Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BFD para sesiones de BGP

Descripción de BFD para BGP

El protocolo de detección de reenvío bidireccional (BFD) es un mecanismo de saludo simple que detecta fallas en una red. Los paquetes de saludo se envían en un intervalo especificado y regular. Se detecta un error de vecino cuando el dispositivo de enrutamiento deja de recibir una respuesta después de un intervalo especificado. BFD funciona con una amplia variedad de entornos de red y topologías. Los temporizadores de detección de fallas para BFD tienen límites de tiempo más cortos que los mecanismos de detección de fallas predeterminados para el BGP, por lo que proporcionan una detección más rápida.

Nota:

Configurar el BFD y el reinicio correcto para el BGP en el mismo dispositivo es contraproducente. Cuando una interfaz se cae, BFD detecta esto instantáneamente, detiene el reenvío de tráfico y la sesión del BGP cae, mientras que el reinicio correcto reenvía el tráfico a pesar de la falla de interfaz, este comportamiento podría causar problemas de red. Por lo tanto, no recomendamos configurar BFD ni reiniciar correctamente en el mismo dispositivo.

Nota:

Los conmutadores serie QFX5000 y EX4600 no admiten valores de intervalo mínimo de menos de 1 segundo.

Nota:

Los conmutadores QFX5110, QFX5120, QFX5200 y QFX5210 admiten detección de reenvío bidireccional multihop (BFD) en línea, lo que permitirá configurar las sesiones en menos de 1 segundo. El rendimiento puede variar según la carga del sistema. Se admiten 10 sesiones BFD en línea y se pueden configurar con un temporizador de 150 x 3 milisegundos.

Los temporizadores de detección de fallas BFD se pueden ajustar para que sean más rápidos o lentos. Cuanto más bajo sea el valor del temporizador de detección de fallas BFD, más rápido será la detección de fallas y viceversa. Por ejemplo, los temporizadores pueden adaptarse a un valor más alto si la adyacencia falla (es decir, el temporizador detecta fallas más lentamente). O un vecino puede negociar un valor más alto para un temporizador que el valor configurado. Los temporizadores se adaptan a un valor más alto cuando una solapa de sesión BFD ocurre más de tres veces en un intervalo de 15 segundos (15000 milisegundos). Un algoritmo de retroceso aumenta el intervalo de recepción (Rx) en dos si la instancia BFD local es la razón de la solapa de sesión. El intervalo de transmisión (tx) se incrementa en dos si la instancia BFD remota es la razón del flap de sesión. Puede usar el clear bfd adaptation comando para devolver los temporizadores de intervalo BFD a sus valores configurados. El clear bfd adaptation comando no tiene pulsaciones, lo que significa que el comando no afecta al flujo de tráfico en el dispositivo de enrutamiento.

Nota:

En todos los dispositivos de la serie SRX, la elevada utilización de la CPU desencadenada por razones como comandos intensivos de CPU y paseos SNMP hace que el protocolo BFD se aleccione mientras se procesan grandes actualizaciones del BGP. (La compatibilidad con la plataforma depende de la versión de Junos OS en su instalación.)

A partir de Junos OS versión 15.1X49-D100, SRX340, SRX345 y SRX1500 son compatibles con BFD dedicado.

A partir de Junos OS versión 15.1X49-D100, los dispositivos SRX300 y SRX320 admiten BFD en tiempo real.

A partir de Junos OS versión 15.1X49-D110, los dispositivos SRX550M admiten BFD dedicado.

En la versión 8.3 y posteriores de Junos OS, el BFD se admite en sesiones internas de BGP (IBGP) y bgp externo multihop (EBGP), así como en sesiones EBGP de un solo salto. En Junos OS versión 9.1 a Junos OS versión 11.1, BFD admite interfaces IPv6 solo en rutas estáticas. En junos OS versión 11.2 y posteriores, BFD admite interfaces IPv6 con BGP.

Ejemplo: Configuración de BFD en sesiones de par BGP internas

En este ejemplo, se muestra cómo configurar las sesiones pares internas del BGP (IBGP) con el protocolo de detección de reenvío bidireccional (BFD) para detectar fallas en una red.

