Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BFD para sesiones de BGP

Descripción de BFD para BGP

El protocolo de detección de reenvío bidireccional (BFD) es un mecanismo de saludo sencillo que detecta errores en una red. Los paquetes de saludo se envían en un intervalo regular especificado. Se detecta un fallo en el vecino cuando el dispositivo de enrutamiento deja de recibir una respuesta transcurrido un intervalo especificado. BFD funciona con una gran variedad de topologías y entornos de red. Los temporizadores de detección de fallos para BFD tienen límites de tiempo más cortos que los mecanismos predeterminados de detección de fallos para BGP, por lo que proporcionan una detección más rápida.

Nota:

La configuración de BFD y reinicio correcto para BGP en el mismo dispositivo es una contraproducción. Cuando una interfaz deja de funcionar, BFD la detecta instantáneamente, detiene el tráfico de reenvío y el BGP sesión queda inactivo mientras que un reinicio normal reenvía el tráfico a pesar del fallo de la interfaz, este comportamiento puede ocasionar problemas en la red. Por lo tanto, no se recomienda configurar ambos BFD y reinicios correctos en el mismo dispositivo.

Nota:

Los conmutadores de la serie QFX5000 y EX4600 no admiten valores de intervalo mínimos de menos de 1 segundo.

Nota:

los conmutadores QFX5110, QFX5120, QFX5200 y QFX5210 admiten detección de reenvío bidireccional (BFD) multihop en línea para mantener la compatibilidad activa, lo que permitirá que las sesiones se configuren en menos de 1 segundo. El rendimiento puede diferir según la carga del sistema. Se admiten 10 sesiones BFD en línea que se pueden configurar con un temporizador de 150 x 3 milisegundos.

Los temporizadores de detección de fallos de BFD se pueden ajustar para que sean más rápidos o más lentos. Cuanto menor sea el valor del temporizador de detección de fallos de BFD, más rápida será la detección del fallo y viceversa. Por ejemplo, los temporizadores se pueden adaptar a un valor superior si se produce un error en la adyacencia (es decir, el temporizador detecta más lentamente los errores). O bien, un vecino puede negociar un valor superior para un temporizador que no sea el valor configurado. Los temporizadores se adaptan a un valor más alto cuando una solapación de sesión de BFD se produce más de tres veces en un intervalo de 15 segundos (15000 milisegundos). Un algoritmo de reversión aumenta el intervalo de recepción (RX) por dos si la instancia BFD local es la razón de la solapa de sesión. El intervalo de transmisión (TX) se aumenta en dos si la instancia de BFD remota es la razón de la solapa de sesión. Puede usar el clear bfd adaptation comando para devolver BFD intervalo de tiempo a sus valores configurados. El clear bfd adaptation comando es hitless, lo que significa que el comando no afecta al flujo de tráfico del dispositivo de enrutamiento.

Nota:

En todos los dispositivos serie SRX, un uso elevado de la CPU que se activa por motivos tales como comandos de CPU intensivas y los recorridos de SNMP hace que el protocolo BFD se solapa mientras procesa actualizaciones BGP de gran tamaño. (La compatibilidad con la plataforma depende de la versión Junos OS de la instalación).

A partir de Junos OS Release 15.1 X49-D100, SRX340, SRX345 y los dispositivos SRX1500 son compatibles con BFD dedicados.

A partir de Junos OS Release 15.1 X49-D100, los dispositivos SRX300 y SRX320 son compatibles con BFD en tiempo real.

A partir de Junos OS Release 15.1 X49-D110, SRX550M dispositivos admite BFD dedicados.

En Junos OS versión 8,3 y posteriores, BFD se admite en sesiones internas de BGP (IBGP) y Multihop BGP externas (EBGP), así como en sesiones de EBGP de salto único. En Junos OS versión 9,1 hasta Junos OS versión 11,1, BFD admite interfaces de IPv6 solo en rutas estáticas. En Junos OS versión 11,2 y posteriores, BFD admite interfaces IPv6 con BGP.

Ejemplo Configuración de BFD en sesiones internas BGP peer

En este ejemplo se muestra cómo configurar sesiones de punto de BGP (IBGP) internas con el protocolo de detección de reenvío bidireccional (BFD) para detectar errores en una red.

