dass die ursprüngliche Schnittstelle als inaktiv deklariert wird, fügen Sie die multiplier Anweisung in die BFD-Konfiguration ein. Der Standardwert ist 3. Sie können eine Zahl im Bereich von 1 bis 255 konfigurieren.
Um einen Schwellenwert für die Erkennung der Anpassung der Erkennungszeit anzugeben, fügen Sie die threshold Anweisung in die BFD-Konfiguration ein.
Wenn sich die Erkennungszeit der BFD-Sitzung an einen Wert anpasst, der gleich oder höher als der Schwellenwert ist, werden ein einzelner Trap und eine Systemprotokollmeldung gesendet. Die Erkennungszeit basiert auf dem Multiplikator des Minimum-Intervalls bzw. des Minimum-Empfangsintervall-Wertes . Der Schwellenwert muss ein höherer Wert als der Multiplikator für einen dieser konfigurierten Werte sein. Wenn das minimale Empfangsintervall beispielsweise 300 ms und der Multiplikator 3 beträgt, beträgt die Gesamterkennungszeit 900 ms. Daher muss der Schwellenwert für die Erkennungszeit einen Wert größer als 900 haben.
Um das minimale Sendeintervall für die Fehlererkennung anzugeben, fügen Sie die transmit-interval minimum-interval Anweisung in die BFD-Konfiguration ein.
Dieser Wert stellt das minimale Intervall dar, nach dem das lokale Routing-Gerät Hello-Pakete an den Nachbarn überträgt, mit dem es eine BFD-Sitzung aufgebaut hat. Sie können einen Wert im Bereich von 1 bis 255.000 Millisekunden konfigurieren. Anstatt diese Anweisung zu verwenden, können Sie optional das minimale Übertragungsintervall mit der minimum-interval Anweisung auf Hierarchieebene [edit routing-options static route destination-prefix bfd-liveness-detection] konfigurieren.
Um den Schwellwert für die Anpassung des Sendeintervalls festzulegen, nehmen Sie die transmit-interval threshold Anweisung in die BFD-Konfiguration auf.
Der Schwellwert muss größer als das Sendeintervall sein. Wenn sich die Übertragungszeit der BFD-Sitzung an einen Wert anpasst, der größer als der Schwellenwert ist, werden ein einzelner Trap und eine Systemprotokollmeldung gesendet. Die Erkennungszeit basiert auf dem Multiplikator des Wertes für das Minimum-Intervall bzw. der minimum-receive-interval Anweisung auf Hierarchieebene [edit routing-options static route destination-prefix bfd-liveness-detection] . Der Schwellenwert muss ein höherer Wert als der Multiplikator für einen dieser konfigurierten Werte sein.
Um die BFD-Version anzugeben, fügen Sie die version Anweisung in die BFD-Konfiguration ein. Standardmäßig wird die Version automatisch erkannt.
Um eine IP-Adresse für den nächsten Hop der BFD-Sitzung einzuschließen, fügen Sie die neighbor Anweisung in die BFD-Konfiguration ein.
Sie müssen die Anweisung neighbor konfigurieren, wenn der nächste angegebene Hop ein Schnittstellenname ist. Wenn Sie eine IP-Adresse als nächsten Hop angeben, wird diese Adresse als Nachbaradresse für die BFD-Sitzung verwendet.
In Junos OS Version 9.0 und höher können Sie BFD-Sitzungen so konfigurieren, dass sie nicht an sich ändernde Netzwerkbedingungen angepasst werden. Um die BFD-Anpassung zu deaktivieren, fügen Sie die no-adaptation Anweisung in die BFD-Konfiguration ein.
Es wird empfohlen, die BFD-Anpassung nicht zu deaktivieren, es sei denn, es ist vorzuziehen, keine BFD-Anpassung in Ihrem Netzwerk zu haben.
Wenn BFD nur an einem Ende einer statischen Route konfiguriert ist, wird die Route aus der Routing-Tabelle entfernt. BFD richtet eine Sitzung ein, wenn BFD an beiden Enden der statischen Route konfiguriert ist.
BFD wird für ISO-Adressfamilien in statischen Routen nicht unterstützt. BFD unterstützt IS-IS.
