Détection de transfert bidirectionnel pour les routes statiques
Comprendre le BFD pour les routes statiques afin d’accélérer la détection des défaillances du réseau
Le protocole BFD (Bidirectional Forwarding Detection) est un simple mécanisme hello qui détecte les défaillances dans un réseau. BFD fonctionne avec une grande variété d’environnements et de topologies réseau. Une paire de périphériques de routage échange des paquets BFD. Les paquets Hello sont envoyés à intervalles réguliers et spécifiés. Une défaillance de voisinage est détectée lorsque le périphérique de routage cesse de recevoir une réponse après un intervalle spécifié. Les temporisateurs de détection des défaillances BFD ont des limites de temps plus courtes que les mécanismes de détection des défaillances de route statique, ce qui leur permet une détection plus rapide.
Les minuteries de détection des défaillances BFD peuvent être ajustées pour être plus rapides ou plus lentes. Plus la valeur du minuteur de détection de défaillance BFD est faible, plus la détection de défaillance est rapide et vice versa. Par exemple, les temporisateurs peuvent s’adapter à une valeur plus élevée si la contiguïté échoue (c’est-à-dire que le minuteur détecte les échecs plus lentement). Ou un voisin peut négocier une valeur de minuterie supérieure à la valeur configurée. Les temporisateurs s’adaptent à une valeur plus élevée lorsqu’un battement de session BFD se produit plus de trois fois en l’espace de 15 secondes. Un algorithme d’interruption augmente l’intervalle de réception (Rx) de deux si l’instance BFD locale est à l’origine de l’interruption de session. L’intervalle de transmission (Tx) est augmenté de deux si l’instance BFD distante est à l’origine de l’interruption de session. Vous pouvez utiliser la clear bfd adaptation commande pour renvoyer les temporisateurs d’intervalle BFD à leurs valeurs configurées. La clear bfd adaptation commande est sans impact, ce qui signifie qu’elle n’affecte pas le flux de trafic sur le périphérique de routage.
Par défaut, BFD est pris en charge sur les routes statiques à saut unique.
Sur les équipements MX Series, le BFD à sauts multiples n’est pas pris en charge sur une route statique si celle-ci est configurée avec plusieurs sauts suivants. Il est recommandé d’éviter d’utiliser plusieurs sauts suivants lorsqu’un BFD à sauts multiples est requis pour une route statique.
Pour activer la détection des défaillances, incluez l’instruction bfd-liveness-detection dans la configuration de la route statique.
À partir de Junos OS version 15.1X49-D70 et de Junos OS version 17.3R1, la bfd-liveness-detection commande inclut le champ description. La description est un attribut sous l’objet et n’est prise en charge que sur les bfd-liveness-detection pare-feu SRX Series. Ce champ ne s’applique qu’aux itinéraires statiques.
Dans Junos OS version 9.1 et ultérieure, le protocole BFD est pris en charge pour les routes statiques IPv6. Les adresses IPv6 unicast globales et les adresses locales de liaison sont prises en charge pour les routes statiques. Le protocole BFD n’est pas pris en charge sur les adresses IPv6 multicast ou anycast. Pour IPv6, le protocole BFD prend uniquement en charge les routes statiques et uniquement dans Junos OS version 9.3 et ultérieure. IPv6 pour BFD est également pris en charge pour le protocole eBGP.
Pour configurer le protocole BFD pour les routes statiques IPv6, incluez l’instruction bfd-liveness-detection au niveau de la [edit routing-options rib inet6.0 static route destination-prefix] hiérarchie.
Dans Junos OS version 8.5 et ultérieure, vous pouvez configurer un intervalle d’attente pour spécifier la durée pendant laquelle la session BFD doit rester active avant qu’une notification de changement d’état ne soit envoyée.
Pour spécifier l’intervalle de maintien, incluez l’instruction holddown-interval dans la configuration BFD. Vous pouvez configurer un nombre compris entre 0 et 255 000 millisecondes. La valeur par défaut est 0. Si la session BFD tombe en panne puis remonte pendant l’intervalle de retenue, la minuterie est redémarrée.
Si une seule session BFD comprend plusieurs routes statiques, l’intervalle de maintien avec la valeur la plus élevée est utilisé.
Pour spécifier les intervalles de transmission et de réception minimaux pour la détection des défaillances, incluez l’instruction minimum-interval dans la configuration BFD.
