Configuración de PIM y el protocolo de detección de reenvío bidireccional (BFD)
Descripción de la autenticación de detección de reenvío bidireccional para PIM
La detección de reenvío bidireccional (BFD) permite la detección rápida de fallas de comunicación entre sistemas adyacentes. De forma predeterminada, la autenticación para sesiones BFD está deshabilitada. Sin embargo, cuando ejecuta BFD sobre protocolos de capa de red, el riesgo de ataques al servicio puede ser significativo. Recomendamos encarecidamente usar la autenticación si está ejecutando BFD en varios saltos o a través de túneles no seguros.
A partir de Junos OS versión 9.6, Junos OS admite la autenticación para sesiones BFD que se ejecutan sobre PIM. La autenticación BFD solo se admite en la versión de Canadá y Estados Unidos de la imagen de Junos OS y no está disponible en la versión de exportación.
Las sesiones BFD se autentican especificando un algoritmo de autenticación y un llavero y, a continuación, asociando esa información de configuración con un llavero de autenticación de seguridad mediante el nombre del llavero.
En las secciones siguientes se describen los algoritmos de autenticación, los llaveros de seguridad y el nivel de autenticación admitidos que se pueden configurar:
- Algoritmos de autenticación BFD
- Llaveros de autenticación de seguridad
- Autenticación estricta frente a autenticación flexible
Algoritmos de autenticación BFD
Junos OS admite los siguientes algoritmos para la autenticación BFD:
simple-password: contraseña de texto sin formato. Se utilizan de uno a 16 bytes de texto sin formato para autenticar la sesión BFD. Se pueden configurar una o más contraseñas. Este método es el menos seguro y debe usarse solo cuando las sesiones BFD no están sujetas a interceptación de paquetes.
keyed-md5: algoritmo hash Keyed Message Digest 5 para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión BFD, MD5 con clave utiliza una o más claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. Con este método, los paquetes se aceptan en el extremo receptor de la sesión si una de las claves coincide y el número de secuencia es mayor o igual que el último número de secuencia recibido. Aunque es más seguro que una simple contraseña, este método es vulnerable a ataques de reproducción. Aumentar la velocidad a la que se actualiza el número de secuencia puede reducir este riesgo.
meticulous-keyed-md5: algoritmo hash meticuloso de Message Digest 5. Este método funciona de la misma manera que MD5 con clave, pero el número de secuencia se actualiza con cada paquete. Aunque es más seguro que MD5 con clave y contraseñas simples, este método puede tardar más tiempo en autenticar la sesión.
keyed-sha-1: algoritmo hash seguro con clave I para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión BFD, SHA con clave utiliza una o más claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. La clave no se transporta dentro de los paquetes. Con este método, los paquetes se aceptan en el extremo receptor de la sesión si una de las claves coincide y el número de secuencia es mayor que el último número de secuencia recibido.
meticulous-keyed-sha-1—Algoritmo de hash seguro con clave meticulosa I. Este método funciona de la misma manera que el SHA con clave, pero el número de secuencia se actualiza con cada paquete. Aunque es más seguro que el SHA con clave y las contraseñas simples, este método puede tardar más tiempo en autenticar la sesión.
El enrutamiento activo sin paradas (NSR) no es compatible con los algoritmos de autenticación meticulous-keyed-md5 y meticulosus-keyed-sha-1. Las sesiones de BFD que utilizan estos algoritmos pueden dejar de funcionar después de un cambio.
Llaveros de autenticación de seguridad
El llavero de autenticación de seguridad define los atributos de autenticación utilizados para las actualizaciones de claves de autenticación. Cuando el llavero de autenticación de seguridad está configurado y asociado a un protocolo a través del nombre del llavero, las actualizaciones de la clave de autenticación pueden producirse sin interrumpir los protocolos de enrutamiento y señalización.
El llavero de autenticación contiene uno o más llaveros. Cada llavero contiene una o más llaves. Cada clave contiene los datos secretos y el momento en que la clave se vuelve válida. El algoritmo y el llavero deben configurarse en ambos extremos de la sesión BFD y deben coincidir. Cualquier discrepancia en la configuración impide que se cree la sesión BFD.
