スタティックルートの双方向フォワーディング検出
ネットワーク障害検出を高速化するためのスタティックルートのBFDについて
双方向フォワーディング検出(BFD)プロトコルは、ネットワーク内の障害を検出する単純なhelloメカニズムです。BFDは、さまざまなネットワーク環境とトポロジーで動作します。一対のルーティング・デバイスがBFDパケットを交換します。Helloパケットは、指定された、定期的な間隔で送信されます。ネイバー障害は、ルーティングデバイスが指定した時間経過後に応答の受信を停止すると検出されます。BFD障害検出タイマーは、静的ルート障害検出メカニズムよりも制限時間が短いため、より高速に検出できます。
BFDの障害検出タイマーは、速くまたは遅くするように調整できます。BFD障害検出タイマーの値が低いほど、障害検出が速くなり、その逆も同様です。たとえば、隣接関係に障害が発生した場合(つまり、タイマーが障害の検出に速度を落とした場合)、タイマーはより高い値に適応できます。または、ネイバーは、設定された値よりも高い値のタイマーをネゴシエートできます。BFDセッションのフラップが15秒間に3回以上発生すると、タイマーはより高い値に適応します。バックオフアルゴリズムは、ローカルBFDインスタンスがセッションフラップの原因である場合に、受信(Rx)の間隔を2つ増加させます。リモートBFDインスタンスがセッションフラップの原因である場合は、送信(Tx)の間隔が2つ増加します。コマンドを使用して、BFD間隔タイマーを設定した値に戻すことができます clear bfd adaptation 。コマンドは clear bfd adaptation ヒットレスであり、コマンドがルーティングデバイスのトラフィックフローに影響を及ぼすことはありません。
デフォルトでは、BFD はシングルホップのスタティック ルートでサポートされています。
MX シリーズ デバイスでは、静的ルートに複数のネクスト ホップが設定されている場合、スタティック ルートでのマルチホップ BFD はサポートされません。スタティック ルートにマルチホップ BFD が必要な場合、複数のネクスト ホップを使用しないようにすることをお勧めします。
障害検出を有効にするには、静的ルート設定に ステートメントを含め bfd-liveness-detection ます。
Junos OSリリース15.1X49-D70およびJunos OSリリース17.3R1以降、 bfd-liveness-detection コマンドには説明フィールドが含まれます。説明はオブジェクトの下の bfd-liveness-detection 属性で、SRXシリーズファイアウォールでのみサポートされています。このフィールドは、スタティック ルートにのみ適用されます。
Junos OS Release 9.1 以降では、IPv6 スタティック ルートで BFD プロトコルがサポートされています。スタティックルートでは、グローバルユニキャストおよびリンクローカル IPv6 アドレスがサポートされます。BFD プロトコルは、マルチキャストまたはエニーキャスト IPv6 アドレスではサポートされていません。IPv6の場合、BFDプロトコルはスタティックルートのみをサポートし、Junos OSリリース9.3以降でのみサポートします。BFD 向け IPv6 は、eBGP プロトコルでもサポートされています。
IPv6スタティックルートにBFDプロトコルを設定するには、階層レベルでステートメント bfd-liveness-detection を含めます [edit routing-options rib inet6.0 static route destination-prefix] 。
Junos OS リリース 8.5 以降では、ホールドダウン間隔を設定して、状態変更通知が送信されるまでの BFD セッションの稼働時間を指定できます。
ホールドダウン間隔を指定するには、BFD設定に ステートメントを含め holddown-interval ます。0〜255,000ミリ秒の範囲で数値を設定できます。デフォルトは 0 です。BFD セッションがダウンし、ホールドダウン間隔中に再び立ち上がると、タイマーが再起動されます。
1つのBFDセッションに複数のスタティックルートが含まれる場合は、値が最も高いホールドダウン間隔が使用されます。
障害検出の最小送信および受信間隔を指定するには、BFD 設定に ステートメントを含め minimum-interval ます。
この値は、ローカル ルーティング デバイスが hello パケットを送信する最小間隔と、ルーティング デバイスが BFD セッションを確立したネイバーからの応答を受信することを期待する最小間隔の両方を表します。1〜255,000ミリ秒の範囲で数値を設定できます。オプションとして、このステートメントを使用する代わりに、送信間隔の最小間隔とステートメントを使用して、最小送信間隔と受信間隔minimum-receive-intervalを個別に設定することができます。
EX4600 スイッチは、1 秒未満の最小間隔値をサポートしていません。
BFDは、システムリソースを消費する集中的なプロトコルです。BFD の最小間隔を、ルーティングエンジンベースのセッションでは 100 ミリ秒未満、分散 BFD セッションでは 10 ミリ秒未満に指定すると、望ましくない BFD フラッピングが発生する可能性があります。
ネットワーク環境によっては、次の追加の推奨事項が適用される場合があります。
-
BFDセッションの数が多い大規模なネットワーク展開の場合、ルーティングエンジンベースのセッションの最小間隔を300ミリ秒、分散BFDセッションの最小間隔を100ミリ秒に指定します。
-
多数のBFDセッションを伴う大規模なネットワーク導入の場合は、ジュニパーネットワークスのカスタマーサポートにお問い合わせください。
-
ノンストップアクティブルーティング(NSR)が設定されている場合、ルーティングエンジンスイッチオーバーイベント中にBFDセッションの稼働状態を維持するには、ルーティングエンジンベースのセッションの最小間隔を2500ミリ秒に指定します。NSR が設定された分散 BFD セッションの場合、推奨される最小間隔は変更されず、ネットワークの導入状況にのみ依存します。
