BFD para sesiones BGP
Descripción de BFD para BGP
El protocolo de detección de reenvío bidireccional (BFD) es un mecanismo de saludo simple que detecta fallas en una red. Los paquetes Hello se envían en un intervalo regular especificado. Un error de vecino se detecta cuando el dispositivo de enrutamiento deja de recibir una respuesta después de un intervalo especificado. BFD trabaja con una amplia variedad de entornos y topologías de red. Los temporizadores de detección de fallas para BFD tienen límites de tiempo más cortos que los mecanismos de detección de fallas predeterminados para BGP, por lo que proporcionan una detección más rápida.
Configurar BFD y un reinicio correcto para BGP en el mismo dispositivo es contraproducente. Cuando una interfaz deja de funcionar, BFD lo detecta al instante, detiene el reenvío de tráfico y la sesión BGP deja de funcionar, mientras que el reinicio correcto reenvía el tráfico a pesar del error de la interfaz, este comportamiento puede causar problemas de red. Por lo tanto, no recomendamos configurar BFD y reiniciar correctamente en el mismo dispositivo.
Los conmutadores EX4600 no admiten valores de intervalo mínimo de menos de 1 segundo.
Los conmutadores QFX5110, QFX5120, QFX5200 y QFX5210 admiten el soporte de mantenimiento vivo en línea de detección de reenvío bidireccional (BFD) de múltiples saltos, lo que permitirá configurar las sesiones en menos de 1 segundo. El rendimiento puede variar dependiendo de la carga del sistema. Se admiten 10 sesiones BFD en línea, que se pueden configurar con un temporizador de 150 x 3 milisegundos. También se admiten sesiones de un solo salto.
Los temporizadores de detección de fallas BFD se pueden ajustar para que sean más rápidos o más lentos. Cuanto menor sea el valor del temporizador de detección de fallas de BFD, más rápida será la detección de fallas y viceversa. Por ejemplo, los temporizadores pueden adaptarse a un valor más alto si falla la adyacencia (es decir, el temporizador detecta fallas más lentamente). O bien, un vecino puede negociar un valor más alto para un temporizador que el valor configurado. Los temporizadores se adaptan a un valor más alto cuando un colgajo de sesión BFD ocurre más de tres veces en un lapso de 15 segundos (15000 milisegundos). Un algoritmo de retroceso aumenta el intervalo de recepción (Rx) en dos si la instancia local de BFD es el motivo de la solapa de sesión. El intervalo de transmisión (Tx) aumenta en dos si la instancia remota de BFD es el motivo de la solapa de sesión. Puede utilizar el comando para devolver los temporizadores de intervalo BFD a sus valores configurados.clear bfd adaptation El comando no tiene hits, lo que significa que el comando no afecta al flujo de tráfico en el dispositivo de enrutamiento.clear bfd adaptation
En todos los firewalls de la serie SRX, la alta utilización de la CPU desencadenada por razones como comandos intensivos de CPU y caminatas SNMP hace que el protocolo BFD se agite mientras se procesan grandes actualizaciones de BGP. (La compatibilidad de plataforma depende de la versión de Junos OS en su instalación).
A partir de Junos OS versión 15.1X49-D100, SRX340, SRX345 y SRX1500 dispositivos admiten BFD dedicado.
A partir de Junos OS versión 15.1X49-D100, los dispositivos SRX300 y SRX320 admiten BFD en tiempo real.
A partir de Junos OS versión 15.1X49-D110, los dispositivos SRX550M admiten BFD dedicado.
En Junos OS versión 8.3 y posteriores, BFD se admite en sesiones internas de BGP (IBGP) y BGP externas de múltiples saltos (EBGP), así como en sesiones de EBGP de un solo salto. Desde las versiones 9.1 hasta 11.1 de Junos OS, BFD solo admite interfaces IPv6 en rutas estáticas. En Junos OS versión 11.2 y posteriores, BFD admite interfaces IPv6 con BGP.
