Détection de transfert bidirectionnelle pour les routes statiques
Comprendre le BFD pour les routes statiques pour détecter plus rapidement les défaillances du réseau
Le protocole BFD (Bidirectional Forwarding Detection) est un mécanisme Hello simple qui détecte les défaillances d’un réseau. BFD fonctionne avec une grande variété d’environnements et de topologies réseau. Une paire de dispositifs de routage échange des paquets BFD. Les paquets Hello sont envoyés à un intervalle précis et régulier. Une défaillance de voisin est détectée lorsque le périphérique de routage cesse de recevoir une réponse après un intervalle spécifié. Les minuteries de détection de défaillance BFD ont des limites de temps plus courtes que les mécanismes de détection de défaillance de route statique, ce qui permet une détection plus rapide.
Les minuteries de détection de défaillance BFD peuvent être ajustées pour être plus rapides ou plus lentes. Plus la valeur du minuteur de détection de défaillance BFD est faible, plus la détection de défaillance est rapide et vice versa. Par exemple, les minuteries peuvent s’adapter à une valeur plus élevée si l’adjacence échoue (c’est-à-dire que la minuterie détecte les défaillances plus lentement). Ou un voisin peut négocier une valeur plus élevée pour un minuteur que la valeur configurée. Les minuteries s’adaptent à une valeur plus élevée lorsqu’un battement de session BFD se produit plus de trois fois en l’espace de 15 secondes. Un algorithme d’interruption augmente l’intervalle de réception (Rx) de deux si l’instance BFD locale est à l’origine de l’instabilité de session. L’intervalle de transmission (Tx) est augmenté de deux si l’instance BFD distante est la raison de l’instabilité de session. Vous pouvez utiliser la commande pour ramener les clear bfd adaptation minuteurs d’intervalle BFD à leurs valeurs configurées. La clear bfd adaptation commande est sans impact, ce qui signifie qu’elle n’affecte pas le flux de trafic sur l’équipement de routage.
Par défaut, BFD est pris en charge sur les routes statiques à saut unique.
Sur les équipements MX Series, le protocole BFD à sauts multiples n’est pas pris en charge sur une route statique si celle-ci est configurée avec plusieurs sauts suivants. Il est recommandé d’éviter d’utiliser plusieurs sauts suivants lorsqu’un BFD à sauts multiples est requis pour une route statique.
Pour activer la détection des défaillances, incluez l’instruction bfd-liveness-detection dans la configuration de la route statique.
La bfd-liveness-detection commande inclut le champ de description. Sur les appareils qui prennent en charge cette fonctionnalité, la description est un attribut sous l’objet bfd-liveness-detection . Ce champ s’applique uniquement aux routes statiques.
Le protocole BFD est pris en charge pour les routes statiques IPv6. Les adresses IPv6 unicast globales et locales sont prises en charge pour les routes statiques. Le protocole BFD n’est pas pris en charge sur les adresses IPv6 multicast ou anycast. Pour IPv6, le protocole BFD ne prend en charge que les routes statiques. IPv6 pour BFD est également pris en charge avec le protocole eBGP.
Pour configurer le protocole BFD pour les routes statiques IPv6, incluez l’instruction bfd-liveness-detection au niveau de la [edit routing-options rib inet6.0 static route destination-prefix] hiérarchie.
Vous pouvez configurer un intervalle d’attente pour spécifier combien de temps la session BFD doit rester active avant qu’une notification de changement d’état ne soit envoyée.
Pour spécifier l’intervalle de maintien, incluez l’instruction holddown-interval dans la configuration BFD. Vous pouvez configurer un nombre compris entre 0 et 255 000 millisecondes. La valeur par défaut est 0. Si la session BFD s’arrête puis remonte pendant l’intervalle de maintien, le chronomètre est redémarré.
Si une seule session BFD inclut plusieurs routes statiques, l’intervalle de maintien avec la valeur la plus élevée est utilisé.
Pour spécifier les intervalles de transmission et de réception minimaux pour la détection des défaillances, incluez l’instruction minimum-interval dans la configuration BFD.
