Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BFD para sessões BGP

Entendendo o BFD para BGP

O protocolo de detecção de encaminhamento bidirecional (BFD) é um mecanismo simples de olá que detecta falhas em uma rede. Olá, os pacotes são enviados em um intervalo específico e regular. Uma falha no vizinho é detectada quando o dispositivo de roteamento para de receber uma resposta após um intervalo especificado. A BFD trabalha com uma ampla variedade de ambientes de rede e topologias. Os temporizantes de detecção de falhas para BFD têm prazos mais curtos do que os mecanismos de detecção de falhas padrão para BGP, para que eles forneçam uma detecção mais rápida.

Nota:

Configurar o BFD e a reinicialização graciosa para BGP no mesmo dispositivo é ingrodutivo. Quando uma interface cai, a BFD detecta isso instantaneamente, interrompe o encaminhamento do tráfego e a sessão BGP diminui, enquanto a reinicialização graciosa encaminha o tráfego apesar da falha na interface, esse comportamento pode causar problemas de rede. Por isso, não recomendamos configurar tanto a BFD quanto a reinicialização graciosa no mesmo dispositivo.

Nota:

Os switches EX4600 não oferecem suporte a valores mínimos de intervalo de menos de 1 segundo.

Nota:

QFX5110, QFX5120, QFX5200 e switches de QFX5210 oferecem suporte à detecção de encaminhamento bidirecional multihop (BFD) em linha, mantendo o suporte vivo que permitirá que as sessões sejam configuradas em menos de 1 segundo. O desempenho pode variar dependendo da carga do sistema. 10 sessões de BFD em linha são suportadas e podem ser configuradas com um temporizador de 150 x 3 milissegundos. Sessões de salto único também são suportadas.

Os temporizador de detecção de falhas de BFD podem ser ajustados para serem mais rápidos ou mais lentos. Quanto menor o valor do temporizour de detecção de falhas de BFD, mais rápido será a detecção de falhas e vice-versa. Por exemplo, os timers podem se adaptar a um valor mais alto se a adjacência falhar (ou seja, o temporizador detecta falhas mais lentamente). Ou um vizinho pode negociar um valor mais alto por um temporizador do que o valor configurado. Os temporizadores se adaptam a um valor mais alto quando uma aba de sessão BFD ocorre mais de três vezes em um período de 15 segundos (15000 milissegundos). Um algoritmo de back-off aumenta o intervalo de recebimento (Rx) em dois se a instância local de BFD for a razão para a aba da sessão. O intervalo de transmissão (Tx) é aumentado em dois se a instância BFD remota for a razão para a aba da sessão. Você pode usar o clear bfd adaptation comando para devolver os temporizador de intervalo BFD aos seus valores configurados. O clear bfd adaptation comando é sem impacto, o que significa que o comando não afeta o fluxo de tráfego no dispositivo de roteamento.

Nota:

Em todos os firewalls da Série SRX, a alta utilização de CPU desencadeada por razões como comandos intensivos de CPU e caminhadas SNMP faz com que o protocolo BFD flap enquanto processa grandes atualizações BGP. (O suporte da plataforma depende da versão do Junos OS em sua instalação.)

A partir do Junos OS Release 15.1X49-D100, SRX340, SRX345 e SRX1500 dispositivos suportam BFD dedicado.

A partir do Junos OS Release 15.1X49-D100, os dispositivos SRX300 e SRX320 oferecem suporte a BFD em tempo real.

Começando pelo Junos OS Release 15.1X49-D110, SRX550M dispositivos suportam BFD dedicado.

No Junos OS Release 8.3 e posterior, o BFD é suportado em sessões internas de BGP (IBGP) e BGP externo multihop (EBGP), bem como em sessões de EBGP de salto único. No Junos OS Release 9.1 through Junos OS Release 11.1, o BFD oferece suporte a interfaces IPv6 apenas em rotas estáticas. No Junos OS Release 11.2 e posterior, o BFD oferece suporte a interfaces IPv6 com BGP.

Exemplo: Configuração do BFD em sessões internas bgp peer

Este exemplo mostra como configurar sessões internas de BGP (IBGP) com o protocolo de detecção de encaminhamento bidirecional (BFD) para detectar falhas em uma rede.