BFD permite múltiples clientes por sesión, y cada cliente puede tener su propio llavero y algoritmo definido. Para evitar confusiones, recomendamos especificar solo un llavero de autenticación de seguridad.
El llavero de autenticación de seguridad no es compatible con los firewalls de la serie SRX.
Autenticación estricta frente a autenticación flexible
De forma predeterminada, la autenticación estricta está habilitada y la autenticación se comprueba en ambos extremos de cada sesión de BFD. Opcionalmente, para facilitar la migración de sesiones no autenticadas a sesiones autenticadas, puede configurar la comprobación flexible. Cuando se configura la comprobación flexible, se aceptan paquetes sin que se compruebe la autenticación en cada extremo de la sesión. Esta función está pensada solo para períodos transitorios.
Ver también
Configuración de BFD para PIM
El protocolo de detección de reenvío bidireccional (BFD) es un mecanismo de saludo simple que detecta fallas en una red. BFD trabaja con una amplia variedad de entornos y topologías de red. Un par de dispositivos de enrutamiento intercambian paquetes BFD. Los paquetes Hello se envían en un intervalo regular especificado. Un error de vecino se detecta cuando el dispositivo de enrutamiento deja de recibir una respuesta después de un intervalo especificado. Los temporizadores de detección de fallas de BFD tienen límites de tiempo más cortos que el tiempo de espera de saludo de multidifusión independiente del protocolo (PIM), por lo que proporcionan una detección más rápida.
Los temporizadores de detección de fallas BFD son adaptativos y se pueden ajustar para que sean más rápidos o más lentos. Cuanto menor sea el valor del temporizador de detección de fallas de BFD, más rápida será la detección de fallas y viceversa. Por ejemplo, los temporizadores pueden adaptarse a un valor más alto si falla la adyacencia (es decir, el temporizador detecta fallas más lentamente). O bien, un vecino puede negociar un valor más alto para un temporizador que el valor configurado. Los temporizadores se adaptan a un valor más alto cuando un colgajo de sesión BFD ocurre más de tres veces en un lapso de 15 segundos. Un algoritmo de retroceso aumenta el intervalo de recepción (Rx) en dos si la instancia local de BFD es el motivo de la solapa de sesión. El intervalo de transmisión (Tx) aumenta en dos si la instancia remota de BFD es el motivo de la solapa de sesión. Puede utilizar el comando para devolver los clear bfd adaptation temporizadores de intervalo BFD a sus valores configurados. El clear bfd adaptation comando no tiene hits, lo que significa que el comando no afecta al flujo de tráfico en el dispositivo de enrutamiento.
Debe especificar los intervalos mínimos de transmisión y recepción mínimos para habilitar BFD en PIM.
Para habilitar la detección de errores:
Ver también
Configuración de la autenticación BFD para PIM
Especifique el algoritmo de autenticación BFD para el protocolo PIM.
Asocie el llavero de autenticación con el protocolo PIM.
Configure el llavero de autenticación de seguridad relacionado.
A partir de Junos OS versión 9.6, puede configurar la autenticación para sesiones de detección de reenvío bidireccional (BFD) que se ejecutan en multidifusión independiente del protocolo (PIM). También se admiten instancias de enrutamiento.
En las secciones siguientes se proporcionan instrucciones para configurar y ver la autenticación BFD en PIM:
- Configuración de parámetros de autenticación BFD
- Visualización de la información de autenticación para sesiones BFD
Configuración de parámetros de autenticación BFD
La autenticación BFD solo se admite en la versión de Canadá y Estados Unidos de la imagen de Junos OS y no está disponible en la versión de exportación.
Para configurar la autenticación BFD:
Visualización de la información de autenticación para sesiones BFD
Puede ver la configuración de autenticación BFD existente mediante los show bfd session detail comandos y show bfd session extensive .
En el ejemplo siguiente se muestra la autenticación BFD configurada para la interfaz ge-0/1/5 . Especifica el algoritmo de autenticación SHA-1 con clave y un nombre de llavero de bfd-pim. El llavero de autenticación se configura con dos claves. La clave 1 contiene los datos secretos "$ABC 123/" y la hora de inicio del 1 de junio de 2009 a las 9:46:02 AM PST. La clave 2 contiene los datos secretos "$ABC 123/" y la hora de inicio del 1 de junio de 2009 a las 3:29:20 PM PST.