Wenn Sie GRES ( Graceful Routing-Engine Switchover ) gleichzeitig mit BFD konfigurieren, behält GRES die BFD-Statusinformationen während eines Failovers nicht bei.
Siehe auch
Beispiel: Konfigurieren von BFD für statische Routen zur schnelleren Erkennung von Netzwerkfehlern
In diesem Beispiel wird gezeigt, wie die bidirektionale Weiterleitungserkennung (Bidirectional Forwarding Detection, BFD) für statische Routen konfiguriert wird.
Anforderungen
In diesem Beispiel ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
Es gibt viele praktische Anwendungen für statische Routen. Statisches Routing wird häufig am Netzwerk-Edge verwendet, um die Anbindung an Stub-Netzwerke zu unterstützen, die sich aufgrund ihres zentralen Ein- und Ausgangspunkts gut für die Simplizität einer statischen Route eignen. In Junos OS haben statische Routen eine globale Präferenz von 5. Statische Routen werden aktiviert, wenn der angegebene nächste Hop erreichbar ist.
In diesem Beispiel konfigurieren Sie die statische Route 192.168.47.0/24 vom Anbieternetzwerk zum Kundennetzwerk unter Verwendung der Next-Hop-Adresse 172.16.1.2. Außerdem konfigurieren Sie eine statische Standardroute von 0.0.0.0/0 vom Kundennetzwerk zum Provider-Netzwerk unter Verwendung der Next-Hop-Adresse 172.16.1.1.
Zu Demonstrationszwecken werden einige Loopback-Schnittstellen auf Gerät B und Gerät D konfiguriert. Diese Loopback-Schnittstellen stellen Adressen bereit, um zu pingen und so zu überprüfen, ob die statischen Routen funktionieren.
Abbildung 1 zeigt das Beispielnetzwerk.
verbunden sind
Topologie
Konfiguration
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie Ihrer Netzwerkkonfiguration entsprechen, und kopieren Sie dann die Befehle, und fügen Sie sie dann in die CLI auf der [edit] Hierarchieebene ein.
Gerät B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
Gerät D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
Verfahren
Schritt-für-Schritt-Anleitung
Für das folgende Beispiel ist es erforderlich, dass Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie BFD für statische Routen:
Konfigurieren Sie auf Gerät B die Schnittstellen.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
Erstellen Sie auf Gerät B eine statische Route, und legen Sie die Adresse für den nächsten Hop fest.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
Konfigurieren Sie auf Gerät B BFD für die statische Route.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
Konfigurieren Sie auf Gerät B Ablaufverfolgungsvorgänge für BFD.
[edit protocols] user@B# set bfd traceoptions file bfd-trace user@B# set bfd traceoptions flag all
Wenn Sie mit der Konfiguration von Gerät B fertig sind, bestätigen Sie die Konfiguration.
[edit] user@B# commit
Konfigurieren Sie auf Gerät D die Schnittstellen.
[edit interfaces] user@D# set ge-1/2/0 unit 1 description D->B user@D# set ge-1/2/0 unit 1 family inet address 172.16.1.2/24 user@D# set lo0 unit 2 family inet address 192.168.47.5/32 user@D# set lo0 unit 2 family inet address 192.168.47.6/32
Erstellen Sie auf Gerät D eine statische Route, und legen Sie die Adresse für den nächsten Hop fest.
[edit routing-options] user@D# set static route 0.0.0.0/0 next-hop 172.16.1.1
Konfigurieren Sie auf Gerät D BFD für die statische Route.
[edit routing-options] user@D# set static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000
Konfigurieren Sie auf Gerät D Ablaufverfolgungsvorgänge für BFD.
[edit protocols] user@D# set bfd traceoptions file bfd-trace user@D# set bfd traceoptions flag all
Wenn Sie mit der Konfiguration von Gerät D fertig sind, bestätigen Sie die Konfiguration.
