某局点路由器开启BFD单跳检测不成功案例

如图：路由器上配置echo类型的BFD检测，两端接口地址分别为10.59.128.10/24和10.59.128.9/24。

路由器上显示,会话连接是down的状态.

[YCQXJ-H3C-IRF-F1000-AK1342]display  bfd session  

 IPv4 static session working in control packet mode:

 LD/RD           SourceIP        DestinationIP   State   Holdtime    Interface

 2048/1          10.59.128.9     10.59.128.10    Down    0ms         GE1/0/16.113    

路由器配置如下:

 # 

 bfd 1 bind peer-ip 10.59.128.9 interface GigabitEthernet0/0/1 one-arm-echo

 discriminator local 1

 min-echo-rx-interval 100 commit 

 #

首先,两端网络连通性没问题.

其次,如果把对端的防火墙换成路由器,会话状态是能UP的.

查阅资料得知: Echo方式为单边BFD检测，仅需要一端设备支持并进行配置.

原理如下:

由于echo类型的bfd检测源目地址一样,防火墙缺省状态下畸形报文检测与防范功能处于开启状态,导致报文被丢弃.

方案1:关闭畸形报文检测与防范功能,不推荐.

undo attack-defense malformed-packet defend enable命令用来关闭畸形报文检测与防范功能。

方案2:配置echo报文的源IP地址不属于该设备任何一个接口所在网段，原因如下：

·              避免对端发送大量的ICMP重定向报文造成网络拥塞。

·              本端开启畸形报文检测与防范功能的情况下，从对端返回的echo报文会被当做畸形报文过滤掉，导致本端无法建立BFD会话。