BFD for RIP trên Switch Juniper EX Series

BFD for RIP trên Switch Juniper EX Series

BFD (Bidirectional Forwarding Detection) cho RIP (Routing Information Protocol) là một cơ chế giúp phát hiện lỗi đường truyền nhanh chóng trong mạng sử dụng RIP. RIP vốn không có khả năng phát hiện lỗi nhanh, vì nó dựa vào bộ đếm thời gian (timers) với thời gian hội tụ khá chậm (mặc định 30 giây cho update và có thể lên đến 180 giây để xác định đường truyền bị lỗi).

Hiểu về BFD cho RIP

Giao thức Bidirectional Forwarding Detection (BFD) là một cơ chế gửi gói tin "hello" đơn giản để phát hiện lỗi trong mạng. Các gói tin "hello" được gửi theo một khoảng thời gian nhất định. Một lỗi kết nối sẽ được phát hiện khi thiết bị định tuyến không nhận được phản hồi từ thiết bị lân cận sau một khoảng thời gian quy định. BFD có thể hoạt động trên nhiều môi trường và mô hình mạng khác nhau. Thời gian phát hiện lỗi của BFD ngắn hơn so với RIP, giúp phản ứng nhanh hơn trước các sự cố trong mạng. Thay vì phải chờ RIP phát hiện lỗi do timeout, BFD có thể nhanh chóng xác định sự cố mất kết nối. Bộ đếm thời gian của BFD có thể điều chỉnh linh hoạt: ví dụ, nếu kết nối bị gián đoạn, bộ đếm có thể tăng lên hoặc một thiết bị lân cận có thể thương lượng giá trị bộ đếm cao hơn so với giá trị đã cấu hình. Các phiên bản Junos OS 15.1X49, 15.1X49-D30, và 15.1X49-D40 không hỗ trợ tính năng cấu hình BFD cho RIP.

**Chú ý: Switch EX4600 và dòng QFX5000 chạy Junos OS hoặc Junos OS Evolved không hỗ trợ giá trị thời gian nhỏ hơn 1 giây ở cả chế độ tập trung (centralized mode) và phân tán (distributed mode).

BFD giúp chuyển đổi nhanh giữa tuyến đường chính và tuyến đường dự phòng. Giao thức này kiểm tra trạng thái hoạt động của giao diện nhiều lần mỗi giây. BFD cũng cung cấp các bộ đếm thời gian và ngưỡng để phát hiện lỗi. Ví dụ, nếu giá trị tối thiểu của bộ đếm thời gian là 50 mili giây và ngưỡng lỗi mặc định là ba gói tin bị mất, thì lỗi sẽ được phát hiện trong vòng 200 mili giây kể từ khi sự cố xảy ra.

Trong một số trường hợp, các thiết bị trung gian như switch Ethernet LAN có thể che giấu lỗi lớp liên kết (Layer 2) khỏi các giao thức định tuyến. Ví dụ, nếu hai router được kết nối qua switch LAN, thì trạng thái giao diện cục bộ có thể vẫn hiển thị là "up" ngay cả khi đường kết nối vật lý ở xa gặp sự cố. Thời gian phát hiện lỗi ở lớp liên kết có thể khác nhau tùy thuộc vào loại phương tiện truyền dẫn và giao thức đóng gói lớp 2. BFD có thể giúp phát hiện lỗi nhanh hơn trên mọi loại phương tiện, giao thức đóng gói, mô hình mạng và giao thức định tuyến.

Cấu hình BFD cho RIP, để kích hoạt BFD cho RIP, cả hai thiết bị kết nối phải nhận được bản cập nhật từ thiết bị lân cận. Mặc định, RIP không tự động xuất tuyến đường nào cả. Do đó, bạn cần kích hoạt các thông báo cập nhật bằng cách cấu hình chính sách xuất tuyến (export policy) trước khi phiên BFD được kích hoạt.

Ví dụ: Cấu hình BFD cho RIP

Ví dụ này hướng dẫn cách cấu hình Bidirectional Forwarding Detection (BFD) cho một mạng sử dụng giao thức RIP.

