Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BGP 세션에 대한 BFD

BGP의 BFD 이해

BFD(Bidirectional Forwarding Detection) 프로토콜은 네트워크의 장애를 감지하는 간단한 Hello 메커니즘입니다. Hello 패킷은 정규적이며 지정된 간격으로 전송됩니다. 지정된 간격 후 라우팅 디바이스가 응답 수신을 중단하면 이웃 실패가 감지됩니다. BFD는 다양한 네트워크 환경과 토폴로지에서 작동합니다. BFD의 고장 검출 타이머는 BGP의 기본 고장 검출 메커니즘보다 짧은 시간 제한을 가지므로 더 빠른 탐지를 제공합니다.

주:

동일한 디바이스에서 BGP에 대해 BFD와 Graceful Restart를 모두 구성하는 것은 비생산적입니다. 인터페이스가 다운되면 BFD가 이를 즉시 감지하고 트래픽 전달을 중지하며 BGP 세션이 다운되는 반면, 인터페이스 장애에도 불구하고 Graceful Restart는 트래픽을 전달하므로 이 동작으로 인해 네트워크 문제가 발생할 수 있습니다. 따라서 동일한 디바이스에서 BFD와 Graceful Restart를 모두 구성하는 것은 권장되지 않습니다.

주:

EX4600 스위치는 1초 미만의 최소 간격 값을 지원하지 않습니다.

주:

QFX5110, QFX5120, QFX5200 및 QFX5210 스위치는 멀티홉 BFD(Bidirectional Forwarding Detection) 인라인 연결 유지 지원을 지원하므로 1초 이내에 세션을 구성할 수 있습니다. 성능은 시스템 부하에 따라 달라질 수 있습니다. 10개의 인라인 BFD 세션이 지원되며 150 x 3밀리초의 타이머로 구성할 수 있습니다. 단일 홉 세션도 지원됩니다.

BFD 실패 검출 타이머는 더 빠르거나 느리게 조정할 수 있습니다. BFD 실패 검출 타이머 값이 낮을수록 실패 검출 속도가 빨라지고 그 반대의 경우도 마찬가지입니다. 예를 들어 인접성이 실패하는 경우(즉, 타이머가 실패를 더 느리게 감지하는 경우) 타이머는 더 높은 값에 적응할 수 있습니다. 또는 이웃이 구성된 값보다 타이머에 대해 더 높은 값을 협상할 수 있습니다. 타이머는 BFD 세션 플랩이 15초(15000밀리초) 동안 3회 이상 발생하면 더 높은 값에 적응합니다. 로컬 BFD 인스턴스가 세션 플랩의 이유인 경우 물러서기 알고리즘은 수신 (Rx) 간격을 2배로 증가시킵니다. 원격 BFD 인스턴스가 세션 플랩의 이유인 경우 전송 (Tx) 간격은 2배 증가합니다. clear bfd adaptation 명령을 사용하여 BFD 간격 타이머를 구성된 값으로 돌려줄 수 있습니다. clear bfd adaptation 명령은 중단이 없으며, 이는 명령이 라우팅 디바이스의 트래픽 플로우에 영향을 미치지 않는다는 것을 의미합니다.

주:

모든 SRX 시리즈 방화벽에서 CPU 집약적인 명령 및 SNMP 워크와 같은 이유로 높은 CPU 사용률이 트리거되면 대규모 BGP 업데이트를 처리하는 동안 BFD 프로토콜이 플랩됩니다. (플랫폼 지원은 설치 시 Junos OS 릴리즈에 따라 다릅니다.)

Junos OS 릴리스 15.1X49-D100부터 SRX340, SRX345 및 SRX1500 디바이스가 전용 BFD를 지원합니다.

Junos OS 릴리스 15.1X49-D100부터 SRX300 및 SRX320 디바이스는 실시간 BFD를 지원합니다.

Junos OS 릴리스 15.1X49-D110부터 SRX550M 디바이스가 전용 BFD를 지원합니다.