Cette valeur représente à la fois l’intervalle minimum après lequel l’équipement de routage local transmet les paquets hello et l’intervalle minimum après lequel l’équipement de routage s’attend à recevoir une réponse du voisin avec lequel il a établi une session BFD. Vous pouvez configurer un nombre compris entre 1 et 255 000 millisecondes. Si vous le souhaitez, au lieu d’utiliser cette instruction, vous pouvez configurer séparément les intervalles minimum d’émission et de réception à l’aide des instructions transmit-interval minimum-interval and minimum-receive-interval (intervalle de transmission).
Les commutateurs EX4600 et QFX5000 Series exécutant Junos OS ou Junos OS Evolved ne prennent pas en charge les valeurs d’intervalle minimum inférieures à 1 seconde en mode centralisé et distribué.
BFD est un protocole intensif qui consomme des ressources système. La spécification d’un intervalle minimum pour BFD inférieur à 100 ms pour les sessions basées sur le moteur de routage et de 10 ms pour les sessions BFD distribuées peut entraîner des instabilités BFD indésirables.
En fonction de votre environnement réseau, les recommandations supplémentaires suivantes peuvent s’appliquer :
-
Pour les déploiements réseau à grande échelle avec un grand nombre de sessions BFD, spécifiez un intervalle minimum de 300 ms pour les sessions basées sur le moteur de routage et de 100 ms pour les sessions BFD distribuées.
-
Pour les déploiements réseau à très grande échelle avec un grand nombre de sessions BFD, contactez le support client Juniper Networks pour plus d’informations.
-
Pour que les sessions BFD restent actives lors d’un événement de basculement du moteur de routage lorsque le routage actif ininterrompu (NSR) est configuré, spécifiez un intervalle minimum de 2 500 ms pour les sessions basées sur le moteur de routage. Pour les sessions BFD distribuées pour lesquelles NSR est configuré, les recommandations relatives à l’intervalle minimal restent inchangées et dépendent uniquement du déploiement de votre réseau.
Pour spécifier l’intervalle de réception minimal pour la détection des défaillances, incluez l’instruction minimum-receive-interval dans la configuration BFD. Cette valeur représente l’intervalle minimum après lequel le périphérique de routage s’attend à recevoir une réponse d’un voisin avec lequel il a établi une session BFD. Vous pouvez configurer un nombre compris entre 1 et 255 000 millisecondes. Si vous le souhaitez, au lieu d’utiliser cette instruction, vous pouvez configurer l’intervalle de réception minimal à l’aide de l’instruction minimum-interval au niveau de la [edit routing-options static route destination-prefix bfd-liveness-detection] hiérarchie.
Pour spécifier le nombre de paquets hello non reçus par le voisin qui entraîne la déclaration inactive de l’interface d’origine, incluez l’instruction multiplier dans la configuration BFD. La valeur par défaut est 3. Vous pouvez configurer un nombre compris entre 1 et 255.
Pour spécifier un seuil de détection de l’adaptation du temps de détection, incluez l’instruction threshold dans la configuration BFD.
Lorsque le temps de détection de la session BFD s’adapte à une valeur égale ou supérieure au seuil, une interruption unique et un message de journal système sont envoyés. Le temps de détection est basé sur le multiplicateur de la valeur de l’intervalle minimum ou de l’intervalle de réception minimum . Le seuil doit être supérieur au multiplicateur pour l’une ou l’autre de ces valeurs configurées. Par exemple, si l’intervalle de réception minimum est de 300 ms et que le multiplicateur est de 3, le temps de détection total est de 900 ms. Par conséquent, le seuil de temps de détection doit avoir une valeur supérieure à 900.
Pour spécifier l’intervalle de transmission minimal pour la détection des défaillances, incluez l’instruction transmit-interval minimum-interval dans la configuration BFD.
Cette valeur représente l’intervalle minimal après lequel le périphérique de routage local transmet les paquets hello au voisin avec lequel il a établi une session BFD. Vous pouvez configurer une valeur comprise entre 1 et 255 000 millisecondes. Si vous le souhaitez, au lieu d’utiliser cette instruction, vous pouvez configurer l’intervalle de transmission minimal à l’aide de l’instruction minimum-interval au niveau de la [edit routing-options static route destination-prefix bfd-liveness-detection] hiérarchie.
Pour spécifier le seuil d’adaptation de l’intervalle de transmission, incluez l’instruction transmit-interval threshold dans la configuration BFD.
