EN ESTA PÁGINA
Descripción de BFD para rutas estáticas para una detección de fallas de red más rápida
Ejemplo: Configuración de BFD para rutas estáticas para una detección de fallas de red más rápida
Descripción de la autenticación BFD para la seguridad de ruta estática
Ejemplo: Configuración de la autenticación BFD para proteger rutas estáticas
Detección de reenvío bidireccional para rutas estáticas
Descripción de BFD para rutas estáticas para una detección de fallas de red más rápida
El protocolo de detección de reenvío bidireccional (BFD) es un mecanismo de saludo sencillo que detecta errores en una red. BFD funciona con una amplia variedad de entornos y topologías de red. Un par de dispositivos de enrutamiento intercambian paquetes BFD. Los paquetes de saludo se envían a un intervalo regular especificado. Se detecta un error de vecino cuando el dispositivo enrutador deja de recibir una respuesta después de un intervalo especificado. Los temporizadores de detección de fallas de BFD tienen límites de tiempo más cortos que los mecanismos de detección de fallas de rutas estáticas, por lo que proporcionan una detección más rápida.
Los temporizadores de detección de fallas BFD se pueden ajustar para que sean más rápidos o más lentos. Cuanto menor sea el valor del temporizador de detección de fallas de BFD, más rápida será la detección de fallas y viceversa. Por ejemplo, los temporizadores pueden adaptarse a un valor más alto si se produce un error en la adyacencia (es decir, el temporizador detecta los errores más lentamente). O bien, un vecino puede negociar un valor mayor para un temporizador que el valor configurado. Los temporizadores se adaptan a un valor más alto cuando se produce una oscilación de sesión de BFD más de tres veces en un lapso de 15 segundos. Un algoritmo de interrupción aumenta el intervalo de recepción (Rx) en dos si la instancia de BFD local es el motivo de la oscilación de sesión. El intervalo de transmisión (Tx) se incrementa en dos si la instancia de BFD remota es el motivo de la oscilación de sesión. Puede utilizar el comando para devolver los clear bfd adaptation temporizadores de intervalo BFD a sus valores configurados. El clear bfd adaptation comando no tiene problemas, lo que significa que no afecta al flujo de tráfico en el dispositivo enrutador.
De forma predeterminada, BFD se admite en rutas estáticas de un solo salto.
En dispositivos de la serie MX, no se admite BFD de varios saltos en una ruta estática si la ruta estática está configurada con más de un salto siguiente. Se recomienda evitar el uso de varios saltos siguientes cuando se requiera un BFD de varios saltos para una ruta estática.
Para habilitar la detección de errores, incluya la bfd-liveness-detection instrucción en la configuración de ruta estática.
El bfd-liveness-detection comando incluye el campo de descripción. En los dispositivos compatibles con esta función, la descripción es un atributo debajo del bfd-liveness-detection objeto. Este campo solo se aplica a las rutas estáticas.
El protocolo BFD se admite para rutas estáticas IPv6. Se admiten direcciones IPv6 globales de unidifusión y locales de vínculo para rutas estáticas. El protocolo BFD no se admite en direcciones IPv6 de multidifusión ni de cualquier difusión. Para IPv6, el protocolo BFD solo admite rutas estáticas. IPv6 para BFD también es compatible con el protocolo eBGP.
Para configurar el protocolo BFD para rutas estáticas IPv6, incluya la bfd-liveness-detection instrucción en el nivel de [edit routing-options rib inet6.0 static route destination-prefix] jerarquía.
Puede configurar un intervalo de espera para especificar cuánto tiempo debe permanecer activa la sesión de BFD antes de que se envíe una notificación de cambio de estado.
Para especificar el intervalo de retención, incluya la holddown-interval instrucción en la configuración de BFD. Puede configurar un número en el intervalo de 0 a 255.000 milisegundos. El valor predeterminado es 0. Si la sesión BFD se apaga y vuelve a subir durante el intervalo de retención, el temporizador se reinicia.
Si una sola sesión de BFD incluye varias rutas estáticas, se utiliza el intervalo de espera con el valor más alto.
Para especificar los intervalos mínimos de transmisión y recepción para la detección de fallos, incluya la minimum-interval instrucción en la configuración del BFD.
Este valor representa tanto el intervalo mínimo después del cual el dispositivo enrutador local transmite paquetes de saludo como el intervalo mínimo después del cual el dispositivo enrutador espera recibir una respuesta del vecino con el que ha establecido una sesión BFD. Puede configurar un número en el intervalo de 1 a 255.000 milisegundos. Opcionalmente, en lugar de utilizar esta instrucción, puede configurar los intervalos mínimos de transmisión y recepción por separado mediante las instrucciones transmit-interval, minimum-interval y minimum-receive-interval .