Cette valeur représente à la fois l’intervalle minimal après lequel le périphérique de routage local transmet des paquets Hello et l’intervalle minimum après lequel le périphérique de routage s’attend à recevoir une réponse du voisin avec lequel il a établi une session BFD. Vous pouvez configurer un nombre compris entre 1 et 255 000 millisecondes. Si vous le souhaitez, au lieu d’utiliser cette instruction, vous pouvez configurer les intervalles minimum d’émission et de réception séparément à l’aide des instructions transmit-interval minimum-interval et minimum-receive-interval .
En fonction de votre environnement réseau, les recommandations supplémentaires suivantes peuvent s’appliquer :
-
L’intervalle minimal recommandé pour le BFD centralisé est de 300 ms avec un
multiplierde 3, et l’intervalle minimum recommandé pour le BFD distribué est de 100 ms avec unmultiplierde 3. -
Pour les déploiements réseau à très grande échelle avec un grand nombre de sessions BFD, contactez le support client de Juniper Networks pour plus d’informations.
-
Pour que les sessions BFD restent actives pendant un événement de basculement du moteur de routage lorsque le routage actif ininterrompu (NSR) est configuré, spécifiez un intervalle minimum de 2 500 ms pour les sessions basées sur le moteur de routage. Pour les sessions BFD distribuées sur lesquelles NSR est configuré, les recommandations d’intervalle minimum restent inchangées et dépendent uniquement de votre déploiement réseau.
Pour spécifier l’intervalle de réception minimal pour la détection des défaillances, incluez l’instruction minimum-receive-interval dans la configuration BFD. Cette valeur représente l’intervalle minimum après lequel le périphérique de routage s’attend à recevoir une réponse d’un voisin avec lequel il a établi une session BFD. Vous pouvez configurer un nombre compris entre 1 et 255 000 millisecondes. Si vous le souhaitez, au lieu d’utiliser cette instruction, vous pouvez configurer l’intervalle de réception minimal à l’aide de l’instruction minimum-interval au niveau de la [edit routing-options static route destination-prefix bfd-liveness-detection] hiérarchie.
Pour spécifier le nombre de paquets hello non reçus par le voisin qui entraîne la déclaration d’arrêt de l’interface d’origine, incluez l’instruction multiplier dans la configuration BFD. La valeur par défaut est 3. Vous pouvez configurer un nombre compris entre 1 et 255.
Pour spécifier un seuil de détection de l’adaptation du temps de détection, incluez l’instruction threshold dans la configuration BFD.
Lorsque le temps de détection de la session BFD s’adapte à une valeur égale ou supérieure au seuil, une interruption unique et un message de journal système sont envoyés. Le temps de détection est basé sur le multiplicateur de la valeur de l’intervalle minimum ou de l’intervalle minimum de réception . Le seuil doit être une valeur supérieure au multiplicateur de l’une ou l’autre de ces valeurs configurées. Par exemple, si l’intervalle de réception minimum est de 300 ms et que le multiplicateur est de 3, le temps de détection total est de 900 ms. Par conséquent, le seuil de temps de détection doit avoir une valeur supérieure à 900.
Pour spécifier l’intervalle de transmission minimal pour la détection des défaillances, incluez l’instruction transmit-interval minimum-interval dans la configuration BFD.
Cette valeur représente l’intervalle minimal après lequel le périphérique de routage local transmet des paquets Hello au voisin avec lequel il a établi une session BFD. Vous pouvez configurer une valeur comprise entre 1 et 255 000 millisecondes. Si vous le souhaitez, au lieu d’utiliser cette instruction, vous pouvez configurer l’intervalle de transmission minimal à l’aide de l’instruction minimum-interval au niveau de la [edit routing-options static route destination-prefix bfd-liveness-detection] hiérarchie.
Pour spécifier le seuil d’adaptation de l’intervalle de transmission, incluez l’instruction transmit-interval threshold dans la configuration BFD.
La valeur de seuil doit être supérieure à l’intervalle de transmission. Lorsque le temps de transmission de la session BFD s’adapte à une valeur supérieure au seuil, une interruption unique et un message de journal système sont envoyés. Le temps de détection est basé sur le multiplicateur de la valeur de l’intervalle minimum ou de l’instruction minimum-receive-interval au niveau de la [edit routing-options static route destination-prefix bfd-liveness-detection] hiérarchie. Le seuil doit être une valeur supérieure au multiplicateur de l’une ou l’autre de ces valeurs configurées.
