BFD para sessões BGP
Entendendo o BFD para BGP
O protocolo de detecção de encaminhamento bidirecional (BFD) é um mecanismo simples de olá que detecta falhas em uma rede. Olá, os pacotes são enviados em um intervalo específico e regular. Uma falha no vizinho é detectada quando o dispositivo de roteamento para de receber uma resposta após um intervalo especificado. A BFD trabalha com uma ampla variedade de ambientes de rede e topologias. Os temporizantes de detecção de falhas para BFD têm prazos mais curtos do que os mecanismos de detecção de falhas padrão para BGP, para que eles forneçam uma detecção mais rápida.
Configurar o BFD e a reinicialização graciosa para BGP no mesmo dispositivo é ingrodutivo. Quando uma interface cai, a BFD detecta isso instantaneamente, interrompe o encaminhamento do tráfego e a sessão BGP diminui, enquanto a reinicialização graciosa encaminha o tráfego apesar da falha na interface, esse comportamento pode causar problemas de rede. Por isso, não recomendamos configurar tanto a BFD quanto a reinicialização graciosa no mesmo dispositivo.
Os switches EX4600 não oferecem suporte a valores mínimos de intervalo de menos de 1 segundo.
QFX5110, QFX5120, QFX5200 e switches de QFX5210 oferecem suporte à detecção de encaminhamento bidirecional multihop (BFD) em linha, mantendo o suporte vivo que permitirá que as sessões sejam configuradas em menos de 1 segundo. O desempenho pode variar dependendo da carga do sistema. 10 sessões de BFD em linha são suportadas e podem ser configuradas com um temporizador de 150 x 3 milissegundos. Sessões de salto único também são suportadas.
Os temporizador de detecção de falhas de BFD podem ser ajustados para serem mais rápidos ou mais lentos. Quanto menor o valor do temporizour de detecção de falhas de BFD, mais rápido será a detecção de falhas e vice-versa. Por exemplo, os timers podem se adaptar a um valor mais alto se a adjacência falhar (ou seja, o temporizador detecta falhas mais lentamente). Ou um vizinho pode negociar um valor mais alto por um temporizador do que o valor configurado. Os temporizadores se adaptam a um valor mais alto quando uma aba de sessão BFD ocorre mais de três vezes em um período de 15 segundos (15000 milissegundos). Um algoritmo de back-off aumenta o intervalo de recebimento (Rx) em dois se a instância local de BFD for a razão para a aba da sessão. O intervalo de transmissão (Tx) é aumentado em dois se a instância BFD remota for a razão para a aba da sessão. Você pode usar o clear bfd adaptation
comando para devolver os temporizador de intervalo BFD aos seus valores configurados. O clear bfd adaptation
comando é sem impacto, o que significa que o comando não afeta o fluxo de tráfego no dispositivo de roteamento.
Em todos os firewalls da Série SRX, a alta utilização de CPU desencadeada por razões como comandos intensivos de CPU e caminhadas SNMP faz com que o protocolo BFD flap enquanto processa grandes atualizações BGP. (O suporte da plataforma depende da versão do Junos OS em sua instalação.)
A partir do Junos OS Release 15.1X49-D100, SRX340, SRX345 e SRX1500 dispositivos suportam BFD dedicado.
A partir do Junos OS Release 15.1X49-D100, os dispositivos SRX300 e SRX320 oferecem suporte a BFD em tempo real.
Começando pelo Junos OS Release 15.1X49-D110, SRX550M dispositivos suportam BFD dedicado.
No Junos OS Release 8.3 e posterior, o BFD é suportado em sessões internas de BGP (IBGP) e BGP externo multihop (EBGP), bem como em sessões de EBGP de salto único. No Junos OS Release 9.1 through Junos OS Release 11.1, o BFD oferece suporte a interfaces IPv6 apenas em rotas estáticas. No Junos OS Release 11.2 e posterior, o BFD oferece suporte a interfaces IPv6 com BGP.
Consulte também
Exemplo: Configuração do BFD em sessões internas bgp peer
Este exemplo mostra como configurar sessões internas de BGP (IBGP) com o protocolo de detecção de encaminhamento bidirecional (BFD) para detectar falhas em uma rede.
