RIP 向け BFD
RIP の BFD について
Bidirectional Forwarding Detection(BFD)プロトコルは、ネットワークの障害を検出するシンプルなhelloメカニズムです。Hello パケットは、指定された一定の間隔で送信されます。ルーティング・デバイスが一定時間経過した後に応答を受信しなくなった場合、ネイバー障害が検出されます。BFDは、さまざまなネットワーク環境やトポロジーで動作します。BFD障害検出時間はRIP検出時間よりも短く、ネットワークのさまざまな障害に対する応答時間が短縮されます。BFDは、ルーティングプロトコルネイバーのタイムアウトを待つ代わりに、リンク障害の迅速な検出を提供します。BFDタイマーは適応型であり、より多かれ少なかれアグレッシブに調整することができます。例えば、隣接関係に障害が発生した場合にタイマーを高い値に適応させたり、ネイバーが設定したタイマーよりも高い値をタイマーにネゴシエートしたりすることができます。このトピックで説明する RIP 用 BFD の設定機能は、Junos OS リリース 15.1X49、15.1X49-D30、または 15.1X49-D40 ではサポートされていません。
EX4600スイッチは、1秒未満の最小間隔値をサポートしていません。
BFDは、プライマリとセカンダリのルーテッドパス間の迅速なフェイルオーバーを可能にします。プロトコルは、インターフェイスの運用ステータスを1秒あたり複数回テストします。BFDは、障害検出のための設定タイマーとしきい値を提供します。たとえば、最小間隔を 50 ミリ秒に設定し、しきい値が 3 つの欠席メッセージのデフォルト値を使用する場合、障害の 200 ミリ秒以内にインターフェイスで障害が検出されます。
デバイス(イーサネットLANスイッチなど)を介して、ルーティングプロトコルピアからリンクレイヤー障害を隠します。例えば、LANスイッチを介して2台のルーターが接続されている場合、リモートリンクで物理的な障害が発生してもローカルインターフェイスのステータスがアップしたままになります。リンクレイヤー障害検出時間は、物理メディアとレイヤー2カプセル化によって異なります。BFDは、すべてのメディアタイプ、カプセル化、トポロジー、ルーティングプロトコルに迅速な障害検出時間を提供できます。
RIP に対して BFD を有効にするには、接続の両側がピアから更新メッセージを受信する必要があります。デフォルトでは、RIP はルートをエクスポートしません。したがって、BFDセッションがトリガーされる前に、ルートに対するエクスポート・ポリシーを設定して更新メッセージを送信できるようにする必要があります。
例:RIP の BFD の設定
この例では、RIPネットワークに対して双方向転送検出(BFD)を設定する方法を示します。
要件
この例を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
障害検知を有効にするには、 ステートメントを bfd-liveness-detection 含めます。
bfd-liveness-detection { detection-time { threshold milliseconds; } minimum-interval milliseconds; minimum-receive-interval milliseconds; multiplier number; no-adaptation; transmit-interval { threshold milliseconds; minimum-interval milliseconds; } version (1 | automatic); }
オプションで、 ステートメントを含めることで、検出時間の適応のしきい値を threshold 指定できます。BFDセッション検出時間がしきい値以上の値に適応すると、単一のトラップとシステムログメッセージが送信されます。
障害検知の最小送信間隔と受信間隔を指定するには、 ステートメントを minimum-interval 含めます。この値は、ローカルルーティングデバイスがHelloパケットを送信する最小間隔と、BFDセッションを確立したネイバーから応答を受信するとルーティングデバイスが期待する最小間隔を表します。1~255,000ミリ秒の範囲で値を設定できます。この例では、最小間隔を600ミリ秒に設定します。
BFDは、システムリソースを消費する集中的なプロトコルです。ルーティング エンジンベースのセッションで 100 ミリ秒未満の BFD の最小間隔を指定し、分散 BFD セッションに 10 ミリ秒を指定すると、望ましくない BFD フラッピングが発生する可能性があります。
ネットワーク環境によっては、以下のような追加の推奨事項が適用される場合があります。
BFDセッション数が多い大規模なネットワーク導入では、ルーティングエンジンベースのセッションでは300ミリ秒、分散BFDセッションでは100ミリ秒の最小間隔を指定します。
BFDセッション数が多い大規模ネットワークの導入については、ジュニパーネットワークスのカスタマーサポートにお問い合わせください。
ノンストップアクティブルーティング(NSR)が設定されている場合に、ルーティングエンジンスイッチオーバーイベント中にBFDセッションが立ち上がり続けるには、ルーティングエンジンベースのセッションに2500ミリ秒の最小間隔を指定します。ノンストップアクティブルーティングが設定された分散型BFDセッションの場合、最小間隔の推奨事項は変更されず、ネットワーク導入にのみ依存します。
オプションで、最小の送信間隔と受信間隔を個別に指定できます。
障害検知の最小受信間隔のみを指定するには、 ステートメントを minimum-receive-interval 含めます。この値は、ローカル・ルーティング・デバイスがBFDセッションを確立したネイバーから応答を受信すると予想する最小間隔を表しています。1~255,00ミリ秒の範囲で値を設定できます。
障害検知の最小送信間隔のみを指定するには、 ステートメントを transmit-interval minimum-interval 含めます。この値は、ローカルルーティングデバイスがBFDセッションを確立したネイバーにhelloパケットを送信する最小間隔を表します。1~255,000ミリ秒の範囲で値を設定できます。