Requisitos

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

La configuración mínima para habilitar BFD en sesiones de IBGP es incluir la instrucción en la bfd-liveness-detection minimum-interval configuración bgp de todos los vecinos que participan en la sesión de BFD. La minimum-interval instrucción especifica los intervalos mínimos de transmisión y recepción para la detección de errores. Específicamente, este valor representa el intervalo mínimo después del cual el dispositivo de enrutamiento local transmite paquetes de saludo, así como el intervalo mínimo que el dispositivo de enrutamiento espera recibir una respuesta de un vecino con el que ha establecido una sesión BFD. Puede configurar un valor de 1 a 255 000 milisegundos.

Opcionalmente, puede especificar los intervalos mínimos de transmisión y recepción por separado mediante las transmit-interval minimum-interval instrucciones and minimum-receive-interval . Para obtener información acerca de estas y otras instrucciones de configuración BFD opcionales, consulte bfd-liveness-detection.

Nota:

BFD es un protocolo intensivo que consume recursos del sistema. La especificación de un intervalo mínimo para BFD inferior a 100 milisegundos para sesiones basadas en motor de enrutamiento y menos de 10 milisegundos para sesiones BFD distribuidas puede provocar un aleteo BFD no deseado.

Dependiendo del entorno de red, es posible que se apliquen estas recomendaciones adicionales:

  • Para evitar el aleteo BFD durante el evento general de conmutación del motor de enrutamiento, especifique un intervalo mínimo de 5000 milisegundos para sesiones basadas en motor de enrutamiento. Este valor mínimo es necesario porque, durante el evento general de conmutación del motor de enrutamiento, procesos como RPD, MIBD y SNMPD utilizan recursos de CPU para más que el valor de umbral especificado. Por lo tanto, el procesamiento y la programación de BFD se ven afectados debido a esta falta de recursos de CPU.

  • Para que las sesiones BFD permanezcan activas durante el escenario del vínculo de control de clúster de chasis dual, cuando se produce un error en el primer vínculo de control, especifique el intervalo mínimo de 6000 milisegundos para evitar que la LACP se aleje en el nodo secundario para las sesiones basadas en motor de enrutamiento.

  • Para implementaciones de red a gran escala con un gran número de sesiones BFD, especifique un intervalo mínimo de 300 milisegundos para sesiones basadas en motor de enrutamiento y 100 milisegundos para sesiones BFD distribuidas.

  • Para implementaciones de red a gran escala con un gran número de sesiones de BFD, comuníquese con el soporte al cliente de Juniper Networks para obtener más información.

  • Para que las sesiones BFD permanezcan activas durante un evento de conmutación de motor de enrutamiento cuando se configure un enrutamiento activo sin interrupción (NSR), especifique un intervalo mínimo de 2500 milisegundos para sesiones basadas en motor de enrutamiento. En el caso de las sesiones BFD distribuidas con NSR configurado, las recomendaciones de intervalo mínimo no cambian y solo dependen de la implementación de la red.

El BFD se admite en la instancia de enrutamiento predeterminada (el enrutador principal), las instancias de enrutamiento y los sistemas lógicos. En este ejemplo, se muestra BFD en sistemas lógicos.

Figura 1 muestra una red típica con sesiones internas de pares.

Figura 1: Red típica con sesiones de IBGPRed típica con sesiones de IBGP

Configuración

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.

Dispositivo A

Dispositivo B

Dispositivo C

Configuración del dispositivo A

Procedimiento paso a paso

En el ejemplo siguiente, se requiere navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI.

Para configurar el dispositivo A:

  1. Establezca la CLI en el sistema lógico A.

  2. Configure las interfaces.

  3. Configure BGP.

    Las neighbor instrucciones se incluyen tanto para el dispositivo B como para el dispositivo C, a pesar de que el dispositivo A no está conectado directamente al dispositivo C.

  4. Configure BFD.

    Debe configurar el mismo intervalo mínimo en el par de conexión.

  5. (Opcional) Configure el rastreo BFD.

  6. Configure OSPF.

  7. Configure una política que acepte rutas directas.

    Otras opciones útiles para este caso pueden ser aceptar rutas aprendidas mediante OSPF o rutas locales.