[edit] user@D# commit
Befund
Bestätigen Sie Ihre Konfiguration, indem Sie die show interfacesBefehle , show protocolsund show routing-options eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Gerät B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@D# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
}
}
}
Gerät D
user@D# show interfaces
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
lo0 {
unit 2 {
family inet {
address 192.168.47.5/32;
address 192.168.47.6/32;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
next-hop 172.16.1.1;
bfd-liveness-detection {
description Site - xxx;
minimum-interval 1000;
}
}
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Überprüfen, ob BFD-Sitzungen verfügbar sind
Zweck
Vergewissern Sie sich, dass die BFD-Sitzungen aktiv sind, und zeigen Sie Details zu den BFD-Sitzungen an.
Aktion
Geben Sie im Betriebsmodus den show bfd session extensive Befehl ein.
user@B> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up lt-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000
Session up time 00:14:30
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 172
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 2, remote discriminator 1
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Diese description Site- <xxx> Funktion wird nur von Firewalls der SRX-Serie unterstützt.
Wenn jeder Client mehr als ein Beschreibungsfeld hat, wird "und mehr" zusammen mit dem ersten Beschreibungsfeld angezeigt.
user@D> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.1 Up lt-1/2/0.1 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000
Session up time 00:14:35
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 170
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 1, remote discriminator 2
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Bedeutung
Die TX interval 1.000, RX interval 1.000 Ausgabe stellt die mit der Anweisung konfigurierte minimum-interval Einstellung dar. Alle anderen Ausgaben stellen die Standardeinstellungen für BFD dar. Um die Standardeinstellungen zu ändern, fügen Sie die optionalen Anweisungen unter der bfd-liveness-detection Anweisung ein.
Anzeigen detaillierter BFD-Ereignisse
Zweck
Zeigen Sie den Inhalt der BFD-Ablaufverfolgungsdatei an, um bei Bedarf die Fehlerbehebung zu unterstützen.
Aktion
Geben Sie im Betriebsmodus den file show /var/log/bfd-trace Befehl ein.
user@B> file show /var/log/bfd-trace Nov 23 14:26:55 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 72 Nov 23 14:26:55 PPM Trace: BFD periodic xmit rt tbl index 172 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 108: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 83: (hex) 70 70 6d 64 5f 62 66 64 5f 73 65 6e 64 6d 73 67 20 3a 20 Nov 23 14:26:55 PPM Trace: ppmd_bfd_sendmsg : socket 12 len 24, ifl 78 src 172.16.1.1 dst 172.16.1.2 errno 65 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 93: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 68: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 74
Bedeutung
BFD-Meldungen werden in die Trace-Datei geschrieben.
Grundlegendes zur BFD-Authentifizierung für die statische Routensicherheit
Bidirectional Forwarding Detection (BFD) ermöglicht die schnelle Erkennung von Kommunikationsfehlern zwischen benachbarten Systemen. Standardmäßig ist die Authentifizierung für BFD-Sitzungen deaktiviert. Wenn Sie jedoch BFD über Protokolle der Netzwerkschicht ausführen, kann das Risiko von Dienstangriffen erheblich sein.
Es wird dringend empfohlen, die Authentifizierung zu verwenden, wenn Sie BFD über mehrere Hops oder durch unsichere Tunnel ausführen.
Beginnend mit Junos OS Version 9.6 unterstützt Junos OS die Authentifizierung für BFD-Sitzungen, die über statische IPv4- und IPv6-Routen ausgeführt werden. Die BFD-Authentifizierung wird für MPLS-OAM-Sitzungen nicht unterstützt. Die BFD-Authentifizierung wird nur in der kanadischen und US-Version des Junos OS-Images unterstützt und ist in der Exportversion nicht verfügbar.
Der EX3300 unterstützt BFD nur über statische Routen.
Sie authentifizieren BFD-Sitzungen, indem Sie einen Authentifizierungsalgorithmus und einen Schlüsselbund angeben und diese Konfigurationsinformationen dann mithilfe des Schlüsselbundnamens mit einem Schlüsselbund für die Sicherheitsauthentifizierung verknüpfen.
