Настройка системы обнаружения неисправностей OSPF с помощью BFD
Понимание BFD для OSPF
Двухнаправленный протокол обнаружения переадресации (BFD) — это простой механизм привет, который обнаруживает сбои в сети. BFD работает с широким спектром сетевых сред и топологий. Пара устройств маршрутизации обменивается пакетами BFD. Привет пакеты отправляется с заданным, регулярным интервалом. Сбой соседа обнаруживается, когда устройство маршрутизации прекращает получать ответ после определенного интервала. Таймеры обнаружения отказов BFD имеют более короткие сроки, чем механизмы обнаружения отказов OSPF, поэтому они обеспечивают более быстрое обнаружение.
Таймеры обнаружения отказов BFD адаптивны и могут быть адаптированы быстрее или медленнее. Чем меньше значение таймер обнаружения отказов BFD, тем быстрее обнаружение сбоев и наоборот. Например, таймеры могут адаптироваться к более высокой стоимости в случае сбоя смятия (т. е. таймер обнаруживает сбои медленнее). Или сосед может вести переговоры о более высокой стоимости для таймер, чем настроенные значения. Таймеры адаптируются к более высокой стоимости, когда лоскут сеанса BFD происходит более трех раз за 15 секунд. Алгоритм обратного подключения увеличивает интервал получения (Rx) на два, если причиной этого является локальный экземпляр BFD. Интервал передачи (Tx) увеличивается на два, если причиной этого является удаленный экземпляр BFD. Вы можете использовать clear bfd adaptation команду, чтобы вернуть таймеры интервалов BFD к настроенным значениям. Команда clear bfd adaptation не работает без проблем, что означает, что команда не влияет на поток трафика на устройстве маршрутизации.
Коммутаторы EX4600 не поддерживают минимальные значения интервала менее 1 с.
BFD поддерживаетСЯ ДЛЯ OSPFv3 в версии ОС Junos 9.3 и более поздней версии.
Для устройств филиальной серии SRX мы рекомендуем 1000 мс в качестве минимального интервала времени сохранения пакетов BFD.
Вы можете настроить следующие настройки протокола BFD:
detection-time threshold- Пороговое значение для адаптации времени обнаружения. Когда время обнаружения сеансов BFD адаптируется к значению, равному или большему, чем настроенный порог, отправляется одна ловушка и сообщение журнала одной системы.full-neighbors-only- Возможность устанавливать сеансы BFD только для соседей OSPF с соседом смежностью. Поведение по умолчанию заключается в создании сеансов BFD для всех соседей OSPF. Эта настройка доступна в ВЕРСИи ОС Junos 9.5 и более поздней версии.minimum-interval- Минимальная передача и получение интервала для обнаружения сбоев. Эта настройка настраивает как минимальный интервал, после которого локальное устройство маршрутизации передает привет пакеты, так и минимальный интервал, после которого устройство маршрутизации ожидает получить ответ от соседа, с помощью которого оно установило сеанс BFD. Оба интервала составляют миллисекунды. Вы также можете указать минимальную передачу и получать интервалы отдельно, используяtransmit-interval minimum-intervalиminimum-receive-intervalконстатируете.Примечание:BFD — это интенсивный протокол, который потребляет системные ресурсы. Указание минимального интервала для BFD менее 100 мс для сеансов на основе модуля маршрутизации и 10 мс для распределенных сеансов BFD может вызвать нежелательные хлопания BFD.
В зависимости от сетевой среды, могут применяться следующие вопросы:
Для крупномасштабного развертывания сети с большим количеством сеансов BFD укажите минимальный интервал не менее 500 мс. Для предотвращения проблем с нестабильностью рекомендуется интервал в 1000 мс.
Чтобы сеансы BFD оставались в процессе коммутации модуля маршрутизации при настройке бесперебойной активной маршрутизации (NSR), укажите минимальный интервал в 2500 мс для сеансов на основе модуля маршрутизации. Без NSR сеансы на основе модуля маршрутизации могут иметь минимальный интервал в 100 мс.
