정적 경로에 대한 양방향 전달 탐지
더 빠른 네트워크 장애 감지를 위한 정적 경로의 BFD 이해하기
BFD(Bidirectional Forwarding Detection) 프로토콜은 네트워크의 실패를 감지하는 간단한 Hello 메커니즘입니다. BFD는 다양한 네트워크 환경과 토폴로지에서 작동합니다. 한 쌍의 라우팅 디바이스가 BFD 패킷을 교환합니다. Hello 패킷은 정규적이며 지정된 간격으로 전송됩니다. 지정된 간격 후 라우팅 디바이스가 응답 수신을 중단하면 이웃 실패가 감지됩니다. BFD 실패 검출 타이머는 정적 경로 실패 검출 메커니즘보다 짧은 시간 제한을 가지므로 빠른 탐지를 제공합니다.
BFD 실패 검출 타이머는 더 빠르거나 느리게 조정할 수 있습니다. BFD 실패 검출 타이머 값이 낮을수록 실패 검출이 빨라지고 그 반대의 경우도 마찬가지입니다. 예를 들어 타이머는 인접성이 실패할 경우(즉, 타이머가 실패를 더 느리게 감지함) 더 높은 값에 적응할 수 있습니다. 또는 이웃이 구성된 값보다 타이머에 대해 더 높은 값을 협상할 수 있습니다. BFD 세션 플랩이 15초 동안 3배 이상 발생하면 타이머는 더 높은 값에 적응합니다. 로컬 BFD 인스턴스가 세션 플랩의 이유인 경우 물러서기 알고리즘은 수신 (Rx) 간격을 2배로 증가시킵니다. 원격 BFD 인스턴스가 세션 플랩의 이유인 경우 전송 (Tx) 간격은 2배 증가합니다. 명령을 사용하여 clear bfd adaptation BFD 간격 타이머를 구성된 값으로 돌려줄 수 있습니다. clear bfd adaptation 명령은 중단이 없으며, 이는 명령이 라우팅 디바이스의 트래픽 플로우에 영향을 미치지 않는다는 것을 의미합니다.
기본적으로 BFD는 단일 홉 정적 경로에서 지원됩니다.
MX 시리즈 디바이스에서 정적 경로가 둘 이상의 다음 홉으로 구성된 경우 정적 경로에서 멀티홉 BFD가 지원되지 않습니다. 정적 경로에 멀티홉 BFD가 필요한 경우 멀티 다음 홉을 사용하지 않는 것이 좋습니다.
실패 감지를 활성화하려면 정적 경로 구성에서 bfd-liveness-detection 문을 포함합니다.
Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터는 bfd-liveness-detection 명령에 설명 필드가 포함됩니다. 설명은 개체 아래의 bfd-liveness-detection 속성이며 SRX 시리즈 방화벽에서만 지원됩니다. 이 필드는 정적 경로에만 적용됩니다.
Junos OS 릴리스 9.1 이상에서 BFD 프로토콜은 IPv6 정적 경로에 대해 지원됩니다. 정적 경로에는 글로벌 유니캐스트 및 link-local IPv6 주소가 지원됩니다. BFD 프로토콜은 멀티캐스트 또는 애니캐스트 IPv6 주소에서 지원되지 않습니다. IPv6의 경우, BFD 프로토콜은 정적 경로와 Junos OS 릴리스 9.3 이상에서만 지원합니다. BFD용 IPv6은 eBGP 프로토콜에도 지원됩니다.
IPv6 정적 경로에 대한 BFD 프로토콜을 구성하려면 계층 수준에서 문을 [edit routing-options rib inet6.0 static route destination-prefix] 포함합니다bfd-liveness-detection.
Junos OS 릴리스 8.5 이상에서는 홀드다운 간격을 구성하여 상태 변경 알림이 전송되기 전에 BFD 세션이 유지되어야 하는 기간을 지정할 수 있습니다.
홀드다운 간격을 지정하려면 BFD 구성에 holddown-interval 명령문을 포함합니다. 0에서 255,000밀리초 범위의 숫자를 구성할 수 있습니다. 기본값은 0입니다. BFD 세션이 다운되었다가 홀드다운 간격 동안 다시 켜지면 타이머가 다시 시작됩니다.
단일 BFD 세션에 여러 정적 경로가 포함된 경우 가장 높은 값의 홀드다운 간격이 사용됩니다.
실패 감지를 위한 최소 전송 및 수신 간격을 지정하려면 BFD 구성에 명령문을 포함 minimum-interval 하십시오.