  8. Configure el ID del enrutador y el número del sistema autónomo (AS).

  9. Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración. Repita estos pasos para configurar los dispositivos B y C.

Resultados

Desde el modo de configuración, confirme la configuración ingresando los show interfacescomandos , show policy-options, show protocolsy show routing-options . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificar que BFD está habilitado

Propósito

Verifique que el BFD esté habilitado entre los pares del IBGP.

Acción

Desde el modo operativo, ingrese el show bgp neighbor comando. Puede usar el | match bfd filtro para limitar la salida.

Significado

El resultado muestra que el sistema lógico A tiene dos vecinos con BFD habilitado. Cuando BFD no está habilitado, el resultado muestra BFD: disabled, downy la <BfdEnabled> opción está ausente. Si el BFD está habilitado y la sesión está inactiva, el resultado muestra BFD: enabled, down. El resultado también muestra que los eventos relacionados con BFD se escriben en un archivo de registro porque se configuran las operaciones de seguimiento.

Verificar que las sesiones de BFD estén activas

Propósito

Compruebe que las sesiones BFD estén activas y vea los detalles de las sesiones BFD.

Acción

Desde el modo operativo, ingrese el show bfd session extensive comando.

Significado

El TX interval 1.000, RX interval 1.000 resultado representa la configuración configurada con la minimum-interval instrucción. Todos los demás resultados representan la configuración predeterminada de BFD. Para modificar la configuración predeterminada, incluya las instrucciones opcionales bajo la bfd-liveness-detection instrucción.

Ver eventos detallados de BFD

Propósito

Vea el contenido del archivo de seguimiento BFD para ayudar en la solución de problemas, si es necesario.

Acción

Desde el modo operativo, ingrese el file show /var/log/A/bgp-bfd comando.

Significado

Antes de establecer las rutas, el No route to host mensaje aparece en el resultado. Después de establecer las rutas, las dos últimas líneas muestran que ambas sesiones BFD salen.

Visualización de eventos BFD detallados después de desactivar y reactivar una interfaz de circuito cerrado

Propósito

Compruebe para ver lo que sucede después de derribar un enrutador o conmutador y luego volver a subirlo. Para simular la caída de un enrutador o conmutador, desactive la interfaz de circuito cerrado en el sistema lógico B.

Acción
  1. Desde el modo de configuración, ingrese el deactivate logical-systems B interfaces lo0 unit 2 family inet comando.

  2. Desde el modo operativo, ingrese el file show /var/log/A/bgp-bfd comando.

  3. Desde el modo de configuración, ingrese el activate logical-systems B interfaces lo0 unit 2 family inet comando.

  4. Desde el modo operativo, ingrese el file show /var/log/A/bgp-bfd comando.

Descripción de la autenticación BFD para BGP

El protocolo de detección de reenvío bidireccional (BFD) permite la detección rápida de fallas de comunicación entre sistemas adyacentes. De forma predeterminada, la autenticación para sesiones BFD está deshabilitada. Sin embargo, cuando se ejecuta BFD a través de protocolos de capa de red, el riesgo de ataques de servicio puede ser significativo. Recomendamos encarecidamente usar la autenticación si está ejecutando BFD en varios saltos o a través de túneles inseguros. A partir de junos OS versión 9.6, Junos OS admite autenticación para sesiones BFD que se ejecutan a través del BGP. La autenticación BFD no se admite en las sesiones de MPLS OAM. La autenticación BFD solo se admite en la versión de Canadá y Estados Unidos de la imagen de Junos OS y no está disponible en la versión de exportación.

Para autenticar las sesiones de BFD, especifique un algoritmo de autenticación y un cadena de claves y, a continuación, asociando esa información de configuración con un llavero de autenticación de seguridad mediante el nombre del llavero.

En las siguientes secciones se describen los algoritmos de autenticación compatibles, los llaveros de seguridad y el nivel de autenticación que se pueden configurar:

Algoritmos de autenticación BFD

Junos OS admite los siguientes algoritmos para la autenticación BFD:

  • simple-password— Contraseña de texto sin formato. Se utilizan de uno a 16 bytes de texto sin formato para autenticar la sesión BFD. Se pueden configurar una o más contraseñas. Este método es el menos seguro y se debe usar solo cuando las sesiones BFD no están sujetas a la intercepción de paquetes.

