BGP セッション向け BFD
BGP向けBFDについて
BFD(Bidirectional Forwarding Detection)プロトコルは、ネットワークの障害を検出するシンプルなhelloメカニズムです。Hello パケットは、指定された一定の間隔で送信されます。ルーティング・デバイスが一定時間経過した後に応答を受信しなくなった場合、ネイバー障害が検出されます。BFDは、さまざまなネットワーク環境やトポロジーで動作します。BFDの障害検出タイマーは、BGPのデフォルトの障害検出メカニズムよりも時間制限が短いので、迅速な検出を提供します。
同じデバイスでBGPのBFDとグレースフルリスタートの両方を設定することは、逆効果です。インターフェイスがダウンすると、BFDはこれを即座に検出し、トラフィック転送を停止し、BGPセッションはダウンしますが、グレースフルリスタートはインターフェイス障害にもかかわらずトラフィックを転送しますが、この動作はネットワークの問題を引き起こす可能性があります。そのため、BFDとグレースフルリスタートの両方を同じデバイスに設定することは推奨しません。
EX4600スイッチは、1秒未満の最小間隔値をサポートしていません。
QFX5110、QFX5120、QFX5200、QFX5210スイッチは、マルチホップ双方向フォワーディング検出(BFD)インラインキープアライブサポートをサポートしており、セッションを1秒未満で設定できます。パフォーマンスはシステムの負荷によって異なります。10個のインラインBFDセッションがサポートされており、150 x 3ミリ秒のタイマーで設定できます。シングルホップセッションもサポートされています。
BFD障害検出タイマーは、より速く、または遅く調整することができます。BFD障害検出タイマー値が低いほど、障害検知が速くなり、その逆も速くなります。例えば、隣接関係に障害が発生した場合(つまり、タイマーがより遅く障害を検出する)場合、タイマーはより高い値に適応できます。または、ネイバーは、設定された値よりも高い値をタイマーでネゴシエートできます。BFDセッションフラップが15秒(15000ミリ秒)のスパンで3回以上発生すると、タイマーはより高い値に適応します。バックオフ アルゴリズムは、ローカル BFD インスタンスがセッション フラップの原因である場合、受信(Rx)の間隔を 2 つ増やします。リモートBFDインスタンスがセッションフラップの原因である場合、送信(Tx)の間隔が2つ増加します。コマンドを clear bfd adaptation 使用して、BFD間隔タイマーを設定された値に戻すことができます。コマンドは clear bfd adaptation ヒットレスであるため、コマンドがルーティング デバイス上のトラフィック フローに影響を与えることはありません。
すべての SRX シリーズ デバイスでは、CPU 集中型コマンドや SNMP ウォークなどの理由でトリガーされた CPU 使用率が高い場合、BFD プロトコルは大規模な BGP アップデートを処理しながらフラップします。(プラットフォームのサポートは、インストールされている Junos OS リリースによって異なります)。
Junos OSリリース15.1X49-D100、SRX340、SRX345、およびSRX1500デバイスは、専用のBFDをサポートしています。
Junos OSリリース15.1X49-D100以降、SRX300およびSRX320デバイスはリアルタイムBFDをサポートしています。
Junos OSリリース15.1X49-D110以降、SRX550Mデバイスは専用のBFDをサポートしています。
Junos OSリリース8.3以降では、BFDは、内部BGP(IBGP)およびマルチホップ外部BGP(EBGP)セッション、およびシングルホップEBGPセッションでサポートされています。Junos OS リリース 9.1~Junos OS リリース 11.1 では、BFD はスタティック ルートでのみ IPv6 インターフェイスをサポートします。Junos OSリリース11.2以降では、BFDはBGPとのIPv6インターフェイスをサポートしています。
関連項目
例:内部 BGP ピア セッションでの BFD の設定
この例では、BFD(Bidirectional Forwarding Detection)プロトコルで内部 BGP(IBGP)ピア セッションを設定して、ネットワークの障害を検出する方法を示します。
要件
この例を設定する前に、デバイスの初期化以外の特別な設定は必要ありません。
概要
IBGPセッションでBFDを有効にする最小設定は、BFDセッションに参加するすべてのネイバーのBGP設定に ステートメントを含 bfd-liveness-detection minimum-interval めるということです。ステートメントは minimum-interval 、障害検出のための最小の送信間隔と受信間隔を指定します。具体的には、この値は、ローカルルーティングデバイスがHelloパケットを送信する最小間隔と、ルーティングデバイスがBFDセッションを確立したネイバーからの応答を受信すると予想される最小間隔を表します。1~255,000ミリ秒の値を設定できます。
オプションで、 および minimum-receive-interval ステートメントを使用して、最小の送受信間隔をtransmit-interval minimum-interval個別に指定できます。これらのおよび他のオプションの BFD 設定ステートメントについては、 を参照してください bfd-liveness-detection。
BFDは、システムリソースを消費する集中的なプロトコルです。ルーティング エンジンベースのセッションで BFD の最小間隔を 100 ミリ秒未満に指定し、分散 BFD セッションに 10 ミリ秒未満を指定すると、望ましくない BFD フラッピングが発生する可能性があります。
ネットワーク環境によっては、以下のような追加の推奨事項が適用される場合があります。