이 값은 로컬 라우팅 디바이스가 Hello 패킷을 전송하는 최소 간격과 라우팅 디바이스가 BFD 세션을 설정한 이웃으로부터 응답을 수신할 것으로 예상하는 최소 간격을 모두 나타냅니다. 1밀리초에서 255,000밀리초 범위의 숫자를 구성할 수 있습니다. 선택적으로 이 문을 사용하는 대신 transmit-interval minimum-interval 및 minimum-receive-interval 문을 사용하여 최소 전송 및 수신 간격을 별도로 구성할 수 있습니다.
Junos OS 또는 Junos OS Evolved에서 실행되는 EX4600 및 QFX5000 시리즈 스위치는 중앙 집중식 및 분산 모드에서 1초 미만의 최소 간격 값을 지원하지 않습니다.
BFD는 시스템 리소스를 소비하는 집약적인 프로토콜입니다. 라우팅 엔진 기반 세션의 경우 100ms 미만의 BFD 최소 간격을 지정하고 분산 BFD 세션의 경우 10ms 미만으로 지정하면 원치 않는 BFD 플랩이 발생할 수 있습니다.
네트워크 환경에 따라 다음과 같은 추가 권장 사항이 적용될 수 있습니다.
-
BFD 세션이 많은 대규모 네트워크 배포의 경우, 라우팅 엔진 기반 세션에 대해 최소 간격을 300ms, 분산 BFD 세션에 대해 100ms로 지정합니다.
-
BFD 세션 수가 많은 대규모 네트워크를 구축하는 경우, 자세한 정보는 주니퍼 네트웍스 고객 지원에 문의하십시오.
-
NSR(Nonstop Active Routing)이 구성될 때 라우팅 엔진 전환 이벤트 동안 BFD 세션이 계속 유지되도록 하려면 라우팅 엔진 기반 세션에 대해 최소 간격을 2500ms로 지정합니다. NSR이 구성된 분산 BFD 세션의 경우, 최소 간격 권장 사항은 변경되지 않고 네트워크 구축에만 의존합니다.
실패 감지를 위한 최소 수신 간격을 지정하려면 BFD 구성에 명령문을 포함 minimum-receive-interval 하십시오. 이 값은 라우팅 디바이스가 BFD 세션을 구축한 이웃으로부터 응답을 수신할 것으로 예상하는 최소 간격을 나타냅니다. 1밀리초에서 255,000밀리초 범위의 숫자를 구성할 수 있습니다. 선택적으로 이 문을 사용하는 대신 계층 수준에서 문을 사용하여 minimum-interval 최소 수신 간격을 [edit routing-options static route destination-prefix bfd-liveness-detection] 구성할 수 있습니다.
원래 인터페이스가 다운된 것으로 선언되도록 하는 이웃이 수신하지 않는 hello 패킷의 수를 지정하려면 BFD 구성에 문을 포함합니다 multiplier . 기본값은 3입니다. 1에서 255까지 숫자를 구성할 수 있습니다.
검출 시간의 적응을 감지하기 위한 임계값을 지정하려면 BFD 구성에 명령문을 포함 threshold 하십시오.
BFD 세션 감지 시간이 임계값 이상의 값에 적응하면 단일 트랩과 시스템 로그 메시지가 전송됩니다. 탐지 시간은 최소 간격 또는 최소 수신 간격 값의 승수를 기반으로 합니다. 임계값은 이러한 구성된 값 중 하나에 대한 승수보다 높은 값이어야 합니다. 예를 들어, 최소 수신 간격 이 300ms이고 승수가 3인 경우 총 탐지 시간은 900ms입니다. 따라서 검출 시간 임계값은 900보다 큰 값을 가져야 합니다.
실패 감지를 위한 최소 전송 간격을 지정하려면 BFD 구성에서 transmit-interval minimum-interval 문을 포함합니다.
이 값은 로컬 라우팅 디바이스가 BFD 세션을 구축한 이웃으로 Hello 패킷을 전송하는 최소 간격을 나타냅니다. 1에서 255,000밀리초 범위의 값을 구성할 수 있습니다. 선택적으로 이 문을 사용하는 대신 계층 수준에서 문을 사용하여 minimum-interval 최소 전송 간격을 [edit routing-options static route destination-prefix bfd-liveness-detection] 구성할 수 있습니다.
전송 간격의 적응에 대한 임계값을 지정하려면 BFD 구성에 명령문을 포함 transmit-interval threshold 하십시오.
