双向转发检测路由

本章介绍如何配置 Firewall Threat Defense 以使用双向转发检测 (BFD) 路由协议。

BFD 路由协议

BFD 路由协议是一种检测协议

  • 为媒体类型、封装、拓扑和路由协议提供快速转发路径故障检测时间

  • 可以在单播、点对点模式下对正在两系统之间转发的任何数据协议上运行,并且

  • 在适用于媒体和网络的封装协议负载中携带数据包。

为什么要使用 BFD?

除了快速转发路径故障检测外,BFD 还为网络管理员提供一致的故障检测方法。

网络管理员可以使用 BFD 以统一的速率检测转发路径故障,而不是像不同的路由协议 hello 机制那样以可变速率检测故障。这样可以简化网络分析和规划,而且重新收敛时间一致且可预测。

BFD 路由准则

上下文模式准则

所有 Firewall Threat Defense 平台均支持 BFD,且在多实例模式下可用。

防火墙模式准则

路由防火墙模式支持 BFD,透明模式不支持。

故障转移和集群准则

  • 在故障转移接口上不支持 BFD。

  • 在群集中,仅在控制节点上支持 BFD。

路由和协议准则

  • 支持 OSPFv2、OSPFv3、IS-IS、BGP IPv4和 BGP IPv6 协议。

    对于 IS-IS 上的 BFD 支持,使用 FlexConfig CLI 在 IS-IS 接口上配置 BFD(仅限物理接口、子接口、端口通道):

    For IPv6
    ###Flex-config Appended CLI###
    
    router isis
      net 11.1111.0000.0000.0001.00
    exit
    interface GigabitEthernet x/x
      ipv6 router isis
      isis ipv6 bfd
    exit
    
    For IPv4
    ###Flex-config Appended CLI###
    
    router isis
      net 11.1111.0000.0000.0001.00
    exit
    interface GigabitEthernet x/x
      isis
      isis bfd
    exit
    

    不支持 EIGRP 协议。

  • 不支持用于静态路由的 BFD。您可以在只属于虚拟路由器的接口上配置 BFD。

  • 仅支持命名接口。

  • 不支持 BVI、VTI 和 LoopBack 接口上的 BFD。

单跳准则

  • 默认情况下,Echo 模式为禁用状态。您可以仅在单跳上启用回应。

  • IPv6 不支持回送模式。

  • 仅使用单跳模板来配置单跳策略。

  • 单跳模板的身份验证为可选。

  • 您不能在同一个接口上配置多个 BFD。

多跳准则

  • 请勿将源 IP 地址也配置为目标 IP 地址。

  • 源地址和目标地址应具有相同的 IP 类型 - IPV4 或 IPV6。

  • 仅允许主机或网络类型的网络对象。

  • 仅使用多跳模板配置多跳策略。

  • 多跳模板必须进行身份验证。

升级准则

当您升级到版本 7.3 且先前版本有任何 FlexConfig BFD 策略时,管理中心会在部署期间显示警告消息。但是,它不会停止部署过程。在升级部署后,要从 UI(设备(编辑)(Device [Edit]) > 路由 (Routing) > BFD)管理 BFD 策略,则必须在 设备(编辑)(Device [Edit]) > 路由 (Routing) > EIGRP 页面中配置 BFD 策略,并从设备的 FlexConfig 策略中删除配置。

配置 BFD

此任务将在系统中启用和配置双向转发检测 (BFD) 路由策略,以提供对转发路径中故障的快速检测。

Before you begin

确保您有权访问要配置 BFD 的系统。

按照以下步骤配置 BFD:

过程


步骤 1

创建BFD 模板

步骤 2

配置 BFD 策略

步骤 3

在 BGP 邻居设置中配置 BFD 支持;请参阅配置 BGP 邻居设置


已在系统上启用并配置 BFD。

配置 BFD 策略

BFD 策略用于为与虚拟路由器关联的接口提供快速故障检测。配置 BFD 模板可让您监控连接并快速识别链路故障。

  • 启用路由接口的快速故障检测。

  • 支持单跳和多跳 BFD 配置。

您可以将 BFD 模板绑定到属于虚拟路由器的接口,或者绑定到源地址和目标地址对。

Before you begin

按照以下步骤配置 BFD 策略:

过程


步骤 1

设备 > 设备管理页面中,编辑虚拟路由器支持的设备。导航至路由

步骤 2

从下拉列表中,选择所需的虚拟路由器,然后点击 BFD

步骤 3

要在接口上配置 BFD,请点击单跳 (Single-Hop) 选项卡或多跳 (Multi-Hop) 选项卡。

 

