BGP セッションの BFD
BGPのBFDについて
双方向フォワーディング検出(BFD)プロトコルは、ネットワーク内の障害を検出する単純なhelloメカニズムです。Helloパケットは指定された、定期的な間隔で送信されます。ネイバー障害は、ルーティングデバイスが指定した時間経過後に応答の受信を停止すると検出されます。BFDは、さまざまなネットワーク環境とトポロジーで動作します。BFDの障害検出タイマーは、BGPのデフォルトの障害検出メカニズムよりも制限時間が短いため、より高速に検出できます。
同じデバイス上でBGPに対してBFDとグレースフルリスタートの両方を設定するのは逆効果です。インターフェイスがダウンすると、BFD はこれを即座に検出し、トラフィック転送を停止して BGP セッションがダウンしますが、グレースフル リスタートはインターフェイス障害にもかかわらずトラフィックを転送します。この動作はネットワークの問題の原因になる可能性があります。そのため、同じデバイス上でBFDとグレースフルリスタートの両方を設定することはお勧めしません。
EX4600 スイッチは、1 秒未満の最小間隔値をサポートしていません。
QFX5110、QFX5120、QFX5200、および QFX5210 スイッチは、マルチホップ双方向フォワーディング検出(BFD)インラインキープアライブをサポートしており、セッションを 1 秒未満で設定できます。パフォーマンスは、システムの負荷によって異なる場合があります。10のインラインBFDセッションがサポートされており、150 x 3ミリ秒のタイマーで設定できます。シングルホップセッションもサポートされています。
BFDの障害検出タイマーは、速くまたは遅くするように調整できます。BFD障害検出タイマーの値が低いほど、障害検出が速くなり、その逆も同様です。たとえば、隣接関係に障害が発生した場合(つまり、タイマーが障害の検出に速度を落とした場合)、タイマーはより高い値に適応できます。または、ネイバーは、設定された値よりも高い値のタイマーをネゴシエートできます。BFDセッションのフラップが15秒間(15000ミリ秒)に3回以上発生すると、タイマーはより高い値に適応します。バックオフアルゴリズムは、ローカルBFDインスタンスがセッションフラップの原因である場合に、受信(Rx)の間隔を2つ増加させます。リモートBFDインスタンスがセッションフラップの原因である場合は、送信(Tx)の間隔が2つ増加します。clear bfd adaptationコマンドを使用すれば、BFD間隔タイマーを設定した値に戻すことができます。clear bfd adaptationコマンドはヒットレスであり、コマンドがルーティングデバイスのトラフィックフローに影響を及ぼすことはありません。
すべての SRXシリーズファイアウォールでは、CPUを集中的に使用するコマンドやSNMPウォークなどの理由で高いCPU使用率が発生すると、大きなBGPアップデートの処理中にBFDプロトコルがフラップします。(プラットフォームのサポートは、インストールされたJunos OSリリースによって異なります)。
Junos OSリリース15.1X49-D100以降、SRX340、SRX345、およびSRX1500デバイスは専用BFDをサポートしています。
Junos OS リリース 15.1X49-D100 以降、SRX300 および SRX320 デバイスはリアルタイム BFD に対応しています。
Junos OSリリース15.1X49-D110以降、専用BFDをサポートするSRX550Mデバイスがあります。
Junos OS Release 8.3以降では、BFDは、シングルホップEBGPセッションだけでなく、内部BGP(IBGP)およびマルチホップ外部BGP(EBGP)セッションでもサポートされています。Junos OSリリース9.1からJunos OSリリース11.1では、BFDはスタティックルートでのみIPv6インターフェイスをサポートします。Junos OS Release 11.2 以降では、BFD は BGP による IPv6 インターフェイスをサポートします。
関連項目
例:内部 BGP ピア セッションでの BFD の設定
この例では、双方向フォワーディング検出(BFD)プロトコルを使用して内部BGP(IBGP)ピアセッションを構成し、ネットワークの障害を検出する方法を示します。
要件
この例を構成する前に、デバイスの初期化以上の特別な構成は必要ありません。
概要
IBGP セッションで BFD を有効にするための最小設定は、BFD セッションに参加しているすべてのネイバーの BGP 設定に bfd-liveness-detection minimum-interval ステートメントを含めることです。minimum-interval ステートメントは、障害検出の最小送信間隔と受信間隔を指定します。具体的には、この値は、ローカル ルーティング デバイスが hello パケットを送信する最小間隔と、ルーティング デバイスが BFD セッションを確立したネイバーからの応答を受信すると予想される最小間隔を表します。1 〜 255,000 ミリ秒の値を設定できます。
オプションで、 transmit-interval minimum-interval ステートメントと minimum-receive-interval ステートメントを使用して、最小の送信間隔と受信間隔を個別に指定できます。これらおよびその他のオプションの BFD 設定ステートメントについては、 bfd-liveness-detectionを参照してください。
BFDは、システムリソースを消費する集中的なプロトコルです。BFD の最小間隔を、ルーティングエンジンベースのセッションでは 100 ミリ秒未満、分散 BFD セッションでは 10 ミリ秒未満に指定すると、望ましくない BFD フラッピングが発生する可能性があります。
ネットワーク環境によっては、次の追加の推奨事項が適用される場合があります。