Dependiendo de su entorno de red, estas recomendaciones adicionales pueden aplicarse:
-
El intervalo mínimo recomendado para BFD centralizado es de 300 ms con un
multiplierde 3, y el intervalo mínimo recomendado para BFD distribuido es de 100 ms con unmultiplierde 3. -
Para despliegues de red a gran escala con una gran cantidad de sesiones de BFD, comuníquese con el servicio de soporte al cliente de Juniper Networks para obtener más información.
-
Para que las sesiones BFD permanezcan activas durante un evento de conmutación del motor de enrutamiento cuando se configura el enrutamiento activo sin detención (NSR), especifique un intervalo mínimo de 2500 ms para las sesiones basadas en el motor de enrutamiento. Para las sesiones de BFD distribuidas con NSR configurado, las recomendaciones de intervalo mínimo no cambian y dependen únicamente de su implementación de red.
Para especificar el intervalo de recepción mínimo para la detección de errores, incluya la minimum-receive-interval instrucción en la configuración del BFD. Este valor representa el intervalo mínimo después del cual el dispositivo enrutador espera recibir una respuesta de un vecino con el que ha establecido una sesión BFD. Puede configurar un número en el intervalo de 1 a 255.000 milisegundos. Opcionalmente, en lugar de utilizar esta instrucción, puede configurar el intervalo de recepción mínimo utilizando la minimum-interval instrucción en el [edit routing-options static route destination-prefix bfd-liveness-detection] nivel de jerarquía.
Para especificar el número de paquetes de saludo no recibidos por el vecino que causa que la interfaz de origen se declare inactiva, incluya la multiplier instrucción en la configuración de BFD. El valor predeterminado es 3. Puede configurar un número en el intervalo del 1 al 255.
Para especificar un umbral para detectar la adaptación del tiempo de detección, incluya la threshold instrucción en la configuración de BFD.
Cuando el tiempo de detección de la sesión BFD se adapta a un valor igual o superior al umbral, se envía una única captura y un mensaje de registro del sistema. El tiempo de detección se basa en el multiplicador del valor minimum-interval o minimum-receive-interval. El umbral debe ser un valor mayor que el multiplicador para cualquiera de estos valores configurados. Por ejemplo, si el intervalo de recepción mínimo es de 300 ms y el multiplicador es 3, el tiempo total de detección es de 900 ms. Por lo tanto, el umbral de tiempo de detección debe tener un valor superior a 900.
Para especificar el intervalo de transmisión mínimo para la detección de fallos, incluya la transmit-interval minimum-interval instrucción en la configuración del BFD.
Este valor representa el intervalo mínimo después del cual el dispositivo de enrutamiento local transmite paquetes de saludo al vecino con el que ha establecido una sesión BFD. Puede configurar un valor en el intervalo de 1 a 255.000 milisegundos. Opcionalmente, en lugar de utilizar esta instrucción, puede configurar el intervalo de transmisión mínimo utilizando la minimum-interval instrucción en el [edit routing-options static route destination-prefix bfd-liveness-detection] nivel de jerarquía.
Para especificar el umbral para la adaptación del intervalo de transmisión, incluya la transmit-interval threshold instrucción en la configuración de BFD.
El valor del umbral debe ser mayor que el intervalo de transmisión. Cuando el tiempo de transmisión de la sesión BFD se adapta a un valor mayor que el umbral, se envía una única captura y un mensaje de registro del sistema. El tiempo de detección se basa en el multiplicador del valor del intervalo mínimo o la minimum-receive-interval instrucción en el nivel jerárquico [edit routing-options static route destination-prefix bfd-liveness-detection] . El umbral debe ser un valor mayor que el multiplicador para cualquiera de estos valores configurados.
Para especificar la versión de BFD, incluya la version instrucción en la configuración de BFD. El valor predeterminado es que la versión se detecte automáticamente.
Para incluir una dirección IP para el siguiente salto de la sesión de BFD, incluya la neighbor instrucción en la configuración de BFD.
Debe configurar la neighbor instrucción si el siguiente salto especificado es un nombre de interfaz. Si especifica una dirección IP como el siguiente salto, esa dirección se utilizará como dirección de vecino para la sesión BFD.
Puede configurar sesiones de BFD para que no se adapten a las condiciones cambiantes de la red. Para deshabilitar la adaptación de BFD, incluya la no-adaptation instrucción en la configuración de BFD.
Le recomendamos que no desactive la adaptación de BFD a menos que sea preferible no tener la adaptación de BFD en su red.
Si BFD está configurado solo en un extremo de una ruta estática, la ruta se elimina de la tabla de enrutamiento. BFD establece una sesión cuando BFD está configurado en ambos extremos de la ruta estática.
