BFD para RIP
Descripción de BFD para RIP
El protocolo de detección de reenvío bidireccional (BFD) es un mecanismo sencillo que detecta fallas en una red. Los paquetes de saludo se envían a un intervalo regular y especificado. Se detecta un error de vecino cuando el dispositivo de enrutamiento deja de recibir una respuesta después de un intervalo especificado. BFD funciona con una amplia variedad de entornos de red y topologías. Los tiempos de detección de fallas de BFD son más cortos que los tiempos de detección de RIP, lo que proporciona tiempos de reacción más rápidos ante varios tipos de fallas en la red. En lugar de esperar el tiempo de espera del tiempo de espera del vecino del protocolo de enrutamiento, BFD proporciona una detección rápida de fallas de vínculo. Los temporizadores BFD son adaptables y se pueden ajustar para que sean más o menos agresivos. Por ejemplo, un temporizador puede adaptarse a un valor más alto si la adyacencia falla, o un vecino puede negociar un valor más alto para un temporizador que el configurado. Tenga en cuenta que la funcionalidad de configurar BFD para RIP que se describe en este tema no se admite en Junos OS versiones 15.1X49, 15.1X49-D30 o 15.1X49-D40.
Los conmutadores EX4600 no admiten valores de intervalos mínimos de menos de 1 segundo.
El BFD permite la conmutación por error rápida entre una ruta enrutada principal y secundaria. El protocolo prueba el estado operativo de la interfaz varias veces por segundo. El BFD proporciona temporizadores de configuración y umbrales para la detección de fallas. Por ejemplo, si el intervalo mínimo se establece en 50 milisegundos y el umbral usa el valor predeterminado de tres mensajes perdidos, se detecta una falla en una interfaz dentro de los 200 milisegundos de la falla.
Los dispositivos intermedios (por ejemplo, un conmutador LAN Ethernet) ocultan las fallas de capa de vínculo de los pares de protocolo de enrutamiento, como cuando dos enrutadores están conectados mediante un conmutador LAN, donde el estado de la interfaz local permanece activo incluso cuando ocurre una falla física en el vínculo remoto. Los tiempos de detección de fallas en la capa de vínculo varían según el medio físico y la encapsulación de capa 2. BFD puede proporcionar tiempos de detección de fallas rápidos para todos los tipos de medios, encapsulaciones, topologías y protocolos de enrutamiento.
Para habilitar BFD para RIP, ambos lados de la conexión deben recibir un mensaje de actualización del par. De forma predeterminada, RIP no exporta ninguna ruta. Por lo tanto, debe habilitar los mensajes de actualización para que se envíen mediante la configuración de una política de exportación para rutas antes de que se active una sesión BFD.
Ejemplo: Configuración de BFD para RIP
En este ejemplo, se muestra cómo configurar la detección de reenvío bidireccional (BFD) para una red RIP.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Visión general
Para habilitar la detección de fallas, incluya la bfd-liveness-detection instrucción:
bfd-liveness-detection { detection-time { threshold milliseconds; } minimum-interval milliseconds; minimum-receive-interval milliseconds; multiplier number; no-adaptation; transmit-interval { threshold milliseconds; minimum-interval milliseconds; } version (1 | automatic); }
Opcionalmente, puede especificar el umbral para la adaptación del tiempo de detección incluyendo la threshold instrucción. Cuando el tiempo de detección de sesión BFD se adapta a un valor igual o superior al umbral, se envían una única captura y un mensaje de registro del sistema.
Para especificar el intervalo mínimo de transmisión y recepción para la detección de errores, incluya la minimum-interval instrucción. Este valor representa el intervalo mínimo en el que el dispositivo de enrutamiento local transmite paquetes de saludo, así como el intervalo mínimo en el que el dispositivo de enrutamiento espera recibir una respuesta de un vecino con el que ha establecido una sesión BFD. Puede configurar un valor en el intervalo de 1 a 255 000 milisegundos. En este ejemplo, se establece un intervalo mínimo de 600 milisegundos.
BFD es un protocolo intensivo que consume recursos del sistema. Especificar un intervalo mínimo para BFD de menos de 100 ms para sesiones basadas en motor de enrutamiento y de 10 ms para sesiones de BFD distribuidas puede causar una flaqueo de BFD no deseado.
Según el entorno de red, es posible que se apliquen estas recomendaciones adicionales:
Para implementaciones de red a gran escala con un gran número de sesiones de BFD, especifique un intervalo mínimo de 300 ms para sesiones basadas en motor de enrutamiento y 100 ms para sesiones BFD distribuidas.