임계값은 전송 간격보다 커야 합니다. BFD 세션 전송 시간이 임계값보다 큰 값에 적응하면 단일 트랩과 시스템 로그 메시지가 전송됩니다. 탐지 시간은 계층 수준에서 최소 간격 또는 명령문 [edit routing-options static route destination-prefix bfd-liveness-detection] 에 minimum-receive-interval 대한 값의 승수를 기반으로 합니다. 임계값은 이러한 구성된 값 중 하나에 대한 승수보다 높은 값이어야 합니다.
BFD 버전을 지정하려면 BFD 구성에 version 명령문을 포함하십시오. 기본값은 버전이 자동으로 검색되도록 하는 것입니다.
BFD 세션의 다음 홉에 IP 주소를 포함하기 위해 BFD 구성에서 문을 포함합니다 neighbor .
지정된 다음 홉이 neighbor 인터페이스 이름인 경우 문을 구성해야 합니다. IP 주소를 다음 홉으로 지정하면 해당 주소가 BFD 세션의 이웃 주소로 사용됩니다.
Junos OS 릴리스 9.0 이상에서는 변화하는 네트워크 조건에 적응하지 않도록 BFD 세션을 구성할 수 있습니다. BFD 적응을 비활성화하려면 BFD 구성에 no-adaptation 문을 포함합니다.
네트워크에서 BFD 적응을 하지 않는 것이 바람직하지 않는 한 BFD 적응을 비활성화하지 않는 것이 좋습니다.
BFD가 정적 경로의 한쪽 끝에만 구성되면, 해당 경로는 라우팅 테이블에서 제거됩니다. BFD는 BFD가 정적 경로의 양쪽 끝에서 구성될 때 세션을 구성합니다.
BFD는 정적 경로의 ISO 주소 패밀리에서 지원되지 않습니다. BFD는 IS-IS(Intermediate System to Intermediate System)를 지원하지 않습니다.
BFD와 동시에 GRES(Graceful 라우팅 엔진 Switchover )를 구성하는 경우, GRES는 페일오버 중에 BFD 상태 정보를 보존하지 않습니다.
참조
예: 더 빠른 네트워크 장애 감지를 위한 정적 경로의 BFD 구성
이 예는 정적 경로에 대해 BFD(Bidirectional Forwarding Detection)를 구성하는 방법을 보여줍니다.
요구 사항
이 예에서는 디바이스 초기화를 제외한 특별한 구성이 필요하지 않습니다.
개요
정적 경로에 대한 많은 실용적인 응용 프로그램이 있습니다. 정적 라우팅은 스텁 네트워크에 대한 연결을 지원하기 위해 네트워크 에지에서 자주 사용되며, 단일 진입 및 송신 지점을 고려할 때 정적 경로의 단순성에 적합합니다. Junos OS에서 정적 경로의 글로벌 선호는 5입니다. 지정된 다음 홉에 도달할 수 있는 경우 정적 경로가 활성화됩니다.
이 예에서는 다음 홉 주소 172.16.1.2를 사용하여 공급자 네트워크에서 고객 네트워크로 정적 경로 192.168.47.0/24를 구성합니다. 또한 다음 홉 주소 172.16.1.1을 사용하여 고객 네트워크에서 공급자 네트워크로 정적 기본 경로 0.0.0.0/0을 구성합니다.
데모를 위해 디바이스 B와 디바이스 D에서 일부 루프백 인터페이스를 구성합니다. 이러한 루프백 인터페이스는 ping에 주소를 제공하므로 정적 경로가 작동하는지 확인합니다.
그림 1 은 샘플 네트워크를 보여줍니다.
에 연결된 고객 경로
위상수학
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣습니다.
디바이스 B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
디바이스 D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
절차
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색 관련 정보는 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
정적 경로에 대한 BFD를 구성하려면 다음을 수행합니다.
디바이스 B에서 인터페이스를 구성합니다.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
디바이스 B에서 정적 경로를 생성하고 다음 홉 주소를 설정합니다.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
디바이스 B에서 정적 경로에 대한 BFD를 구성합니다.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
디바이스 B에서 BFD에 대한 추적 작업을 구성합니다.
[edit protocols] user@B# set bfd traceoptions file bfd-trace user@B# set bfd traceoptions flag all
디바이스 B 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@B# commit
디바이스 D에서 인터페이스를 구성합니다.
[edit interfaces] user@D# set ge-1/2/0 unit 1 description D->B user@D# set ge-1/2/0 unit 1 family inet address 172.16.1.2/24 user@D# set lo0 unit 2 family inet address 192.168.47.5/32 user@D# set lo0 unit 2 family inet address 192.168.47.6/32
디바이스 D에서 정적 경로를 생성하고 다음 홉 주소를 설정합니다.