Requisitos
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes de configurar este exemplo.
Visão geral
A configuração mínima para habilitar a BFD nas sessões do IBGP é incluir a bfd-liveness-detection minimum-interval
declaração na configuração BGP de todos os vizinhos participantes da sessão de BFD. A minimum-interval
declaração especifica os intervalos mínimos de transmissão e recebimento para detecção de falhas. Especificamente, esse valor representa o intervalo mínimo após o qual o dispositivo de roteamento local transmite pacotes olá, bem como o intervalo mínimo que o dispositivo de roteamento espera receber uma resposta de um vizinho com o qual estabeleceu uma sessão de BFD. Você pode configurar um valor de 1 a 255.000 milissegundos.
Opcionalmente, você pode especificar o mínimo de transmissão e receber intervalos separadamente usando as declarações e minimum-receive-interval
as transmit-interval minimum-interval
declarações. Para obter informações sobre essas e outras declarações de configuração opcionais de BFD, consulte bfd-liveness-detection
.
BFD é um protocolo intensivo que consome recursos do sistema. Especificar um intervalo mínimo para BFD com menos de 100 milissegundos para sessões baseadas em mecanismos de roteamento e menos de 10 milissegundos para sessões distribuídas de BFD pode causar flappings BFD não desejados.
Dependendo do seu ambiente de rede, essas recomendações adicionais podem ser aplicadas:
Para evitar o flapping de BFD durante o evento geral de switchover do Mecanismo de Roteamento, especifique um intervalo mínimo de 5000 milissegundos para sessões baseadas em mecanismos de roteamento. Esse valor mínimo é necessário porque, durante o evento geral de switchover do Mecanismo de Roteamento, processos como RPD, MIBD e SNMPD utilizam recursos de CPU para mais do que o valor limite especificado. Dessa forma, o processamento e o agendamento da BFD são afetados devido a essa falta de recursos da CPU.
Para que as sessões de BFD permaneçam ativas durante o cenário de enlace de controle de cluster de chassi duplo, quando o primeiro link de controle falhar, especifique o intervalo mínimo de 6000 milissegundos para evitar que o LACP bata no nó secundário para sessões baseadas em mecanismo de roteamento.
Para implantações de rede de grande escala com um grande número de sessões de BFD, especifique um intervalo mínimo de 300 milissegundos para sessões baseadas em mecanismo de roteamento e 100 milissegundos para sessões distribuídas de BFD.
Para implantações de rede de grande escala com um grande número de sessões de BFD, entre em contato com o suporte ao cliente da Juniper Networks para obter mais informações.
Para que as sessões de BFD permaneçam ativas durante um evento de switchover do Mecanismo de Roteamento quando o roteamento ativo ininterrupto (NSR) for configurado, especifique um intervalo mínimo de 2500 milissegundos para sessões baseadas em mecanismos de roteamento. Para sessões distribuídas de BFD com NSR configurado, as recomendações de intervalo mínimo são inalteradas e dependem apenas da implantação da sua rede.
O BFD é suportado na instância de roteamento padrão (o roteador principal), instâncias de roteamento e sistemas lógicos. Este exemplo mostra a BFD em sistemas lógicos.
Figura 1 mostra uma rede típica com sessões internas por pares.
Configuração
Configuração rápida da CLI
Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere os detalhes necessários para combinar com a configuração da sua rede e, em seguida, copie e cole os comandos no CLI no nível de [edit]
hierarquia.
