Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

정적 경로에 대한 양방향 전달 탐지

더 빠른 네트워크 장애 감지를 위한 고정 경로의 BFD 이해

BFD(Bidirectional Forwarding Detection) 프로토콜은 네트워크의 장애를 감지하는 간단한 Hello 메커니즘입니다. BFD는 다양한 네트워크 환경 및 토폴로지에서 작동합니다. 한 쌍의 라우팅 디바이스가 BFD 패킷을 교환합니다. Hello 패킷은 지정된 정규 간격으로 전송됩니다. 지정된 간격 후 라우팅 디바이스가 응답 수신을 중단하면 이웃 실패가 감지됩니다. BFD 장애 검출 타이머는 정적 경로 장애 검출 메커니즘보다 짧은 시간 제한을 가지므로 더 빠른 탐지를 제공합니다.

BFD 실패 검출 타이머는 더 빠르거나 느리게 조정할 수 있습니다. BFD 실패 검출 타이머 값이 낮을수록 실패 검출 속도가 빨라지고 그 반대의 경우도 마찬가지입니다. 예를 들어 인접성이 실패하는 경우(즉, 타이머가 실패를 더 느리게 감지하는 경우) 타이머는 더 높은 값에 적응할 수 있습니다. 또는 이웃이 구성된 값보다 타이머에 대해 더 높은 값을 협상할 수 있습니다. 타이머는 BFD 세션 플랩이 15초 동안 3회 이상 발생하면 더 높은 값에 적응합니다. 로컬 BFD 인스턴스가 세션 플랩의 이유인 경우 백오프 알고리즘은 수신(Rx) 간격을 2배로 증가시킵니다. 원격 BFD 인스턴스가 세션 플랩의 이유인 경우 전송(Tx) 간격이 2배 증가합니다. 명령을 사용하여 clear bfd adaptation BFD 간격 타이머를 구성된 값으로 반환할 수 있습니다. clear bfd adaptation 명령은 중단이 없으며, 이는 명령이 라우팅 디바이스의 트래픽 플로우에 영향을 미치지 않는다는 것을 의미합니다.

기본적으로 BFD는 단일 홉 정적 경로에서 지원됩니다.

참고:

MX 시리즈 디바이스에서 정적 경로가 두 개 이상의 다음 홉으로 구성된 경우 다중 홉 BFD는 정적 경로에서 지원되지 않습니다. 정적 경로에 다중 홉 BFD가 필요한 경우 여러 개의 다음 홉을 사용하지 않는 것이 좋습니다.

장애 감지를 활성화하려면 정적 경로 구성에 명령문을 포함합니다 bfd-liveness-detection .

참고:

Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1 bfd-liveness-detection 부터 명령에는 설명 필드가 포함됩니다. 설명은 개체 아래의 bfd-liveness-detection 속성이며 SRX 시리즈 방화벽에서만 지원됩니다. 이 필드는 정적 경로에만 적용할 수 있습니다.

Junos OS 릴리스 9.1 이상에서는 IPv6 정적 경로에 대해 BFD 프로토콜이 지원됩니다. 정적 경로에는 글로벌 유니캐스트 및 link-local IPv6 주소가 지원됩니다. BFD 프로토콜은 멀티캐스트 또는 애니캐스트 IPv6 주소에서 지원되지 않습니다. IPv6의 경우, BFD 프로토콜은 Junos OS 릴리스 9.3 이상에서만 정적 경로만 지원합니다. BFD에 대한 IPv6은 eBGP 프로토콜에 대해서도 지원됩니다.

IPv6 정적 경로에 대한 BFD 프로토콜을 구성하려면 계층 수준에서 명령문을 [edit routing-options rib inet6.0 static route destination-prefix] 포함합니다bfd-liveness-detection.

Junos OS 릴리스 8.5 이상에서는 보류 간격을 구성하여 상태 변경 알림이 전송되기 전에 BFD 세션이 유지되어야 하는 기간을 지정할 수 있습니다.

홀드 다운 간격을 지정하려면 BFD 구성에 문을 포함합니다 holddown-interval . 0에서 255,000 밀리초 사이의 숫자를 구성할 수 있습니다. 기본값은 0입니다 . BFD 세션이 중단되었다가 보류 간격 동안 다시 작동하면 타이머가 다시 시작됩니다.

참고:

단일 BFD 세션에 여러 정적 경로가 포함된 경우 가장 높은 값을 가진 보류 간격이 사용됩니다.