一般的なルーティングエンジンスイッチオーバーイベント中のBFDフラッピングを防ぐために、ルーティングエンジンベースのセッションに5000ミリ秒の最小間隔を指定します。この最小値は、一般的なルーティング エンジン スイッチオーバー イベント中に、RPD、MIBD、SNMPD などのプロセスが CPU リソースを指定したしきい値を超えて利用するためです。したがって、BFDの処理とスケジューリングは、CPUリソースが不足しているため影響を受けます。
デュアルシャーシクラスタ制御リンクシナリオでBFDセッションが稼働し続ける場合、最初の制御リンクに障害が発生した場合、6000ミリ秒の最小間隔を指定して、ルーティングエンジンベースのセッションのセカンダリノードでLACPがフラッピングするのを防ぎます。
BFDセッション数が多い大規模なネットワークを展開する場合、ルーティングエンジンベースのセッションには300ミリ秒、分散BFDセッションには100ミリ秒の最小間隔を指定します。
BFDセッション数が多い大規模ネットワークの導入については、ジュニパーネットワークスのカスタマーサポートにお問い合わせください。
ノンストップアクティブルーティング(NSR)が設定されている場合に、ルーティングエンジンスイッチオーバーイベント中にBFDセッションが立ち上がり続けるには、ルーティングエンジンベースのセッションに2500ミリ秒の最小間隔を指定します。NSR が設定された分散 BFD セッションの場合、最小間隔の推奨事項は変更されず、ネットワーク導入にのみ依存します。
BFDは、デフォルトのルーティングインスタンス(メインルーター)、ルーティングインスタンス、論理システムでサポートされています。この例では、論理システム上の BFD を示しています。
図 1 は、内部ピアセッションを持つ典型的なネットワークを示しています。
設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの CLI [edit] にコピー アンド ペーストします。
デバイスA
set logical-systems A interfaces lt-1/2/0 unit 1 description to-B set logical-systems A interfaces lt-1/2/0 unit 1 encapsulation ethernet set logical-systems A interfaces lt-1/2/0 unit 1 peer-unit 2 set logical-systems A interfaces lt-1/2/0 unit 1 family inet address 10.10.10.1/30 set logical-systems A interfaces lo0 unit 1 family inet address 192.168.6.5/32 set logical-systems A protocols bgp group internal-peers type internal set logical-systems A protocols bgp group internal-peers traceoptions file bgp-bfd set logical-systems A protocols bgp group internal-peers traceoptions flag bfd detail set logical-systems A protocols bgp group internal-peers local-address 192.168.6.5 set logical-systems A protocols bgp group internal-peers export send-direct set logical-systems A protocols bgp group internal-peers bfd-liveness-detection minimum-interval 1000 set logical-systems A protocols bgp group internal-peers neighbor 192.163.6.4 set logical-systems A protocols bgp group internal-peers neighbor 192.168.40.4 set logical-systems A protocols ospf area 0.0.0.0 interface lo0.1 passive set logical-systems A protocols ospf area 0.0.0.0 interface lt-1/2/0.1 set logical-systems A policy-options policy-statement send-direct term 2 from protocol direct set logical-systems A policy-options policy-statement send-direct term 2 then accept set logical-systems A routing-options router-id 192.168.6.5 set logical-systems A routing-options autonomous-system 17
デバイスB
