BFD pour RIP
Comprendre BFD pour RIP
Le protocole BFD (Bidirectional Forwarding Detection Protocol) est un mécanisme simple qui détecte les défaillances d’un réseau. Bonjour, les paquets sont envoyés à un intervalle précis et régulier. Une défaillance de voisinage est détectée lorsque l’équipement de routage cesse de recevoir une réponse après un intervalle spécifié. BFD fonctionne avec une grande variété d’environnements et topologies réseau. Les temps de détection des défaillances BFD sont plus courts que les temps de détection RIP, ce qui accélère les temps de réaction à divers types de défaillances sur le réseau. Au lieu d’attendre le délai d’expiration du protocole de routage, BFD permet de détecter rapidement les défaillances de liaison. Les timers BFD sont adaptatifs et peuvent être ajustés pour être plus ou moins agressifs. Par exemple, un timer peut s’adapter à une valeur plus élevée si l’adjacence échoue, ou un voisin peut négocier une valeur plus élevée pour un timer que celui configuré. Notez que la fonctionnalité de configuration de BFD pour RIP décrite dans cette rubrique n’est pas prise en charge dans les versions 15.1X49, 15.1X49-D30 ou 15.1X49-D40.
Les commutateurs EX4600 ne prennent pas en charge les valeurs d’intervalle minimales de moins d’une seconde.
BFD permet un basculement rapide entre un chemin routé principal et un chemin secondaire. Le protocole teste l’état opérationnel de l’interface plusieurs fois par seconde. BFD fournit des délais de configuration et des seuils pour la détection des défaillances. Par exemple, si l’intervalle minimal est défini pour 50 millisecondes et que le seuil utilise la valeur par défaut de trois messages manqués, une défaillance est détectée sur une interface dans les 200 millisecondes de la défaillance.
Les équipements d’intervention (par exemple, un commutateur Ethernet LAN) cachent les défaillances de couche de liaison des pairs de protocole de routage, par exemple lorsque deux routeurs sont connectés par l’intermédiaire d’un commutateur LAN, où l’état de l’interface locale reste opérationnel même lorsqu’une panne physique survient sur la liaison distante. Les temps de détection des défaillances au niveau de la couche de liaison varient en fonction du support physique et de l’encapsulation de couche 2. BFD peut fournir des temps de détection des défaillances rapides pour tous les types de supports, les encapsulations, les topologies et les protocoles de routage.
Pour activer BFD pour RIP, les deux côtés de la connexion doivent recevoir un message de mise à jour de l’homologue. Par défaut, RIP n’exporte pas de routes. Par conséquent, vous devez activer l’envoi des messages de mise à jour en configurant une stratégie d’exportation pour les routes avant qu’une session BFD ne soit déclenchée.
Exemple : configuration de BFD pour RIP
Cet exemple montre comment configurer la détection de transfert bidirectionnel (BFD) pour un réseau RIP.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cet exemple.
Aperçu
Pour détecter les défaillances, incluez l’énoncé bfd-liveness-detection :
bfd-liveness-detection { detection-time { threshold milliseconds; } minimum-interval milliseconds; minimum-receive-interval milliseconds; multiplier number; no-adaptation; transmit-interval { threshold milliseconds; minimum-interval milliseconds; } version (1 | automatic); }
Vous pouvez éventuellement spécifier le seuil d’adaptation du temps de détection en incluant l’instruction threshold . Lorsque le temps de détection des sessions BFD s’adapte à une valeur égale ou supérieure au seuil, un seul piège et un message de journal système sont envoyés.
Pour spécifier l’intervalle minimal de transmission et de réception pour la détection des défaillances, incluez l’instruction minimum-interval . Cette valeur représente l’intervalle minimal auquel l’équipement de routage local transmet les paquets hello, ainsi que l’intervalle minimal auquel l’équipement de routage s’attend à recevoir une réponse d’un voisin avec lequel il a établi une session BFD. Vous pouvez configurer une valeur comprise entre 1 et 255 000 millisecondes. Cet exemple définit un intervalle de 600 millisecondes minimum.