Requisitos

Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.

Visão geral

A configuração mínima para habilitar a BFD nas sessões do IBGP é incluir a bfd-liveness-detection minimum-interval declaração na configuração BGP de todos os vizinhos participantes da sessão de BFD. A minimum-interval declaração especifica os intervalos mínimos de transmissão e recebimento para detecção de falhas. Especificamente, esse valor representa o intervalo mínimo após o qual o dispositivo de roteamento local transmite pacotes olá, bem como o intervalo mínimo que o dispositivo de roteamento espera receber uma resposta de um vizinho com o qual estabeleceu uma sessão de BFD. Você pode configurar um valor de 1 a 255.000 milissegundos.

Opcionalmente, você pode especificar o mínimo de transmissão e receber intervalos separadamente usando as declarações e minimum-receive-interval as transmit-interval minimum-interval declarações. Para obter informações sobre essas e outras declarações de configuração opcionais de BFD, consulte bfd-liveness-detection.

Nota:

BFD é um protocolo intensivo que consome recursos do sistema. Especificar um intervalo mínimo para BFD com menos de 100 milissegundos para sessões baseadas em mecanismos de roteamento e menos de 10 milissegundos para sessões distribuídas de BFD pode causar flappings BFD não desejados.

Dependendo do seu ambiente de rede, essas recomendações adicionais podem ser aplicadas:

  • Para evitar o flapping de BFD durante o evento geral de switchover do Mecanismo de Roteamento, especifique um intervalo mínimo de 5000 milissegundos para sessões baseadas em mecanismos de roteamento. Esse valor mínimo é necessário porque, durante o evento geral de switchover do Mecanismo de Roteamento, processos como RPD, MIBD e SNMPD utilizam recursos de CPU para mais do que o valor limite especificado. Dessa forma, o processamento e o agendamento da BFD são afetados devido a essa falta de recursos da CPU.

  • Para que as sessões de BFD permaneçam ativas durante o cenário de enlace de controle de cluster de chassi duplo, quando o primeiro link de controle falhar, especifique o intervalo mínimo de 6000 milissegundos para evitar que o LACP bata no nó secundário para sessões baseadas em mecanismo de roteamento.

  • Para implantações de rede de grande escala com um grande número de sessões de BFD, especifique um intervalo mínimo de 300 milissegundos para sessões baseadas em mecanismo de roteamento e 100 milissegundos para sessões distribuídas de BFD.

  • Para implantações de rede de grande escala com um grande número de sessões de BFD, entre em contato com o suporte ao cliente da Juniper Networks para obter mais informações.

  • Para que as sessões de BFD permaneçam ativas durante um evento de switchover do Mecanismo de Roteamento quando o roteamento ativo ininterrupto (NSR) for configurado, especifique um intervalo mínimo de 2500 milissegundos para sessões baseadas em mecanismos de roteamento. Para sessões distribuídas de BFD com NSR configurado, as recomendações de intervalo mínimo são inalteradas e dependem apenas da implantação da sua rede.

O BFD é suportado na instância de roteamento padrão (o roteador principal), instâncias de roteamento e sistemas lógicos. Este exemplo mostra a BFD em sistemas lógicos.

Figura 1 mostra uma rede típica com sessões internas por pares.

Figura 1: Rede típica com sessões do IBGPRede típica com sessões do IBGP

Configuração

Configuração rápida da CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit] hierarquia.

Dispositivo A

Dispositivo B

Dispositivo C

Configuração do dispositivo A

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.

Para configurar o dispositivo A:

  1. Definir a CLI para o Logical System A.

  2. Configure as interfaces.

  3. Configure BGP.

    As neighbor declarações estão incluídas tanto para o Dispositivo B quanto para o Dispositivo C, embora o Dispositivo A não esteja diretamente conectado ao Dispositivo C.

  4. Configure BFD.

    Você deve configurar o mesmo intervalo mínimo no peer de conexão.

  5. (Opcional) Configure o rastreamento de BFD.

  6. Configure OSPF.

  7. Configure uma política que aceite rotas diretas.

    Outras opções úteis para este cenário podem ser aceitar rotas aprendidas por meio de OSPF ou rotas locais.