La valeur seuil doit être supérieure à l’intervalle de transmission. Lorsque le temps de transmission de la session BFD s’adapte à une valeur supérieure au seuil, une interruption unique et un message de journal système sont envoyés. Le temps de détection est basé sur le multiplicateur de la valeur de l’intervalle minimum ou de l’instruction minimum-receive-interval au niveau de la [edit routing-options static route destination-prefix bfd-liveness-detection] hiérarchie. Le seuil doit être supérieur au multiplicateur pour l’une ou l’autre de ces valeurs configurées.
Pour spécifier la version BFD, incluez l’instruction version dans la configuration BFD. Par défaut, la version est détectée automatiquement.
Pour inclure une adresse IP pour le saut suivant de la session BFD, incluez l’instruction neighbor dans la configuration BFD.
Vous devez configurer l’instruction neighbor si le saut suivant spécifié est un nom d’interface. Si vous spécifiez une adresse IP comme saut suivant, cette adresse est utilisée comme adresse de voisinage pour la session BFD.
Dans Junos OS version 9.0 et ultérieure, vous pouvez configurer les sessions BFD pour qu’elles ne s’adaptent pas à l’évolution des conditions du réseau. Pour désactiver l’adaptation BFD, incluez l’instruction no-adaptation dans la configuration BFD.
Nous vous recommandons de ne pas désactiver l’adaptation BFD, sauf s’il est préférable de ne pas l’avoir dans votre réseau.
Si BFD n’est configuré qu’à une extrémité d’un routage statique, celui-ci est supprimé de la table de routage. BFD établit une session lorsque BFD est configuré aux deux extrémités de la route statique.
BFD n’est pas pris en charge sur les familles d’adresses ISO dans les routes statiques. BFD prend en charge IS-IS.
Si vous configurez le basculement GRES (Graceful Moteur de routage Switchover ) en même temps que BFD, GRES ne conserve pas les informations d’état BFD lors d’un basculement.
Voir aussi
Exemple : configuration de BFD pour les routes statiques afin d’accélérer la détection des défaillances du réseau
Cet exemple montre comment configurer la détection de transfert bidirectionnel (BFD) pour les routes statiques.
Exigences
Dans cet exemple, aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise.
Aperçu
Il existe de nombreuses applications pratiques pour les routes statiques. Le routage statique est souvent utilisé à la périphérie du réseau pour prendre en charge le rattachement aux réseaux stub, qui, compte tenu de leur point d’entrée et de sortie unique, sont bien adaptés à la simplicité d’un itinéraire statique. Dans Junos OS, les routes statiques ont une préférence globale de 5. Les routes statiques sont activées si le saut suivant spécifié est accessible.
Dans cet exemple, vous configurez l’itinéraire statique 192.168.47.0/24 entre le réseau fournisseur et le réseau client, à l’aide de l’adresse de saut suivant 172.16.1.2. Vous configurez également un itinéraire statique par défaut de 0.0.0.0/0 entre le réseau client et le réseau du fournisseur, à l’aide d’une adresse de saut suivant 172.16.1.1.
À des fins de démonstration, certaines interfaces de bouclage sont configurées sur les appareils B et D. Ces interfaces de bouclage fournissent des adresses à ping et vérifient ainsi que les routes statiques fonctionnent.
La figure 1 illustre l’exemple de réseau.
Topologie
Configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
Dispositif B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
Dispositif D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
Procédure
Procédure étape par étape
L’exemple suivant nécessite que vous naviguiez à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer BFD pour les routes statiques :
Sur l’appareil B, configurez les interfaces.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
Sur l’appareil B, créez un itinéraire statique et définissez l’adresse du saut suivant.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
Sur l’équipement B, configurez BFD pour la route statique.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
Sur l’appareil B, configurez les opérations de suivi pour BFD.
[edit protocols] user@B# set bfd traceoptions file bfd-trace user@B# set bfd traceoptions flag all
Si vous avez terminé de configurer l’équipement B, validez la configuration.
[edit] user@B# commit
Sur l’appareil D, configurez les interfaces.
[edit interfaces] user@D# set ge-1/2/0 unit 1 description D->B user@D# set ge-1/2/0 unit 1 family inet address 172.16.1.2/24 user@D# set lo0 unit 2 family inet address 192.168.47.5/32 user@D# set lo0 unit 2 family inet address 192.168.47.6/32
Sur l’équipement D, créez une route statique et définissez l’adresse du saut suivant.
