... {color:#ff0000}{*}ЧЕРНОВИК{*}{color} {toc} В Carbon Reductor 8.00.07 появилась возможность настроить BGP RTBH надёжнее и с меньшим числом усилий. h2. Настройка на Carbon Reductor Всё можно сделать через меню: Подключитесь по ssh, затем запустите команду меню: {code} menu {code} Выберите BGP Blackhole !Screen Shot 2017-03-14 at 14.11.10.png|border=1! Настройка !Screen Shot 2017-03-14 at 14.11.16.png|border=1! Пути до шаблонов менять не нужно, это редкий случай, когда техническая поддержка подтвердит, что другого способа настроить что-то специфичное нет. Пароли установите свои и безопасные. Router ID как правило совпадает с IP адресом Carbon Reductor. Список маршрутизаторов имеет формат: {code} ip1:as1 ip2:as2 {code} разделитель между маршрутизаторами - пробел. !Screen Shot 2017-03-14 at 14.12.25.png|border=1! Нажимаем назад, применяем настройки: !Screen Shot 2017-03-14 at 14.12.30.png|border=1! zebra и bgpd должны перезапуститься без ошибок: !Screen Shot 2017-03-14 at 14.12.36.png|border=1! h2. Настройка роутера (самого роутера, не редуктора) {color:#ff0000}{*}Ещё раз - самого роутера, не редуктора\!*{color} Конфигурация роутеров может отличаться. В качестве примера - Linux с Quagga. bgpd.conf Здесь: * router bgp 65002 - номер AS маршрутизатора. * bgp router-id 10.0.0.1 - его IP, с которым он доступен Carbon Reductor'у * 10.0.0.2 - IP адрес Carbon Reductor * 192.168.255.255 - вообще любой левый IP адрес {code} hostname border password password log file /var/log/quagga/bgpd.log ! router bgp 65002 bgp router-id 10.0.0.1 redistribute static route-map BLACKHOLE neighbor 10.0.0.2 remote-as 65001 neighbor 10.0.0.2 description ROUTER neighbor 10.0.0.2 ebgp-multihop 8 neighbor 10.0.0.2 update-source 10.0.0.1 neighbor 10.0.0.2 soft-reconfiguration inbound ! ip as-path access-list 1 deny .* ! route-map BLACKHOLE permit 10 description blackhole match ip address prefix-list BLACKHOLE set ip next-hop 192.168.255.255 set local-preference 10 set community 65002:666 additive ! line vty ! {code} zebra.conf {code} hostname border
|
20.09.2017. Настройка BGP RTBH приводит к появлению Null-маршрутов до запрещённых IP на самом редукторе. Это приводит к тому, что пришедшие в зеркало трафика пакеты, идущие на эти IP адреса не анализируются. В принципе в полностью рабочей схеме это не страшно - пакеты всё равно будут DROP'нуты на стороне бордера. Тем не менее, если что-то пойдёт не так (разорвётся соединение с роутером, не проверили настройки итд) то бордер пакеты отбрасывать не будет, а редуктор не будет их анализировать и в итоге получим пропуск.
|
... Сейчас мы ищем решение, которое позволит обойти эту проблему. Временным решением может быть разворачивание отдельного редуктора на виртуальной машине (мы дадим бесплатную лицензию), которая занимается тем, что скачивает и обрабатывает списки, к трафику не имеет никакого отношения, а основное её предназначение - это контейнер BGP Blackhole. Таким образом получаем двойную фильтрацию и повышение надёжности: роутер дропает пакеты, а основной редуктор посылает ресеты на все запрещённые IP адреса (в итоге пользователю не надо будет дожидаться таймаута установки соединения). Можно это развернуть не на виртуальной машине, а не резервном сервере с Carbon Reductor, который также занимается обработкой того же зеркала трафика.
|