장애 감지를 위한 최소 전송 및 수신 간격을 지정하려면 BFD 구성에 문을 포함합니다 minimum-interval .

이 값은 로컬 라우팅 디바이스가 Hello 패킷을 전송하는 최소 간격과 라우팅 디바이스가 BFD 세션을 설정한 이웃으로부터 응답을 수신할 것으로 예상하는 최소 간격을 모두 나타냅니다. 1에서 255,000 밀리초 사이의 숫자를 구성할 수 있습니다. 선택적으로 이 문을 사용하는 대신 transmit-interval minimum-interval 및 문을 사용하여 최소 전송 및 minimum-receive-interval 수신 간격을 별도로 구성할 수 있습니다.

참고:

EX4600 스위치는 1초 미만의 최소 간격 값을 지원하지 않습니다.

참고:

BFD는 시스템 리소스를 소비하는 집약적인 프로토콜입니다. 라우팅 엔진 기반 세션의 경우 100ms 미만, 분산 BFD 세션의 경우 10ms 미만의 BFD에 대한 최소 간격을 지정하면 원하지 않는 BFD 플래핑이 발생할 수 있습니다.

네트워크 환경에 따라 다음과 같은 추가 권장 사항이 적용될 수 있습니다.

  • 많은 수의 BFD 세션이 있는 대규모 네트워크 구축의 경우, 라우팅 엔진 기반 세션의 경우 최소 300ms, 분산 BFD 세션의 경우 100ms  의 최소 간격을 지정합니다.

  • 많은 수의 BFD 세션이 있는 대규모 네트워크 구축의 경우 주니퍼 네트웍스 고객 지원에 자세한 내용을 문의하십시오.

  • NSR( Nonstop Active Routing )이 구성될 때 라우팅 엔진 전환 이벤트 중에 BFD 세션이 계속 유지되도록 하려면 라우팅 엔진 기반 세션에 대해 최소 간격을 2500ms 로 지정합니다. NSR이 구성된 분산 BFD 세션의 경우 최소 간격 권장 사항은 변경되지 않으며 네트워크 구축에만 의존합니다.

장애 감지를 위한 최소 수신 간격을 지정하려면 BFD 구성에 문을 포함합니다minimum-receive-interval. 이 값은 라우팅 디바이스가 BFD 세션을 설정한 이웃으로부터 응답을 수신할 것으로 예상하는 최소 간격을 나타냅니다. 1에서 255,000 밀리초 사이의 숫자를 구성할 수 있습니다. 선택적으로 이 문을 사용하는 대신 계층 수준에서 문을 [edit routing-options static route destination-prefix bfd-liveness-detection] 사용하여 minimum-interval 최소 수신 간격을 구성할 수 있습니다.

네이버에서 수신하지 않은 hello 패킷 수를 지정하여, 발신 인터페이스가 다운된 것으로 선언되도록 하려면 BFD 구성에 명령문을 포함합니다 multiplier . 기본값은 3입니다 . 1 에서 255 사이의 숫자를 구성할 수 있습니다.

감지 시간의 적응을 감지하기 위한 임계값을 지정하려면 BFD 구성에 문을 포함합니다 threshold .

BFD 세션 탐지 시간이 임계값보다 높거나 같은 값으로 조정되면 단일 트랩 및 시스템 로그 메시지가 전송됩니다. 탐지 시간은 minimum-interval 또는 minimum-receive-interval 값의 승수를 기반으로 합니다. 임계값은 이러한 구성된 값 중 하나에 대한 승수보다 높은 값이어야 합니다. 예를 들어 최소 수신 간격이 300ms이고 승수가 3인 경우 총 탐지 시간은 900ms  입니다. 따라서 감지 시간 임계값은 900보다 높은 값을 가져야 합니다.

장애 감지를 위한 최소 전송 간격을 지정하려면 BFD 구성에 문을 포함합니다 transmit-interval minimum-interval .

이 값은 로컬 라우팅 디바이스가 BFD 세션을 설정한 이웃에 Hello 패킷을 전송하는 최소 간격을 나타냅니다. 1에서 255,000 밀리초 사이의 값을 구성할 수 있습니다. 선택적으로 이 문을 사용하는 대신 계층 수준에서 문을 [edit routing-options static route destination-prefix bfd-liveness-detection] 사용하여 minimum-interval 최소 전송 간격을 구성할 수 있습니다.