Dispositivo A
set logical-systems A interfaces lt-1/2/0 unit 1 description to-B set logical-systems A interfaces lt-1/2/0 unit 1 encapsulation ethernet set logical-systems A interfaces lt-1/2/0 unit 1 peer-unit 2 set logical-systems A interfaces lt-1/2/0 unit 1 family inet address 10.10.10.1/30 set logical-systems A interfaces lo0 unit 1 family inet address 192.168.6.5/32 set logical-systems A protocols bgp group internal-peers type internal set logical-systems A protocols bgp group internal-peers traceoptions file bgp-bfd set logical-systems A protocols bgp group internal-peers traceoptions flag bfd detail set logical-systems A protocols bgp group internal-peers local-address 192.168.6.5 set logical-systems A protocols bgp group internal-peers export send-direct set logical-systems A protocols bgp group internal-peers bfd-liveness-detection minimum-interval 1000 set logical-systems A protocols bgp group internal-peers neighbor 192.163.6.4 set logical-systems A protocols bgp group internal-peers neighbor 192.168.40.4 set logical-systems A protocols ospf area 0.0.0.0 interface lo0.1 passive set logical-systems A protocols ospf area 0.0.0.0 interface lt-1/2/0.1 set logical-systems A policy-options policy-statement send-direct term 2 from protocol direct set logical-systems A policy-options policy-statement send-direct term 2 then accept set logical-systems A routing-options router-id 192.168.6.5 set logical-systems A routing-options autonomous-system 17
Dispositivo B
set logical-systems B interfaces lt-1/2/0 unit 2 description to-A set logical-systems B interfaces lt-1/2/0 unit 2 encapsulation ethernet set logical-systems B interfaces lt-1/2/0 unit 2 peer-unit 1 set logical-systems B interfaces lt-1/2/0 unit 2 family inet address 10.10.10.2/30 set logical-systems B interfaces lt-1/2/0 unit 5 description to-C set logical-systems B interfaces lt-1/2/0 unit 5 encapsulation ethernet set logical-systems B interfaces lt-1/2/0 unit 5 peer-unit 6 set logical-systems B interfaces lt-1/2/0 unit 5 family inet address 10.10.10.5/30 set logical-systems B interfaces lo0 unit 2 family inet address 192.163.6.4/32 set logical-systems B protocols bgp group internal-peers type internal set logical-systems B protocols bgp group internal-peers local-address 192.163.6.4 set logical-systems B protocols bgp group internal-peers export send-direct set logical-systems B protocols bgp group internal-peers bfd-liveness-detection minimum-interval 1000 set logical-systems B protocols bgp group internal-peers neighbor 192.168.40.4 set logical-systems B protocols bgp group internal-peers neighbor 192.168.6.5 set logical-systems B protocols ospf area 0.0.0.0 interface lo0.2 passive set logical-systems B protocols ospf area 0.0.0.0 interface lt-1/2/0.2 set logical-systems B protocols ospf area 0.0.0.0 interface lt-1/2/0.5 set logical-systems B policy-options policy-statement send-direct term 2 from protocol direct set logical-systems B policy-options policy-statement send-direct term 2 then accept set logical-systems B routing-options router-id 192.163.6.4 set logical-systems B routing-options autonomous-system 17
Dispositivo C
set logical-systems C interfaces lt-1/2/0 unit 6 description to-B set logical-systems C interfaces lt-1/2/0 unit 6 encapsulation ethernet set logical-systems C interfaces lt-1/2/0 unit 6 peer-unit 5 set logical-systems C interfaces lt-1/2/0 unit 6 family inet address 10.10.10.6/30 set logical-systems C interfaces lo0 unit 3 family inet address 192.168.40.4/32 set logical-systems C protocols bgp group internal-peers type internal set logical-systems C protocols bgp group internal-peers local-address 192.168.40.4 set logical-systems C protocols bgp group internal-peers export send-direct set logical-systems C protocols bgp group internal-peers bfd-liveness-detection minimum-interval 1000 set logical-systems C protocols bgp group internal-peers neighbor 192.163.6.4 set logical-systems C protocols bgp group internal-peers neighbor 192.168.6.5 set logical-systems C protocols ospf area 0.0.0.0 interface lo0.3 passive set logical-systems C protocols ospf area 0.0.0.0 interface lt-1/2/0.6 set logical-systems C policy-options policy-statement send-direct term 2 from protocol direct set logical-systems C policy-options policy-statement send-direct term 2 then accept set logical-systems C routing-options router-id 192.168.40.4 set logical-systems C routing-options autonomous-system 17
Configuração do dispositivo A
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia do usuário da CLI.
Para configurar o dispositivo A:
Definir a CLI para o Logical System A.
user@host> set cli logical-system A
Configure as interfaces.