对于单跳策略,在接口上配置了 BFD 模板;对于多跳策略,在源地址和目标地址对上配置了 BFD 模板。

步骤 4

点击添加 (Add)。要修改已配置的 BFD 策略,请点击 编辑 (编辑图标)

 

在使用 BFD 模板编辑接口映射以将其替换为新的 BFD 模板时,防火墙管理中心 会使用 no 命令从接口中删除模板映射,并将新模板应用于接口,这会导致 BFD 摆动,也可能导致 OSPFv2 、OSPFv3 或 BGP 摆动。但是,如果 BFD 间隔较高,则可能不会发生 BFD 摆动。或者,为避免摆动,您可以删除现有的 BFD 模板映射;部署接口,然后将新的 BFD 模板添加到接口并部署配置。


完成此任务后,系统会在所选接口或地址对上配置 BFD 策略。

配置单跳 BFD 策略

您只能在属于虚拟路由器的接口上配置单跳 BFD 策略。当您需要在特定接口上应用 BFD 以进行快速链路故障检测时,此任务是相关的。

Before you begin

按照以下步骤配置单跳 BFD 策略:

过程

步骤 1

单跳 (Single-Hop) 选项卡中,点击添加 (Add)编辑 (Edit)

步骤 2

添加 BFD 单跳 (Add BFD Single-Hop) 对话框中,配置以下内容:

  1. 接口下拉列表显示属于虚拟路由器的接口。选择要使用 BFD 策略配置的接口。

  2. 模板名称下拉列表显示单跳模板。选择要应用的模板。

    如果尚未创建单跳模板,请使用 添加 (添加图标)创建单跳 BFD 模板

步骤 3

点击确定保存以保存配置。


单跳 BFD 策略将应用于选定的接口。该接口现在将对单跳操作使用指定的 BFD 模板。

配置多跳 BFD 策略

配置多跳 BFD 策略,以启用对特定源地址和目标地址对之间连接的监控。此配置有助于监控经过网络中多个跃点的链路。

Before you begin

按照以下步骤配置多跳 BFD 策略:

过程

步骤 1

添加 BFD 多跳 (Add BFD Multi-Hop) 对话框中,配置以下内容:

  1. 点击 BFD 源地址类型:IPv4IPv6 单选按钮。

  2. 源地址下拉列表中列出了网络对象。为 BFD 策略选择源地址;不要选择 any-ipv4any-ipv6

    如果尚未创建所需的网络对象,请使用 添加 (添加图标) 并创建主机/网络对象。

     

    所创建的网络对象的 IP 类型应与所选的源 IP 类型匹配。

  3. 目标地址下拉列表中列出了网络对象。为 BFD 选择目标地址;不要选择 any-ipv4any-ipv6

    如果尚未创建所需的网络对象,请使用 添加 (添加图标) 并创建主机/网络对象。

     

    所创建的网络对象的 IP 类型应与所选的源 IP 类型匹配。

    注意

     

    不要选择与源地址具有相同 IP 地址的网络对象。

  4. 模板名称下拉列表中列出了多跳模板。选择要应用于 BFD 政策的模板。

    如果尚未创建多跳模板,请使用 添加 (添加图标)创建多跳 BFD 模板

步骤 2

点击确定保存以保存配置。


多跳映射(表视图)显示在多跳 (Multi-Hop) 选项卡页面上。

BFD 路由的历史记录

历史记录表总结了思科 防火墙管理中心 各版本中 BFD 路由的引入和发展,有助于快速跟踪功能可用性和变更。
表 1. BFD 路由的功能历史记录

功能

防火墙管理中心最低版本

Firewall Threat Defense最低版本

详细信息

IS-IS 的 BFD 支持

7.4

7.4

您可以使用 FlexConfig CLI 在 IS-IS 接口上配置 BFD。

OSPF 的 BFD 支持

7.4

7.4

您可以在使用 OSPF 版本 2 和 OSPF 版本 3 的接口上启用 BFD。

新增/修改的菜单项:

  • 配置 > 设备设置 > 路由 > OSPFv2

  • 配置 > 设备设置 > 路由 > OSPFv3

BFD 配置

7.4

7.4

在之前的版本中,BFD 只能通过 FlexConfig 在威胁防御上进行配置。FlexConfig 不再支持 BFD 配置。现在,您可以在管理中心 UI 中为威胁防御配置 BFD 策略。在威胁防御中,只有 BGP 协议支持 BFD。

新增/修改的屏幕:设备 (Devices) > 设备管理 (Device Management) > 路由 (Routing) > BFD