전송 간격의 적응을 위한 임계값을 지정하려면 BFD 구성에 문을 포함합니다 transmit-interval threshold .

임계값은 전송 간격보다 커야 합니다. BFD 세션 전송 시간이 임계값보다 큰 값에 적응하면 단일 트랩 및 시스템 로그 메시지가 전송됩니다. 탐지 시간은 계층 수준에서 최소 간격 또는 minimum-receive-interval 문에 대한 값의 승수를 기반으로 합니다 [edit routing-options static route destination-prefix bfd-liveness-detection] . 임계값은 이러한 구성된 값 중 하나에 대한 승수보다 높은 값이어야 합니다.

BFD 버전을 지정하려면 BFD 구성에 문을 포함합니다 version . 기본값은 버전이 자동으로 검색되도록 하는 것입니다.

BFD 세션의 다음 홉에 IP 주소를 포함하려면 BFD 구성에 문을 포함합니다 neighbor .

참고:

지정된 다음 홉이 neighbor 인터페이스 이름인 경우 문을 구성해야 합니다. IP 주소를 다음 홉으로 지정하면 해당 주소가 BFD 세션의 이웃 주소로 사용됩니다.

Junos OS 릴리스 9.0 이상에서는 BFD 세션이 변화하는 네트워크 조건에 적응하지 않도록 구성할 수 있습니다. BFD 적응을 비활성화하려면 BFD 구성에 문을 포함합니다 no-adaptation .

참고:

네트워크에서 BFD 적응을 사용하지 않는 것이 바람직하지 않은 경우 BFD 적응을 비활성화하지 않는 것이 좋습니다.

참고:

BFD가 정적 경로의 한쪽 끝에만 구성된 경우 경로는 라우팅 테이블에서 제거됩니다. BFD는 BFD가 정적 경로의 양쪽 끝에 구성될 때 세션을 설정합니다.

BFD는 정적 경로의 ISO 주소 패밀리에서 지원되지 않습니다. BFD는 IS-IS를 지원합니다.

BFD와 동시에 GRES( Graceful Routing Engine Switchover )를 구성하는 경우, GRES는 페일오버 중에 BFD 상태 정보를 보존하지 않습니다.

예: 더 빠른 네트워크 장애 감지를 위한 정적 경로의 BFD 구성

이 예는 정적 경로에 대해 BFD(Bidirectional Forwarding Detection)를 구성하는 방법을 보여줍니다.

요구 사항

이 예에서는 디바이스 초기화 이외의 특별한 구성이 필요하지 않습니다.

개요

정적 경로에 대한 많은 실용적인 응용 프로그램이 있습니다. 정적 라우팅은 스텁 네트워크에 대한 연결을 지원하기 위해 네트워크 에지에서 자주 사용되며, 단일 진입 및 송신 지점을 고려할 때 정적 경로의 단순성에 매우 적합합니다. Junos OS에서 정적 경로의 전역 선호도는 5입니다. 지정된 다음 홉에 연결할 수 있는 경우 정적 경로가 활성화됩니다.

이 예에서는 다음 홉 주소 172.16.1.2를 사용하여 프로바이더 네트워크에서 고객 네트워크로 정적 경로 192.168.47.0/24를 구성합니다. 또한 다음 홉 주소 172.16.1.1을 사용하여 고객 네트워크에서 프로바이더 네트워크까지 정적 기본 경로 0.0.0.0/0을 구성합니다.

데모를 위해 일부 루프백 인터페이스는 디바이스 B와 디바이스 D에 구성됩니다. 이러한 루프백 인터페이스는 ping을 위한 주소를 제공하므로 정적 경로가 작동하는지 확인합니다.

그림 1 은 샘플 네트워크를 보여줍니다.

그림 1: 서비스 프로바이더 Customer Routes Connected to a Service Provider 에 연결된 고객 경로

토폴로지

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣습니다.

디바이스 B

디바이스 D

절차

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 자세한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

정적 경로에 대한 BFD를 구성하려면 다음을 수행합니다.

  1. 디바이스 B에서 인터페이스를 구성합니다.

  2. 디바이스 B에서 정적 경로를 생성하고 다음 홉 주소를 설정합니다.

  3. 디바이스 B에서 정적 경로에 대한 BFD를 구성합니다.

  4. 디바이스 B에서 BFD에 대한 추적 작업을 구성합니다.