障害検出の最小受信間隔を指定するには、BFD 設定に ステートメントを含めminimum-receive-intervalます。この値は、ルーティングデバイスがBFDセッションを確立したネイバーからの応答を受信すると予想される最小間隔を表します。1〜255,000ミリ秒の範囲で数値を設定できます。オプションで、このステートメントを使用する代わりに、 階層レベルの ステートメント[edit routing-options static route destination-prefix bfd-liveness-detection]を使用してminimum-interval最小受信間隔を設定できます。
発信元インターフェイスがダウンを宣言する原因となる、ネイバーが受信しない hello パケットの数を指定するには、BFD 設定に ステートメントを含め multiplier ます。デフォルト値は 3 です。1 〜 255 の範囲の数値を設定できます。
検出時間の適応を検出するためのしきい値を指定するには、BFD 設定に ステートメントを含め threshold ます。
BFD セッション検出時間がしきい値以上の値に適応すると、シングル トラップとシステム ログ メッセージが送信されます。検出時間は、最小間隔値または最小受信間隔値の乗数に基づきます。しきい値は、これらの設定された値の乗数よりも大きい値でなければなりません。例えば、最小受信間隔が300ミリ秒で乗数が3の場合、合計検出時間は900ミリ秒になります。したがって、検出時間のしきい値は 900 より大きい値を持つ必要があります。
障害検出の最小送信間隔を指定するには、BFD 設定に ステートメントを含め transmit-interval minimum-interval ます。
この値は、ローカル ルーティング デバイスが BFD セッションを確立したネイバーに hello パケットを送信する最小間隔を表します。1〜255,000ミリ秒の範囲の値を設定できます。オプションで、 ステートメントを使用する代わりに、 階層レベルで ステートメント[edit routing-options static route destination-prefix bfd-liveness-detection]を使用してminimum-interval最小送信間隔を設定できます。
送信間隔の適応のしきい値を指定するには、BFD設定に ステートメントを含め transmit-interval threshold ます。
しきい値は、送信間隔よりも大きくなければなりません。BFD セッションの送信時間がしきい値以上の値に適応すると、シングル トラップとシステム ログ メッセージが送信されます。検出時間は、 階層レベルの最小間隔 または minimum-receive-interval ステートメントの値の乗数に基づきます [edit routing-options static route destination-prefix bfd-liveness-detection] 。しきい値は、これらの設定された値の乗数よりも大きい値でなければなりません。
BFDバージョンを指定するには、BFD設定に ステートメントを含め version ます。デフォルトでは、バージョンが自動的に検出されます。
BFD セッションのネクスト ホップの IP アドレスを含めるには、BFD 設定に ステートメントを含め neighbor ます。
指定したネクストホップがインターフェイス名の場合、 ステートメントを設定する必要があります neighbor 。ネクストホップとしてIPアドレスを指定した場合、そのアドレスはBFDセッションのネイバーアドレスとして使用されます。
Junos OS リリース 9.0 以降では、BFD セッションがネットワーク状態の変化に適応しないように設定できます。BFD アダプテーションを無効にするには、BFD 設定に ステートメントを含め no-adaptation ます。
ネットワークにBFDアダプテーションを導入し ないこと が望ましくない限り、BFDアダプテーションを無効にしないことを推奨します。
スタティック ルートの片端にのみ BFD が設定されている場合、ルートはルーティング テーブルから削除されます。スタティックルートの両端でBFDが設定されている場合、BFDはセッションを確立します。
BFD は、スタティック ルートの ISO アドレス ファミリーではサポートされていません。BFDはIS-ISをサポートしています。
BFD と同時にグレースフル ルーティング エンジン スイッチオーバー(GRES)を設定すると、GRES はフェイルオーバー中に BFD の状態情報を保持しません。
関連項目
例:ネットワーク障害検出を高速化するためのスタティック ルートへの BFD の設定
この例では、スタティックルートに双方向フォワーディング検出(BFD)を設定する方法を示します。
要件
この例では、デバイスの初期化以上の特別な設定は必要ありません。
概要
スタティックルートには多くの実用的なアプリケーションがあります。スタティック ルーティングは、スタブ ネットワークへの接続をサポートするためにネットワーク エッジで使用されることが多く、スタブ ネットワークは単一のエントリー ポイントとエグレスを考慮すると、スタティック ルートのシンプルさに適しています。Junos OS では、スタティック ルートのグローバル プリファレンスは 5 です。スタティック ルートは、指定されたネクスト ホップが到達可能な場合にアクティブになります。
この例では、ネクストホップアドレス172.16.1.2を使用して、プロバイダーネットワークから顧客ネットワークへの静的ルート192.168.47.0/24を設定します。また、ネクストホップアドレス172.16.1.1を使用して、顧客ネットワークからプロバイダネットワークへの静的デフォルトルート0.0.0.0/0を設定します。
デモンストレーションのために、一部のループバック インターフェイスがデバイス B とデバイス D に設定されています。これらのループバックインターフェイスは、pingにアドレスを提供し、静的ルートが機能しているかどうかを確認します。