BFD no se admite en familias de direcciones ISO en rutas estáticas. BFD sí admite SI-SI.
Si configura el cambio normal del motor de enrutamiento (GRES) al mismo tiempo que BFD, GRES no conserva la información de estado de BFD durante una conmutación por tolerancia a fallos.
Ejemplo: Configuración de BFD para rutas estáticas para una detección de fallas de red más rápida
En este ejemplo, se muestra cómo configurar la detección de reenvío bidireccional (BFD) para rutas estáticas.
Requisitos
En este ejemplo, no se requiere ninguna configuración especial más allá de la inicialización del dispositivo.
Descripción general
Hay muchas aplicaciones prácticas para rutas estáticas. El enrutamiento estático se suele utilizar en el borde de la red para admitir la conexión a redes auxiliares que, dado su único punto de entrada y salida, se adaptan bien a la simplicidad de una ruta estática. En Junos OS, las rutas estáticas tienen una preferencia global de 5. Las rutas estáticas se activan si se puede alcanzar el siguiente salto especificado.
En este ejemplo, configure la ruta estática 192.168.47.0/24 desde la red del proveedor a la red del cliente con la dirección de salto siguiente de 172.16.1.2. También puede configurar una ruta estática predeterminada de 0.0.0.0/0 desde la red del cliente a la red del proveedor con una dirección de salto siguiente de 172.16.1.1.
Para fines de demostración, algunas interfaces de circuito cerrado están configuradas en los dispositivos B y D. Estas interfaces de circuito cerrado proporcionan direcciones para hacer ping y, por lo tanto, verificar que las rutas estáticas funcionan.
La Figura 1 muestra la red de ejemplo.
Topología
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel jerárquico [edit] .
Dispositivo B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
Dispositivo D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set protocols bfd traceoptions file bfd-trace set protocols bfd traceoptions flag all
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar BFD para rutas estáticas:
En el dispositivo B, configure las interfaces.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
En el dispositivo B, cree una ruta estática y establezca la dirección de salto siguiente.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
En el dispositivo B, configure BFD para la ruta estática.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
En el dispositivo B, configure las operaciones de seguimiento para BFD.
[edit protocols] user@B# set bfd traceoptions file bfd-trace user@B# set bfd traceoptions flag all
Cuando termine de configurar el dispositivo B, confirme la configuración.
[edit] user@B# commit
En el dispositivo D, configure las interfaces.
[edit interfaces] user@D# set ge-1/2/0 unit 1 description D->B user@D# set ge-1/2/0 unit 1 family inet address 172.16.1.2/24 user@D# set lo0 unit 2 family inet address 192.168.47.5/32 user@D# set lo0 unit 2 family inet address 192.168.47.6/32
En el dispositivo D, cree una ruta estática y establezca la dirección de salto siguiente.
[edit routing-options] user@D# set static route 0.0.0.0/0 next-hop 172.16.1.1
En el dispositivo D, configure BFD para la ruta estática.
[edit routing-options] user@D# set static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000
En el dispositivo D, configure las operaciones de seguimiento para BFD.
[edit protocols] user@D# set bfd traceoptions file bfd-trace user@D# set bfd traceoptions flag all
Cuando termine de configurar el dispositivo D, confirme la configuración.
[edit] user@D# commit
Resultados
Confirme la configuración emitiendo los show interfacescomandos , show protocolsy show routing-options . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.
Dispositivo B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@D# show protocols
bfd {
traceoptions {
file bfd-trace;
flag all;
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
}
}
}
Dispositivo D
user@D# show interfaces
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
lo0 {
unit 2 {
family inet {
address 192.168.47.5/32;
address 192.168.47.6/32;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
next-hop 172.16.1.1;
bfd-liveness-detection {
description Site - xxx;
minimum-interval 1000;
}
}
}
Verificación
Confirme que la configuración funcione correctamente.
Verificar que las sesiones de BFD estén activas
Propósito
Compruebe que las sesiones de BFD estén activas y vea detalles sobre las sesiones de BFD.
Acción
Desde el modo operativo, introduzca el show bfd session extensive comando.
user@B> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up lt-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000
Session up time 00:14:30
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 172
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 2, remote discriminator 1
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Solo description Site- <xxx> se admite en los firewalls de la serie SRX.
Si cada cliente tiene más de un campo de descripción, mostrará "y más" junto con el primer campo de descripción.
user@D> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.1 Up lt-1/2/0.1 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000
Session up time 00:14:35
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated, routing table index 170
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 1, remote discriminator 2
Echo mode disabled/inactive
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Significado
El TX interval 1.000, RX interval 1.000 resultado representa la configuración configurada con la minimum-interval instrucción. Todos los demás resultados representan la configuración predeterminada de BFD. Para modificar la configuración predeterminada, incluya las instrucciones opcionales debajo de la bfd-liveness-detection instrucción.