BFD est un protocole intensif qui consomme des ressources système. La spécification d’un intervalle minimal pour la BFD de moins de 100 ms pour les sessions basées sur le moteur de routage et de 10 ms pour les sessions BFD distribuées peut provoquer des battements BFD indésirables.
En fonction de votre environnement réseau, ces recommandations supplémentaires peuvent s’appliquer :
Pour les déploiements réseau à grande échelle avec un grand nombre de sessions BFD, spécifiez un intervalle d’au moins 300 ms pour les sessions basées sur le moteur de routage et 100 ms pour les sessions BFD distribuées.
Pour les déploiements réseau à très grande échelle avec un grand nombre de sessions BFD, contactez l’assistance client Juniper Networks pour plus d’informations.
Pour que les sessions BFD restent actives pendant un événement de basculement du moteur de routage lorsque le routage actif sans interruption (NSR) est configuré, spécifiez un intervalle de 2 500 ms minimum pour les sessions basées sur le moteur de routage. Pour les sessions BFD distribuées avec un routage actif sans interruption configuré, les recommandations d’intervalle minimum restent inchangées et dépendent uniquement de votre déploiement réseau.
Vous pouvez éventuellement spécifier les intervalles de transmission et de réception minimaux séparément.
Pour spécifier uniquement l’intervalle de réception minimal pour la détection des défaillances, incluez l’instruction minimum-receive-interval . Cette valeur représente l’intervalle minimal auquel l’équipement de routage local s’attend à recevoir une réponse d’un voisin avec lequel il a établi une session BFD. Vous pouvez configurer une valeur comprise entre 1 et 255,00 millisecondes.
Pour spécifier uniquement l’intervalle de transmission minimal pour la détection des défaillances, incluez l’instruction transmit-interval minimum-interval . Cette valeur représente l’intervalle minimal auquel l’équipement de routage local transmet les paquets hello au voisin avec lequel il a établi une session BFD. Vous pouvez configurer une valeur comprise entre 1 et 255 000 millisecondes.
Pour spécifier le nombre de paquets hello non reçus par un voisin qui provoquent la désactivation de l’interface d’origine, incluez l’instruction multiplier . La valeur par défaut est 3 et vous pouvez configurer une valeur comprise entre 1 et 255.
Pour spécifier le seuil de détection de l’adaptation de l’intervalle de transmission, incluez l’instruction transmit-interval threshold . La valeur seuil doit être supérieure à l’intervalle de transmission.
Pour spécifier la version BFD utilisée pour la détection, incluez l’instruction version . Par défaut, la version est détectée automatiquement.
Vous pouvez tracer les opérations BFD en incluant l’instruction traceoptions au niveau de la [edit protocols bfd] hiérarchie.
Dans Junos OS version 9.0 et versions ultérieures, vous pouvez configurer des sessions BFD pour ne pas s’adapter aux conditions changeantes du réseau. Pour désactiver l’adaptation BFD, incluez l’instruction no-adaptation . Nous vous recommandons de ne pas désactiver l’adaptation BFD, sauf s’il est préférable de ne pas activer l’adaptation BFD sur votre réseau.
La figure 1 illustre la topologie utilisée dans cet exemple.
du réseau RIP BFD
Configuration rapide cli affiche la configuration de tous les équipements en figure 1. La section Procédure étape par étape décrit les étapes sur l’équipement R1.
Topologie
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez les détails nécessaires pour correspondre à votre configuration réseau, puis copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie.
Équipement R1
set interfaces fe-1/2/0 unit 1 family inet address 10.0.0.1/30 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.1 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Équipement R2
set interfaces fe-1/2/0 unit 2 family inet address 10.0.0.2/30 set interfaces fe-1/2/1 unit 5 family inet address 10.0.0.5/30 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.2 set protocols rip group rip-group neighbor fe-1/2/1.5 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Équipement R3
set interfaces fe-1/2/0 unit 6 family inet address 10.0.0.6/30 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.6 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur l’interface cli, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer un BFD pour un réseau RIP :
-
Configurez les interfaces réseau.