Aplicables

No es necesaria ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

La configuración mínima para activar BFD en las sesiones IBGP consiste en incluir bfd-liveness-detection minimum-interval la instrucción en la configuración BGP de todos los vecinos que participan en la sesión BFD. La minimum-interval instrucción especifica los intervalos de transmisión y recepción mínimos para la detección de fallos. Específicamente, este valor representa el intervalo mínimo después del cual el dispositivo de enrutamiento local transmite paquetes de saludo, así como el intervalo mínimo que el dispositivo de enrutamiento espera recibir una respuesta de un vecino con el que ha establecido una sesión BFD. Puede configurar un valor de 1 a 255 000 milisegundos.

Opcionalmente, puede especificar los intervalos mínimos de transmisión y recepción por separado utilizando las transmit-interval minimum-interval sentencias y minimum-receive-interval . Para obtener información sobre estas y otras instrucciones de configuración BFD opcionales bfd-liveness-detection, consulte.

Nota:

BFD es un protocolo intensivo que consume recursos del sistema. Especificar un intervalo mínimo para BFD menor que 100 milisegundos para sesiones basadas en motor de enrutamiento y menos de 10 milisegundos para sesiones de BFD distribuidas puede ocasionar una flapping de BFD no deseado.

Según el entorno de red, estas recomendaciones adicionales podrían aplicarse:

  • Para evitar la flapping de BFD durante el evento de motor de enrutamiento de cambio general, especifique un intervalo mínimo de 5000 milisegundos para motor de enrutamiento sesiones basadas en el sistema. Este valor mínimo es necesario porque, durante el evento de cambio de motor de enrutamiento general, los procesos como RPD, MIBD y SNMPd utilizan los recursos de la CPU durante más tiempo que el valor de umbral especificado. Por lo tanto, la programación y el procesamiento de BFD se verá afectado debido a esta falta de recursos de la CPU.

  • Para que las sesiones BFD permanezcan activas durante la situación del vínculo de control del clúster de chasis dual, cuando falle el primer vínculo de control, especifique el intervalo mínimo de 6000 milisegundos para evitar que la LACP flapping en el nodo secundario durante sesiones basadas en motor de enrutamiento.

  • Para implementaciones de red a gran escala con un gran número de sesiones BFD, especifique un intervalo mínimo de 300 milisegundos para motor de enrutamiento sesiones basadas en y 100 milisegundos para sesiones BFD distribuidas.

  • Para implementaciones de red a gran escala con una gran cantidad de sesiones de BFD, póngase en contacto con el soporte técnico de Juniper Networks para obtener más información.

  • Para que las sesiones de BFD permanezcan activas durante un evento de cambio de motor de enrutamiento cuando se configura el enrutamiento activo sin desconfiar (NSR), especifique un intervalo mínimo de 2500 milisegundos para motor de enrutamiento sesiones basadas en. Para las sesiones BFD distribuidas con INE configurado, las recomendaciones de intervalos mínimos no han cambiado y solo dependen de la implementación de la red.

BFD se admite en la instancia de enrutamiento predeterminada (enrutador principal), en las instancias de enrutamiento y en los sistemas lógicos. Este ejemplo muestra BFD en los sistemas lógicos.

Figura 1muestra una red típica con sesiones de interlocutor internas.

Figura 1: Red típica con sesiones de IBGPRed típica con sesiones de IBGP

Automática

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y [edit] pegue los comandos en la CLI en el nivel de jerarquía.

Dispositivo A

Dispositivo B

Dispositivo C

Configuración del dispositivo A

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre Cómo desplazarse por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI.

Para configurar el dispositivo A:

  1. Configure la CLI como el sistema lógico A.

  2. Configure las interfaces.

  3. Configure BGP.

    Las neighbor instrucciones se incluyen tanto para la Device B como para el dispositivo c, aunque el dispositivo a no esté directamente conectado al dispositivo C.

  4. Configure BFD.

    Debe configurar el mismo intervalo mínimo en el elemento del mismo nivel de conexión.

  5. Adicional Configure el seguimiento de BFD.

  6. Configure OSPF.

  7. Configure una directiva que acepte rutas directas.

    Otras opciones útiles para este escenario pueden ser aceptar las rutas aprendidas a través de OSPF o rutas locales.