一般的なルーティングエンジンスイッチオーバーイベント中にBFDフラッピングが発生しないようにするには、ルーティングエンジンベースのセッションの最小間隔を5000ミリ秒に指定します。この最小値が必要なのは、一般的なルーティング エンジン スイッチオーバー イベント中に、RPD、MIBD、SNMPD などのプロセスが、指定されたしきい値を超えて CPU リソースを使用するためです。したがって、BFDの処理とスケジューリングは、このCPUリソースの不足により影響を受けます。
デュアルシャーシクラスタ制御リンクのシナリオでBFDセッションを立ち上げたままにするには、ルーティングエンジンベースのセッションのセカンダリノードでLACPがフラッピングするのを防ぐために、最小間隔を6000ミリ秒に指定します。
多数のBFDセッションを伴う大規模なネットワーク展開の場合、ルーティングエンジンベースのセッションの最小間隔を300ミリ秒、分散BFDセッションの最小間隔を100ミリ秒に指定します。
多数のBFDセッションを伴う大規模なネットワーク導入の場合は、ジュニパーネットワークスのカスタマーサポートにお問い合わせください。
ノンストップアクティブルーティング(NSR)が設定されている場合、ルーティングエンジンスイッチオーバーイベント中にBFDセッションを立ち上げたままにするには、ルーティングエンジンベースのセッションの最小間隔を2500ミリ秒に指定します。NSR が設定された分散 BFD セッションの場合、推奨される最小間隔は変更されず、ネットワークの導入状況にのみ依存します。
BFD は、デフォルトのルーティングインスタンス(メインルーター)、ルーティングインスタンス、および論理システムでサポートされています。この例は、論理システムでの BFD を示しています。
図 1は、内部ピア セッションを持つ典型的なネットワークを示しています。
設定
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、[edit]階層レベルのCLIにコマンドをコピー&ペーストしてください。
1 デバイスA 1
set logical-systems A interfaces lt-1/2/0 unit 1 description to-B set logical-systems A interfaces lt-1/2/0 unit 1 encapsulation ethernet set logical-systems A interfaces lt-1/2/0 unit 1 peer-unit 2 set logical-systems A interfaces lt-1/2/0 unit 1 family inet address 10.10.10.1/30 set logical-systems A interfaces lo0 unit 1 family inet address 192.168.6.5/32 set logical-systems A protocols bgp group internal-peers type internal set logical-systems A protocols bgp group internal-peers traceoptions file bgp-bfd set logical-systems A protocols bgp group internal-peers traceoptions flag bfd detail set logical-systems A protocols bgp group internal-peers local-address 192.168.6.5 set logical-systems A protocols bgp group internal-peers export send-direct set logical-systems A protocols bgp group internal-peers bfd-liveness-detection minimum-interval 1000 set logical-systems A protocols bgp group internal-peers neighbor 192.163.6.4 set logical-systems A protocols bgp group internal-peers neighbor 192.168.40.4 set logical-systems A protocols ospf area 0.0.0.0 interface lo0.1 passive set logical-systems A protocols ospf area 0.0.0.0 interface lt-1/2/0.1 set logical-systems A policy-options policy-statement send-direct term 2 from protocol direct set logical-systems A policy-options policy-statement send-direct term 2 then accept set logical-systems A routing-options router-id 192.168.6.5 set logical-systems A routing-options autonomous-system 17
1 デバイスB 1
