Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuration de la détection des pannes OSPF à l’aide de BFD

Comprendre BFD pour OSPF

Le protocole BFD (Bidirectional Forwarding Detection) est un simple mécanisme de bonjour qui détecte les défaillances d’un réseau. BFD fonctionne avec une grande variété d’environnements et topologies réseau. Une paire d’équipements de routage échange des paquets BFD. Bonjour, les paquets sont envoyés à un intervalle précis et régulier. Une défaillance de voisinage est détectée lorsque l’équipement de routage cesse de recevoir une réponse après un intervalle spécifié. Les timers de détection des défaillances BFD ont des délais plus courts que les mécanismes de détection des défaillances OSPF. Ils permettent donc une détection plus rapide.

Les timers de détection des défaillances BFD sont adaptatifs et peuvent être ajustés pour être plus rapides ou plus lents. Plus la valeur du timer de détection des défaillances BFD est faible, plus la détection des défaillances est rapide et vice versa. Par exemple, les timers peuvent s’adapter à une valeur plus élevée si l’adjacence échoue (c’est-à-dire que le timer détecte les défaillances plus lentement). Ou un voisin peut négocier une valeur plus élevée pour un timer que la valeur configurée. Les timers s’adaptent à une valeur plus élevée lorsqu’un volet de session BFD se produit plus de trois fois sur une durée de 15 secondes. Un algorithme de back-off augmente l’intervalle de réception (Rx) de deux si l’instance BFD locale est la raison du rabat de session. L’intervalle de transmission (Tx) est augmenté de deux si l’instance BFD distante est la raison du volet de session. Vous pouvez utiliser la clear bfd adaptation commande pour renvoyer les intervalles BFD à leurs valeurs configurées. La clear bfd adaptation commande est sans heurt, ce qui signifie que la commande n’affecte pas le flux de trafic sur l’équipement de routage.

Note:

Les commutateurs EX4600 ne prennent pas en charge les valeurs d’intervalle minimales de moins d’une seconde.

Note:

BFD est pris en charge pour OSPFv3 dans junos OS version 9.3 et versions ultérieures.

Note:

Pour les pare-feu SRX Series de filiales, nous recommandons de 1 000 ms comme intervalle de temps de maintien minimum pour les paquets BFD.

Vous pouvez configurer les paramètres de protocole BFD suivants :

  • detection-time threshold— Seuil d’adaptation du temps de détection. Lorsque le temps de détection des sessions BFD s’adapte à une valeur égale ou supérieure au seuil configuré, un seul piège et un seul message de journal système sont envoyés.

  • full-neighbors-only— Possibilité d’établir des sessions BFD uniquement pour les voisins OSPF avec une adjacence complète du voisin. Le comportement par défaut est d’établir des sessions BFD pour tous les voisins OSPF. Ce paramètre est disponible dans Junos OS version 9.5 et versions ultérieures.

  • minimum-interval— Intervalle de transmission et de réception minimum pour la détection des défaillances. Ce paramètre configure à la fois l’intervalle minimal après lequel l’équipement de routage local transmet les paquets bonjour et l’intervalle minimal après lequel l’équipement de routage s’attend à recevoir une réponse du voisin avec lequel il a établi une session BFD. Les deux intervalles sont en millisecondes. Vous pouvez également spécifier les intervalles minimums de transmission et de réception séparément à l’aide des transmit-interval minimum-interval instructions et minimum-receive-interval .

    Note:

    BFD est un protocole intensif qui consomme des ressources système. La spécification d’un intervalle minimal pour la BFD de moins de 100 ms pour les sessions basées sur le moteur de routage et de 10 ms pour les sessions BFD distribuées peut provoquer des battements BFD indésirables.

    En fonction de votre environnement réseau, les éléments suivants peuvent s’appliquer :

    • Pour les déploiements réseau à grande échelle avec un grand nombre de sessions BFD, spécifiez un intervalle d’au moins 500 ms. Un intervalle de 1 000 ms est recommandé pour éviter tout problème d’instabilité.