Consulte también
Ejemplo: Configuración de BFD en sesiones internas de pares BGP
En este ejemplo se muestra cómo configurar sesiones internas de par BGP (IBGP) con el protocolo de detección de reenvío bidireccional (BFD) para detectar errores en una red.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Descripción general
La configuración mínima para habilitar BFD en sesiones de IBGP es incluir la instrucción en la configuración de BGP de todos los vecinos que participan en la sesión de BFD.bfd-liveness-detection minimum-interval La instrucción especifica los intervalos mínimos de transmisión y recepción para la detección de errores.minimum-interval En concreto, este valor representa el intervalo mínimo después del cual el dispositivo de enrutamiento local transmite paquetes de saludo, así como el intervalo mínimo que el dispositivo de enrutamiento espera recibir una respuesta de un vecino con el que ha establecido una sesión BFD. Puede configurar un valor de 1 a 255.000 milisegundos.
Opcionalmente, puede especificar los intervalos mínimos de transmisión y recepción por separado mediante las instrucciones y .transmit-interval minimum-intervalminimum-receive-interval Para obtener información acerca de estas y otras instrucciones de configuración BFD opcionales, consulte .bfd-liveness-detection
BFD es un protocolo intensivo que consume recursos del sistema. Especificar un intervalo mínimo para BFD inferior a 100 milisegundos para sesiones basadas en motor de enrutamiento y menos de 10 milisegundos para sesiones BFD distribuidas puede provocar aleteo BFD no deseado.
En función del entorno de red, es posible que se apliquen estas recomendaciones adicionales:
Para evitar que BFD oscile durante el evento general de cambio de motor de enrutamiento, especifique un intervalo mínimo de 5000 milisegundos para las sesiones basadas en motor de enrutamiento. Este valor mínimo es necesario porque, durante el evento general de cambio de motor de enrutamiento, procesos como RPD, MIBD y SNMPD utilizan recursos de CPU para más del valor de umbral especificado. Por lo tanto, el procesamiento y la programación de BFD se ven afectados debido a esta falta de recursos de CPU.
Para que las sesiones de BFD permanezcan activas durante el escenario de vínculo de control de clúster de chasis dual, cuando se produce un error en el primer vínculo de control, especifique el intervalo mínimo de 6000 milisegundos para evitar que el LACP oscile en el nodo secundario para las sesiones basadas en motor de enrutamiento.
Para implementaciones de red a gran escala con un gran número de sesiones BFD, especifique un intervalo mínimo de 300 milisegundos para las sesiones basadas en el motor de enrutamiento y de 100 milisegundos para las sesiones BFD distribuidas.
Para implementaciones de red a gran escala con un gran número de sesiones de BFD, comuníquese con el servicio de atención al cliente de Juniper Networks para obtener más información.
Para que las sesiones de BFD permanezcan activas durante un evento de cambio de motor de enrutamiento cuando se configura un enrutamiento activo sin interrupción (NSR), especifique un intervalo mínimo de 2500 milisegundos para las sesiones basadas en motor de enrutamiento. Para las sesiones de BFD distribuidas con NSR configurado, las recomendaciones de intervalo mínimo no cambian y dependen únicamente de su implementación de red.
BFD se admite en la instancia de enrutamiento predeterminada (el enrutador principal), las instancias de enrutamiento y los sistemas lógicos. En este ejemplo se muestra BFD en sistemas lógicos.