[edit routing-options] user@D# set static route 0.0.0.0/0 next-hop 172.16.1.1
디바이스 D에서 정적 경로에 대한 BFD를 구성합니다.
[edit routing-options] user@D# set static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000
디바이스 D에서 BFD에 대한 추적 작업을 구성합니다.
[edit protocols] user@D# set bfd traceoptions file bfd-trace user@D# set bfd traceoptions flag all
디바이스 D 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@D# commit
결과
, show protocolsshow routing-options 및 명령을 입력하여 show interfaces구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
디바이스 B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@D# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
}
}
}
디바이스 D
user@D# show interfaces
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
lo0 {
unit 2 {
family inet {
address 192.168.47.5/32;
address 192.168.47.6/32;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
next-hop 172.16.1.1;
bfd-liveness-detection {
description Site - xxx;
minimum-interval 1000;
}
}
}
확인
구성이 올바르게 작동하고 있는지 확인합니다.
BFD 세션이 작동 중인지 확인하기
목적
BFD 세션이 켜져 있는지 확인하고 BFD 세션에 대한 세부 정보를 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show bfd session extensive .
user@B> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up lt-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000
Session up time 00:14:30
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 172
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 2, remote discriminator 1
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
은 description Site- <xxx> (는) SRX 시리즈 방화벽에서만 지원됩니다.
각 클라이언트에 둘 이상의 설명 필드가 있는 경우 첫 번째 설명 필드와 함께 "및 그 이상"이 표시됩니다.
user@D> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.1 Up lt-1/2/0.1 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000
Session up time 00:14:35
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 170
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 1, remote discriminator 2
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
의미
출력은 TX interval 1.000, RX interval 1.000 문 으로 minimum-interval 구성된 설정을 나타냅니다. 다른 모든 출력은 BFD의 기본 설정을 나타냅니다. 기본 설정을 수정하려면 문 아래의 bfd-liveness-detection 옵션 문을 포함합니다.
자세한 BFD 이벤트 보기
목적
필요한 경우 문제 해결에 도움이 되는 BFD 추적 파일의 내용을 확인합니다.
행동
운영 모드에서 명령을 입력합니다 file show /var/log/bfd-trace .
user@B> file show /var/log/bfd-trace Nov 23 14:26:55 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 72 Nov 23 14:26:55 PPM Trace: BFD periodic xmit rt tbl index 172 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 108: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 83: (hex) 70 70 6d 64 5f 62 66 64 5f 73 65 6e 64 6d 73 67 20 3a 20 Nov 23 14:26:55 PPM Trace: ppmd_bfd_sendmsg : socket 12 len 24, ifl 78 src 172.16.1.1 dst 172.16.1.2 errno 65 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 93: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 68: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 74
의미
BFD 메시지는 추적 파일에 기록됩니다.
정적 경로 보안을 위한 BFD 인증 이해하기
BFD(Bidirectional Forwarding Detection)를 사용하면 인접 시스템 간의 통신 장애를 신속하게 감지할 수 있습니다. 기본적으로 BFD 세션에 대한 인증은 비활성화됩니다. 그러나 네트워크 레이어 프로토콜을 통해 BFD를 실행하면 서비스 공격의 위험이 상당할 수 있습니다.
다중 홉 또는 안전하지 않은 터널을 통해 BFD를 실행하는 경우 인증을 사용하는 것이 좋습니다.
Junos OS 릴리스 9.6부터 Junos OS는 IPv4 및 IPv6 정적 경로를 통해 실행되는 BFD 세션에 대한 인증을 지원합니다. BFD 인증은 MPLS OAM 세션에서 지원되지 않습니다. BFD 인증은 Junos OS 이미지의 캐나다 및 미국 버전에서만 지원되며 내보내기 버전에서는 사용할 수 없습니다.
EX3300은 정적 경로에 대해서만 BFD를 지원합니다.
인증 알고리즘과 키체인을 지정한 다음 키체인 이름을 사용하여 해당 구성 정보를 보안 인증 키체인과 연결하여 BFD 세션을 인증합니다.
다음 섹션에서는 지원되는 인증 알고리즘, 보안 키체인 및 구성할 수 있는 인증 수준에 대해 설명합니다.