[edit routing-options] user@D# set static route 0.0.0.0/0 next-hop 172.16.1.1
Sur l’équipement D, configurez BFD pour la route statique.
[edit routing-options] user@D# set static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000
Sur l’équipement D, configurez les opérations de suivi pour BFD.
[edit protocols] user@D# set bfd traceoptions file bfd-trace user@D# set bfd traceoptions flag all
Si vous avez terminé de configurer l’équipement D, validez la configuration.
[edit] user@D# commit
Résultats
Confirmez votre configuration en exécutant les show interfacescommandes , show protocols, et show routing-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Dispositif B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@D# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
}
}
}
Dispositif D
user@D# show interfaces
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
lo0 {
unit 2 {
family inet {
address 192.168.47.5/32;
address 192.168.47.6/32;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
next-hop 172.16.1.1;
bfd-liveness-detection {
description Site - xxx;
minimum-interval 1000;
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
Vérification de l’activation des sessions BFD
But
Vérifiez que les sessions BFD sont actives et affichez les détails des sessions BFD.
Action
À partir du mode opérationnel, entrez la show bfd session extensive commande.
user@B> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up lt-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000
Session up time 00:14:30
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 172
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 2, remote discriminator 1
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Le n’est description Site- <xxx> pris en charge que sur les pare-feu SRX Series.
Si chaque client possède plusieurs champs de description, il affiche « et plus » avec le premier champ de description.
user@D> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.1 Up lt-1/2/0.1 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000
Session up time 00:14:35
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 170
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 1, remote discriminator 2
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Signification
La TX interval 1.000, RX interval 1.000 sortie représente le paramètre configuré avec l’instruction minimum-interval . Toutes les autres sorties représentent les paramètres par défaut de BFD. Pour modifier les paramètres par défaut, incluez les instructions facultatives sous l’instruction bfd-liveness-detection .
Affichage détaillé des événements BFD
But
Affichez le contenu du fichier de trace BFD pour faciliter le dépannage, si nécessaire.
Action
À partir du mode opérationnel, entrez la file show /var/log/bfd-trace commande.
user@B> file show /var/log/bfd-trace Nov 23 14:26:55 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 72 Nov 23 14:26:55 PPM Trace: BFD periodic xmit rt tbl index 172 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 108: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 83: (hex) 70 70 6d 64 5f 62 66 64 5f 73 65 6e 64 6d 73 67 20 3a 20 Nov 23 14:26:55 PPM Trace: ppmd_bfd_sendmsg : socket 12 len 24, ifl 78 src 172.16.1.1 dst 172.16.1.2 errno 65 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 93: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 68: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 74
Signification
Les messages BFD sont en cours d’écriture dans le fichier de trace.
Comprendre l’authentification BFD pour la sécurité des routes statiques
La détection de transfert bidirectionnel (BFD) permet de détecter rapidement les défaillances de communication entre des systèmes adjacents. Par défaut, l’authentification des sessions BFD est désactivée. Cependant, lorsque vous exécutez BFD sur des protocoles de couche réseau, le risque d’attaques de service peut être important.
Nous vous recommandons vivement d’utiliser l’authentification si vous exécutez BFD sur plusieurs sauts ou via des tunnels non sécurisés.
À partir de la version 9.6 de Junos OS, Junos OS prend en charge l’authentification pour les sessions BFD s’exécutant sur des routes statiques IPv4 et IPv6. L’authentification BFD n’est pas prise en charge sur les sessions MPLS OAM. L’authentification BFD n’est prise en charge que dans les versions Canada et États-Unis de l’image Junos OS et n’est pas disponible dans la version d’exportation.
L’EX3300 prend en charge BFD sur les routes statiques uniquement.
Vous authentifiez les sessions BFD en spécifiant un algorithme d’authentification et un trousseau de clés, puis en associant ces informations de configuration à un trousseau d’authentification de sécurité à l’aide du nom du trousseau.