Visualización detallada de eventos de BFD
Propósito
Vea el contenido del archivo de seguimiento BFD para ayudar en la solución de problemas, si es necesario.
Acción
Desde el modo operativo, introduzca el file show /var/log/bfd-trace comando.
user@B> file show /var/log/bfd-trace Nov 23 14:26:55 Data (9) len 35: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 72 Nov 23 14:26:55 PPM Trace: BFD periodic xmit rt tbl index 172 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 108: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 83: (hex) 70 70 6d 64 5f 62 66 64 5f 73 65 6e 64 6d 73 67 20 3a 20 Nov 23 14:26:55 PPM Trace: ppmd_bfd_sendmsg : socket 12 len 24, ifl 78 src 172.16.1.1 dst 172.16.1.2 errno 65 Nov 23 14:26:55 Received Downstream TraceMsg (22) len 93: Nov 23 14:26:55 IfIndex (3) len 4: 0 Nov 23 14:26:55 Protocol (1) len 1: BFD Nov 23 14:26:55 Data (9) len 68: (hex) 42 46 44 20 70 65 72 69 6f 64 69 63 20 78 6d 69 74 20 74
Significado
Los mensajes BFD se escriben en el archivo de rastreo.
Descripción de la autenticación BFD para la seguridad de ruta estática
La detección de reenvío bidireccional (BFD) permite la detección rápida de fallas de comunicación entre sistemas adyacentes. De forma predeterminada, la autenticación para sesiones BFD está deshabilitada. Sin embargo, cuando ejecuta BFD sobre protocolos de capa de red, el riesgo de ataques de servicio puede ser significativo.
Recomendamos encarecidamente el uso de la autenticación si ejecuta BFD en varios saltos o a través de túneles inseguros.
A partir de Junos OS versión 9.6, Junos OS admite la autenticación para sesiones BFD que se ejecutan en rutas estáticas IPv4 e IPv6. La autenticación BFD no se admite en sesiones OAM de MPLS. La autenticación BFD solo se admite en las versiones de Canadá y Estados Unidos de la imagen de Junos OS y no está disponible en la versión de exportación.
EX3300 solo admite BFD en rutas estáticas.
Para autenticar las sesiones de BFD, especifique un algoritmo de autenticación y un llavero y, a continuación, asocie esa información de configuración con un llavero de autenticación de seguridad mediante el nombre del llavero.
En las siguientes secciones se describen los algoritmos de autenticación compatibles, los llaveros de seguridad y el nivel de autenticación que se pueden configurar:
- Algoritmos de autenticación BFD
- Llaveros de autenticación de seguridad
- Autenticación estricta versus autenticación flexible
Algoritmos de autenticación BFD
Junos OS admite los siguientes algoritmos para la autenticación BFD:
simple-password: contraseña de texto sin formato. Se utilizan de uno a 16 bytes de texto sin formato para autenticar la sesión BFD. Se pueden configurar una o varias contraseñas. Este método es el menos seguro y debe usarse solo cuando las sesiones BFD no están sujetas a la interceptación de paquetes.
keyed-md5: algoritmo hash de síntesis de mensaje con clave 5 para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión de BFD, el MD5 con claves utiliza una o varias claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. Con este método, los paquetes se aceptan en el extremo receptor de la sesión si una de las claves coincide y el número de secuencia es mayor o igual que el último número de secuencia recibido. Aunque es más seguro que una simple contraseña, este método es vulnerable a los ataques de reproducción. Aumentar la velocidad a la que se actualiza el número de secuencia puede reducir este riesgo.
meticulous-keyed-md5: algoritmo hash de Message Digest 5 con clave meticulosa. Este método funciona de la misma manera que el MD5 con clave, pero el número de secuencia se actualiza con cada paquete. Aunque es más seguro que MD5 con clave y contraseñas simples, este método puede tardar más tiempo en autenticar la sesión.
keyed-sha-1: algoritmo de hash seguro con clave I para sesiones con intervalos de transmisión y recepción superiores a 100 ms. Para autenticar la sesión BFD, SHA con claves utiliza una o varias claves secretas (generadas por el algoritmo) y un número de secuencia que se actualiza periódicamente. La clave no se lleva en los paquetes. Con este método, los paquetes se aceptan en el extremo receptor de la sesión si una de las claves coincide y el número de secuencia es mayor que el último número de secuencia recibido.
meticulous-keyed-sha-1: algoritmo de hash seguro con clave meticulosa I. Este método funciona de la misma manera que el SHA con claves, pero el número de secuencia se actualiza con cada paquete. Aunque es más seguro que SHA con clave y contraseñas simples, este método puede tardar más tiempo en autenticar la sesión.