[edit interfaces lt-1/2/0 unit 1] user@host:A# set description to-B user@host:A# set encapsulation ethernet user@host:A# set peer-unit 2 user@host:A# set family inet address 10.10.10.1/30 [edit interfaces lo0 unit 1] user@host:A# set family inet address 192.168.6.5/32
Configure BGP.
As
neighbor
declarações estão incluídas tanto para o Dispositivo B quanto para o Dispositivo C, embora o Dispositivo A não esteja diretamente conectado ao Dispositivo C.[edit protocols bgp group internal-peers] user@host:A# set type internal user@host:A# set local-address 192.168.6.5 user@host:A# set export send-direct user@host:A# set neighbor 192.163.6.4 user@host:A# set neighbor 192.168.40.4
Configure BFD.
[edit protocols bgp group internal-peers] user@host:A# set bfd-liveness-detection minimum-interval 1000
Você deve configurar o mesmo intervalo mínimo no peer de conexão.
(Opcional) Configure o rastreamento de BFD.
[edit protocols bgp group internal-peers] user@host:A# set traceoptions file bgp-bfd user@host:A# set traceoptions flag bfd detail
Configure OSPF.
[edit protocols ospf area 0.0.0.0] user@host:A# set interface lo0.1 passive user@host:A# set interface lt-1/2/0.1
Configure uma política que aceite rotas diretas.
Outras opções úteis para este cenário podem ser aceitar rotas aprendidas por meio de OSPF ou rotas locais.
[edit policy-options policy-statement send-direct term 2] user@host:A# set from protocol direct user@host:A# set then accept
Configure a ID do roteador e o número do sistema autônomo (AS).
[edit routing-options] user@host:A# set router-id 192.168.6.5 user@host:A# set autonomous-system 17
Se você terminar de configurar o dispositivo, entre no
commit
modo de configuração. Repita essas etapas para configurar o Dispositivo B e o Dispositivo C.
Resultados
A partir do modo de configuração, confirme sua configuração entrando noshow interfaces
, show policy-options
show protocols
e show routing-options
comandos. Se a saída não exibir a configuração pretendida, repita as instruções neste exemplo para corrigir a configuração.
user@host:A# show interfaces lt-1/2/0 { unit 1 { description to-B; encapsulation ethernet; peer-unit 2; family inet { address 10.10.10.1/30; } } } lo0 { unit 1 { family inet { address 192.168.6.5/32; } } }
user@host:A# show policy-options policy-statement send-direct { term 2 { from protocol direct; then accept; } }
user@host:A# show protocols bgp { group internal-peers { type internal; traceoptions { file bgp-bfd; flag bfd detail; } local-address 192.168.6.5; export send-direct; bfd-liveness-detection { minimum-interval 1000; } neighbor 192.163.6.4; neighbor 192.168.40.4; } } ospf { area 0.0.0.0 { interface lo0.1 { passive; } interface lt-1/2/0.1; } }
user@host:A# show routing-options router-id 192.168.6.5; autonomous-system 17;
Verificação
Confirme se a configuração está funcionando corretamente.
- Verificar se a BFD está habilitada
- Verificando se as sessões de BFD estão ativas
- Visualização de eventos detalhados de BFD
- Visualização de eventos detalhados de BFD após desativar e reativar uma interface de loopback
Verificar se a BFD está habilitada
Propósito
Verifique se a BFD está habilitada entre os pares do IBGP.
Ação
A partir do modo operacional, entre no show bgp neighbor
comando. Você pode usar o | match bfd
filtro para restringir a saída.
user@host:A> show bgp neighbor | match bfd Options: <BfdEnabled> BFD: enabled, up Trace file: /var/log/A/bgp-bfd size 131072 files 10 Options: <BfdEnabled> BFD: enabled, up Trace file: /var/log/A/bgp-bfd size 131072 files 10
Significado
A saída mostra que o Logical System A tem dois vizinhos com BFD habilitado. Quando a BFD não está habilitada, a saída é exibida BFD: disabled, down
e a opção <BfdEnabled>
está ausente. Se o BFD estiver habilitado e a sessão estiver baixa, a saída será exibida BFD: enabled, down
. A saída também mostra que eventos relacionados à BFD estão sendo escritos em um arquivo de log porque as operações de rastreamento estão configuradas.