BFD 인증 알고리즘
Junos OS는 BFD 인증을 위해 다음 알고리즘을 지원합니다.
simple-password—일반 텍스트 비밀번호. 1 - 16바이트의 일반 텍스트가 BFD 세션을 인증하는 데 사용됩니다. 하나 이상의 암호를 구성할 수 있습니다. 이 방법은 가장 안전하지 않으며 BFD 세션이 패킷 가로채기의 대상이 아닌 경우에만 사용해야 합니다.
keyed-md5—전송 및 수신 간격이 100ms보다 큰 세션에 대한 키 메시지 다이제스트 5 해시 알고리즘. BFD 세션을 인증하기 위해 키 MD5는 알고리즘에 의해 생성된 하나 이상의 비밀 키와 주기적으로 업데이트되는 시퀀스 번호를 사용합니다. 이 방법에서는 키 중 하나가 일치하고 시퀀스 번호가 마지막으로 수신된 시퀀스 번호보다 크거나 같은 경우 세션의 수신 엔드에서 패킷이 수락됩니다. 이 방법은 단순 암호보다 안전하지만 재생 공격에 취약합니다. 시퀀스 번호가 업데이트되는 속도를 높이면 이러한 위험을 줄일 수 있습니다.
meticulous-keyed-md5—세심한 키 Message Digest 5 해시 알고리즘. 이 방법은 키 MD5와 동일한 방식으로 작동하지만 시퀀스 번호는 모든 패킷으로 업데이트됩니다. 이 방법은 키 MD5 및 단순 암호보다 안전하지만 세션을 인증하는 데 시간이 더 걸릴 수 있습니다.
keyed-sha-1—전송 및 수신 간격이 100ms보다 큰 세션에 대한 키 보안 해시 알고리즘 I. BFD 세션을 인증하기 위해 키 SHA는 알고리즘에 의해 생성된 하나 이상의 비밀 키와 주기적으로 업데이트되는 시퀀스 번호를 사용합니다. 키는 패킷 내에서 전달되지 않습니다. 이 방법을 사용하면 키 중 하나가 일치하고 시퀀스 번호가 마지막으로 수신된 시퀀스 번호보다 큰 경우 세션의 수신 엔드에서 패킷이 수락됩니다.
meticulous-keyed-sha-1—꼼꼼한 키 보안 해시 알고리즘 I. 이 방법은 키 지정 SHA와 동일한 방식으로 작동하지만 시퀀스 번호는 모든 패킷으로 업데이트됩니다. 이 방법은 키 SHA 및 단순 암호보다 안전하지만 세션을 인증하는 데 시간이 더 걸릴 수 있습니다.
NSR(Nonstop Active Routing)은 meticulous-keyed-md5 및 meticulous-keyed-sha-1 인증 알고리즘으로 지원되지 않습니다. 이러한 알고리즘을 사용하는 BFD 세션은 전환 후 다운될 수 있습니다.
QFX5000 시리즈 스위치 및 EX4600 스위치는 1초 미만의 최소 간격 값을 지원하지 않습니다.
보안 인증 키체인
보안 인증 키체인은 인증 키 업데이트에 사용되는 인증 속성을 정의합니다. 보안 인증 키체인이 구성되고 키체인 이름을 통해 프로토콜과 연결되면 라우팅 및 신호 프로토콜을 중단하지 않고 인증 키 업데이트가 발생할 수 있습니다.
인증 키체인에는 하나 이상의 키체인이 포함되어 있습니다. 각 키체인에는 하나 이상의 키가 포함되어 있습니다. 각 키에는 비밀 데이터와 키가 유효해지는 시간이 들어 있습니다. 알고리즘과 키체인은 BFD 세션의 양쪽 끝에서 구성되어야 하며 일치해야 합니다. 구성이 일치하지 않으면 BFD 세션이 생성되지 않습니다.
BFD는 세션당 여러 클라이언트를 허용하며, 각 클라이언트는 고유한 키체인과 알고리즘을 정의할 수 있습니다. 혼동을 피하기 위해 하나의 보안 인증 키체인만 지정하는 것이 좋습니다.
엄격한 인증과 느슨한 인증 비교
기본적으로 엄격한 인증이 사용되며 각 BFD 세션의 양쪽 끝에서 인증이 확인됩니다. 선택적으로 인증되지 않은 세션에서 인증된 세션으로 원활하게 마이그레이션하기 위해 느슨한 검사를 구성할 수 있습니다. 느슨한 검사가 구성되면 세션의 각 끝에서 인증을 확인하지 않고 패킷이 수락됩니다. 이 기능은 전환 기간에만 사용할 수 있습니다.
예: 고정 경로 보안을 위한 BFD 인증 구성
이 예는 정적 경로에 대해 BFD(Bidirectional Forwarding Detection) 인증을 구성하는 방법을 보여줍니다.
요구 사항
Junos OS 릴리스 9.6 이상(캐나다 및 미국 버전).
