... {color:#ff0000}{*}ЧЕРНОВИК{*}{color}
{toc}
В Carbon Reductor 8.00.07 появилась возможность настроить BGP RTBH надёжнее и с меньшим числом усилий.
h2. Настройка на Carbon Reductor
Всё можно сделать через меню:
Подключитесь по ssh, затем запустите команду меню:
{code}
menu
{code}
Выберите BGP Blackhole
!Screen Shot 2017-03-14 at 14.11.10.png|border=1!
Настройка
!Screen Shot 2017-03-14 at 14.11.16.png|border=1!
Пути до шаблонов менять не нужно, это редкий случай, когда техническая поддержка подтвердит, что другого способа настроить что-то специфичное нет.
Пароли установите свои и безопасные.
Router ID как правило совпадает с IP адресом Carbon Reductor.
Список маршрутизаторов имеет формат:
{code}
ip1:as1 ip2:as2
{code}
разделитель между маршрутизаторами - пробел.
!Screen Shot 2017-03-14 at 14.12.25.png|border=1!
Нажимаем назад, применяем настройки:
!Screen Shot 2017-03-14 at 14.12.30.png|border=1!
zebra и bgpd должны перезапуститься без ошибок:
!Screen Shot 2017-03-14 at 14.12.36.png|border=1!
h2. Настройка роутера (самого роутера, не редуктора)
{color:#ff0000}{*}Ещё раз - самого роутера, не редуктора\!*{color}
Конфигурация роутеров может отличаться. В качестве примера - Linux с Quagga.
bgpd.conf
Здесь:
* router bgp 65002 - номер AS маршрутизатора.
* bgp router-id 10.0.0.1 - его IP, с которым он доступен Carbon Reductor'у
* 10.0.0.2 - IP адрес Carbon Reductor
* 192.168.255.255 - вообще любой левый IP адрес
{code}
hostname border
password password
log file /var/log/quagga/bgpd.log
!
router bgp 65002
bgp router-id 10.0.0.1
redistribute static route-map BLACKHOLE
neighbor 10.0.0.2 remote-as 65001
neighbor 10.0.0.2 description ROUTER
neighbor 10.0.0.2 ebgp-multihop 8
neighbor 10.0.0.2 update-source 10.0.0.1
neighbor 10.0.0.2 soft-reconfiguration inbound
!
ip as-path access-list 1 deny .*
!
route-map BLACKHOLE permit 10
description blackhole
match ip address prefix-list BLACKHOLE
set ip next-hop 192.168.255.255
set local-preference 10
set community 65002:666 additive
!
line vty
!
{code}
zebra.conf
{code}
hostname border
|
20.09.2017. Настройка BGP RTBH приводит к появлению Null-маршрутов до запрещённых IP на самом редукторе. Это приводит к тому, что пришедшие в зеркало трафика пакеты, идущие на эти IP адреса не анализируются. В принципе в полностью рабочей схеме это не страшно - пакеты всё равно будут DROP'нуты на стороне бордера. Тем не менее, если что-то пойдёт не так (разорвётся соединение с роутером, не проверили настройки итд) то бордер пакеты отбрасывать не будет, а редуктор не будет их анализировать и в итоге получим пропуск.
|
...
Сейчас мы ищем решение, которое позволит обойти эту проблему. Временным решением может быть разворачивание отдельного редуктора на виртуальной машине (мы дадим бесплатную лицензию), которая занимается тем, что скачивает и обрабатывает списки, к трафику не имеет никакого отношения, а основное её предназначение - это контейнер BGP Blackhole. Таким образом получаем двойную фильтрацию и повышение надёжности: роутер дропает пакеты, а основной редуктор посылает ресеты на все запрещённые IP адреса (в итоге пользователю не надо будет дожидаться таймаута установки соединения). Можно это развернуть не на виртуальной машине, а не резервном сервере с Carbon Reductor, который также занимается обработкой того же зеркала трафика.
|