[edit interfaces] user@R1# set fe-1/2/0 unit 1 family inet address 10.0.0.1/30
-
Créez le groupe RIP et ajoutez l’interface.
Pour configurer RIP dans Junos OS, vous devez configurer un groupe qui contient les interfaces sur lesquelles le RIP est activé. Vous n’avez pas besoin d’activer RIP sur l’interface de bouclage.
[edit protocols rip group rip-group] user@R1# set neighbor fe-1/2/0.1
-
Créez la stratégie de routage pour annoncer à la fois les routes directes et les routes apprises par RIP.
[edit policy-options policy-statement advertise-routes-through-rip term 1] user@R1# set from protocol direct user@R1# set from protocol rip user@R1# set then accept
-
Appliquez la stratégie de routage.
Dans Junos OS, vous pouvez uniquement appliquer des stratégies d’exportation RIP au niveau du groupe.
[edit protocols rip group rip-group] user@R1# set export advertise-routes-through-rip
-
Activez BFD.
[edit protocols rip group rip-group] user@R1# set bfd-liveness-detection minimum-interval 600
-
Configurez les opérations de traçage pour suivre les messages BFD.
[edit protocols bfd traceoptions] user@R1# set file bfd-trace user@R1# set flag all
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocolset show policy-options les commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@R1# show interfaces
fe-1/2/0 {
unit 1 {
family inet {
address 10.0.0.1/30;
}
}
}
user@R1# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
rip {
group rip-group {
export advertise-routes-through-rip;
bfd-liveness-detection {
minimum-interval 600;
}
neighbor fe-1/2/0.1;
}
}
user@R1# show policy-options
policy-statement advertise-routes-through-rip {
term 1 {
from protocol [ direct rip ];
then accept;
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérifier que les sessions BFD sont en cours
But
Assurez-vous que les sessions BFD fonctionnent.
Action
Depuis le mode opérationnel, saisissez la show bfd session commande.
user@R1> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
10.0.0.2 Up fe-1/2/0.1 1.800 0.600 3
1 sessions, 1 clients
Cumulative transmit rate 1.7 pps, cumulative receive rate 1.7 pps
Sens
Le résultat montre qu’il n’y a pas d’échecs d’authentification.
Vérification du fichier trace BFD
But
Utilisez les opérations de traçage pour vérifier que les paquets BFD sont échangés.
Action
Depuis le mode opérationnel, saisissez la show log commande.
user@R1> show log bfd-trace Feb 16 10:26:32 PPM Trace: BFD periodic xmit to 10.0.0.2 (IFL 124, rtbl 53, single-hop port) Feb 16 10:26:32 Received Downstream TraceMsg (24) len 86: Feb 16 10:26:32 IfIndex (3) len 4: 0 Feb 16 10:26:32 Protocol (1) len 1: BFD Feb 16 10:26:32 Data (9) len 61: (hex) 42 46 44 20 70 61 63 6b 65 74 20 66 72 6f 6d 20 31 30 2e Feb 16 10:26:32 PPM Trace: BFD packet from 10.0.0.1 (IFL 73, rtbl 56, ttl 255) absorbed Feb 16 10:26:32 Received Downstream TraceMsg (24) len 60: Feb 16 10:26:32 IfIndex (3) len 4: 0 Feb 16 10:26:32 Protocol (1) len 1: BFD Feb 16 10:26:32 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 6f ...
Sens
La sortie montre le fonctionnement normal de BFD.