  8. Configure el identificador del enrutador y el número de sistema autónomo (AS).

  9. Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración. Repita estos pasos para configurar el dispositivo B y el dispositivo C.

Resultados

Desde el modo de configuración, para confirmar la configuración show interfaces, show policy-optionsescriba show protocolslos comandos show routing-options ,, y. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Comproba

Confirme que la configuración funciona correctamente.

Comprobando que BFD está habilitado

Purpose

Compruebe que BFD está habilitado entre los homólogos IBGP.

Intervención

En modo operativo, escriba el show bgp neighbor comando. Puede utilizar el | match bfd filtro para restringir el resultado.

Efectos

El resultado muestra que el sistema lógico A tiene dos vecinos con BFD habilitado. Cuando BFD no está habilitada, el resultado se muestra y la opción está ausente.BFD: disabled, down<BfdEnabled> Si BFD está habilitado y la sesión no funciona, se muestra el resultado.BFD: enabled, down La salida también muestra que los sucesos relacionados con BFD se escriben en un archivo de registro porque se han configurado las operaciones de seguimiento.

Comprobando que las sesiones BFD están en funcionamiento

Purpose

Compruebe que las sesiones de BFD están en funcionamiento y consulte los detalles de las sesiones de BFD.

Intervención

En modo operativo, escriba el show bfd session extensive comando.

Efectos

La TX interval 1.000, RX interval 1.000 salida representa la configuración establecida con la minimum-interval instrucción. La otra salida representa la configuración predeterminada para BFD. Para modificar la configuración predeterminada, incluya las instrucciones opcionales en la bfd-liveness-detection instrucción.

Ver eventos detallados de BFD

Purpose

Consulte el contenido del archivo de seguimiento BFD para facilitar la solución de problemas, si es necesario.

Intervención

En modo operativo, escriba el file show /var/log/A/bgp-bfd comando.

Efectos

Antes de que se establezcan las No route to host rutas, el mensaje aparece en el resultado. Una vez establecidas las rutas, las últimas dos líneas muestran que BFD las sesiones de ambos tipos entran.

Visualización de eventos detallados de BFD después de desactivar y reactivar una interfaz de bucle invertido

Purpose

Compruebe lo que ocurre después de apagar un enrutador o conmutador y, a continuación, vuelva a ponerlo en marcha. Para simular la baja de un enrutador o un conmutador, desactive la interfaz de bucle de retroceso en el sistema lógico B.

Intervención
  1. En el modo de configuración, deactivate logical-systems B interfaces lo0 unit 2 family inet escriba el comando.

  2. En modo operativo, escriba el file show /var/log/A/bgp-bfd comando.

  3. En el modo de configuración, activate logical-systems B interfaces lo0 unit 2 family inet escriba el comando.

  4. En modo operativo, escriba el file show /var/log/A/bgp-bfd comando.

Descripción de la autenticación BFD para BGP

El protocolo de detección de reenvío bidireccional (BFD) permite la detección rápida de fallos de comunicación entre sistemas adyacentes. De forma predeterminada, la autenticación de las sesiones BFD está deshabilitada. Sin embargo, cuando ejecuta BFD a través de protocolos capa de red, el riesgo de ataques de servicio puede ser significativo. Recomendamos encarecidamente usar la autenticación si ejecuta BFD a través de varios saltos o a través de túneles no seguros. A partir de Junos OS versión 9,6, Junos OS admite autenticación para sesiones de BFD que se ejecutan a través de BGP. La autenticación BFD no se admite en sesiones de mantenimiento seguros MPLS. La autenticación BFD solo se admite en la versión de Canadá y Estados Unidos de la imagen Junos OS, y no está disponible en la versión de exportación.

Para autenticar sesiones BFD, especifique un algoritmo de autenticación y una cadena clave, y asocie esa información de configuración con una cadena clave de autenticación de seguridad utilizando el nombre de la cadena clave.

En las secciones siguientes se describen los algoritmos de autenticación admitidos, las llaves de seguridad y el nivel de autenticación que se pueden configurar:

Algoritmos de autenticación de BFD

Junos OS admite los siguientes algoritmos para la autenticación BFD:

  • simple-password: Contraseña de texto sin formato. Se utilizan de uno a 16 bytes de texto sin formato para autenticar la sesión BFD. Puede configurar una o más contraseñas. Este método es el menos seguro y solo debe usarse cuando las sesiones BFD no están sujetas a la interceptación de paquetes.