El enrutamiento activo sin paradas (NSR) no es compatible con los algoritmos de autenticación meticulous-keyed-md5 y meticulous-keyed-sha-1. Las sesiones de BFD que usan estos algoritmos pueden dejar de funcionar después de un cambio.
Los conmutadores serie QFX5000 y los conmutadores EX4600 no admiten valores de intervalo mínimos inferiores a 1 segundo.
Llaveros de autenticación de seguridad
El llavero de autenticación de seguridad define los atributos de autenticación que se usan para las actualizaciones de claves de autenticación. Cuando el llavero de autenticación de seguridad está configurado y asociado con un protocolo a través del nombre del llavero, las actualizaciones de claves de autenticación pueden producirse sin interrumpir los protocolos de enrutamiento y señalización.
El llavero de autenticación contiene uno o varios llaveros. Cada llavero contiene una o varias claves. Cada clave contiene los datos secretos y el momento en que la clave se vuelve válida. El algoritmo y el llavero deben configurarse en ambos extremos de la sesión de BFD y deben coincidir. Cualquier discrepancia en la configuración impide que se cree la sesión BFD.
BFD permite múltiples clientes por sesión, y cada cliente puede tener su propio llavero y algoritmo definidos. Para evitar confusiones, recomendamos especificar solo un llavero de autenticación de seguridad.
Autenticación estricta versus autenticación flexible
De forma predeterminada, la autenticación estricta está habilitada y la autenticación se comprueba en ambos extremos de cada sesión de BFD. Opcionalmente, para facilitar la migración de sesiones no autenticadas a sesiones autenticadas, puede configurar la comprobación flexible. Cuando se configura una comprobación flexible, los paquetes se aceptan sin que se compruebe la autenticación al final de la sesión. Esta función está diseñada solo para períodos de transición.
Ejemplo: Configuración de la autenticación BFD para proteger rutas estáticas
En este ejemplo, se muestra cómo configurar la autenticación de detección de reenvío bidireccional (BFD) para rutas estáticas.
Requisitos
Junos OS versión 9.6 o posterior (versión para Canadá y Estados Unidos).
La autenticación BFD solo se admite en las versiones de Canadá y Estados Unidos de la imagen de Junos OS y no está disponible en la versión de exportación.
Descripción general
Puede configurar la autenticación para sesiones BFD que se ejecutan en rutas estáticas IPv4 e IPv6. También se admiten instancias de enrutamiento y sistemas lógicos.
Se necesitan los siguientes pasos para configurar la autenticación en una sesión BFD:
Especifique el algoritmo de autenticación BFD para la ruta estática.
Asocie el llavero de autenticación con la ruta estática.
Configure el llavero de autenticación de seguridad relacionado. Esto debe configurarse en el enrutador principal.
Le recomendamos que especifique la comprobación de autenticación flexible si está realizando la transición de sesiones no autenticadas a sesiones autenticadas.
[edit] user@host> set routing-options static route ipv4 bfd-liveness-detection authentication loose-check
En la figura 2 , se muestra la red de ejemplo.
Topología
Configuración
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel jerárquico [edit] .
Dispositivo B
set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set interfaces lo0 unit 57 family inet address 10.0.0.1/32 set interfaces lo0 unit 57 family inet address 10.0.0.2/32 set routing-options static route 192.168.47.0/24 next-hop 172.16.1.2 set routing-options static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
Dispositivo D
set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set interfaces lo0 unit 2 family inet address 192.168.47.5/32 set interfaces lo0 unit 2 family inet address 192.168.47.6/32 set routing-options static route 0.0.0.0/0 next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 1000 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication key-chain bfd-kc4 set routing-options static route 0.0.0.0/0 bfd-liveness-detection authentication algorithm keyed-sha-1 set security authentication-key-chains key-chain bfd-kc4 key 5 secret "$ABC123$ABC123$ABC123" set security authentication-key-chains key-chain bfd-kc4 key 5 start-time "2011-1-1.12:00:00 -0800"
Procedimiento
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener más información acerca de cómo navegar por la CLI, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar BFD para rutas estáticas:
En el dispositivo B, configure las interfaces.
[edit interfaces] user@B# set ge-1/2/0 unit 0 description B->D user@B# set ge-1/2/0 unit 0 family inet address 172.16.1.1/24 user@B# set lo0 unit 57 family inet address 10.0.0.1/32 user@B# set lo0 unit 57 family inet address 10.0.0.2/32
En el dispositivo B, cree una ruta estática y establezca la dirección de salto siguiente.
