スタティック ルートの双方向転送検出
BFD によるスタティック ルートの理解によるネットワーク障害検知の高速化
BFD(Bidirectional Forwarding Detection)プロトコルは、ネットワークの障害を検出するシンプルなhelloメカニズムです。BFDは、さまざまなネットワーク環境やトポロジーで動作します。1組のルーティング・デバイスがBFDパケットを交換します。Hello パケットは、指定された一定の間隔で送信されます。ルーティング・デバイスが一定時間経過した後に応答を受信しなくなった場合、ネイバー障害が検出されます。BFD障害検出タイマーは、スタティックルート障害検知メカニズムよりも時間制限が短く、迅速な検出を提供します。
BFD障害検出タイマーは、より速く、または遅く調整することができます。BFD障害検出タイマー値が低いほど、障害検知が速くなり、その逆も速くなります。例えば、隣接関係に障害が発生した場合(つまり、タイマーがより遅く障害を検出する)場合、タイマーはより高い値に適応できます。または、ネイバーは、設定された値よりも高い値をタイマーでネゴシエートできます。BFDセッションフラップが15秒のスパンで3回以上発生すると、タイマーはより高い値に適応します。バックオフ アルゴリズムは、ローカル BFD インスタンスがセッション フラップの原因である場合、受信(Rx)の間隔を 2 つ増やします。リモートBFDインスタンスがセッションフラップの原因である場合、送信(Tx)の間隔が2つ増加します。コマンドを clear bfd adaptation 使用して、BFD間隔タイマーを設定された値に戻すことができます。コマンドは clear bfd adaptation ヒットレスであるため、コマンドがルーティング デバイス上のトラフィック フローに影響を与えることはありません。
デフォルトでは、BFDはシングルホップスタティックルートでサポートされています。
MXシリーズデバイスでは、スタティックルートが複数のネクストホップで設定されている場合、マルチホップBFDはスタティックルートではサポートされません。スタティック ルートにマルチホップ BFD が必要な場合は、複数のネクスト ホップを使用しないようにすることをお勧めします。
障害検知を有効にするには、静的ルート設定に bfd-liveness-detection ステートメントを含めます。
Junos OS リリース 15.1X49-D70 および Junos OS リリース 17.3R1 以降、 bfd-liveness-detection コマンドには説明フィールドが含まれています。説明はオブジェクトの下の bfd-liveness-detection 属性であり、SRXシリーズファイアウォールでのみサポートされています。このフィールドは、静的ルートにのみ適用されます。
Junos OSリリース9.1以降では、BFDプロトコルはIPv6スタティックルートでサポートされています。グローバル ユニキャストおよびリンクローカル IPv6 アドレスは、スタティック ルートでサポートされています。BFDプロトコルは、マルチキャストまたはエニキャストIPv6アドレスではサポートされていません。IPv6の場合、BFDプロトコルは静的ルートのみをサポートし、Junos OSリリース9.3以降でのみサポートしています。BFDのIPv6は、eBGPプロトコルでもサポートされています。
IPv6スタティックルートにBFDプロトコルを設定するには、 階層レベルに ステートメントを[edit routing-options rib inet6.0 static route destination-prefix]含bfd-liveness-detectionめます。
Junos OSリリース8.5以降では、ホールドダウン間隔を設定して、状態変更通知が送信される前にBFDセッションを立ち上げ続ける時間を指定できます。
ホールドダウン間隔を指定するには、BFD設定に holddown-interval ステートメントを含めます。0~255,000ミリ秒の範囲で数字を設定できます。デフォルトは0です。BFDセッションがダウンし、ホールドダウン間隔中に復帰した場合、タイマーは再起動されます。
単一のBFDセッションに複数のスタティックルートが含まれる場合、最大値を持つホールドダウン間隔が使用されます。
障害検出の最小送信間隔と受信間隔を指定するには、BFD設定に minimum-interval ステートメントを含めます。
この値は、ローカルルーティングデバイスがHelloパケットを送信する最小間隔と、ルーティングデバイスがBFDセッションを確立したネイバーからの応答を受信することを期待する最小間隔の両方を表します。1~255,000ミリ秒の範囲で数字を設定できます。オプションとして、このステートメントを使用する代わりに、送信間隔の最小間隔とステートメントを使用して、最小 の送信間隔 と minimum-receive-interval 受信間隔を個別に設定することができます。
EX4600スイッチは、1秒未満の最小間隔値をサポートしていません。
BFDは、システムリソースを消費する集中的なプロトコルです。ルーティング エンジンベースのセッションで 100 ミリ秒未満の BFD の最小間隔を指定し、分散 BFD セッションに 10 ミリ秒を指定すると、望ましくない BFD フラッピングが発生する可能性があります。
ネットワーク環境によっては、以下のような追加の推奨事項が適用される場合があります。
-
BFDセッション数が多い大規模なネットワーク導入では、ルーティングエンジンベースのセッションでは300ミリ秒、分散BFDセッションでは100ミリ秒の最小間隔を指定します。
-
BFDセッション数が多い大規模ネットワークの導入については、ジュニパーネットワークスのカスタマーサポートにお問い合わせください。
-
ノンストップアクティブルーティング(NSR)が設定されている場合に、ルーティングエンジンスイッチオーバーイベント中にBFDセッションが立ち上がり続けるには、ルーティングエンジンベースのセッションに2500ミリ秒の最小間隔を指定します。NSR が設定された分散 BFD セッションの場合、最小間隔の推奨事項は変更されず、ネットワーク導入にのみ依存します。