In den folgenden Abschnitten werden die unterstützten Authentifizierungsalgorithmen, Sicherheitsschlüsselbunde und Authentifizierungsebenen beschrieben, die konfiguriert werden können:
- BFD-Authentifizierungsalgorithmen
- Schlüsselbunde für die Sicherheitsauthentifizierung
- Strenge versus lose Authentifizierung
BFD-Authentifizierungsalgorithmen
Junos OS unterstützt die folgenden Algorithmen für die BFD-Authentifizierung:
simple-password: Nur-Text-Passwort. Ein bis 16 Byte Klartext werden zur Authentifizierung der BFD-Sitzung verwendet. Es können ein oder mehrere Passwörter konfiguriert werden. Diese Methode ist die am wenigsten sichere und sollte nur verwendet werden, wenn BFD-Sitzungen nicht abgefangen werden.
keyed-md5: Keyed Message Digest 5-Hash-Algorithmus für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Um die BFD-Sitzung zu authentifizieren, verwendet MD5 mit Schlüsseln einen oder mehrere geheime Schlüssel (die vom Algorithmus generiert werden) und eine Sequenznummer, die regelmäßig aktualisiert wird. Bei dieser Methode werden Pakete auf der Empfängerseite der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer oder gleich der zuletzt empfangenen Sequenznummer ist. Diese Methode ist zwar sicherer als ein einfaches Passwort, aber anfällig für Replay-Angriffe. Dieses Risiko kann verringert werden, indem Sie die Häufigkeit erhöhen, mit der die Sequenznummer aktualisiert wird.
meticulous-keyed-md5: Sorgfältig verschlüsselter Message Digest 5-Hash-Algorithmus. Diese Methode funktioniert auf die gleiche Weise wie MD5 mit Schlüsseln, aber die Sequenznummer wird mit jedem Paket aktualisiert. Diese Methode ist zwar sicherer als MD5 mit Schlüsseln und einfache Kennwörter, kann jedoch zusätzliche Zeit in Anspruch nehmen, um die Sitzung zu authentifizieren.
keyed-sha-1 – Keyed Secure Hash Algorithm I für Sitzungen mit Sende- und Empfangsintervallen von mehr als 100 ms. Um die BFD-Sitzung zu authentifizieren, verwendet SHA mit Schlüsseln einen oder mehrere geheime Schlüssel (die vom Algorithmus generiert werden) und eine Sequenznummer, die regelmäßig aktualisiert wird. Der Schlüssel wird nicht in den Paketen transportiert. Bei dieser Methode werden Pakete auf der empfangenden Seite der Sitzung akzeptiert, wenn einer der Schlüssel übereinstimmt und die Sequenznummer größer als die zuletzt empfangene Sequenznummer ist.
meticulous-keyed-sha-1 – Sorgfältig verschlüsselter sicherer Hash-Algorithmus I. Diese Methode funktioniert auf die gleiche Weise wie verschlüsseltes SHA, aber die Sequenznummer wird mit jedem Paket aktualisiert. Diese Methode ist zwar sicherer als SHA mit Schlüsseln und einfache Kennwörter, kann jedoch zusätzliche Zeit in Anspruch nehmen, um die Sitzung zu authentifizieren.
Nonstop Active Routing (NSR) wird mit den Authentifizierungsalgorithmen meticulous-keyed-md5 und meticulous-keyed-sha-1 nicht unterstützt. BFD-Sitzungen, die diese Algorithmen verwenden, können nach einem Switchover ausfallen.
Switches der QFX5000-Serie und EX4600-Switches unterstützen keine Mindestintervallwerte von weniger als 1 Sekunde.
Schlüsselbunde für die Sicherheitsauthentifizierung
Der Sicherheitsauthentifizierungsschlüsselbund definiert die Authentifizierungsattribute, die für die Aktualisierung des Authentifizierungsschlüssels verwendet werden. Wenn der Schlüsselbund für die Sicherheitsauthentifizierung konfiguriert und über den Schlüsselbundnamen mit einem Protokoll verknüpft ist, können Aktualisierungen des Authentifizierungsschlüssels erfolgen, ohne die Routing- und Signalisierungsprotokolle zu unterbrechen.
Der Authentifizierungsschlüsselbund enthält einen oder mehrere Schlüsselbunde. Jeder Schlüsselbund enthält einen oder mehrere Schlüssel. Jeder Schlüssel enthält die geheimen Daten und den Zeitpunkt, zu dem der Schlüssel gültig wird. Der Algorithmus und der Schlüsselbund müssen an beiden Enden der BFD-Sitzung konfiguriert sein, und sie müssen übereinstimmen. Jede Nichtübereinstimmung in der Konfiguration verhindert, dass die BFD-Sitzung erstellt wird.
