|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (20)
просмотр истории страницы... |
| Выберите BGP Blackhole \-> Настройка BGP Blackhole. |
| !BGP настройка.png|border=1! |
| !1.png|border=1! |
| |
| Пути до шаблонов менять не требуется, это редкий случай, когда техническая поддержка подтвердит, что другого способа настроить что-то специфичное нет. |
| |
| Пароли установить отличные от стандартных и безопасные. |
| *Включить BGP Blackhole* \- опция влияет на запуск самого контейнера BGP Blackhole. Если её выключить - ни один сервис внутри этого контейнера (ни BGP, ни OSPF, ни Zebra) работать не будет. |
| |
| Router ID, как правило, совпадает с IP адресом Carbon Reductor. |
| *Шаблон конфига Zebra* и *Шаблон конфига bgpd* менять не требуется в 99% случаев. Оставшийся 1% - когда требуется настроить что-то специфичное, что не будет вноситься в продукт никогда. |
| |
| Список соседей по BGP имеет формат: |
| *Пароль Zebra* и *Пароль bgpd* нужно установить отличные от стандартных и безопасные. |
| |
| *Router ID (reductor)*, как правило, совпадает с IP адресом Carbon Reductor. *Номер локальной AS BGP* \- номер приватной AS, используемой сервером Carbon Reductor. Диапазон возможных значений для приватных AS: 64512 - 65534 включительно. *Список маршрутизаторов* \- это список соседей по BGP имеет формат: |
| {code} IP1:AS1 IP2:AS2 |
... |
| разделитель между записями - пробел. |
| *Список маршрутизаторов по IPv6* \- список соседей BGP по протоколу IPv6, имеет формат: |
| |
| {code} IP1 AS1, IP2 AS2 {code} *Включить интеграцию по BGP* \- опция включена по умолчанию, выключение требуется в случае если вы используете контейнер BGP Blackhole только для получения маршрутов до абонентов по OSPF. *Делить крупные подсети до префикса* \- эта опция требуется, если вышестоящий провайдер присылает вам маршруты, пересекающиеся с блокируемыми с меньшим префиксом, в результате чего они получают больший приоритет, чем маршруты анонсируемые Carbon Reductor, из-за чего последние не применяются и подсети не блокируются. |
| Нажать назад, применить настройки: |
... |
| {note} |
| Конфигурация роутеров может отличаться. В качестве примера - Linux с Quagga. |
| Конфигурация роутеров может отличаться. |
| |
| h3. Linux роутер с Quagga. |
| bgpd.conf |
... |
| neighbor 10.0.0.1 ebgp-multihop 8 neighbor 10.0.0.1 soft-reconfiguration inbound |
| neighbor 10.0.0.1 route-map BLACKHOLE in |
| ! Это требуется, чтобы запрещённый трафик не шёл на редуктор, а дропался на самом роутере. |
... |
| {code} hostname border |
| interface lo666 |
| ip address 192.168.255.255/32 ! |
... |
| {code} |
| Можно настроить доступ к сессию BGP и без создания интерфейса lo666 и из route-map убрать "set ip next-hop 192.168.255.255". Тогда запрещённый трафик будет идти на редуктор и дропаться уже там. |
| В примере есть запись |
... |
| Она требуется для того, чтобы маршрут от редуктора точно попал в таблицу маршрутизации, потому что у него будут высший приоритет, но в зависимости правил действующих в вашей сети эта настройка может меняться. |
| h3. Cisco 3750 Нужно заменить следующие значения: XXXXX - номер приватной AS Cisco-роутера. x.x.x.x - IP сервера Carbon Reductor. 65001 - номер приватной AS Carbon Reductor, указанный при настройке BGP Blackhole. {code} ! interface Null0 no ip unreachables ! interface Loopback666 ip address 192.168.255.255 255.255.255.255 ! ip community-list standard black-hole permit 65001:666 ! router bgp XXXXX neighbor x.x.x.x 0 remote-as 65001 neighbor x.x.x.x description REDUCTOR neighbor x.x.x.x route-map BLACK-HOLE in ! ! ip route 192.168.255.255 255.255.255.255 Null0 ! ! route-map BLACK-HOLE permit 10 match community black-hole set ip next-hop 192.168.255.255 set origin igp set community no-export ! {code} |
| {info} Интеграции с другими роутерами приведены в статье: [https://github.com/carbonsoft/reductor_bgp_rtbh] {info} |
| *Пример настройки соседа Reductor-а по BGP для IPv6:* {code} neighbor fc01::1 remote-as 65001 no neighbor fc01::1 activate address-family ipv6 neighbor fc01::1 activate neighbor fc01::1 ebgp-multihop 8 neighbor fc01::1 soft-reconfiguration inbound neighbor fc01::1 route-map BLACKHOLE_V6 in exit-address-family ipv6 prefix-list ANY_V6 permit any route-map BLACKHOLE_V6 permit 10 match ipv6 address prefix-list ANY_V6 set ipv6 next-hop local fc01::ffff set local-preference 10 set community 65002:666 additive zebra.conf interface lo ipv6 address fc01::ffff/128 {code} |
| h2. Подводные камни и как их обходить |
... |