Comprendre l’authentification BFD pour RIP
Le BFD permet de détecter rapidement les défaillances de communication entre les systèmes adjacents. Par défaut, l’authentification des sessions BFD est désactivée. Toutefois, lors de l’exécution de protocoles BFD sur la couche réseau, le risque d’attaques de service peut être important. Nous vous recommandons vivement d’utiliser l’authentification si vous exécutez BFD sur plusieurs sauts ou via des tunnels non sécurisés. À partir de la version 9.6 de Junos OS, Junos OS prend en charge l’authentification pour les sessions BFD s’exécutant sur RIP. L’authentification BFD n’est prise en charge que dans l’image nationale et n’est pas disponible dans l’image d’exportation.
Vous authentez les sessions BFD en spécifiant un algorithme d’authentification et un trousseau, puis en associant ces informations de configuration à un trousseau d’authentification de sécurité à l’aide du nom du trousseau.
Les sections suivantes décrivent les algorithmes d’authentification pris en charge, les keychains de sécurité et le niveau d’authentification pouvant être configuré :
- Algorithmes d’authentification BFD
- Trousseaux d’authentification de sécurité
- Authentification stricte par rapport à une authentification lâche
Algorithmes d’authentification BFD
Junos OS prend en charge les algorithmes suivants pour l’authentification BFD :
simple-mot de passe : mot de passe en texte brut. Un à 16 octets de texte brut sont utilisés pour authentifier la session BFD. Un ou plusieurs mots de passe peuvent être configurés. Cette méthode est la moins sécurisée et ne doit être utilisée que lorsque les sessions BFD ne sont pas sujettes à l’interception de paquets.
keyed-md5 : algorithme de hachage Keyed Message Digest 5 pour les sessions dont les intervalles de transmission et de réception sont supérieurs à 100 ms. Pour authentifier la session BFD, le MD5 à clé utilise une ou plusieurs clés secrètes (générées par l’algorithme) et un numéro de séquence mis à jour régulièrement. Avec cette méthode, les paquets sont acceptés à la fin de la session de réception si l’une des clés correspond et que le nombre de séquence est supérieur ou égal au dernier numéro de séquence reçu. Bien que plus sécurisée qu’un simple mot de passe, cette méthode est vulnérable aux attaques par replay. L’augmentation du taux de mise à jour du numéro de séquence peut réduire ce risque.
méticuleuse-keyed-md5 — Algorithme de hachage méticuleusement keyed Message Digest 5. Cette méthode fonctionne de la même manière que le MD5 à clé, mais le numéro de séquence est mis à jour avec chaque paquet. Bien que plus sécurisée que le MD5 à clé et les mots de passe simples, cette méthode peut prendre plus de temps pour authentifier la session.
keyed-sha-1 : algorithme I de hachage sécurisé clé pour les sessions dont les intervalles de transmission et de réception sont supérieurs à 100 ms. Pour authentifier la session BFD, le SHA à clé utilise une ou plusieurs clés secrètes (générées par l’algorithme) et un numéro de séquence mis à jour régulièrement. La clé n’est pas portée dans les paquets. Avec cette méthode, les paquets sont acceptés à la fin de la session de réception si l’une des clés correspond et que le numéro de séquence est supérieur au dernier numéro de séquence reçu.
méticuleuse-clé-sha-1 — Algorithme I de hachage sécurisé à clé méticuleuse. Cette méthode fonctionne de la même manière que sha clé, mais le numéro de séquence est mis à jour avec chaque paquet. Bien que plus sécurisée que le SHA à clé et les mots de passe simples, cette méthode peut prendre plus de temps pour authentifier la session.
Le routage actif sans interruption n’est pas pris en charge avec les algorithmes d’authentification méticuleuse-clé-md5 et méticuleuse-clé-sha-1. Les sessions BFD utilisant ces algorithmes peuvent être en panne après une commutation.
Les commutateurs QFX5000 Series et les commutateurs EX4600 ne prennent pas en charge des valeurs d’intervalle minimales de moins d’une seconde.
Trousseaux d’authentification de sécurité
Le trousseau d’authentification de sécurité définit les attributs d’authentification utilisés pour les mises à jour des clés d’authentification. Lorsque le trousseau d’authentification de sécurité est configuré et associé à un protocole via le nom du trousseau, des mises à jour de la clé d’authentification peuvent avoir lieu sans interrompre les protocoles de routage et de signalisation.