Para implementaciones de red a gran escala con una gran cantidad de sesiones de BFD, póngase en contacto con el soporte al cliente de Juniper Networks para obtener más información.
Para que las sesiones de BFD permanezcan activas durante un evento de conmutación del motor de enrutamiento cuando se configura el enrutamiento activo sin interrupciones (NSR), especifique un intervalo mínimo de 2500 ms para sesiones basadas en motor de enrutamiento. Para sesiones de BFD distribuidas con enrutamiento activo y configurado sin interrupciones, las recomendaciones de intervalo mínimo no cambian y dependen solo de su implementación de red.
Opcionalmente, puede especificar los intervalos mínimos de transmisión y recepción por separado.
Para especificar solo el intervalo de recepción mínimo para la detección de errores, incluya la minimum-receive-interval instrucción. Este valor representa el intervalo mínimo en el que el dispositivo de enrutamiento local espera recibir una respuesta de un vecino con el que ha establecido una sesión BFD. Puede configurar un valor en el intervalo de 1 a 255 00 milisegundos.
Para especificar solo el intervalo de transmisión mínimo para la detección de fallas, incluya la transmit-interval minimum-interval instrucción. Este valor representa el intervalo mínimo en el que el dispositivo de enrutamiento local transmite paquetes de saludo al vecino con el que ha establecido una sesión BFD. Puede configurar un valor en el intervalo de 1 a 255 000 milisegundos.
Para especificar el número de paquetes de saludo que no recibe un vecino que hace que la interfaz de origen se declare no, incluya la multiplier instrucción. El valor predeterminado es 3 y puede configurar un valor en el intervalo del 1 al 255.
Para especificar el umbral para detectar la adaptación del intervalo de transmisión, incluya la transmit-interval threshold instrucción. El valor de umbral debe ser mayor que el intervalo de transmisión.
Para especificar la versión BFD utilizada para la detección, incluya la version instrucción. El valor predeterminado es que la versión se detecte automáticamente.
Puede rastrear operaciones de BFD incluyendo la traceoptions instrucción en el [edit protocols bfd] nivel de jerarquía.
En la versión 9.0 y posteriores de Junos OS, puede configurar sesiones de BFD para no adaptarse a las condiciones cambiantes de la red. Para deshabilitar la adaptación de BFD, incluya la no-adaptation instrucción. Recomendamos que no desactive la adaptación de BFD a menos que sea preferible no tener habilitada la adaptación de BFD en su red.
La figura 1 muestra la topología utilizada en este ejemplo.
de red RIP BFD
La configuración rápida de CLI muestra la configuración de todos los dispositivos en la Figura 1. La sección Procedimiento paso a paso describe los pasos en el dispositivo R1.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía.
Dispositivo R1
set interfaces fe-1/2/0 unit 1 family inet address 10.0.0.1/30 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.1 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Dispositivo R2
set interfaces fe-1/2/0 unit 2 family inet address 10.0.0.2/30 set interfaces fe-1/2/1 unit 5 family inet address 10.0.0.5/30 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.2 set protocols rip group rip-group neighbor fe-1/2/1.5 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Dispositivo R3
set interfaces fe-1/2/0 unit 6 family inet address 10.0.0.6/30 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.6 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI.
Para configurar un BFD para una red RIP:
-
Configure las interfaces de red.
[edit interfaces] user@R1# set fe-1/2/0 unit 1 family inet address 10.0.0.1/30
-
Cree el grupo RIP y agregue la interfaz.
Para configurar RIP en Junos OS, debe configurar un grupo que contenga las interfaces en las que rip está habilitado. No es necesario habilitar RIP en la interfaz de circuito cerrado.
[edit protocols rip group rip-group] user@R1# set neighbor fe-1/2/0.1
-
Cree la política de enrutamiento para anunciar rutas directas y aprendidas por RIP.
[edit policy-options policy-statement advertise-routes-through-rip term 1] user@R1# set from protocol direct user@R1# set from protocol rip user@R1# set then accept
-
Aplique la política de enrutamiento.
En Junos OS, solo puede aplicar políticas de exportación RIP a nivel de grupo.
[edit protocols rip group rip-group] user@R1# set export advertise-routes-through-rip
-
Habilite BFD.
[edit protocols rip group rip-group] user@R1# set bfd-liveness-detection minimum-interval 600
-
Configure las operaciones de seguimiento para rastrear mensajes BFD.