Verificando se as sessões de BFD estão ativas
Propósito
Verifique se as sessões de BFD estão ativas e veja detalhes sobre as sessões de BFD.
Ação
A partir do modo operacional, entre no show bfd session extensive
comando.
user@host:A> show bfd session extensive Detect Transmit Address State Interface Time Interval Multiplier 192.163.6.4 Up 3.000 1.000 3 Client BGP, TX interval 1.000, RX interval 1.000 Session up time 00:54:40 Local diagnostic None, remote diagnostic None Remote state Up, version 1 Logical system 12, routing table index 25 Min async interval 1.000, min slow interval 1.000 Adaptive async TX interval 1.000, RX interval 1.000 Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3 Remote min TX interval 1.000, min RX interval 1.000, multiplier 3 Local discriminator 10, remote discriminator 9 Echo mode disabled/inactive Multi-hop route table 25, local-address 192.168.6.5 Detect Transmit Address State Interface Time Interval Multiplier 192.168.40.4 Up 3.000 1.000 3 Client BGP, TX interval 1.000, RX interval 1.000 Session up time 00:48:03 Local diagnostic None, remote diagnostic None Remote state Up, version 1 Logical system 12, routing table index 25 Min async interval 1.000, min slow interval 1.000 Adaptive async TX interval 1.000, RX interval 1.000 Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3 Remote min TX interval 1.000, min RX interval 1.000, multiplier 3 Local discriminator 14, remote discriminator 13 Echo mode disabled/inactive Multi-hop route table 25, local-address 192.168.6.5 2 sessions, 2 clients Cumulative transmit rate 2.0 pps, cumulative receive rate 2.0 pps
Significado
A TX interval 1.000, RX interval 1.000
saída representa a configuração configurada com a minimum-interval
declaração. Todas as outras saídas representam as configurações padrão para BFD. Para modificar as configurações padrão, inclua as declarações opcionais sob a bfd-liveness-detection
declaração.
Visualização de eventos detalhados de BFD
Propósito
Visualize o conteúdo do arquivo de rastreamento BFD para ajudar na solução de problemas, se necessário.
Ação
A partir do modo operacional, entre no file show /var/log/A/bgp-bfd
comando.
user@host:A> file show /var/log/A/bgp-bfd Aug 15 17:07:25 trace_on: Tracing to "/var/log/A/bgp-bfd" started Aug 15 17:07:26.492190 bgp_peer_init: BGP peer 192.163.6.4 (Internal AS 17) local address 192.168.6.5 not found. Leaving peer idled Aug 15 17:07:26.493176 bgp_peer_init: BGP peer 192.168.40.4 (Internal AS 17) local address 192.168.6.5 not found. Leaving peer idled Aug 15 17:07:32.597979 task_connect: task BGP_17.192.163.6.4+179 addr 192.163.6.4+179: No route to host Aug 15 17:07:32.599623 bgp_connect_start: connect 192.163.6.4 (Internal AS 17): No route to host Aug 15 17:07:36.869394 task_connect: task BGP_17.192.168.40.4+179 addr 192.168.40.4+179: No route to host Aug 15 17:07:36.870624 bgp_connect_start: connect 192.168.40.4 (Internal AS 17): No route to host Aug 15 17:08:04.599220 task_connect: task BGP_17.192.163.6.4+179 addr 192.163.6.4+179: No route to host Aug 15 17:08:04.601135 bgp_connect_start: connect 192.163.6.4 (Internal AS 17): No route to host Aug 15 17:08:08.869717 task_connect: task BGP_17.192.168.40.4+179 addr 192.168.40.4+179: No route to host Aug 15 17:08:08.869934 bgp_connect_start: connect 192.168.40.4 (Internal AS 17): No route to host Aug 15 17:08:36.603544 advertising receiving-speaker only capabilty to neighbor 192.163.6.4 (Internal AS 17) Aug 15 17:08:36.606726 bgp_read_message: 192.163.6.4 (Internal AS 17): 0 bytes buffered Aug 15 17:08:36.609119 Initiated BFD session to peer 192.163.6.4 (Internal AS 17): address=192.163.6.4 ifindex=0 ifname=(none) txivl=1000 rxivl=1000 mult=3 ver=255 Aug 15 17:08:36.734033 advertising receiving-speaker only capabilty to neighbor 192.168.40.4 (Internal AS 17) Aug 15 17:08:36.738436 Initiated BFD session to peer 192.168.40.4 (Internal AS 17): address=192.168.40.4 ifindex=0 ifname=(none) txivl=1000 rxivl=1000 mult=3 ver=255 Aug 15 17:08:40.537552 BFD session to peer 192.163.6.4 (Internal AS 17) up Aug 15 17:08:40.694410 BFD session to peer 192.168.40.4 (Internal AS 17) up
Significado
Antes que as rotas sejam estabelecidas, a No route to host
mensagem aparece na saída. Após a criação das rotas, as duas últimas linhas mostram que ambas as sessões de BFD surgem.