-
Для распределенных сеансов BFD с настройкой NSR рекомендации по минимальному интервалу остаются неизменными и зависят только от развертывания сети.
-
ОС Junos 21.2R1 и более поздние поддерживают распределенные сеансы OSPFv3 и ISIS BFD с локальными адресами канала IPv6 на маршрутизаторах серии MX, работающих с 1 по 9 пакетов передачи информации (они не поддерживаются на MPC 10 или MPC 11). По умолчанию локальный BFD-канал IPv6 является встроенным режимом.
-
BFD не распространяется до Junos 21.2 (поскольку для OSPFv3 BFD базируется в модуля маршрутизации).
На одном коммутаторе QFX5100 при добавлении модуля расширения QFX-EM-4Q укажите минимальный интервал выше 1000 мс.
minimum-receive-interval- Минимальный интервал получения для обнаружения сбоев. Эта настройка настраивает минимальный интервал получения в тысячные коммутаторы, после чего устройство маршрутизации рассчитывает получить пакет привет от соседа, с которым он установил сеанс BFD. Вы также можете указать минимальный интервал получения с помощьюminimum-intervalзаявления.multiplier- Умножьте на привет пакеты. Эта настройка настраивает количество пакетов hello, которые не получены соседом, что приводит к тому, что исходящий интерфейс объявляется вниз. По умолчанию три пропущенных пакета hello приводят к тому, что интерфейс, исходящий из этого, будет объявлен вниз.no-adaptation- Отключение адаптации к BFD. Эта настройка отключит сеансы BFD от адаптации к меняющимся условиям сети. Эта настройка доступна в ОС Junos версии 9.0 и более поздней версии.Примечание:Мы рекомендуем вам не отключить адаптацию к BFD, если не предпочтительнее не иметь адаптацию к BFD в вашей сети.
transmit-interval minimum-interval- Минимальный интервал передачи данных для обнаружения сбоев. Эта настройка настраивает минимальный интервал передачи в миллисекундах, когда локальное устройство маршрутизации передает привет пакеты соседу, с помощью которого оно установило сеанс BFD. Вы также можете указать минимальный интервал передачиminimum-intervalс помощью заявления.transmit-interval threshold- Пороговое значение для адаптации интервала передачи сеанса BFD. Когда интервал передачи адаптируется к значению, превысаеме порогового значения, отправляется одна ловушка и сообщение с одним системным журналом. Пороговое значение должно быть больше минимального интервала передачи. Если вы пытаетесь совершить конфигурацию с пороговым значением меньше минимального интервала передачи, устройство маршрутизации отображает ошибку и не принимает конфигурацию.version— версия BFD. Эта настройка настраивает версию BFD, используемую для обнаружения. Вы можете прямо настроить версию BFD 1 или устройство маршрутизации может автоматически обнаруживать версию BFD. По умолчанию устройство маршрутизации автоматически обнаруживает версию BFD, которая составляет 0 или 1.
Вы также можете отслеживать операции BFD для устранения неполадок.
Пример: настройка BFD для OSPF
В этом примере показано, как настроить протокол «Двунаправленное обнаружение переадресации» (BFD) для OSPF.
Требования
Прежде чем начать:
Настраивайте интерфейсы устройств. См. библиотеку сетевых интерфейсов ОС Junos для устройств маршрутизации.
Настраивайте идентификаторы маршрутизаторов для устройств в вашей сети OSPF. См. пример: настройка идентификатора маршрутизатора OSPF.
Управляйте выборами маршрутизаторов, назначенных OSPF. См . пример: управление выборами маршрутизаторов, назначенных OSPF.
Настройка сети OSPF в одной области. См . пример: настройка сети OSPF в одной области.
Настройте многоарейную сеть OSPF. См . пример: настройка сети OSPF с несколькимиареевами.
Настройте многоарейную сеть OSPF. См . пример: настройка сети OSPF с несколькимиареевами.