[edit protocols bfd traceoptions] user@R1# set file bfd-trace user@R1# set flag all
Resultados
Desde el modo de configuración, ingrese los comandos , show protocolsy show policy-options para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@R1# show interfaces
fe-1/2/0 {
unit 1 {
family inet {
address 10.0.0.1/30;
}
}
}
user@R1# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
rip {
group rip-group {
export advertise-routes-through-rip;
bfd-liveness-detection {
minimum-interval 600;
}
neighbor fe-1/2/0.1;
}
}
user@R1# show policy-options
policy-statement advertise-routes-through-rip {
term 1 {
from protocol [ direct rip ];
then accept;
}
}
Si ha terminado de configurar el dispositivo , ingrese confirmación desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
Verificar que las sesiones de BFD estén activas
Propósito
Asegúrese de que las sesiones de BFD estén funcionando.
Acción
Desde el modo operativo, ingrese el show bfd session comando.
user@R1> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
10.0.0.2 Up fe-1/2/0.1 1.800 0.600 3
1 sessions, 1 clients
Cumulative transmit rate 1.7 pps, cumulative receive rate 1.7 pps
Significado
El resultado muestra que no hay errores de autenticación.
Comprobar el archivo de seguimiento BFD
Propósito
Utilice operaciones de rastreo para comprobar que se intercambian paquetes BFD.
Acción
Desde el modo operativo, ingrese el show log comando.
user@R1> show log bfd-trace Feb 16 10:26:32 PPM Trace: BFD periodic xmit to 10.0.0.2 (IFL 124, rtbl 53, single-hop port) Feb 16 10:26:32 Received Downstream TraceMsg (24) len 86: Feb 16 10:26:32 IfIndex (3) len 4: 0 Feb 16 10:26:32 Protocol (1) len 1: BFD Feb 16 10:26:32 Data (9) len 61: (hex) 42 46 44 20 70 61 63 6b 65 74 20 66 72 6f 6d 20 31 30 2e Feb 16 10:26:32 PPM Trace: BFD packet from 10.0.0.1 (IFL 73, rtbl 56, ttl 255) absorbed Feb 16 10:26:32 Received Downstream TraceMsg (24) len 60: Feb 16 10:26:32 IfIndex (3) len 4: 0 Feb 16 10:26:32 Protocol (1) len 1: BFD Feb 16 10:26:32 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 6f ...
Significado
El resultado muestra el funcionamiento normal de BFD.
Descripción de la autenticación BFD para RIP
El BFD permite la detección rápida de fallas de comunicación entre sistemas adyacentes. De forma predeterminada, la autenticación para sesiones BFD está deshabilitada. Sin embargo, cuando se ejecuta BFD sobre protocolos de capa de red, el riesgo de ataques de servicio puede ser significativo. Recomendamos encarecidamente usar la autenticación si está ejecutando BFD en varios saltos o mediante túneles inseguros. A partir de Junos OS versión 9.6, Junos OS admite la autenticación para sesiones BFD que se ejecutan sobre RIP. La autenticación BFD solo se admite en la imagen doméstica y no está disponible en la imagen de exportación.
Puede autenticar sesiones de BFD especificando un algoritmo de autenticación y un llavero, y, luego, asociando esa información de configuración con un llavero de autenticación de seguridad mediante el nombre del llavero.
En las siguientes secciones se describen los algoritmos de autenticación compatibles, los llaveros de seguridad y el nivel de autenticación que se puede configurar:
- Algoritmos de autenticación BFD
- Llaveros de autenticación de seguridad
- Autenticación estricta frente a la flexible
Algoritmos de autenticación BFD
Junos OS admite los siguientes algoritmos para la autenticación BFD:
contraseña simple: contraseña de texto sin formato. Se utilizan de uno a 16 bytes de texto sin formato para autenticar la sesión BFD. Se pueden configurar una o más contraseñas. Este método es el menos seguro y solo debe usarse cuando las sesiones BFD no están sujetas a intercepción de paquetes.
keyed-md5: algoritmo hash de síntesis de mensaje con clave 5 para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión BFD, el MD5 con clave usa una o más claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. Con este método, se aceptan paquetes al final de la sesión si una de las claves coincide y el número de secuencia es mayor o igual que el último número de secuencia recibido. Aunque es más seguro que una simple contraseña, este método es vulnerable a los ataques de repetición. Aumentar la velocidad a la que se actualiza el número de secuencia puede reducir este riesgo.