送信元インターフェイスをダウン宣言するネイバーが受信しなかったhelloパケットの数を指定するには、 ステートメントを multiplier 含めます。デフォルトは3で、1~255の範囲で値を設定できます。
送信間隔の適応を検出するためのしきい値を指定するには、 ステートメントを transmit-interval threshold 含めます。閾値は、送信間隔よりも大きくなければなりません。
検出に使用するBFDバージョンを指定するには、 ステートメントを version 含めます。デフォルトでは、バージョンが自動的に検出されます。
階層レベルで ステートメントを含めることで、 traceoptions BFDの動作を [edit protocols bfd] トレースすることができます。
Junos OSリリース9.0以降では、BFDセッションが変化するネットワーク条件に適応しないように設定できます。BFDの適応を無効にするには、 ステートメントを no-adaptation 含めます。ネットワークでBFDアダプテーションを有効にしない方が望ましい場合を除き、BFD適応を無効にしないことをお勧めします。
図 1 は、この例で使用したトポロジーを示しています。
CLI クイック設定 は、 図 1 にすべてのデバイスの設定を示しています。セクション 手順では、 デバイス R1 の手順について説明します。
トポロジ
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更してから、 階層レベルの CLI にコマンドを [edit] コピー アンド ペーストします。
デバイス R1
set interfaces fe-1/2/0 unit 1 family inet address 10.0.0.1/30 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.1 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
デバイスR2
set interfaces fe-1/2/0 unit 2 family inet address 10.0.0.2/30 set interfaces fe-1/2/1 unit 5 family inet address 10.0.0.5/30 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.2 set protocols rip group rip-group neighbor fe-1/2/1.5 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
デバイスR3
set interfaces fe-1/2/0 unit 6 family inet address 10.0.0.6/30 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.6 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
RIP ネットワークに BFD を設定するには、次の手順に示します。
-
ネットワーク インターフェイスを設定します。
[edit interfaces] user@R1# set fe-1/2/0 unit 1 family inet address 10.0.0.1/30
-
RIP グループを作成し、インターフェイスを追加します。
Junos OS で RIP を設定するには、RIP が有効になっているインターフェイスを含むグループを設定する必要があります。ループバック インターフェイスで RIP を有効にする必要はありません。
[edit protocols rip group rip-group] user@R1# set neighbor fe-1/2/0.1
-
直接ルートと RIP 学習ルートの両方をアドバタイズするルーティング ポリシーを作成します。
[edit policy-options policy-statement advertise-routes-through-rip term 1] user@R1# set from protocol direct user@R1# set from protocol rip user@R1# set then accept
-
ルーティング ポリシーを適用します。
Junos OS では、RIP エクスポート ポリシーはグループ レベルでのみ適用できます。
[edit protocols rip group rip-group] user@R1# set export advertise-routes-through-rip
-
BFDを有効にします。
[edit protocols rip group rip-group] user@R1# set bfd-liveness-detection minimum-interval 600
-
BFDメッセージを追跡するためのトレース操作を設定します。
[edit protocols bfd traceoptions] user@R1# set file bfd-trace user@R1# set flag all
結果
設定モードから、 、 、 show protocolsコマンドを入力して設定をshow interfacesshow policy-options確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@R1# show interfaces
fe-1/2/0 {
unit 1 {
family inet {
address 10.0.0.1/30;
}
}
}
user@R1# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
rip {
group rip-group {
export advertise-routes-through-rip;
bfd-liveness-detection {
minimum-interval 600;
}
neighbor fe-1/2/0.1;
}
}
user@R1# show policy-options
policy-statement advertise-routes-through-rip {
term 1 {
from protocol [ direct rip ];
then accept;
}
}
デバイスの設定が完了したら、設定モードから コミット を入力します。