Обзор
Альтернативой корректировке интервала hello OSPF и настроек мертвого интервала для повышения конвергенции маршрутов является настройка BFD. Протокол BFD — это простой механизм привет, который обнаруживает сбои в сети. Таймеры обнаружения отказов BFD имеют более короткие сроки, чем механизмы обнаружения отказов OSPF, что обеспечивает более быстрое обнаружение.
BFD полезна на интерфейсах, которые не могут быстро обнаруживать сбои, такие как интерфейсы Ethernet. Другие интерфейсы, такие как интерфейсы SONET, уже имеют встроенное обнаружение сбоев. Настройка BFD на этих интерфейсах не требуется.
Вы настраиваете BFD на пару соседних интерфейсов OSPF. В отличие от интервала привет OSPF и настроек мертвого интервала, вам не нужно включить BFD на всех интерфейсах в области OSPF.
В этом примере вы позволяете выявлять сбои, включив bfd-liveness-detection заявление о соседом интерфейсе OSPF fe-0/1/0 в область 0.0.0.0 и настраивайте интервал обмена пакетами BFD до 300 миллисекунд, настраивайте 4 по мере того, как количество пропущенных пакетов привет, из-за которого возникает интерфейс, будет объявлен вниз, и настраивайте сеансы BFD только для соседей OSPF с полным соседским смежностью, включив следующие настройки:
только для соседей: в ОС Junos версии 9.5 и более поздней версии настраивает протокол BFD для настройки сеансов BFD только для соседей OSPF с соседским смежностью. Поведение по умолчанию заключается в создании сеансов BFD для всех соседей OSPF.
минимальный интервал: настраивает минимальный интервал за миллисекунды, после чего локальное устройство маршрутизации передает привет пакеты, а также минимальный интервал, после которого устройство маршрутизации ожидает получить ответ от соседа, с помощью которого оно установило сеанс BFD. Вы можете настроить число в диапазоне от 1 до 255 000 миллисекунд. Вы также можете указать минимальную передачу и получать интервалы отдельно с помощью минимального интервала передачи и
minimum-receive-intervalутверждений.Примечание:BFD — это интенсивный протокол, который потребляет системные ресурсы. Указание минимального интервала для BFD менее 100 мс для сеансов на основе модуля маршрутизации и 10 мс для распределенных сеансов BFD может вызвать нежелательные хлопания BFD.
В зависимости от сетевой среды, могут применяться следующие дополнительные рекомендации:
Для крупномасштабного развертывания сети с большим количеством сеансов BFD укажите минимальный интервал не менее 500 мс. Для предотвращения проблем с нестабильностью рекомендуется интервал в 1000 мс.
Примечание:Для процесса bfdd интервал обнаружения меньше 300 мс. Если в системе используется высокоприоритетный процесс, такой как ppmd, процессор может тратить время на процесс ppmd, а не на процесс bfdd.
Для устройств филиальной серии SRX мы рекомендуем 1000 мс в качестве минимального интервала времени сохранения пакетов BFD.
Для крупномасштабного развертывания сети с большим количеством сеансов BFD для получения дополнительной информации обращайтесь в службу поддержки клиентов Juniper Networks.
Чтобы сеансы BFD оставались в процессе коммутации модуля маршрутизации при настройке бесперебойной активной маршрутизации (NSR), укажите минимальный интервал в 2500 мс для сеансов на основе модуля маршрутизации. Для распределенных сеансов BFD с настройкой NSR рекомендации по минимальному интервалу остаются неизменными и зависят только от развертывания сети.
множитель— настраивает количество пакетов привет не получено соседом, что приводит к возникновению интерфейса быть объявлены вниз. По умолчанию три пропущенных пакета hello приводят к тому, что интерфейс, исходящий из этого, будет объявлен вниз. Вы можете настроить значение в диапазоне от 1 до 255.
Топологии
Конфигурации
Процедуры
Быстрая настройка командной строки
Чтобы быстро настроить протокол BFD для OSPF, копируйте следующие команды, вставьте их в текстовый файл, удаляйте любые перерывы в строке, изменяйте любые детали, необходимые для соответствия конфигурации сети, копируйте и вставьте команды в командную строку на уровне иерархии [edit], а затем введите commit из режима конфигурации.