set logical-systems B interfaces lt-1/2/0 unit 2 description to-A set logical-systems B interfaces lt-1/2/0 unit 2 encapsulation ethernet set logical-systems B interfaces lt-1/2/0 unit 2 peer-unit 1 set logical-systems B interfaces lt-1/2/0 unit 2 family inet address 10.10.10.2/30 set logical-systems B interfaces lt-1/2/0 unit 5 description to-C set logical-systems B interfaces lt-1/2/0 unit 5 encapsulation ethernet set logical-systems B interfaces lt-1/2/0 unit 5 peer-unit 6 set logical-systems B interfaces lt-1/2/0 unit 5 family inet address 10.10.10.5/30 set logical-systems B interfaces lo0 unit 2 family inet address 192.163.6.4/32 set logical-systems B protocols bgp group internal-peers type internal set logical-systems B protocols bgp group internal-peers local-address 192.163.6.4 set logical-systems B protocols bgp group internal-peers export send-direct set logical-systems B protocols bgp group internal-peers bfd-liveness-detection minimum-interval 1000 set logical-systems B protocols bgp group internal-peers neighbor 192.168.40.4 set logical-systems B protocols bgp group internal-peers neighbor 192.168.6.5 set logical-systems B protocols ospf area 0.0.0.0 interface lo0.2 passive set logical-systems B protocols ospf area 0.0.0.0 interface lt-1/2/0.2 set logical-systems B protocols ospf area 0.0.0.0 interface lt-1/2/0.5 set logical-systems B policy-options policy-statement send-direct term 2 from protocol direct set logical-systems B policy-options policy-statement send-direct term 2 then accept set logical-systems B routing-options router-id 192.163.6.4 set logical-systems B routing-options autonomous-system 17
デバイスC
set logical-systems C interfaces lt-1/2/0 unit 6 description to-B set logical-systems C interfaces lt-1/2/0 unit 6 encapsulation ethernet set logical-systems C interfaces lt-1/2/0 unit 6 peer-unit 5 set logical-systems C interfaces lt-1/2/0 unit 6 family inet address 10.10.10.6/30 set logical-systems C interfaces lo0 unit 3 family inet address 192.168.40.4/32 set logical-systems C protocols bgp group internal-peers type internal set logical-systems C protocols bgp group internal-peers local-address 192.168.40.4 set logical-systems C protocols bgp group internal-peers export send-direct set logical-systems C protocols bgp group internal-peers bfd-liveness-detection minimum-interval 1000 set logical-systems C protocols bgp group internal-peers neighbor 192.163.6.4 set logical-systems C protocols bgp group internal-peers neighbor 192.168.6.5 set logical-systems C protocols ospf area 0.0.0.0 interface lo0.3 passive set logical-systems C protocols ospf area 0.0.0.0 interface lt-1/2/0.6 set logical-systems C policy-options policy-statement send-direct term 2 from protocol direct set logical-systems C policy-options policy-statement send-direct term 2 then accept set logical-systems C routing-options router-id 192.168.40.4 set logical-systems C routing-options autonomous-system 17