検証
設定が正しく機能していることを確認します。
BFDセッションが立ち上がっていることを確認する
目的
BFDセッションが動作していることを確認します。
アクション
動作モードから、 コマンドを show bfd session 入力します。
user@R1> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
10.0.0.2 Up fe-1/2/0.1 1.800 0.600 3
1 sessions, 1 clients
Cumulative transmit rate 1.7 pps, cumulative receive rate 1.7 pps
意味
出力では、認証エラーがないことを示しています。
BFD トレース ファイルの確認
目的
トレース操作を使用して、BFDパケットが交換されていることを確認します。
アクション
動作モードから、 コマンドを show log 入力します。
user@R1> show log bfd-trace Feb 16 10:26:32 PPM Trace: BFD periodic xmit to 10.0.0.2 (IFL 124, rtbl 53, single-hop port) Feb 16 10:26:32 Received Downstream TraceMsg (24) len 86: Feb 16 10:26:32 IfIndex (3) len 4: 0 Feb 16 10:26:32 Protocol (1) len 1: BFD Feb 16 10:26:32 Data (9) len 61: (hex) 42 46 44 20 70 61 63 6b 65 74 20 66 72 6f 6d 20 31 30 2e Feb 16 10:26:32 PPM Trace: BFD packet from 10.0.0.1 (IFL 73, rtbl 56, ttl 255) absorbed Feb 16 10:26:32 Received Downstream TraceMsg (24) len 60: Feb 16 10:26:32 IfIndex (3) len 4: 0 Feb 16 10:26:32 Protocol (1) len 1: BFD Feb 16 10:26:32 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 6f ...
意味
出力は、BFDが正常に機能していることを示しています。
RIP の BFD 認証について
BFDにより、隣接するシステム間の通信障害を迅速に検出できます。デフォルトでは、BFDセッションの認証は無効になっています。しかし、ネットワークレイヤープロトコル上でBFDを実行すると、サービス攻撃のリスクが大きくなる可能性があります。複数のホップまたは安全でないトンネルを介してBFDを実行している場合は、認証を使用することを強くお勧めします。Junos OS リリース 9.6 以降、Junos OS は RIP 上で実行される BFD セッションの認証をサポートします。BFD認証は国内イメージでのみサポートされており、エクスポートイメージでは利用できません。
認証アルゴリズムとキーチェーンを指定し、その設定情報をキーチェーン名を使用してセキュリティ認証キーチェーンに関連付けることで、BFD セッションを認証します。
以下のセクションでは、サポートされている認証アルゴリズム、セキュリティ キーチェーン、および設定可能な認証レベルについて説明します。
BFD認証アルゴリズム
Junos OSは、BFD認証用に以下のアルゴリズムをサポートしています。
シンプルパスワード—プレーンテキストパスワード。BFDセッションの認証には、1~16バイトのプレーンテキストが使用されます。1つ以上のパスワードを設定できます。この方法は最も安全性が低く、BFDセッションがパケット傍受の対象でない場合にのみ使用する必要があります。
keyed-md5—送信間隔と受信間隔が 100 ms を超えるセッションの鍵付きメッセージ ダイジェスト 5 ハッシュ アルゴリズム。BFDセッションを認証するために、キー付きMD5は1つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。この方法では、いずれかのキーが一致し、シーケンス番号が受信した最後のシーケンス番号以上の場合、セッションの受信側でパケットが受け入れられます。単純なパスワードよりも安全性は高いですが、この方法は攻撃をリプレイする脆弱性があります。シーケンス番号が更新されるレートを上げることで、このリスクが軽減されます。
細心の注意を払った- md5 - 細心の注意を要したメッセージダイジェスト5ハッシュアルゴリズム。この方法はキー付き MD5 と同じように動作しますが、シーケンス番号は各パケットで更新されます。キー付きMD5やシンプルなパスワードよりも安全性が高いですが、この方法ではセッションの認証にさらに時間がかかる場合があります。
keyed-sha-1 —送信および受信間隔が 100 ms を超えるセッションの鍵付きセキュア ハッシュ アルゴリズム I。BFDセッションを認証するために、キー付きSHAは1つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。鍵はパケット内で伝送されません。この方法では、いずれかのキーが一致し、シーケンス番号が最後に受信したシーケンス番号よりも大きい場合、セッションの受信側でパケットが受け入れられます。
細心の注意を払った鍵付き sha-1 — 細心の注意を要したセキュア ハッシュ アルゴリズム I。このメソッドはキー付き SHA と同じように動作しますが、シーケンス番号は各パケットで更新されます。キー付き SHA や単純なパスワードよりもセキュアですが、この方法ではセッションの認証にさらに時間がかかる場合があります。
ノンストップ アクティブ ルーティング は、細心の注意を払った鍵付き md5 および細心の注意を払った鍵付き sha-1 認証アルゴリズムではサポートされていません。これらのアルゴリズムを使用したBFDセッションは、スイッチオーバー後にダウンすることがあります。
QFX5000シリーズスイッチおよびEX4600スイッチは、1秒未満の最小間隔値をサポートしていません。
セキュリティー認証キーチェーン