Yêu cầu

Không có yêu cầu đặc biệt nào ngoài việc khởi tạo thiết bị trước khi thực hiện cấu hình này.

Tổng quan

Để kích hoạt tính năng phát hiện lỗi, bạn cần sử dụng lệnh bfd-liveness-detection.

Tùy chọn cấu hình bổ sung cho BFD trong RIP, bạn có thể đặt ngưỡng thích nghi của thời gian phát hiện lỗi bằng cách sử dụng lệnh threshold. Khi thời gian phát hiện lỗi của phiên BFD bằng hoặc lớn hơn giá trị ngưỡng, thiết bị sẽ gửi một cảnh báo (trap) và một thông báo hệ thống (log message).

Để đặt khoảng thời gian tối thiểu để truyền và nhận gói tin kiểm tra lỗi, sử dụng lệnh minimum-interval. Tham số này xác định: Khoảng thời gian tối thiểu giữa các gói tin hello mà thiết bị gửi đi. Khoảng thời gian tối thiểu mà thiết bị mong đợi nhận được phản hồi từ thiết bị lân cận đã thiết lập phiên BFD. Giá trị có thể đặt trong khoảng từ 1 đến 255.000 mili giây. Ví dụ dưới đây đặt khoảng thời gian tối thiểu là 600 mili giây.

**Lưu ý: BFD là một giao thức tiêu tốn nhiều tài nguyên hệ thống. Nếu đặt khoảng thời gian tối thiểu quá thấp (<100ms cho Routing Engine hoặc <10ms cho phiên BFD phân tán), có thể gây hiện tượng flapping (dao động không mong muốn) trong BFD.

Các khuyến nghị tùy theo quy mô hệ thống:

• Nên đặt khoảng thời gian tối thiểu ≥300ms cho phiên BFD dựa trên Routing Engine. Đối với phiên BFD phân tán, nên đặt tối thiểu ≥100ms.

• Nên liên hệ hỗ trợ kỹ thuật của Juniper Networks để có cấu hình tối ưu. Đặt khoảng thời gian tối thiểu ≥2500ms cho phiên BFD dựa trên Routing Engine.
• Đối với phiên BFD phân tán, khoảng thời gian tối thiểu vẫn phụ thuộc vào mô hình triển khai mạng. Với mạng quy mô lớn, với hệ thống cực lớn, khi sử dụng Nonstop Active Routing (NSR) để duy trì BFD trong quá trình chuyển đổi Routing Engine.

Bạn có thể tùy chọn đặt khoảng thời gian tối thiểu cho việc gửi và nhận gói tin kiểm tra lỗi một cách riêng biệt.

- Cấu hình khoảng thời gian nhận gói tin tối thiểu, dùng lệnh: minimum-receive-interval. Giá trị này xác định khoảng thời gian tối thiểu mà thiết bị mong đợi nhận được phản hồi từ thiết bị lân cận trong phiên BFD. Giá trị có thể đặt từ 1 đến 255.000 mili giây.

- Cấu hình khoảng thời gian gửi gói tin tối thiểu dùng lệnh: transmit-interval minimum-interval, giá trị này xác định khoảng thời gian tối thiểu giữa các gói tin hello mà thiết bị gửi đi. Giá trị có thể đặt từ 1 đến 255.000 mili giây.

- Xác định số lượng gói tin mất trước khi kết luận mất kết nối, dùng lệnh: multiplier. Giá trị này xác định số lượng gói hello bị mất trước khi giao diện được coi là down. Giá trị mặc định là 3, có thể đặt trong khoảng 1 - 255.

- Cấu hình ngưỡng thích nghi cho khoảng thời gian gửi gói tin, dùng lệnh: transmit-interval threshold. Giá trị ngưỡng phải lớn hơn giá trị khoảng thời gian gửi gói tin.

- Xác định phiên bản BFD sử dụng, dùng lệnh: version. Mặc định, phiên bản BFD sẽ được tự động phát hiện.

- Ghi nhật ký hoạt động của BFD. Để theo dõi hoạt động của BFD, sử dụng lệnh traceoptions trong cấu hình: [edit protocols bfd].