meticuloso-keyed-md5— Meticuloso resumen de mensajes con clave 5 algoritmo hash. Este método funciona de la misma manera que MD5 con clave, pero el número de secuencia se actualiza con cada paquete. Aunque es más seguro que las contraseñas simples y MD5 con clave, este método puede tardar más tiempo en autenticar la sesión.
keyed-sha-1— Algoritmo hash seguro con clave I para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión BFD, sha con clave usa una o más claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. La clave no se lleva dentro de los paquetes. Con este método, se aceptan paquetes al final de la sesión si una de las claves coincide y el número de secuencia es mayor que el último número de secuencia recibido.
meticuloso-sha-sha-1: algoritmo de hash seguro con clave meticulosa I. Este método funciona de la misma manera que SHA clave, pero el número de secuencia se actualiza con cada paquete. Aunque es más seguro que sha con claves y contraseñas simples, este método puede tardar más tiempo en autenticar la sesión.
No se admite el enrutamiento activo sin interrupciones con algoritmos de autenticación meticuloso-keyed-md5 y meticuloso-clave-sha-1. Las sesiones de BFD que utilizan estos algoritmos pueden caer después de un cambio.
Los conmutadores serie QFX5000 y EX4600 no admiten valores de intervalos mínimos de menos de 1 segundo.
Llaveros de autenticación de seguridad
El llavero de autenticación de seguridad define los atributos de autenticación utilizados para las actualizaciones de claves de autenticación. Cuando el llavero de autenticación de seguridad está configurado y asociado con un protocolo a través del nombre del llavero, pueden producirse actualizaciones de claves de autenticación sin interrumpir los protocolos de enrutamiento y señalización.
El llavero de autenticación contiene uno o varios llaveros. Cada llavero contiene una o más claves. Cada clave contiene los datos secretos y el tiempo en el que la clave se vuelve válida. El algoritmo y el llavero se deben configurar en ambos extremos de la sesión BFD y deben coincidir. Cualquier discordancia en la configuración impide que se cree la sesión BFD.
BFD permite varios clientes por sesión, y cada cliente puede tener su propio llavero y algoritmo definido. Para evitar confusiones, recomendamos especificar solo un llavero de autenticación de seguridad.
Autenticación estricta frente a la flexible
De forma predeterminada, la autenticación estricta está habilitada y la autenticación se comprueba en ambos extremos de cada sesión BFD. Opcionalmente, para facilitar la migración de sesiones no autenticadas a sesiones autenticadas, puede configurar la comprobación libre. Cuando se configura la comprobación libre, se aceptan paquetes sin autenticación en cada extremo de la sesión. Esta función está pensada únicamente para períodos transitorios.
Ver también
Ejemplo: Configuración de la autenticación BFD para RIP
En este ejemplo, se muestra cómo configurar la autenticación de detección de reenvío bidireccional (BFD) para una red RIP.
Requisitos
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.
Los dispositivos deben ejecutar la versión 9.6 o posterior de Junos OS.
Visión general
Solo se necesitan tres pasos para configurar la autenticación en una sesión BFD:
Especifique el algoritmo de autenticación BFD para el protocolo RIP.
Asocie el llavero de autenticación con el protocolo RIP.
Configure el llavero de autenticación de seguridad relacionado.
La figura 2 muestra la topología utilizada en este ejemplo.
La configuración rápida de CLI muestra la configuración de todos los dispositivos en la Figura 2. La sección #d18e66__d18e234 describe los pasos del dispositivo R1.
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, luego, ingrese commit desde el [edit] modo de configuración.