  5. 디바이스 B 구성을 완료하면 해당 구성을 커밋합니다.

  6. 디바이스 D에서 인터페이스를 구성합니다.

  7. 디바이스 D에서 정적 경로를 생성하고 다음 홉 주소를 설정합니다.

  8. 디바이스 D에서 정적 경로에 대한 BFD를 구성합니다.

  9. 디바이스 D에서 BFD에 대한 추적 작업을 구성합니다.

  10. 디바이스 D 구성을 완료하면 구성을 커밋합니다.

결과

, show protocols, 및 show routing-options 명령을 실행하여 show interfaces구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 B

디바이스 D

확인

구성이 올바르게 작동하고 있는지 확인합니다.

BFD 세션이 작동 중인지 확인하기

목적

BFD 세션이 작동 중인지 확인하고 BFD 세션에 대한 세부 정보를 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show bfd session extensive .

참고:

description Site- <xxx> SRX 시리즈 방화벽에서만 지원됩니다.

각 클라이언트에 두 개 이상의 설명 필드가 있는 경우 첫 번째 설명 필드와 함께 "and more"가 표시됩니다.

의미

출력은 TX interval 1.000, RX interval 1.000 명령문으로 minimum-interval 구성된 설정을 나타냅니다. 다른 모든 출력은 BFD의 기본 설정을 나타냅니다. 기본 설정을 수정하려면 문 아래에 bfd-liveness-detection 선택적 문을 포함합니다.

자세한 BFD 이벤트 보기

목적

필요한 경우 문제 해결에 도움이 되도록 BFD 추적 파일의 내용을 확인합니다.

작업

운영 모드에서 명령을 입력합니다 file show /var/log/bfd-trace .

의미

BFD 메시지는 추적 파일에 기록됩니다.

고정 경로 보안을 위한 BFD 인증 이해

BFD(Bidirectional Forwarding Detection)를 사용하면 인접 시스템 간의 통신 장애를 신속하게 감지할 수 있습니다. 기본적으로 BFD 세션에 대한 인증은 비활성화되어 있습니다. 그러나 네트워크 레이어 프로토콜을 통해 BFD를 실행하는 경우 서비스 공격의 위험이 상당할 수 있습니다.

참고:

여러 홉을 통해 또는 안전하지 않은 터널을 통해 BFD를 실행하는 경우 인증을 사용하는 것이 좋습니다.

Junos OS 릴리스 9.6부터 Junos OS는 IPv4 및 IPv6 정적 경로를 통해 실행되는 BFD 세션에 대한 인증을 지원합니다. BFD 인증은 MPLS OAM 세션에서 지원되지 않습니다. BFD 인증은 캐나다 및 미국 버전의 Junos OS 이미지에서만 지원되며 내보내기 버전에서는 사용할 수 없습니다.

참고:

EX3300은 정적 경로에서만 BFD를 지원합니다.

인증 알고리즘 및 키체인을 지정한 다음 키체인 이름을 사용하여 해당 구성 정보를 보안 인증 키체인과 연결하여 BFD 세션을 인증합니다.

다음 섹션에서는 지원되는 인증 알고리즘, 보안 키 체인 및 구성할 수 있는 인증 수준에 대해 설명합니다.

BFD 인증 알고리즘

Junos OS는 BFD 인증을 위해 다음 알고리즘을 지원합니다.

  • simple-password - 일반 텍스트 암호입니다. 1바이트에서 16 바이트의 일반 텍스트가 BFD 세션을 인증하는 데 사용됩니다. 하나 이상의 암호를 구성할 수 있습니다. 이 방법은 가장 안전하지 않으며 BFD 세션이 패킷 가로채기의 대상이 아닌 경우에만 사용해야 합니다.

  • keyed-md5—전송 및 수신 간격이 100ms 보다 큰 세션에 대한 키 메시지 다이제스트 5 해시 알고리즘. BFD 세션을 인증하기 위해 키 MD5는 하나 이상의 비밀 키(알고리즘에 의해 생성됨)와 주기적으로 업데이트되는 시퀀스 번호를 사용합니다. 이 방법을 사용하면 키 중 하나가 일치하고 시퀀스 번호가 수신된 마지막 시퀀스 번호보다 크거나 같을 경우 세션의 수신 끝에서 패킷이 수락됩니다. 이 방법은 단순한 암호보다 안전하지만 재생 공격에 취약합니다. 시퀀스 번호가 업데이트되는 속도를 높이면 이러한 위험을 줄일 수 있습니다.