- Vô hiệu hóa tính năng thích nghi của BFD (Tùy chọn). Trong Junos OS 9.0 trở lên, bạn có thể tắt tính năng thích nghi bằng lệnh no-adaptation. Không nên tắt tính năng này trừ khi có yêu cầu đặc biệt trong hệ thống mạng của bạn.

Hình dưới đây minh họa mô hình triển khai BFD cho RIP, trong đó BFD giúp phát hiện lỗi nhanh chóng trong mạng sử dụng RIP.

Figure 1: RIP BFD Network Topology

Phần này hiển thị cấu hình cho tất cả các thiết bị trong Hình 1. Phần Hướng dẫn từng bước sẽ mô tả các bước cấu hình trên thiết bị R1.

Cấu hình nhanh CLI

Để cấu hình nhanh ví dụ này, hãy sao chép các lệnh sau, dán vào một tệp văn bản, loại bỏ bất kỳ dấu ngắt dòng nào, điều chỉnh các thông tin cần thiết theo mạng của bạn, sau đó sao chép và dán các lệnh vào CLI tại cấp [edit].

Device R1

Device R2

 Device R3

Hướng dẫn từng bước

Ví dụ sau yêu cầu bạn điều hướng qua nhiều cấp độ trong cấu trúc cấu hình. Để biết thêm thông tin về cách điều hướng trong CLI, hãy tham khảo phần Sử dụng trình chỉnh sửa CLI trong chế độ cấu hình trong Hướng dẫn sử dụng CLI.

Cấu hình BFD cho mạng RIP

Bước 1: Cấu hình các giao diện mạng.

Bước 2: Tạo nhóm RIP và thêm giao diện.

Để cấu hình RIP trong Junos OS, bạn cần tạo một nhóm chứa các giao diện mà RIP sẽ được kích hoạt. Không cần kích hoạt RIP trên giao diện loopback.

Bước 3: Tạo chính sách định tuyến để quảng bá cả tuyến đường trực tiếp và tuyến đường học được từ RIP.

Bước 4: Áp dụng chính sách định tuyến.

Trong Junos OS, bạn chỉ có thể áp dụng chính sách xuất RIP ở cấp nhóm.

Bước 5: Bật BFD

Bước 6: Cấu hình các hoạt động theo dõi để theo dõi tin nhắn BFD.

Kết quả

Từ chế độ cấu hình, xác nhận cấu hình của bạn bằng cách nhập các lệnh sau: show interfaces, show protocols, show policy-options. Nếu đầu ra không hiển thị đúng cấu hình mong muốn, hãy lặp lại các bước cấu hình trong ví dụ này để điều chỉnh.

Nếu bạn đã hoàn tất cấu hình thiết bị, hãy nhập lệnh commit từ chế độ cấu hình.

Xác minh

Xác nhận rằng cấu hình đang hoạt động đúng.

Mục đích

Đảm bảo rằng các phiên BFD đang hoạt động.

Thao tác

Từ chế độ hoạt động (operational mode), nhập lệnh sau: show bfd session

Ý nghĩa

Đầu ra của lệnh xác nhận rằng không có lỗi xác thực trong phiên BFD.

Mục đích

Sử dụng tracing để xác minh rằng các gói BFD đang được trao đổi giữa các thiết bị.

Thao tác

Từ chế độ hoạt động (operational mode), nhập lệnh sau: show log

Ý nghĩa

Đầu ra hiển thị trạng thái hoạt động bình thường của BFD.

Tìm hiểu về xác thực BFD cho RIP

BFD cho phép phát hiện nhanh chóng các lỗi giao tiếp giữa các hệ thống lân cận. Theo mặc định, xác thực BFD bị tắt. Tuy nhiên, khi chạy BFD qua các giao thức lớp mạng (Network Layer), nguy cơ bị tấn công dịch vụ có thể rất cao. Do đó, nếu bạn đang sử dụng BFD trên nhiều bước nhảy (multiple hops) hoặc trong các đường hầm không an toàn (insecure tunnels), chúng tôi khuyến nghị bật xác thực. Bắt đầu từ phiên bản Junos OS 9.6, hệ điều hành này hỗ trợ xác thực cho các phiên BFD chạy trên RIP. Tuy nhiên, xác thực BFD chỉ được hỗ trợ trong domestic image và không khả dụng trong export image.