Dispositivo R1
set interfaces fe-1/2/0 unit 1 family inet address 10.0.0.1/30 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.1 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set protocols rip group rip-group bfd-liveness-detection authentication key-chain bfd-rip set protocols rip group rip-group bfd-liveness-detection authentication algorithm keyed-md5 set protocols rip group rip-group bfd-liveness-detection authentication loose-check set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept set security authentication-key-chains key-chain bfd-rip key 53 secret $ABC123$ABC123 set security authentication-key-chains key-chain bfd-rip key 53 start-time "2012-2-16.12:00:00 -0800"
Dispositivo R2
set interfaces fe-1/2/0 unit 2 family inet address 10.0.0.2/30 set interfaces fe-1/2/1 unit 5 family inet address 10.0.0.5/30 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.2 set protocols rip group rip-group neighbor fe-1/2/1.5 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set protocols rip group rip-group bfd-liveness-detection authentication key-chain bfd-rip set protocols rip group rip-group bfd-liveness-detection authentication algorithm keyed-md5 set protocols rip group rip-group bfd-liveness-detection authentication loose-check set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept set security authentication-key-chains key-chain bfd-rip key 53 secret $ABC123$ABC123 set security authentication-key-chains key-chain bfd-rip key 53 start-time "2012-2-16.12:00:00 -0800"
Dispositivo R3
set interfaces fe-1/2/0 unit 6 family inet address 10.0.0.6/30 set protocols rip group rip-group export advertise-routes-through-rip set protocols rip group rip-group neighbor fe-1/2/0.6 set protocols rip group rip-group bfd-liveness-detection minimum-interval 600 set protocols rip group rip-group bfd-liveness-detection authentication key-chain bfd-rip set protocols rip group rip-group bfd-liveness-detection authentication algorithm keyed-md5 set protocols rip group rip-group bfd-liveness-detection authentication loose-check set policy-options policy-statement advertise-routes-through-rip term 1 from protocol direct set policy-options policy-statement advertise-routes-through-rip term 1 from protocol rip set policy-options policy-statement advertise-routes-through-rip term 1 then accept set security authentication-key-chains key-chain bfd-rip key 53 secret $ABC123$ABC123 set security authentication-key-chains key-chain bfd-rip key 53 start-time "2012-2-16.12:00:00 -0800"
Procedimiento paso a paso
El siguiente ejemplo requiere que navegue por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración en la Guía del usuario de CLI.
Para configurar una autenticación BFD:
Configure las interfaces de red.
[edit interfaces] user@R1# set fe-1/2/0 unit 1 family inet address 10.0.0.1/30
Cree el grupo RIP y agregue la interfaz.
Para configurar RIP en Junos OS, debe configurar un grupo que contenga las interfaces en las que rip está habilitado. No es necesario habilitar RIP en la interfaz de circuito cerrado.
[edit protocols rip group rip-group] user@R1# set neighbor fe-1/2/0.1
Cree la política de enrutamiento para anunciar rutas directas y aprendidas por RIP.
[edit policy-options policy-statement advertise-routes-through-rip term 1] user@R1# set from protocol direct user@R1# set from protocol rip user@R1# set then accept
Aplique la política de enrutamiento.
En Junos OS, solo puede aplicar políticas de exportación RIP a nivel de grupo.
[edit protocols rip group rip-group] user@R1# set export advertise-routes-through-rip
Habilite BFD.
[edit protocols rip group rip-group] user@R1# set bfd-liveness-detection minimum-interval 600
Especifique el algoritmo (keyed-md5, keyed-sha-1, meticuloso-keyed-md5, meticuloso-keyed-sha-1 o contraseña simple) que se utilizará.
Nota:No se admite el enrutamiento activo sin interrupciones con algoritmos de autenticación meticuloso-keyed-md5 y meticuloso-clave-sha-1. Las sesiones de BFD que utilizan estos algoritmos pueden caer después de un cambio.
[edit protocols rip group rip-group] user@R1# set bfd-liveness-detection authentication algorithm keyed-md5
Especifique el llavero que se utilizará para asociar sesiones de BFD en RIP con los atributos únicos del llavero de autenticación de seguridad.
El llavero que especifique debe coincidir con un nombre de llavero configurado en el
[edit security authentication key-chains]nivel jerárquico.El algoritmo y el llavero se deben configurar en ambos extremos de la sesión BFD y deben coincidir. Cualquier discordancia en la configuración impide que se cree la sesión BFD.
[edit protocols rip group rip-group] user@R1# set bfd-liveness-detection authentication key-chain bfd-rip
(Opcional) Especifique la comprobación de autenticación libre si está pasando de sesiones no autenticadas a sesiones autenticadas.
[edit protocols rip group rip-group] user@R1# set bfd-liveness-detection authentication loose-check
Especifique la información única de autenticación de seguridad para las sesiones de BFD:
El nombre del llavero coincidente como se especifica en el paso 7.
Al menos una clave, un entero único entre 0 y 63. La creación de varias claves permite que varios clientes usen la sesión BFD.
Los datos secretos utilizados para permitir el acceso a la sesión.
El momento en el que la clave de autenticación se activa, en el formato yyyy-mm-dd.hh:mm:ss.
[edit security authentication-key-chains key-chain bfd-rip] user@R1# set key 53 secret $ABC123$ABC123 user@R1# set key 53 start-time "2012-2-16.12:00:00 -0800"
Configure las operaciones de rastreo para rastrear la autenticación BFD.