  8. Configure a ID do roteador e o número do sistema autônomo (AS).

  9. Se você terminar de configurar o dispositivo, entre no commit modo de configuração. Repita essas etapas para configurar o Dispositivo B e o Dispositivo C.

Resultados

A partir do modo de configuração, confirme sua configuração entrando noshow interfaces, show policy-optionsshow protocolse show routing-options comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verificar se a BFD está habilitada

Propósito

Verifique se a BFD está habilitada entre os pares do IBGP.

Ação

A partir do modo operacional, entre no show bgp neighbor comando. Você pode usar o | match bfd filtro para restringir a saída.

Significado

A saída mostra que o Logical System A tem dois vizinhos com BFD habilitado. Quando a BFD não está habilitada, a saída é exibida BFD: disabled, downe a opção <BfdEnabled> está ausente. Se o BFD estiver habilitado e a sessão estiver baixa, a saída será exibida BFD: enabled, down. A saída também mostra que eventos relacionados à BFD estão sendo escritos em um arquivo de log porque as operações de rastreamento estão configuradas.

Verificando se as sessões de BFD estão ativas

Propósito

Verifique se as sessões de BFD estão ativas e veja detalhes sobre as sessões de BFD.

Ação

A partir do modo operacional, entre no show bfd session extensive comando.

Significado

A TX interval 1.000, RX interval 1.000 saída representa a configuração configurada com a minimum-interval declaração. Todas as outras saídas representam as configurações padrão para BFD. Para modificar as configurações padrão, inclua as declarações opcionais sob a bfd-liveness-detection declaração.

Visualização de eventos detalhados de BFD

Propósito

Visualize o conteúdo do arquivo de rastreamento BFD para ajudar na solução de problemas, se necessário.

Ação

A partir do modo operacional, entre no file show /var/log/A/bgp-bfd comando.

Significado

Antes que as rotas sejam estabelecidas, a No route to host mensagem aparece na saída. Após a criação das rotas, as duas últimas linhas mostram que ambas as sessões de BFD surgem.

Visualização de eventos detalhados de BFD após desativar e reativar uma interface de loopback

Propósito

Verifique o que acontece depois de derrubar um roteador ou switch e depois trazê-lo de volta. Para simular a queda de um roteador ou switch, desativar a interface de loopback no Logical System B.

Ação
  1. A partir do modo de configuração, entre no deactivate logical-systems B interfaces lo0 unit 2 family inet comando.

  2. A partir do modo operacional, entre no file show /var/log/A/bgp-bfd comando.

  3. A partir do modo de configuração, entre no activate logical-systems B interfaces lo0 unit 2 family inet comando.

  4. A partir do modo operacional, entre no file show /var/log/A/bgp-bfd comando.

Entendendo a autenticação de BFD para BGP

O protocolo de detecção de encaminhamento bidirecional (BFD) permite a detecção rápida de falhas de comunicação entre sistemas adjacentes. Por padrão, a autenticação para sessões de BFD é desativada. No entanto, quando você executa a BFD sobre protocolos de camada de rede, o risco de ataques de serviço pode ser significativo. Recomendamos fortemente o uso da autenticação se você estiver executando BFD em vários saltos ou através de túneis inseguros. Começando com o Junos OS Release 9.6, o Junos OS oferece suporte à autenticação para sessões de BFD sendo executadas no BGP. A autenticação de BFD não é suportada em sessões de OAM MPLS. A autenticação de BFD só é suportada na versão do Canadá e dos Estados Unidos da imagem do Junos OS e não está disponível na versão de exportação.

Você autentica as sessões de BFD especificando um algoritmo de autenticação e chaveiro e, em seguida, associando essas informações de configuração com um chaveiro de autenticação de segurança usando o nome do chaveiro.

As seções a seguir descrevem os algoritmos de autenticação suportados, chaveiros de segurança e o nível de autenticação que podem ser configurados:

Algoritmos de autenticação de BFD

O Junos OS oferece suporte aos seguintes algoritmos para autenticação de BFD:

  • simple-password— Senha de texto simples. Um a 16 bytes de texto simples são usados para autenticar a sessão de BFD. Uma ou mais senhas podem ser configuradas. Este método é o menos seguro e deve ser usado apenas quando as sessões de BFD não estiverem sujeitas à interceptação de pacotes.