BFD erlaubt mehrere Clients pro Sitzung, und jeder Client kann seinen eigenen Schlüsselbund und Algorithmus definieren. Um Verwechslungen zu vermeiden, wird empfohlen, nur einen Schlüsselbund für die Sicherheitsauthentifizierung anzugeben.
Strenge versus lose Authentifizierung
Standardmäßig ist die strikte Authentifizierung aktiviert, und die Authentifizierung wird an beiden Enden jeder BFD-Sitzung überprüft. Um die Migration von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen zu erleichtern, können Sie optional die lose Überprüfung konfigurieren. Wenn lose Überprüfung konfiguriert ist, werden Pakete akzeptiert, ohne dass an jedem Ende der Sitzung eine Authentifizierungsprüfung durchgeführt wird. Diese Funktion ist nur für Übergangszeiten vorgesehen.
Beispiel: Konfigurieren der BFD-Authentifizierung zum Sichern statischer Routen
In diesem Beispiel wird gezeigt, wie die BFD-Authentifizierung (Bidirectional Forwarding Detection) für statische Routen konfiguriert wird.
Anforderungen
Junos OS Version 9.6 oder höher (Canda- und US-Version).
Die BFD-Authentifizierung wird nur in der kanadischen und US-Version des Junos OS-Images unterstützt und ist in der Exportversion nicht verfügbar.
Überblick
Sie können die Authentifizierung für BFD-Sitzungen konfigurieren, die über statische IPv4- und IPv6-Routen ausgeführt werden. Routing-Instanzen und logische Systeme werden ebenfalls unterstützt.
Die folgenden Schritte sind erforderlich, um die Authentifizierung in einer BFD-Sitzung zu konfigurieren:
Geben Sie den BFD-Authentifizierungsalgorithmus für die statische Route an.
Verknüpfen Sie den Authentifizierungsschlüsselbund mit der statischen Route.
Konfigurieren Sie den zugehörigen Schlüsselbund für die Sicherheitsauthentifizierung. Dies muss auf dem Hauptrouter konfiguriert werden.
Es wird empfohlen, die Überprüfung der losen Authentifizierung anzugeben, wenn Sie von nicht authentifizierten Sitzungen zu authentifizierten Sitzungen wechseln.
[edit] user@host> set routing-options static route ipv4 bfd-liveness-detection authentication loose-check
Abbildung 2 zeigt das Beispielnetzwerk.
verbunden sind
Topologie
Konfiguration
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie Ihrer Netzwerkkonfiguration entsprechen, und kopieren Sie dann die Befehle, und fügen Sie sie dann in die CLI auf der [edit] Hierarchieebene ein.
Gerät B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
Gerät D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
Verfahren
Schritt-für-Schritt-Anleitung
Für das folgende Beispiel ist es erforderlich, dass Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Weitere Informationen zum Navigieren in der CLI finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie BFD für statische Routen:
Konfigurieren Sie auf Gerät B die Schnittstellen.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
Erstellen Sie auf Gerät B eine statische Route, und legen Sie die Adresse für den nächsten Hop fest.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
Konfigurieren Sie auf Gerät B BFD für die statische Route.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
Geben Sie auf Gerät B den Algorithmus (keyed-md5, keyed-sha-1, meticulous-keyed-md5, meticulous-keyed-sha-1 oder simple-password) an, der für die BFD-Authentifizierung auf der statischen Route verwendet werden soll.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1
Anmerkung:Nonstop Active Routing (NSR) wird mit den Authentifizierungsalgorithmen meticulous-keyed-md5 und meticulous-keyed-sha-1 nicht unterstützt. BFD-Sitzungen, die diese Algorithmen verwenden, können nach einem Switchover ausfallen.
-
Geben Sie auf Gerät B den Schlüsselbund an, der verwendet werden soll, um BFD-Sitzungen auf der angegebenen Route mit den eindeutigen Schlüsselbundattributen für die Sicherheitsauthentifizierung zu verknüpfen.