set logical-systems B interfaces lt-1/2/0 unit 2 description to-A set logical-systems B interfaces lt-1/2/0 unit 2 encapsulation ethernet set logical-systems B interfaces lt-1/2/0 unit 2 peer-unit 1 set logical-systems B interfaces lt-1/2/0 unit 2 family inet address 10.10.10.2/30 set logical-systems B interfaces lt-1/2/0 unit 5 description to-C set logical-systems B interfaces lt-1/2/0 unit 5 encapsulation ethernet set logical-systems B interfaces lt-1/2/0 unit 5 peer-unit 6 set logical-systems B interfaces lt-1/2/0 unit 5 family inet address 10.10.10.5/30 set logical-systems B interfaces lo0 unit 2 family inet address 192.163.6.4/32 set logical-systems B protocols bgp group internal-peers type internal set logical-systems B protocols bgp group internal-peers local-address 192.163.6.4 set logical-systems B protocols bgp group internal-peers export send-direct set logical-systems B protocols bgp group internal-peers bfd-liveness-detection minimum-interval 1000 set logical-systems B protocols bgp group internal-peers neighbor 192.168.40.4 set logical-systems B protocols bgp group internal-peers neighbor 192.168.6.5 set logical-systems B protocols ospf area 0.0.0.0 interface lo0.2 passive set logical-systems B protocols ospf area 0.0.0.0 interface lt-1/2/0.2 set logical-systems B protocols ospf area 0.0.0.0 interface lt-1/2/0.5 set logical-systems B policy-options policy-statement send-direct term 2 from protocol direct set logical-systems B policy-options policy-statement send-direct term 2 then accept set logical-systems B routing-options router-id 192.163.6.4 set logical-systems B routing-options autonomous-system 17
1 デバイスC 1
set logical-systems C interfaces lt-1/2/0 unit 6 description to-B set logical-systems C interfaces lt-1/2/0 unit 6 encapsulation ethernet set logical-systems C interfaces lt-1/2/0 unit 6 peer-unit 5 set logical-systems C interfaces lt-1/2/0 unit 6 family inet address 10.10.10.6/30 set logical-systems C interfaces lo0 unit 3 family inet address 192.168.40.4/32 set logical-systems C protocols bgp group internal-peers type internal set logical-systems C protocols bgp group internal-peers local-address 192.168.40.4 set logical-systems C protocols bgp group internal-peers export send-direct set logical-systems C protocols bgp group internal-peers bfd-liveness-detection minimum-interval 1000 set logical-systems C protocols bgp group internal-peers neighbor 192.163.6.4 set logical-systems C protocols bgp group internal-peers neighbor 192.168.6.5 set logical-systems C protocols ospf area 0.0.0.0 interface lo0.3 passive set logical-systems C protocols ospf area 0.0.0.0 interface lt-1/2/0.6 set logical-systems C policy-options policy-statement send-direct term 2 from protocol direct set logical-systems C policy-options policy-statement send-direct term 2 then accept set logical-systems C routing-options router-id 192.168.40.4 set logical-systems C routing-options autonomous-system 17
デバイス A を設定する