    • Pour que les sessions BFD restent actives pendant un événement de basculement du moteur de routage lorsque le routage actif sans interruption (NSR) est configuré, spécifiez un intervalle de 2 500 ms minimum pour les sessions basées sur le moteur de routage. Sans NSR, les sessions basées sur le moteur de routage peuvent avoir un intervalle de 100 ms minimum.

    • Pour les sessions BFD distribuées avec NSR configurées, les recommandations d’intervalle minimum restent inchangées et dépendent uniquement de votre déploiement réseau.

    • Junos OS 21.2R1 et versions ultérieures prend en charge les sessions OSPFv3 et ISIS BFD distribuées avec des adresses locales de liaison IPv6 sur les routeurs MX Series exécutant des MPC 1 à 9 (il n’est pas pris en charge sur MPC 10 ou MPC 11). Le BFD local de liaison IPv6 est par défaut le mode inline.

    • BFD n’est pas distribué avant Junos 21.2 (car pour OSPFv3, BFD est basé sur le moteur de routage).

    • Sur un seul commutateur QFX5100, lorsque vous ajoutez un module d’extension QFX-EM-4Q, spécifiez un intervalle minimum supérieur à 1 000 ms.

  • minimum-receive-interval— Intervalle de réception minimal pour la détection des défaillances. Ce paramètre configure l’intervalle de réception minimal, en millisecondes, après quoi l’équipement de routage s’attend à recevoir un paquet bonjour d’un voisin avec lequel il a établi une session BFD. Vous pouvez également spécifier l’intervalle de réception minimal à l’aide de l’instruction minimum-interval .

  • multiplier— Multiplier pour les paquets bonjour. Ce paramètre configure le nombre de paquets hello qui ne sont pas reçus par un voisin, ce qui entraîne la désactivation de l’interface d’origine. Par défaut, trois paquets hello manqués entraînent la déclaration de panne de l’interface d’origine.

  • no-adaptation: désactive l’adaptation BFD. Ce paramètre empêche les sessions BFD de s’adapter aux conditions changeantes du réseau. Ce paramètre est disponible dans Junos OS version 9.0 et versions ultérieures.

    Note:

    Nous vous recommandons de ne pas désactiver l’adaptation BFD, sauf s’il est préférable de ne pas avoir d’adaptation BFD dans votre réseau.

  • transmit-interval minimum-interval— Intervalle de transmission minimal pour la détection des défaillances. Ce paramètre configure l’intervalle de transmission minimal, en millisecondes, auquel l’équipement de routage local transmet les paquets hello au voisin avec lequel il a établi une session BFD. Vous pouvez également spécifier l’intervalle de transmission minimal à l’aide de l’instruction minimum-interval .

  • transmit-interval threshold— Seuil d’adaptation de l’intervalle de transmission de session BFD. Lorsque l’intervalle de transmission s’adapte à une valeur supérieure au seuil, un seul piège et un seul message de journal du système sont envoyés. La valeur seuil doit être supérieure à l’intervalle de transmission minimal. Si vous tentez de valider une configuration avec une valeur seuil inférieure à l’intervalle de transmission minimal, l’équipement de routage affiche une erreur et n’accepte pas la configuration.

  • version— Version BFD. Ce paramètre configure la version BFD utilisée pour la détection. Vous pouvez configurer explicitement BFD version 1, ou l’équipement de routage peut détecter automatiquement la version BFD. Par défaut, l’équipement de routage détecte automatiquement la version BFD, soit 0 ou 1.

Vous pouvez également suivre les opérations BFD à des fins de dépannage.

Exemple : configuration de BFD pour OSPF

Cet exemple montre comment configurer le protocole BFD (Bidirectional Forwarding Detection) pour OSPF.