BFD 인증은 Junos OS 이미지의 캐나다 및 미국 버전에서만 지원되며 내보내기 버전에서는 사용할 수 없습니다.
개요
IPv4 및 IPv6 정적 경로를 통해 실행되는 BFD 세션에 대한 인증을 구성할 수 있습니다. 라우팅 인스턴스 및 논리적 시스템도 지원됩니다.
BFD 세션에서 인증을 구성하려면 다음 단계가 필요합니다.
정적 경로에 대한 BFD 인증 알고리즘을 지정합니다.
인증 키체인을 고정 경로와 연결합니다.
관련 보안 인증 키체인을 구성합니다. 이는 기본 라우터에서 구성해야 합니다.
인증되지 않은 세션에서 인증된 세션으로 전환하는 경우 느슨한 인증 검사를 지정하는 것이 좋습니다.
[edit] user@host> set routing-options static route ipv4 bfd-liveness-detection authentication loose-check
그림 2 샘플 네트워크를 보여줍니다.
에 연결된 고객 경로
위상수학
구성
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣습니다.
디바이스 B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
디바이스 D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
절차
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. CLI 탐색 관련 정보는 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
정적 경로에 대한 BFD를 구성하려면 다음을 수행합니다.
디바이스 B에서 인터페이스를 구성합니다.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
디바이스 B에서 정적 경로를 생성하고 다음 홉 주소를 설정합니다.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
디바이스 B에서 정적 경로에 대한 BFD를 구성합니다.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
디바이스 B에서 정적 경로에서 BFD 인증에 사용할 알고리즘(keyed-md5, keyed-sha-1, meticulous-keyed-md5, meticulous-keyed-sha-1 또는 simple-password)을 지정합니다.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1
메모:NSR(Nonstop Active Routing)은 meticulous-keyed-md5 및 meticulous-keyed-sha-1 인증 알고리즘으로 지원되지 않습니다. 이러한 알고리즘을 사용하는 BFD 세션은 전환 후 다운될 수 있습니다.
-
디바이스 B에서 지정된 경로의 BFD 세션을 고유한 보안 인증 키체인 속성과 연결하는 데 사용할 키체인을 지정합니다.
이는 계층 수준에서 구성된
[edit security authentication key-chains]키체인 이름과 일치해야 합니다.[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4
디바이스 B에서 BFD 세션에 대한 고유한 보안 인증 정보를 지정합니다.
-
5단계에서 지정한 일치하는 키체인 이름입니다.
하나 이상의 키, 0 에서 63 사이의 고유한 정수. 여러 키를 만들면 여러 클라이언트가 BFD 세션을 사용할 수 있습니다.
세션에 대한 액세스를 허용하는 데 사용되는 비밀 데이터입니다.
인증 키가 활성화되는 시간(형식 yyyy-mm-dd.hh:mm:ss)입니다.
[edit security authentication-key-chains key-chain bfd-kc4] user@B# set key 5 secret "$ABC123$ABC123$ABC123" user@B# set key 5 start-time "2011-1-1.12:00:00 -0800"
-
디바이스 B 구성을 완료하면 해당 구성을 커밋합니다.
[edit] user@B# commit
디바이스 D에서 구성을 반복합니다.
알고리즘과 키체인은 BFD 세션의 양쪽 끝에서 구성되어야 하며 일치해야 합니다. 구성이 일치하지 않으면 BFD 세션이 생성되지 않습니다.
결과
, show routing-optionsshow security 및 명령을 입력하여 show interfaces구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
디바이스 B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
authentication {
key-chain bfd-kc4;
algorithm keyed-sha-1;
}
}
}
}
user@B# show security
authentication-key-chains {
key-chain bfd-kc4 {
key 5 {
secret "$ABC123$ABC123$ABC123"; ## SECRET-DATA
start-time "2011-1-1.12:00:00 -0800";
}
}
}
확인
구성이 올바르게 작동하고 있는지 확인합니다.
BFD 세션이 작동 중인지 확인하기
목적
BFD 세션이 켜져 있는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show bfd session .
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
의미
명령 출력은 BFD 세션이 작동 중임을 보여줍니다.
BFD 세션에 대한 세부 정보 보기
목적
BFD 세션에 대한 세부 정보를 확인하고 인증이 구성되었는지 확인합니다.
행동
운영 모드에서 명령을 입력합니다 show bfd session detail .
user@B> show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000, Authenticate
Session up time 00:53:58
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
의미
명령 출력에서 Authenticate( 인증 )가 표시되어 BFD 인증이 구성되었음을 나타냅니다.