Junos OS 릴리스 8.3 이상에서 BFD는 단일 홉 EBGP 세션뿐만 아니라 내부 BGP(IBGP) 및 멀티홉 외부 BGP(EBGP) 세션에서도 지원됩니다. Junos OS 릴리스 9.1부터 Junos OS 릴리스 11.1까지 BFD는 정적 경로에서만 IPv6 인터페이스를 지원합니다. Junos OS 릴리스 11.2 이상에서 BFD는 BGP를 통한 IPv6 인터페이스를 지원합니다.

예: 내부 BGP 피어 세션에서 BFD 구성

이 예에서는 BFD(Bidirectional Forwarding Detection) 프로토콜을 사용하여 내부 BGP(IBGP) 피어 세션을 구성하여 네트워크에서 장애를 감지하는 방법을 보여줍니다.

요구 사항

이 예제를 구성하기 전에 디바이스 초기화 이외의 특별한 구성은 필요하지 않습니다.

개요

IBGP 세션에서 BFD를 활성화하기 위한 최소 구성은 BFD 세션에 참여하는 모든 이웃의 BGP 구성에 문을 포함하는 것입니다.bfd-liveness-detection minimum-interval 명령문은 장애 감지를 위한 최소 전송 및 수신 간격을 지정합니다.minimum-interval 특히, 이 값은 로컬 라우팅 디바이스가 Hello 패킷을 전송하는 최소 간격과 라우팅 디바이스가 BFD 세션을 설정한 이웃으로부터 응답을 수신할 것으로 예상하는 최소 간격을 나타냅니다. 1에서 255,000밀리초까지 값을 구성할 수 있습니다.

선택적으로 및 문을 사용하여 최소 전송 및 수신 간격을 별도로 지정할 수 있습니다.transmit-interval minimum-intervalminimum-receive-interval 이러한 명령문과 기타 선택적 BFD 구성 문에 대한 정보는 을 참조하십시오 .bfd-liveness-detection

주:

BFD는 시스템 리소스를 소비하는 집약적인 프로토콜입니다. 라우팅 엔진 기반 세션의 경우 100밀리초 미만, 분산 BFD 세션의 경우 10밀리초 미만으로 BFD의 최소 간격을 지정하면 원치 않는 BFD 플래핑이 발생할 수 있습니다.

네트워크 환경에 따라 다음과 같은 추가 권장 사항이 적용될 수 있습니다.

  • 일반적인 라우팅 엔진 전환 이벤트 중 BFD 플랩핑을 방지하려면 라우팅 엔진 기반 세션에 대해 최소 간격을 5000밀리초로 지정합니다. 이 최소값은 일반적인 라우팅 엔진 전환 이벤트 중에 RPD, MIBD 및 SNMPD와 같은 프로세스가 지정된 임계값 이상으로 CPU 리소스를 활용하기 때문에 필요합니다. 따라서 BFD 처리 및 스케줄링은 CPU 리소스 부족으로 인해 영향을 받습니다.

  • 듀얼 섀시 클러스터 제어 링크 시나리오 동안 BFD 세션이 계속 유지되도록 하려면 첫 번째 제어 링크에 장애가 발생할 때 라우팅 엔진 기반 세션의 보조 노드에서 LACP가 플랩핑되지 않도록 최소 간격을 6000밀리초로 지정합니다.

  • 많은 수의 BFD 세션이 있는 대규모 네트워크 구축의 경우, 라우팅 엔진 기반 세션의 경우 최소 300밀리초, 분산 BFD 세션의 경우 100밀리초의 최소 간격을 지정합니다.

  • 많은 수의 BFD 세션이 있는 대규모 네트워크 구축의 경우 주니퍼 네트웍스 고객 지원에 자세한 내용을 문의하십시오.

  • NSR(Nonstop Active Routing)이 구성된 경우 라우팅 엔진 전환 이벤트 중에 BFD 세션이 계속 유지되도록 하려면 라우팅 엔진 기반 세션에 대해 최소 간격을 2500밀리초로 지정합니다. NSR이 구성된 분산 BFD 세션의 경우 최소 간격 권장 사항은 변경되지 않으며 네트워크 구축에만 의존합니다.