ステップバイステップでの手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
デバイス A を設定するには:
CLI を論理システム A に設定します。
user@host> set cli logical-system A
インターフェイスを設定します。
[edit interfaces lt-1/2/0 unit 1] user@host:A# set description to-B user@host:A# set encapsulation ethernet user@host:A# set peer-unit 2 user@host:A# set family inet address 10.10.10.1/30 [edit interfaces lo0 unit 1] user@host:A# set family inet address 192.168.6.5/32
BGP を設定します。
機器 A と機器 C が直接接続されていないにもかかわらず、機器Bと機器 C の両方についての
neighbor文が含まれている。[edit protocols bgp group internal-peers] user@host:A# set type internal user@host:A# set local-address 192.168.6.5 user@host:A# set export send-direct user@host:A# set neighbor 192.163.6.4 user@host:A# set neighbor 192.168.40.4
BFD を設定します。
[edit protocols bgp group internal-peers] user@host:A# set bfd-liveness-detection minimum-interval 1000
接続ピアで同じ最小間隔を設定する必要があります。
(オプション)BFD トレースを設定します。
[edit protocols bgp group internal-peers] user@host:A# set traceoptions file bgp-bfd user@host:A# set traceoptions flag bfd detail
OSPFを設定します。
[edit protocols ospf area 0.0.0.0] user@host:A# set interface lo0.1 passive user@host:A# set interface lt-1/2/0.1
直接ルートを受け入れるポリシーを設定します。
このシナリオの他の有用なオプションは、OSPF またはローカル ルートで学習したルートを受け入れることかもしれません。
[edit policy-options policy-statement send-direct term 2] user@host:A# set from protocol direct user@host:A# set then accept
ルーターIDと自律システム(AS)番号を設定する。
[edit routing-options] user@host:A# set router-id 192.168.6.5 user@host:A# set autonomous-system 17
デバイスの設定が完了したら、設定モードから
commitを入力します。 以下の手順を繰り返して、デバイス B とデバイス C を設定します。
結果
設定モードから、show interfaces 、show policy-options、show protocols、およびshow routing-options のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host:A# show interfaces
lt-1/2/0 {
unit 1 {
description to-B;
encapsulation ethernet;
peer-unit 2;
family inet {
address 10.10.10.1/30;
}
}
}
lo0 {
unit 1 {
family inet {
address 192.168.6.5/32;
}
}
}
user@host:A# show policy-options
policy-statement send-direct {
term 2 {
from protocol direct;
then accept;
}
}
user@host:A# show protocols
bgp {
group internal-peers {
type internal;
traceoptions {
file bgp-bfd;
flag bfd detail;
}
local-address 192.168.6.5;
export send-direct;
bfd-liveness-detection {
minimum-interval 1000;
}
neighbor 192.163.6.4;
neighbor 192.168.40.4;
}
}
ospf {
area 0.0.0.0 {
interface lo0.1 {
passive;
}
interface lt-1/2/0.1;
}
}
user@host:A# show routing-options router-id 192.168.6.5; autonomous-system 17;
検証
設定が正常に機能していることを確認します。
- BFD が有効になっていることを確認する
- BFD セッションが立ち上がっていることの確認
- 詳細な BFD イベントの表示
- ループバックインターフェイスを非アクティブ化および再アクティブ化した後の詳細なBFDイベントの表示
BFD が有効になっていることを確認する
目的
IBGPピア間でBFDが有効になっていることを確認します。
アクション
動作モードからshow bgp neighborコマンドを入力します。| match bfdフィルターを使用して、出力を絞り込むことができます。