[edit protocols pim]
interface ge-0/1/5 {
family inet {
bfd-liveness-detection {
authentication {
key-chain bfd-pim;
algorithm keyed-sha-1;
}
}
}
}
[edit security]
authentication key-chains {
key-chain bfd-pim {
key 1 {
secret “$ABC123/”;
start-time “2009-6-1.09:46:02 -0700”;
}
key 2 {
secret “$ABC123/”;
start-time “2009-6-1.15:29:20 -0700”;
}
}
}
Si confirma estas actualizaciones en su configuración, verá resultados similares al siguiente ejemplo. En el resultado del comando, se muestra Autenticar para indicar que la show bfd session detail autenticación BFD está configurada. Para obtener más información acerca de la configuración, utilice el show bfd session extensive comando. El resultado de este comando proporciona el nombre del llavero, el algoritmo y el modo de autenticación para cada cliente de la sesión, y el estado general de configuración de la autenticación BFD, el nombre del llavero y el algoritmo y modo de autenticación.
Mostrar detalles de la sesión de BFD
user@host# show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
192.0.2.2 Up ge-0/1/5.0 0.900 0.300 3
Client PIM, TX interval 0.300, RX interval 0.300, Authenticate
Session up time 3d 00:34
Local diagnostic None, remote diagnostic NbrSignal
Remote state Up, version 1
Replicated
Mostrar sesión de BFD extensa
user@host# show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
192.0.2.2 Up ge-0/1/5.0 0.900 0.300 3
Client PIM, TX interval 0.300, RX interval 0.300, Authenticate
keychain bfd-pim, algo keyed-sha-1, mode strict
Session up time 00:04:42
Local diagnostic None, remote diagnostic NbrSignal
Remote state Up, version 1
Replicated
Min async interval 0.300, min slow interval 1.000
Adaptive async TX interval 0.300, RX interval 0.300
Local min TX interval 0.300, minimum RX interval 0.300, multiplier 3
Remote min TX interval 0.300, min RX interval 0.300, multiplier 3
Local discriminator 2, remote discriminator 2
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-pim, algo keyed-sha-1, mode strict
Ejemplo: configuración de la detección de vida BFD para PIM IPv6
En este ejemplo se muestra cómo configurar la detección de vida de reenvío bidireccional (BFD) para interfaces IPv6 configuradas para la topología de multidifusión independiente del protocolo (PIM). BFD es un mecanismo de saludo simple que detecta fallas en una red.
Los siguientes pasos son necesarios para configurar la detección de vida de BFD:
Configure la interfaz.
Configure el llavero de autenticación de seguridad relacionado.
Especifique el algoritmo de autenticación BFD para el protocolo PIM.
Configure PIM, asociando el llavero de autenticación con el protocolo deseado.
Configure la autenticación BFD para la instancia de enrutamiento.
Debe realizar estos pasos en ambos extremos de la sesión de BFD.
Requisitos
En este ejemplo se utilizan los siguientes componentes de hardware y software:
Dos enrutadores pares.
Junos OS 12.2 o posterior.
Visión general
En este ejemplo. Los dispositivos R1 y R2 son pares. Cada enrutador ejecuta PIM, conectado a través de un medio común.
Topología
La figura 1 muestra la topología utilizada en este ejemplo.
PIM IPv6
Supongamos que los enrutadores se inicializan. Aún no se ha establecido ninguna sesión de BFD. Para cada enrutador, PIM informa al proceso BFD para monitorear la dirección IPv6 del vecino que está configurada en el protocolo de enrutamiento. Las direcciones no se aprenden dinámicamente y deben configurarse.
Configure la dirección IPv6 y la detección de vida de BFD en el nivel jerárquico [editar protocolos pim] para cada enrutador.
[edit protocols pim] user@host# set interface interface-name family inet6 bfd-liveness-detection
Configure la detección de vida BFD para la instancia de enrutamiento en el nivel jerárquico [edit routing-instancesinstance-name protocols pim interface all family inet6] (aquí, el instance-name es instance1:
[edit routing-instances instance1 protocols pim] user@host# set bfd-liveness-detection
También configurará el algoritmo de autenticación y los valores del llavero de autenticación para BFD.