  • meticulous-keyed-md5—Meticulous Keyed Message Digest 5 해시 알고리즘. 이 방법은 키 MD5와 동일한 방식으로 작동하지만 시퀀스 번호는 모든 패킷마다 업데이트됩니다. 이 방법은 키가 지정된 MD5 및 단순 암호보다 안전하지만 세션을 인증하는 데 시간이 더 걸릴 수 있습니다.

  • keyed-sha-1—전송 및 수신 간격이 100ms 보다 큰 세션에 대한 키 보안 해시 알고리즘 I. BFD 세션을 인증하기 위해 키 SHA는 하나 이상의 비밀 키(알고리즘에 의해 생성됨)와 주기적으로 업데이트되는 시퀀스 번호를 사용합니다. 키는 패킷 내에서 전달되지 않습니다. 이 방법을 사용하면 키 중 하나가 일치하고 시퀀스 번호가 마지막으로 수신된 시퀀스 번호보다 큰 경우 세션의 수신 끝에서 패킷이 수락됩니다.

  • meticulous-keyed-sha-1—꼼꼼한 키 보안 해시 알고리즘 I. 이 방법은 키 SHA와 동일한 방식으로 작동하지만 시퀀스 번호는 모든 패킷마다 업데이트됩니다. 이 방법은 키가 지정된 SHA 및 단순 암호보다 안전하지만 세션을 인증하는 데 추가 시간이 걸릴 수 있습니다.

참고:

NSR(Nonstop Active Routing)은 meticulous-keyed-md5 및 meticulous-keyed-sha-1 인증 알고리즘으로 지원되지 않습니다. 이러한 알고리즘을 사용하는 BFD 세션은 전환 후 중단될 수 있습니다.

참고:

QFX5000 시리즈 스위치 및 EX4600 스위치는 1초 미만의 최소 간격 값을 지원하지 않습니다.

보안 인증 키체인

보안 인증 키 체인은 인증 키 업데이트에 사용되는 인증 속성을 정의합니다. 보안 인증 키체인이 구성되고 키체인 이름을 통해 프로토콜과 연결되면 라우팅 및 신호 프로토콜을 중단하지 않고 인증 키 업데이트가 발생할 수 있습니다.

인증 키체인에는 하나 이상의 키체인이 포함되어 있습니다. 각 키체인에는 하나 이상의 키가 포함되어 있습니다. 각 키에는 비밀 데이터와 키가 유효해지는 시간이 들어 있습니다. 알고리즘과 키 체인은 BFD 세션의 양쪽 끝에서 구성되어야 하며 일치해야 합니다. 구성이 일치하지 않으면 BFD 세션이 생성되지 않습니다.

BFD는 세션당 여러 클라이언트를 허용하며 각 클라이언트는 고유한 키 체인과 알고리즘을 정의할 수 있습니다. 혼동을 피하려면 보안 인증 키체인을 하나만 지정하는 것이 좋습니다.

엄격한 인증과 느슨한 인증 비교

기본적으로 엄격한 인증이 활성화되며 각 BFD 세션의 양쪽 끝에서 인증이 확인됩니다. 선택적으로 인증되지 않은 세션에서 인증된 세션으로의 원활한 마이그레이션을 위해 느슨한 검사를 구성할 수 있습니다. 느슨한 검사가 구성되면 세션의 각 끝에서 인증을 확인하지 않고 패킷이 수락됩니다. 이 기능은 전환 기간에만 사용할 수 있습니다.

예: 정적 경로 보안을 위한 BFD 인증 구성

이 예에서는 정적 경로에 대해 BFD(Bidirectional Forwarding Detection) 인증을 구성하는 방법을 보여 줍니다.

요구 사항

Junos OS 릴리스 9.6 이상(Canda 및 미국 버전).

BFD 인증은 캐나다 및 미국 버전의 Junos OS 이미지에서만 지원되며 내보내기 버전에서는 사용할 수 없습니다.

개요

IPv4 및 IPv6 정적 경로를 통해 실행되는 BFD 세션에 대한 인증을 구성할 수 있습니다. 라우팅 인스턴스 및 논리 시스템도 지원됩니다.

BFD 세션에서 인증을 구성하려면 다음 단계가 필요합니다.