Figura 1 Muestra una red típica con sesiones internas del mismo nivel.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de jerarquía.[edit]
Dispositivo A
set logical-systems A interfaces lt-1/2/0 unit 1 description to-B set logical-systems A interfaces lt-1/2/0 unit 1 encapsulation ethernet set logical-systems A interfaces lt-1/2/0 unit 1 peer-unit 2 set logical-systems A interfaces lt-1/2/0 unit 1 family inet address 10.10.10.1/30 set logical-systems A interfaces lo0 unit 1 family inet address 192.168.6.5/32 set logical-systems A protocols bgp group internal-peers type internal set logical-systems A protocols bgp group internal-peers traceoptions file bgp-bfd set logical-systems A protocols bgp group internal-peers traceoptions flag bfd detail set logical-systems A protocols bgp group internal-peers local-address 192.168.6.5 set logical-systems A protocols bgp group internal-peers export send-direct set logical-systems A protocols bgp group internal-peers bfd-liveness-detection minimum-interval 1000 set logical-systems A protocols bgp group internal-peers neighbor 192.163.6.4 set logical-systems A protocols bgp group internal-peers neighbor 192.168.40.4 set logical-systems A protocols ospf area 0.0.0.0 interface lo0.1 passive set logical-systems A protocols ospf area 0.0.0.0 interface lt-1/2/0.1 set logical-systems A policy-options policy-statement send-direct term 2 from protocol direct set logical-systems A policy-options policy-statement send-direct term 2 then accept set logical-systems A routing-options router-id 192.168.6.5 set logical-systems A routing-options autonomous-system 17
Dispositivo B
set logical-systems B interfaces lt-1/2/0 unit 2 description to-A set logical-systems B interfaces lt-1/2/0 unit 2 encapsulation ethernet set logical-systems B interfaces lt-1/2/0 unit 2 peer-unit 1 set logical-systems B interfaces lt-1/2/0 unit 2 family inet address 10.10.10.2/30 set logical-systems B interfaces lt-1/2/0 unit 5 description to-C set logical-systems B interfaces lt-1/2/0 unit 5 encapsulation ethernet set logical-systems B interfaces lt-1/2/0 unit 5 peer-unit 6 set logical-systems B interfaces lt-1/2/0 unit 5 family inet address 10.10.10.5/30 set logical-systems B interfaces lo0 unit 2 family inet address 192.163.6.4/32 set logical-systems B protocols bgp group internal-peers type internal set logical-systems B protocols bgp group internal-peers local-address 192.163.6.4 set logical-systems B protocols bgp group internal-peers export send-direct set logical-systems B protocols bgp group internal-peers bfd-liveness-detection minimum-interval 1000 set logical-systems B protocols bgp group internal-peers neighbor 192.168.40.4 set logical-systems B protocols bgp group internal-peers neighbor 192.168.6.5 set logical-systems B protocols ospf area 0.0.0.0 interface lo0.2 passive set logical-systems B protocols ospf area 0.0.0.0 interface lt-1/2/0.2 set logical-systems B protocols ospf area 0.0.0.0 interface lt-1/2/0.5 set logical-systems B policy-options policy-statement send-direct term 2 from protocol direct set logical-systems B policy-options policy-statement send-direct term 2 then accept set logical-systems B routing-options router-id 192.163.6.4 set logical-systems B routing-options autonomous-system 17
Dispositivo C
set logical-systems C interfaces lt-1/2/0 unit 6 description to-B set logical-systems C interfaces lt-1/2/0 unit 6 encapsulation ethernet set logical-systems C interfaces lt-1/2/0 unit 6 peer-unit 5 set logical-systems C interfaces lt-1/2/0 unit 6 family inet address 10.10.10.6/30 set logical-systems C interfaces lo0 unit 3 family inet address 192.168.40.4/32 set logical-systems C protocols bgp group internal-peers type internal set logical-systems C protocols bgp group internal-peers local-address 192.168.40.4 set logical-systems C protocols bgp group internal-peers export send-direct set logical-systems C protocols bgp group internal-peers bfd-liveness-detection minimum-interval 1000 set logical-systems C protocols bgp group internal-peers neighbor 192.163.6.4 set logical-systems C protocols bgp group internal-peers neighbor 192.168.6.5 set logical-systems C protocols ospf area 0.0.0.0 interface lo0.3 passive set logical-systems C protocols ospf area 0.0.0.0 interface lt-1/2/0.6 set logical-systems C policy-options policy-statement send-direct term 2 from protocol direct set logical-systems C policy-options policy-statement send-direct term 2 then accept set logical-systems C routing-options router-id 192.168.40.4 set logical-systems C routing-options autonomous-system 17
Configuración del dispositivo A
Procedimiento paso a paso
El ejemplo siguiente requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI.Usar el editor de CLI en el modo de configuraciónhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar el dispositivo A:
Establezca la CLI en Sistema lógico A.
user@host> set cli logical-system A
Configure las interfaces.