Visualização de eventos detalhados de BFD após desativar e reativar uma interface de loopback
Propósito
Verifique o que acontece depois de derrubar um roteador ou switch e depois trazê-lo de volta. Para simular a queda de um roteador ou switch, desativar a interface de loopback no Logical System B.
Ação
A partir do modo de configuração, entre no
deactivate logical-systems B interfaces lo0 unit 2 family inet
comando.user@host:A# deactivate logical-systems B interfaces lo0 unit 2 family inet user@host:A# commit
A partir do modo operacional, entre no
file show /var/log/A/bgp-bfd
comando.user@host:A> file show /var/log/A/bgp-bfd ... Aug 15 17:20:55.995648 bgp_read_v4_message:9747: NOTIFICATION received from 192.163.6.4 (Internal AS 17): code 6 (Cease) subcode 6 (Other Configuration Change) Aug 15 17:20:56.004508 Terminated BFD session to peer 192.163.6.4 (Internal AS 17) Aug 15 17:21:28.007755 task_connect: task BGP_17.192.163.6.4+179 addr 192.163.6.4+179: No route to host Aug 15 17:21:28.008597 bgp_connect_start: connect 192.163.6.4 (Internal AS 17): No route to host
A partir do modo de configuração, entre no
activate logical-systems B interfaces lo0 unit 2 family inet
comando.user@host:A# activate logical-systems B interfaces lo0 unit 2 family inet user@host:A# commit
A partir do modo operacional, entre no
file show /var/log/A/bgp-bfd
comando.user@host:A> file show /var/log/A/bgp-bfd ... Aug 15 17:25:53.623743 advertising receiving-speaker only capabilty to neighbor 192.163.6.4 (Internal AS 17) Aug 15 17:25:53.631314 Initiated BFD session to peer 192.163.6.4 (Internal AS 17): address=192.163.6.4 ifindex=0 ifname=(none) txivl=1000 rxivl=1000 mult=3 ver=255 Aug 15 17:25:57.570932 BFD session to peer 192.163.6.4 (Internal AS 17) up
Entendendo a autenticação de BFD para BGP
O protocolo de detecção de encaminhamento bidirecional (BFD) permite a detecção rápida de falhas de comunicação entre sistemas adjacentes. Por padrão, a autenticação para sessões de BFD é desativada. No entanto, quando você executa a BFD sobre protocolos de camada de rede, o risco de ataques de serviço pode ser significativo. Recomendamos fortemente o uso da autenticação se você estiver executando BFD em vários saltos ou através de túneis inseguros. Começando com o Junos OS Release 9.6, o Junos OS oferece suporte à autenticação para sessões de BFD sendo executadas no BGP. A autenticação de BFD não é suportada em sessões de OAM MPLS. A autenticação de BFD só é suportada na versão do Canadá e dos Estados Unidos da imagem do Junos OS e não está disponível na versão de exportação.
Você autentica as sessões de BFD especificando um algoritmo de autenticação e chaveiro e, em seguida, associando essas informações de configuração com um chaveiro de autenticação de segurança usando o nome do chaveiro.