障害検出の最小受信間隔を指定するには、BFD設定に minimum-receive-interval ステートメントを含めます。この値は、ルーティング・デバイスがBFDセッションを確立したネイバーから応答を受信することを期待する最小間隔を表しています。1~255,000ミリ秒の範囲で数字を設定できます。オプションとして、このステートメントを使用する代わりに、 階層レベルの ステートメントを使用して minimum-interval 最小受信間隔を [edit routing-options static route destination-prefix bfd-liveness-detection] 設定できます。
発信インターフェイスをダウン宣言するネイバーが受信しないhelloパケットの数を指定するには、BFD設定に ステートメントを含 multiplier めます。デフォルト値は3です。1~255の範囲で数字を設定できます。
検出時間の適応を検出するためのしきい値を指定するには、BFD設定に threshold ステートメントを含めます。
BFDセッション検出時間がしきい値以上の値に適応すると、単一のトラップとシステムログメッセージが送信されます。検出時間は、 最小間隔 または 最小受信 間隔値の乗数に基づいています。しきい値は、これらの設定された値のいずれかで乗数よりも高い値である必要があります。たとえば、 最小受信間隔 が 300 ms で 乗数 が 3 の場合、合計検出時間は 900 ミリ秒になります。そのため、検出時間のしきい値は 900 より高い値である必要があります。
障害検出の最小送信間隔を指定するには、BFD設定に transmit-interval minimum-interval ステートメントを含めます。
この値は、ローカルルーティングデバイスがBFDセッションを確立したネイバーにhelloパケットを送信する最小間隔を表しています。1~255,000ミリ秒の範囲で値を設定できます。オプションとして、このステートメントを使用する代わりに、 階層レベルで ステートメントを使用して minimum-interval 最小送信間隔を [edit routing-options static route destination-prefix bfd-liveness-detection] 設定できます。
送信間隔を適応するためのしきい値を指定するには、BFD設定に transmit-interval threshold ステートメントを含めます。
閾値は、送信間隔よりも大きくなければなりません。BFDセッション送信時間が閾値より大きい値に適応すると、単一のトラップとシステムログメッセージが送信されます。検出時間は、 階層レベルでの 最小間隔 または ステートメントの値の minimum-receive-interval 乗数に [edit routing-options static route destination-prefix bfd-liveness-detection] 基づいています。しきい値は、これらの設定された値のいずれかで乗数よりも高い値である必要があります。
BFDバージョンを指定するには、BFD設定に version ステートメントを含めます。デフォルトでは、バージョンが自動的に検出されます。
BFDセッションのネクストホップにIPアドレスを含める場合は、BFD設定に neighbor ステートメントを含めます。
指定されたネクストホップが neighbor インターフェイス名の場合、 ステートメントを設定する必要があります。ネクストホップとしてIPアドレスを指定した場合、そのアドレスはBFDセッションのネイバーアドレスとして使用されます。
Junos OSリリース9.0以降では、BFDセッションが変化するネットワーク条件に適応しないように設定できます。BFDの適応を無効にするには、BFD設定に no-adaptation ステートメントを含めます。
ネットワークにBFDを適応しないことを望まない限り、BFD適応を無効に しないことを お勧めします。
BFDがスタティックルートの一端にのみ設定されている場合、ルートはルーティングテーブルから削除されます。BFDは、スタティックルートの両端にBFDが設定されている場合、セッションを確立します。
BFDは、静的ルートのISOアドレスファミリーではサポートされていません。BFDはIS-ISをサポートしています。
グレースフル ルーティング エンジン スイッチオーバー(GRES)を BFD と同時に設定した場合、GRES はフェイルオーバー時に BFD の状態情報を保持しません。
「」も参照
例:ネットワーク障害検知を高速化するスタティックルート向けBFDの設定
この例では、スタティックルートに対して双方向転送検出(BFD)を設定する方法を示しています。
要件
この例では、デバイスの初期化以上の特別な設定は必要ありません。
概要
静的ルートには、多くの実践的な用途があります。静的ルーティングは、ネットワークエッジでスタブネットワークへの添付ファイルをサポートするためによく使用されます。これは、一元的なエントリーとエグレスを考えると、静的ルートのシンプルさに適しています。Junos OSでは、静的ルートのグローバルプリファレンス値は5です。指定されたネクストホップに到達可能であれば、静的ルートがアクティブになります。
この例では、172.16.1.2のネクストホップアドレスを使用して、プロバイダネットワークから顧客ネットワークへの静的ルート192.168.47.0/24を設定します。また、顧客ネットワークからプロバイダーネットワークへの0.0.0.0/0の静的デフォルトルートを、172.16.1.1.1のネクストホップアドレスを使用して設定します。
デモ用に、一部のループバックインターフェイスはデバイスBとデバイスDに設定されています。これらのループバック インターフェイスは ping にアドレスを提供するため、静的ルートが動作していることを確認します。
