Перейти к основному содержимому

Аутентификация BFD

В этой главе приведены примеры настройки аутентификации BFD.

Обзор

Bidirectional Forwarding Detection (BFD) — это протокол, предназначенный для обнаружения неисправностей в двунаправленном пути между двумя механизмами пересылки, включая физические интерфейсы, субинтерфейсы и каналы передачи данных. Он работает независимо от среды, протоколов передачи данных и маршрутизации. Сессия создается между линками. Если BFD-сессия подверглась атаке, линк может быть ошибочно объявлен недоступным или доступным. Чтобы избежать таких ситуаций, необходимо использовать аутентификацию в BFD. Это позволяет снизить угрозы со стороны злоумышленников.

PRSP поддерживает следующие типы аутентификации:

  • Простой пароль
  • Keyed/Meticulous MD5
  • Keyed/Meticulous SHA1

Среди этих типов самым надежным является meticulous SHA1.

Аутентификация в BFD-сессиях включается опционально. По умолчанию она отключена и может быть настроена через CLI. Когда аутентификация включена, пакеты BFD обмениваются секцией аутентификации (на основе настроенного типа аутентификации). Принимающая система проверяет секцию аутентификации пакета; если проверка успешна, пакет принимается. В противном случае он отбрасывается.

Включение аутентификации BFD

На маршрутизаторе аутентификация BFD может быть включена с поддержкой нескольких ключей или одного ключа в рамках BFD-сессий:

  • Использование Key-chain для поддержки нескольких ключей
  • Использование Key-ID для поддержки одного ключа

PRSP поддерживает аутентификацию BFD для IPv4 с single-hop и multi-hop сессиями. Включение аутентификации BFD для однохоповой сессии IPv4 с использованием key-chain. В этом примере BFD-сессия настроена между SW1 и SW2 с использованием нескольких ключей (через key-chain).

После того как BFD-сессия установлена, аутентификация включается на обоих маршрутизаторах с типом аутентификации "простой пароль". Мы можем включить аутентификацию в BFD-сессии, используя любой из вышеупомянутых типов аутентификации, с идентичным типом аутентификации на обеих сторонах.

Топология

Image

Рисунок 4-58: Базовая топология двух маршрутизаторов

Коммутатор 1 (SW1)

SW1#configure terminalПерейти в режим конфигурации.
SW1(config)#key chain myKeyChainНастроить key-chain, присвоив ему строку.
SW1(config-keychain)#key 14Настроить Key-ID для key-chain. Для одного key-chain можно настроить несколько ключей, но для аутентификации будет использоваться только один.
SW1(config-keychain-key)#key-string SW1Назначить строку ключа.
SW1(config-keychain)#key 15Настроить Key-ID для key-chain.
SW1(config-keychain-key)#key-string myKeyНазначить строку ключа.
SW1(config-keychain-key)#exitВыйти из режима Key.
SW1(config-keychain)#exitВыйти из режима Key Chain.
SW1(config)#interface eth1Перейти в режим конфигурации интерфейса.
SW1(config-if)#bfd session 10.10.10.1 10.10.10.2Включить BFD-сессию между узлами.
SW1(config-if)#bfd auth type simple key-chain myKeyChainВключить аутентификацию для BFD с типом "простой пароль". Примечание: Настройте тип аутентификации как один из указанных.
SW1(config-if)#endВыйти из режима интерфейса.

Коммутатор 2 (SW2)

SW2#configure terminalПерейти в режим конфигурации.
SW2(config)#key chain myKeyChainНастроить key-chain, присвоив ему строку.
SW2(config-keychain)#key 14Настроить Key-ID для key-chain. Для одного key-chain можно настроить несколько ключей, но для аутентификации будет использоваться только один.
SW2(config-keychain-key)#key-string SW1Назначить строку ключа.
SW2(config-keychain)#key 15Настроить Key-ID для key-chain.
SW2(config-keychain-key)#key-string myKeyНазначить строку ключа.
SW2(config-keychain-key)#exitВыйти из режима Key.
SW2(config-keychain)#exitВыйти из режима Key Chain.
SW2SW2(config)#interface eth1Перейти в режим конфигурации интерфейса.
SW2(config-if)#bfd session 10.10.10.2 10.10.10.1Включить BFD-сессию между узлами.
SW2(config-if)#bfd auth type simple key-chain myKeyChainВключить аутентификацию для BFD с типом "простой пароль". Примечание: Настройте тип аутентификации как один из указанных.
SW2(config-if)#endВыйти из режима интерфейса.
Проверка

Проверьте, что сессия однохоповая, активна, с удаленным адресом SW2 в выводе команд “show bfd session” и “show bfd session detail”. Убедитесь, что аутентификация BFD включена с настроенным типом аутентификации.

Включение аутентификации BFD для однохоповой сессии IPv4 с использованием Key-ID

В этом примере BFD-сессия настроена между SW1 и SW2 с использованием одного ключа (через Key-ID). После того как BFD-сессия установлена, аутентификация включается на обоих маршрутизаторах с типом аутентификации "keyed-MD5". Мы можем включить аутентификацию в BFD-сессии, используя любой из вышеупомянутых типов аутентификации, с идентичным типом аутентификации на обеих сторонах.

Топология

Image

Рисунок 4-59: Базовая топология двух маршрутизаторов

Коммутатор 1 (SW1)

SW1#configure terminalПерейти в режим конфигурации.
SW1(config)#interface eth1Перейти в режим конфигурации интерфейса.
SW1(config-if)#bfd session 10.10.10.1 10.10.10.2Включить BFD-сессию между узлами. Примечание: Для IPv6 укажите IPv6-адреса источника и назначения для BFD-сессии.
SW1(config-if)#bfd auth type keyed-md5 key-id 10 key myKeyВключить аутентификацию для BFD с типом "keyed-MD5". Примечание: Настройте тип аутентификации как один из указанных.
SW1(config-if)#endВыйти из режима интерфейса.

Коммутатор 2 (SW2)

SW2#configure terminalПерейти в режим конфигурации.
SW2(config)#interface eth1Перейти в режим конфигурации интерфейса.
SW2(config-if)#bfd session 10.10.10.2 10.10.10.1Включить BFD-сессию между узлами. Примечание: Для IPv6 укажите IPv6-адреса источника и назначения для BFD-сессии.
SW2(config-if)#bfd auth type keyed-md5 key-id 10 key myKeyВключить аутентификацию для BFD с типом "keyed-MD5". Примечание: Настройте тип аутентификации как один из указанных.
SW2(config-if)#endВыйти из режима интерфейса.
Проверка

Проверьте, что сессия однохоповая, активна, с удаленным адресом SW2 в выводе команд show bfd session и show bfd session detail. Убедитесь, что аутентификация BFD включена с настроенным типом аутентификации.