Pour spécifier la version BFD, incluez l’instruction version dans la configuration BFD. Par défaut, la version est détectée automatiquement.
Pour inclure une adresse IP pour le saut suivant de la session BFD, incluez l’instruction neighbor dans la configuration BFD.
Vous devez configurer l’instruction neighbor si le saut suivant spécifié est un nom d’interface. Si vous spécifiez une adresse IP comme saut suivant, cette adresse est utilisée comme adresse voisine pour la session BFD.
Vous pouvez configurer les sessions BFD pour qu’elles ne s’adaptent pas aux conditions changeantes du réseau. Pour désactiver l’adaptation BFD, incluez l’instruction no-adaptation dans la configuration BFD.
Nous vous recommandons de ne pas désactiver l’adaptation BFD, sauf s’il est préférable de ne pas l’avoir dans votre réseau.
Si BFD n’est configuré qu’à une extrémité d’une route statique, la route est supprimée de la table de routage. BFD établit une session lorsque BFD est configuré aux deux extrémités de la route statique.
BFD n’est pas pris en charge sur les familles d’adresses ISO dans les routes statiques. BFD prend en charge IS-IS.
Si vous configurez GRES ( graceful moteur de routage switchover ) en même temps que BFD, GRES ne conserve pas les informations d’état BFD lors d’un basculement.
Exemple : configuration de BFD pour les routes statiques afin d’accélérer la détection des défaillances du réseau
Cet exemple montre comment configurer la détection de transfert bidirectionnelle (BFD) pour les routes statiques.
Exigences
Dans cet exemple, aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est requise.
Vue d’ensemble
Les applications des routes statiques sont nombreuses. Le routage statique est souvent utilisé à la périphérie du réseau pour prendre en charge l’attachement aux réseaux stub, qui, compte tenu de leur point d’entrée et de sortie unique, sont bien adaptés à la simplicité d’un routage statique. Dans Junos OS, les routes statiques ont une préférence globale de 5. Les routes statiques sont activées si le saut suivant spécifié est accessible.
Dans cet exemple, vous configurez la route statique 192.168.47.0/24 du réseau du fournisseur au réseau du client, à l’aide de l’adresse du saut suivant 172.16.1.2. Vous configurez également une route statique par défaut de 0.0.0.0/0 entre le réseau client et le réseau du fournisseur, à l’aide d’une adresse de saut suivant 172.16.1.1.
À des fins de démonstration, certaines interfaces de bouclage sont configurées sur les périphériques B et D. Ces interfaces de bouclage fournissent des adresses ping et vérifient ainsi que les routes statiques fonctionnent.
La figure 1 montre l’exemple de réseau.
Topologie
La configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans le CLI au niveau de la [edit] hiérarchie.
Équipement B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
Équipement D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
Procédure
Procédure étape par étape
L’exemple suivant nécessite que vous naviguiez à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour configurer BFD pour les routes statiques :
Sur l’équipement B, configurez les interfaces.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
Sur l’équipement B, créez une route statique et définissez l’adresse du saut suivant.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
Sur l’équipement B, configurez BFD pour la route statique.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
Sur l’équipement B, configurez les opérations de suivi pour BFD.
[edit protocols] user@B# set bfd traceoptions file bfd-trace user@B# set bfd traceoptions flag all
Si vous avez terminé de configurer l’équipement B, validez la configuration.
[edit] user@B# commit
Sur l’appareil D, configurez les interfaces.
[edit interfaces] user@D# set ge-1/2/0 unit 1 description D->B user@D# set ge-1/2/0 unit 1 family inet address 172.16.1.2/24 user@D# set lo0 unit 2 family inet address 192.168.47.5/32 user@D# set lo0 unit 2 family inet address 192.168.47.6/32
Sur l’appareil D, créez une route statique et définissez l’adresse du saut suivant.
[edit routing-options] user@D# set static route 0.0.0.0/0 next-hop 172.16.1.1
Sur l’appareil D, configurez BFD pour la route statique.
[edit routing-options] user@D# set static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000
Sur l’équipement D, configurez les opérations de suivi pour BFD.