デバイスAの設定
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
デバイスAを設定するには:
CLI を論理システム A に設定します。
user@host> set cli logical-system A
インターフェイスを設定します。
[edit interfaces lt-1/2/0 unit 1] user@host:A# set description to-B user@host:A# set encapsulation ethernet user@host:A# set peer-unit 2 user@host:A# set family inet address 10.10.10.1/30 [edit interfaces lo0 unit 1] user@host:A# set family inet address 192.168.6.5/32
BGPを設定します。
neighbor機器Aが機器Cに直接接続されていないにもかかわらず、機器Bと機器Cの両方にステートメントが含まれています。[edit protocols bgp group internal-peers] user@host:A# set type internal user@host:A# set local-address 192.168.6.5 user@host:A# set export send-direct user@host:A# set neighbor 192.163.6.4 user@host:A# set neighbor 192.168.40.4
BFDを設定します。
[edit protocols bgp group internal-peers] user@host:A# set bfd-liveness-detection minimum-interval 1000
接続ピアに同じ最小間隔を設定する必要があります。
(オプション)BFDトレースを設定します。
[edit protocols bgp group internal-peers] user@host:A# set traceoptions file bgp-bfd user@host:A# set traceoptions flag bfd detail
OSPFを設定します。
[edit protocols ospf area 0.0.0.0] user@host:A# set interface lo0.1 passive user@host:A# set interface lt-1/2/0.1
直接ルートを受け入れるポリシーを設定します。
このシナリオの他の有用なオプションは、OSPF またはローカル ルートを介して学習したルートを受け入れることです。
[edit policy-options policy-statement send-direct term 2] user@host:A# set from protocol direct user@host:A# set then accept
ルーターIDと自律システム(AS)番号を設定します。
[edit routing-options] user@host:A# set router-id 192.168.6.5 user@host:A# set autonomous-system 17
デバイスの設定が完了したら、設定モードから を入力します
commit。 これらの手順を繰り返して、デバイス B とデバイス C を設定します。
結果
設定モードから、 、show protocolsshow policy-optionsおよび のコマンドをshow interfaces入力して設定をshow routing-options確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host:A# show interfaces
lt-1/2/0 {
unit 1 {
description to-B;
encapsulation ethernet;
peer-unit 2;
family inet {
address 10.10.10.1/30;
}
}
}
lo0 {
unit 1 {
family inet {
address 192.168.6.5/32;
}
}
}
user@host:A# show policy-options
policy-statement send-direct {
term 2 {
from protocol direct;
then accept;
}
}
user@host:A# show protocols
bgp {
group internal-peers {
type internal;
traceoptions {
file bgp-bfd;
flag bfd detail;
}
local-address 192.168.6.5;
export send-direct;
bfd-liveness-detection {
minimum-interval 1000;
}
neighbor 192.163.6.4;
neighbor 192.168.40.4;
}
}
ospf {
area 0.0.0.0 {
interface lo0.1 {
passive;
}
interface lt-1/2/0.1;
}
}
user@host:A# show routing-options router-id 192.168.6.5; autonomous-system 17;
検証
設定が正しく機能していることを確認します。
- BFD が有効になっていることを確認する
- BFDセッションが立ち上がっていることを検証する
- 詳細な BFD イベントの表示