  • keyed-md5— Algoritmo de hash keyed Message Digest 5 para sessões com intervalos de transmissão e recebimento superiores a 100 ms. Para autenticar a sessão de BFD, o MD5 chaveado usa uma ou mais chaves secretas (geradas pelo algoritmo) e um número de sequência que é atualizado periodicamente. Com esse método, os pacotes são aceitos no final da sessão se uma das chaves combinar e o número de sequência for maior do que ou igual ao número da última sequência recebida. Embora seja mais seguro do que uma senha simples, esse método é vulnerável a ataques de repetição. Aumentar a taxa em que o número da sequência é atualizado pode reduzir esse risco.

  • meticulous-keyed-md5— Algoritmo de hash da Message Digest 5 com chave meticulosa. Esse método funciona da mesma maneira que o MD5 chaveado, mas o número de sequência é atualizado com cada pacote. Embora seja mais seguro do que o MD5 chaveado e senhas simples, esse método pode levar mais tempo para autenticar a sessão.

  • keyed-sha-1— Keyed Secure Hash Algorithm I para sessões com intervalos de transmissão e recebimento superiores a 100 ms. Para autenticar a sessão de BFD, a SHA chaveada usa uma ou mais chaves secretas (geradas pelo algoritmo) e um número de sequência que é atualizado periodicamente. A chave não é carregada dentro dos pacotes. Com este método, os pacotes são aceitos no final da sessão se uma das chaves combinar e o número da sequência for maior do que o número da última sequência recebida.

  • meticulous-keyed-sha-1— Algoritmo de hash seguro meticuloso e chave I. Este método funciona da mesma maneira que o SHA chaveado, mas o número de sequência é atualizado com cada pacote. Embora seja mais seguro do que o SHA chaveado e senhas simples, esse método pode levar mais tempo para autenticar a sessão.

Nota:

O roteamento ativo sem parar (NSR) não é suportado com algoritmos de autenticação meticuloso-keyed-keyed-md5 e meticuloso-keyed-keyed-sha-1. As sessões de BFD usando esses algoritmos podem cair após uma mudança.

Nota:

os switches da Série QFX5000 e os switches EX4600 não oferecem suporte a valores mínimos de intervalo de menos de 1 segundo.

Chaveiros de autenticação de segurança

O chaveiro de autenticação de segurança define os atributos de autenticação usados para autenticação das principais atualizações. Quando o keychain de autenticação de segurança é configurado e associado a um protocolo por meio do nome do chaveiro, as atualizações chave de autenticação podem ocorrer sem interromper os protocolos de roteamento e sinalização.

O chaveiro de autenticação contém um ou mais chaveiros. Cada chaveiro contém uma ou mais chaves. Cada chave detém os dados secretos e o momento em que a chave se torna válida. O algoritmo e a chaveiro devem ser configurados em ambas as extremidades da sessão de BFD, e eles devem combinar. Qualquer incompatibilidade na configuração impede que a sessão de BFD seja criada.

A BFD permite vários clientes por sessão, e cada cliente pode ter sua própria chaveiro e algoritmo definidos. Para evitar confusão, recomendamos especificar apenas um chaveiro de autenticação de segurança.

Autenticação rigorosa versus frouxa

Por padrão, a autenticação rigorosa é habilitada e a autenticação é verificada em ambas as extremidades de cada sessão de BFD. Opcionalmente, para facilitar a migração de sessões não autenticadas para sessões autenticadas, você pode configurar a verificação frouxa. Quando a verificação frouxa é configurada, os pacotes são aceitos sem que a autenticação seja verificada em cada extremidade da sessão. Esse recurso destina-se apenas a períodos de transição.

Exemplo: Configuração da autenticação de BFD para BGP

Começando com o Junos OS Release 9.6, você pode configurar a autenticação para sessões de BFD em execução no BGP. Apenas três etapas são necessárias para configurar a autenticação em uma sessão de BFD:

  1. Especifique o algoritmo de autenticação de BFD para o protocolo BGP.

  2. Associe o keychain de autenticação com o protocolo BGP.

  3. Configure o keychain de autenticação de segurança relacionado.

As seções a seguir fornecem instruções para configurar e visualizar a autenticação de BFD no BGP:

Configuração de parâmetros de autenticação de BFD

A autenticação de BFD pode ser configurada para todo o protocolo BGP, ou para um grupo BGP específico, vizinho ou instância de roteamento.