BFD는 기본 라우팅 인스턴스(기본 라우터), 라우팅 인스턴스 및 논리적 시스템에서 지원됩니다. 이 예는 논리적 시스템의 BFD를 보여줍니다.

그림 1에는 내부 피어 세션이 있는 일반적인 네트워크가 나와 있습니다.

그림 1: IBGP 세션이 있는 일반적인 네트워크IBGP 세션이 있는 일반적인 네트워크

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit] 계층 수준에서 명령을 CLI로 복사해 붙여 넣습니다.

디바이스 A

디바이스 B

디바이스 C

디바이스 A 구성

단계별 절차

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색에 관한 정보는 CLI 사용자 가이드에서 구성 모드에서 CLI 편집기 사용을 참조하십시오.

디바이스 A 구성:

  1. CLI를 논리적 시스템 A로 설정합니다.

  2. 인터페이스를 구성합니다.

  3. BGP를 구성합니다.

    디바이스 A가 디바이스 C에 직접 연결되어 있지 않아도 neighbor 명령문은 디바이스 B와 디바이스 C 모두에 대해 포함되어 있습니다.

  4. BFD를 구성합니다.

    연결 피어에서 동일한 최소 간격을 구성해야 합니다.

  5. (선택 사항) BFD 추적을 구성합니다.

  6. OSPF를 구성합니다.

  7. 직접 경로를 수용하는 정책을 구성합니다.

    이 시나리오의 다른 유용한 옵션은 OSPF 또는 로컬 경로를 통해 학습된 경로를 수용하는 것일 수 있습니다.

  8. 라우터 ID 및 AS(Autonomous System) 번호를 구성합니다.

  9. 디바이스 구성을 마쳤으면 구성 모드에서 commit을 입력합니다. 이 단계를 반복하여 디바이스 B와 디바이스 C를 구성합니다.

결과

구성 모드에서 show interfaces, show policy-options, show protocolsshow routing-options 명령을 입력하여 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

BFD가 활성화되었는지 확인

목적

IBGP 피어 간에 BFD가 활성화되었는지 확인합니다.

작업

운영 모드에서 show bgp neighbor 명령을 입력합니다. 필터를 사용하여 출력 범위를 좁힐 수 있습니다.| match bfd

의미

출력은 논리적 시스템 A에 BFD가 활성화된 두 개의 이웃이 있음을 보여줍니다. BFD가 활성화되지 않으면 출력에 이 표시되고 옵션이 없습니다.BFD: disabled, down<BfdEnabled> BFD가 활성화되고 세션이 중단되면 출력에 가 표시됩니다 .BFD: enabled, down 또한 출력은 추적 작업이 구성되었기 때문에 BFD 관련 이벤트가 로그 파일에 기록되고 있음을 보여줍니다.

BFD 세션이 작동 중인지 확인하기

목적

BFD 세션이 작동 중인지 확인하고 BFD 세션에 대한 세부 정보를 확인합니다.

작업

운영 모드에서 show bfd session extensive 명령을 입력합니다.

의미

출력은 명령문으로 구성된 설정을 나타냅니다.TX interval 1.000, RX interval 1.000minimum-interval 다른 모든 출력은 BFD의 기본 설정을 나타냅니다. 기본 설정을 수정하려면 bfd-liveness-detection문 아래의 옵션 문을 포함합니다.

자세한 BFD 이벤트 보기

목적

필요한 경우 문제 해결에 도움이 되도록 BFD 추적 파일의 내용을 확인합니다.

작업

운영 모드에서 file show /var/log/A/bgp-bfd 명령을 입력합니다.

의미

경로가 설정 되기 전에 출력에 메시지가 나타납니다.No route to host 경로가 설정된 후 마지막 두 줄은 두 BFD 세션이 모두 실행됨을 보여줍니다.

루프백 인터페이스를 비활성화했다가 다시 활성화한 후 자세한 BFD 이벤트 보기

목적

라우터 또는 스위치를 중단했다가 다시 가동한 후 어떤 일이 발생하는지 확인합니다. 라우터 또는 스위치 다운을 시뮬레이션하려면 논리적 시스템 B에서 루프백 인터페이스를 비활성화합니다.