  • keyed-md5: Algoritmo hash de síntesis del mensaje de clave 5 para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión de BFD, MD5 con claves utiliza una o varias claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. Con este método, los paquetes se aceptan en el extremo receptor de la sesión si una de las claves coincide y el número de secuencia es mayor o igual que el último número de secuencia recibido. Aunque es más seguro que una contraseña sencilla, este método es vulnerable a los ataques de reproducción. El aumento de la velocidad a la que se actualiza el número de secuencia puede reducir este riesgo.

  • meticulous-keyed-md5— Algoritmo hash de síntesis del mensaje con clave meticulosa 5. Este método funciona del mismo modo que MD5 con claves, pero el número de secuencia se actualiza con todos los paquetes. Aunque sea más seguro que claves MD5 y contraseñas sencillas, este método podría tardar más en autenticar la sesión.

  • keyed-sha-1: Algoritmo de hash seguro con clave I para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión BFD, SHA con clave utiliza una o varias claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. La clave no se transporta dentro de los paquetes. Con este método, los paquetes se aceptan en el extremo receptor de la sesión si una de las claves coincide y el número de secuencia es mayor que el último número de secuencia recibido.

  • meticulous-keyed-sha-1: Algoritmo de hash seguro con clave minuciosa I. Este método funciona de la misma manera que SHA con clave, pero el número de secuencia se actualiza con todos los paquetes. Aunque es más seguro que la SHA con claves y contraseñas sencillas, este método puede tardar más tiempo en autenticar la sesión.

Nota:

Enrutamiento activo no detenido (INE) no es compatible con algoritmos de autenticación con clave de meticulosaidad, MD5 o meticulosamente con clave SHA-1. BFD las sesiones que usan estos algoritmos podrían bajar después de un cambio.

Nota:

Los conmutadores de la serie QFX5000 y EX4600 no admiten valores de intervalo mínimos de menos de 1 segundo.

Llaves de autenticación de seguridad

La cadena clave de autenticación de seguridad define los atributos de autenticación utilizados para las actualizaciones de claves de autenticación. Cuando se configuran las llaves de autenticación de seguridad y se asocian a un protocolo a través del nombre de cadena de claves, las actualizaciones de claves de autenticación se pueden producir sin interrumpir los protocolos de enrutamiento y señalización.

La cadena clave de autenticación contiene una o varias llaves. Cada cadena clave contiene una o más claves. Cada clave contiene los datos secretos y la hora a la que la clave pasa a ser válida. El algoritmo y la cadena de claves deben estar configurados en ambos extremos de la sesión BFD, y deben coincidir. Cualquier discrepancia en la configuración impide que se cree la sesión BFD.

BFD permite varios clientes por sesión, y cada cliente puede tener su propia cadena y algoritmo definidos. Para evitar confusiones, recomendamos que especifique solo una cadena clave de autenticación de seguridad.

Autenticación estricta frente a la no estricta

De forma predeterminada, la autenticación estricta está habilitada y la autenticación se comprueba en ambos extremos de cada sesión de BFD. De manera opcional, para agilizar la migración de sesiones no autenticadas a sesiones autenticadas, puede configurar la comprobación relajada. Cuando se configura la comprobación de sueltos, los paquetes se aceptan sin que se Compruebe la autenticación en cada extremo de la sesión. Esta característica está pensada únicamente para períodos transitorios.

Ejemplo Configuración de la autenticación BFD para BGP

A partir de Junos OS versión 9,6, puede configurar la autenticación para sesiones de BFD que se ejecutan a través de BGP. Solo se necesitan tres pasos para configurar la autenticación en una sesión BFD:

  1. Especifique el algoritmo de autenticación BFD para el protocolo de BGP.

  2. Asocie las llaves de autenticación con el protocolo BGP.

  3. Configure la cadena clave de autenticación de seguridad relacionada.

Las secciones siguientes proporcionan instrucciones para configurar y ver BFD autenticación en BGP:

Configuración de parámetros de autenticación BFD

La autenticación BFD puede configurarse para todo el protocolo BGP, o para un grupo BGP, un vecino o una instancia de enrutamiento específicos.