Exigences

Avant de commencer :

Aperçu

Une alternative à l’ajustement de l’intervalle de bonjour OSPF et des paramètres d’intervalle de mort pour augmenter la convergence des routes consiste à configurer BFD. Le protocole BFD est un mécanisme simple de bonjour qui détecte les défaillances d’un réseau. Les timers de détection des défaillances BFD ont des délais plus courts que les mécanismes de détection des défaillances OSPF, ce qui accélère la détection.

Le BFD est utile pour les interfaces qui ne peuvent pas détecter rapidement les défaillances, telles que les interfaces Ethernet. D’autres interfaces, telles que les interfaces SONET, ont déjà intégré la détection des défaillances. Il n’est pas nécessaire de configurer BFD sur ces interfaces.

Vous configurez BFD sur une paire d’interfaces OSPF voisines. Contrairement aux paramètres OSPF d’intervalle bonjour et d’intervalle mort, vous n’avez pas besoin d’activer BFD sur toutes les interfaces d’une zone OSPF.

Dans cet exemple, vous activez la détection des défaillances en incluant l’énoncé bfd-liveness-detection sur l’interface OSPF voisine fe-0/1/0 dans la zone 0.0.0.0 et configurez l’intervalle d’échange de paquets BFD à 300 millisecondes, configurez 4 comme le nombre de paquets bonjour manqués qui provoquent la panne de l’interface d’origine, et configurez les sessions BFD uniquement pour les voisins OSPF avec une adjacence totale au voisin en incluant les paramètres suivants :

  • full-neighbors uniquement : dans Junos OS version 9.5 et versions ultérieures, configure le protocole BFD pour établir des sessions BFD uniquement pour les voisins OSPF avec une adjacence complète. Le comportement par défaut est d’établir des sessions BFD pour tous les voisins OSPF.

  • intervalle minimal : configure l’intervalle minimal, en millisecondes, après lequel l’équipement de routage local transmet les paquets bonjour, ainsi que l’intervalle minimal après lequel l’équipement de routage s’attend à recevoir une réponse du voisin avec lequel il a établi une session BFD. Vous pouvez configurer un nombre allant de 1 à 255 000 millisecondes. Vous pouvez également spécifier les intervalles de transmission et de réception minimaux séparément à l’aide des instructions et minimum-receive-interval des instructions de l’intervalle de transmission minimum.

    Note:

    BFD est un protocole intensif qui consomme des ressources système. La spécification d’un intervalle minimal pour la BFD de moins de 100 ms pour les sessions basées sur le moteur de routage et de 10 ms pour les sessions BFD distribuées peut provoquer des battements BFD indésirables.

    En fonction de votre environnement réseau, ces recommandations supplémentaires peuvent s’appliquer :

    • Pour les déploiements réseau à grande échelle avec un grand nombre de sessions BFD, spécifiez un intervalle d’au moins 500 ms. Un intervalle de 1 000 ms est recommandé pour éviter tout problème d’instabilité.

      Note:
      • Pour le processus bfdd, l’intervalle de temps de détection défini est inférieur à 300 ms. S’il y a un processus hautement prioritaire tel que ppmd s’exécutant sur le système, le processeur peut passer du temps sur le processus ppmd plutôt que sur le processus bfdd.

      • Pour les pare-feu SRX Series de filiales, nous recommandons de 1 000 ms comme intervalle de temps de maintien minimum pour les paquets BFD.

    • Pour les déploiements réseau à très grande échelle avec un grand nombre de sessions BFD, contactez l’assistance client Juniper Networks pour plus d’informations.

    • Pour que les sessions BFD restent actives pendant un événement de basculement du moteur de routage lorsque le routage actif sans interruption (NSR) est configuré, spécifiez un intervalle de 2 500 ms minimum pour les sessions basées sur le moteur de routage. Pour les sessions BFD distribuées avec NSR configurées, les recommandations d’intervalle minimum restent inchangées et dépendent uniquement de votre déploiement réseau.