Les sections suivantes décrivent les algorithmes d’authentification pris en charge, les trousseaux de sécurité et le niveau d’authentification pouvant être configuré :
- Algorithmes d’authentification BFD
- Porte-clés d’authentification de sécurité
- Authentification stricte et authentification lâche
Algorithmes d’authentification BFD
Junos OS prend en charge les algorithmes suivants pour l’authentification BFD :
simple-password : mot de passe en texte brut. Un à 16 octets de texte brut sont utilisés pour authentifier la session BFD. Un ou plusieurs mots de passe peuvent être configurés. Cette méthode est la moins sûre et ne doit être utilisée que lorsque les sessions BFD ne sont pas sujettes à l’interception de paquets.
keyed-md5 : algorithme de hachage Keyed Message Digest 5 pour les sessions dont les intervalles d’émission et de réception sont supérieurs à 100 ms. Pour authentifier la session BFD, MD5 avec clé utilise une ou plusieurs clés secrètes (générées par l’algorithme) et un numéro de séquence mis à jour régulièrement. Avec cette méthode, les paquets sont acceptés à la fin de la session de réception si l’une des clés correspond et si le numéro de séquence est supérieur ou égal au dernier numéro de séquence reçu. Bien que plus sûre qu’un simple mot de passe, cette méthode est vulnérable aux attaques par rejeu. L’augmentation de la vitesse de mise à jour du numéro de séquence peut réduire ce risque.
meticulous-keyed-md5 : algorithme de hachage Message Digest 5 à clé méticuleuse. Cette méthode fonctionne de la même manière que MD5 avec clé, mais le numéro de séquence est mis à jour à chaque paquet. Bien que plus sûre que MD5 à clé et les mots de passe simples, cette méthode peut prendre plus de temps pour authentifier la session.
keyed-sha-1 : algorithme de hachage sécurisé I à clé pour les sessions dont les intervalles d’émission et de réception sont supérieurs à 100 ms. Pour authentifier la session BFD, le SHA à clé utilise une ou plusieurs clés secrètes (générées par l’algorithme) et un numéro de séquence mis à jour périodiquement. La clé n’est pas transportée dans les paquets. Avec cette méthode, les paquets sont acceptés à l’extrémité réceptrice de la session si l’une des clés correspond et si le numéro de séquence est supérieur au dernier numéro de séquence reçu.
meticulous-keyed-sha-1 : algorithme de hachage sécurisé à clé méticuleuse I. Cette méthode fonctionne de la même manière que le SHA à clé, mais le numéro de séquence est mis à jour à chaque paquet. Bien qu’elle soit plus sûre que les SHA à clé et les mots de passe simples, cette méthode peut prendre plus de temps pour authentifier la session.
Le routage actif ininterrompu (NSR) n’est pas pris en charge par les algorithmes d’authentification méticuleusement clé-md5 et méticuleuse-cléclé-sha-1. Les sessions BFD utilisant ces algorithmes peuvent tomber en panne après un basculement.
Les commutateurs QFX5000 Series et EX4600 ne prennent pas en charge les valeurs d’intervalle minimum inférieures à 1 seconde.
Porte-clés d’authentification de sécurité
Le trousseau d’authentification de sécurité définit les attributs d’authentification utilisés pour les mises à jour de clé d’authentification. Lorsque le trousseau d’authentification de sécurité est configuré et associé à un protocole via son nom de trousseau, les mises à jour de la clé d’authentification peuvent avoir lieu sans interrompre les protocoles de routage et de signalisation.
Le trousseau d’authentification contient un ou plusieurs trousseaux de clés. Chaque trousseau contient une ou plusieurs clés. Chaque clé contient les données secrètes et l’heure à laquelle la clé devient valide. L’algorithme et le trousseau doivent être configurés aux deux extrémités de la session BFD et doivent correspondre. Toute incompatibilité de configuration empêche la création de la session BFD.
BFD autorise plusieurs clients par session, et chaque client peut avoir son propre trousseau et son propre algorithme définis. Pour éviter toute confusion, nous vous recommandons de ne spécifier qu’un seul trousseau d’authentification de sécurité.
Authentification stricte et authentification lâche
Par défaut, l’authentification stricte est activée et l’authentification est vérifiée aux deux extrémités de chaque session BFD. Si vous le souhaitez, pour faciliter la migration des sessions non authentifiées vers les sessions authentifiées, vous pouvez configurer la vérification libre. Lorsque le contrôle lâche est configuré, les paquets sont acceptés sans vérification de l’authentification à chaque extrémité de la session. Cette fonctionnalité n’est destinée qu’aux périodes de transition.
Exemple : Configuration de l’authentification BFD pour la sécurisation des routes statiques
Cet exemple montre comment configurer l’authentification BFD (détection de transfert bidirectionnel) pour les routes statiques.
