|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (40)
просмотр истории страницы... |
| h2. Настройка на Carbon Reductor DPI X |
| h4. Первичная настройка. При первой настройке BGP Blackhole необходимо запустить команду: {code} /app/bgp_blackhole/service setup {code} Далее начнет работу мастер настройки: h6. Шаг 1. Пароль Zebra и Пароль bgpd - рекомендуем установить отличные от стандартных и безопасные. !11.png|border=1! h6. Шаг 2. Номер локальной AS BGP - номер приватной AS, используемой сервером Carbon Reductor. Диапазон возможных значений для приватных AS: 64512 - 65534 включительно. !2.png|border=1! h6. Шаг 3. Router ID (reductor), как правило, совпадает с IP адресом Carbon Reductor. !3.png|border=1! h6. Шаг 4.Список маршрутизаторов - это список соседей по BGP. !4.png|border=1! Имеет формат: {code} IP1:AS1 IP2:AS2 {code} Далее нажимаем OK и перезапускаем {code} /app/bgp_blackhole/service restart {code} h4. Настройка через меню |
| Настройка производится через меню: "*menu \-> BGP Blackhole \-> Настройка BGP Blackhole*" |
| Для включения опции необходимо выбрать "*Включить BGP Blackhole*", а так же активировать пункт "*Отдельная таблица маршрутизации*" |
| |
| !Screenshot_20180730_150006.png|border=1! |
| |
| !Reductor5.png|border=1! |
| *Включить BGP Blackhole* \- опция влияет на запуск самого контейнера BGP Blackhole. Если её выключить - ни один сервис внутри этого контейнера (ни BGP, ни OSPF, ни Zebra) работать не будет. |
| *Отдельная таблица маршрутизации* \- опция позволяет сформировать отдельный ipset на редукторе, Carbon Reductor DPI, чтобы избежать возможных проблем при падении сессии. |
| *Шаблон конфига Zebra* и *Шаблон конфига bgpd*\- менять не требуется в 99% случаев. Оставшийся 1% - когда требуется настроить что-то специфичное, что не будет вноситься в продукт никогда. |
... |
| {code} |
| *Делить крупные подсети до префикса* \- эта опция требуется, если вышестоящий провайдер оператор связи присылает вам маршруты, пересекающиеся с блокируемыми с меньшим префиксом, в результате чего они получают больший приоритет, чем маршруты анонсируемые Carbon Reductor, из-за чего последние не применяются и подсети не блокируются. |
| |
| *Максимум маршрутов для блокировки* \- данная опция позволяет ограничить число маршрутов анонсируемых Carbon Reductor DPI X (по умолчанию установлено 300000). |
| |
| |
| После внесения изменений, необходимо нажать назад, и выбрать "Сохранить и применить настройки": |
... |
| !bgp.png|border=1,width=586,height=353! |
| h3. Ускоренная синхронизация маршрутов |
| |
| h2. Пример настройки соседа Reductor-а по BGP |
| Использование опции "Ускоренная синхронизация маршрутов" подразумевает использование отдельной таблицы маршрутизации как для блокировки (table 20), так и для асинхронной маршрутизации (table 25). |
| |
| Просмотр маршрутов можно выполнять командами: ip route show table 20 и ip route show table 25 h2. Пример настройки соседа Carbon Reductor по BGP |
| {note} |
| Настройка производится именно на *маршрутизаторе*, не на Reductor-е \! |
| Настройка производится на *маршрутизаторе*\! |
| {note} |
... |
| h3. Linux роутер с Quagga. |
| *Для quagga от 1.2.4* |
| bgpd.conf |
... |
| * bgp router-id 10.0.0.2 - его IP, с которым он доступен Carbon Reductor'у * 10.0.0.1 - IP адрес Carbon Reductor |
| * 192.168.255.255 - это IP-адрес, куда будет направляться запрещённый трафик. |
| {code} |
... |
| neighbor 10.0.0.1 route-map BLACKHOLE in ! |
| Это требуется, чтобы запрещённый трафик не шёл на редуктор, а дропался на самом роутере. |
| |
| ! ip prefix-list ANY permit any |
... |
| route-map BLACKHOLE permit 10 match ip address prefix-list ANY |
| set ip next-hop 192.168.255.255 |
| set local-preference 200 |
| set community 65002:666 additive no-export |
| ! line vty ! {code} |
| zebra.conf |
| |
| {code} hostname border interface lo ip address 192.168.255.255/32 ! ip route 192.168.255.255/32 Null0 !Можно заменить Null0 на reject, тогда будет отправляться host unrecheable в ответ ! {code} Можно настроить доступ к сессию BGP и без создания интерфейса lo и из route-map убрать "set ip next-hop 192.168.255.255". Тогда запрещённый трафик будет идти на редуктор и дропаться уже там. |
| В примере есть запись |
... |
| set local-preference 200 {code} |
| Она требуется для того, чтобы маршрут от редуктора Carbon Reductor DPI точно попал в таблицу маршрутизации, потому что у него будет высший приоритет, но в зависимости от правил действующих в вашей сети, эта настройка может меняться. |
| |
| {info} Стандартный пакетный менеджер CentOS ставит версию quagga 0.99...; Для неё в конфигурационном файле указываем всё то же самое, только убраны настройки для адреса 192.168.255.255 и нет особых настроек для zebra.conf. {info} |
| h3. Cisco 3750 |
| Нужно Необходимо заменить следующие значения: |
| XXXXX - номер приватной AS Cisco-роутера. |
... |
| {code} |
| |
| ! |
| interface Null0 no ip unreachables |
| ip bgp-community new-format |
| ! |
| interface Loopback666 ip address 192.168.255.255 255.255.255.255 |
| ! |
| ip community-list standard black-hole permit 65001:666 ! |
... |
| ! ! |
| ip route 192.168.255.255 255.255.255.255 Null0 ! ! |
| route-map BLACK-HOLE permit 10 match community black-hole set local-preference 200 |
| set ip next-hop 192.168.255.255 |
| set origin igp set community no-export ! {code} |
| h3. Пример настройки соседа Reductor-а по BGP для IPv6: |
| |
| {code} |
| h3. Пример настройки соседа Reductor по BGP для IPv6: |
| |
| {code} |
| neighbor fc01::1 remote-as 65001 |
| no neighbor fc01::1 activate |
... |
| set ipv6 next-hop local fc01::ffff set local-preference 10 |
| set community 65002:666 additive no-export |
| zebra.conf |
... |
| {code} |
| h3. Juniper mx80 |
| |
| Точную инструкцию по настройке рекомендуем использовать в соответствии с технической документацией. Ниже приведен пример настройки с пиром при уже имеющейся BGP сессии и наличие собственной AS. Необходимо заменить следующие значения: x.x.x.x - IP сервера Carbon Reductor. 65001 - номер приватной AS Carbon Reductor, указанный при настройке BGP Blackhole. {code} bgp { group Reductor { type external; no-advertise-peer-as; neighbor 81.22.0.53 { peer-as 65001; } } } {code} |
| {info} Интеграции с другими роутерами приведены в статье: [https://github.com/carbonsoft/reductor_bgp_rtbh] |
... |