- ループバックインターフェイスの無効化とリアクティブ後の詳細なBFDイベントの表示
BFD が有効になっていることを確認する
目的
IBGP ピア間で BFD が有効になっていることを確認します。
対処
動作モードから、 コマンドを show bgp neighbor 入力します。フィルターを使用して、 | match bfd 出力を絞り込むことができます。
user@host:A> show bgp neighbor | match bfd Options: <BfdEnabled> BFD: enabled, up Trace file: /var/log/A/bgp-bfd size 131072 files 10 Options: <BfdEnabled> BFD: enabled, up Trace file: /var/log/A/bgp-bfd size 131072 files 10
意味
出力は、論理システムAにBFDが有効な2つのネイバーがあることを示しています。BFDが有効になっていない場合、出力には 、 が表示 BFD: disabled, downされ、 <BfdEnabled> オプションはありません。BFDが有効でセッションがダウンしている場合、出力は を表示します BFD: enabled, down。また、トレース操作が設定されているため、BFD関連のイベントがログファイルに書き込まれていることも出力に示されています。
BFDセッションが立ち上がっていることを検証する
目的
BFDセッションが立ち上がっていることを確認し、BFDセッションの詳細を表示します。
対処
動作モードから、 コマンドを show bfd session extensive 入力します。
user@host:A> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
192.163.6.4 Up 3.000 1.000 3
Client BGP, TX interval 1.000, RX interval 1.000
Session up time 00:54:40
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Logical system 12, routing table index 25
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 10, remote discriminator 9
Echo mode disabled/inactive
Multi-hop route table 25, local-address 192.168.6.5
Detect Transmit
Address State Interface Time Interval Multiplier
192.168.40.4 Up 3.000 1.000 3
Client BGP, TX interval 1.000, RX interval 1.000
Session up time 00:48:03
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Logical system 12, routing table index 25
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 14, remote discriminator 13
Echo mode disabled/inactive
Multi-hop route table 25, local-address 192.168.6.5
2 sessions, 2 clients
Cumulative transmit rate 2.0 pps, cumulative receive rate 2.0 pps意味
出力は TX interval 1.000, RX interval 1.000 、 ステートメントで設定された設定を minimum-interval 表しています。その他の出力はすべて、BFDのデフォルト設定を表しています。デフォルト設定を変更するには、 ステートメントの下にオプションのステートメントを bfd-liveness-detection 含めます。
詳細な BFD イベントの表示
目的
BFDトレースファイルの内容を表示し、必要に応じてトラブルシューティングに役立てましょう。
対処
動作モードから、 コマンドを file show /var/log/A/bgp-bfd 入力します。
user@host:A> file show /var/log/A/bgp-bfd Aug 15 17:07:25 trace_on: Tracing to "/var/log/A/bgp-bfd" started Aug 15 17:07:26.492190 bgp_peer_init: BGP peer 192.163.6.4 (Internal AS 17) local address 192.168.6.5 not found. Leaving peer idled Aug 15 17:07:26.493176 bgp_peer_init: BGP peer 192.168.40.4 (Internal AS 17) local address 192.168.6.5 not found. Leaving peer idled Aug 15 17:07:32.597979 task_connect: task BGP_17.192.163.6.4+179 addr 192.163.6.4+179: No route to host Aug 15 17:07:32.599623 bgp_connect_start: connect 192.163.6.4 (Internal AS 17): No route to host Aug 15 17:07:36.869394 task_connect: task