Le trousseau d’authentification contient un ou plusieurs trousseaux. Chaque trousseau contient une ou plusieurs clés. Chaque clé contient les données secrètes et l’heure à laquelle la clé devient valide. L’algorithme et le keychain doivent être configurés aux deux extrémités de la session BFD, et ils doivent correspondre. Toute incompatibilité dans la configuration empêche la session BFD d’être créée.
BFD permet plusieurs clients par session, et chaque client peut avoir son propre keychain et son propre algorithme défini. Pour éviter toute confusion, nous vous recommandons de ne spécifier qu’un seul trousseau d’authentification de sécurité.
Authentification stricte par rapport à une authentification lâche
Par défaut, l’authentification stricte est activée et l’authentification est contrôlée aux deux extrémités de chaque session BFD. Vous pouvez également configurer la vérification libre pour faciliter la migration des sessions non authentifiées vers des sessions authentifiées. Lors de la configuration d’une vérification lâche, les paquets sont acceptés sans vérification de l’authentification à chaque fin de session. Cette fonctionnalité est uniquement destinée aux périodes de transition.
Voir aussi
Exemple : configuration de l’authentification BFD pour RIP
Cet exemple montre comment configurer l’authentification BFD (Bidirectional Forwarding Detection) pour un réseau RIP.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est nécessaire avant de configurer cet exemple.
Les équipements doivent exécuter Junos OS version 9.6 ou ultérieure.
Aperçu
Seules trois étapes sont nécessaires pour configurer l’authentification sur une session BFD :
Spécifiez l’algorithme d’authentification BFD pour le protocole RIP.
Associez le trousseau d’authentification au protocole RIP.
Configurez le trousseau d’authentification de sécurité associé.
La figure 2 illustre la topologie utilisée dans cet exemple.
du réseau d’authentification RIP BFD
La configuration rapide cli montre la configuration de tous les équipements dans la figure 2. La section #d18e66__d18e234 décrit les étapes sur l’équipement R1.
Topologie
Configuration
Procédure
Configuration rapide cli
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans la CLI au niveau de la [edit] hiérarchie, puis entrez commit à partir du mode de configuration.
Équipement R1
set interfaces fe-1/2/0 unit 1 family inet address 10.0.0.1/30 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.1 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set protocols rip group rip-group bfd-liveness-detection authentication key-chain bfd-rip set protocols rip group rip-group bfd-liveness-detection authentication algorithm keyed-md5 set protocols rip group rip-group bfd-liveness-detection authentication loose-check set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept set security authentication-key-chains key-chain bfd-rip key 53 secret $ABC123$ABC123 set security authentication-key-chains key-chain bfd-rip key 53 start-time "2012-2-16.12:00:00 -0800"
Équipement R2
set interfaces fe-1/2/0 unit 2 family inet address 10.0.0.2/30 set interfaces fe-1/2/1 unit 5 family inet address 10.0.0.5/30 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.2 set protocols rip group rip-group neighbor fe-1/2/1.5 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set protocols rip group rip-group bfd-liveness-detection authentication key-chain bfd-rip set protocols rip group rip-group bfd-liveness-detection authentication algorithm keyed-md5 set protocols rip group rip-group bfd-liveness-detection authentication loose-check set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept set security authentication-key-chains key-chain bfd-rip key 53 secret $ABC123$ABC123 set security authentication-key-chains key-chain bfd-rip key 53 start-time "2012-2-16.12:00:00 -0800"
Équipement R3
set interfaces fe-1/2/0 unit 6 family inet address 10.0.0.6/30 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.6 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set protocols rip group rip-group bfd-liveness-detection authentication key-chain bfd-rip set protocols rip group rip-group bfd-liveness-detection authentication algorithm keyed-md5 set protocols rip group rip-group bfd-liveness-detection authentication loose-check set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept set security authentication-key-chains key-chain bfd-rip key 53 secret $ABC123$ABC123 set security authentication-key-chains key-chain bfd-rip key 53 start-time "2012-2-16.12:00:00 -0800"
Procédure étape par étape
Dans l’exemple suivant, vous devez parcourir différents niveaux de la hiérarchie de configuration. Pour plus d’informations sur la navigation sur l’interface cli, consultez Utilisation de l’éditeur CLI en mode de configuration dans le guide de l’utilisateur CLI.