Exigences
Junos OS version 9.6 ou ultérieure (version canadienne et américaine).
L’authentification BFD n’est prise en charge que dans les versions Canada et États-Unis de l’image Junos OS et n’est pas disponible dans la version d’exportation.
Aperçu
Vous pouvez configurer l’authentification pour les sessions BFD s’exécutant sur des routes statiques IPv4 et IPv6. Les instances de routage et les systèmes logiques sont également pris en charge.
Les étapes suivantes sont nécessaires pour configurer l’authentification sur une session BFD :
Spécifiez l’algorithme d’authentification BFD pour la route statique.
Associez le trousseau d’authentification à la route statique.
Configurez le trousseau d’authentification de sécurité associé. Celui-ci doit être configuré sur le routeur principal.
Nous vous recommandons de spécifier une vérification de l’authentification libre si vous passez de sessions non authentifiées à des sessions authentifiées.
[edit] user@host> set routing-options static route ipv4 bfd-liveness-detection authentication loose-check
La figure 2 illustre l’exemple de réseau.
Topologie
Configuration
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
Dispositif B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
Dispositif D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
Procédure
Procédure étape par étape
L’exemple suivant nécessite que vous naviguiez à différents niveaux dans la hiérarchie de configuration. Pour plus d’informations sur la navigation dans l’interface de ligne de commande, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer BFD pour les routes statiques :
Sur l’appareil B, configurez les interfaces.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
Sur l’appareil B, créez un itinéraire statique et définissez l’adresse du saut suivant.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
Sur l’équipement B, configurez BFD pour la route statique.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
Sur l’équipement B, spécifiez l’algorithme (keyed-md5, keyed-sha-1, meticulous-keyed-md5, meticulous-keyed-sha-1 ou simple-password) à utiliser pour l’authentification BFD sur la route statique.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1
Note:Le routage actif ininterrompu (NSR) n’est pas pris en charge avec les algorithmes d’authentification méticuleuse-clé-md5 et méticuleuse-cléclé-sha-1. Les sessions BFD utilisant ces algorithmes peuvent tomber en panne après un basculement.
-
Sur l’appareil B, spécifiez le trousseau à utiliser pour associer les sessions BFD sur l’itinéraire spécifié avec les attributs uniques de trousseau d’authentification de sécurité.
Celui-ci doit correspondre au nom du trousseau configuré au niveau de la
[edit security authentication key-chains]hiérarchie.[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4
Sur l’appareil B, spécifiez les informations d’authentification de sécurité uniques pour les sessions BFD :
-
Nom du trousseau correspondant, comme spécifié à l’étape 5.
Au moins une clé, un entier unique compris entre 0 et 63. La création de plusieurs clés permet à plusieurs clients d’utiliser la session BFD.
Données secrètes utilisées pour autoriser l’accès à la session.
Heure à laquelle la clé d’authentification devient active, au format yyyy-mm-dd.hh:mm:ss.
[edit security authentication-key-chains key-chain bfd-kc4] user@B# set key 5 secret "$ABC123$ABC123$ABC123" user@B# set key 5 start-time "2011-1-1.12:00:00 -0800"
-
Si vous avez terminé de configurer l’équipement B, validez la configuration.
[edit] user@B# commit
Répétez la configuration sur l’appareil D.
L’algorithme et le trousseau doivent être configurés aux deux extrémités de la session BFD et doivent correspondre. Toute incompatibilité de configuration empêche la création de la session BFD.
Résultats
Confirmez votre configuration en exécutant les show interfacescommandes , show routing-options, et show security . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Dispositif B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
authentication {
key-chain bfd-kc4;
algorithm keyed-sha-1;
}
}
}
}
user@B# show security
authentication-key-chains {
key-chain bfd-kc4 {
key 5 {
secret "$ABC123$ABC123$ABC123"; ## SECRET-DATA
start-time "2011-1-1.12:00:00 -0800";
}
}
}
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification de l’activation des sessions BFD
- Affichage des détails de la session BFD
- Affichage d’informations détaillées sur les sessions BFD
Vérification de l’activation des sessions BFD
But
Vérifiez que les sessions BFD sont actives.
Action
À partir du mode opérationnel, entrez la show bfd session commande.
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Signification
La sortie de la commande indique que la session BFD est active.
Affichage des détails de la session BFD
But
Affichez les détails des sessions BFD et assurez-vous que l’authentification est configurée.