図 1 は、サンプル ネットワークを示しています。
に接続された顧客ルート
トポロジ
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更してから、 階層レベルの CLI にコマンドを [edit] コピー アンド ペーストします。
デバイスB
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
デバイスD
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 Junos OS CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
スタティックルートにBFDを設定するには:
デバイスBで、インターフェイスを設定します。
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
デバイスBで、静的ルートを作成し、ネクストホップアドレスを設定します。
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
デバイスBで、スタティックルートにBFDを設定します。
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
デバイスBで、BFDのトレース操作を設定します。
[edit protocols] user@B# set bfd traceoptions file bfd-trace user@B# set bfd traceoptions flag all
デバイスBの設定が完了したら、設定をコミットします。
[edit] user@B# commit
デバイスDで、インターフェイスを設定します。
[edit interfaces] user@D# set ge-1/2/0 unit 1 description D->B user@D# set ge-1/2/0 unit 1 family inet address 172.16.1.2/24 user@D# set lo0 unit 2 family inet address 192.168.47.5/32 user@D# set lo0 unit 2 family inet address 192.168.47.6/32
デバイスDで、静的ルートを作成し、ネクストホップアドレスを設定します。
[edit routing-options] user@D# set static route 0.0.0.0/0 next-hop 172.16.1.1
デバイスDで、スタティックルートにBFDを設定します。
[edit routing-options] user@D# set static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000
デバイスDで、BFDのトレース操作を設定します。
[edit protocols] user@D# set bfd traceoptions file bfd-trace user@D# set bfd traceoptions flag all
デバイスDの設定が完了したら、設定をコミットします。
[edit] user@D# commit
結果
、 show protocols、 コマンドを発行してshow interfaces、設定をshow routing-options確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
デバイスB
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@D# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
}
}
}
デバイスD
user@D# show interfaces
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
lo0 {
unit 2 {
family inet {
address 192.168.47.5/32;
address 192.168.47.6/32;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
next-hop 172.16.1.1;
bfd-liveness-detection {
description Site - xxx;
minimum-interval 1000;
}
}
}
検証
設定が正しく機能していることを確認します。
BFDセッションが立ち上がっていることを検証する
目的
BFDセッションが立ち上がっていることを確認し、BFDセッションの詳細を表示します。
アクション
動作モードから、 コマンドを show bfd session extensive 入力します。
user@B> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up lt-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000
Session up time 00:14:30
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 172
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 2, remote discriminator 1
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
は description Site- <xxx> 、SRXシリーズファイアウォールでのみサポートされています。
各クライアントに複数の説明フィールドがある場合、最初の説明フィールドとともに「and more」と表示されます。