[edit interfaces lt-1/2/0 unit 1] user@host:A# set description to-B user@host:A# set encapsulation ethernet user@host:A# set peer-unit 2 user@host:A# set family inet address 10.10.10.1/30 [edit interfaces lo0 unit 1] user@host:A# set family inet address 192.168.6.5/32
Configure BGP.
Las instrucciones se incluyen tanto para el dispositivo B como para el dispositivo C, aunque el dispositivo A no esté conectado directamente al dispositivo C.
neighbor[edit protocols bgp group internal-peers] user@host:A# set type internal user@host:A# set local-address 192.168.6.5 user@host:A# set export send-direct user@host:A# set neighbor 192.163.6.4 user@host:A# set neighbor 192.168.40.4
Configure BFD.
[edit protocols bgp group internal-peers] user@host:A# set bfd-liveness-detection minimum-interval 1000
Debe configurar el mismo intervalo mínimo en el par que se conecta.
(Opcional) Configure el seguimiento de BFD.
[edit protocols bgp group internal-peers] user@host:A# set traceoptions file bgp-bfd user@host:A# set traceoptions flag bfd detail
Configure OSPF.
[edit protocols ospf area 0.0.0.0] user@host:A# set interface lo0.1 passive user@host:A# set interface lt-1/2/0.1
Configure una política que acepte rutas directas.
Otras opciones útiles para este escenario podrían ser aceptar rutas aprendidas a través de OSPF o rutas locales.
[edit policy-options policy-statement send-direct term 2] user@host:A# set from protocol direct user@host:A# set then accept
Configure el ID del enrutador y el número de sistema autónomo (AS).
[edit routing-options] user@host:A# set router-id 192.168.6.5 user@host:A# set autonomous-system 17
Cuando termine de configurar el dispositivo, ingrese
commiten el modo de configuración. Repita estos pasos para configurar los dispositivos B y C.
Resultados
Desde el modo de configuración, ingrese los comandos show interfaces, show policy-options, show protocols y show routing-options para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.
user@host:A# show interfaces
lt-1/2/0 {
unit 1 {
description to-B;
encapsulation ethernet;
peer-unit 2;
family inet {
address 10.10.10.1/30;
}
}
}
lo0 {
unit 1 {
family inet {
address 192.168.6.5/32;
}
}
}
user@host:A# show policy-options
policy-statement send-direct {
term 2 {
from protocol direct;
then accept;
}
}
user@host:A# show protocols
bgp {
group internal-peers {
type internal;
traceoptions {
file bgp-bfd;
flag bfd detail;
}
local-address 192.168.6.5;
export send-direct;
bfd-liveness-detection {
minimum-interval 1000;
}
neighbor 192.163.6.4;
neighbor 192.168.40.4;
}
}
ospf {
area 0.0.0.0 {
interface lo0.1 {
passive;
}
interface lt-1/2/0.1;
}
}
user@host:A# show routing-options router-id 192.168.6.5; autonomous-system 17;
Verificación
Confirme que la configuración funcione correctamente.
- Comprobar que BFD está habilitado
- Verificar que las sesiones de BFD estén activas
- Visualización de eventos detallados de BFD
- Visualización de eventos detallados de BFD después de desactivar y reactivar una interfaz de circuito cerrado
Comprobar que BFD está habilitado
Propósito
Compruebe que BFD esté habilitado entre los pares del IBGP.