[edit protocols] user@D# set bfd traceoptions file bfd-trace user@D# set bfd traceoptions flag all
Si vous avez terminé de configurer l’appareil D, validez la configuration.
[edit] user@D# commit
Résultats
Confirmez votre configuration en exécutant les show interfacescommandes , show protocolset . show routing-options Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Équipement B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@D# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
}
}
}
Équipement D
user@D# show interfaces
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
lo0 {
unit 2 {
family inet {
address 192.168.47.5/32;
address 192.168.47.6/32;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
next-hop 172.16.1.1;
bfd-liveness-detection {
description Site - xxx;
minimum-interval 1000;
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification que les sessions BFD sont actives
Objet
Vérifiez que les sessions BFD sont actives et affichez les détails des sessions BFD.
Mesures à prendre
À partir du mode opérationnel, entrez la show bfd session extensive commande.
user@B> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up lt-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000
Session up time 00:14:30
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 172
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 2, remote discriminator 1
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Le n’est description Site- <xxx> pris en charge que sur les pare-feu SRX Series.
Si chaque client a plusieurs champs de description, il affiche « et plus » avec le premier champ de description.
user@D> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.1 Up lt-1/2/0.1 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000
Session up time 00:14:35
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 170
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 1, remote discriminator 2
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Signification
La TX interval 1.000, RX interval 1.000 sortie représente le paramètre configuré avec l’instruction minimum-interval . Toutes les autres sorties représentent les paramètres par défaut de BFD. Pour modifier les paramètres par défaut, incluez les instructions facultatives sous l’instruction bfd-liveness-detection .
Affichage des événements BFD détaillés
Objet
Affichez le contenu du fichier de trace BFD pour faciliter le dépannage, si nécessaire.
Mesures à prendre
À partir du mode opérationnel, entrez la file show /var/log/bfd-trace commande.
user@B> file show /var/log/bfd-trace Nov 23 14:26:55 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 72 Nov 23 14:26:55 PPM Trace: BFD periodic xmit rt tbl index 172 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 108: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 83: (hex) 70 70 6d 64 5f 62 66 64 5f 73 65 6e 64 6d 73 67 20 3a 20 Nov 23 14:26:55 PPM Trace: ppmd_bfd_sendmsg : socket 12 len 24, ifl 78 src 172.16.1.1 dst 172.16.1.2 errno 65 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 93: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 68: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 74
Signification
Les messages BFD sont écrits dans le fichier de trace.
Comprendre l’authentification BFD pour la sécurité des routes statiques
La détection de transfert bidirectionnelle (BFD) permet de détecter rapidement les échecs de communication entre systèmes adjacents. Par défaut, l’authentification pour les sessions BFD est désactivée. Cependant, lorsque vous exécutez BFD sur des protocoles de la couche réseau, le risque d’attaques de service peut être important.
Nous vous recommandons fortement d’utiliser l’authentification si vous exécutez BFD sur plusieurs sauts ou via des tunnels non sécurisés.
À partir de Junos OS version 9.6, Junos OS prend en charge l’authentification pour les sessions BFD exécutées sur des routes statiques IPv4 et IPv6. L’authentification BFD n’est pas prise en charge sur les sessions OAM MPLS. L’authentification BFD n’est prise en charge que dans les versions canadienne et américaine de l’image de Junos OS et n’est pas disponible dans la version d’exportation.
L’EX3300 prend en charge BFD sur des routes statiques uniquement.
Vous authentifiez les sessions BFD en spécifiant un algorithme d’authentification et un trousseau, puis en associant ces informations de configuration à un trousseau d’authentification de sécurité à l’aide du nom du trousseau.
Les sections suivantes décrivent les algorithmes d’authentification, les trousseaux de sécurité et le niveau d’authentification configurés :
- Algorithmes d’authentification BFD
- Trousseaux d’authentification de sécurité
- Authentification stricte ou lâche
Algorithmes d’authentification BFD
Junos OS prend en charge les algorithmes suivants pour l’authentification BFD :
simple-password : mot de passe en texte brut. Un à 16 octets de texte brut sont utilisés pour authentifier la session BFD. Un ou plusieurs mots de passe peuvent être configurés. Cette méthode est la moins sûre et ne doit être utilisée que lorsque les sessions BFD ne sont pas sujettes à l’interception de paquets.