광범위한 BFD 세션 정보 보기
목적
BFD 세션에 대한 자세한 정보를 확인하세요.
행동
운영 모드에서 명령을 입력합니다 show bfd session extensive .
user@B> show bfd session extensive
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000, Authenticate
keychain bfd-kc4, algo keyed-sha-1, mode strict
Session up time 01:39:45
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 3, remote discriminator 4
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-kc4, algo keyed-sha-1, mode strict
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
의미
명령 출력에서 Authenticate( 인증 )가 표시되어 BFD 인증이 구성되었음을 나타냅니다. 명령의 출력은 extensive 세션의 각 클라이언트에 대한 키체인 이름, 인증 알고리즘 및 모드를 제공합니다.
은 description Site- <xxx> (는) SRX 시리즈 방화벽에서만 지원됩니다.
각 클라이언트에 둘 이상의 설명 필드가 있는 경우 첫 번째 설명 필드와 함께 "및 그 이상"이 표시됩니다.
예: 경로 선택을 위한 정적 경로의 규정된 다음 홉에서 BFD 활성화
이 예는 가능한 여러 다음 홉으로 정적 경로를 구성하는 방법을 보여줍니다. 각 다음 홉에는 BFD(Bidirectional Forwarding Detection)가 활성화되어 있습니다.
요구 사항
이 예에서는 디바이스 초기화를 제외한 특별한 구성이 필요하지 않습니다.
개요
이 예에서 디바이스 B는 두 개의 가능한 다음 홉이 있는 정적 경로 192.168.47.0/24 를 갖습니다. 두 개의 다음 홉은 두 개의 qualified-next-hop 문을 사용하여 정의됩니다. 각 다음 홉은 BFD를 활성화합니다.
BFD는 연결의 양쪽 끝에서 활성화되어야 하므로 디바이스 D에서도 BFD가 활성화됩니다.
BFD 세션이 작동하면 다음 홉이 라우팅 테이블에 포함됩니다. BFD 세션이 다운되면 다음 홉이 라우팅 테이블에서 제거됩니다.
그림 3을 참조하십시오.
에서 활성화된 BFD
위상수학
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI [edit] 로 복사해 붙여 넣습니다.
디바이스 B
set interfaces fe-0/1/0 unit 2 description secondary-B->D set interfaces fe-0/1/0 unit 2 family inet address 192.168.2.1/24 set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set routing-options static route 192.168.47.0/24 qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 set routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
디바이스 D
set interfaces fe-0/1/0 unit 3 description secondary-D->B set interfaces fe-0/1/0 unit 3 family inet address 192.168.2.2/24 set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set routing-options static route 0.0.0.0/0 qualified-next-hop 192.168.2.1 set routing-options static route 0.0.0.0/0 qualified-next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 60
단계별 절차
다음 예는 구성 계층에서 다양한 수준의 탐색이 필요합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 구성 모드에서 CLI 편집기 사용을 참조하십시오.
두 개의 가능한 다음 홉(모두 BFD가 활성화됨)으로 정적 경로를 구성하기 위해 다음을 수행합니다.
디바이스 B에서 인터페이스를 구성합니다.
[edit interfaces fe-0/1/0] user@B# set unit 2 description secondary-B->D user@B# set unit 2 family inet address 192.168.2.1/24 [edit interfaces ge-1/2/0] user@B# set unit 0 description B->D user@B# set unit 0 family inet address 172.16.1.1/24
디바이스 B에서 두 개의 다음 홉으로 정적 경로를 구성하며, 둘 다 BFD가 활성화되어 있습니다.
[edit routing-options static route 192.168.47.0/24] user@B# set qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 user@B# set qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
디바이스 D에서 인터페이스를 구성합니다.
[edit interfaces fe-0/1/0] user@D# set unit 3 description secondary-D->B user@D# set unit 3 family inet address 192.168.2.2/24 [edit interfaces ge-1/2/0] user@D# set unit 1 description D->B user@D# set unit 1 family inet address 172.16.1.2/24
디바이스 D에서 공급자 네트워크에 대한 2개의 다음 홉으로 BFD 사용 기본 정적 경로를 구성합니다.
이 경우, BFD는 다음 홉이 아닌 경로에서 활성화됩니다.