Bạn có thể xác thực các phiên BFD bằng cách chỉ định thuật toán xác thực (authentication algorithm) và keychain, sau đó liên kết thông tin này với một security authentication keychain thông qua tên keychain.

Các phần sau sẽ mô tả: Các thuật toán xác thực được hỗ trợ, Keychain bảo mật, Mức độ xác thực có thể cấu hình

Thuật toán xác thực BFD

Junos OS hỗ trợ các thuật toán sau để xác thực BFD:

• simple-password – Mật khẩu văn bản thuần túy (Plain-text password). Sử dụng từ 1 đến 16 byte văn bản để xác thực phiên BFD. Có thể cấu hình một hoặc nhiều mật khẩu. Đây là phương pháp kém an toàn nhất và chỉ nên sử dụng khi các phiên BFD không có nguy cơ bị đánh chặn gói tin.
• keyed-md5 – Thuật toán băm Keyed Message Digest 5 (MD5) dành cho các phiên có khoảng thời gian truyền và nhận lớn hơn 100 ms. Keyed MD5 sử dụng một hoặc nhiều khóa bí mật (được tạo bởi thuật toán) và một số thứ tự (sequence number) được cập nhật định kỳ để xác thực phiên BFD. Các gói tin chỉ được chấp nhận ở đầu nhận nếu một trong các khóa khớp và số thứ tự lớn hơn hoặc bằng số thứ tự cuối cùng nhận được. Mặc dù an toàn hơn simple-password, phương pháp này có thể bị tấn công phát lại (replay attack). Việc tăng tốc độ cập nhật số thứ tự có thể giảm rủi ro này.
• meticulous-keyed-md5 – Phiên bản nâng cao của Keyed MD5. Hoạt động tương tự Keyed MD5, nhưng số thứ tự được cập nhật với mỗi gói tin. Mặc dù bảo mật hơn so với Keyed MD5 và Simple-password, phương pháp này có thể mất thêm thời gian để xác thực phiên.
• keyed-sha-1 – Thuật toán Keyed Secure Hash Algorithm 1 (SHA-1) dành cho các phiên có khoảng thời gian truyền và nhận lớn hơn 100 ms. Keyed SHA-1 sử dụng một hoặc nhiều khóa bí mật (được tạo bởi thuật toán) và số thứ tự được cập nhật định kỳ để xác thực phiên BFD. Khóa không được mang trong gói tin. Gói tin chỉ được chấp nhận nếu một trong các khóa khớp và số thứ tự lớn hơn số thứ tự cuối cùng nhận được.
• meticulous-keyed-sha-1 – Phiên bản nâng cao của Keyed SHA-1. Hoạt động tương tự Keyed SHA-1, nhưng số thứ tự được cập nhật với mỗi gói tin. Mặc dù bảo mật hơn so với Keyed SHA-1 và Simple-password, phương pháp này có thể mất thêm thời gian để xác thực phiên.

**Lưu ý: Nonstop active routing (NSR) không được hỗ trợ với các thuật toán xác thực meticulous-keyed-md5 và meticulous-keyed-sha-1. Các phiên BFD sử dụng các thuật toán này có thể bị gián đoạn sau khi chuyển đổi dự phòng (switchover).

**Lưu ý: Các switch QFX5000 Series và EX4600 không hỗ trợ giá trị khoảng thời gian tối thiểu nhỏ hơn 1 giây.

Chuỗi khóa xác thực bảo mật

Chuỗi khóa xác thực bảo mật (Security Authentication Keychain) xác định các thuộc tính xác thực được sử dụng để cập nhật khóa xác thực. Khi chuỗi khóa xác thực được cấu hình và liên kết với một giao thức thông qua tên keychain, các khóa xác thực có thể được cập nhật mà không làm gián đoạn các giao thức định tuyến và báo hiệu.