keyed-md5 : algorithme de hachage Keyed Message Digest 5 pour les sessions dont les intervalles d’émission et de réception sont supérieurs à 100 ms. Pour authentifier la session BFD, le MD5 à clé utilise une ou plusieurs clés secrètes (générées par l’algorithme) et un numéro de séquence mis à jour périodiquement. Avec cette méthode, les paquets sont acceptés à la fin de la session si l’une des clés correspond et que le numéro de séquence est supérieur ou égal au dernier numéro de séquence reçu. Bien que plus sûre qu’un simple mot de passe, cette méthode est vulnérable aux attaques par rejeu. Augmenter la vitesse à laquelle le numéro de séquence est mis à jour peut réduire ce risque.
meticulous-keyed-md5 : algorithme de hachage Message Digest 5 à clé méticuleuse. Cette méthode fonctionne de la même manière que MD5 à clé, mais le numéro de séquence est mis à jour à chaque paquet. Bien que plus sûre que le MD5 à clé et les mots de passe simples, cette méthode peut prendre plus de temps pour authentifier la session.
keyed-sha-1 : algorithme de hachage sécurisé à clé I pour les sessions dont les intervalles d’émission et de réception sont supérieurs à 100 ms. Pour authentifier la session BFD, le SHA à clé utilise une ou plusieurs clés secrètes (générées par l’algorithme) et un numéro de séquence mis à jour périodiquement. La clé n’est pas transportée dans les paquets. Avec cette méthode, les paquets sont acceptés à la fin de la session si l’une des clés correspond et que le numéro de séquence est supérieur au dernier numéro de séquence reçu.
meticulous-keyed-sha-1 : algorithme de hachage sécurisé à clé méticuleuse I. Cette méthode fonctionne de la même manière que le SHA à clé, mais le numéro de séquence est mis à jour à chaque paquet. Bien que plus sûre que le SHA à clé et les mots de passe simples, cette méthode peut prendre plus de temps pour authentifier la session.
Le routage actif ininterrompu (NSR) n’est pas pris en charge par les algorithmes d’authentification md5 et sha-1 à clé méticuleuse. Les sessions BFD utilisant ces algorithmes peuvent être interrompues après un basculement.
Les commutateurs QFX5000 Series et les commutateurs EX4600 ne prennent pas en charge les valeurs d’intervalle minimum de moins de 1 seconde.
Trousseaux d’authentification de sécurité
Le trousseau d’authentification de sécurité définit les attributs d’authentification utilisés pour les mises à jour de clé d’authentification. Lorsque le trousseau d’authentification de sécurité est configuré et associé à un protocole par le nom du trousseau, les mises à jour de la clé d’authentification peuvent se produire sans interrompre les protocoles de routage et de signalisation.
Le trousseau d’authentification contient un ou plusieurs trousseaux. Chaque trousseau contient une ou plusieurs clés. Chaque clé contient les données secrètes et l’heure à laquelle la clé devient valide. L’algorithme et le trousseau doivent être configurés aux deux extrémités de la session BFD et ils doivent correspondre. Toute incompatibilité dans la configuration empêche la création de la session BFD.
BFD autorise plusieurs clients par session, et chaque client peut avoir son propre trousseau et son propre algorithme définis. Pour éviter toute confusion, nous vous recommandons de spécifier un seul trousseau de clés d’authentification de sécurité.
Authentification stricte ou lâche
Par défaut, l’authentification stricte est activée et l’authentification est vérifiée aux deux extrémités de chaque session BFD. Si vous le souhaitez, pour faciliter la migration des sessions non authentifiées vers les sessions authentifiées, vous pouvez configurer la vérification lâche. Lorsque la vérification lâche est configurée, les paquets sont acceptés sans vérification de l’authentification à chaque extrémité de la session. Cette fonctionnalité est réservée aux périodes transitoires.
Exemple : configuration de l’authentification BFD pour sécuriser les routes statiques
Cet exemple montre comment configurer l’authentification BFD (Bidirectional Forwarding Detection) pour les routes statiques.
Exigences
Junos OS version 9.6 ou ultérieure (version canadienne et américaine).
L’authentification BFD n’est prise en charge que dans les versions canadienne et américaine de l’image de Junos OS et n’est pas disponible dans la version d’exportation.