[edit routing-options] user@B# set static route 192.168.47.0/24 next-hop 172.16.1.2
En el dispositivo B, configure BFD para la ruta estática.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection minimum-interval 1000 set routing-options static route 192.168.47.0/24 bfd-liveness-detection description Site-xxx
En el dispositivo B, especifique el algoritmo (keyed-md5, keyed-sha-1, meticulous-keyed-md5, meticulous-keyed-sha-1 o simple-password) que se utilizará para la autenticación BFD en la ruta estática.
[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication algorithm keyed-sha-1
Nota:El enrutamiento activo sin paradas (NSR) no es compatible con los algoritmos de autenticación meticulous-keyed-md5 y meticulous-keyed-sha-1. Las sesiones de BFD que usan estos algoritmos pueden dejar de funcionar después de un cambio.
-
En el dispositivo B, especifique el llavero que se utilizará para asociar las sesiones de BFD en la ruta especificada con los atributos del llavero de autenticación de seguridad único.
Debe coincidir con el nombre del llavero configurado en el nivel jerárquico
[edit security authentication key-chains].[edit routing-options] user@B# set static route 192.168.47.0/24 bfd-liveness-detection authentication key-chain bfd-kc4
En el dispositivo B, especifique la información de autenticación de seguridad única para las sesiones de BFD:
-
El nombre del llavero coincidente como se especifica en el paso 5.
Al menos una clave, un entero único entre 0 y 63. La creación de varias claves permite que varios clientes usen la sesión BFD.
Los datos secretos utilizados para permitir el acceso a la sesión.
Hora a la que se activa la clave de autenticación, en el formato yyyy-mm-dd.hh:mm:ss.
[edit security authentication-key-chains key-chain bfd-kc4] user@B# set key 5 secret "$ABC123$ABC123$ABC123" user@B# set key 5 start-time "2011-1-1.12:00:00 -0800"
-
Cuando termine de configurar el dispositivo B, confirme la configuración.
[edit] user@B# commit
Repita la configuración en el dispositivo D.
El algoritmo y el llavero deben configurarse en ambos extremos de la sesión de BFD y deben coincidir. Cualquier discrepancia en la configuración impide que se cree la sesión BFD.
Resultados
Confirme la configuración emitiendo los show interfacescomandos , show routing-optionsy show security . Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.
Dispositivo B
user@B# show interfaces
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
lo0 {
unit 57 {
family inet {
address 10.0.0.1/32;
address 10.0.0.2/32;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
next-hop 172.16.1.2;
bfd-liveness-detection {
description Site- xxx;
minimum-interval 1000;
authentication {
key-chain bfd-kc4;
algorithm keyed-sha-1;
}
}
}
}
user@B# show security
authentication-key-chains {
key-chain bfd-kc4 {
key 5 {
secret "$ABC123$ABC123$ABC123"; ## SECRET-DATA
start-time "2011-1-1.12:00:00 -0800";
}
}
}
Verificación
Confirme que la configuración funcione correctamente.
- Verificar que las sesiones de BFD estén activas
- Visualización de detalles sobre la sesión de BFD
- Visualización de información extensa de la sesión de BFD
Verificar que las sesiones de BFD estén activas
Propósito
Compruebe que las sesiones de BFD estén activas.
Acción
Desde el modo operativo, introduzca el show bfd session comando.
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Significado
El resultado del comando muestra que la sesión de BFD está activa.
Visualización de detalles sobre la sesión de BFD
Propósito
Vea detalles sobre las sesiones de BFD y asegúrese de que la autenticación esté configurada.
Acción
Desde el modo operativo, introduzca el show bfd session detail comando.
user@B> show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, TX interval 1.000, RX interval 1.000, Authenticate
Session up time 00:53:58
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Significado
En la salida del comando, se muestra Autenticar para indicar que la autenticación BFD está configurada.
Visualización de información extensa de la sesión de BFD
Propósito
Vea información más detallada sobre las sesiones de BFD.
Acción
Desde el modo operativo, introduzca el show bfd session extensive comando.
user@B> show bfd session extensive
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 3.000 1.000 3
Client Static, description Site-xxx, TX interval 1.000, RX interval 1.000, Authenticate
keychain bfd-kc4, algo keyed-sha-1, mode strict
Session up time 01:39:45
Local diagnostic NbrSignal, remote diagnostic None
Remote state Up, version 1
Logical system 9, routing table index 22
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 3, remote discriminator 4
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-kc4, algo keyed-sha-1, mode strict
1 sessions, 1 clients
Cumulative transmit rate 1.0 pps, cumulative receive rate 1.0 pps
Significado
En la salida del comando, se muestra Autenticar para indicar que la autenticación BFD está configurada. El resultado del extensive comando proporciona el nombre del llavero, el algoritmo de autenticación y el modo para cada cliente de la sesión.
