IP фильтрация (BGP Remote Triggered Black Hole)

Skip to end of metadata
Go to start of metadata
Вы просматриваете старую версию данной страницы. Смотрите текущую версию. Сравнить с текущим  |   просмотр истории страницы

Настройка на Carbon Reductor DPI X

Настройка производится через меню: "menu -> BGP Blackhole -> Настройка BGP Blackhole"

Для включения опции необходимо выбрать "Включить BGP Blackhole"

Включить BGP Blackhole - опция влияет на запуск самого контейнера BGP Blackhole. Если её выключить - ни один сервис внутри этого контейнера (ни BGP, ни OSPF, ни Zebra) работать не будет.

Отдельная таблица маршрутизации - опция позволяет сформировать отдельный ipset на Carbon Reductor DPI, чтобы избежать возможных проблем при падении сессии.

Шаблон конфига Zebra и Шаблон конфига bgpd- менять не требуется в 99% случаев. Оставшийся 1% - когда требуется настроить что-то специфичное, что не будет вноситься в продукт никогда.

Пароль Zebra и Пароль bgpd - рекомендуем установить отличные от стандартных и безопасные.

Router ID (reductor), как правило, совпадает с IP адресом Carbon Reductor.

Номер локальной AS BGP - номер приватной AS, используемой сервером Carbon Reductor. Диапазон возможных значений для приватных AS: 64512 - 65534 включительно.

Список маршрутизаторов - это список соседей по BGP  имеет формат:

IP1:AS1 IP2:AS2

разделитель между записями - пробел.

Список маршрутизаторов по IPv6 - список соседей BGP по протоколу IPv6, имеет формат:

IP1 AS1, IP2 AS2

Делить крупные подсети до префикса - эта опция требуется, если вышестоящий оператор связи присылает вам маршруты, пересекающиеся с блокируемыми с меньшим префиксом, в результате чего они получают больший приоритет, чем маршруты анонсируемые Carbon Reductor, из-за чего последние не применяются и подсети не блокируются.

Максимум маршрутов для блокировки - данная опция позволяет ограничить число маршрутов анонсируемых Carbon Reductor DPI X (по умолчанию установлено 300000).

После внесения изменений, необходимо нажать назад, и выбрать "Сохранить и применить настройки":

zebra и bgpd должны перезапуститься без ошибок:

Ускоренная синхронизация маршрутов

Использование опции "Ускоренная синхронизация маршрутов" подразумевает использование отдельной таблицы маршрутизации как для блокировки (table 20), так и для асинхронной маршрутизации (table 25).

Просмотр маршрутов можно выполнять командами:

ip route show table 20

и

ip route show table 25

Пример настройки соседа Carbon Reductor по BGP

Настройка производится на маршрутизаторе!

Конфигурация роутеров может отличаться.

Linux роутер с Quagga.

Для quagga от 1.2.4

bgpd.conf

Здесь:

  • router bgp 65002 - номер AS маршрутизатора.
  • bgp router-id 10.0.0.2 - его IP, с которым он доступен Carbon Reductor'у
  • 10.0.0.1 - IP адрес Carbon Reductor
  • 192.168.255.255 - это IP-адрес, куда будет направляться запрещённый трафик.
hostname border
password password
log file /var/log/quagga/bgpd.log
!
router bgp 65002
 bgp router-id 10.0.0.2
 redistribute static
 neighbor 10.0.0.1 remote-as 65001
 neighbor 10.0.0.1 ebgp-multihop 8
 neighbor 10.0.0.1 soft-reconfiguration inbound
 neighbor 10.0.0.1 route-map BLACKHOLE in
!
 Это требуется, чтобы запрещённый трафик не шёл на редуктор, а дропался на самом роутере.
!
ip prefix-list ANY permit any
!
route-map BLACKHOLE permit 10
 match ip address prefix-list ANY
 set ip next-hop 192.168.255.255
 set local-preference 200
 set community 65002:666 additive
!
line vty
!

zebra.conf

hostname border
interface lo
 ip address 192.168.255.255/32
!
ip route 192.168.255.255/32 Null0 !Можно заменить Null0 на reject, тогда будет отправляться host unrecheable в ответ
!
Можно настроить доступ к сессию BGP и без создания интерфейса lo и из route-map убрать "set ip next-hop 192.168.255.255". Тогда запрещённый трафик будет идти на Carbon Reductor DPI и блокироваться.

В примере есть запись 

set local-preference 200

Она требуется для того, чтобы маршрут от Carbon Reductor DPI точно попал в таблицу маршрутизации, потому что у него будет высший приоритет, но в зависимости от правил действующих в вашей сети, эта настройка может меняться.

Стандартный пакетный менеджер CentOS ставит версию quagga 0.99...; Для неё в конфигурационном файле указываем всё то же самое, только убраны настройки для адреса 192.168.255.255 и нет особых настроек для zebra.conf.

Cisco 3750

Необходимо заменить следующие значения:

XXXXX - номер приватной AS Cisco-роутера.

x.x.x.x - IP сервера Carbon Reductor.

65001 - номер приватной AS Carbon Reductor, указанный при настройке BGP Blackhole.


!

ip community-list standard black-hole permit 65001:666
!
router bgp XXXXX
 neighbor x.x.x.x 0 remote-as 65001
 neighbor x.x.x.x description REDUCTOR
 neighbor x.x.x.x route-map BLACK-HOLE in
!
!
route-map BLACK-HOLE permit 10
 match community black-hole
 set local-preference 200
 set origin igp
 set community no-export
!

Пример настройки соседа Reductor по BGP для IPv6:

 neighbor fc01::1 remote-as 65001
 no neighbor fc01::1 activate


 address-family ipv6
 neighbor fc01::1 activate
 neighbor fc01::1 ebgp-multihop 8
 neighbor fc01::1 soft-reconfiguration inbound
 neighbor fc01::1 route-map BLACKHOLE_V6 in
 exit-address-family

 ipv6 prefix-list ANY_V6 permit any

 route-map BLACKHOLE_V6 permit 10
 match ipv6 address prefix-list ANY_V6
 set ipv6 next-hop local fc01::ffff
 set local-preference 10
 set community 65002:666 additive

zebra.conf

interface lo
ipv6 address fc01::ffff/128

Juniper mx80

Точную инструкцию по настройке рекомендуем использовать в соответствии с технической документацией.

Ниже приведен пример настройки с пиром при уже имеющейся BGP сессии и наличие собственной AS.

Необходимо заменить следующие значения:

x.x.x.x - IP сервера Carbon Reductor.

65001 - номер приватной AS Carbon Reductor, указанный при настройке BGP Blackhole.

  bgp {

        group Reductor {
            type external;
            no-advertise-peer-as;
            neighbor 81.22.0.53 {
                peer-as 65001;

        }
    }
}

Интеграции с другими роутерами приведены в статье: https://github.com/carbonsoft/reductor_bgp_rtbh
Введите метки, чтобы добавить к этой странице:
Please wait 
Ищите метку? просто начните печатать.