[edit] set protocols ospf area 0.0.0.0 interface fe-0/0/1 bfd-liveness-detection minimum-interval 300 set protocols ospf area 0.0.0.0 interface fe-0/0/1 bfd-liveness-detection multiplier 4 set protocols ospf area 0.0.0.0 interface fe-0/0/1 bfd-liveness-detection full-neighbors-only
Пошаговая процедура
Для настройки протокола BFD для OSPF на одном соседнем интерфейсе:
Создайте зону OSPF.
Примечание:Чтобы указать OSPFv3, включите
ospf3заявление на уровне иерархии[edit protocols].[edit] user@host# edit protocols ospf area 0.0.0.0
Укажите интерфейс.
[edit protocols ospf area 0.0.0.0] user@host# set interface fe-0/0/1
Укажите минимальную передачу и получение интервалов.
[edit protocols ospf area 0.0.0.0 ] user@host# set interface fe-0/0/1 bfd-liveness-detection minimum-interval 300
Настройте количество пропущенных пакетов привет, которые приводят к тому, что возникающий интерфейс будет объявлен вниз.
[edit protocols ospf area 0.0.0.0 ] user@host# set interface fe-0/0/1 bfd-liveness-detection multiplier 4
Настраивайте сеансы BFD только для соседей OSPF с соседом смежностью.
[edit protocols ospf area 0.0.0.0 ] user@host# set interface fe-0/0/1 bfd-liveness-detection full-neighbors-only
Если настройка устройства завершена, зафиксировать конфигурацию.
[edit protocols ospf area 0.0.0.0 ] user@host# commit
Примечание:Повторяйте всю эту конфигурацию на другом соседнем интерфейсе.
Результаты
Подтвердите конфигурацию, введя show protocols ospf команду. Если выходной продукт не отображает предполагаемую конфигурацию, повторяйте инструкции в этом примере, чтобы исправить конфигурацию.
user@host# show protocols ospf
area 0.0.0.0 {
interface fe-0/0/1.0 {
bfd-liveness-detection {
minimum-interval 300;
multiplier 4;
full-neighbors-only;
}
}
}
Чтобы подтвердить конфигурацию OSPFv3, введите show protocols ospf3 команду.
Проверки
Подтвердите, что конфигурация работает правильно.
Проверка сеансов BFD
Цель
Убедитесь, что интерфейсы OSPF имеют активные сеансы BFD и правильно настроены компоненты сеанса.
Действий
Из эксплуатационного режима введите show bfd session detail команду.
Смысл
На выходе отображается информация о сеансах BFD.
В поле адреса отображается IP-адрес соседа.
Поле интерфейса отображает настроенный интерфейс для BFD.
В поле состояния отображается состояние соседа и должно отображаться полное соответствие с параметрами соседа, которые вы настроили.
Поле «Интервал передачи» отображает настроенный вами временный интервал для отправки пакетов BFD.
Поле Мультипликатора отображает настроенный мультипликатор.
Понимание аутентификации BFD для OSPF
Двунаправленное обнаружение переадресации (BFD) позволяет быстро обнаруживать сбои связи между соседними системами. По умолчанию аутентификация для сеансов BFD отключена. Однако при запуске BFD по протоколам сетевого уровня риск атак сервисов может быть значительным. Мы настоятельно рекомендуем использовать аутентификацию, если вы используете BFD в нескольких переходах или через небезопасные туннели. Начиная с версии ОС Junos 9.6, ОС Junos поддерживает аутентификацию для сеансов BFD, выполняемых по OSPFv2. Аутентификация BFD не поддерживается на сеансах MPLS OAM. Аутентификация BFD поддерживается только в канадской и американской версиях изображения ОС Junos и не доступна в экспортной версии.
Вы проверяете сеансы BFD, указывая алгоритм аутентификации и брелок, а затем связывая эту информацию о конфигурации с брелоком аутентификации безопасности с использованием названия ключей.