user@D> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.1 Up lt-1/2/0.1 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000
Session up time 00:14:35
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 170
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 1, remote discriminator 2
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
意味
出力は TX interval 1.000, RX interval 1.000 、 ステートメントで設定された設定を minimum-interval 表しています。その他の出力はすべて、BFDのデフォルト設定を表しています。デフォルト設定を変更するには、 ステートメントの下にオプションのステートメントを bfd-liveness-detection 含めます。
詳細な BFD イベントの表示
目的
BFDトレースファイルの内容を表示し、必要に応じてトラブルシューティングに役立てましょう。
アクション
動作モードから、 コマンドを file show /var/log/bfd-trace 入力します。
user@B> file show /var/log/bfd-trace Nov 23 14:26:55 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 72 Nov 23 14:26:55 PPM Trace: BFD periodic xmit rt tbl index 172 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 108: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 83: (hex) 70 70 6d 64 5f 62 66 64 5f 73 65 6e 64 6d 73 67 20 3a 20 Nov 23 14:26:55 PPM Trace: ppmd_bfd_sendmsg : socket 12 len 24, ifl 78 src 172.16.1.1 dst 172.16.1.2 errno 65 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 93: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 68: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 74
意味
BFD メッセージがトレース ファイルに書き込まれます。
スタティックルートセキュリティのためのBFD認証の理解
BFD(Bidirectional Forwarding Detection)により、隣接するシステム間の通信障害を迅速に検出できます。デフォルトでは、BFDセッションの認証は無効になっています。しかし、ネットワークレイヤープロトコル上でBFDを実行すると、サービス攻撃のリスクが大きくなる可能性があります。
複数のホップまたは安全でないトンネルを介してBFDを実行している場合は、認証を使用することを強くお勧めします。
Junos OSリリース9.6以降、Junos OSは、IPv4およびIPv6スタティックルート上で実行されるBFDセッションの認証をサポートしています。BFD認証は、MPLS OAMセッションではサポートされていません。BFD認証は、カナダおよび米国バージョンのJunos OSイメージでのみサポートされており、エクスポートバージョンでは利用できません。
EX3300は、スタティックルート上でのみBFDをサポートしています。
認証アルゴリズムとキーチェーンを指定し、その設定情報をキーチェーン名を使用してセキュリティ認証キーチェーンに関連付けることで、BFD セッションを認証します。
以下のセクションでは、サポートされている認証アルゴリズム、セキュリティキーチェーン、および設定可能な認証レベルについて説明します。
BFD認証アルゴリズム
Junos OSは、BFD認証用に以下のアルゴリズムをサポートしています。
シンプルパスワード—プレーンテキストパスワード。BFDセッションの認証には、1~16バイトのプレーンテキストが使用されます。1つ以上のパスワードを設定できます。この方法は最も安全性が低く、BFDセッションがパケット傍受の対象でない場合にのみ使用する必要があります。
keyed-md5—送信間隔と受信間隔が 100 ms を超えるセッションの鍵付きメッセージ ダイジェスト 5 ハッシュ アルゴリズム。BFDセッションを認証するために、キー付きMD5は1つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。この方法では、いずれかのキーが一致し、シーケンス番号が受信した最後のシーケンス番号以上の場合、セッションの受信側でパケットが受け入れられます。単純なパスワードよりも安全性は高いですが、この方法は攻撃をリプレイする脆弱性があります。シーケンス番号が更新されるレートを上げることで、このリスクが軽減されます。
細心の注意を払った- md5 - 細心の注意を要したメッセージダイジェスト5ハッシュアルゴリズム。この方法はキー付き MD5 と同じように動作しますが、シーケンス番号は各パケットで更新されます。キー付きMD5やシンプルなパスワードよりも安全性が高いですが、この方法ではセッションの認証にさらに時間がかかる場合があります。
keyed-sha-1 —送信および受信間隔が 100 ms を超えるセッションの鍵付きセキュア ハッシュ アルゴリズム I。BFDセッションを認証するために、キー付きSHAは1つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。鍵はパケット内で伝送されません。この方法では、いずれかのキーが一致し、シーケンス番号が最後に受信したシーケンス番号よりも大きい場合、セッションの受信側でパケットが受け入れられます。