BGP_17.192.168.40.4+179 addr 192.168.40.4+179: No route to host Aug 15 17:07:36.870624 bgp_connect_start: connect 192.168.40.4 (Internal AS 17): No route to host Aug 15 17:08:04.599220 task_connect: task BGP_17.192.163.6.4+179 addr 192.163.6.4+179: No route to host Aug 15 17:08:04.601135 bgp_connect_start: connect 192.163.6.4 (Internal AS 17): No route to host Aug 15 17:08:08.869717 task_connect: task BGP_17.192.168.40.4+179 addr 192.168.40.4+179: No route to host Aug 15 17:08:08.869934 bgp_connect_start: connect 192.168.40.4 (Internal AS 17): No route to host Aug 15 17:08:36.603544 advertising receiving-speaker only capabilty to neighbor 192.163.6.4 (Internal AS 17) Aug 15 17:08:36.606726 bgp_read_message: 192.163.6.4 (Internal AS 17): 0 bytes buffered Aug 15 17:08:36.609119 Initiated BFD session to peer 192.163.6.4 (Internal AS 17): address=192.163.6.4 ifindex=0 ifname=(none) txivl=1000 rxivl=1000 mult=3 ver=255 Aug 15 17:08:36.734033 advertising receiving-speaker only capabilty to neighbor 192.168.40.4 (Internal AS 17) Aug 15 17:08:36.738436 Initiated BFD session to peer 192.168.40.4 (Internal AS 17): address=192.168.40.4 ifindex=0 ifname=(none) txivl=1000 rxivl=1000 mult=3 ver=255 Aug 15 17:08:40.537552 BFD session to peer 192.163.6.4 (Internal AS 17) up Aug 15 17:08:40.694410 BFD session to peer 192.168.40.4 (Internal AS 17) up
意味
ルートが確立される前に、メッセージが No route to host 出力に表示されます。ルートが確立された後、最後の2つの行は、両方のBFDセッションが立ち上がっていることを示しています。
ループバックインターフェイスの無効化とリアクティブ後の詳細なBFDイベントの表示
目的
ルーターやスイッチをダウンさせ、元に戻した後に何が起こるかを確認します。ルーターまたはスイッチのダウンをシミュレートするには、論理システム B のループバック インターフェイスを無効にします。
対処
設定モードから、 コマンドを
deactivate logical-systems B interfaces lo0 unit 2 family inet入力します。user@host:A# deactivate logical-systems B interfaces lo0 unit 2 family inet user@host:A# commit
動作モードから、 コマンドを
file show /var/log/A/bgp-bfd入力します。user@host:A> file show /var/log/A/bgp-bfd ... Aug 15 17:20:55.995648 bgp_read_v4_message:9747: NOTIFICATION received from 192.163.6.4 (Internal AS 17): code 6 (Cease) subcode 6 (Other Configuration Change) Aug 15 17:20:56.004508 Terminated BFD session to peer 192.163.6.4 (Internal AS 17) Aug 15 17:21:28.007755 task_connect: task BGP_17.192.163.6.4+179 addr 192.163.6.4+179: No route to host Aug 15 17:21:28.008597 bgp_connect_start: connect 192.163.6.4 (Internal AS 17): No route to host
設定モードから、 コマンドを
activate logical-systems B interfaces lo0 unit 2 family inet入力します。user@host:A# activate logical-systems B interfaces lo0 unit 2 family inet user@host:A# commit
動作モードから、 コマンドを
