|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (39)
просмотр истории страницы... |
h2. Настройка на Carbon Reductor DPI X |
h4. Первичная настройка. При первой настройке BGP Blackhole необходимо запустить команду: {code} /app/bgp_blackhole/service setup {code} Далее начнет работу мастер настройки: h6. Шаг 1. Пароль Zebra и Пароль bgpd - рекомендуем установить отличные от стандартных и безопасные. !11.png|border=1! h6. Шаг 2. Номер локальной AS BGP - номер приватной AS, используемой сервером Carbon Reductor. Диапазон возможных значений для приватных AS: 64512 - 65534 включительно. !2.png|border=1! h6. Шаг 3. Router ID (reductor), как правило, совпадает с IP адресом Carbon Reductor. !3.png|border=1! h6. Шаг 4.Список маршрутизаторов - это список соседей по BGP. !4.png|border=1! Имеет формат: {code} IP1:AS1 IP2:AS2 {code} Далее нажимаем OK и перезапускаем {code} /app/bgp_blackhole/service restart {code} h4. Настройка через меню |
Настройка производится через меню: "*menu \-> BGP Blackhole \-> Настройка BGP Blackhole*" |
Для включения опции необходимо выбрать "*Включить BGP Blackhole*", а так же активировать пункт "*Отдельная таблица маршрутизации*" |
|
!Screenshot_20180730_150006.png|border=1! |
|
!Reductor5.png|border=1! |
*Включить BGP Blackhole* \- опция влияет на запуск самого контейнера BGP Blackhole. Если её выключить - ни один сервис внутри этого контейнера (ни BGP, ни OSPF, ни Zebra) работать не будет. |
*Отдельная таблица маршрутизации* \- опция позволяет сформировать отдельный ipset на редукторе, Carbon Reductor DPI, чтобы избежать возможных проблем при падении сессии. |
*Шаблон конфига Zebra* и *Шаблон конфига bgpd*\- менять не требуется в 99% случаев. Оставшийся 1% - когда требуется настроить что-то специфичное, что не будет вноситься в продукт никогда. |
... |
{code} |
*Делить крупные подсети до префикса* \- эта опция требуется, если вышестоящий провайдер оператор связи присылает вам маршруты, пересекающиеся с блокируемыми с меньшим префиксом, в результате чего они получают больший приоритет, чем маршруты анонсируемые Carbon Reductor, из-за чего последние не применяются и подсети не блокируются. |
|
*Максимум маршрутов для блокировки* \- данная опция позволяет ограничить число маршрутов анонсируемых Carbon Reductor DPI X (по умолчанию установлено 300000). |
|
|
После внесения изменений, необходимо нажать назад, и выбрать "Сохранить и применить настройки": |
... |
!bgp.png|border=1,width=586,height=353! |
h3. Ускоренная синхронизация маршрутов |
|
h2. Пример настройки соседа Reductor-а по BGP |
Использование опции "Ускоренная синхронизация маршрутов" подразумевает использование отдельной таблицы маршрутизации как для блокировки (table 20), так и для асинхронной маршрутизации (table 25). |
|
Просмотр маршрутов можно выполнять командами: ip route show table 20 и ip route show table 25 h2. Пример настройки соседа Carbon Reductor по BGP |
{note} |
Настройка производится именно на *маршрутизаторе*, не на Reductor-е \! |
Настройка производится на *маршрутизаторе*\! |
{note} |
... |
h3. Linux роутер с Quagga. |
*Для quagga от 1.2.4* |
bgpd.conf |
... |
* bgp router-id 10.0.0.2 - его IP, с которым он доступен Carbon Reductor'у * 10.0.0.1 - IP адрес Carbon Reductor |
* 192.168.255.255 - это IP-адрес, куда будет направляться запрещённый трафик. |
{code} |
... |
neighbor 10.0.0.1 route-map BLACKHOLE in ! |
Это требуется, чтобы запрещённый трафик не шёл на редуктор, а дропался на самом роутере. |
|
! ip prefix-list ANY permit any |
... |
route-map BLACKHOLE permit 10 match ip address prefix-list ANY |
set ip next-hop 192.168.255.255 |
set local-preference 200 |
set community 65002:666 additive no-export |
! line vty ! {code} |
zebra.conf |
|
{code} hostname border interface lo ip address 192.168.255.255/32 ! ip route 192.168.255.255/32 Null0 !Можно заменить Null0 на reject, тогда будет отправляться host unrecheable в ответ ! {code} Можно настроить доступ к сессию BGP и без создания интерфейса lo и из route-map убрать "set ip next-hop 192.168.255.255". Тогда запрещённый трафик будет идти на редуктор и дропаться уже там. |
В примере есть запись |
... |
set local-preference 200 {code} |
Она требуется для того, чтобы маршрут от редуктора Carbon Reductor DPI точно попал в таблицу маршрутизации, потому что у него будет высший приоритет, но в зависимости от правил действующих в вашей сети, эта настройка может меняться. |
|
{info} Стандартный пакетный менеджер CentOS ставит версию quagga 0.99...; Для неё в конфигурационном файле указываем всё то же самое, только убраны настройки для адреса 192.168.255.255 и нет особых настроек для zebra.conf. {info} |
h3. Cisco 3750 |
Нужно Необходимо заменить следующие значения: |
XXXXX - номер приватной AS Cisco-роутера. |
... |
{code} |
|
! |
interface Null0 no ip unreachables |
ip bgp-community new-format |
! |
interface Loopback666 ip address 192.168.255.255 255.255.255.255 |
! |
ip community-list standard black-hole permit 65001:666 ! |
... |
! ! |
ip route 192.168.255.255 255.255.255.255 Null0 ! ! |
route-map BLACK-HOLE permit 10 match community black-hole set local-preference 200 |
set ip next-hop 192.168.255.255 |
set origin igp set community no-export |
... |
{code} |
*Пример настройки соседа Reductor-а по BGP для IPv6:* |
h3. Пример настройки соседа Reductor по BGP для IPv6: |
{code} |
|
neighbor fc01::1 remote-as 65001 |
no neighbor fc01::1 activate |
... |
set ipv6 next-hop local fc01::ffff set local-preference 10 |
set community 65002:666 additive no-export |
zebra.conf |
... |
{code} |
h3. Juniper mx80 |
|
Точную инструкцию по настройке рекомендуем использовать в соответствии с технической документацией. Ниже приведен пример настройки с пиром при уже имеющейся BGP сессии и наличие собственной AS. Необходимо заменить следующие значения: x.x.x.x - IP сервера Carbon Reductor. 65001 - номер приватной AS Carbon Reductor, указанный при настройке BGP Blackhole. {code} bgp { group Reductor { type external; no-advertise-peer-as; neighbor 81.22.0.53 { peer-as 65001; } } } {code} |
{info} Интеграции с другими роутерами приведены в статье: [https://github.com/carbonsoft/reductor_bgp_rtbh] |
... |