細心の注意を払った鍵付き sha-1 — 細心の注意を要したセキュア ハッシュ アルゴリズム I。このメソッドはキー付き SHA と同じように動作しますが、シーケンス番号は各パケットで更新されます。キー付き SHA や単純なパスワードよりもセキュアですが、この方法ではセッションの認証にさらに時間がかかる場合があります。
ノンストップ アクティブ ルーティング (NSR)は、細心の注意を払った鍵付き md5 および細心の注意を払った sha-1 認証アルゴリズムではサポートされていません。これらのアルゴリズムを使用したBFDセッションは、スイッチオーバー後にダウンすることがあります。
QFX5000シリーズスイッチおよびEX4600スイッチは、1秒未満の最小間隔値をサポートしていません。
セキュリティー認証キーチェーン
セキュリティ認証キーチェーンは、認証キーの更新に使用される認証属性を定義します。セキュリティ認証キーチェーンが設定され、キーチェーン名を介してプロトコルに関連付けられている場合、ルーティングとシグナリングプロトコルを中断することなく、認証キーの更新が行われる可能性があります。
認証キーチェーンには、1 つ以上のキーチェーンが含まれています。各キーチェーンには、1 つ以上のキーが含まれています。各キーには、シークレット データと、キーが有効になる時刻が保持されます。アルゴリズムとキーチェーンは、BFDセッションの両端で設定する必要があり、一致する必要があります。設定が一致していないと、BFDセッションが作成されません。
BFD ではセッションごとに複数のクライアントを許可し、各クライアントには独自のキーチェーンとアルゴリズムを定義できます。混乱を避けるために、セキュリティ認証キーチェーンを 1 つだけ指定することをお勧めします。
ストリクト認証とルーズ認証の比較
デフォルトでは、厳密な認証が有効になっており、各BFDセッションの両端で認証がチェックされます。オプションで、認証されていないセッションから認証されたセッションにスムーズに移行するには、 ルーズチェックを設定できます。ルーズチェックが設定されている場合、セッションの各エンドで認証がチェックされることなくパケットが受け入れられます。この機能は、移行期間のみを対象としています。
例:スタティックルートを保護するためのBFD認証の設定
この例では、スタティックルートに対して双方向転送検出(BFD)認証を設定する方法を示しています。
要件
Junos OS リリース 9.6 以降(Canda および米国バージョン)。
BFD認証は、カナダおよび米国バージョンのJunos OSイメージでのみサポートされており、エクスポートバージョンでは利用できません。
概要
IPv4およびIPv6スタティックルート上で実行されるBFDセッションの認証を設定できます。ルーティング インスタンスと論理システムもサポートされます。
BFDセッションで認証を設定するには、以下の手順が必要です。
静的ルートのBFD認証アルゴリズムを指定します。
認証キーチェーンを静的ルートに関連付けます。
関連するセキュリティ認証キーチェーンを設定します。これは、メインルーターで設定する必要があります。
非認証セッションから認証されたセッションに移行する場合は、ルーズ認証チェックを指定することをお勧めします。
[edit] user@host> set routing-options static route ipv4 bfd-liveness-detection authentication loose-check
図 2 は、サンプル ネットワークを示しています。
に接続された顧客ルート
トポロジ
構成
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更してから、 階層レベルの CLI にコマンドを [edit] コピー アンド ペーストします。
デバイスB
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
デバイスD
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 Junos OS CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
スタティックルートにBFDを設定するには:
デバイスBで、インターフェイスを設定します。
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
デバイスBで、静的ルートを作成し、ネクストホップアドレスを設定します。
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
デバイスBで、スタティックルートにBFDを設定します。
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
デバイスBで、静的ルートでBFD認証に使用するアルゴリズム(keyed-md5、 keyed-sha-1、 細心の注意を払った鍵付き-md5、 細心の注意を払った鍵付き sha-1、または シンプルパスワード)を指定します。
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1
メモ:ノンストップ アクティブ ルーティング(NSR)は、細心の注意を払った鍵付き md5 および細心の注意を払った鍵付き sha-1 認証アルゴリズムではサポートされていません。これらのアルゴリズムを使用したBFDセッションは、スイッチオーバー後にダウンすることがあります。
-
デバイス B で、指定されたルート上の BFD セッションを固有のセキュリティ認証キーチェーン属性に関連付けるために使用するキーチェーンを指定します。
これは、 階層レベルで設定されたキーチェーン名と一致する