  • multiplier : configure le nombre de paquets hello non reçus par un voisin qui provoque la déclaration de panne de l’interface d’origine. Par défaut, trois paquets hello manqués entraînent la déclaration de panne de l’interface d’origine. Vous pouvez configurer une valeur comprise entre 1 et 255.

Topologie

Configuration

Procédure

Configuration rapide cli

Pour configurer rapidement le protocole BFD pour OSPF, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à votre configuration réseau, copiez et collez les commandes dans la CLI au niveau de la hiérarchie [modifier], puis entrez commit à partir du mode de configuration.

Procédure étape par étape

Pour configurer le protocole BFD pour OSPF sur une interface voisine :

  1. Créez une zone OSPF.

    Note:

    Pour spécifier OSPFv3, incluez l’instruction ospf3 au niveau de la [edit protocols] hiérarchie.

  2. Spécifiez l’interface.

  3. Spécifiez les intervalles de transmission et de réception minimaux.

  4. Configurez le nombre de paquets hello manqués qui provoquent la panne de l’interface d’origine.

  5. Configurez les sessions BFD uniquement pour les voisins OSPF avec une adjacence voisine complète.

  6. Si vous avez fini de configurer l’équipement, validez la configuration.

    Note:

    Répétez cette configuration sur l’autre interface voisine.

Résultats

Confirmez votre configuration en entrant la show protocols ospf commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.

Pour confirmer votre configuration OSPFv3, saisissez la show protocols ospf3 commande.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérification des sessions BFD

But

Vérifiez que les interfaces OSPF disposent de sessions BFD actives et que les composants de session ont été correctement configurés.

Action

Depuis le mode opérationnel, saisissez la show bfd session detail commande.

Sens

Le résultat affiche des informations sur les sessions BFD.

  • Le champ Adresse affiche l’adresse IP du voisin.

  • Le champ Interface affiche l’interface que vous avez configurée pour BFD.

  • Le champ State affiche l’état du voisin et doit afficher Full pour refléter l’adjacence complète du voisin que vous avez configurée.

  • Le champ Transmit Interval affiche l’intervalle de temps que vous avez configuré pour envoyer des paquets BFD.

  • Le champ Multiplier affiche le coefficient de multiplication que vous avez configuré.

Comprendre l’authentification BFD pour OSPF

La détection de transfert bidirectionnel (BFD) permet de détecter rapidement les défaillances de communication entre les systèmes adjacents. Par défaut, l’authentification des sessions BFD est désactivée. Toutefois, lorsque vous exécutez des protocoles BFD sur la couche réseau, le risque d’attaques de service peut être important. Nous vous recommandons vivement d’utiliser l’authentification si vous exécutez BFD sur plusieurs sauts ou via des tunnels non sécurisés. À partir de la version 9.6 de Junos OS, Junos OS prend en charge l’authentification pour les sessions BFD s’exécutant sur OSPFv2. L’authentification BFD n’est pas prise en charge sur les sessions OAM MPLS. L’authentification BFD n’est prise en charge que dans la version canadienne et américaine de l’image de Junos OS et n’est pas disponible dans la version d’exportation.

Vous authentez les sessions BFD en spécifiant un algorithme d’authentification et un trousseau, puis en associant ces informations de configuration à un trousseau d’authentification de sécurité à l’aide du nom du trousseau.

Les sections suivantes décrivent les algorithmes d’authentification pris en charge, les chaînes de clés de sécurité et le niveau d’authentification pouvant être configuré :

Algorithmes d’authentification BFD

Junos OS prend en charge les algorithmes suivants pour l’authentification BFD :

  • simple-mot de passe : mot de passe en texte brut. Un à 16 octets de texte brut sont utilisés pour authentifier la session BFD. Un ou plusieurs mots de passe peuvent être configurés. Cette méthode est la moins sécurisée et ne doit être utilisée que lorsque les sessions BFD ne sont pas sujettes à l’interception de paquets.