Chuỗi khóa xác thực chứa một hoặc nhiều keychain. Mỗi keychain chứa một hoặc nhiều khóa bảo mật. Mỗi khóa bảo mật giữ dữ liệu bí mật và thời điểm khóa có hiệu lực. Thuật toán và chuỗi khóa xác thực phải được cấu hình trên cả hai đầu của phiên BFD, và chúng phải khớp nhau. Nếu có sự khác biệt trong cấu hình, phiên BFD sẽ không thể thiết lập.

BFD hỗ trợ nhiều máy khách (clients) trên mỗi phiên, và mỗi máy khách có thể có chuỗi khóa bảo mật và thuật toán riêng. Tuy nhiên, để tránh nhầm lẫn, chúng tôi khuyến nghị chỉ sử dụng một chuỗi khóa xác thực bảo mật duy nhất.

Xác thực chặt chẽ (Strict) và xác thực lỏng lẻo (Loose)

Mặc định, xác thực chặt chẽ (Strict authentication) được bật, và xác thực được kiểm tra ở cả hai đầu của mỗi phiên BFD. Tùy chọn, để hỗ trợ quá trình chuyển đổi từ các phiên không xác thực sang các phiên có xác thực, bạn có thể cấu hình chế độ kiểm tra lỏng lẻo (Loose authentication checking). Khi chế độ này được kích hoạt, các gói tin được chấp nhận mà không cần kiểm tra xác thực tại mỗi đầu phiên. Chế độ Loose authentication checking chỉ nên được sử dụng trong giai đoạn chuyển đổi tạm thời.

Ví dụ: Cấu hình xác thực BFD cho RIP

Ví dụ này hướng dẫn cách cấu hình Bidirectional Forwarding Detection (BFD) authentication cho một mạng RIP.

Yêu cầu

• Không cần cấu hình đặc biệt nào ngoài việc khởi tạo thiết bị trước khi thực hiện ví dụ này.
• Các thiết bị phải chạy Junos OS phiên bản 9.6 trở lên.

Tổng quan

Chỉ cần ba bước để cấu hình xác thực trên một phiên BFD:

   1. Chỉ định thuật toán xác thực BFD cho giao thức RIP.

   2. Liên kết chuỗi khóa xác thực với giao thức RIP.

   3. Cấu hình chuỗi khóa xác thực bảo mật liên quan.

Hình 2 minh họa mô hình mạng được sử dụng trong ví dụ này.

Hình 2: Mô hình mạng xác thực BFD trên RIP

Cấu hình nhanh bằng CLI

Cấu hình sau đây áp dụng cho tất cả các thiết bị trong Hình 2. Phần #d45e66__d45e234 mô tả các bước cấu hình trên R1.

Hướng dẫn thực hiện

- Sao chép các lệnh dưới đây vào một tệp văn bản.

- Xóa bất kỳ dấu ngắt dòng không cần thiết.

- Chỉnh sửa các thông tin cần thiết để phù hợp với cấu hình mạng của bạn.

- Sao chép và dán các lệnh vào CLI ở chế độ [edit] hierarchy level.

- Nhập lệnh commit từ chế độ cấu hình để lưu và áp dụng cấu hình.

Device 1

Device 2

Device 3

Quy trình từng bước

Ví dụ sau yêu cầu bạn điều hướng qua nhiều cấp độ trong cấu hình hệ thống. Để biết thêm thông tin về cách sử dụng CLI, hãy tham khảo Hướng dẫn sử dụng CLI Editor trong Chế độ Cấu hình.

Cấu hình xác thực BFD

Bước 1: Cấu hình giao diện mạng.

Bước 2: Tạo nhóm RIP và thêm giao diện

Để cấu hình RIP trong Junos OS, bạn phải tạo một nhóm chứa các giao diện mà RIP được kích hoạt. Bạn không cần bật RIP trên giao diện loopback.

Bước 3: Tạo chính sách định tuyến để quảng bá cả tuyến trực tiếp và tuyến học được từ RIP

Bước 4: Áp dụng chính sách định tuyến

Trong Junos OS, bạn chỉ có thể áp dụng chính sách xuất RIP ở cấp nhóm.