작업
  1. 구성 모드에서 deactivate logical-systems B interfaces lo0 unit 2 family inet 명령을 입력합니다.

  2. 운영 모드에서 file show /var/log/A/bgp-bfd 명령을 입력합니다.

  3. 구성 모드에서 activate logical-systems B interfaces lo0 unit 2 family inet 명령을 입력합니다.

  4. 운영 모드에서 file show /var/log/A/bgp-bfd 명령을 입력합니다.

BGP에 대한 BFD 인증 이해

BFD(Bidirectional Forwarding Detection Protocol)를 사용하면 인접 시스템 간의 통신 장애를 신속하게 감지할 수 있습니다. 기본적으로 BFD 세션에 대한 인증은 비활성화되어 있습니다. 그러나 네트워크 레이어 프로토콜을 통해 BFD를 실행하는 경우 서비스 공격의 위험이 상당할 수 있습니다. 여러 홉을 통해 또는 안전하지 않은 터널을 통해 BFD를 실행하는 경우 인증을 사용하는 것이 좋습니다. Junos OS 릴리스 9.6부터 Junos OS는 BGP를 통해 실행되는 BFD 세션에 대한 인증을 지원합니다. BFD 인증은 MPLS OAM 세션에서 지원되지 않습니다. BFD 인증은 캐나다 및 미국 버전의 Junos OS 이미지에서만 지원되며 내보내기 버전에서는 사용할 수 없습니다.

인증 알고리즘 및 키체인을 지정한 다음 키체인 이름을 사용하여 해당 구성 정보를 보안 인증 키체인과 연결하여 BFD 세션을 인증합니다.

다음 섹션에서는 지원되는 인증 알고리즘, 보안 키 체인 및 구성할 수 있는 인증 수준에 대해 설명합니다.

BFD 인증 알고리즘

Junos OS는 BFD 인증을 위해 다음 알고리즘을 지원합니다.

  • simple-password- 일반 텍스트 암호입니다. 1바이트에서 16바이트의 일반 텍스트가 BFD 세션을 인증하는 데 사용됩니다. 하나 이상의 암호를 구성할 수 있습니다. 이 방법은 가장 안전하지 않으며 BFD 세션이 패킷 가로채기의 대상이 아닌 경우에만 사용해야 합니다.

  • keyed-md5- 전송 및 수신 간격이 100ms보다 큰 세션에 대한 키 메시지 다이제스트 5 해시 알고리즘. BFD 세션을 인증하기 위해 키 MD5는 하나 이상의 비밀 키(알고리즘에 의해 생성됨)와 주기적으로 업데이트되는 시퀀스 번호를 사용합니다. 이 방법을 사용하면 키 중 하나가 일치하고 시퀀스 번호가 수신된 마지막 시퀀스 번호보다 크거나 같을 경우 세션의 수신 끝에서 패킷이 수락됩니다. 이 방법은 단순한 암호보다 안전하지만 재생 공격에 취약합니다. 시퀀스 번호가 업데이트되는 속도를 높이면 이러한 위험을 줄일 수 있습니다.

  • meticulous-keyed-md5—꼼꼼한 키 메시지 다이제스트 5 해시 알고리즘. 이 방법은 키 MD5와 동일한 방식으로 작동하지만 시퀀스 번호는 모든 패킷마다 업데이트됩니다. 이 방법은 키가 지정된 MD5 및 단순 암호보다 안전하지만 세션을 인증하는 데 시간이 더 걸릴 수 있습니다.

  • keyed-sha-1- 전송 및 수신 간격이 100ms보다 큰 세션의 경우 키 보안 해시 알고리즘 I. BFD 세션을 인증하기 위해 키 SHA는 하나 이상의 비밀 키(알고리즘에 의해 생성됨)와 주기적으로 업데이트되는 시퀀스 번호를 사용합니다. 키는 패킷 내에서 전달되지 않습니다. 이 방법을 사용하면 키 중 하나가 일치하고 시퀀스 번호가 마지막으로 수신된 시퀀스 번호보다 큰 경우 세션의 수신 끝에서 패킷이 수락됩니다.