  1. 정적 경로에 대한 BFD 인증 알고리즘을 지정합니다.

  2. 인증 키 체인을 정적 경로와 연결합니다.

  3. 관련 보안 인증 키 체인을 구성합니다. 이는 기본 라우터에서 구성해야 합니다.

팁:

인증되지 않은 세션에서 인증된 세션으로 전환하는 경우 느슨한 인증 검사를 지정하는 것이 좋습니다.

그림 2 는 샘플 네트워크를 보여줍니다.

그림 2: 서비스 프로바이더 Customer Routes Connected to a Service Provider 에 연결된 고객 경로

토폴로지

구성

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣습니다.

디바이스 B

디바이스 D

절차

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. CLI 탐색에 대한 자세한 내용은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

정적 경로에 대한 BFD를 구성하려면 다음을 수행합니다.

  1. 디바이스 B에서 인터페이스를 구성합니다.

  2. 디바이스 B에서 정적 경로를 생성하고 다음 홉 주소를 설정합니다.

  3. 디바이스 B에서 정적 경로에 대한 BFD를 구성합니다.

  4. 디바이스 B에서 정적 경로에서 BFD 인증에 사용할 알고리즘(keyed-md5, keyed-sha-1, meticulous-keyed-md5, meticulous-keyed-sha-1 또는 simple-password)을 지정합니다.

    참고:

    NSR(Nonstop Active Routing)은 Meticulous-Keyed-MD5 및 Meticulous-Keyed-sha-1 인증 알고리즘으로 지원되지 않습니다. 이러한 알고리즘을 사용하는 BFD 세션은 전환 후 중단될 수 있습니다.

  5. 디바이스 B에서 지정된 경로의 BFD 세션을 고유한 보안 인증 키 체인 속성과 연결하는 데 사용할 키 체인을 지정합니다.

    이는 계층 수준에서 구성된 [edit security authentication key-chains] 키 집합 이름과 일치해야 합니다.

  6. 디바이스 B에서 BFD 세션에 대한 고유한 보안 인증 정보를 지정합니다.

    • 5단계에서 지정한 것과 일치하는 키 집합 이름입니다.

    • 하나 이상의 키, 0 에서 63 사이의 고유한 정수입니다. 여러 키를 만들면 여러 클라이언트가 BFD 세션을 사용할 수 있습니다.

    • 세션에 대한 액세스를 허용하는 데 사용되는 비밀 데이터입니다.

    • 인증 키가 활성화되는 시간(형식 yyyy-mm-dd.hh:mm:ss)입니다.

  7. 디바이스 B 구성을 완료하면 해당 구성을 커밋합니다.

  8. 디바이스 D에서 구성을 반복합니다.

    알고리즘과 키 체인은 BFD 세션의 양쪽 끝에서 구성되어야 하며 일치해야 합니다. 구성이 일치하지 않으면 BFD 세션이 생성되지 않습니다.

결과

, show routing-options, 및 show security 명령을 실행하여 show interfaces구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 B

확인

구성이 올바르게 작동하고 있는지 확인합니다.

BFD 세션이 작동 중인지 확인하기

목적

BFD 세션이 작동 중인지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show bfd session .

의미

명령 출력은 BFD 세션이 작동 중임을 보여줍니다.

BFD 세션에 대한 세부 정보 보기

목적

BFD 세션에 대한 세부 정보를 보고 인증이 구성되었는지 확인합니다.

작업

운영 모드에서 명령을 입력합니다 show bfd session detail .

의미

명령 출력에 인증( Authenticate )이 표시되어 BFD 인증이 구성되었음을 나타냅니다.

광범위한 BFD 세션 정보 보기

목적

BFD 세션에 대한 자세한 정보를 봅니다.

작업

운영 모드에서 명령을 입력합니다 show bfd session extensive .

의미

명령 출력에 인증( Authenticate )이 표시되어 BFD 인증이 구성되었음을 나타냅니다. 명령의 출력은 세션의 extensive 각 클라이언트에 대한 키 체인 이름, 인증 알고리즘 및 모드를 제공합니다.

참고:

description Site- <xxx> SRX 시리즈 방화벽에서만 지원됩니다.

각 클라이언트에 두 개 이상의 설명 필드가 있는 경우 첫 번째 설명 필드와 함께 "and more"가 표시됩니다.