Solo description Site- <xxx> se admite en los firewalls de la serie SRX.
Si cada cliente tiene más de un campo de descripción, mostrará "y más" junto con el primer campo de descripción.
Ejemplo: Habilitación de BFD en próximos saltos calificados en rutas estáticas para la selección de rutas
En este ejemplo, se muestra cómo configurar una ruta estática con varios próximos saltos posibles. Cada salto siguiente tiene habilitada la detección de reenvío bidireccional (BFD).
Requisitos
En este ejemplo, no se requiere ninguna configuración especial más allá de la inicialización del dispositivo.
Descripción general
En este ejemplo, el dispositivo B tiene la ruta estática 192.168.47.0/24 con dos posibles próximos saltos. Los dos saltos siguientes se definen mediante dos qualified-next-hop instrucciones. Cada salto siguiente tiene BFD habilitado.
BFD también está habilitado en el dispositivo D, ya que BFD debe estar habilitado en ambos extremos de la conexión.
Se incluye un salto siguiente en la tabla de enrutamiento si la sesión BFD está activa. El siguiente salto se elimina de la tabla de enrutamiento si la sesión BFD está inactiva.
Vea la Figura 3.
calificados
Topología
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, luego, copie y pegue los comandos en la CLI en el nivel jerárquico [edit] .
Dispositivo B
set interfaces fe-0/1/0 unit 2 description secondary-B->D set interfaces fe-0/1/0 unit 2 family inet address 192.168.2.1/24 set interfaces ge-1/2/0 unit 0 description B->D set interfaces ge-1/2/0 unit 0 family inet address 172.16.1.1/24 set routing-options static route 192.168.47.0/24 qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 set routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
Dispositivo D
set interfaces fe-0/1/0 unit 3 description secondary-D->B set interfaces fe-0/1/0 unit 3 family inet address 192.168.2.2/24 set interfaces ge-1/2/0 unit 1 description D->B set interfaces ge-1/2/0 unit 1 family inet address 172.16.1.2/24 set routing-options static route 0.0.0.0/0 qualified-next-hop 192.168.2.1 set routing-options static route 0.0.0.0/0 qualified-next-hop 172.16.1.1 set routing-options static route 0.0.0.0/0 bfd-liveness-detection minimum-interval 60
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacer eso, consulte Uso del editor de CLI en el modo de configuración de la Guía del usuario de la CLI de Junos OS.
Para configurar una ruta estática con dos próximos saltos posibles, ambos con BFD habilitado:
En el dispositivo B, configure las interfaces.
[edit interfaces fe-0/1/0] user@B# set unit 2 description secondary-B->D user@B# set unit 2 family inet address 192.168.2.1/24 [edit interfaces ge-1/2/0] user@B# set unit 0 description B->D user@B# set unit 0 family inet address 172.16.1.1/24
En el dispositivo B, configure la ruta estática con dos saltos siguientes, ambos con BFD habilitado.
[edit routing-options static route 192.168.47.0/24] user@B# set qualified-next-hop 192.168.2.2 bfd-liveness-detection minimum-interval 60 user@B# set qualified-next-hop 172.16.1.2 bfd-liveness-detection minimum-interval 60
En el dispositivo D, configure las interfaces.
[edit interfaces fe-0/1/0] user@D# set unit 3 description secondary-D->B user@D# set unit 3 family inet address 192.168.2.2/24 [edit interfaces ge-1/2/0] user@D# set unit 1 description D->B user@D# set unit 1 family inet address 172.16.1.2/24
En el dispositivo D, configure una ruta estática predeterminada habilitada para BFD con dos saltos siguientes a la red del proveedor.
En este caso, BFD está habilitado en la ruta, no en los siguientes saltos.
[edit routing-options static route 0.0.0.0/0] user@D# set qualified-next-hop 192.168.2.1 user@D# set qualified-next-hop 172.16.1.1 user@D# set bfd-liveness-detection minimum-interval 60
Resultados
Ejecute los comandos y show routing-options para confirmar la show interfaces configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregirla.
user@B# show interfaces
fe-0/1/0 {
unit 2 {
description secondary-B->D;
family inet {
address 192.168.2.1/24;
}
}
}
ge-1/2/0 {
unit 0 {
description B->D;
family inet {
address 172.16.1.1/24;
}
}
}
user@B# show routing-options
static {
route 192.168.47.0/24 {
qualified-next-hop 192.168.2.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
qualified-next-hop 172.16.1.2 {
bfd-liveness-detection {
minimum-interval 60;
}
}
}
}
user@D# show interfaces
fe-0/1/0 {
unit 3 {
description secondary-D->B;
family inet {
address 192.168.2.2/24;
}
}
}
ge-1/2/0 {
unit 1 {
description D->B;
family inet {
address 172.16.1.2/24;
}
}
}
user@D# show routing-options
static {
route 0.0.0.0/0 {
qualified-next-hop 192.168.2.1;
qualified-next-hop 172.16.1.1;
bfd-liveness-detection {
minimum-interval 60;
}
}
}
Cuando termine de configurar los dispositivos, ingrese commit en el modo de configuración.
