|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (35)
просмотр истории страницы{color:#ff0000}{*}ЧЕРНОВИК{*}{color} |
{toc} |
... |
Выберите BGP Blackhole \-> Настройка BGP Blackhole. |
!BGP настройка.png|border=1! |
!1.png|border=1! |
|
Пути до шаблонов менять не требуется, это редкий случай, когда техническая поддержка подтвердит, что другого способа настроить что-то специфичное нет. |
|
Пароли установить отличные от стандартных и безопасные. |
*Включить BGP Blackhole* \- опция влияет на запуск самого контейнера BGP Blackhole. Если её выключить - ни один сервис внутри этого контейнера (ни BGP, ни OSPF, ни Zebra) работать не будет. |
|
Router ID, как правило, совпадает с IP адресом Carbon Reductor. |
*Шаблон конфига Zebra* и *Шаблон конфига bgpd* менять не требуется в 99% случаев. Оставшийся 1% - когда требуется настроить что-то специфичное, что не будет вноситься в продукт никогда. |
|
Список соседей по BGP имеет формат: |
*Пароль Zebra* и *Пароль bgpd* нужно установить отличные от стандартных и безопасные. |
|
*Router ID (reductor)*, как правило, совпадает с IP адресом Carbon Reductor. *Номер локальной AS BGP* \- номер приватной AS, используемой сервером Carbon Reductor. Диапазон возможных значений для приватных AS: 64512 - 65534 включительно. *Список маршрутизаторов* \- это список соседей по BGP имеет формат: |
{code} IP1:AS1 IP2:AS2 |
... |
разделитель между записями - пробел. |
*Список маршрутизаторов по IPv6* \- список соседей BGP по протоколу IPv6, имеет формат: |
|
{code} IP1 AS1, IP2 AS2 {code} *Включить интеграцию по BGP* \- опция включена по умолчанию, выключение требуется в случае если вы используете контейнер BGP Blackhole только для получения маршрутов до абонентов по OSPF. *Делить крупные подсети до префикса* \- эта опция требуется, если вышестоящий провайдер присылает вам маршруты, пересекающиеся с блокируемыми с меньшим префиксом, в результате чего они получают больший приоритет, чем маршруты анонсируемые Carbon Reductor, из-за чего последние не применяются и подсети не блокируются. |
Нажать назад, применить настройки: |
... |
|
h2. Пример настройки соседа редуктора по BGP (самого роутера, не редуктора) |
h2. Пример настройки соседа Reductor-а по BGP |
|
{warning} {note} |
Речь идет о самом маршрутизаторе, не о редукторе |
Настройка производится именно на маршрутизаторе, не на Reductor-е |
{warning} {note} |
|
Конфигурация роутеров может отличаться. В качестве примера - Linux с Quagga. |
Конфигурация роутеров может отличаться. |
|
h3. Linux роутер с Quagga. |
bgpd.conf |
... |
! router bgp 65002 |
bgp router-id 10.0.0.12 |
redistribute static |
neighbor 10.0.0.21 remote-as 65001 |
neighbor 10.0.0.21 ebgp-multihop 8 |
neighbor 10.0.0.21 soft-reconfiguration inbound |
neighbor 10.0.0.2 route-map BLACKHOLE ! Это требуется, чтобы запрещённый трафик не шёл на редуктор, а дропался на самом роутере. |
neighbor 10.0.0.1 route-map BLACKHOLE in |
! |
Это требуется, чтобы запрещённый трафик не шёл на редуктор, а дропался на самом роутере. ! |
ip prefix-list ANY permit any ! |
... |
{code} hostname border |
interface lo666 |
ip address 192.168.255.255/32 ! |
... |
{code} |
Можно настроить доступ к сессию BGP и без создания интерфейса lo666 и из route-map убрать "set ip next-hop 192.168.255.255". Тогда запрещённый трафик будет идти на редуктор и дропаться уже там. |
|
В примере есть запись {code} set local-preference 10 {code} Она требуется для того, чтобы маршрут от редуктора точно попал в таблицу маршрутизации, потому что у него будут высший приоритет, но в зависимости правил действующих в вашей сети эта настройка может меняться. h3. Cisco 3750 Нужно заменить следующие значения: XXXXX - номер приватной AS Cisco-роутера. x.x.x.x - IP сервера Carbon Reductor. 65001 - номер приватной AS Carbon Reductor, указанный при настройке BGP Blackhole. {code} ! interface Null0 no ip unreachables ! interface Loopback666 ip address 192.168.255.255 255.255.255.255 ! ip community-list standard black-hole permit 65001:666 ! router bgp XXXXX neighbor x.x.x.x 0 remote-as 65001 neighbor x.x.x.x description REDUCTOR neighbor x.x.x.x route-map BLACK-HOLE in ! ! ip route 192.168.255.255 255.255.255.255 Null0 ! ! route-map BLACK-HOLE permit 10 match community black-hole set ip next-hop 192.168.255.255 set origin igp set community no-export ! {code} |
{info} Интеграции с другими роутерами приведены в статье: [https://github.com/carbonsoft/reductor_bgp_rtbh] {info} |
*Пример настройки соседа Reductor-а по BGP для IPv6:* {code} neighbor fc01::1 remote-as 65001 no neighbor fc01::1 activate address-family ipv6 neighbor fc01::1 activate neighbor fc01::1 ebgp-multihop 8 neighbor fc01::1 soft-reconfiguration inbound neighbor fc01::1 route-map BLACKHOLE_V6 in exit-address-family ipv6 prefix-list ANY_V6 permit any route-map BLACKHOLE_V6 permit 10 match ipv6 address prefix-list ANY_V6 set ipv6 next-hop local fc01::ffff set local-preference 10 set community 65002:666 additive zebra.conf interface lo ipv6 address fc01::ffff/128 {code} |
h2. Подводные камни и как их обходить |
... |
Сейчас мы ищем решение, которое позволит обойти эту проблему. Временным решением может быть разворачивание отдельного редуктора на виртуальной машине (мы дадим бесплатную лицензию), которая занимается тем, что скачивает и обрабатывает списки, к трафику не имеет никакого отношения, а основное её предназначение - это контейнер BGP Blackhole. Таким образом получаем двойную фильтрацию и повышение надёжности: роутер дропает пакеты, а основной редуктор посылает ресеты на все запрещённые IP адреса (в итоге пользователю не надо будет дожидаться таймаута установки соединения). Можно это развернуть не на виртуальной машине, а не резервном сервере с Carbon Reductor, который также занимается обработкой того же зеркала трафика. |
02.10.2017 28.03.2018 |
|
Найдено решение с запуском quagga версии 1.1.1 c добавлением нескольких таблиц маршрутизации. Благодаря этому не появляется null-маршрутов в основной таблице на редукторе. Но эту схему требуется ещё проверить. Схема проверена и работает исправно. |