Pour configurer une authentification BFD :
Configurez les interfaces réseau.
[edit interfaces] user@R1# set fe-1/2/0 unit 1 family inet address 10.0.0.1/30
Créez le groupe RIP et ajoutez l’interface.
Pour configurer RIP dans Junos OS, vous devez configurer un groupe qui contient les interfaces sur lesquelles le RIP est activé. Vous n’avez pas besoin d’activer RIP sur l’interface de bouclage.
[edit protocols rip group rip-group] user@R1# set neighbor fe-1/2/0.1
Créez la stratégie de routage pour annoncer à la fois les routes directes et les routes apprises par RIP.
[edit policy-options policy-statement advertise-routes-through-rip term 1] user@R1# set from protocol direct user@R1# set from protocol rip user@R1# set then accept
Appliquez la stratégie de routage.
Dans Junos OS, vous pouvez uniquement appliquer des stratégies d’exportation RIP au niveau du groupe.
[edit protocols rip group rip-group] user@R1# set export advertise-routes-through-rip
Activez BFD.
[edit protocols rip group rip-group] user@R1# set bfd-liveness-detection minimum-interval 600
Spécifiez l’algorithme (keyed-md5, keyed-sha-1, méticuleuse-clé-md5, méticuleuse-keyed-sha-1 ou simple-mot de passe) à utiliser.
Note:Le routage actif sans interruption n’est pas pris en charge avec les algorithmes d’authentification méticuleuse-clé-md5 et méticuleuse-clé-sha-1. Les sessions BFD utilisant ces algorithmes peuvent être en panne après une commutation.
[edit protocols rip group rip-group] user@R1# set bfd-liveness-detection authentication algorithm keyed-md5
Spécifiez le trousseau à utiliser pour associer les sessions BFD sur RIP aux attributs uniques d’authentification de sécurité.
Le trousseau que vous spécifiez doit correspondre à un nom de trousseau configuré au niveau de la
[edit security authentication key-chains]hiérarchie.L’algorithme et le keychain doivent être configurés aux deux extrémités de la session BFD, et ils doivent correspondre. Toute incompatibilité dans la configuration empêche la session BFD d’être créée.
[edit protocols rip group rip-group] user@R1# set bfd-liveness-detection authentication key-chain bfd-rip
(Facultatif) Spécifiez une vérification d’authentification libre si vous passez de sessions non authentifiées à des sessions authentifiées.
[edit protocols rip group rip-group] user@R1# set bfd-liveness-detection authentication loose-check
Spécifiez les informations d’authentification de sécurité uniques pour les sessions BFD :
Le nom du trousseau correspondant, comme spécifié à l’étape 7.
Au moins une clé, un nombre entier unique compris entre 0 et 63. La création de plusieurs clés permet à plusieurs clients d’utiliser la session BFD.
Les données secrètes utilisées pour permettre l’accès à la session.
Heure à laquelle la clé d’authentification devient active, au format yyyy-mm-dd.hh:mm:ss.
[edit security authentication-key-chains key-chain bfd-rip] user@R1# set key 53 secret $ABC123$ABC123 user@R1# set key 53 start-time "2012-2-16.12:00:00 -0800"
Configurez les opérations de traçage pour suivre l’authentification BFD.