  • keyed-md5: algoritmo hash de síntesis de mensajes con clave 5 para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión de BFD, MD5 con clave utiliza una o más claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. Con este método, los paquetes se aceptan en el extremo de recepción de la sesión si una de las claves coincide y el número de secuencia es mayor o igual que el último número de secuencia recibido. Aunque es más seguro que una contraseña simple, este método es vulnerable a reproducir ataques. Aumentar la velocidad a la que se actualiza el número de secuencia puede reducir este riesgo.

  • meticulous-keyed-md5— Algoritmo hash meticuloso de síntesis de mensajes con clave 5. Este método funciona de la misma manera que MD5 con clave, pero el número de secuencia se actualiza con cada paquete. Aunque es más seguro que md5 con claves y contraseñas simples, este método podría tardar más tiempo en autenticar la sesión.

  • keyed-sha-1— Algoritmo de hash seguro con clave I para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión de BFD, SHA con clave utiliza una o más claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. La clave no se lleva dentro de los paquetes. Con este método, los paquetes se aceptan en el extremo de recepción de la sesión si una de las claves coincide y el número de secuencia es mayor que el último número de secuencia recibido.

  • meticulous-keyed-sha-1— Algoritmo hash seguro meticuloso y meticuloso I. Este método funciona de la misma manera que SHA con clave, pero el número de secuencia se actualiza con cada paquete. Aunque es más seguro que sha con claves y contraseñas simples, este método podría tardar más tiempo en autenticar la sesión.

Nota:

El enrutamiento activo sin interrupción (NSR) no se admite con algoritmos de autenticación meticulosos-clave-md5 y meticulosos-clave-sha-1. Las sesiones BFD que utilizan estos algoritmos pueden disminuir después de una conmutación.

Nota:

Los conmutadores serie QFX5000 y EX4600 no admiten valores de intervalo mínimo de menos de 1 segundo.

Llaveros de autenticación de seguridad

El llavero de autenticación de seguridad define los atributos de autenticación utilizados para las actualizaciones de claves de autenticación. Cuando la cadena de claves de autenticación de seguridad está configurada y asociada con un protocolo mediante el nombre del llavero, se pueden producir actualizaciones de claves de autenticación sin interrumpir los protocolos de enrutamiento y señalización.

El llavero de autenticación contiene uno o más llaveros. Cada cadena de claves contiene una o más claves. Cada clave contiene los datos secretos y el momento en que la clave se vuelve válida. El algoritmo y el llavero se deben configurar en ambos extremos de la sesión de BFD y deben coincidir. Cualquier discordancia en la configuración impide que se cree la sesión BFD.

BFD permite varios clientes por sesión, y cada cliente puede tener su propio llavero y algoritmo definidos. Para evitar confusiones, recomendamos especificar solo un llavero de autenticación de seguridad.

Autenticación estricta frente a la holgada

De forma predeterminada, la autenticación estricta está habilitada y la autenticación se comprueba en ambos extremos de cada sesión de BFD. Opcionalmente, para suavizar la migración de sesiones no autenticadas a sesiones autenticadas, puede configurar la comprobación suelta. Cuando se configura la comprobación suelta, los paquetes se aceptan sin que se compruebe la autenticación en cada extremo de la sesión. Esta función está pensada solo para períodos transitorios.

Ejemplo: Configuración de la autenticación BFD para BGP

A partir de Junos OS versión 9.6, puede configurar la autenticación para sesiones BFD que se ejecutan a través del BGP. Solo se necesitan tres pasos para configurar la autenticación en una sesión BFD:

  1. Especifique el algoritmo de autenticación BFD para el protocolo BGP.

  2. Asocie el llavero de autenticación con el protocolo BGP.

  3. Configure el llavero de autenticación de seguridad relacionado.

En las siguientes secciones se proporcionan instrucciones para configurar y ver la autenticación BFD en bgp:

Configuración de parámetros de autenticación BFD

La autenticación BFD se puede configurar para todo el protocolo BGP, o para un grupo bgp específico, un vecino o una instancia de enrutamiento.