예: 경로 선택을 위한 정적 경로의 적격 다음 홉에서 BFD 활성화

이 예는 가능한 다음 홉이 여러 개인 정적 경로를 구성하는 방법을 보여줍니다. 각 다음 홉에는 BFD(Bidirectional Forwarding Detection)가 활성화되어 있습니다.

요구 사항

이 예에서는 디바이스 초기화 이외의 특별한 구성이 필요하지 않습니다.

개요

이 예에서 디바이스 B는 2개의 가능한 다음 홉이 있는 정적 경로 192.168.47.0/24 를 가지고 있습니다. 두 개의 다음 홉은 두 qualified-next-hop 개의 문을 사용하여 정의됩니다. 각 다음 홉에는 BFD가 활성화되어 있습니다.

연결의 양쪽 끝에서 BFD를 활성화해야 하므로 디바이스 D에서도 BFD가 활성화됩니다.

BFD 세션이 작동 중이면 라우팅 테이블에 다음 홉이 포함됩니다. BFD 세션이 다운되면 라우팅 테이블에서 다음 홉이 제거됩니다.

그림 3을 참조하십시오.

그림 3: 적격 다음 홉 BFD Enabled on Qualified Next Hops 에서 BFD 활성화

토폴로지

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경한 다음, 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣습니다.

디바이스 B

디바이스 D

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

BFD가 활성화된 두 개의 가능한 다음 홉으로 고정 경로를 구성하려면:

  1. 디바이스 B에서 인터페이스를 구성합니다.

  2. 디바이스 B에서 BFD가 활성화된 두 개의 다음 홉으로 정적 경로를 구성합니다.

  3. 디바이스 D에서 인터페이스를 구성합니다.

  4. 디바이스 D에서 공급자 네트워크에 대한 두 개의 다음 홉이 있는 BFD 지원 기본 고정 경로를 구성합니다.

    이 경우 BFD는 다음 홉이 아닌 경로에서 활성화됩니다.

결과

show routing-options 명령을 실행하여 show interfaces 구성을 확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.

디바이스 구성을 마쳤으면 구성 모드에서 commit 을 입력합니다.

확인

구성이 올바르게 작동하고 있는지 확인합니다.

라우팅 테이블 확인

목적

디바이스 B의 라우팅 테이블에 고정 경로가 나타나고 다음 홉이 두 개 가능한지 확인합니다.

작업
의미

다음 홉이 모두 나열됩니다. 다음 홉 192.168.2.2가 선택된 경로입니다.

BFD 세션 확인

목적

BFD 세션이 작동 중인지 확인합니다.

작업
의미

출력은 BFD 세션이 작동 중임을 보여줍니다.

디바이스 D에서 BFD 제거

목적

다음 두 홉 모두에 대해 BFD 세션이 다운될 때 어떤 일이 발생하는지 보여줍니다.

작업
  1. 디바이스 D에서 BFD를 비활성화합니다.

  2. 디바이스 B에서 명령을 다시 실행합니다 show bfd session .

  3. 디바이스 B에서 명령을 다시 실행합니다 show route 192.168.47.0 .

의미

예상대로 BFD 세션이 다운되면 라우팅 테이블에서 정적 경로가 제거됩니다.

하나의 다음 홉에서 BFD 제거

목적

하나의 다음 홉에서만 BFD가 활성화되면 어떤 일이 발생하는지 보여줍니다.

작업
  1. 아직 비활성화되지 않은 경우 디바이스 D에서 BFD를 비활성화합니다.

  2. 디바이스 B의 다음 홉 중 하나에서 BFD를 비활성화합니다.

  3. 디바이스 B에서 명령을 다시 실행합니다 show bfd session .

  4. 디바이스 B에서 명령을 다시 실행합니다 show route 192.168.47.0 extensive .

의미

예상대로 BFD 세션은 192.168.2.2 다음 홉에 대해 다운되었습니다. 172.16.1.2 다음 홉은 라우팅 테이블에 남아 있으며, BFD는 이 다음 홉이 유효한 상태로 유지되기 위한 조건이 아니기 때문에 경로는 활성 상태로 유지됩니다.

릴리스 기록 테이블
릴리스
설명
15.1X49-D70
Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1 bfd-liveness-detection 부터 명령에는 설명 필드가 포함됩니다. 설명은 개체 아래의 bfd-liveness-detection 속성이며 SRX 시리즈 방화벽에서만 지원됩니다. 이 필드는 정적 경로에만 적용할 수 있습니다.