As seções a seguir descrevem os algoritmos de autenticação suportados, chaveiros de segurança e o nível de autenticação que podem ser configurados:
- Algoritmos de autenticação de BFD
- Chaveiros de autenticação de segurança
- Autenticação rigorosa versus frouxa
Algoritmos de autenticação de BFD
O Junos OS oferece suporte aos seguintes algoritmos para autenticação de BFD:
simple-password— Senha de texto simples. Um a 16 bytes de texto simples são usados para autenticar a sessão de BFD. Uma ou mais senhas podem ser configuradas. Este método é o menos seguro e deve ser usado apenas quando as sessões de BFD não estiverem sujeitas à interceptação de pacotes.
keyed-md5— Algoritmo de hash keyed Message Digest 5 para sessões com intervalos de transmissão e recebimento superiores a 100 ms. Para autenticar a sessão de BFD, o MD5 chaveado usa uma ou mais chaves secretas (geradas pelo algoritmo) e um número de sequência que é atualizado periodicamente. Com esse método, os pacotes são aceitos no final da sessão se uma das chaves combinar e o número de sequência for maior do que ou igual ao número da última sequência recebida. Embora seja mais seguro do que uma senha simples, esse método é vulnerável a ataques de repetição. Aumentar a taxa em que o número da sequência é atualizado pode reduzir esse risco.
meticulous-keyed-md5— Algoritmo de hash da Message Digest 5 com chave meticulosa. Esse método funciona da mesma maneira que o MD5 chaveado, mas o número de sequência é atualizado com cada pacote. Embora seja mais seguro do que o MD5 chaveado e senhas simples, esse método pode levar mais tempo para autenticar a sessão.
keyed-sha-1— Keyed Secure Hash Algorithm I para sessões com intervalos de transmissão e recebimento superiores a 100 ms. Para autenticar a sessão de BFD, a SHA chaveada usa uma ou mais chaves secretas (geradas pelo algoritmo) e um número de sequência que é atualizado periodicamente. A chave não é carregada dentro dos pacotes. Com este método, os pacotes são aceitos no final da sessão se uma das chaves combinar e o número da sequência for maior do que o número da última sequência recebida.
meticulous-keyed-sha-1— Algoritmo de hash seguro meticuloso e chave I. Este método funciona da mesma maneira que o SHA chaveado, mas o número de sequência é atualizado com cada pacote. Embora seja mais seguro do que o SHA chaveado e senhas simples, esse método pode levar mais tempo para autenticar a sessão.
O roteamento ativo sem parar (NSR) não é suportado com algoritmos de autenticação meticuloso-keyed-keyed-md5 e meticuloso-keyed-keyed-sha-1. As sessões de BFD usando esses algoritmos podem cair após uma mudança.
os switches da Série QFX5000 e os switches EX4600 não oferecem suporte a valores mínimos de intervalo de menos de 1 segundo.
Chaveiros de autenticação de segurança
O chaveiro de autenticação de segurança define os atributos de autenticação usados para autenticação das principais atualizações. Quando o keychain de autenticação de segurança é configurado e associado a um protocolo por meio do nome do chaveiro, as atualizações chave de autenticação podem ocorrer sem interromper os protocolos de roteamento e sinalização.
O chaveiro de autenticação contém um ou mais chaveiros. Cada chaveiro contém uma ou mais chaves. Cada chave detém os dados secretos e o momento em que a chave se torna válida. O algoritmo e a chaveiro devem ser configurados em ambas as extremidades da sessão de BFD, e eles devem combinar. Qualquer incompatibilidade na configuração impede que a sessão de BFD seja criada.
A BFD permite vários clientes por sessão, e cada cliente pode ter sua própria chaveiro e algoritmo definidos. Para evitar confusão, recomendamos especificar apenas um chaveiro de autenticação de segurança.
Autenticação rigorosa versus frouxa
Por padrão, a autenticação rigorosa é habilitada e a autenticação é verificada em ambas as extremidades de cada sessão de BFD. Opcionalmente, para facilitar a migração de sessões não autenticadas para sessões autenticadas, você pode configurar a verificação frouxa. Quando a verificação frouxa é configurada, os pacotes são aceitos sem que a autenticação seja verificada em cada extremidade da sessão. Esse recurso destina-se apenas a períodos de transição.
Consulte também
Exemplo: Configuração da autenticação de BFD para BGP
Começando com o Junos OS Release 9.6, você pode configurar a autenticação para sessões de BFD em execução no BGP. Apenas três etapas são necessárias para configurar a autenticação em uma sessão de BFD:
Especifique o algoritmo de autenticação de BFD para o protocolo BGP.