Vue d’ensemble
Vous pouvez configurer l’authentification pour les sessions BFD exécutées sur des routes statiques IPv4 et IPv6. Les instances de routage et les systèmes logiques sont également pris en charge.
Les étapes suivantes sont nécessaires pour configurer l’authentification sur une session BFD :
Spécifiez l’algorithme d’authentification BFD pour la route statique.
Associez le trousseau d’authentification à la route statique.
Configurez le trousseau d’authentification de sécurité associé. Cela doit être configuré sur le routeur principal.
Nous vous recommandons de spécifier l’authentification lâche, en vérifiant si vous passez de sessions non authentifiées à des sessions authentifiées.
[edit] user@host> set routing-options static route ipv4 bfd-liveness-detection authentication loose-check
La figure 2 montre l’exemple de réseau.
Topologie
La configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans le CLI au niveau de la [edit] hiérarchie.
Équipement B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
Équipement D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
Procédure
Procédure étape par étape
L’exemple suivant nécessite que vous naviguiez à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans la CLI, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour configurer BFD pour les routes statiques :
Sur l’équipement B, configurez les interfaces.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
Sur l’équipement B, créez une route statique et définissez l’adresse du saut suivant.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
Sur l’équipement B, configurez BFD pour la route statique.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
Sur l’équipement B, spécifiez l’algorithme (keyed-md5, keyed-sha-1, meticulous-keyed-md5, meticulous-keyed-sha-1 ou simple-password) à utiliser pour l’authentification BFD sur la route statique.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1
Remarque :Le routage actif non-stop (NSR) n’est pas pris en charge avec les algorithmes d’authentification meticulous-key-md5 et meticulous-keyed-sha-1. Les sessions BFD utilisant ces algorithmes peuvent être interrompues après un basculement.
-
Sur l’appareil B, spécifiez le trousseau à utiliser pour associer les sessions BFD sur l’itinéraire spécifié aux attributs uniques du trousseau d’authentification de sécurité.
Cela doit correspondre au nom du trousseau configuré au niveau de la
[edit security authentication key-chains]hiérarchie.[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4
Sur l’équipement B, spécifiez les informations d’authentification de sécurité uniques pour les sessions BFD :
-
Nom du trousseau correspondant comme spécifié à l’étape 5.
Au moins une clé, un entier unique compris entre 0 et 63. La création de plusieurs clés permet à plusieurs clients d’utiliser la session BFD.
Données secrètes utilisées pour autoriser l’accès à la session.
Heure à laquelle la clé d’authentification devient active, au format yyyy-mm-dd.hh:mm:ss.
[edit security authentication-key-chains key-chain bfd-kc4] user@B# set key 5 secret "$ABC123$ABC123$ABC123" user@B# set key 5 start-time "2011-1-1.12:00:00 -0800"
-
Si vous avez terminé de configurer l’équipement B, validez la configuration.
[edit] user@B# commit
Répétez la configuration sur l’appareil D.
L’algorithme et le trousseau doivent être configurés aux deux extrémités de la session BFD et ils doivent correspondre. Toute incompatibilité dans la configuration empêche la création de la session BFD.
Résultats
Confirmez votre configuration en exécutant les show interfacescommandes , show routing-optionset . show security Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Équipement B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
authentication {
key-chain bfd-kc4;
algorithm keyed-sha-1;
}
}
}
}
user@B# show security
authentication-key-chains {
key-chain bfd-kc4 {
key 5 {
secret "$ABC123$ABC123$ABC123"; ## SECRET-DATA
start-time "2011-1-1.12:00:00 -0800";
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification que les sessions BFD sont actives
- Affichage des détails de la session BFD
- Affichage d’informations détaillées sur les sessions BFD
Vérification que les sessions BFD sont actives
Objet
Vérifiez que les sessions BFD sont terminées.
Mesures à prendre
À partir du mode opérationnel, entrez la show bfd session commande.
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Signification
La sortie de la commande indique que la session BFD est active.
Affichage des détails de la session BFD
Objet
Affichez les détails des sessions BFD et assurez-vous que l’authentification est configurée.