Dieser sollte mit dem auf der Hierarchieebene
[edit security authentication key-chains]konfigurierten Schlüsselbundnamen übereinstimmen.[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4
Geben Sie auf Gerät B die eindeutigen Sicherheitsauthentifizierungsinformationen für BFD-Sitzungen an:
-
Der übereinstimmende Schlüsselbundname, wie in Schritt 5 angegeben.
Mindestens ein Schlüssel, eine eindeutige ganze Zahl zwischen 0 und 63. Durch das Erstellen mehrerer Schlüssel können mehrere Clients die BFD-Sitzung verwenden.
Die geheimen Daten, die verwendet werden, um den Zugriff auf die Sitzung zu ermöglichen.
Der Zeitpunkt, zu dem der Authentifizierungsschlüssel aktiv wird, im Format yyyy-mm-dd.hh:mm:ss.
[edit security authentication-key-chains key-chain bfd-kc4] user@B# set key 5 secret "$ABC123$ABC123$ABC123" user@B# set key 5 start-time "2011-1-1.12:00:00 -0800"
-
Wenn Sie mit der Konfiguration von Gerät B fertig sind, bestätigen Sie die Konfiguration.
[edit] user@B# commit
Wiederholen Sie die Konfiguration auf Gerät D.
Der Algorithmus und der Schlüsselbund müssen an beiden Enden der BFD-Sitzung konfiguriert sein, und sie müssen übereinstimmen. Jede Nichtübereinstimmung in der Konfiguration verhindert, dass die BFD-Sitzung erstellt wird.
Befund
Bestätigen Sie Ihre Konfiguration, indem Sie die show interfacesBefehle , show routing-optionsund show security eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Gerät B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
authentication {
key-chain bfd-kc4;
algorithm keyed-sha-1;
}
}
}
}
user@B# show security
authentication-key-chains {
key-chain bfd-kc4 {
key 5 {
secret "$ABC123$ABC123$ABC123"; ## SECRET-DATA
start-time "2011-1-1.12:00:00 -0800";
}
}
}
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen, ob BFD-Sitzungen verfügbar sind
- Anzeigen von Details zur BFD-Sitzung
- Anzeigen umfangreicher BFD-Sitzungsinformationen
Überprüfen, ob BFD-Sitzungen verfügbar sind
Zweck
Vergewissern Sie sich, dass die BFD-Sitzungen aktiv sind.
Aktion
Geben Sie im Betriebsmodus den show bfd session Befehl ein.
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Bedeutung
Die Befehlsausgabe zeigt an, dass die BFD-Sitzung aktiv ist.
Anzeigen von Details zur BFD-Sitzung
Zweck
Zeigen Sie Details zu den BFD-Sitzungen an, und stellen Sie sicher, dass die Authentifizierung konfiguriert ist.
Aktion
Geben Sie im Betriebsmodus den show bfd session detail Befehl ein.
user@B> show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000, Authenticate
Session up time 00:53:58
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Bedeutung
In der Befehlsausgabe wird Authentifizieren angezeigt, um anzugeben, dass die BFD-Authentifizierung konfiguriert ist.
Anzeigen umfangreicher BFD-Sitzungsinformationen
Zweck
Sehen Sie sich detailliertere Informationen zu den BFD-Sitzungen an.
Aktion
Geben Sie im Betriebsmodus den show bfd session extensive Befehl ein.
user@B> show bfd session extensive
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000, Authenticate
keychain bfd-kc4, algo keyed-sha-1, mode strict
Session up time 01:39:45
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 3, remote discriminator 4
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-kc4, algo keyed-sha-1, mode strict
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Bedeutung
In der Befehlsausgabe wird Authentifizieren angezeigt, um anzugeben, dass die BFD-Authentifizierung konfiguriert ist. Die Ausgabe des extensive Befehls enthält den Namen des Schlüsselbunds, den Authentifizierungsalgorithmus und den Modus für jeden Client in der Sitzung.
Diese description Site- <xxx> Funktion wird nur von Firewalls der SRX-Serie unterstützt.
Wenn jeder Client mehr als ein Beschreibungsfeld hat, wird "und mehr" zusammen mit dem ersten Beschreibungsfeld angezeigt.
