... {toc} В Carbon Reductor 8.00.07 появилась возможность настроить BGP Remote Triggered Blackhole надёжнее и с меньшим числом усилий. h2. Настройка на Carbon Reductor Всё можно сделать через меню: Подключитесь по ssh, затем запустите команду меню: {code} menu {code} Выберите BGP Blackhole \-> Настройка BGP Blackhole. !BGP настройка.png|border=1! Пути до шаблонов менять не требуется, это редкий случай, когда техническая поддержка подтвердит, что другого способа настроить что-то специфичное нет. Пароли установить отличные от стандартных и безопасные. Router ID, как правило, совпадает с IP адресом Carbon Reductor. Список соседей по BGP имеет формат: {code} IP1:AS1 IP2:AS2 {code} разделитель между записями - пробел. Нажать назад, применить настройки: !Screen Shot 2017-03-14 at 14.12.30.png|border=1! zebra и bgpd должны перезапуститься без ошибок: !Screen Shot 2017-03-14 at 14.12.36.png|border=1! h2. Пример настройки соседа Reductor-а по BGP {note} Настройка производится именно на маршрутизаторе, не на Reductor-е {note} Конфигурация роутеров может отличаться. В качестве примера - Linux с Quagga. bgpd.conf Здесь: * router bgp 65002 - номер AS маршрутизатора. * bgp router-id 10.0.0.2 - его IP, с которым он доступен Carbon Reductor'у * 10.0.0.1 - IP адрес Carbon Reductor * 192.168.255.255 - это IP-адрес, куда будет направляться запрещённый трафик. {code} hostname border password password log file /var/log/quagga/bgpd.log ! router bgp 65002 bgp router-id 10.0.0.2 redistribute static neighbor 10.0.0.1 remote-as 65001 neighbor 10.0.0.1 ebgp-multihop 8 neighbor 10.0.0.1 soft-reconfiguration inbound neighbor 10.0.0.1 route-map BLACKHOLE ! Это требуется, чтобы запрещённый трафик не шёл на редуктор, а дропался на самом роутере. ! ip prefix-list ANY permit any ! route-map BLACKHOLE permit 10 match ip address prefix-list ANY set ip next-hop 192.168.255.255 set local-preference 10 set community 65002:666 additive ! line vty ! {code} zebra.conf {code} hostname border interface lo666 ip address 192.168.255.255/32 ! ip route 192.168.255.255/32 Null0 !Можно заменить Null0 на reject, тогда будет отправляться host unrecheable в ответ ! {code} Можно настроить доступ к сессию BGP и без создания интерфейса lo666 и из route-map убрать "set ip next-hop 192.168.255.255". Тогда запрещённый трафик будет идти на редуктор и дропаться уже там. В примере есть запись {code} set local-preference 10 {code} Она требуется для того, чтобы маршрут от редуктора точно попал в таблицу маршрутизации, потому что у него будут высший приоритет, но в зависимости правил действующих в вашей сети эта настройка может меняться. {info} Интеграции с другими роутерами приведены в статье: [https://github.com/carbonsoft/reductor_bgp_rtbh] {info} h2. Подводные камни и как их обходить 20.09.2017. Настройка BGP RTBH приводит к появлению Null-маршрутов до запрещённых IP на самом редукторе. Это приводит к тому, что пришедшие в зеркало трафика пакеты, идущие на эти IP адреса не анализируются. В принципе в полностью рабочей схеме это не страшно - пакеты всё равно будут DROP'нуты на стороне бордера. Тем не менее, если что-то пойдёт не так (разорвётся соединение с роутером, не проверили настройки итд) то бордер пакеты отбрасывать не будет, а редуктор не будет их анализировать и в итоге получим пропуск.
|
Сейчас мы ищем решение, которое позволит обойти эту проблему. Временным решением может быть разворачивание отдельного редуктора на виртуальной машине (мы дадим бесплатную лицензию), которая занимается тем, что скачивает и обрабатывает списки, к трафику не имеет никакого отношения, а основное её предназначение - это контейнер BGP Blackhole. Таким образом получаем двойную фильтрацию и повышение надёжности: роутер дропает пакеты, а основной редуктор посылает ресеты на все запрещённые IP адреса (в итоге пользователю не надо будет дожидаться таймаута установки соединения). Можно это развернуть не на виртуальной машине, а не резервном сервере с Carbon Reductor, который также занимается обработкой того же зеркала трафика.
|