В следующих разделах описываются поддерживаемые алгоритмы аутентификации, ключевые функции безопасности и уровень аутентификации, которые можно настроить:
- Алгоритмы аутентификации BFD
- Ключевые функции аутентификации системы безопасности
- Строгая и свободная аутентификация
Алгоритмы аутентификации BFD
ОС Junos поддерживает следующие алгоритмы аутентификации BFD:
простой пароль — простой текстового пароля. Для проверки подлинности сеанса BFD используется от одного до 16 байт простого текста. Можно настроить один или несколько паролей. Этот метод является наименее безопасным и должен использоваться только тогда, когда сеансы BFD не подлежат перехвату пакетов.
keyed-md5 — алгоритм хэш-трафика Keyed Message Digest 5 для сеансов с передачей и получением интервалов более 100 мс. Для проверки подлинности сеанса BFD в keyed MD5 используется один или несколько секретных ключей (порожденных алгоритмом) и номер последовательности, который периодически обновляется. Благодаря этому методу пакеты принимаются в конце приемной сессии, если один из ключей совпадает, а номер последовательности превышает или равен последнему полученному номеру последовательности. Несмотря на то, что этот метод является более безопасным, чем простой пароль, он уязвим для воспроизведения атак. Увеличение скорости обновления числа последовательности может снизить этот риск.
скрепулезно-ключ-md5 — дотошный алгоритм хэш-сигнала Message Digest 5. Этот метод работает так же, как ключом MD5, но номер последовательности обновляется с каждым пакетом. Несмотря на более безопасную, чем ключом MD5 и простые пароли, этот метод может занять дополнительное время для проверки подлинности сеанса.
keyed-sha-1 — keyed Secure Hash Алгоритм I для сеансов с передачей и получением интервалов более 100 мс. Для проверки подлинности сеанса BFD keyed SHA использует один или несколько секретных ключей (порожденных алгоритмом) и номер последовательности, который периодически обновляется. Ключ не переносится в пакеты. При этом методе пакеты принимаются в приемном конце сеанса, если один из ключей совпадает, а номер последовательности превышает полученный номер последней последовательности.
скрупулезно-ключ-ша-1 — дотошный защищенный алгоритм Хаша I. Этот метод работает так же, как ключом SHA, но номер последовательности обновляется с каждым пакетом. Этот метод может занять дополнительное время, чтобы проверить подлинность сеанса, несмотря на более безопасную, чем ключевая система SHA и простые пароли.
Бесконечная активная маршрутизация (NSR) не поддерживается с помощью скрепулезных алгоритмов аутентификации с тщательной ключом-ша-1. Сеансы BFD с использованием этих алгоритмов могут сократиться после коммутации.
Коммутаторы серии QFX5000 и коммутаторы EX4600 не поддерживают минимальные значения интервала менее 1 с.
Ключевые функции аутентификации системы безопасности
Брелок аутентификации безопасности определяет атрибуты аутентификации, используемые для обновлений ключей аутентификации. При настройке ключей аутентификации безопасности и ассоциации с протоколом с помощью названия клавиатуры ключевые обновления аутентификации могут происходить без прерывания маршрутизации и протоколов сигнализации.
Брелок аутентификации содержит один или несколько ключей. Каждый ключ содержит один или несколько ключей. Каждый ключ содержит секретные данные и время, когда ключ становится действительным. Алгоритм и keychain должны быть настроены на обоих концах сеанса BFD, и они должны соответствовать. Любое несоответствие конфигурации предотвращает создание сеанса BFD.
BFD позволяет нескольким клиентам за сеанс, и каждый клиент может иметь свой собственный ключ и алгоритм определяется. Чтобы избежать путаницы, мы рекомендуем указать только один ключ аутентификации безопасности.
Строгая и свободная аутентификация
По умолчанию включена строгая аутентификация, а проверка аутентификации на обоих концах каждого сеанса BFD. По желанию, чтобы сгладить переход от несанкционированных сеансов к аутентификационным сеансам, можно настроить свободную проверку. При настройке свободной проверки пакеты принимаются без проверки аутентификации в каждом конце сеанса. Эта функция предназначена только для переходных периодов.