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener más información sobre cómo navegar por la CLI, consulte uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI de Junos os.

Para configurar la autenticación de BFD:

  1. Especifique el algoritmo ( keyed-md5 ,,, keyed-sha-1meticulous-keyed-md5meticulous-keyed-sha-1 o simple-password ) que desea utilizar.
    Nota:

    No se admite el enrutamiento activo no detenido, con algoritmos de autenticación con clave MD5 y meticulosa-1, meticuloso BFD las sesiones que usan estos algoritmos podrían bajar después de un cambio.

  2. Especifique la cadena clave que se usará para asociar BFD sesiones en BGP con los atributos únicos de cadena clave de autenticación de seguridad.

    El nombre de la cadena clave especificada debe coincidir con un nombre [edit security authentication key-chains] de cadena clave configurado en el nivel de jerarquía.

    Nota:

    El algoritmo y la cadena de claves deben estar configurados en ambos extremos de la sesión BFD, y deben coincidir. Cualquier discrepancia en la configuración impide que se cree la sesión BFD.

  3. Especifique la información de autenticación de seguridad única para las sesiones BFD:
    • Nombre de la cadena clave que coincida como se especificó en el paso 2 .

    • Al menos una clave, un entero único entre 0 y 63 . La creación de varias claves permite que varios clientes utilicen la sesión BFD.

    • Datos secretos que se utilizan para permitir el acceso a la sesión.

    • Hora a la que la clave de autenticación se activa, en el formato aaaa-mm-dd. HH: mm: SS.

  4. Adicional Especifique la comprobación de autenticación perdida si va a realizar la transición de sesiones no autenticadas a sesiones autenticadas.
  5. Adicional Utilice el show bfd session detail comando o show bfd session extensive para ver su configuración.
  6. Repita estos pasos para configurar el otro extremo de la sesión de BFD.
Nota:

La autenticación BFD solo se admite en la versión de Canadá y Estados Unidos de la imagen Junos OS, y no está disponible en la versión de exportación.

Ver información de autenticación para sesiones de BFD

Puede ver la configuración de autenticación de BFD existente con show bfd session detail los show bfd session extensive comandos y.

En el ejemplo siguiente, se muestra la autenticación bgp-gr1 BFD configurada para el grupo BGP. Especifica el algoritmo de autenticación SHA-1 con clave y un nombre de bfd-bgpcadena de claves de. Las llaves de autenticación se configuran con dos claves. Clave 1 contiene los datos de secreto " $ABC123$ABC123 " y una hora de inicio del 1 de junio de 2009, a las 9:46:02 a.m. pst. Clave 2 contiene los datos de secreto " $ABC123$ABC123 " y una hora de inicio del 1 de junio de 2009, a 3:29:20 p.m. pst.

Si confirma estas actualizaciones en su configuración, aparecerá un resultado similar al siguiente. En el resultado del show bfd session detail comando, Authenticate se muestra para indicar que la autenticación de BFD está configurada. Para obtener más información acerca de la configuración, show bfd session extensive utilice el comando. El resultado de este comando proporciona el nombre de la cadena de claves, el algoritmo y el modo de autenticación para cada cliente de la sesión, el estado de configuración de autenticación de BFD general, el nombre de la cadena clave y el algoritmo y el modo de autenticación.

Mostrar detalle de sesión BFD

Mostrar extensa sesión de BFD

Tabla de historial de versiones
Liberación
Descripción
15.1X49-D100
A partir de Junos OS Release 15.1 X49-D100, SRX340, SRX345 y los dispositivos SRX1500 son compatibles con BFD dedicados.
15.1X49-D100
A partir de Junos OS Release 15.1 X49-D100, los dispositivos SRX300 y SRX320 son compatibles con BFD en tiempo real.
11.2
En Junos OS versión 11,2 y posteriores, BFD admite interfaces IPv6 con BGP.
9.1
En Junos OS versión 9,1 hasta Junos OS versión 11,1, BFD admite interfaces de IPv6 solo en rutas estáticas.
8.3
En Junos OS versión 8,3 y posteriores, BFD se admite en sesiones internas de BGP (IBGP) y Multihop BGP externas (EBGP), así como en sesiones de EBGP de salto único.