Настройка на Carbon Reductor DPI X
Настройка производится через меню: "menu -> BGP Blackhole -> Настройка BGP Blackhole"
Для включения опции необходимо выбрать "Включить BGP Blackhole"
Включить BGP Blackhole - опция влияет на запуск самого контейнера BGP Blackhole. Если её выключить - ни один сервис внутри этого контейнера (ни BGP, ни OSPF, ни Zebra) работать не будет.
Отдельная таблица маршрутизации - опция позволяет сформировать отдельный ipset на Carbon Reductor DPI, чтобы избежать возможных проблем при падении сессии.
Шаблон конфига Zebra и Шаблон конфига bgpd- менять не требуется в 99% случаев. Оставшийся 1% - когда требуется настроить что-то специфичное, что не будет вноситься в продукт никогда.
Пароль Zebra и Пароль bgpd - рекомендуем установить отличные от стандартных и безопасные.
Router ID (reductor), как правило, совпадает с IP адресом Carbon Reductor.
Номер локальной AS BGP - номер приватной AS, используемой сервером Carbon Reductor. Диапазон возможных значений для приватных AS: 64512 - 65534 включительно.
Список маршрутизаторов - это список соседей по BGP имеет формат:
IP1:AS1 IP2:AS2
разделитель между записями - пробел.
Список маршрутизаторов по IPv6 - список соседей BGP по протоколу IPv6, имеет формат:
IP1 AS1, IP2 AS2
Делить крупные подсети до префикса - эта опция требуется, если вышестоящий оператор связи присылает вам маршруты, пересекающиеся с блокируемыми с меньшим префиксом, в результате чего они получают больший приоритет, чем маршруты анонсируемые Carbon Reductor, из-за чего последние не применяются и подсети не блокируются.
Максимум маршрутов для блокировки - данная опция позволяет ограничить число маршрутов анонсируемых Carbon Reductor DPI X (по умолчанию установлено 300000).
После внесения изменений, необходимо нажать назад, и выбрать "Сохранить и применить настройки":
zebra и bgpd должны перезапуститься без ошибок:
Ускоренная синхронизация маршрутов
Использование опции "Ускоренная синхронизация маршрутов" подразумевает использование отдельной таблицы маршрутизации как для блокировки (table 20), так и для асинхронной маршрутизации (table 25).
Просмотр маршрутов можно выполнять командами:
ip route show table 20
и
ip route show table 25
Пример настройки соседа Carbon Reductor по BGP
Настройка производится на маршрутизаторе! |
Конфигурация роутеров может отличаться.
Linux роутер с Quagga.
Для quagga от 1.2.4
bgpd.conf
Здесь:
- router bgp 65002 - номер AS маршрутизатора.
- bgp router-id 10.0.0.2 - его IP, с которым он доступен Carbon Reductor'у
- 10.0.0.1 - IP адрес Carbon Reductor
hostname border password password log file /var/log/quagga/bgpd.log ! router bgp 65002 bgp router-id 10.0.0.2 redistribute static neighbor 10.0.0.1 remote-as 65001 neighbor 10.0.0.1 ebgp-multihop 8 neighbor 10.0.0.1 soft-reconfiguration inbound neighbor 10.0.0.1 route-map BLACKHOLE in ! ! ip prefix-list ANY permit any ! route-map BLACKHOLE permit 10 match ip address prefix-list ANY set local-preference 200 set community no-export ! line vty !
В примере есть запись
set local-preference 200
Она требуется для того, чтобы маршрут от Carbon Reductor DPI точно попал в таблицу маршрутизации, потому что у него будет высший приоритет, но в зависимости от правил действующих в вашей сети, эта настройка может меняться.
Стандартный пакетный менеджер CentOS ставит версию quagga 0.99...; Для неё в конфигурационном файле указываем всё то же самое, только убраны настройки для адреса 192.168.255.255 и нет особых настроек для zebra.conf. |
Cisco 3750
Необходимо заменить следующие значения:
XXXXX - номер приватной AS Cisco-роутера.
x.x.x.x - IP сервера Carbon Reductor.
65001 - номер приватной AS Carbon Reductor, указанный при настройке BGP Blackhole.
!
ip bgp-community new-format
!
ip community-list standard black-hole permit 65001:666
!
router bgp XXXXX
neighbor x.x.x.x 0 remote-as 65001
neighbor x.x.x.x description REDUCTOR
neighbor x.x.x.x route-map BLACK-HOLE in
!
!
route-map BLACK-HOLE permit 10
match community black-hole
set local-preference 200
set origin igp
set community no-export
!
Пример настройки соседа Reductor по BGP для IPv6:
neighbor fc01::1 remote-as 65001
no neighbor fc01::1 activate
address-family ipv6
neighbor fc01::1 activate
neighbor fc01::1 ebgp-multihop 8
neighbor fc01::1 soft-reconfiguration inbound
neighbor fc01::1 route-map BLACKHOLE_V6 in
exit-address-family
ipv6 prefix-list ANY_V6 permit any
route-map BLACKHOLE_V6 permit 10
match ipv6 address prefix-list ANY_V6
set ipv6 next-hop local fc01::ffff
set local-preference 10
set community no-export
zebra.conf
interface lo
ipv6 address fc01::ffff/128
Juniper mx80
Точную инструкцию по настройке рекомендуем использовать в соответствии с технической документацией.
Ниже приведен пример настройки с пиром при уже имеющейся BGP сессии и наличие собственной AS.
Необходимо заменить следующие значения:
x.x.x.x - IP сервера Carbon Reductor.
65001 - номер приватной AS Carbon Reductor, указанный при настройке BGP Blackhole.
bgp { group Reductor { type external; no-advertise-peer-as; neighbor 81.22.0.53 { peer-as 65001; } } }
Интеграции с другими роутерами приведены в статье: https://github.com/carbonsoft/reductor_bgp_rtbh |