[edit protocols bfd traceoptions] user@R1# set file bfd-trace user@R1# set flag all
Resultados
Desde el modo de configuración, ingrese los comandos , show protocols, show policy-optionsy show security para confirmar la show interfacesconfiguración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
user@R1# show interfaces
fe-1/2/0 {
unit 1 {
family inet {
address 10.0.0.1/30;
}
}
}
user@R1# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
rip {
group rip-group {
export advertise-routes-through-rip;
bfd-liveness-detection {
minimum-interval 600;
}
neighbor fe-1/2/0.1;
}
}
user@R1# show policy-options
policy-statement advertise-routes-through-rip {
term 1 {
from protocol [ direct rip ];
then accept;
}
}
user@R1# show security
authentication-key-chains {
key-chain bfd-rip {
key 53 {
secret $ABC123$ABC123
start-time "2012-2-16.12:00:00 -0800";
}
}
}
Si ha terminado de configurar el dispositivo , ingrese confirmación desde el modo de configuración.
Verificación
Confirme que la configuración funciona correctamente.
- Verificar que las sesiones de BFD estén autenticadas
- Visualización de información extensa sobre la autenticación BFD
- Comprobar el archivo de seguimiento BFD
Verificar que las sesiones de BFD estén autenticadas
Propósito
Asegúrese de que las sesiones BFD están autenticadas.
Acción
Desde el modo operativo, ingrese el show bfd session detail comando.
user@R1> show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
10.0.0.2 Up fe-1/2/0.1 1.800 0.600 3
Client RIP, TX interval 0.600, RX interval 0.600, Authenticate
Session up time 01:39:34
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Logical system 6, routing table index 53
1 sessions, 1 clients
Cumulative transmit rate 1.7 pps, cumulative receive rate 1.7 pps
Significado
Autenticar se muestra para indicar que la autenticación BFD está configurada.
Visualización de información extensa sobre la autenticación BFD
Propósito
Vea el nombre del llavero, el algoritmo y el modo de autenticación de cada cliente de la sesión, y el estado de configuración de la autenticación BFD.
Acción
Desde el modo operativo, ingrese el show bfd session extensive comando.
user@R1> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
10.0.0.2 Up fe-1/2/0.1 1.800 0.600 3
Client RIP, TX interval 0.600, RX interval 0.600, Authenticate
keychain bfd-rip, algo keyed-md5, mode loose
Session up time 01:46:29
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Logical system 6, routing table index 53
Min async interval 0.600, min slow interval 1.000
Adaptive async TX interval 0.600, RX interval 0.600
Local min TX interval 0.600, minimum RX interval 0.600, multiplier 3
Remote min TX interval 0.600, min RX interval 0.600, multiplier 3
Local discriminator 225, remote discriminator 226
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-rip, algo keyed-md5, mode loose
Session ID: 0x300501
1 sessions, 1 clients
Cumulative transmit rate 1.7 pps, cumulative receive rate 1.7 pps
Significado
El resultado muestra el nombre del llavero, el algoritmo de autenticación y el modo para el cliente en la sesión, y el estado de configuración de la autenticación BFD.
Comprobar el archivo de seguimiento BFD
Propósito
Utilice operaciones de rastreo para comprobar que se intercambian paquetes BFD.
Acción
Desde el modo operativo, ingrese el show log comando.
user@R1> show log bfd-trace Feb 16 10:26:32 PPM Trace: BFD periodic xmit to 10.0.0.2 (IFL 124, rtbl 53, single-hop port) Feb 16 10:26:32 Received Downstream TraceMsg (24) len 86: Feb 16 10:26:32 IfIndex (3) len 4: 0 Feb 16 10:26:32 Protocol (1) len 1: BFD Feb 16 10:26:32 Data (9) len 61: (hex) 42 46 44 20 70 61 63 6b 65 74 20 66 72 6f 6d 20 31 30 2e Feb 16 10:26:32 PPM Trace: BFD packet from 10.0.0.1 (IFL 73, rtbl 56, ttl 255) absorbed Feb 16 10:26:32 Received Downstream TraceMsg (24) len 60: Feb 16 10:26:32 IfIndex (3) len 4: 0 Feb 16 10:26:32 Protocol (1) len 1: BFD Feb 16 10:26:32 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 6f ...
Significado
El resultado muestra el funcionamiento normal de BFD.