IP фильтрация (BGP Remote Triggered Black Hole)

{toc}

h2. Настройка на Carbon Reductor DPI X

Настройка производится через меню: "*menu \-> BGP Blackhole \-> Настройка BGP Blackhole*"

Для включения опции необходимо выбрать "*Включить BGP Blackhole*"




!Reductor5.png|border=1!




*Включить BGP Blackhole* \- опция влияет на запуск самого контейнера BGP Blackhole. Если её выключить - ни один сервис внутри этого контейнера (ни BGP, ни OSPF, ни Zebra) работать не будет.

*Отдельная таблица маршрутизации* \- опция позволяет сформировать отдельный ipset на Carbon Reductor DPI, чтобы избежать возможных проблем при падении сессии.

*Шаблон конфига Zebra* и *Шаблон конфига bgpd*\- менять не требуется в 99% случаев. Оставшийся 1% - когда требуется настроить что-то специфичное, что не будет вноситься в продукт никогда.

*Пароль Zebra* и *Пароль bgpd* \- рекомендуем установить отличные от стандартных и безопасные.

*Router ID (reductor)*, как правило, совпадает с IP адресом Carbon Reductor.

*Номер локальной AS BGP* \- номер приватной AS, используемой сервером Carbon Reductor. Диапазон возможных значений для приватных AS: 64512 - 65534 включительно.

*Список маршрутизаторов* \- это список соседей по BGP  имеет формат:

{code}
IP1:AS1 IP2:AS2
{code}
разделитель между записями - пробел.

*Список маршрутизаторов по IPv6* \- список соседей BGP по протоколу IPv6, имеет формат:

{code}
IP1 AS1, IP2 AS2
{code}

*Делить крупные подсети до префикса* \- эта опция требуется, если вышестоящий оператор связи присылает вам маршруты, пересекающиеся с блокируемыми с меньшим префиксом, в результате чего они получают больший приоритет, чем маршруты анонсируемые Carbon Reductor, из-за чего последние не применяются и подсети не блокируются.

*Максимум маршрутов для блокировки* \- данная опция позволяет ограничить число маршрутов анонсируемых Carbon Reductor DPI X (по умолчанию установлено 300000).


После внесения изменений, необходимо нажать назад, и выбрать "Сохранить и применить настройки":


!Screenshot_20180730_150742.png|border=1!


zebra и bgpd должны перезапуститься без ошибок:


!bgp.png|border=1,width=586,height=353!

h3. Ускоренная синхронизация маршрутов

Использование опции "Ускоренная синхронизация маршрутов" подразумевает использование отдельной таблицы маршрутизации как для блокировки (table 20), так и для асинхронной маршрутизации (table 25).

Просмотр маршрутов можно выполнять командами:

ip route show table 20

и

ip route show table 25




h2. Пример настройки соседа Carbon Reductor по BGP

{note}
Настройка производится на *маршрутизаторе*\!
{note}

Конфигурация роутеров может отличаться.

h3. Linux роутер с Quagga.

*Для quagga от 1.2.4*

bgpd.conf

Здесь:

* router bgp 65002 - номер AS маршрутизатора.

hostname border
password password
log file /var/log/quagga/bgpd.log
!
router bgp 65002
bgp router-id 10.0.0.2
redistribute static
neighbor 10.0.0.1 remote-as 65001
neighbor 10.0.0.1 ebgp-multihop 8
neighbor 10.0.0.1 soft-reconfiguration inbound

!

!
{code}

{code}
set local-preference 200
{code}
Она требуется для того, чтобы маршрут от Carbon Reductor DPI точно попал в таблицу маршрутизации, потому что у него будет высший приоритет, но в зависимости от правил действующих в вашей сети, эта настройка может меняться.

{info}
Стандартный пакетный менеджер CentOS ставит версию quagga 0.99...; Для неё в конфигурационном файле указываем всё то же самое, только убраны настройки для адреса 192.168.255.255 и нет особых настроек для zebra.conf.
{info}

h3. Cisco 3750

Необходимо заменить следующие значения:

XXXXX - номер приватной AS Cisco-роутера.

x.x.x.x - IP сервера Carbon Reductor.

65001 - номер приватной AS Carbon Reductor, указанный при настройке BGP Blackhole.

{code}

!
ip bgp-community new-format
!

ip community-list standard black-hole permit 65001:666
!
router bgp XXXXX
neighbor x.x.x.x 0 remote-as 65001
neighbor x.x.x.x description REDUCTOR
neighbor x.x.x.x route-map BLACK-HOLE in
!
!
route-map BLACK-HOLE permit 10
match community black-hole
set local-preference 200
set origin igp
set community no-export
!
{code}

h3. Пример настройки соседа Reductor по BGP для IPv6:

{code}
neighbor fc01::1 remote-as 65001
no neighbor fc01::1 activate


address-family ipv6
neighbor fc01::1 activate
neighbor fc01::1 ebgp-multihop 8
neighbor fc01::1 soft-reconfiguration inbound
neighbor fc01::1 route-map BLACKHOLE_V6 in
exit-address-family

ipv6 prefix-list ANY_V6 permit any

route-map BLACKHOLE_V6 permit 10
match ipv6 address prefix-list ANY_V6

interface lo
ipv6 address fc01::ffff/128
{code}

h3. Juniper mx80

Точную инструкцию по настройке рекомендуем использовать в соответствии с технической документацией.

Ниже приведен пример настройки с пиром при уже имеющейся BGP сессии и наличие собственной AS.


Необходимо заменить следующие значения:

x.x.x.x - IP сервера Carbon Reductor.

65001 - номер приватной AS Carbon Reductor, указанный при настройке BGP Blackhole.

{code}
bgp {

group Reductor {
type external;
no-advertise-peer-as;
neighbor 81.22.0.53 {
peer-as 65001;

}
}
}

{code}

{info}
Интеграции с другими роутерами приведены в статье: [https://github.com/carbonsoft/reductor_bgp_rtbh]
{info}