図 1 に、サンプル ネットワークを示します。
に接続された顧客ルート
トポロジ
構成
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 階層レベルのCLI [edit] にコマンドをコピーして貼り付けます。
1 デバイスB 1
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
デバイスD 1
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、『Junos OS CLIユーザーガイド』の「 コンフィギュレーション・モードで CLI エディタを使用する」を参照してください。
スタティック ルートに BFD を設定するには:
デバイスBで、インターフェイスを設定します。
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
デバイスBで、静的ルートを作成し、ネクストホップアドレスを設定します。
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
デバイスBで、静的ルートのBFDを設定します。
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
デバイスBで、BFDのトレース操作を設定します。
[edit protocols] user@B# set bfd traceoptions file bfd-trace user@B# set bfd traceoptions flag all
デバイス B の設定が完了したら、設定をコミットします。
[edit] user@B# commit
デバイス D で、インターフェイスを設定します。
[edit interfaces] user@D# set ge-1/2/0 unit 1 description D->B user@D# set ge-1/2/0 unit 1 family inet address 172.16.1.2/24 user@D# set lo0 unit 2 family inet address 192.168.47.5/32 user@D# set lo0 unit 2 family inet address 192.168.47.6/32
デバイス D で、静的ルートを作成し、ネクストホップ アドレスを設定します。
[edit routing-options] user@D# set static route 0.0.0.0/0 next-hop 172.16.1.1
デバイス D で、静的ルートの BFD を設定します。
[edit routing-options] user@D# set static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000
デバイス D で、BFD のトレース操作を設定します。
[edit protocols] user@D# set bfd traceoptions file bfd-trace user@D# set bfd traceoptions flag all
デバイス D の設定が完了したら、設定をコミットします。
[edit] user@D# commit
結果
、 、および のコマンドを発行show interfacesしてshow routing-options、show protocols設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
1 デバイスB 1
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@D# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
}
}
}
デバイスD 1
user@D# show interfaces
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
lo0 {
unit 2 {
family inet {
address 192.168.47.5/32;
address 192.168.47.6/32;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
next-hop 172.16.1.1;
bfd-liveness-detection {
description Site - xxx;
minimum-interval 1000;
}
}
}
検証
設定が正常に機能していることを確認します。
BFD セッションが立ち上がっていることの確認
目的
BFDセッションが立ち上がっていることを確認し、BFDセッションの詳細を表示します。
アクション
動作モードから コマンド show bfd session extensive を入力します。
user@B> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up lt-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000
Session up time 00:14:30
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 172
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 2, remote discriminator 1
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
は description Site- <xxx> 、SRXシリーズファイアウォールでのみサポートされています。
各クライアントに複数の説明フィールドがある場合は、最初の説明フィールドとともに「and more」と表示されます。