Beispiel: Aktivieren von BFD für qualifizierte Next Hops in statischen Routen für die Routenauswahl
In diesem Beispiel wird gezeigt, wie eine statische Route mit mehreren möglichen Next Hops konfiguriert wird. Für jeden nächsten Hop ist die bidirektionale Weiterleitungserkennung (BFD) aktiviert.
Anforderungen
In diesem Beispiel ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Überblick
In diesem Beispiel hat Gerät B die statische Route 192.168.47.0/24 mit zwei möglichen nächsten Hops. Die beiden nächsten Hops werden mithilfe von zwei qualified-next-hop Anweisungen definiert. Für jeden nächsten Hop ist BFD aktiviert.
BFD ist auch auf Gerät D aktiviert, da BFD an beiden Enden der Verbindung aktiviert sein muss.
Ein nächster Hop wird in die Routing-Tabelle aufgenommen, wenn die BFD-Sitzung aktiv ist. Der nächste Hop wird aus der Routing-Tabelle entfernt, wenn die BFD-Sitzung ausgefallen ist.
Siehe Abbildung 3.
Topologie
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, damit sie Ihrer Netzwerkkonfiguration entsprechen, und kopieren Sie dann die Befehle, und fügen Sie sie dann in die CLI auf der [edit] Hierarchieebene ein.
Gerät B
set interfaces fe-0/1/0 unit 2 description secondary-B->D set interfaces fe-0/1/0 unit 2 family inet address 192.168.2.1/24 set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set routing-options static route 192.168.47.0/24 qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 set routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
Gerät D
set interfaces fe-0/1/0 unit 3 description secondary-D->B set interfaces fe-0/1/0 unit 3 family inet address 192.168.2.2/24 set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set routing-options static route 0.0.0.0/0 qualified-next-hop 192.168.2.1 set routing-options static route 0.0.0.0/0 qualified-next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 60
Schritt-für-Schritt-Anleitung
Für das folgende Beispiel ist es erforderlich, dass Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen hierzu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus im Junos OS CLI-Benutzerhandbuch.
So konfigurieren Sie eine statische Route mit zwei möglichen Next Hops, beide mit aktiviertem BFD:
Konfigurieren Sie auf Gerät B die Schnittstellen.
[edit interfaces fe-0/1/0] user@B# set unit 2 description secondary-B->D user@B# set unit 2 family inet address 192.168.2.1/24 [edit interfaces ge-1/2/0] user@B# set unit 0 description B->D user@B# set unit 0 family inet address 172.16.1.1/24
Konfigurieren Sie auf Gerät B die statische Route mit zwei Next Hops, beide mit aktiviertem BFD.
[edit routing-options static route 192.168.47.0/24] user@B# set qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 user@B# set qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
Konfigurieren Sie auf Gerät D die Schnittstellen.
[edit interfaces fe-0/1/0] user@D# set unit 3 description secondary-D->B user@D# set unit 3 family inet address 192.168.2.2/24 [edit interfaces ge-1/2/0] user@D# set unit 1 description D->B user@D# set unit 1 family inet address 172.16.1.2/24
Konfigurieren Sie auf Gerät D eine BFD-aktivierte statische Standardroute mit zwei Next Hops zum Provider-Netzwerk.
In diesem Fall ist BFD für die Route aktiviert, nicht für die nächsten Hops.
[edit routing-options static route 0.0.0.0/0] user@D# set qualified-next-hop 192.168.2.1 user@D# set qualified-next-hop 172.16.1.1 user@D# set bfd-liveness-detection minimum-interval 60
Befund
Bestätigen Sie Ihre Konfiguration, indem Sie die show interfaces Befehle und show routing-options eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@B# show interfaces
fe-0/1/0 {
unit 2 {
description secondary-B->D;
family inet {
address 192.168.2.1/24;
}
}
}
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
qualified-next-hop 192.168.2.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
qualified-next-hop 172.16.1.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
}
}
user@D# show interfaces
fe-0/1/0 {
unit 3 {
description secondary-D->B;
family inet {
address 192.168.2.2/24;
}
}
}
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
qualified-next-hop 192.168.2.1;
qualified-next-hop 172.16.1.1;
bfd-liveness-detection {
minimum-interval 60;
}
}
}
Wenn Sie mit der Konfiguration der Geräte fertig sind, wechseln Sie in den Konfigurationsmodus "Commit" .