Action
À partir du mode opérationnel, entrez la show bfd session detail commande.
user@B> show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000, Authenticate
Session up time 00:53:58
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Signification
Dans la sortie de la commande, Authenticate (Authentifier ) s’affiche pour indiquer que l’authentification BFD est configurée.
Affichage d’informations détaillées sur les sessions BFD
But
Affichez des informations plus détaillées sur les sessions BFD.
Action
À partir du mode opérationnel, entrez la show bfd session extensive commande.
user@B> show bfd session extensive
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000, Authenticate
keychain bfd-kc4, algo keyed-sha-1, mode strict
Session up time 01:39:45
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 3, remote discriminator 4
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-kc4, algo keyed-sha-1, mode strict
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Signification
Dans la sortie de la commande, Authenticate (Authentifier ) s’affiche pour indiquer que l’authentification BFD est configurée. La sortie de la extensive commande fournit le nom du trousseau, l’algorithme d’authentification et le mode pour chaque client de la session.
Le n’est description Site- <xxx> pris en charge que sur les pare-feu SRX Series.
Si chaque client possède plusieurs champs de description, il affiche « et plus » avec le premier champ de description.
Exemple : Activation de BFD sur les sauts suivants qualifiés dans les routes statiques pour la sélection de route
Cet exemple montre comment configurer un itinéraire statique avec plusieurs sauts suivants possibles. La détection de transfert bidirectionnel (BFD) est activée à chaque saut suivant.
Exigences
Dans cet exemple, aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise.
Aperçu
Dans cet exemple, l’équipement B a la route statique 192.168.47.0/24 avec deux sauts suivants possibles. Les deux sauts suivants sont définis à l’aide de deux qualified-next-hop instructions. Le BFD est activé pour chaque saut suivant.
BFD est également activé sur l’appareil D, car BFD doit être activé aux deux extrémités de la connexion.
Un saut suivant est inclus dans la table de routage si la session BFD est active. Le saut suivant est supprimé de la table de routage si la session BFD est inactive.
suivants qualifiés
Topologie
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, puis copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie.
Dispositif B
set interfaces fe-0/1/0 unit 2 description secondary-B->D set interfaces fe-0/1/0 unit 2 family inet address 192.168.2.1/24 set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set routing-options static route 192.168.47.0/24 qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 set routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
Dispositif D
set interfaces fe-0/1/0 unit 3 description secondary-D->B set interfaces fe-0/1/0 unit 3 family inet address 192.168.2.2/24 set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set routing-options static route 0.0.0.0/0 qualified-next-hop 192.168.2.1 set routing-options static route 0.0.0.0/0 qualified-next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 60
Procédure étape par étape
L’exemple suivant nécessite que vous naviguiez à différents niveaux dans la hiérarchie de configuration. Pour obtenir des instructions sur cette procédure, reportez-vous à la section Utilisation de l’éditeur CLI en mode configuration dans le Guide de l’utilisateur de l’interface de ligne de commande Junos OS.
Pour configurer un itinéraire statique avec deux sauts suivants possibles, tous deux avec BFD activé :
Sur l’appareil B, configurez les interfaces.
[edit interfaces fe-0/1/0] user@B# set unit 2 description secondary-B->D user@B# set unit 2 family inet address 192.168.2.1/24 [edit interfaces ge-1/2/0] user@B# set unit 0 description B->D user@B# set unit 0 family inet address 172.16.1.1/24
Sur l’équipement B, configurez l’itinéraire statique avec deux sauts suivants, tous deux avec BFD activé.
[edit routing-options static route 192.168.47.0/24] user@B# set qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 user@B# set qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
Sur l’appareil D, configurez les interfaces.
[edit interfaces fe-0/1/0] user@D# set unit 3 description secondary-D->B user@D# set unit 3 family inet address 192.168.2.2/24 [edit interfaces ge-1/2/0] user@D# set unit 1 description D->B user@D# set unit 1 family inet address 172.16.1.2/24
Sur l’appareil D, configurez une route statique par défaut compatible BFD avec deux sauts suivants vers le réseau du fournisseur.
Dans ce cas, BFD est activé sur l’itinéraire, et non sur les sauts suivants.
