|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (22)
просмотр истории страницы... |
h2. Настройка на Carbon Reductor DPI X |
h4. Первичная настройка. При первой настройке BGP Blackhole необходимо запустить команду: {code} /app/bgp_blackhole/service setup {code} Далее начнет работу мастер настройки: h6. Шаг 1. Пароль Zebra и Пароль bgpd - рекомендуем установить отличные от стандартных и безопасные. !11.png|border=1! h6. Шаг 2. Номер локальной AS BGP - номер приватной AS, используемой сервером Carbon Reductor. Диапазон возможных значений для приватных AS: 64512 - 65534 включительно. !2.png|border=1! h6. Шаг 3. Router ID (reductor), как правило, совпадает с IP адресом Carbon Reductor. !3.png|border=1! h6. Шаг 4.Список маршрутизаторов - это список соседей по BGP. !4.png|border=1! Имеет формат: {code} IP1:AS1 IP2:AS2 {code} Далее нажимаем OK и перезапускаем {code} /app/bgp_blackhole/service restart {code} h4. Настройка через меню |
Настройка производится через меню: "*menu \-> BGP Blackhole \-> Настройка BGP Blackhole*" |
... |
|
!reductor4.png|border=1! |
|
!Reductor5.png|border=1! |
|
|
*Включить BGP Blackhole* \- опция влияет на запуск самого контейнера BGP Blackhole. Если её выключить - ни один сервис внутри этого контейнера (ни BGP, ни OSPF, ни Zebra) работать не будет. |
... |
*Делить крупные подсети до префикса* \- эта опция требуется, если вышестоящий оператор связи присылает вам маршруты, пересекающиеся с блокируемыми с меньшим префиксом, в результате чего они получают больший приоритет, чем маршруты анонсируемые Carbon Reductor, из-за чего последние не применяются и подсети не блокируются. |
*Максимум маршрутов для блокировки* \- данная опция позволяет ограничить число маршрутов анонсируемых Carbon Reductor DPI X (по умолчанию установлено 300000). |
|
|
После внесения изменений, необходимо нажать назад, и выбрать "Сохранить и применить настройки": |
... |
* bgp router-id 10.0.0.2 - его IP, с которым он доступен Carbon Reductor'у * 10.0.0.1 - IP адрес Carbon Reductor |
* 192.168.255.255 - это IP-адрес, куда будет направляться запрещённый трафик. |
{code} |
... |
neighbor 10.0.0.1 route-map BLACKHOLE in ! |
Это требуется, чтобы запрещённый трафик не шёл на редуктор, а дропался на самом роутере. |
|
! ip prefix-list ANY permit any |
... |
route-map BLACKHOLE permit 10 match ip address prefix-list ANY |
set ip next-hop 192.168.255.255 |
set local-preference 200 |
set community 65002:666 additive no-export |
! line vty ! {code} |
zebra.conf |
|
{code} hostname border interface lo ip address 192.168.255.255/32 ! ip route 192.168.255.255/32 Null0 !Можно заменить Null0 на reject, тогда будет отправляться host unrecheable в ответ ! {code} Можно настроить доступ к сессию BGP и без создания интерфейса lo и из route-map убрать "set ip next-hop 192.168.255.255". Тогда запрещённый трафик будет идти на Carbon Reductor DPI и блокироваться. |
В примере есть запись |
... |
{code} |
|
! |
interface Null0 no ip unreachables |
ip bgp-community new-format |
! |
interface Loopback666 ip address 192.168.255.255 255.255.255.255 |
! |
ip community-list standard black-hole permit 65001:666 ! |
... |
! ! |
ip route 192.168.255.255 255.255.255.255 Null0 ! ! |
route-map BLACK-HOLE permit 10 match community black-hole set local-preference 200 |
set ip next-hop 192.168.255.255 |
set origin igp set community no-export |
... |
set ipv6 next-hop local fc01::ffff set local-preference 10 |
set community 65002:666 additive no-export |
zebra.conf |
... |
{info} Интеграции с другими роутерами приведены в статье: [https://github.com/carbonsoft/reductor_bgp_rtbh] |
|
{info} |