Acción
Desde el modo operativo, ingrese el comando show bgp neighbor. Puede utilizar el filtro para reducir la salida.| match bfd
user@host:A> show bgp neighbor | match bfd Options: <BfdEnabled> BFD: enabled, up Trace file: /var/log/A/bgp-bfd size 131072 files 10 Options: <BfdEnabled> BFD: enabled, up Trace file: /var/log/A/bgp-bfd size 131072 files 10
Significado
El resultado muestra que el sistema lógico A tiene dos vecinos con BFD habilitado. Cuando BFD no está habilitado, el resultado se muestra y la opción está ausente.BFD: disabled, down<BfdEnabled> Si BFD está habilitado y la sesión está inactiva, el resultado muestra .BFD: enabled, down El resultado también muestra que los eventos relacionados con BFD se escriben en un archivo de registro porque se configuran las operaciones de seguimiento.
Verificar que las sesiones de BFD estén activas
Propósito
Verifique que las sesiones de BFD estén activas y vea los detalles de las sesiones de BFD.
Acción
Desde el modo operativo, ingrese el comando show bfd session extensive.
user@host:A> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
192.163.6.4 Up 3.000 1.000 3
Client BGP, TX interval 1.000, RX interval 1.000
Session up time 00:54:40
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Logical system 12, routing table index 25
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 10, remote discriminator 9
Echo mode disabled/inactive
Multi-hop route table 25, local-address 192.168.6.5
Detect Transmit
Address State Interface Time Interval Multiplier
192.168.40.4 Up 3.000 1.000 3
Client BGP, TX interval 1.000, RX interval 1.000
Session up time 00:48:03
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Logical system 12, routing table index 25
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 14, remote discriminator 13
Echo mode disabled/inactive
Multi-hop route table 25, local-address 192.168.6.5
2 sessions, 2 clients
Cumulative transmit rate 2.0 pps, cumulative receive rate 2.0 ppsSignificado
El resultado representa la configuración configurada con la instrucción.TX interval 1.000, RX interval 1.000minimum-interval Todos los demás resultados representan la configuración predeterminada de BFD. Para modificar la configuración predeterminada, incluya las instrucciones opcionales debajo de la instrucción.bfd-liveness-detection
Visualización de eventos detallados de BFD
Propósito
Vea el contenido del archivo de seguimiento BFD para ayudar en la solución de problemas, si es necesario.
Acción
Desde el modo operativo, ingrese el comando file show /var/log/A/bgp-bfd.
user@host:A> file show /var/log/A/bgp-bfd Aug 15 17:07:25 trace_on: Tracing to "/var/log/A/bgp-bfd" started Aug 15 17:07:26.492190 bgp_peer_init: BGP peer 192.163.6.4 (Internal AS 17) local address 192.168.6.5 not found. Leaving peer idled Aug 15 17:07:26.493176 bgp_peer_init: BGP peer 192.168.40.4 (Internal AS 17) local address 192.168.6.5 not found. Leaving peer idled Aug 15 17:07:32.597979 task_connect: task BGP_17.192.163.6.4+179 addr 192.163.6.4+179: No route to host Aug 15 17:07:32.599623 bgp_connect_start: connect 192.163.6.4 (Internal AS 17): No route to host Aug 15 17:07:36.869394 task_connect: task BGP_17.192.168.40.4+179 addr 192.168.40.4+179: No route to host Aug 15 17:07:36.870624 bgp_connect_start: connect 192.168.40.4 (Internal AS 17): No route to host Aug 15 17:08:04.599220 task_connect: task BGP_17.192.163.6.4+179 addr 192.163.6.4+179: No route to host Aug 15 17:08:04.601135 bgp_connect_start: connect 192.163.6.4 (Internal AS 17): No route to host Aug 15 17:08:08.869717 task_connect: task BGP_17.192.168.40.4+179 addr 192.168.40.4+179: No route to host Aug 15 17:08:08.869934 bgp_connect_start: connect 192.168.40.4 (Internal AS 17): No route to host Aug 15 17:08:36.603544 advertising receiving-speaker only capabilty to neighbor 192.163.6.4 (Internal AS 17) Aug 15 17:08:36.606726 bgp_read_message: 192.163.6.4 (Internal AS 17): 0 bytes buffered Aug 15 17:08:36.609119 Initiated BFD session to peer 192.163.6.4 (Internal AS 17): address=192.163.6.4 ifindex=0 ifname=(none) txivl=1000 rxivl=1000 mult=3 ver=255 Aug 15 17:08:36.734033 advertising receiving-speaker only capabilty to neighbor 192.168.40.4 (Internal AS 17) Aug 15 17:08:36.738436 Initiated BFD session to peer 192.168.40.4 (Internal AS 17): address=192.168.40.4 ifindex=0 ifname=(none) txivl=1000 rxivl=1000 mult=3 ver=255 Aug 15 17:08:40.537552 BFD session to peer 192.163.6.4 (Internal AS 17) up Aug 15 17:08:40.694410 BFD session to peer 192.168.40.4 (Internal AS 17) up
Significado
Antes de que se establezcan las rutas, el mensaje aparece en el resultado.No route to host Después de establecer las rutas, las dos últimas líneas muestran que aparecen ambas sesiones de BFD.