user@D> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.1 Up lt-1/2/0.1 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000
Session up time 00:14:35
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 170
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 1, remote discriminator 2
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
意味
出力は TX interval 1.000, RX interval 1.000 、 ステートメントで minimum-interval 構成された設定を表しています。その他の出力はすべて、BFDのデフォルト設定を表しています。デフォルトの設定を変更するには、ステートメントの下にオプションのステートメントを含めます bfd-liveness-detection 。
詳細な BFD イベントの表示
目的
BFDトレースファイルの内容を表示し、必要に応じてトラブルシューティングに役立てることができます。
アクション
動作モードから コマンド file show /var/log/bfd-trace を入力します。
user@B> file show /var/log/bfd-trace Nov 23 14:26:55 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 72 Nov 23 14:26:55 PPM Trace: BFD periodic xmit rt tbl index 172 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 108: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 83: (hex) 70 70 6d 64 5f 62 66 64 5f 73 65 6e 64 6d 73 67 20 3a 20 Nov 23 14:26:55 PPM Trace: ppmd_bfd_sendmsg : socket 12 len 24, ifl 78 src 172.16.1.1 dst 172.16.1.2 errno 65 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 93: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 68: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 74
意味
BFDメッセージがトレースファイルに書き込まれます。
スタティック ルート セキュリティのための BFD 認証について
双方向フォワーディング検出(BFD)により、隣接システム間の通信障害を迅速に検出できます。デフォルトでは、BFD セッションの認証は無効になっています。ただし、ネットワーク層プロトコル上で BFD を実行すると、サービス攻撃のリスクが大きくなる可能性があります。
複数のホップまたは安全でないトンネルを介してBFDを実行している場合は、認証を使用することを強くお勧めします。
Junos OS リリース 9.6 以降、Junos OS は、IPv4 および IPv6 スタティック ルートで実行される BFD セッションの認証をサポートしています。BFD 認証は、MPLS OAM セッションではサポートされていません。BFD 認証は、カナダおよび米国バージョンの Junos OS イメージでのみサポートされており、エクスポート バージョンでは使用できません。
EX3300は、スタティックルート上でのみBFDをサポートしています。
BFD セッションを認証するには、認証アルゴリズムとキーチェーンを指定し、そのキーチェーン名を使用して、その設定情報をセキュリティ認証キーチェーンに関連付けます。
次のセクションでは、サポートされている認証アルゴリズム、セキュリティ キーチェーン、および設定可能な認証レベルについて説明します。
BFD認証アルゴリズム
Junos OSは、BFD認証について以下のアルゴリズムをサポートしています。
シンプルパスワード - プレーンテキストのパスワード。1〜16バイトのプレーンテキストがBFDセッションの認証に使用されます。1 つ以上のパスワードを設定できます。この方法は最も安全性が低く、BFD セッションがパケット傍受の影響を受けない場合にのみ使用してください。
keyed-md5—送信および受信間隔が 100 ミリ秒を超えるセッション用のキー付きメッセージ ダイジェスト 5 ハッシュ アルゴリズム。BFD セッションを認証するために、keyed MD5 は 1 つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。この方法では、キーの 1 つが一致し、シーケンス番号が最後に受信したシーケンス番号以上の場合、セッションの受信側でパケットが受け入れられます。この方法は単純なパスワードよりも安全ですが、リプレイ攻撃に対して脆弱です。シーケンス番号の更新頻度を上げると、このリスクを軽減できます。
meticulous-keyed-md5:綿密なキー付きメッセージダイジェスト5ハッシュアルゴリズム。この方法は、キー付き MD5 と同じように機能しますが、シーケンス番号はパケットごとに更新されます。この方法は、キーによる MD5 や単純なパスワードよりも安全ですが、セッションの認証にさらに時間がかかる場合があります。
keyed-sha-1—送信および受信間隔が 100 ミリ秒を超えるセッション用のキー付きセキュア ハッシュ アルゴリズム I。BFD セッションを認証するために、keyed SHA は 1 つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。キーはパケット内では伝送されません。この方法では、キーの1つが一致し、シーケンス番号が最後に受信したシーケンス番号より大きい場合、セッションの受信側でパケットが受け入れられます。