Настройка аутентификации BFD для OSPF
Начиная с версии 9.6 ОС Junos, вы можете настроить аутентификацию для сеансов BFD, выполняемых по OSPFv2. Также поддерживаются экземпляры маршрутизации.
В следующих разделах указаны инструкции по настройке и просмотру аутентификации BFD в OSPF:
Настройка параметров аутентификации BFD
Для настройки аутентификации на сеансе BFD требуется всего три шага:
Укажите алгоритм аутентификации BFD для протокола OSPFv2.
Ассоциируйте брелок аутентификации с протоколом OSPFv2.
Настройка ключей аутентификации системы безопасности.
Для настройки аутентификации BFD:
Аутентификация BFD поддерживается только в канадской и американской версиях изображения ОС Junos и не доступна в экспортной версии.
Просмотр информации о аутентификации для сеансов BFD
Вы можете просматривать существующую конфигурацию аутентификации BFD с помощью show bfd session detail и show bfd session extensive команд.
На следующем примере показана аутентификация BFD, настроенная для группы if2-ospf BGP. В нем указан ключизированный алгоритм аутентификации SHA-1 и брелок bfd-ospf. Ключ-ключ аутентификации настроен с двумя ключами. Ключ 1 содержит секретные данные "$ABC 123$ABC123" и время начала 1 июня 2009 года, в 9:46:02 am PST. Ключ 2 содержит секретные данные "$ABC 123$ABC123" и время начала 1 июня 2009 года, в 15:29:20 PST.
[edit protocols ospf]
area 0.0.0.1 {
interface if2-ospf {
bfd-liveness-detection {
authentication {
algorithm keyed-sha-1;
key-chain bfd-ospf;
}
}
}
}
[edit security]
authentication key-chains {
key-chain bfd-ospf {
key 1 {
secret “$ABC123$ABC123”; ## SECRET-DATA
start-time “2009-6-1.09:46:02 -0700”;
}
key 2 {
secret “$ABC123$ABC123”;
start-time “2009-6-1.15:29:20 -0700”; ## SECRET-DATA
}
}
}
При внесении этих обновлений в конфигурацию вы видите выходной продукт, аналогичный следующему. В выходной версии show bfd session detail для команды отображается Аутентификация , которая указывает на настройку аутентификации BFD.
подробное описание сеанса bfd
user@host# show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
10.9.1.33 Up so-7/1/0.0 0.600 0.200 3
Client OSPF, TX interval 0.200, RX interval 0.200, multiplier 3, Authenticate
Session up time 3d 00:34
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated
1 sessions, 1 clients
Cumulative transmit rate 10.0 pps, cumulative receive rate 10.0 pps
Для получения дополнительной информации о конфигурации используйте show bfd session extensive команду. Выходной продукт для этой команды обеспечивает название ключей, алгоритм аутентификации и режим для каждого клиента в сеансе, а также общий статус конфигурации аутентификации BFD, имя ключа, а также алгоритм аутентификации и режим.
показать bfd сессии обширные
user@host# show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
10.9.1.33 Up so-7/1/0.0 0.600 0.200 3
Client OSPF, TX interval 0.200, RX interval 0.200, multiplier 3, Authenticate
keychain bfd-ospf, algo keyed-md5, mode loose
Session up time 3d 00:34
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Replicated
Min async interval 0.200, min slow interval 1.000
Adaptive async tx interval 0.200, rx interval 0.200
Local min tx interval 0.200, min rx interval 0.200, multiplier 3
Remote min tx interval 0.100, min rx interval 0.100, multiplier 3
Threshold transmission interval 0.000, Threshold for detection time 0.000
Local discriminator 11, remote discriminator 80
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-ospf, algo keyed-sha-1, mode strict
1 sessions, 1 clients
Cumulative transmit rate 10.0 pps, cumulative receive rate 10.0 pps