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
- Überprüfen der Routing-Tabellen
- Verifizieren der BFD-Sitzungen
- Entfernen von BFD von Gerät D
- Entfernen von BFD aus One Next Hop
Überprüfen der Routing-Tabellen
Zweck
Stellen Sie sicher, dass die statische Route in der Routing-Tabelle auf Gerät B mit zwei möglichen nächsten Hops angezeigt wird.
Aktion
user@B> show route 192.168.47.0 extensive
inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)
192.168.47.0/24 (1 entry, 1 announced)
TSI:
KRT in-kernel 192.168.47.0/24 -> {192.168.2.2}
*Static Preference: 5
Next hop type: Router
Address: 0x9334010
Next-hop reference count: 1
Next hop: 172.16.1.2 via ge-1/2/0.0
Next hop: 192.168.2.2 via fe-0/1/0.2, selected
State: <Active Int Ext>
Age: 9
Task: RT
Announcement bits (1): 3-KRT
AS path: I
Bedeutung
Beide Next Hops werden aufgelistet. Der nächste Hop 192.168.2.2 ist die ausgewählte Route.
Verifizieren der BFD-Sitzungen
Zweck
Stellen Sie sicher, dass die BFD-Sitzungen aktiv sind.
Aktion
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 0.720 0.240 3
192.168.2.2 Up fe-0/1/0.2 0.720 0.240 3
2 sessions, 2 clients
Cumulative transmit rate 8.3 pps, cumulative receive rate 8.3 pps
Bedeutung
Die Ausgabe zeigt, dass die BFD-Sitzungen aktiv sind.
Entfernen von BFD von Gerät D
Zweck
Demonstrieren Sie, was passiert, wenn die BFD-Sitzung für beide nächsten Hops unterbrochen ist.
Aktion
Deaktivieren Sie BFD auf Gerät D.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
Führen Sie den
show bfd sessionBefehl auf Gerät B erneut aus.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 172.16.1.2 Down ge-1/2/0.0 3.000 1.000 3 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3 2 sessions, 2 clients Cumulative transmit rate 2.0 pps, cumulative receive rate 2.0 ppsFühren Sie den
show route 192.168.47.0Befehl auf Gerät B erneut aus.user@B> show route 192.168.47.0
Bedeutung
Wie erwartet, wird die statische Route aus der Routing-Tabelle entfernt, wenn die BFD-Sitzungen ausfallen.
Entfernen von BFD aus One Next Hop
Zweck
Demonstrieren Sie, was passiert, wenn BFD nur für einen nächsten Hop aktiviert ist.
Aktion
Falls es noch nicht deaktiviert ist, deaktivieren Sie BFD auf Gerät D.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
Deaktivieren Sie BFD bei einem der nächsten Hops auf Gerät B.
[edit routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2] user@B# deactivate bfd-liveness-detection user@B# commit
Führen Sie den
show bfd sessionBefehl auf Gerät B erneut aus.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3Führen Sie den
show route 192.168.47.0 extensiveBefehl auf Gerät B erneut aus.user@B> show route 192.168.47.0 extensive inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) 192.168.47.0/24 (1 entry, 1 announced) TSI: KRT in-kernel 192.168.47.0/24 -> {172.16.1.2} *Static Preference: 5 Next hop type: Router, Next hop index: 624 Address: 0x92f0178 Next-hop reference count: 3 Next hop: 172.16.1.2 via ge-1/2/0.0, selected State: <Active Int Ext> Age: 2:36 Task: RT Announcement bits (1): 3-KRT AS path: I
Bedeutung
Wie erwartet, ist die BFD-Sitzung für den nächsten Hop 192.168.2.2 nicht verfügbar. Der nächste Hop 172.16.1.2 verbleibt in der Routing-Tabelle, und die Route bleibt aktiv, da BFD keine Bedingung dafür ist, dass dieser nächste Hop gültig bleibt.
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.
bfd-liveness-detection Befehl das Beschreibungsfeld. Die Beschreibung ist ein Attribut unter dem
bfd-liveness-detection Objekt und wird nur auf Firewalls der SRX-Serie unterstützt. Dieses Feld gilt nur für die statischen Routen.