Verificación
Confirme que la configuración funcione correctamente.
- Comprobación de las tablas de enrutamiento
- Verificación de las sesiones de BFD
- Eliminación de BFD del dispositivo D
- Eliminación de BFD de un salto siguiente
Comprobación de las tablas de enrutamiento
Propósito
Asegúrese de que la ruta estática aparece en la tabla de enrutamiento del dispositivo B con dos posibles próximos saltos.
Acción
user@B> show route 192.168.47.0 extensive
inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)
192.168.47.0/24 (1 entry, 1 announced)
TSI:
KRT in-kernel 192.168.47.0/24 -> {192.168.2.2}
*Static Preference: 5
Next hop type: Router
Address: 0x9334010
Next-hop reference count: 1
Next hop: 172.16.1.2 via ge-1/2/0.0
Next hop: 192.168.2.2 via fe-0/1/0.2, selected
State: <Active Int Ext>
Age: 9
Task: RT
Announcement bits (1): 3-KRT
AS path: I
Significado
Se enumeran los dos saltos siguientes. El siguiente salto 192.168.2.2 es la ruta seleccionada.
Verificación de las sesiones de BFD
Propósito
Asegúrese de que las sesiones de BFD estén activas.
Acción
user@B> show bfd session
Detect Transmit
Address State Interface Time Interval Multiplier
172.16.1.2 Up ge-1/2/0.0 0.720 0.240 3
192.168.2.2 Up fe-0/1/0.2 0.720 0.240 3
2 sessions, 2 clients
Cumulative transmit rate 8.3 pps, cumulative receive rate 8.3 pps
Significado
El resultado muestra que las sesiones de BFD están activas.
Eliminación de BFD del dispositivo D
Propósito
Demuestre lo que sucede cuando la sesión de BFD está inactiva para los dos saltos siguientes.
Acción
Desactive BFD en el dispositivo D.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
Vuelva a ejecutar el comando en el
show bfd sessiondispositivo B.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 172.16.1.2 Down ge-1/2/0.0 3.000 1.000 3 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3 2 sessions, 2 clients Cumulative transmit rate 2.0 pps, cumulative receive rate 2.0 ppsVuelva a ejecutar el comando en el
show route 192.168.47.0dispositivo B.user@B> show route 192.168.47.0
Significado
Como era de esperar, cuando las sesiones BFD están inactivas, la ruta estática se elimina de la tabla de enrutamiento.
Eliminación de BFD de un salto siguiente
Propósito
Demuestre lo que sucede cuando solo un salto siguiente tiene BFD habilitado.
Acción
Si aún no está desactivado, desactive BFD en el dispositivo D.
[edit routing-options static route 0.0.0.0/0] user@D# deactivate bfd-liveness-detection user@D# commit
Desactive BFD en uno de los siguientes saltos en el dispositivo B.
[edit routing-options static route 192.168.47.0/24 qualified-next-hop 172.16.1.2] user@B# deactivate bfd-liveness-detection user@B# commit
Vuelva a ejecutar el comando en el
show bfd sessiondispositivo B.user@B> show bfd session Detect Transmit Address State Interface Time Interval Multiplier 192.168.2.2 Down fe-0/1/0.2 3.000 1.000 3Vuelva a ejecutar el comando en el
show route 192.168.47.0 extensivedispositivo B.user@B> show route 192.168.47.0 extensive inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) 192.168.47.0/24 (1 entry, 1 announced) TSI: KRT in-kernel 192.168.47.0/24 -> {172.16.1.2} *Static Preference: 5 Next hop type: Router, Next hop index: 624 Address: 0x92f0178 Next-hop reference count: 3 Next hop: 172.16.1.2 via ge-1/2/0.0, selected State: <Active Int Ext> Age: 2:36 Task: RT Announcement bits (1): 3-KRT AS path: I
Significado
Como se esperaba, la sesión BFD está a la baja para el siguiente salto de 192.168.2.2. El salto siguiente 172.16.1.2 permanece en la tabla de enrutamiento y la ruta permanece activa, ya que BFD no es una condición para que este salto siguiente siga siendo válido.