  • meticulous-keyed-sha-1—꼼꼼한 키 보안 해시 알고리즘 I. 이 방법은 키 SHA와 동일한 방식으로 작동하지만 시퀀스 번호는 모든 패킷마다 업데이트됩니다. 이 방법은 키가 지정된 SHA 및 단순 암호보다 안전하지만 세션을 인증하는 데 추가 시간이 걸릴 수 있습니다.

주:

NSR(Nonstop Active Routing)은 meticulous-keyed-md5 및 meticulous-keyed-sha-1 인증 알고리즘으로 지원되지 않습니다. 이러한 알고리즘을 사용하는 BFD 세션은 전환 후 중단될 수 있습니다.

주:

QFX5000 시리즈 스위치 및 EX4600 스위치는 1초 미만의 최소 간격 값을 지원하지 않습니다.

보안 인증 키체인

보안 인증 키 체인은 인증 키 업데이트에 사용되는 인증 속성을 정의합니다. 보안 인증 키체인이 구성되고 키체인 이름을 통해 프로토콜과 연결되면 라우팅 및 신호 프로토콜을 중단하지 않고 인증 키 업데이트가 발생할 수 있습니다.

인증 키체인에는 하나 이상의 키체인이 포함되어 있습니다. 각 키체인에는 하나 이상의 키가 포함되어 있습니다. 각 키에는 비밀 데이터와 키가 유효해지는 시간이 들어 있습니다. 알고리즘과 키 체인은 BFD 세션의 양쪽 끝에서 구성되어야 하며 일치해야 합니다. 구성이 일치하지 않으면 BFD 세션이 생성되지 않습니다.

BFD는 세션당 여러 클라이언트를 허용하며 각 클라이언트는 고유한 키 체인과 알고리즘을 정의할 수 있습니다. 혼동을 피하려면 보안 인증 키체인을 하나만 지정하는 것이 좋습니다.

엄격한 인증과 느슨한 인증 비교

기본적으로 엄격한 인증이 활성화되고 각 BFD 세션의 양쪽 끝에서 인증이 확인됩니다. 선택적으로 인증되지 않은 세션에서 인증된 세션으로의 원활한 마이그레이션을 위해 느슨한 검사를 구성할 수 있습니다. 느슨한 검사가 구성되면 세션의 각 끝에서 인증을 확인하지 않고 패킷이 수락됩니다. 이 기능은 전환 기간에만 사용할 수 있습니다.

예: BGP를 위한 BFD 인증 구성

Junos OS 릴리스 9.6부터 BGP를 통해 실행되는 BFD 세션에 대한 인증을 구성할 수 있습니다. BFD 세션에서 인증을 구성하는 데는 세 단계만 필요합니다.

  1. BGP 프로토콜에 대한 BFD 인증 알고리즘을 지정합니다.

  2. 인증 키 체인을 BGP 프로토콜과 연결합니다.

  3. 관련 보안 인증 키 체인을 구성합니다.

다음 섹션에서는 BGP에서 BFD 인증을 구성하고 보기 위한 지침을 제공합니다.

BFD 인증 매개 변수 구성

BFD 인증은 전체 BGP 프로토콜 또는 특정 BGP 그룹, 이웃 또는 라우팅 인스턴스에 대해 구성할 수 있습니다.

다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색 관련 정보는 Junos OS CLI 사용자 가이드구성 모드에서의 CLI 편집기 사용을 참조하십시오.

BFD 인증을 구성하려면 다음을 수행합니다.

  1. 사용할 알고리즘(, , , , 또는 )을 지정합니다.keyed-md5keyed-sha-1meticulous-keyed-md5meticulous-keyed-sha-1simple-password
    주:

    논스톱 액티브 라우팅은 meticulous-keyed-md5 및 meticulous-keyed-sha-1 인증 알고리즘으로 지원되지 않습니다. 이러한 알고리즘을 사용하는 BFD 세션은 전환 후 중단될 수 있습니다.