[edit security authentication key-chains]必要があります。[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4
デバイスBで、BFDセッションの固有のセキュリティ認証情報を指定します。
-
ステップ 5 で指定された一致するキーチェーン名。
少なくとも1つのキー、 0 ~ 63の一意の整数。複数のキーを作成することで、複数のクライアントがBFDセッションを使用できるようになります。
セッションへのアクセスを許可するために使用される秘密データ。
認証キーがアクティブになる時刻を、 の形式で指定します yyyy-mm-dd.hh:mm:ss。
[edit security authentication-key-chains key-chain bfd-kc4] user@B# set key 5 secret "$ABC123$ABC123$ABC123" user@B# set key 5 start-time "2011-1-1.12:00:00 -0800"
-
デバイスBの設定が完了したら、設定をコミットします。
[edit] user@B# commit
デバイス D で設定を繰り返します。
アルゴリズムとキーチェーンは、BFDセッションの両端で設定する必要があり、一致する必要があります。設定が一致していないと、BFDセッションが作成されません。
結果
、 show routing-options、 コマンドを発行してshow interfaces、設定をshow security確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
デバイスB
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
authentication {
key-chain bfd-kc4;
algorithm keyed-sha-1;
}
}
}
}
user@B# show security
authentication-key-chains {
key-chain bfd-kc4 {
key 5 {
secret "$ABC123$ABC123$ABC123"; ## SECRET-DATA
start-time "2011-1-1.12:00:00 -0800";
}
}
}
検証
設定が正しく機能していることを確認します。
BFDセッションが立ち上がっていることを検証する
目的
BFDセッションが立ち上がっていることを確認します。
アクション
動作モードから、 コマンドを show bfd session 入力します。
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
意味
コマンド出力は、BFDセッションが立ち上がっていることを示しています。
BFD セッションの詳細の表示
目的
BFDセッションの詳細を表示し、認証が設定されていることを確認します。
アクション
動作モードから、 コマンドを show bfd session detail 入力します。
user@B> show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000, Authenticate
Session up time 00:53:58
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
意味
コマンド出力には、BFD認証が設定されていることを示す 認証 が表示されます。
広範な BFD セッション情報の表示
目的
BFD セッションの詳細を表示します。
アクション
動作モードから、 コマンドを show bfd session extensive 入力します。
user@B> show bfd session extensive
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000, Authenticate
keychain bfd-kc4, algo keyed-sha-1, mode strict
Session up time 01:39:45
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 3, remote discriminator 4
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-kc4, algo keyed-sha-1, mode strict
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
意味
コマンド出力には、BFD認証が設定されていることを示す 認証 が表示されます。コマンドの extensive 出力は、キーチェーン名、認証アルゴリズム、およびセッション内の各クライアントのモードを提供します。
は description Site- <xxx> 、SRXシリーズファイアウォールでのみサポートされています。
各クライアントに複数の説明フィールドがある場合、最初の説明フィールドとともに「and more」と表示されます。
例:ルート選択のためのスタティックルートの認定ネクストホップでBFDを有効にする
この例では、可能な複数のネクストホップで静的ルートを設定する方法を示しています。各ネクストホップでは、BFD(Bidirectional Forwarding Detection)が有効になっています。
要件
この例では、デバイスの初期化以上の特別な設定は必要ありません。
概要
この例では、デバイスBには2つのネクストホップが含まれる静的ルート 192.168.47.0/24 があります。2つのネクストホップは、2つの qualified-next-hop ステートメントを使用して定義されます。各ネクストホップでBFDが有効になっています。
BFDは、接続の両端でBFDを有効にする必要があるため、デバイスDでも有効になっています。
BFDセッションが立ち上がっていれば、ネクストホップがルーティング・テーブルに含まれます。BFDセッションがダウンした場合、ネクストホップはルーティング・テーブルから削除されます。