[edit routing-options static route 0.0.0.0/0] user@D# set qualified-next-hop 192.168.2.1 user@D# set qualified-next-hop 172.16.1.1 user@D# set bfd-liveness-detection minimum-interval 60
Résultats
Confirmez votre configuration en exécutant les show interfaces commandes and show routing-options . Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
user@B# show interfaces
fe-0/1/0 {
unit 2 {
description secondary-B->D;
family inet {
address 192.168.2.1/24;
}
}
}
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
qualified-next-hop 192.168.2.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
qualified-next-hop 172.16.1.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
}
}
user@D# show interfaces
fe-0/1/0 {
unit 3 {
description secondary-D->B;
family inet {
address 192.168.2.2/24;
}
}
}
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
qualified-next-hop 192.168.2.1;
qualified-next-hop 172.16.1.1;
bfd-liveness-detection {
minimum-interval 60;
}
}
}
Si vous avez terminé de configurer les périphériques, entrez commit à partir du mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
- Vérification des tables de routage
- Vérification des sessions BFD
- Suppression de BFD de l’appareil D
- Suppression de BFD à partir d’un saut suivant
Vérification des tables de routage
But
Assurez-vous que la route statique apparaît dans la table de routage de l’équipement B avec deux prochains sauts possibles.
Action
user@B> show route 192.168.47.0 extensive
inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)
192.168.47.0/24 (1 entry, 1 announced)
TSI:
KRT in-kernel 192.168.47.0/24 -> {192.168.2.2}
*Static Preference: 5
Next hop type: Router
Address: 0x9334010
Next-hop reference count: 1
Next hop: 172.16.1.2 via ge-1/2/0.0
Next hop: 192.168.2.2 via fe-0/1/0.2, selected
State: <Active Int Ext>
Age: 9
Task: RT
Announcement bits (1): 3-KRT
AS path: I
Signification
Les deux sauts suivants sont répertoriés. Le saut suivant 192.168.2.2 est l’itinéraire sélectionné.
Vérification des sessions BFD
But
Assurez-vous que les sessions BFD sont activées.
Action
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 0.720 0.240 3
192.168.2.2 Up fe-0/1/0.2 0.720 0.240 3
2 sessions, 2 clients
Cumulative transmit rate 8.3 pps, cumulative receive rate 8.3 pps
Signification
La sortie indique que les sessions BFD sont actives.
Suppression de BFD de l’appareil D
But
Démontrez ce qui se passe lorsque la session BFD est interrompue pour les deux sauts suivants.
Action
Désactivez BFD sur l’appareil D.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
Réexécutez la commande sur l’appareil
show bfd sessionB.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 172.16.1.2 Down ge-1/2/0.0 3.000 1.000 3 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3 2 sessions, 2 clients Cumulative transmit rate 2.0 pps, cumulative receive rate 2.0 ppsRéexécutez la commande sur l’appareil
show route 192.168.47.0B.user@B> show route 192.168.47.0
Signification
Comme prévu, lorsque les sessions BFD sont inactives, la route statique est supprimée de la table de routage.
Suppression de BFD à partir d’un saut suivant
But
Démontrez ce qui se passe lorsque BFD est activé pour un seul saut suivant.
Action
S’il n’est pas déjà désactivé, désactivez BFD sur l’appareil D.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
Désactivez BFD sur l’un des sauts suivants sur l’appareil B.
[edit routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2] user@B# deactivate bfd-liveness-detection user@B# commit
Réexécutez la commande sur l’appareil
show bfd sessionB.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3Réexécutez la commande sur l’appareil
show route 192.168.47.0 extensiveB.user@B> show route 192.168.47.0 extensive inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) 192.168.47.0/24 (1 entry, 1 announced) TSI: KRT in-kernel 192.168.47.0/24 -> {172.16.1.2} *Static Preference: 5 Next hop type: Router, Next hop index: 624 Address: 0x92f0178 Next-hop reference count: 3 Next hop: 172.16.1.2 via ge-1/2/0.0, selected State: <Active Int Ext> Age: 2:36 Task: RT Announcement bits (1): 3-KRT AS path: I
Signification
Comme prévu, la session BFD est en panne pour le saut suivant 192.168.2.2. Le saut suivant 172.16.1.2 reste dans la table de routage et le routage reste actif, car BFD n’est pas une condition pour que ce prochain saut reste valide.
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.
bfd-liveness-detection commande inclut le champ description. La description est un attribut sous l’objet et n’est prise en charge que sur les
bfd-liveness-detection pare-feu SRX Series. Ce champ ne s’applique qu’aux itinéraires statiques.