meticulous-keyed-sha-1—綿密なキー付きセキュアハッシュアルゴリズムI.このメソッドはキー付き SHA と同じように機能しますが、シーケンス番号はパケットごとに更新されます。この方法では、キー付き SHA や単純なパスワードよりも安全ですが、セッションの認証にさらに時間がかかる場合があります。
ノンストップ アクティブ ルーティング (NSR)は、meticulous-keyed-md5 認証アルゴリズムおよび meticulous-keyed-sha-1 認証アルゴリズムではサポートされていません。これらのアルゴリズムを使用する BFD セッションは、スイッチオーバー後にダウンする可能性があります。
QFX5000 シリーズ スイッチと EX4600 スイッチは、1 秒未満の最小間隔値をサポートしていません。
セキュリティ認証キーチェーン
セキュリティ認証キーチェーンは、認証キーの更新に使用される認証属性を定義します。セキュリティ認証キーチェーンが設定され、キーチェーン名を介してプロトコルに関連付けられている場合、ルーティングおよびシグナリングプロトコルを中断することなく認証キーの更新を行うことができます。
認証キーチェーンには、1 つ以上のキーチェーンが含まれています。各キーチェーンには、1 つ以上のキーが含まれています。各キーには、シークレット データと、キーが有効になる時刻が保持されます。アルゴリズムとキーチェーンは、BFD セッションの両端で設定する必要があり、一致する必要があります。設定の不一致があると、BFDセッションは作成されません。
BFD ではセッションごとに複数のクライアントを許可し、各クライアントに独自のキーチェーンとアルゴリズムを定義できます。混乱を避けるため、セキュリティ認証キーチェーンを 1 つだけ指定することをお勧めします。
ストリクト認証とルーズ認証
デフォルトでは、厳密な認証が有効になっており、各 BFD セッションの両端で認証がチェックされます。オプションで、非認証セッションから認証済みセッションへのスムーズな移行のために、 ルーズチェックを設定できます。ルーズ チェックが設定されている場合、パケットはセッションの両端で認証がチェックされずに受け入れられます。この機能は、移行期間のみを対象としています。
例:スタティック ルートを保護するための BFD 認証の設定
この例では、スタティック ルートに双方向フォワーディング検出(BFD)認証を設定する方法を示します。
要件
Junos OS リリース 9.6 以降(Canda および米国版)。
BFD 認証は、カナダおよび米国バージョンの Junos OS イメージでのみサポートされており、エクスポート バージョンでは使用できません。
概要
IPv4およびIPv6スタティックルート上で実行されるBFDセッションの認証を設定できます。ルーティングインスタンスと論理システムもサポートされています。
BFD セッションで認証を設定するには、次の手順が必要です。
スタティック ルートの BFD 認証アルゴリズムを指定します。
認証キーチェーンをスタティックルートに関連付けます。
関連するセキュリティ認証キーチェーンを設定します。これはメインルーターで設定する必要があります。
非認証セッションから認証済みセッションに移行する場合は、緩い認証チェックを指定することをお勧めします。
[edit] user@host> set routing-options static route ipv4 bfd-liveness-detection authentication loose-check
図 2 に、サンプル ネットワークを示します。
に接続された顧客ルート
トポロジ
構成
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 階層レベルのCLI [edit] にコマンドをコピーして貼り付けます。
1 デバイスB 1
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
デバイスD 1
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、『Junos OS CLIユーザーガイド』の「 コンフィギュレーション・モードで CLI エディタを使用する」を参照してください。
スタティック ルートに BFD を設定するには:
デバイスBで、インターフェイスを設定します。
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
デバイスBで、静的ルートを作成し、ネクストホップアドレスを設定します。
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
デバイスBで、静的ルートのBFDを設定します。
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
デバイスBで、スタティックルートでのBFD認証に使用するアルゴリズム(keyed-md5、keyed-sha-1、meticulous-keyed-md5、meticulous-keyed-sha-1、またはsimple-password)を指定します。
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1
メモ:ノンストップ アクティブ ルーティング(NSR)は、meticulous-keyed-md5 認証アルゴリズムおよび meticulous-keyed-sha-1 認証アルゴリズムではサポートされていません。これらのアルゴリズムを使用する BFD セッションは、スイッチオーバー後にダウンする可能性があります。
-
デバイスBで、指定されたルートのBFDセッションを一意のセキュリティ認証キーチェーン属性に関連付けるために使用するキーチェーンを指定します。
これは、
[edit security authentication key-chains]階層レベルで設定されたキーチェーン名と一致する必要があります。[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4