Associe o keychain de autenticação com o protocolo BGP.
Configure o keychain de autenticação de segurança relacionado.
As seções a seguir fornecem instruções para configurar e visualizar a autenticação de BFD no BGP:
- Configuração de parâmetros de autenticação de BFD
- Visualização de informações de autenticação para sessões de BFD
Configuração de parâmetros de autenticação de BFD
A autenticação de BFD pode ser configurada para todo o protocolo BGP, ou para um grupo BGP específico, vizinho ou instância de roteamento.
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter informações sobre como navegar na CLI, consulte Usando o Editor de CLI no modo de configuração no Guia de usuário do Junos OS CLI.
Para configurar a autenticação de BFD:
A autenticação de BFD só é suportada na versão do Canadá e dos Estados Unidos da imagem do Junos OS e não está disponível na versão de exportação.
Visualização de informações de autenticação para sessões de BFD
Você pode ver a configuração de autenticação BFD existente usando os comandos e show bfd session extensive
comandosshow bfd session detail
.
O exemplo a seguir mostra a autenticação de BFD configurada para o bgp-gr1
grupo BGP. Ele especifica o algoritmo de autenticação SHA-1 chaveado e um nome de chaveiro.bfd-bgp
O chaveiro de autenticação está configurado com duas chaves. A chave 1 contém os dados secretos "$ABC123$ABC123" e um horário de início de 1 de junho de 2009, às 9:46:02 PST. Key 2 contém os dados secretos "$ABC123$ABC123" e uma hora de início de 1º de junho de 2009, às 15h29 PST.
[edit protocols bgp] group bgp-gr1 { bfd-liveness-detection { authentication { algorithm keyed-sha-1; key-chain bfd-bgp; } } } [edit security] authentication key-chains { key-chain bfd-bgp { key 1 { secret “$ABC123$ABC123”; start-time “2009-6-1.09:46:02 -0700”; } key 2 { secret “$ABC123$ABC123”; start-time “2009-6-1.15:29:20 -0700”; } } }
Se você confirmar essas atualizações à sua configuração, verá uma saída semelhante à seguinte. Na saída para o show bfd session detail
comando, Authenticate é exibido para indicar que a autenticação de BFD está configurada. Para obter mais informações sobre a configuração, use o show bfd session extensive
comando. A saída para este comando fornece o nome de chaveiro, o algoritmo e o modo de autenticação para cada cliente na sessão, e o status geral de configuração de autenticação de BFD, nome do chaveiro e algoritmo e modo de autenticação.
mostrar detalhes da sessão ofuscada
user@host# show bfd session detail Detect Transmit Address State Interface Time Interval Multiplier 192.0.2.2 Up ge-0/1/5.0 0.900 0.300 3 Client BGP, TX interval 0.300, RX interval 0.300, Authenticate Session up time 3d 00:34 Local diagnostic None, remote diagnostic NbrSignal Remote state Up, version 1 Replicated
mostrar sessão ofuscada extensa
user@host# show bfd session extensive Detect Transmit Address State Interface Time Interval Multiplier 192.0.2.2 Up ge-0/1/5.0 0.900 0.300 3 Client BGP, TX interval 0.300, RX interval 0.300, Authenticate keychain bfd-bgp, algo keyed-sha-1, mode strict Session up time 00:04:42 Local diagnostic None, remote diagnostic NbrSignal Remote state Up, version 1 Replicated Min async interval 0.300, min slow interval 1.000 Adaptive async TX interval 0.300, RX interval 0.300 Local min TX interval 0.300, minimum RX interval 0.300, multiplier 3 Remote min TX interval 0.300, min RX interval 0.300, multiplier 3 Local discriminator 2, remote discriminator 2 Echo mode disabled/inactive Authentication enabled/active, keychain bfd-bgp, algo keyed-sha-1, mode strict
Tabela de histórico de alterações
A compatibillidadde com o recurso dependerá da platadorma e versão utilizada. Use o Feature Explorer para saber se o recurso é compatível com sua plataforma.