Bước 5: Bật BFD.

Bước 6: Chỉ định thuật toán (keyed-md5, keyed-sha-1, meticulous-keyed-md5, meticulous-keyed-sha-1 hoặc simple-password) để sử dụng.

**Lưu ý: Nonstop active routing không được hỗ trợ với các thuật toán xác thực meticulous-keyed-md5 và meticulous-keyed-sha-1. Các phiên BFD sử dụng các thuật toán này có thể bị gián đoạn sau khi chuyển đổi (switchover).

Bước 7: Chỉ định keychain sẽ được sử dụng để liên kết các phiên BFD trên RIP với các thuộc tính xác thực bảo mật duy nhất của keychain.

Keychain mà bạn chỉ định phải khớp với tên keychain đã được cấu hình tại cấp [edit security authentication key-chains].

Thuật toán và keychain phải được cấu hình ở cả hai đầu của phiên BFD, và chúng phải khớp nhau. Nếu có bất kỳ sự không khớp nào trong cấu hình, phiên BFD sẽ không thể được tạo.

Bước 8: (Tùy chọn) Chỉ định kiểm tra xác thực lỏng lẻo (loose authentication checking) nếu bạn đang chuyển từ các phiên không xác thực sang các phiên đã xác thực.

Bước 9: Chỉ định thông tin xác thực bảo mật duy nhất cho các phiên BFD:

• Tên chuỗi khóa (keychain) phải trùng khớp với tên đã chỉ định trong Bước 7.
• Ít nhất một khóa (key), là một số nguyên duy nhất từ 0 đến 63. Việc tạo nhiều khóa cho phép nhiều máy khách sử dụng phiên BFD.
• Dữ liệu bí mật được sử dụng để cấp quyền truy cập vào phiên.
• Thời gian khóa xác thực có hiệu lực, theo định dạng yyyy-mm-dd.hh:mm:ss.

Bước 10: Cấu hình các hoạt động theo dõi để theo dõi xác thực BFD.

Kết quả

Từ chế độ cấu hình, xác nhận cấu hình của bạn bằng cách nhập các lệnh: show interfaces, show protocols, show policy-options, show security. Nếu đầu ra không hiển thị cấu hình mong muốn, hãy lặp lại các bước cấu hình trong ví dụ này để điều chỉnh lại.

Nếu bạn đã hoàn tất việc cấu hình thiết bị, hãy nhập commit từ chế độ cấu hình.

Xác minh

Xác nhận rằng cấu hình đang hoạt động đúng.

Mục đích

Đảm bảo rằng các phiên BFD đã được xác thực.

Thao tác

Từ chế độ hoạt động (operational mode), nhập lệnh sau: show bfd session detail

Ý nghĩa

Nếu xuất hiện trạng thái Authenticate, điều đó cho thấy rằng xác thực BFD đã được cấu hình thành công.

Mục đích

Kiểm tra tên keychain, thuật toán xác thực, chế độ xác thực của từng client trong phiên, cũng như trạng thái cấu hình xác thực BFD.

Thao tác

Từ chế độ hoạt động (operational mode), nhập lệnh sau: show bfd session extensive

Ý nghĩa

Đầu ra hiển thị tên keychain, thuật toán xác thực, chế độ xác thực của client trong phiên, và trạng thái cấu hình xác thực BFD.

Mục đích

Sử dụng thao tác theo dõi (tracing) để xác minh rằng các gói tin BFD đang được trao đổi.

Thao tác

Từ chế độ hoạt động (operational mode), nhập lệnh sau: show log

Ý nghĩa

Đầu ra cho thấy hoạt động bình thường của BFD.

Như vậy là chúng ta đã hoàn thành BFD for RIP trên Switch Juniper EX Series, chúc các bạn thực hiện thành công.Hi vọng bài viết này sẽ giúp ích cho các bạn trong công việc.

Nếu bạn có vấn đề gì thắc mắc đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.

Hẹn gặp lại các bạn trong các bài viết tiếp theo !