図 3 を参照してください。
で BFD が有効になっている
トポロジ
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更してから、 階層レベルの CLI にコマンドを [edit] コピー アンド ペーストします。
デバイスB
set interfaces fe-0/1/0 unit 2 description secondary-B->D set interfaces fe-0/1/0 unit 2 family inet address 192.168.2.1/24 set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set routing-options static route 192.168.47.0/24 qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 set routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
デバイスD
set interfaces fe-0/1/0 unit 3 description secondary-D->B set interfaces fe-0/1/0 unit 3 family inet address 192.168.2.2/24 set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set routing-options static route 0.0.0.0/0 qualified-next-hop 192.168.2.1 set routing-options static route 0.0.0.0/0 qualified-next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 60
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 Junos OS CLIユーザーガイドの 設定モードでのCLIエディターの使用を参照してください。
BFDを有効にした状態で、2つのネクストホップが可能なスタティックルートを設定するには:
デバイスBで、インターフェイスを設定します。
[edit interfaces fe-0/1/0] user@B# set unit 2 description secondary-B->D user@B# set unit 2 family inet address 192.168.2.1/24 [edit interfaces ge-1/2/0] user@B# set unit 0 description B->D user@B# set unit 0 family inet address 172.16.1.1/24
デバイスBでは、BFDを有効にした状態で、2つのネクストホップで静的ルートを設定します。
[edit routing-options static route 192.168.47.0/24] user@B# set qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 user@B# set qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
デバイスDで、インターフェイスを設定します。
[edit interfaces fe-0/1/0] user@D# set unit 3 description secondary-D->B user@D# set unit 3 family inet address 192.168.2.2/24 [edit interfaces ge-1/2/0] user@D# set unit 1 description D->B user@D# set unit 1 family inet address 172.16.1.2/24
デバイスDでは、プロバイダネットワークへのネクストホップを2つ持つBFD対応のデフォルトスタティックルートを設定します。
この場合、BFDはネクストホップではなくルートで有効になっています。
[edit routing-options static route 0.0.0.0/0] user@D# set qualified-next-hop 192.168.2.1 user@D# set qualified-next-hop 172.16.1.1 user@D# set bfd-liveness-detection minimum-interval 60
結果
および show routing-options コマンドを発行して、設定をshow interfaces確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@B# show interfaces
fe-0/1/0 {
unit 2 {
description secondary-B->D;
family inet {
address 192.168.2.1/24;
}
}
}
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
qualified-next-hop 192.168.2.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
qualified-next-hop 172.16.1.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
}
}
user@D# show interfaces
fe-0/1/0 {
unit 3 {
description secondary-D->B;
family inet {
address 192.168.2.2/24;
}
}
}