En el ejemplo siguiente, debe navegar por varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de la CLI de Junos OS.

Para configurar la autenticación BFD:

  1. Especifique el algoritmo (keyed-md5, keyed-sha-1, meticulous-keyed-md5, meticulous-keyed-sha-1, o simple-password) que se va a utilizar.
    Nota:

    El enrutamiento activo sin interrupción no se admite con algoritmos de autenticación meticulosos-clave-md5 y meticulosos-clave-sha-1. Las sesiones BFD que utilizan estos algoritmos pueden disminuir después de una conmutación.

  2. Especifique el llavero que se utilizará para asociar sesiones BFD en el BGP con los atributos de cadena de claves de autenticación de seguridad únicos.

    El nombre de cadena de claves que especifique debe coincidir con un nombre de cadena de claves configurado en el [edit security authentication key-chains] nivel de jerarquía.

    Nota:

    El algoritmo y el llavero se deben configurar en ambos extremos de la sesión de BFD y deben coincidir. Cualquier discordancia en la configuración impide que se cree la sesión BFD.

  3. Especifique la información de autenticación de seguridad única para las sesiones BFD:
    • El nombre del llavero coincidente como se especifica en Step 2.

    • Al menos una clave, un entero único entre 0 y 63. La creación de varias claves permite que varios clientes usen la sesión BFD.

    • Los datos secretos que se utilizan para permitir el acceso a la sesión.

    • El momento en que la clave de autenticación se activa, en el formato ayyy-mm-dd.hh:mm:ss.

  4. (Opcional) Especifique una comprobación de autenticación suelta si está haciendo la transición de sesiones no autenticadas a sesiones autenticadas.
  5. (Opcional) Vea la configuración con el show bfd session detail comando o show bfd session extensive .
  6. Repita estos pasos para configurar el otro extremo de la sesión BFD.
Nota:

La autenticación BFD solo se admite en la versión de Canadá y Estados Unidos de la imagen de Junos OS y no está disponible en la versión de exportación.

Visualización de información de autenticación para sesiones BFD

Puede ver la configuración de autenticación BFD existente mediante los show bfd session detail comandos y show bfd session extensive .

En el ejemplo siguiente se muestra la autenticación BFD configurada para el bgp-gr1 grupo BGP. Especifica el algoritmo de autenticación SHA-1 con clave y un nombre de cadena de claves de bfd-bgp. El llavero de autenticación está configurado con dos claves. La clave 1 contiene los datos secretos "$ABC123$ABC123" y una hora de inicio del 1 de junio de 2009, a las 9:46:02 AM PST. La clave 2 contiene los datos secretos "$ABC123$ABC123" y una hora de inicio del 1 de junio de 2009, a las 3:29:20 PM PST.

Si confirma estas actualizaciones en su configuración, verá resultados similares a los siguientes. En el resultado del show bfd session detail comando, Authenticate se muestra para indicar que la autenticación BFD está configurada. Para obtener más información acerca de la configuración, utilice el show bfd session extensive comando. El resultado de este comando proporciona el nombre del cadena de claves, el algoritmo de autenticación y el modo de cada cliente en la sesión, y el estado de configuración general de la autenticación BFD, el nombre del llavero y el algoritmo y el modo de autenticación.

muestra los detalles de la sesión bfd

muestra una sesión de bfd extensa

Tabla de historial de versiones
Liberación
Descripción
15.1X49-D100
A partir de Junos OS versión 15.1X49-D100, SRX340, SRX345 y SRX1500 son compatibles con BFD dedicado.
15.1X49-D100
A partir de Junos OS versión 15.1X49-D100, los dispositivos SRX300 y SRX320 admiten BFD en tiempo real.
11.2
En junos OS versión 11.2 y posteriores, BFD admite interfaces IPv6 con BGP.
9.1
En Junos OS versión 9.1 a Junos OS versión 11.1, BFD admite interfaces IPv6 solo en rutas estáticas.
8.3
En la versión 8.3 y posteriores de Junos OS, el BFD se admite en sesiones internas de BGP (IBGP) y bgp externo multihop (EBGP), así como en sesiones EBGP de un solo salto.