En una red configurada por BFD, cuando un cliente inicia una sesión de BFD con un par, BFD comienza a enviar paquetes de control de BFD lentos y periódicos que contienen los valores de intervalo que especificó al configurar los pares de BFD. Esto se conoce como el estado de inicialización. BFD no genera ninguna notificación hacia arriba o hacia abajo en este estado. Cuando otra interfaz BFD reconoce los paquetes de control BFD, la sesión pasa a un estado ascendente y comienza a enviar paquetes de control periódicos más rápidamente. Si se produce un error en la ruta de datos y BFD no recibe un paquete de control dentro del período de tiempo configurado, la ruta de datos se declara inactiva y BFD notifica al cliente BFD. El cliente BFD puede realizar las acciones necesarias para redireccionar el tráfico. Este proceso puede ser diferente para diferentes clientes BFD.
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.
Dispositivo R1
set interfaces ge-0/1/5 unit 0 description toRouter2 set interfaces ge-0/1/5 unit 0 family inet6 set interfaces ge-0/1/5 unit 0 family inet6 address e80::21b:c0ff:fed5:e4dd set protocols pim interface ge-0/1/5 family inet6 bfd-liveness-detection authentication algorithm keyed-sha-1 set protocols pim interface ge-0/1/5 family inet6 bfd-liveness-detection authentication key-chain bfd-pim set routing-instances instance1 protocols pim interface all family inet6 bfd-liveness-detection authentication algorithm keyed-sha-1 set routing-instances instance1 protocols pim interface all family inet6 bfd-liveness-detection authentication key-chain bfd-pim set security authentication key-chain bfd-pim key 1 secret "v" set security authentication key-chain bfd-pim key 1 start-time "2012-01-01.09:46:02 -0700" set security authentication key-chain bfd-pim key 2 secret "$ABC123abc123" set security authentication key-chain bfd-pim key 2 start-time "2012-01-01.15:29:20 -0700"
Dispositivo R2
set interfaces ge-1/1/0 unit 0 description toRouter1 set interfaces ge-1/1/0 unit 0 family inet6 address e80::21b:c0ff:fed5:e5dd set protocols pim interface ge-1/1/0 family inet6 bfd-liveness-detection authentication algorithm keyed-sha-1 set protocols pim interface ge-1/1/0 family inet6 bfd-liveness-detection authentication key-chain bfd-pim set routing-instances instance1 protocols pim interface all family inet6 bfd-liveness-detection authentication algorithm keyed-sha-1 set routing-instances instance1 protocols pim interface all family inet6 bfd-liveness-detection authentication key-chain bfd-pim set security authentication key-chain bfd-pim key 1 secret "$ABC123abc123" set security authentication key-chain bfd-pim key 1 start-time "2012-01-01.09:46:02 -0700" set security authentication key-chain bfd-pim key 2 secret "$ABC123abc123" set security authentication key-chain bfd-pim key 2 start-time "2012-01-01.15:29:20 -0700"
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en modo de configuración en la Guía del usuario de CLI de Junos OS.
Para configurar la detección de vida de BFD para interfaces PIM IPv6 en el dispositivo R1:
Este procedimiento es para el dispositivo R1. Repita este procedimiento para el dispositivo R2 después de modificar los nombres de interfaz, las direcciones y cualquier otro parámetro adecuados.
Configure la interfaz utilizando la
inet6instrucción para especificar que se trata de una dirección IPv6.[edit interfaces] user@R1# set ge-0/1/5 unit 0 description toRouter2 user@R1# set ge-0/1/5 unit 0 family inet6 address e80::21b:c0ff:fed5:e4dd
Especifique el algoritmo de autenticación BFD y el llavero para el protocolo PIM.