デバイスBで、BFDセッションに固有のセキュリティ認証情報を指定します。
-
ステップ 5 で指定した一致するキーチェーン名。
少なくとも 1 つのキー、 0 から 63 までの一意の整数。複数のキーを作成することで、複数のクライアントが BFD セッションを使用できるようになります。
セッションへのアクセスを許可するために使用されるシークレット データ。
認証キーがアクティブになる時刻(形式 yyyy-mm-dd.hh:mm:ss:)。
[edit security authentication-key-chains key-chain bfd-kc4] user@B# set key 5 secret "$ABC123$ABC123$ABC123" user@B# set key 5 start-time "2011-1-1.12:00:00 -0800"
-
デバイス B の設定が完了したら、設定をコミットします。
[edit] user@B# commit
デバイス D の設定を繰り返します。
アルゴリズムとキーチェーンは、BFD セッションの両端で設定する必要があり、一致する必要があります。設定の不一致があると、BFDセッションは作成されません。
結果
、 、および のコマンドを発行show interfacesしてshow security、show routing-options設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
1 デバイスB 1
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
authentication {
key-chain bfd-kc4;
algorithm keyed-sha-1;
}
}
}
}
user@B# show security
authentication-key-chains {
key-chain bfd-kc4 {
key 5 {
secret "$ABC123$ABC123$ABC123"; ## SECRET-DATA
start-time "2011-1-1.12:00:00 -0800";
}
}
}
検証
設定が正常に機能していることを確認します。
BFD セッションが立ち上がっていることの確認
目的
BFD セッションが立ち上がっていることを確認します。
アクション
動作モードから コマンド show bfd session を入力します。
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
意味
このコマンド出力は、BFD セッションが稼働していることを示しています。
BFD セッションに関する詳細の表示
目的
BFD セッションの詳細を表示し、認証が設定されていることを確認します。
アクション
動作モードから コマンド show bfd session detail を入力します。
user@B> show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000, Authenticate
Session up time 00:53:58
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
意味
コマンド出力 に、認証 が表示され、BFD認証が設定されていることを示します。
広範囲の BFD セッション情報の表示
目的
BFDセッションの詳細情報を表示します。
アクション
動作モードから コマンド show bfd session extensive を入力します。
user@B> show bfd session extensive
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000, Authenticate
keychain bfd-kc4, algo keyed-sha-1, mode strict
Session up time 01:39:45
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 3, remote discriminator 4
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-kc4, algo keyed-sha-1, mode strict
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
意味
コマンド出力 に、認証 が表示され、BFD認証が設定されていることを示します。コマンドの出力 extensive には、セッション内の各クライアントのキーチェーン名、認証アルゴリズム、モードが表示されます。
は description Site- <xxx> 、SRXシリーズファイアウォールでのみサポートされています。
各クライアントに複数の説明フィールドがある場合は、最初の説明フィールドとともに「and more」と表示されます。
例:ルート選択のスタティック ルートの認定ネクスト ホップで BFD を有効にする
この例では、複数のネクストホップを持つスタティックルートを設定する方法を示しています。各ネクスト ホップでは、BFD(双方向フォワーディング検出)が有効になっています。
要件
この例では、デバイスの初期化以上の特別な設定は必要ありません。
概要
この例では、デバイス B には、2 つのネクスト ホップを持つスタティック ルート 192.168.47.0/24 があります。2つのネクストホップは、2つの qualified-next-hop ステートメントを使用して定義されます。各ネクスト ホップでは BFD が有効になっています。
接続の両端でBFDを有効にする必要があるため、デバイスDでもBFDが有効になっています。
BFDセッションがアップしている場合、ネクストホップはルーティングテーブルに含まれます。BFD セッションがダウンした場合、ネクストホップはルーティング テーブルから削除されます。
図3を参照してください。