user@host:A> show bgp neighbor | match bfd Options: <BfdEnabled> BFD: enabled, up Trace file: /var/log/A/bgp-bfd size 131072 files 10 Options: <BfdEnabled> BFD: enabled, up Trace file: /var/log/A/bgp-bfd size 131072 files 10
意味
出力は、論理システム A に BFD が有効な 2 つのネイバーがあることを示しています。BFD が有効になっていない場合、出力は BFD: disabled, down と表示され、 <BfdEnabled> オプションは表示されません。BFD が有効でセッションがダウンしている場合、出力には BFD: enabled, down と表示されます。また、トレース操作が設定されているため、BFD 関連のイベントがログファイルに書き込まれていることも出力で示しています。
BFD セッションが立ち上がっていることの確認
目的
BFDセッションが立ち上がっていることを確認し、BFDセッションの詳細を表示します。
アクション
動作モードからshow bfd session extensiveコマンドを入力します。
user@host:A> show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
192.163.6.4 Up 3.000 1.000 3
Client BGP, TX interval 1.000, RX interval 1.000
Session up time 00:54:40
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Logical system 12, routing table index 25
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 10, remote discriminator 9
Echo mode disabled/inactive
Multi-hop route table 25, local-address 192.168.6.5
Detect Transmit
Address State Interface Time Interval Multiplier
192.168.40.4 Up 3.000 1.000 3
Client BGP, TX interval 1.000, RX interval 1.000
Session up time 00:48:03
Local diagnostic None, remote diagnostic None
Remote state Up, version 1
Logical system 12, routing table index 25
Min async interval 1.000, min slow interval 1.000
Adaptive async TX interval 1.000, RX interval 1.000
Local min TX interval 1.000, minimum RX interval 1.000, multiplier 3
Remote min TX interval 1.000, min RX interval 1.000, multiplier 3
Local discriminator 14, remote discriminator 13
Echo mode disabled/inactive
Multi-hop route table 25, local-address 192.168.6.5
2 sessions, 2 clients
Cumulative transmit rate 2.0 pps, cumulative receive rate 2.0 pps意味
TX interval 1.000, RX interval 1.000出力は、minimum-interval ステートメントで構成された設定を表しています。その他の出力はすべて、BFDのデフォルト設定を表しています。デフォルトの設定を変更するには、ステートメントの下にオプションのステーbfd-liveness-detectionトメントを含めます。
詳細な BFD イベントの表示
目的
BFDトレースファイルの内容を表示し、必要に応じてトラブルシューティングに役立てることができます。
アクション
動作モードからfile show /var/log/A/bgp-bfdコマンドを入力します。
user@host:A> file show /var/log/A/bgp-bfd Aug 15 17:07:25 trace_on: Tracing to "/var/log/A/bgp-bfd" started Aug 15 17:07:26.492190 bgp_peer_init: BGP peer 192.163.6.4 (Internal AS 17) local address 192.168.6.5 not found. Leaving peer idled Aug 15 17:07:26.493176 bgp_peer_init: BGP peer 192.168.40.4 (Internal AS 17) local address 192.168.6.5 not found. Leaving peer idled Aug 15 17:07:32.597979 task_connect: task BGP_17.192.163.6.4+179 addr 192.163.6.4+179: No route to host Aug 15 17:07:32.599623 bgp_connect_start: connect 192.163.6.4 (Internal AS 17): No route to host Aug 15 17:07:36.869394 task_connect: task BGP_17.192.168.40.4+179 addr 192.168.40.4+179: No route to host Aug 15 17:07:36.870624 bgp_connect_start: connect 192.168.40.4 (Internal AS 17): No route to host Aug 15 17:08:04.599220 task_connect: task BGP_17.192.163.6.4+179 addr 192.163.6.4+179: No route to host Aug 15 17:08:04.601135 bgp_connect_start: connect 192.163.6.4 (Internal AS 17): No route to host Aug 15 17:08:08.869717 task_connect: task BGP_17.192.168.40.4+179 addr 192.168.40.4+179: No route to host Aug 15 17:08:08.869934 bgp_connect_start: connect 192.168.40.4 (Internal AS 17): No route to host Aug 15 17:08:36.603544 advertising receiving-speaker only capabilty to neighbor 192.163.6.4 (Internal AS 17) Aug 15 17:08:36.606726 bgp_read_message: 192.163.6.4 (Internal AS 17): 0 bytes buffered Aug 15 17:08:36.609119 Initiated BFD session to peer 192.163.6.4 (Internal AS 17): address=192.163.6.4 ifindex=0 ifname=(none) txivl=1000 rxivl=1000 mult=3 ver=255 Aug 15 17:08:36.734033 advertising receiving-speaker only capabilty to neighbor 192.168.40.4 (Internal AS 17) Aug 15 17:08:36.738436 Initiated BFD session to peer 192.168.40.4 (Internal AS 17): address=192.168.40.4 ifindex=0 ifname=(none) txivl=1000 rxivl=1000 mult=3 ver=255 Aug 15 17:08:40.537552 BFD session to peer 192.163.6.4 (Internal AS 17) up Aug 15 17:08:40.694410 BFD session to peer 192.168.40.4 (Internal AS 17) up
意味
ルートが確立される前に、 No route to host メッセージが出力に表示されます。ルートが確立されると、最後の 2 行に両方の BFD セッションが立ち上がることが示されます。
ループバックインターフェイスを非アクティブ化および再アクティブ化した後の詳細なBFDイベントの表示
目的
ルーターまたはスイッチを停止した後、再度起動した後の動作を確認します。ルーターまたはスイッチのダウンをシミュレートするには、論理システム B でループバック インターフェイスを無効にします。
アクション
設定モードから
deactivate logical-systems B interfaces lo0 unit 2 family inetコマンドを入力します。user@host:A# deactivate logical-systems B interfaces lo0 unit 2 family inet user@host:A# commit
動作モードから
file show /var/log/A/bgp-bfdコマンドを入力します。user@host:A> file show /var/log/A/bgp-bfd ... Aug 15 17:20:55.995648 bgp_read_v4_message:9747: NOTIFICATION received from 192.163.6.4 (Internal AS 17): code 6 (Cease) subcode 6 (Other Configuration Change) Aug 15 17:20:56.004508 Terminated BFD session to peer 192.163.6.4 (Internal AS 17) Aug 15 17:21:28.007755 task_connect: task BGP_17.192.163.6.4+179 addr 192.163.6.4+179: No route to host Aug 15 17:21:28.008597 bgp_connect_start: connect 192.163.6.4 (Internal AS 17): No route to host
設定モードから
activate logical-systems B interfaces lo0 unit 2 family inetコマンドを入力します。user@host:A# activate logical-systems B interfaces lo0 unit 2 family inet user@host:A# commit
動作モードから