El llavero se utiliza para asociar sesiones BFD en la ruta PIM especificada o en una instancia de enrutamiento con los atributos únicos de llavero de autenticación de seguridad. Este nombre de llavero debe coincidir con el nombre de llavero configurado en el nivel jerárquico
[edit security authentication].[edit protocols] user@R1# set pim interface ge-0/1/5.0 family inet6 bfd-liveness-detection authentication algorithm keyed-sha-1 user@R1# set pim interface ge-0/1/5 family inet6 bfd-liveness-detection authentication key-chain bfd-pim
Nota:El algoritmo y el llavero deben configurarse en ambos extremos de la sesión BFD y deben coincidir. Cualquier discrepancia en la configuración impide que se cree la sesión BFD.
Configure una instancia de enrutamiento (aquí, instance1), especifique la autenticación BFD y asocie el algoritmo de autenticación de seguridad y el llavero.
[edit routing-instances] user@R1# set instance1 protocols pim interface all family inet6 bfd-liveness-detection authentication algorithm keyed-sha-1 user@R1# set instance1 protocols pim interface all family inet6 bfd-liveness-detection authentication key-chain bfd-pim
Especifique la información de autenticación de seguridad única para las sesiones BFD:
El nombre del llavero coincidente como se especifica en el paso 2.
Al menos una clave, un entero único entre 0 y 63. La creación de varias claves permite que varios clientes utilicen la sesión BFD.
Los datos secretos utilizados para permitir el acceso a la sesión.
Hora a la que se activa la clave de autenticación, con el formato AAAA-MM-DD.hh:mm:ss.
[edit security authentication] user@R1# set key-chain bfd-pim key 1 secret "$ABC123abc123" user@R1# set key-chain bfd-pim key 1 start-time "2012-01-01.09:46:02 -0700" user@R1# set key-chain bfd-pim key 2 secret "$ABC123abc123" user@R1# set key-chain bfd-pim key 2 start-time "2012-01-01.15:29:20 -0700"
Resultados
Confirme la configuración emitiendo los show interfacescomandos , show routing-instancesshow protocols, y show security . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.
user@R1# show interfaces
ge-0/1/5 {
unit 0 {
description toRouter2;
family inet6 {
address e80::21b:c0ff:fed5:e4dd {
}
}
}
}
user@R1# show protocols
pim {
interface ge-0/1/5.0 {
family inet6;
bfd-liveness-detection {
authentication {
algorithm keyed-sha-1;
key-chain bfd-pim;
}
}
}
}
user@R1# show routing-instances
instance1 {
protocols {
pim {
interface all {
family inet6 {
bfd-liveness-detection {
authentication {
algorithm keyed-sha-1;
key-chain bfd-pim;
}
}
}
}
}
}
}
user@R1# show security
authentication {
key-chain bfd-pim {
key 1 {
secret “$ABC123abc123”;
start-time “2012-01-01.09:46:02 -0700”;
}
key 2 {
secret “$ABC123abc123”;
start-time “2012-01-01.15:29:20 -0700”;
}
}
}
Verificación
Confirme que la configuración funciona correctamente.
Verificación de la sesión de BFD
Propósito
Compruebe que la detección de vida de BFD esté habilitada.
Acción
user@R1# run show pim neighbors detail
Instance: PIM.master
Interface: ge-0/1/5.0
Address: fe80::21b:c0ff:fed5:e4dd, IPv6, PIM v2, Mode: Sparse, sg Join Count: 0, tsg Join Count: 0
Hello Option Holdtime: 65535 seconds
Hello Option DR Priority: 1
Hello Option Generation ID: 1417610277
Hello Option LAN Prune Delay: delay 500 ms override 2000 ms
Join Suppression supported
Address: fe80::21b:c0ff:fedc:28dd, IPv6, PIM v2, sg Join Count: 0, tsg Join Count: 0
Secondary address: beef::2
BFD: Enabled, Operational state: Up
Hello Option Holdtime: 105 seconds 80 remaining
Hello Option DR Priority: 1
Hello Option Generation ID: 1648636754
Hello Option LAN Prune Delay: delay 500 ms override 2000 ms
Join Suppression supported
Significado
La pantalla del show pim neighbors detail comando muestra BFD: Habilitado, Estado operativo: Arriba, lo que indica que BFD está operando entre los dos vecinos PIM. Para obtener información adicional acerca de la sesión BFD (incluido el número de ID de sesión), utilice el show bfd session extensive comando.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.