  2. BGP의 BFD 세션을 고유한 보안 인증 키 체인 속성과 연결하는 데 사용할 키 체인을 지정합니다.

    지정하는 키체인 이름은 계층 수준에서 구성된 키체인 이름과 일치해야 합니다.[edit security authentication key-chains]

    주:

    알고리즘과 키 체인은 BFD 세션의 양쪽 끝에서 구성되어야 하며 일치해야 합니다. 구성이 일치하지 않으면 BFD 세션이 생성되지 않습니다.

  3. BFD 세션에 대한 고유한 보안 인증 정보를 지정합니다.
    • 단계에 지정된 것과 일치하는 키 집합 이름입니다.2

    • 하나 이상의 키, 와 사이의 고유한 정수.063 여러 키를 만들면 여러 클라이언트가 BFD 세션을 사용할 수 있습니다.

    • 세션에 대한 액세스를 허용하는 데 사용되는 비밀 데이터입니다.

    • 인증 키가 활성화되는 시간(형식 )입니다.yyyy-mm-dd.hh:mm:ss

  4. (선택 사항) 인증되지 않은 세션에서 인증된 세션으로 전환하는 경우 느슨한 인증 검사를 지정합니다.
  5. (선택 사항) 또는 명령을 사용하여 구성을 봅니다.show bfd session detailshow bfd session extensive
  6. 이 단계를 반복하여 BFD 세션의 다른 쪽 끝을 구성합니다.
주:

BFD 인증은 캐나다 및 미국 버전의 Junos OS 이미지에서만 지원되며 내보내기 버전에서는 사용할 수 없습니다.

BFD 세션에 대한 인증 정보 보기

및 명령을 사용하여 기존 BFD 인증 구성을 볼 수 있습니다.show bfd session detailshow bfd session extensive

다음 예에서는 BGP 그룹에 대해 구성된 BFD 인증을 보여 줍니다 .bgp-gr1 키 SHA-1 인증 알고리즘과 키 체인 이름을 지정합니다.bfd-bgp 인증 키 체인은 두 개의 키로 구성됩니다. 키 에는 비밀 데이터 ""와 시작 시간이 2009년 6월 1일 오전 9:46:02 PST로 포함되어 있습니다.1$ABC123$ABC123 키 에는 비밀 데이터 ""와 시작 시간이 2009년 6월 1일 오후 3:29:20 PST로 포함되어 있습니다.2$ABC123$ABC123

이러한 업데이트를 구성에 커밋하면 다음과 유사한 출력이 표시됩니다. 명령의 출력에서 은(는) BFD 인증이 구성되었음을 나타내기 위해 표시됩니다.show bfd session detailAuthenticate 구성에 대한 자세한 정보를 보려면 명령을 사용하십시오 .show bfd session extensive 이 명령의 출력은 세션의 각 클라이언트에 대한 키 체인 이름, 인증 알고리즘 및 모드, 전체 BFD 인증 구성 상태, 키 체인 이름, 인증 알고리즘 및 모드를 제공합니다.

bfd 세션 세부 정보 표시

bfd 세션 확장 표시

변경 내역 표

기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. Feature Explorer 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.

릴리스
설명
15.1X49-D100
Junos OS 릴리스 15.1X49-D100부터 SRX340, SRX345 및 SRX1500 디바이스가 전용 BFD를 지원합니다.
15.1X49-D100
Junos OS 릴리스 15.1X49-D100부터 SRX300 및 SRX320 디바이스는 실시간 BFD를 지원합니다.
11.2
Junos OS 릴리스 11.2 이상에서 BFD는 BGP를 통한 IPv6 인터페이스를 지원합니다.
9.1
Junos OS 릴리스 9.1부터 Junos OS 릴리스 11.1까지 BFD는 정적 경로에서만 IPv6 인터페이스를 지원합니다.
8.3
Junos OS 릴리스 8.3 이상에서 BFD는 단일 홉 EBGP 세션뿐만 아니라 내부 BGP(IBGP) 및 멀티홉 외부 BGP(EBGP) 세션에서도 지원됩니다.