Visualización de eventos detallados de BFD después de desactivar y reactivar una interfaz de circuito cerrado
Propósito
Verifique qué sucede después de apagar un enrutador o conmutador y luego volver a activarlo. Para simular la caída de un enrutador o conmutador, desactive la interfaz de circuito cerrado en el sistema lógico B.
Acción
En el modo de configuración, escriba el comando
deactivate logical-systems B interfaces lo0 unit 2 family inet.user@host:A# deactivate logical-systems B interfaces lo0 unit 2 family inet user@host:A# commit
Desde el modo operativo, ingrese el comando
file show /var/log/A/bgp-bfd.user@host:A> file show /var/log/A/bgp-bfd ... Aug 15 17:20:55.995648 bgp_read_v4_message:9747: NOTIFICATION received from 192.163.6.4 (Internal AS 17): code 6 (Cease) subcode 6 (Other Configuration Change) Aug 15 17:20:56.004508 Terminated BFD session to peer 192.163.6.4 (Internal AS 17) Aug 15 17:21:28.007755 task_connect: task BGP_17.192.163.6.4+179 addr 192.163.6.4+179: No route to host Aug 15 17:21:28.008597 bgp_connect_start: connect 192.163.6.4 (Internal AS 17): No route to host
En el modo de configuración, escriba el comando
activate logical-systems B interfaces lo0 unit 2 family inet.user@host:A# activate logical-systems B interfaces lo0 unit 2 family inet user@host:A# commit
Desde el modo operativo, ingrese el comando
file show /var/log/A/bgp-bfd.user@host:A> file show /var/log/A/bgp-bfd ... Aug 15 17:25:53.623743 advertising receiving-speaker only capabilty to neighbor 192.163.6.4 (Internal AS 17) Aug 15 17:25:53.631314 Initiated BFD session to peer 192.163.6.4 (Internal AS 17): address=192.163.6.4 ifindex=0 ifname=(none) txivl=1000 rxivl=1000 mult=3 ver=255 Aug 15 17:25:57.570932 BFD session to peer 192.163.6.4 (Internal AS 17) up
Descripción de la autenticación BFD para BGP
El protocolo de detección de reenvío bidireccional (BFD) permite la detección rápida de fallas de comunicación entre sistemas adyacentes. De forma predeterminada, la autenticación para sesiones BFD está deshabilitada. Sin embargo, cuando ejecuta BFD sobre protocolos de capa de red, el riesgo de ataques al servicio puede ser significativo. Recomendamos encarecidamente usar la autenticación si está ejecutando BFD en varios saltos o a través de túneles no seguros. A partir de Junos OS versión 9.6, Junos OS admite la autenticación para sesiones BFD que se ejecutan sobre BGP. La autenticación BFD no se admite en sesiones MPLS OAM. La autenticación BFD solo se admite en la versión de Canadá y Estados Unidos de la imagen de Junos OS y no está disponible en la versión de exportación.
Las sesiones BFD se autentican especificando un algoritmo de autenticación y un llavero y, a continuación, asociando esa información de configuración con un llavero de autenticación de seguridad mediante el nombre del llavero.