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
qualified-next-hop 192.168.2.1;
qualified-next-hop 172.16.1.1;
bfd-liveness-detection {
minimum-interval 60;
}
}
}
デバイスの設定が完了したら、設定モードから コミット を入力します。
検証
設定が正しく機能していることを確認します。
ルーティング テーブルの確認
目的
スタティック ルートが、デバイス B のルーティング テーブルに、可能性のある 2 つのネクスト ホップとともに表示されていることを確認します。
アクション
user@B> show route 192.168.47.0 extensive
inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)
192.168.47.0/24 (1 entry, 1 announced)
TSI:
KRT in-kernel 192.168.47.0/24 -> {192.168.2.2}
*Static Preference: 5
Next hop type: Router
Address: 0x9334010
Next-hop reference count: 1
Next hop: 172.16.1.2 via ge-1/2/0.0
Next hop: 192.168.2.2 via fe-0/1/0.2, selected
State: <Active Int Ext>
Age: 9
Task: RT
Announcement bits (1): 3-KRT
AS path: I
意味
両方のネクスト ホップがリストされます。ネクスト ホップ 192.168.2.2 が選択されたルートです。
BFDセッションの検証
目的
BFDセッションが立ち上がっていることを確認します。
アクション
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 0.720 0.240 3
192.168.2.2 Up fe-0/1/0.2 0.720 0.240 3
2 sessions, 2 clients
Cumulative transmit rate 8.3 pps, cumulative receive rate 8.3 pps
意味
出力は、BFDセッションが立ち上がっていることを示しています。
デバイスDからBFDを取り外す
目的
両方のネクストホップで BFD セッションがダウンした場合に何が起こるかを示します。
アクション
デバイスDでBFDを無効にします。
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
デバイス B で コマンドを
show bfd session再実行してください。user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 172.16.1.2 Down ge-1/2/0.0 3.000 1.000 3 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3 2 sessions, 2 clients Cumulative transmit rate 2.0 pps, cumulative receive rate 2.0 ppsデバイス B で コマンドを
show route 192.168.47.0再実行してください。user@B> show route 192.168.47.0
意味
予想通り、BFDセッションがダウンすると、スタティックルートがルーティングテーブルから削除されます。
1 つのネクスト ホップから BFD を削除する
目的
1 つのネクスト ホップのみが BFD を有効にした場合に何が起こるかを示します。
アクション
それがまだ非アクティブ化されていない場合、デバイスDでBFDを非アクティブにします。
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
デバイスBのネクストホップの1つでBFDを無効にします。
[edit routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2] user@B# deactivate bfd-liveness-detection user@B# commit
デバイス B で コマンドを
show bfd session再実行してください。user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3デバイス B で コマンドを
show route 192.168.47.0 extensive再実行してください。user@B> show route 192.168.47.0 extensive inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) 192.168.47.0/24 (1 entry, 1 announced) TSI: KRT in-kernel 192.168.47.0/24 -> {172.16.1.2} *Static Preference: 5 Next hop type: Router, Next hop index: 624 Address: 0x92f0178 Next-hop reference count: 3 Next hop: 172.16.1.2 via ge-1/2/0.0, selected State: <Active Int Ext> Age: 2:36 Task: RT Announcement bits (1): 3-KRT AS path: I
意味
予想通り、BFDセッションは192.168.2.2ネクストホップでダウンしています。BFDは、このネクストホップが有効であり続ける条件ではないため、172.16.1.2ネクストホップはルーティングテーブルに残り、ルートはアクティブなままになります。