セキュリティ認証キーチェーンは、認証キーの更新に使用される認証属性を定義します。セキュリティ認証キーチェーンが設定され、キーチェーン名を介してプロトコルに関連付けられている場合、ルーティングとシグナリングプロトコルを中断することなく、認証キーの更新が行われる可能性があります。
認証キーチェーンには、1 つ以上のキーチェーンが含まれています。各キーチェーンには、1 つ以上のキーが含まれています。各キーには、シークレット データと、キーが有効になる時刻が保持されます。アルゴリズムとキーチェーンは、BFDセッションの両端で設定する必要があり、一致する必要があります。設定が一致していないと、BFDセッションが作成されません。
BFD ではセッションごとに複数のクライアントを許可し、各クライアントには独自のキーチェーンとアルゴリズムを定義できます。混乱を避けるために、セキュリティ認証キーチェーンを 1 つだけ指定することをお勧めします。
ストリクト認証とルーズ認証の比較
デフォルトでは、厳密な認証が有効になっており、各BFDセッションの両端で認証がチェックされます。オプションで、認証されていないセッションから認証されたセッションにスムーズに移行するには、 ルーズチェックを設定できます。ルーズチェックが設定されている場合、セッションの各エンドで認証がチェックされることなくパケットが受け入れられます。この機能は、移行期間のみを対象としています。
「」も参照
例:RIP の BFD 認証の設定
この例では、RIPネットワークに対して双方向転送検出(BFD)認証を設定する方法を示しています。
要件
この例を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
デバイスは、Junos OSリリース9.6以降を実行している必要があります。
概要
BFD セッションで認証を設定するには、次の 3 つのステップのみが必要です。
RIP プロトコルの BFD 認証アルゴリズムを指定します。
認証キーチェーンを RIP プロトコルに関連付けます。
関連するセキュリティ認証キーチェーンを設定します。
図 2 は、この例で使用したトポロジーを示しています。
CLIクイックコンフィギュレーション は、 図2のすべてのデバイスの設定を示しています。セクション #d18e66__d18e234 では、デバイス R1 の手順について説明します。
トポロジ
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
デバイス R1
set interfaces fe-1/2/0 unit 1 family inet address 10.0.0.1/30 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.1 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set protocols rip group rip-group bfd-liveness-detection authentication key-chain bfd-rip set protocols rip group rip-group bfd-liveness-detection authentication algorithm keyed-md5 set protocols rip group rip-group bfd-liveness-detection authentication loose-check set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept set security authentication-key-chains key-chain bfd-rip key 53 secret $ABC123$ABC123 set security authentication-key-chains key-chain bfd-rip key 53 start-time "2012-2-16.12:00:00 -0800"
デバイスR2
set interfaces fe-1/2/0 unit 2 family inet address 10.0.0.2/30 set interfaces fe-1/2/1 unit 5 family inet address 10.0.0.5/30 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.2 set protocols rip group rip-group neighbor fe-1/2/1.5 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set protocols rip group rip-group bfd-liveness-detection authentication key-chain bfd-rip set protocols rip group rip-group bfd-liveness-detection authentication algorithm keyed-md5 set protocols rip group rip-group bfd-liveness-detection authentication loose-check set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept set security authentication-key-chains key-chain bfd-rip key 53 secret $ABC123$ABC123 set security authentication-key-chains key-chain bfd-rip key 53 start-time "2012-2-16.12:00:00 -0800"
デバイスR3