Mesures à prendre
À partir du mode opérationnel, entrez la show bfd session detail commande.
user@B> show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000, Authenticate
Session up time 00:53:58
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Signification
Dans la sortie de la commande, Authentifier s’affiche pour indiquer que l’authentification BFD est configurée.
Affichage d’informations détaillées sur les sessions BFD
Objet
Afficher des informations plus détaillées sur les sessions BFD.
Mesures à prendre
À partir du mode opérationnel, entrez la show bfd session extensive commande.
user@B> show bfd session extensive
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000, Authenticate
keychain bfd-kc4, algo keyed-sha-1, mode strict
Session up time 01:39:45
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 3, remote discriminator 4
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-kc4, algo keyed-sha-1, mode strict
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Signification
Dans la sortie de la commande, Authentifier s’affiche pour indiquer que l’authentification BFD est configurée. La sortie de la extensive commande fournit le nom du trousseau, l’algorithme d’authentification et le mode pour chaque client de la session.
Le n’est description Site- <xxx> pris en charge que sur les pare-feu SRX Series.
Si chaque client a plusieurs champs de description, il affiche « et plus » avec le premier champ de description.
Exemple : Activation de BFD sur les sauts suivants qualifiés dans les routes statiques pour la sélection de route
Cet exemple montre comment configurer une route statique avec plusieurs sauts suivants possibles. La détection de transfert bidirectionnelle (BFD) est activée sur chaque saut suivant.
Exigences
Dans cet exemple, aucune configuration spéciale au-delà de l’initialisation de l’équipement n’est requise.
Vue d’ensemble
Dans cet exemple, l’équipement B a la route statique 192.168.47.0/24 avec deux sauts suivants possibles. Les deux sauts suivants sont définis à l’aide de deux qualified-next-hop instructions. Le BFD est activé pour chaque saut suivant.
BFD est également activé sur l’appareil D, car BFD doit être activé aux deux extrémités de la connexion.
Un saut suivant est inclus dans la table de routage si la session BFD est active. Le saut suivant est supprimé de la table de routage si la session BFD est arrêtée.
Voir Figure 3.
suivants qualifiés
Topologie
La configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez-collez les commandes dans le CLI au niveau de la [edit] hiérarchie.
Équipement B
set interfaces fe-0/1/0 unit 2 description secondary-B->D set interfaces fe-0/1/0 unit 2 family inet address 192.168.2.1/24 set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set routing-options static route 192.168.47.0/24 qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 set routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
Équipement D
set interfaces fe-0/1/0 unit 3 description secondary-D->B set interfaces fe-0/1/0 unit 3 family inet address 192.168.2.2/24 set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set routing-options static route 0.0.0.0/0 qualified-next-hop 192.168.2.1 set routing-options static route 0.0.0.0/0 qualified-next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 60
Procédure étape par étape
L’exemple suivant nécessite que vous naviguiez à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur la procédure à suivre, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de la CLI de Junos OS.
Pour configurer une route statique avec deux sauts suivants possibles, tous deux avec BFD activé :
Sur l’équipement B, configurez les interfaces.
[edit interfaces fe-0/1/0] user@B# set unit 2 description secondary-B->D user@B# set unit 2 family inet address 192.168.2.1/24 [edit interfaces ge-1/2/0] user@B# set unit 0 description B->D user@B# set unit 0 family inet address 172.16.1.1/24
Sur l’équipement B, configurez la route statique avec deux sauts suivants, tous deux avec BFD activé.
[edit routing-options static route 192.168.47.0/24] user@B# set qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 user@B# set qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
Sur l’appareil D, configurez les interfaces.
[edit interfaces fe-0/1/0] user@D# set unit 3 description secondary-D->B user@D# set unit 3 family inet address 192.168.2.2/24 [edit interfaces ge-1/2/0] user@D# set unit 1 description D->B user@D# set unit 1 family inet address 172.16.1.2/24
Sur l’équipement D, configurez une route statique par défaut compatible BFD avec deux sauts suivants vers le réseau du fournisseur.
Dans ce cas, BFD est activé sur la route, et non sur les sauts suivants.