[edit protocols bfd traceoptions] user@R1# set file bfd-trace user@R1# set flag all
Résultats
À partir du mode de configuration, confirmez votre configuration en entrant le show interfaces, show protocols, show policy-optionset les show security commandes. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
user@R1# show interfaces
fe-1/2/0 {
unit 1 {
family inet {
address 10.0.0.1/30;
}
}
}
user@R1# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
rip {
group rip-group {
export advertise-routes-through-rip;
bfd-liveness-detection {
minimum-interval 600;
}
neighbor fe-1/2/0.1;
}
}
user@R1# show policy-options
policy-statement advertise-routes-through-rip {
term 1 {
from protocol [ direct rip ];
then accept;
}
}
user@R1# show security
authentication-key-chains {
key-chain bfd-rip {
key 53 {
secret $ABC123$ABC123
start-time "2012-2-16.12:00:00 -0800";
}
}
}
Si vous avez fini de configurer l’équipement, saisissez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérifier que les sessions BFD sont authentifiées
- Consultation d’informations détaillées sur l’authentification BFD
- Vérification du fichier trace BFD
Vérifier que les sessions BFD sont authentifiées
But
Assurez-vous que les sessions BFD sont authentifiées.
Action
Depuis le mode opérationnel, saisissez la show bfd session detail commande.
user@R1> show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
10.0.0.2 Up fe-1/2/0.1 1.800 0.600 3
Client RIP, TX interval 0.600, RX interval 0.600, Authenticate
Session up time 01:39:34
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Logical system 6, routing table index 53
1 sessions, 1 clients
Cumulative transmit rate 1.7 pps, cumulative receive rate 1.7 pps
Sens
L’authentification s’affiche pour indiquer que l’authentification BFD est configurée.
Consultation d’informations détaillées sur l’authentification BFD
But
Consultez le nom de la chaîne de clés, l’algorithme et le mode d’authentification de chaque client de la session, ainsi que l’état de la configuration de l’authentification BFD.
Action
Depuis le mode opérationnel, saisissez la show bfd session extensive commande.
user@R1> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
10.0.0.2 Up fe-1/2/0.1 1.800 0.600 3
Client RIP, TX interval 0.600, RX interval 0.600, Authenticate
keychain bfd-rip, algo keyed-md5, mode loose
Session up time 01:46:29
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Logical system 6, routing table index 53
Min async interval 0.600, min slow interval 1.000
Adaptive async TX interval 0.600, RX interval 0.600
Local min TX interval 0.600, minimum RX interval 0.600, multiplier 3
Remote min TX interval 0.600, min RX interval 0.600, multiplier 3
Local discriminator 225, remote discriminator 226
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-rip, algo keyed-md5, mode loose
Session ID: 0x300501
1 sessions, 1 clients
Cumulative transmit rate 1.7 pps, cumulative receive rate 1.7 pps
Sens
Le résultat affiche le nom du trousseau, l’algorithme et le mode d’authentification du client dans la session, ainsi que l’état de la configuration de l’authentification BFD.
Vérification du fichier trace BFD
But
Utilisez les opérations de traçage pour vérifier que les paquets BFD sont échangés.
Action
Depuis le mode opérationnel, saisissez la show log commande.
user@R1> show log bfd-trace Feb 16 10:26:32 PPM Trace: BFD periodic xmit to 10.0.0.2 (IFL 124, rtbl 53, single-hop port) Feb 16 10:26:32 Received Downstream TraceMsg (24) len 86: Feb 16 10:26:32 IfIndex (3) len 4: 0 Feb 16 10:26:32 Protocol (1) len 1: BFD Feb 16 10:26:32 Data (9) len 61: (hex) 42 46 44 20 70 61 63 6b 65 74 20 66 72 6f 6d 20 31 30 2e Feb 16 10:26:32 PPM Trace: BFD packet from 10.0.0.1 (IFL 73, rtbl 56, ttl 255) absorbed Feb 16 10:26:32 Received Downstream TraceMsg (24) len 60: Feb 16 10:26:32 IfIndex (3) len 4: 0 Feb 16 10:26:32 Protocol (1) len 1: BFD Feb 16 10:26:32 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 6f ...
Sens
La sortie montre le fonctionnement normal de BFD.