... {toc}
h2. Настройка на Carbon Reductor DPI X
Настройка производится через меню: "*menu \-> BGP Blackhole \-> Настройка BGP Blackhole*"
Для включения опции необходимо выбрать "*Включить BGP Blackhole*", а так же активировать пункт "*Отдельная таблица маршрутизации*"
!reductor4.png|border=1!
|
*Включить BGP Blackhole* \- опция влияет на запуск самого контейнера BGP Blackhole. Если её выключить - ни один сервис внутри этого контейнера (ни BGP, ни OSPF, ни Zebra) работать не будет.
|
*Отдельная таблица маршрутизации* \- опция позволяет сформировать отдельный ipset на редукторе, Carbon Reductor DPI, чтобы избежать возможных проблем при падении сессии.
|
*Шаблон конфига Zebra* и *Шаблон конфига bgpd*\- менять не требуется в 99% случаев. Оставшийся 1% - когда требуется настроить что-то специфичное, что не будет вноситься в продукт никогда.
|
...
*Пароль Zebra* и *Пароль bgpd* \- рекомендуем установить отличные от стандартных и безопасные.
*Router ID (reductor)*, как правило, совпадает с IP адресом Carbon Reductor.
*Номер локальной AS BGP* \- номер приватной AS, используемой сервером Carbon Reductor. Диапазон возможных значений для приватных AS: 64512 - 65534 включительно.
*Список маршрутизаторов* \- это список соседей по BGP имеет формат:
{code}
IP1:AS1 IP2:AS2
{code}
разделитель между записями - пробел.
*Список маршрутизаторов по IPv6* \- список соседей BGP по протоколу IPv6, имеет формат:
{code}
IP1 AS1, IP2 AS2
|
{code}
|
*Делить крупные подсети до префикса* \- эта опция требуется, если вышестоящий провайдер оператор связи присылает вам маршруты, пересекающиеся с блокируемыми с меньшим префиксом, в результате чего они получают больший приоритет, чем маршруты анонсируемые Carbon Reductor, из-за чего последние не применяются и подсети не блокируются.
|
|
... После внесения изменений, необходимо нажать назад, и выбрать "Сохранить и применить настройки":
!Screenshot_20180730_150742.png|border=1!
zebra и bgpd должны перезапуститься без ошибок:
!bgp.png|border=1,width=586,height=353!
|
|
h2. Пример настройки соседа Reductor-а Carbon Reductor по BGP
|
{note}
|
Настройка производится именно на *маршрутизаторе*, не на Reductor-е \!
|
Настройка производится на *маршрутизаторе*\!
|
{note}
|
... Конфигурация роутеров может отличаться.
h3. Linux роутер с Quagga.
*Для quagga от 1.2.4*
bgpd.conf
Здесь:
* router bgp 65002 - номер AS маршрутизатора.
* bgp router-id 10.0.0.2 - его IP, с которым он доступен Carbon Reductor'у
* 10.0.0.1 - IP адрес Carbon Reductor
* 192.168.255.255 - это IP-адрес, куда будет направляться запрещённый трафик.
{code}
hostname border
password password
log file /var/log/quagga/bgpd.log
!
router bgp 65002
bgp router-id 10.0.0.2
redistribute static
neighbor 10.0.0.1 remote-as 65001
neighbor 10.0.0.1 ebgp-multihop 8
neighbor 10.0.0.1 soft-reconfiguration inbound
neighbor 10.0.0.1 route-map BLACKHOLE in
!
Это требуется, чтобы запрещённый трафик не шёл на редуктор, а дропался на самом роутере.
!
ip prefix-list ANY permit any
!
route-map BLACKHOLE permit 10
match ip address prefix-list ANY
set ip next-hop 192.168.255.255
set local-preference 200
set community 65002:666 additive
!
line vty
!
{code}
zebra.conf
{code}
hostname border
interface lo
ip address 192.168.255.255/32
!
ip route 192.168.255.255/32 Null0 !Можно заменить Null0 на reject, тогда будет отправляться host unrecheable в ответ
!
|
{code}
|
Можно настроить доступ к сессию BGP и без создания интерфейса lo и из route-map убрать "set ip next-hop 192.168.255.255". Тогда запрещённый трафик будет идти на редуктор Carbon Reductor DPI и дропаться уже там. блокироваться.
|
В примере есть запись
|
...
{code}
|
set local-preference 200
{code}
|
Она требуется для того, чтобы маршрут от редуктора Carbon Reductor DPI точно попал в таблицу маршрутизации, потому что у него будет высший приоритет, но в зависимости от правил действующих в вашей сети, эта настройка может меняться.
|
{info}
|
Стандартный пакетный менеджер CentOS ставит версию quagga 0.99...; Для неё в конфигурационном файле указываем всё то же самое, только убраны настройки для адреса 192.168.255.255 и нет особых настроек для zebra.conf.
|
{info}
h3. Cisco 3750
|
Нужно Необходимо заменить следующие значения:
|
XXXXX - номер приватной AS Cisco-роутера.
|
...
x.x.x.x - IP сервера Carbon Reductor.
65001 - номер приватной AS Carbon Reductor, указанный при настройке BGP Blackhole.
{code}
!
interface Null0
no ip unreachables
!
interface Loopback666
ip address 192.168.255.255 255.255.255.255
!
ip community-list standard black-hole permit 65001:666
!
router bgp XXXXX
neighbor x.x.x.x 0 remote-as 65001
neighbor x.x.x.x description REDUCTOR
neighbor x.x.x.x route-map BLACK-HOLE in
!
!
ip route 192.168.255.255 255.255.255.255 Null0
!
!
route-map BLACK-HOLE permit 10
match community black-hole
set local-preference 200
set ip next-hop 192.168.255.255
set origin igp
set community no-export
!
|
{code}
|
h3. Пример настройки соседа Reductor-а по BGP для IPv6:
|
{code}
|
... neighbor fc01::1 remote-as 65001
no neighbor fc01::1 activate
address-family ipv6
neighbor fc01::1 activate
neighbor fc01::1 ebgp-multihop 8
neighbor fc01::1 soft-reconfiguration inbound
neighbor fc01::1 route-map BLACKHOLE_V6 in
exit-address-family
ipv6 prefix-list ANY_V6 permit any
route-map BLACKHOLE_V6 permit 10
match ipv6 address prefix-list ANY_V6
set ipv6 next-hop local fc01::ffff
set local-preference 10
set community 65002:666 additive
zebra.conf
interface lo
ipv6 address fc01::ffff/128
{code}
{info}
Интеграции с другими роутерами приведены в статье: [https://github.com/carbonsoft/reductor_bgp_rtbh]
{info}
|