[edit routing-options static route 0.0.0.0/0] user@D# set qualified-next-hop 192.168.2.1 user@D# set qualified-next-hop 172.16.1.1 user@D# set bfd-liveness-detection minimum-interval 60
결과
및 show routing-options 명령을 실행하여 show interfaces 구성을 확인합니다. 출력 결과가 의도한 구성대로 표시되지 않으면 이 예의 지침을 반복하여 구성을 수정하십시오.
user@B# show interfaces
fe-0/1/0 {
unit 2 {
description secondary-B->D;
family inet {
address 192.168.2.1/24;
}
}
}
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
qualified-next-hop 192.168.2.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
qualified-next-hop 172.16.1.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
}
}
user@D# show interfaces
fe-0/1/0 {
unit 3 {
description secondary-D->B;
family inet {
address 192.168.2.2/24;
}
}
}
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
qualified-next-hop 192.168.2.1;
qualified-next-hop 172.16.1.1;
bfd-liveness-detection {
minimum-interval 60;
}
}
}
디바이스 구성이 완료되면 구성 모드에서 commit 을 입력합니다.
확인
구성이 올바르게 작동하고 있는지 확인합니다.
라우팅 테이블 확인
목적
정적 경로가 디바이스 B의 라우팅 테이블에 두 개의 가능한 다음 홉이 있는지 확인합니다.
행동
user@B> show route 192.168.47.0 extensive
inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)
192.168.47.0/24 (1 entry, 1 announced)
TSI:
KRT in-kernel 192.168.47.0/24 -> {192.168.2.2}
*Static Preference: 5
Next hop type: Router
Address: 0x9334010
Next-hop reference count: 1
Next hop: 172.16.1.2 via ge-1/2/0.0
Next hop: 192.168.2.2 via fe-0/1/0.2, selected
State: <Active Int Ext>
Age: 9
Task: RT
Announcement bits (1): 3-KRT
AS path: I
의미
다음 홉 두 개가 모두 나열됩니다. 다음 홉 192.168.2.2는 선택된 경로입니다.
BFD 세션 확인
목적
BFD 세션이 켜져 있는지 확인합니다.
행동
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 0.720 0.240 3
192.168.2.2 Up fe-0/1/0.2 0.720 0.240 3
2 sessions, 2 clients
Cumulative transmit rate 8.3 pps, cumulative receive rate 8.3 pps
의미
출력은 BFD 세션이 켜져 있음을 보여줍니다.
디바이스 D에서 BFD 제거
목적
다음 홉 모두에 대해 BFD 세션이 다운될 때 어떤 일이 발생하는지 보여줍니다.
행동
디바이스 D에서 BFD를 비활성화합니다.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
디바이스 B에서 명령을 다시 실행합니다
show bfd session.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 172.16.1.2 Down ge-1/2/0.0 3.000 1.000 3 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3 2 sessions, 2 clients Cumulative transmit rate 2.0 pps, cumulative receive rate 2.0 pps디바이스 B에서 명령을 다시 실행합니다
show route 192.168.47.0.user@B> show route 192.168.47.0
의미
예상대로 BFD 세션이 다운되면 정적 경로가 라우팅 테이블에서 제거됩니다.
하나의 다음 홉에서 BFD 제거
목적
하나의 다음 홉만 BFD를 활성화할 때 어떤 일이 발생하는지 보여줍니다.
행동
아직 비활성화되지 않은 경우 디바이스 D에서 BFD를 비활성화합니다.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
디바이스 B의 다음 홉 중 하나에서 BFD를 비활성화합니다.
[edit routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2] user@B# deactivate bfd-liveness-detection user@B# commit
디바이스 B에서 명령을 다시 실행합니다
show bfd session.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3디바이스 B에서 명령을 다시 실행합니다
show route 192.168.47.0 extensive.user@B> show route 192.168.47.0 extensive inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) 192.168.47.0/24 (1 entry, 1 announced) TSI: KRT in-kernel 192.168.47.0/24 -> {172.16.1.2} *Static Preference: 5 Next hop type: Router, Next hop index: 624 Address: 0x92f0178 Next-hop reference count: 3 Next hop: 172.16.1.2 via ge-1/2/0.0, selected State: <Active Int Ext> Age: 2:36 Task: RT Announcement bits (1): 3-KRT AS path: I
의미
예상대로 BFD 세션은 192.168.2.2 다음 홉에 대해 중단됩니다. 172.16.1.2 다음 홉은 라우팅 테이블에 남아 있고 경로는 활성 상태를 유지합니다. BFD가 이 다음 홉의 유효성을 유지하기 위한 조건이 아니기 때문입니다.
변경 내역 표
기능 지원은 사용 중인 플랫폼과 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인하세요.
bfd-liveness-detection 명령에 설명 필드가 포함됩니다. 설명은 개체 아래의
bfd-liveness-detection 속성이며 SRX 시리즈 방화벽에서만 지원됩니다. 이 필드는 정적 경로에만 적용됩니다.