  • keyed-md5 : algorithme de hachage Keyed Message Digest 5 pour les sessions dont les intervalles de transmission et de réception sont supérieurs à 100 ms. Pour authentifier la session BFD, le MD5 à clé utilise une ou plusieurs clés secrètes (générées par l’algorithme) et un numéro de séquence mis à jour régulièrement. Avec cette méthode, les paquets sont acceptés à la fin de la session de réception si l’une des clés correspond et que le nombre de séquence est supérieur ou égal au dernier numéro de séquence reçu. Bien que plus sécurisée qu’un simple mot de passe, cette méthode est vulnérable aux attaques par replay. L’augmentation du taux de mise à jour du numéro de séquence peut réduire ce risque.

  • méticuleuse-keyed-md5 — Algorithme de hachage méticuleusement keyed Message Digest 5. Cette méthode fonctionne de la même manière que le MD5 à clé, mais le numéro de séquence est mis à jour avec chaque paquet. Bien que plus sécurisée que le MD5 à clé et les mots de passe simples, cette méthode peut prendre plus de temps pour authentifier la session.

  • keyed-sha-1 : algorithme I de hachage sécurisé clé pour les sessions dont les intervalles de transmission et de réception sont supérieurs à 100 ms. Pour authentifier la session BFD, le SHA à clé utilise une ou plusieurs clés secrètes (générées par l’algorithme) et un numéro de séquence mis à jour régulièrement. La clé n’est pas portée dans les paquets. Avec cette méthode, les paquets sont acceptés à la fin de la session de réception si l’une des clés correspond et que le numéro de séquence est supérieur au dernier numéro de séquence reçu.

  • méticuleuse-clé-sha-1 — Algorithme I de hachage sécurisé à clé méticuleuse. Cette méthode fonctionne de la même manière que sha clé, mais le numéro de séquence est mis à jour avec chaque paquet. Bien que plus sécurisée que le SHA à clé et les mots de passe simples, cette méthode peut prendre plus de temps pour authentifier la session.

Note:

Le routage actif sans interruption (NSR) n’est pas pris en charge avec les algorithmes d’authentification méticuleuse-clé-md5 et méticuleuse-keyed-sha-1. Les sessions BFD utilisant ces algorithmes peuvent être en panne après une commutation.

Note:

Les commutateurs QFX5000 Series et LES commutateurs EX4600 ne prennent pas en charge des valeurs d’intervalle minimales de moins d’une seconde.

Trousseaux d’authentification de sécurité

Le trousseau d’authentification de sécurité définit les attributs d’authentification utilisés pour les mises à jour des clés d’authentification. Lorsque le trousseau d’authentification de sécurité est configuré et associé à un protocole via le nom du trousseau, des mises à jour de la clé d’authentification peuvent avoir lieu sans interrompre les protocoles de routage et de signalisation.

Le trousseau d’authentification contient un ou plusieurs trousseaux. Chaque trousseau contient une ou plusieurs clés. Chaque clé contient les données secrètes et l’heure à laquelle la clé devient valide. L’algorithme et le keychain doivent être configurés aux deux extrémités de la session BFD, et ils doivent correspondre. Toute incompatibilité dans la configuration empêche la session BFD d’être créée.

BFD permet plusieurs clients par session, et chaque client peut avoir son propre keychain et son propre algorithme défini. Pour éviter toute confusion, nous vous recommandons de ne spécifier qu’un seul trousseau d’authentification de sécurité.

Authentification stricte par rapport à une authentification lâche

Par défaut, l’authentification stricte est activée et l’authentification est contrôlée aux deux extrémités de chaque session BFD. Vous pouvez également configurer la vérification libre pour faciliter la migration des sessions non authentifiées vers des sessions authentifiées. Lors de la configuration d’une vérification lâche, les paquets sont acceptés sans vérification de l’authentification à chaque fin de session. Cette fonctionnalité est uniquement destinée aux périodes de transition.

Configuration de l’authentification BFD pour OSPF

À partir de La version 9.6 de Junos OS, vous pouvez configurer l’authentification pour les sessions BFD exécutées sur OSPFv2. Les instances de routage sont également prises en charge.