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.

Para configurar a autenticação de BFD:

  1. Especifique o algoritmo (keyed-md5, keyed-sha-1, meticulous-keyed-md5, meticulous-keyed-sha-1ou simple-password) para usar.
    Nota:

    O roteamento ativo sem parar não é suportado por algoritmos de autenticação meticuloso-keyed-keyed-sha-1. As sessões de BFD usando esses algoritmos podem cair após uma mudança.

  2. Especifique o chaveiro a ser usado para associar sessões de BFD no BGP com os atributos exclusivos de keychain de autenticação de segurança.

    O nome de chaveiro que você especifica deve combinar com um nome de chaveiro configurado no nível de [edit security authentication key-chains] hierarquia.

    Nota:

    O algoritmo e a chaveiro devem ser configurados em ambas as extremidades da sessão de BFD, e eles devem combinar. Qualquer incompatibilidade na configuração impede que a sessão de BFD seja criada.

  3. Especifique as informações exclusivas de autenticação de segurança para sessões de BFD:
    • O nome de chaveiro correspondente conforme especificado em Passo2.

    • Pelo menos uma chave, um inteiro único entre 0 e 63. A criação de várias chaves permite que vários clientes usem a sessão de BFD.

    • Os dados secretos usados para permitir o acesso à sessão.

    • No momento em que a chave de autenticação se torna ativa, no formato yyyy-mm-dd.hh:mm:ss.

  4. (Opcional) Especifique a autenticação frouxa para verificar se você está fazendo a transição de sessões não autenticadas para sessões autenticadas.
  5. (Opcional) Visualize sua configuração usando o show bfd session detail ou show bfd session extensive o comando.
  6. Repita essas etapas para configurar a outra ponta da sessão de BFD.
Nota:

A autenticação de BFD só é suportada na versão do Canadá e dos Estados Unidos da imagem do Junos OS e não está disponível na versão de exportação.

Visualização de informações de autenticação para sessões de BFD

Você pode ver a configuração de autenticação BFD existente usando os comandos e show bfd session extensive comandosshow bfd session detail.

O exemplo a seguir mostra a autenticação de BFD configurada para o bgp-gr1 grupo BGP. Ele especifica o algoritmo de autenticação SHA-1 chaveado e um nome de chaveiro.bfd-bgp O chaveiro de autenticação está configurado com duas chaves. A chave 1 contém os dados secretos "$ABC123$ABC123" e um horário de início de 1 de junho de 2009, às 9:46:02 PST. Key 2 contém os dados secretos "$ABC123$ABC123" e uma hora de início de 1º de junho de 2009, às 15h29 PST.

Se você confirmar essas atualizações à sua configuração, verá uma saída semelhante à seguinte. Na saída para o show bfd session detail comando, Authenticate é exibido para indicar que a autenticação de BFD está configurada. Para obter mais informações sobre a configuração, use o show bfd session extensive comando. A saída para este comando fornece o nome de chaveiro, o algoritmo e o modo de autenticação para cada cliente na sessão, e o status geral de configuração de autenticação de BFD, nome do chaveiro e algoritmo e modo de autenticação.

mostrar detalhes da sessão ofuscada

mostrar sessão ofuscada extensa

Tabela de histórico de alterações

A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.

Versão
Descrição
15.1X49-D100
A partir do Junos OS Release 15.1X49-D100, SRX340, SRX345 e SRX1500 dispositivos suportam BFD dedicado.
15.1X49-D100
A partir do Junos OS Release 15.1X49-D100, os dispositivos SRX300 e SRX320 oferecem suporte a BFD em tempo real.
11.2
No Junos OS Release 11.2 e posterior, o BFD oferece suporte a interfaces IPv6 com BGP.
9.1
No Junos OS Release 9.1 through Junos OS Release 11.1, o BFD oferece suporte a interfaces IPv6 apenas em rotas estáticas.
8.3
No Junos OS Release 8.3 e posterior, o BFD é suportado em sessões internas de BGP (IBGP) e BGP externo multihop (EBGP), bem como em sessões de EBGP de salto único.