set interfaces fe-1/2/0 unit 6 family inet address 10.0.0.6/30 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.6 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set protocols rip group rip-group bfd-liveness-detection authentication key-chain bfd-rip set protocols rip group rip-group bfd-liveness-detection authentication algorithm keyed-md5 set protocols rip group rip-group bfd-liveness-detection authentication loose-check set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept set security authentication-key-chains key-chain bfd-rip key 53 secret $ABC123$ABC123 set security authentication-key-chains key-chain bfd-rip key 53 start-time "2012-2-16.12:00:00 -0800"
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
BFD認証を設定するには:
ネットワーク インターフェイスを設定します。
[edit interfaces] user@R1# set fe-1/2/0 unit 1 family inet address 10.0.0.1/30
RIP グループを作成し、インターフェイスを追加します。
Junos OS で RIP を設定するには、RIP が有効になっているインターフェイスを含むグループを設定する必要があります。ループバック インターフェイスで RIP を有効にする必要はありません。
[edit protocols rip group rip-group] user@R1# set neighbor fe-1/2/0.1
直接ルートと RIP 学習ルートの両方をアドバタイズするルーティング ポリシーを作成します。
[edit policy-options policy-statement advertise-routes-through-rip term 1] user@R1# set from protocol direct user@R1# set from protocol rip user@R1# set then accept
ルーティング ポリシーを適用します。
Junos OS では、RIP エクスポート ポリシーはグループ レベルでのみ適用できます。
[edit protocols rip group rip-group] user@R1# set export advertise-routes-through-rip
BFDを有効にします。
[edit protocols rip group rip-group] user@R1# set bfd-liveness-detection minimum-interval 600
使用するアルゴリズム(keyed-md5、 keyed-sha-1、 細心の注意を払った鍵付き-md5、 細心の注意を払った鍵付き sha-1、または シンプルパスワード)を指定します。
メモ:ノンストップ アクティブ ルーティングは、細心の注意を払った鍵付き md5 および細心の注意を払った鍵付き sha-1 認証アルゴリズムではサポートされていません。これらのアルゴリズムを使用したBFDセッションは、スイッチオーバー後にダウンすることがあります。
[edit protocols rip group rip-group] user@R1# set bfd-liveness-detection authentication algorithm keyed-md5
RIP 上の BFD セッションを固有のセキュリティ認証キーチェーン属性と関連付けるために使用するキーチェーンを指定します。
指定するキーチェーンは、 階層レベルで設定されたキーチェーン名と
[edit security authentication key-chains]一致する必要があります。アルゴリズムとキーチェーンは、BFDセッションの両端で設定する必要があり、一致する必要があります。設定が一致していないと、BFDセッションが作成されません。
[edit protocols rip group rip-group] user@R1# set bfd-liveness-detection authentication key-chain bfd-rip
(オプション)非認証セッションから認証されたセッションに移行する場合は、ルーズ認証チェックを指定します。
[edit protocols rip group rip-group] user@R1# set bfd-liveness-detection authentication loose-check
BFDセッションの固有のセキュリティ認証情報を指定します。
ステップ 7 で指定された一致するキーチェーン名。
少なくとも1つのキー、 0 ~ 63の一意の整数。複数のキーを作成することで、複数のクライアントがBFDセッションを使用できるようになります。
セッションへのアクセスを許可するために使用される秘密データ。
認証キーがアクティブになる時刻を、 の形式で指定します yyyy-mm-dd.hh:mm:ss。
[edit security authentication-key-chains key-chain bfd-rip] user@R1# set key 53 secret $ABC123$ABC123 user@R1# set key 53 start-time "2012-2-16.12:00:00 -0800"
BFD認証を追跡するためのトレース操作を設定します。
[edit protocols bfd traceoptions] user@R1# set file bfd-trace user@R1# set flag all
結果
設定モードから、 、show policy-optionsshow protocolsおよび のコマンドをshow interfaces入力して設定をshow security確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@R1# show interfaces
fe-1/2/0 {
unit 1 {
family inet {
address 10.0.0.1/30;
}
}
}