En las secciones siguientes se describen los algoritmos de autenticación, los llaveros de seguridad y el nivel de autenticación admitidos que se pueden configurar:
- Algoritmos de autenticación BFD
- Llaveros de autenticación de seguridad
- Autenticación estricta frente a autenticación flexible
Algoritmos de autenticación BFD
Junos OS admite los siguientes algoritmos para la autenticación BFD:
simple-password: contraseña de texto sin formato. Se utilizan de uno a 16 bytes de texto sin formato para autenticar la sesión BFD. Se pueden configurar una o más contraseñas. Este método es el menos seguro y debe usarse solo cuando las sesiones BFD no están sujetas a interceptación de paquetes.
keyed-md5—Algoritmo hash Keyed Message Digest 5 para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión BFD, MD5 con clave utiliza una o más claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. Con este método, los paquetes se aceptan en el extremo receptor de la sesión si una de las claves coincide y el número de secuencia es mayor o igual que el último número de secuencia recibido. Aunque es más seguro que una simple contraseña, este método es vulnerable a ataques de reproducción. Aumentar la velocidad a la que se actualiza el número de secuencia puede reducir este riesgo.
meticulous-keyed-md5—Algoritmo hash meticuloso de Message Digest 5. Este método funciona de la misma manera que MD5 con clave, pero el número de secuencia se actualiza con cada paquete. Aunque es más seguro que MD5 con clave y contraseñas simples, este método puede tardar más tiempo en autenticar la sesión.
keyed-sha-1—Algoritmo hash seguro con clave I para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión BFD, SHA con clave utiliza una o más claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. La clave no se transporta dentro de los paquetes. Con este método, los paquetes se aceptan en el extremo receptor de la sesión si una de las claves coincide y el número de secuencia es mayor que el último número de secuencia recibido.
meticulous-keyed-sha-1—Algoritmo de hash seguro con clave meticulosa I. Este método funciona de la misma manera que el SHA con clave, pero el número de secuencia se actualiza con cada paquete. Aunque es más seguro que el SHA con clave y las contraseñas simples, este método puede tardar más tiempo en autenticar la sesión.
El enrutamiento activo sin paradas (NSR) no es compatible con los algoritmos de autenticación meticulous-keyed-md5 y meticulosus-keyed-sha-1. Las sesiones de BFD que utilizan estos algoritmos pueden dejar de funcionar después de un cambio.
Los conmutadores de la serie QFX5000 y EX4600 no admiten valores de intervalo mínimo de menos de 1 segundo.
Llaveros de autenticación de seguridad
El llavero de autenticación de seguridad define los atributos de autenticación utilizados para las actualizaciones de claves de autenticación. Cuando el llavero de autenticación de seguridad está configurado y asociado a un protocolo a través del nombre del llavero, las actualizaciones de la clave de autenticación pueden producirse sin interrumpir los protocolos de enrutamiento y señalización.
El llavero de autenticación contiene uno o más llaveros. Cada llavero contiene una o más llaves. Cada clave contiene los datos secretos y el momento en que la clave se vuelve válida. El algoritmo y el llavero deben configurarse en ambos extremos de la sesión BFD y deben coincidir. Cualquier discrepancia en la configuración impide que se cree la sesión BFD.
BFD permite múltiples clientes por sesión, y cada cliente puede tener su propio llavero y algoritmo definido. Para evitar confusiones, recomendamos especificar solo un llavero de autenticación de seguridad.
Autenticación estricta frente a autenticación flexible
De forma predeterminada, la autenticación estricta está habilitada y la autenticación se comprueba en ambos extremos de cada sesión de BFD. Opcionalmente, para facilitar la migración de sesiones no autenticadas a sesiones autenticadas, puede configurar la comprobación flexible. Cuando se configura la comprobación flexible, se aceptan paquetes sin que se compruebe la autenticación en cada extremo de la sesión. Esta función está pensada solo para períodos transitorios.