file show /var/log/A/bgp-bfdコマンドを入力します。user@host:A> file show /var/log/A/bgp-bfd ... Aug 15 17:25:53.623743 advertising receiving-speaker only capabilty to neighbor 192.163.6.4 (Internal AS 17) Aug 15 17:25:53.631314 Initiated BFD session to peer 192.163.6.4 (Internal AS 17): address=192.163.6.4 ifindex=0 ifname=(none) txivl=1000 rxivl=1000 mult=3 ver=255 Aug 15 17:25:57.570932 BFD session to peer 192.163.6.4 (Internal AS 17) up
BGPのBFD認証について
双方向フォワーディング検出プロトコル(BFD)により、隣接システム間の通信障害を迅速に検出できます。デフォルトでは、BFD セッションの認証は無効になっています。ただし、ネットワーク層プロトコル上で BFD を実行すると、サービス攻撃のリスクが大きくなる可能性があります。複数のホップまたは安全でないトンネルを介してBFDを実行している場合は、認証を使用することを強くお勧めします。Junos OS リリース 9.6 以降、Junos OS は BGP 上で実行される BFD セッションの認証をサポートしています。BFD 認証は、MPLS OAM セッションではサポートされていません。BFD 認証は、カナダおよび米国バージョンの Junos OS イメージでのみサポートされており、エクスポート バージョンでは使用できません。
BFD セッションを認証するには、認証アルゴリズムとキーチェーンを指定し、そのキーチェーン名を使用して、その設定情報をセキュリティ認証キーチェーンに関連付けます。
次のセクションでは、サポートされている認証アルゴリズム、セキュリティ キーチェーン、および設定可能な認証レベルについて説明します。
BFD認証アルゴリズム
Junos OSは、BFD認証について以下のアルゴリズムをサポートしています。
simple-password- プレーンテキストのパスワード。1〜16バイトのプレーンテキストがBFDセッションの認証に使用されます。1 つ以上のパスワードを設定できます。この方法は最も安全性が低く、BFD セッションがパケット傍受の影響を受けない場合にのみ使用してください。
keyed-md5- 送信および受信間隔が 100 ミリ秒を超えるセッション用のキー付きメッセージ ダイジェスト 5 ハッシュ アルゴリズム。BFD セッションを認証するために、keyed MD5 は 1 つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。この方法では、キーの 1 つが一致し、シーケンス番号が最後に受信したシーケンス番号以上の場合、セッションの受信側でパケットが受け入れられます。この方法は単純なパスワードよりも安全ですが、リプレイ攻撃に対して脆弱です。シーケンス番号の更新頻度を上げると、このリスクを軽減できます。
meticulous-keyed-md5- 綿密なキー付きメッセージ ダイジェスト 5 ハッシュ アルゴリズム。この方法は、キー付き MD5 と同じように機能しますが、シーケンス番号はパケットごとに更新されます。この方法は、キーによる MD5 や単純なパスワードよりも安全ですが、セッションの認証にさらに時間がかかる場合があります。
keyed-sha-1- 送信および受信間隔が 100 ミリ秒を超えるセッション用のキー付きセキュア ハッシュ アルゴリズム I。BFD セッションを認証するために、keyed SHA は 1 つ以上の秘密鍵(アルゴリズムによって生成)と定期的に更新されるシーケンス番号を使用します。キーはパケット内では伝送されません。この方法では、キーの1つが一致し、シーケンス番号が最後に受信したシーケンス番号より大きい場合、セッションの受信側でパケットが受け入れられます。
meticulous-keyed-sha-1—綿密なキー付きセキュアハッシュアルゴリズムI.このメソッドはキー付き SHA と同じように機能しますが、シーケンス番号はパケットごとに更新されます。この方法では、キー付き SHA や単純なパスワードよりも安全ですが、セッションの認証にさらに時間がかかる場合があります。
ノンストップ アクティブ ルーティング (NSR)は、meticulous-keyed-md5 認証アルゴリズムおよび meticulous-keyed-sha-1 認証アルゴリズムではサポートされていません。これらのアルゴリズムを使用する BFD セッションは、スイッチオーバー後にダウンする可能性があります。
QFX5000 シリーズ スイッチと EX4600 スイッチは、1 秒未満の最小間隔値をサポートしていません。
セキュリティ認証キーチェーン
セキュリティ認証キーチェーンは、認証キーの更新に使用される認証属性を定義します。セキュリティ認証キーチェーンが設定され、キーチェーン名を介してプロトコルに関連付けられている場合、ルーティングおよびシグナリングプロトコルを中断することなく認証キーの更新を行うことができます。
認証キーチェーンには、1 つ以上のキーチェーンが含まれています。各キーチェーンには、1 つ以上のキーが含まれています。各キーには、シークレット データと、キーが有効になる時刻が保持されます。アルゴリズムとキーチェーンは、BFD セッションの両端で設定する必要があり、一致する必要があります。設定の不一致があると、BFDセッションは作成されません。
BFD ではセッションごとに複数のクライアントを許可し、各クライアントに独自のキーチェーンとアルゴリズムを定義できます。混乱を避けるため、セキュリティ認証キーチェーンを 1 つだけ指定することをお勧めします。
ストリクト認証とルーズ認証
デフォルトでは、厳密な認証が有効になっており、各 BFD セッションの両端で認証がチェックされます。オプションで、非認証セッションから認証済みセッションへのスムーズな移行のために、 ルーズチェックを設定できます。ルーズ チェックが設定されている場合、パケットはセッションの両端で認証がチェックされずに受け入れられます。この機能は、移行期間のみを対象としています。