user@R1# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
rip {
group rip-group {
export advertise-routes-through-rip;
bfd-liveness-detection {
minimum-interval 600;
}
neighbor fe-1/2/0.1;
}
}
user@R1# show policy-options
policy-statement advertise-routes-through-rip {
term 1 {
from protocol [ direct rip ];
then accept;
}
}
user@R1# show security
authentication-key-chains {
key-chain bfd-rip {
key 53 {
secret $ABC123$ABC123
start-time "2012-2-16.12:00:00 -0800";
}
}
}
デバイスの設定が完了したら、設定モードから コミット を入力します。
検証
設定が正しく機能していることを確認します。
BFDセッションが認証されていることを確認する
目的
BFDセッションが認証されていることを確認します。
アクション
動作モードから、 コマンドを show bfd session detail 入力します。
user@R1> show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
10.0.0.2 Up fe-1/2/0.1 1.800 0.600 3
Client RIP, TX interval 0.600, RX interval 0.600, Authenticate
Session up time 01:39:34
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Logical system 6, routing table index 53
1 sessions, 1 clients
Cumulative transmit rate 1.7 pps, cumulative receive rate 1.7 pps
意味
認証 が表示され、BFD認証が設定されていることを示します。
BFD認証に関する広範な情報の表示
目的
キーチェーン名、セッション内の各クライアントの認証アルゴリズムとモード、BFD 認証設定ステータスを表示します。
アクション
動作モードから、 コマンドを show bfd session extensive 入力します。
user@R1> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
10.0.0.2 Up fe-1/2/0.1 1.800 0.600 3
Client RIP, TX interval 0.600, RX interval 0.600, Authenticate
keychain bfd-rip, algo keyed-md5, mode loose
Session up time 01:46:29
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Logical system 6, routing table index 53
Min async interval 0.600, min slow interval 1.000
Adaptive async TX interval 0.600, RX interval 0.600
Local min TX interval 0.600, minimum RX interval 0.600, multiplier 3
Remote min TX interval 0.600, min RX interval 0.600, multiplier 3
Local discriminator 225, remote discriminator 226
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-rip, algo keyed-md5, mode loose
Session ID: 0x300501
1 sessions, 1 clients
Cumulative transmit rate 1.7 pps, cumulative receive rate 1.7 pps
意味
出力は、キーチェーン名、セッション内のクライアントの認証アルゴリズムとモード、BFD 認証設定ステータスを示しています。
BFD トレース ファイルの確認
目的
トレース操作を使用して、BFDパケットが交換されていることを確認します。
アクション
動作モードから、 コマンドを show log 入力します。
user@R1> show log bfd-trace Feb 16 10:26:32 PPM Trace: BFD periodic xmit to 10.0.0.2 (IFL 124, rtbl 53, single-hop port) Feb 16 10:26:32 Received Downstream TraceMsg (24) len 86: Feb 16 10:26:32 IfIndex (3) len 4: 0 Feb 16 10:26:32 Protocol (1) len 1: BFD Feb 16 10:26:32 Data (9) len 61: (hex) 42 46 44 20 70 61 63 6b 65 74 20 66 72 6f 6d 20 31 30 2e Feb 16 10:26:32 PPM Trace: BFD packet from 10.0.0.1 (IFL 73, rtbl 56, ttl 255) absorbed Feb 16 10:26:32 Received Downstream TraceMsg (24) len 60: Feb 16 10:26:32 IfIndex (3) len 4: 0 Feb 16 10:26:32 Protocol (1) len 1: BFD Feb 16 10:26:32 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 6f ...
意味
出力は、BFDが正常に機能していることを示しています。