file show /var/log/A/bgp-bfd入力します。user@host:A> file show /var/log/A/bgp-bfd ... Aug 15 17:25:53.623743 advertising receiving-speaker only capabilty to neighbor 192.163.6.4 (Internal AS 17) Aug 15 17:25:53.631314 Initiated BFD session to peer 192.163.6.4 (Internal AS 17): address=192.163.6.4 ifindex=0 ifname=(none) txivl=1000 rxivl=1000 mult=3 ver=255 Aug 15 17:25:57.570932 BFD session to peer 192.163.6.4 (Internal AS 17) up
BGP向けBFD認証について
BFD(Bidirectional Forwarding Detection protocol)は、隣接するシステム間の通信障害を迅速に検出します。デフォルトでは、BFDセッションの認証は無効になっています。しかし、ネットワークレイヤープロトコル上でBFDを実行すると、サービス攻撃のリスクが大きくなる可能性があります。複数のホップまたは安全でないトンネルを介してBFDを実行している場合は、認証を使用することを強くお勧めします。Junos OSリリース9.6以降、Junos OSはBGP上で実行されるBFDセッションの認証をサポートしています。BFD認証は、MPLS OAMセッションではサポートされていません。BFD認証は、カナダおよび米国バージョンのJunos OSイメージでのみサポートされており、エクスポートバージョンでは利用できません。
認証アルゴリズムとキーチェーンを指定し、その設定情報をキーチェーン名を使用してセキュリティ認証キーチェーンに関連付けることで、BFD セッションを認証します。
以下のセクションでは、サポートされている認証アルゴリズム、セキュリティキーチェーン、および設定可能な認証レベルについて説明します。
BFD認証アルゴリズム
Junos OSは、BFD認証用に以下のアルゴリズムをサポートしています。
simple-passwordプレーンテキストパスワード。BFDセッションの認証には、1~16バイトのプレーンテキストが使用されます。1つ以上のパスワードを設定できます。この方法は最も安全性が低く、BFDセッションがパケット傍受の対象でない場合にのみ使用する必要があります。
keyed-md5— 送信間隔と受信間隔が 100 ミリ秒を超えるセッションに対する鍵付きメッセージ ダイジェスト 5 ハッシュ アルゴリズム。BFDセッションを認証するために、キー付きMD5は1つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。この方法では、いずれかのキーが一致し、シーケンス番号が受信した最後のシーケンス番号以上の場合、セッションの受信側でパケットが受け入れられます。単純なパスワードよりも安全性は高いですが、この方法は攻撃をリプレイする脆弱性があります。シーケンス番号が更新されるレートを上げることで、このリスクが軽減されます。
meticulous-keyed-md5—細心の注意を要するメッセージダイジェスト5ハッシュアルゴリズム。この方法はキー付き MD5 と同じように動作しますが、シーケンス番号は各パケットで更新されます。キー付きMD5やシンプルなパスワードよりも安全性が高いですが、この方法ではセッションの認証にさらに時間がかかる場合があります。
keyed-sha-1— キー付きセキュア ハッシュ アルゴリズム I。送信間隔と受信間隔が 100 ミリ秒を超えるセッションに対応します。BFDセッションを認証するために、キー付きSHAは1つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。鍵はパケット内で伝送されません。この方法では、いずれかのキーが一致し、シーケンス番号が最後に受信したシーケンス番号よりも大きい場合、セッションの受信側でパケットが受け入れられます。
meticulous-keyed-sha-1—細心の注意を払った鍵付きセキュアハッシュアルゴリズムI.このメソッドはキー付き SHA と同じように動作しますが、シーケンス番号は各パケットで更新されます。キー付き SHA や単純なパスワードよりもセキュアですが、この方法ではセッションの認証にさらに時間がかかる場合があります。
ノンストップ アクティブ ルーティング (NSR)は、細心の注意を払った鍵付き md5 および細心の注意を払った sha-1 認証アルゴリズムではサポートされていません。これらのアルゴリズムを使用したBFDセッションは、スイッチオーバー後にダウンすることがあります。
QFX5000シリーズスイッチおよびEX4600スイッチは、1秒未満の最小間隔値をサポートしていません。
セキュリティー認証キーチェーン
セキュリティ認証キーチェーンは、認証キーの更新に使用される認証属性を定義します。セキュリティ認証キーチェーンが設定され、キーチェーン名を介してプロトコルに関連付けられている場合、ルーティングとシグナリングプロトコルを中断することなく、認証キーの更新が行われる可能性があります。
認証キーチェーンには、1 つ以上のキーチェーンが含まれています。各キーチェーンには、1 つ以上のキーが含まれています。各キーには、シークレット データと、キーが有効になる時刻が保持されます。アルゴリズムとキーチェーンは、BFDセッションの両端で設定する必要があり、一致する必要があります。設定が一致していないと、BFDセッションが作成されません。
BFD ではセッションごとに複数のクライアントを許可し、各クライアントには独自のキーチェーンとアルゴリズムを定義できます。混乱を避けるために、セキュリティ認証キーチェーンを 1 つだけ指定することをお勧めします。
ストリクト認証とルーズ認証の比較