で有効な BFD
トポロジ
構成
手順
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 階層レベルのCLI [edit] にコマンドをコピーして貼り付けます。
1 デバイスB 1
set interfaces fe-0/1/0 unit 2 description secondary-B->D set interfaces fe-0/1/0 unit 2 family inet address 192.168.2.1/24 set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set routing-options static route 192.168.47.0/24 qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 set routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
デバイスD 1
set interfaces fe-0/1/0 unit 3 description secondary-D->B set interfaces fe-0/1/0 unit 3 family inet address 192.168.2.2/24 set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set routing-options static route 0.0.0.0/0 qualified-next-hop 192.168.2.1 set routing-options static route 0.0.0.0/0 qualified-next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 60
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の説明については、 Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用するを参照してください。
BFDを有効にした状態で、2つのネクストホップが可能なスタティックルートを設定するには、次の手順に従います。
デバイスBで、インターフェイスを設定します。
[edit interfaces fe-0/1/0] user@B# set unit 2 description secondary-B->D user@B# set unit 2 family inet address 192.168.2.1/24 [edit interfaces ge-1/2/0] user@B# set unit 0 description B->D user@B# set unit 0 family inet address 172.16.1.1/24
デバイスBでは、BFDが有効になっている2つのネクストホップで静的ルートを設定します。
[edit routing-options static route 192.168.47.0/24] user@B# set qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 user@B# set qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
デバイス D で、インターフェイスを設定します。
[edit interfaces fe-0/1/0] user@D# set unit 3 description secondary-D->B user@D# set unit 3 family inet address 192.168.2.2/24 [edit interfaces ge-1/2/0] user@D# set unit 1 description D->B user@D# set unit 1 family inet address 172.16.1.2/24
デバイス D では、プロバイダ ネットワークへの 2 つのネクスト ホップを持つ BFD 対応のデフォルト静的ルートを設定します。
この場合、BFDはネクストホップではなくルートで有効になります。
[edit routing-options static route 0.0.0.0/0] user@D# set qualified-next-hop 192.168.2.1 user@D# set qualified-next-hop 172.16.1.1 user@D# set bfd-liveness-detection minimum-interval 60
結果
および show routing-options コマンドを発行show interfacesして、設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@B# show interfaces
fe-0/1/0 {
unit 2 {
description secondary-B->D;
family inet {
address 192.168.2.1/24;
}
}
}
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
qualified-next-hop 192.168.2.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
qualified-next-hop 172.16.1.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
}
}
user@D# show interfaces
fe-0/1/0 {
unit 3 {
description secondary-D->B;
family inet {
address 192.168.2.2/24;
}
}
}
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
qualified-next-hop 192.168.2.1;