Les sections suivantes fournissent des instructions pour configurer et afficher l’authentification BFD sur OSPF :

Configuration des paramètres d’authentification BFD

Seules trois étapes sont nécessaires pour configurer l’authentification sur une session BFD :

  1. Spécifiez l’algorithme d’authentification BFD pour le protocole OSPFv2.

  2. Associez la chaîne de clés d’authentification au protocole OSPFv2.

  3. Configurez le trousseau d’authentification de sécurité associé.

Pour configurer l’authentification BFD :

  1. Spécifiez l’algorithme (keyed-md5, keyed-sha-1, méticuleuse-clé-md5, méticuleuse-keyed-sha-1 ou simple-mot de passe) à utiliser pour l’authentification BFD sur un routage OSPF ou une instance de routage.
    Note:

    Le routage actif sans interruption (NSR) n’est pas pris en charge avec les algorithmes d’authentification méticuleuse-keyed-md5 et méticuleuse-keyed-sha-1. Les sessions BFD utilisant ces algorithmes peuvent être en panne après une commutation.

  2. Spécifiez le trousseau à utiliser pour associer les sessions BFD sur la route ou l’instance de routage OSPF spécifiée aux attributs uniques d’authentification de sécurité.

    Ce keychain doit correspondre au nom du keychain configuré au niveau de la [edit security authentication key-chains] hiérarchie.

    Note:

    L’algorithme et le keychain doivent être configurés aux deux extrémités de la session BFD, et ils doivent correspondre. Toute incompatibilité dans la configuration empêche la session BFD d’être créée.

  3. Spécifiez les informations d’authentification de sécurité uniques pour les sessions BFD :
    • Nom du trousseau correspondant spécifié à l’étape 2.

    • Au moins une clé, un nombre entier unique compris entre 0 et 63. La création de plusieurs clés permet à plusieurs clients d’utiliser la session BFD.

    • Les données secrètes utilisées pour permettre l’accès à la session.

    • Heure à laquelle la clé d’authentification devient active, au format yyyy-mm-dd.hh:mm:ss.

  4. (Facultatif) Spécifiez une vérification d’authentification libre si vous passez de sessions non authentifiées à des sessions authentifiées.
  5. (Facultatif) Consultez votre configuration à l’aide de la show bfd session detail commande ou show bfd session extensive .
  6. Répétez les étapes de cette procédure pour configurer l’autre extrémité de la session BFD.
Note:

L’authentification BFD n’est prise en charge que dans la version canadienne et américaine de l’image de Junos OS et n’est pas disponible dans la version d’exportation.

Consultation des informations d’authentification pour les sessions BFD

Vous pouvez consulter la configuration d’authentification BFD existante à l’aide des show bfd session detail commandes et show bfd session extensive .

L’exemple suivant illustre l’authentification BFD configurée pour le groupe BGP if2-ospf . Il spécifie l’algorithme d’authentification SHA-1 à clé et un nom de chaîne de clés de bfd-ospf. Le trousseau d’authentification est configuré avec deux clés. La clé 1 contient les données secrètes « $ABC 123$ABC123 » et une heure de début du 1er juin 2009 à 09:46:02 PST. La clé 2 contient les données secrètes « $ABC 123$ABC123 » et une heure de début du 1er juin 2009 à 15:29:20 PST.

Si vous validez ces mises à jour dans votre configuration, le résultat s’affiche comme suit. Dans la sortie de la show bfd session detail commande, authentifie s’affiche pour indiquer que l’authentification BFD est configurée.

afficher le détail de la session bfd

Pour plus d’informations sur la configuration, utilisez la show bfd session extensive commande. Le résultat de cette commande fournit le nom du trousseau, l’algorithme et le mode d’authentification de chaque client de la session, ainsi que l’état général de la configuration d’authentification BFD, le nom du keychain, ainsi que l’algorithme et le mode d’authentification.

afficher bfd session étendue