デフォルトでは、厳密な認証が有効になっており、各BFDセッションの両端で認証がチェックされます。オプションで、認証されていないセッションから認証されたセッションにスムーズに移行するには、 ルーズチェックを設定できます。ルーズチェックが設定されている場合、セッションの各エンドで認証がチェックされることなくパケットが受け入れられます。この機能は、移行期間のみを対象としています。
関連項目
例:BGP向けBFD認証の設定
Junos OS リリース 9.6 以降、BGP を介して実行される BFD セッションの認証を設定できます。BFD セッションで認証を設定するには、次の 3 つのステップのみが必要です。
BGPプロトコルのBFD認証アルゴリズムを指定します。
認証キーチェーンを BGP プロトコルに関連付けます。
関連するセキュリティ認証キーチェーンを設定します。
以下のセクションでは、BGPでBFD認証を設定および表示するための手順を説明します。
BFD認証パラメーターの設定
BFD認証は、BGPプロトコル全体、または特定のBGPグループ、ネイバー、ルーティングインスタンスに対して設定できます。
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 Junos OS CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
BFD認証を設定するには:
BFD認証は、カナダおよび米国バージョンのJunos OSイメージでのみサポートされており、エクスポートバージョンでは利用できません。
BFDセッションの認証情報の表示
および show bfd session extensive コマンドを使用して、既存のBFD認証設定をshow bfd session detail表示できます。
以下の例は、BGPグループに設定されたBFD認証を bgp-gr1 示しています。キー付き SHA-1 認証アルゴリズムと キーチェーン名 を指定します bfd-bgp。認証キーチェーンは、2つのキーで設定されています。キー 1 には、シークレット データ「$ABC123$ABC123」と 2009 年 6 月 1 日午前 9:46:02 AM PST の開始時間が含まれています。キー 2 には、シークレット データ「$ABC123$ABC123」と 2009 年 6 月 1 日午後 3 時 29 分 20 分 (PST) の開始時間が含まれています。
[edit protocols bgp]
group bgp-gr1 {
bfd-liveness-detection {
authentication {
algorithm keyed-sha-1;
key-chain bfd-bgp;
}
}
}
[edit security]
authentication key-chains {
key-chain bfd-bgp {
key 1 {
secret “$ABC123$ABC123”;
start-time “2009-6-1.09:46:02 -0700”;
}
key 2 {
secret “$ABC123$ABC123”;
start-time “2009-6-1.15:29:20 -0700”;
}
}
}
これらの更新を設定にコミットすると、次のような出力が表示されます。コマンドの出力 show bfd session detail には、 が表示され、 Authenticate BFD認証が設定されていることを示します。設定の詳細については、 コマンドを show bfd session extensive 使用します。このコマンドの出力は、キーチェーン名、セッション内の各クライアントの認証アルゴリズムとモード、および全体的なBFD認証設定ステータス、キーチェーン名、認証アルゴリズムとモードを提供します。
bfdセッションの詳細を表示
user@host# show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
192.0.2.2 Up ge-0/1/5.0 0.900 0.300 3
Client BGP, TX interval 0.300, RX interval 0.300, Authenticate
Session up time 3d 00:34
Local diagnostic None, remote diagnostic NbrSignal
Remote state Up, version 1
Replicated
bfdセッション拡張を表示
user@host# show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
192.0.2.2 Up ge-0/1/5.0 0.900 0.300 3
Client BGP, TX interval 0.300, RX interval 0.300, Authenticate
keychain bfd-bgp, algo keyed-sha-1, mode strict
Session up time 00:04:42
Local diagnostic None, remote diagnostic NbrSignal
Remote state Up, version 1
Replicated
Min async interval 0.300, min slow interval 1.000
Adaptive async TX interval 0.300, RX interval 0.300
Local min TX interval 0.300, minimum RX interval 0.300, multiplier 3
Remote min TX interval 0.300, min RX interval 0.300, multiplier 3
Local discriminator 2, remote discriminator 2
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-bgp, algo keyed-sha-1, mode strict