関連項目
例:BGP の BFD 認証の設定
Junos OS Release 9.6以降、BGP上で実行するBFDセッションの認証を設定できます。BFD セッションでの認証を構成するために必要な手順は 3 つだけです。
BGP プロトコルの BFD 認証アルゴリズムを指定します。
認証キーチェーンを BGP プロトコルに関連付けます。
関連するセキュリティ認証キーチェーンを設定します。
以下のセクションでは、BGP での BFD 認証の設定と表示の手順について説明します。
BFD 認証パラメータの設定
BFD認証は、BGPプロトコル全体、または特定のBGPグループ、ネイバー、もしくはルーティングインスタンスに対して設定できます。
次の例では、設定階層のいくつかのレベルに移動する必要があります。CLIのナビゲーションについては、Junos OS CLIユーザーガイドの 設定モードでCLIエディターを使用する を参照してください。
BFD 認証を設定するには:
BFD 認証は、カナダおよび米国バージョンの Junos OS イメージでのみサポートされており、エクスポート バージョンでは使用できません。
BFD セッションの認証情報の表示
既存の BFD 認証設定は、 show bfd session detail および show bfd session extensive コマンドを使用して表示できます。
以下の例は、 bgp-gr1 BGPグループに対して設定されたBFD認証を示しています。これは、キー付き SHA-1 認証アルゴリズムとキーチェーン名 bfd-bgp を指定します。認証キーチェーンは、2 つのキーで構成されます。キー 1 には、シークレット データ "$ABC123$ABC123" と開始時刻が 2009 年 6 月 1 日午前 9 時 46 分 02 秒 (PST) に含まれています。キー 2 には、シークレット データ "$ABC123$ABC123" と、2009 年 6 月 1 日午後 3 時 29 分 20 秒の開始時刻が含まれています。
[edit protocols bgp]
group bgp-gr1 {
bfd-liveness-detection {
authentication {
algorithm keyed-sha-1;
key-chain bfd-bgp;
}
}
}
[edit security]
authentication key-chains {
key-chain bfd-bgp {
key 1 {
secret “$ABC123$ABC123”;
start-time “2009-6-1.09:46:02 -0700”;
}
key 2 {
secret “$ABC123$ABC123”;
start-time “2009-6-1.15:29:20 -0700”;
}
}
}
これらの更新を設定にコミットすると、次のような出力が表示されます。show bfd session detail コマンドの出力には、BFD 認証が設定されていることを示す Authenticate が表示されています。設定の詳細については、 show bfd session extensive コマンドを使用してください。このコマンドの出力には、キーチェーン名、セッション内の各クライアントの認証アルゴリズムとモード、BFD 認証の全体的な設定ステータス、キーチェーン名、認証アルゴリズムとモードが表示されます。
BFDセッションの詳細を表示
user@host# show bfd session detail
Detect Transmit
Address State Interface Time Interval Multiplier
192.0.2.2 Up ge-0/1/5.0 0.900 0.300 3
Client BGP, TX interval 0.300, RX interval 0.300, Authenticate
Session up time 3d 00:34
Local diagnostic None, remote diagnostic NbrSignal
Remote state Up, version 1
Replicated
BFDセッション拡張を表示
user@host# show bfd session extensive
Detect Transmit
Address State Interface Time Interval Multiplier
192.0.2.2 Up ge-0/1/5.0 0.900 0.300 3
Client BGP, TX interval 0.300, RX interval 0.300, Authenticate
keychain bfd-bgp, algo keyed-sha-1, mode strict
Session up time 00:04:42
Local diagnostic None, remote diagnostic NbrSignal
Remote state Up, version 1
Replicated
Min async interval 0.300, min slow interval 1.000
Adaptive async TX interval 0.300, RX interval 0.300
Local min TX interval 0.300, minimum RX interval 0.300, multiplier 3
Remote min TX interval 0.300, min RX interval 0.300, multiplier 3
Local discriminator 2, remote discriminator 2
Echo mode disabled/inactive
Authentication enabled/active, keychain bfd-bgp, algo keyed-sha-1, mode strict
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。