Consulte también
Ejemplo: Configuración de la autenticación BFD para BGP
A partir de Junos OS versión 9.6, puede configurar la autenticación para sesiones BFD que se ejecutan sobre BGP. Solo se necesitan tres pasos para configurar la autenticación en una sesión BFD:
Especifique el algoritmo de autenticación BFD para el protocolo BGP.
Asocie el llavero de autenticación con el protocolo BGP.
Configure el llavero de autenticación de seguridad relacionado.
En las secciones siguientes se proporcionan instrucciones para configurar y ver la autenticación BFD en BGP:
- Configuración de parámetros de autenticación BFD
- Visualización de la información de autenticación para sesiones BFD
Configuración de parámetros de autenticación BFD
La autenticación BFD se puede configurar para todo el protocolo BGP o para un grupo, vecino o instancia de enrutamiento BGP específico.
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.Usar el editor de CLI en el modo de configuraciónhttps://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/junos-cli/junos-cli.html
Para configurar la autenticación BFD:
La autenticación BFD solo se admite en la versión de Canadá y Estados Unidos de la imagen de Junos OS y no está disponible en la versión de exportación.
Visualización de la información de autenticación para sesiones BFD
Puede ver la configuración de autenticación BFD existente mediante los comandos y .show bfd session detailshow bfd session extensive
En el ejemplo siguiente se muestra la autenticación BFD configurada para el grupo BGP.bgp-gr1 Especifica el algoritmo de autenticación SHA-1 con clave y un nombre de llavero de .bfd-bgp El llavero de autenticación se configura con dos claves. La clave contiene los datos secretos "" y la hora de inicio del 1 de junio de 2009 a las 9:46:02 AM PST.1$ABC123$ABC123 La clave contiene los datos secretos "" y una hora de inicio del 1 de junio de 2009 a las 3:29:20 PM PST.2$ABC123$ABC123
[edit protocols bgp]
group bgp-gr1 {
bfd-liveness-detection {
authentication {
algorithm keyed-sha-1;
key-chain bfd-bgp;
}
}
}
[edit security]
authentication key-chains {
key-chain bfd-bgp {
key 1 {
secret “$ABC123$ABC123”;
start-time “2009-6-1.09:46:02 -0700”;
}
key 2 {
secret “$ABC123$ABC123”;
start-time “2009-6-1.15:29:20 -0700”;
}
}
}
Si confirma estas actualizaciones en su configuración, verá resultados similares a los siguientes. En el resultado del comando, se muestra para indicar que la autenticación BFD está configurada.show bfd session detailAuthenticate Para obtener más información acerca de la configuración, utilice el comando.show bfd session extensive El resultado de este comando proporciona el nombre del llavero, el algoritmo y el modo de autenticación para cada cliente de la sesión, y el estado general de configuración de la autenticación BFD, el nombre del llavero y el algoritmo y modo de autenticación.
Mostrar detalles de la sesión de BFD
user@host# show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
192.0.2.2 Up ge-0/1/5.0 0.900 0.300 3
Client BGP, TX interval 0.300, RX interval 0.300, Authenticate
Session up time 3d 00:34
Local diagnostic None, remote diagnostic NbrSignal
Remote state Up, version 1
Replicated
Mostrar sesión de BFD extensa
user@host# show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
192.0.2.2 Up ge-0/1/5.0 0.900 0.300 3
Client BGP, TX interval 0.300, RX interval 0.300, Authenticate
keychain bfd-bgp, algo keyed-sha-1, mode strict
Session up time 00:04:42
Local diagnostic None, remote diagnostic NbrSignal
Remote state Up, version 1
Replicated
Min async interval 0.300, min slow interval 1.000
Adaptive async TX interval 0.300, RX interval 0.300
Local min TX interval 0.300, minimum RX interval 0.300, multiplier 3
Remote min TX interval 0.300, min RX interval 0.300, multiplier 3
Local discriminator 2, remote discriminator 2
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-bgp, algo keyed-sha-1, mode strict
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.