qualified-next-hop 172.16.1.1;
bfd-liveness-detection {
minimum-interval 60;
}
}
}
デバイスの設定が完了したら、設定モードから コミット を入力します。
検証
設定が正常に機能していることを確認します。
ルーティングテーブルのチェック
目的
静的ルートが、2つのネクストホップの可能性があるとともに、デバイスBのルーティングテーブルに表示されていることを確認します。
アクション
user@B> show route 192.168.47.0 extensive
inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)
192.168.47.0/24 (1 entry, 1 announced)
TSI:
KRT in-kernel 192.168.47.0/24 -> {192.168.2.2}
*Static Preference: 5
Next hop type: Router
Address: 0x9334010
Next-hop reference count: 1
Next hop: 172.16.1.2 via ge-1/2/0.0
Next hop: 192.168.2.2 via fe-0/1/0.2, selected
State: <Active Int Ext>
Age: 9
Task: RT
Announcement bits (1): 3-KRT
AS path: I
意味
両方のネクストホップがリストされています。ネクスト ホップ 192.168.2.2 が選択されたルートです。
BFD セッションの検証
目的
BFD セッションが立ち上がっていることを確認します。
アクション
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 0.720 0.240 3
192.168.2.2 Up fe-0/1/0.2 0.720 0.240 3
2 sessions, 2 clients
Cumulative transmit rate 8.3 pps, cumulative receive rate 8.3 pps
意味
出力は、BFDセッションが立ち上がっていることを示しています。
デバイス D からの BFD の削除
目的
両方のネクストホップでBFDセッションがダウンした場合に何が起こるかを示します。
アクション
デバイスDのBFDを無効にします。
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
デバイスBでコマンド
show bfd sessionを再実行します。user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 172.16.1.2 Down ge-1/2/0.0 3.000 1.000 3 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3 2 sessions, 2 clients Cumulative transmit rate 2.0 pps, cumulative receive rate 2.0 ppsデバイスBでコマンド
show route 192.168.47.0を再実行します。user@B> show route 192.168.47.0
意味
予想通り、BFDセッションがダウンすると、スタティックルートはルーティングテーブルから削除されます。
1 つのネクスト ホップからの BFD の削除
目的
1つのネクストホップのみでBFDを有効にした場合の動作を示します。
アクション
まだ非アクティブ化されていない場合は、デバイスDで非アクティブ化します。
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
デバイスBのネクストホップの1つでBFDを無効にします。
[edit routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2] user@B# deactivate bfd-liveness-detection user@B# commit
デバイスBでコマンド
show bfd sessionを再実行します。user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3デバイスBでコマンド
show route 192.168.47.0 extensiveを再実行します。user@B> show route 192.168.47.0 extensive inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) 192.168.47.0/24 (1 entry, 1 announced) TSI: KRT in-kernel 192.168.47.0/24 -> {172.16.1.2} *Static Preference: 5 Next hop type: Router, Next hop index: 624 Address: 0x92f0178 Next-hop reference count: 3 Next hop: 172.16.1.2 via ge-1/2/0.0, selected State: <Active Int Ext> Age: 2:36 Task: RT Announcement bits (1): 3-KRT AS path: I
意味
予想通り、192.168.2.2 ネクスト ホップの BFD セッションがダウンしています。BFDはこのネクストホップが有効であり続けるための条件ではないため、172.16.1.2ネクストホップはルーティングテーブルに残り、ルートはアクティブなままです。
bfd-liveness-detection コマンドには説明フィールドが含まれます。説明はオブジェクトの下の
bfd-liveness-detection 属性で、SRXシリーズファイアウォールでのみサポートされています。このフィールドは、スタティック ルートにのみ適用されます。