[edit routing-options static route 0.0.0.0/0] user@D# set qualified-next-hop 192.168.2.1 user@D# set qualified-next-hop 172.16.1.1 user@D# set bfd-liveness-detection minimum-interval 60
Résultats
Confirmez votre configuration en émettant les show interfaces commandes and show routing-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@B# show interfaces
fe-0/1/0 {
unit 2 {
description secondary-B->D;
family inet {
address 192.168.2.1/24;
}
}
}
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
qualified-next-hop 192.168.2.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
qualified-next-hop 172.16.1.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
}
}
user@D# show interfaces
fe-0/1/0 {
unit 3 {
description secondary-D->B;
family inet {
address 192.168.2.2/24;
}
}
}
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
qualified-next-hop 192.168.2.1;
qualified-next-hop 172.16.1.1;
bfd-liveness-detection {
minimum-interval 60;
}
}
}
Si vous avez terminé de configurer les appareils, entrez Valider à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des tables de routage
- Vérification des sessions BFD
- Suppression du BFD de l’équipement D
- Suppression de BFD d’un saut suivant
Vérification des tables de routage
Objet
Assurez-vous que la route statique apparaît dans la table de routage sur l’équipement B avec deux sauts suivants possibles.
Mesures à prendre
user@B> show route 192.168.47.0 extensive
inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)
192.168.47.0/24 (1 entry, 1 announced)
TSI:
KRT in-kernel 192.168.47.0/24 -> {192.168.2.2}
*Static Preference: 5
Next hop type: Router
Address: 0x9334010
Next-hop reference count: 1
Next hop: 172.16.1.2 via ge-1/2/0.0
Next hop: 192.168.2.2 via fe-0/1/0.2, selected
State: <Active Int Ext>
Age: 9
Task: RT
Announcement bits (1): 3-KRT
AS path: I
Signification
Les deux sauts suivants sont répertoriés. Le saut suivant 192.168.2.2 est l’itinéraire sélectionné.
Vérification des sessions BFD
Objet
Assurez-vous que les sessions BFD sont terminées.
Mesures à prendre
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 0.720 0.240 3
192.168.2.2 Up fe-0/1/0.2 0.720 0.240 3
2 sessions, 2 clients
Cumulative transmit rate 8.3 pps, cumulative receive rate 8.3 pps
Signification
Le résultat indique que les sessions BFD sont actives.
Suppression du BFD de l’équipement D
Objet
Démontrez ce qui se passe lorsque la session BFD est interrompue pour les deux sauts suivants.
Mesures à prendre
Désactivez BFD sur l’appareil D.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
Réexécutez la commande sur le
show bfd sessionpériphérique B.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 172.16.1.2 Down ge-1/2/0.0 3.000 1.000 3 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3 2 sessions, 2 clients Cumulative transmit rate 2.0 pps, cumulative receive rate 2.0 ppsRéexécutez la commande sur le
show route 192.168.47.0périphérique B.user@B> show route 192.168.47.0
Signification
Comme prévu, lorsque les sessions BFD sont arrêtées, la route statique est supprimée de la table de routage.
Suppression de BFD d’un saut suivant
Objet
Démontrez ce qui se passe lorsqu’un seul saut suivant a activé BFD.
Mesures à prendre
S’il n’est pas déjà désactivé, désactivez BFD sur l’appareil D.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
Désactivez BFD sur l’un des sauts suivants sur l’appareil B.
[edit routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2] user@B# deactivate bfd-liveness-detection user@B# commit
Réexécutez la commande sur le
show bfd sessionpériphérique B.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3Réexécutez la commande sur le
show route 192.168.47.0 extensivepériphérique B.user@B> show route 192.168.47.0 extensive inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) 192.168.47.0/24 (1 entry, 1 announced) TSI: KRT in-kernel 192.168.47.0/24 -> {172.16.1.2} *Static Preference: 5 Next hop type: Router, Next hop index: 624 Address: 0x92f0178 Next-hop reference count: 3 Next hop: 172.16.1.2 via ge-1/2/0.0, selected State: <Active Int Ext> Age: 2:36 Task: RT Announcement bits (1): 3-KRT AS path: I
Signification
Comme prévu, la session BFD est en baisse pour le saut suivant 192.168.2.2. Le saut suivant 172.16.1.2 reste dans la table de routage et la route reste active, car BFD n’est pas une condition pour que ce saut suivant reste valide.