Инструменты пользователя

Инструменты сайта


setup_bgp

Вариант "Proxy у оператора"

BGP сессия может быть как с аутентификацией, так и без. Всегда multihop. Сервис CyberFilter использует автономную систему из приватного диапазона - 64512. В сторону клиента анонсируются префиксы длинной /32. Со стороны клиента CyberFilter получает префиксы сетей, абоненты которых будут перенаправляться на фильтрующий сервер (proxy). При этом CyberFilter отфильтровывает все префиксы с origin не равны м номеру автономной системы клиента.

Значение next_hop, для префиксов передаваемых со стороны CyberFilter можно установить в Личном Кабинете (раздел «Настройки»). Обычно next_hop == адресу proxy.

Оборудование Cisco (обычные IOS)

# Префикс лист со всеми вашими сетями
ip prefix-list CYBERFILTER-OUT seq 5 permit A.B.C.D/X
ip prefix-list CYBERFILTER-OUT seq 10 permit E.F.G.H/Y

# настройки BGP
router bgp <<asn>>
neighbor CYBERFILTER peer-group
neighbor CYBERFILTER remote-as 64512
neighbor CYBERFILTER ebgp-multihop 255
neighbor CYBERFILTER password <<password>>
neighbor CYBERFILTER update-source Loopback0
neighbor CYBERFILTER version 4
neighbor 81.28.177.200 peer-group CYBERFILTER
neighbor CYBERFILTER send-community both
neighbor CYBERFILTER next-hop-self
neighbor CYBERFILTER soft-reconfiguration inbound
neighbor CYBERFILTER prefix-list CYBERFILTER-OUT out
neighbor 81.28.177.200 activate

Оборудование Cisco (IOS XR)

# Префикс лист со всеми вашими сетями
prefix-set TO-CYBERFILTER
  <<prefix1>>,
  <<prefixN>>
end-set

route-policy CEBERFILTER-OUT
  if destination in TO-CYBERFILTER then
    pass
  else
    drop
  endif
end-policy

router bgp <<asn>>
address-family ipv4 unicast
!
neighbor 81.28.177.200
  remote-as 64512
  description CyberFilter
  update-source Loopback0
  address-family ipv4 unicast
   next-hop-self
   soft-reconfiguration inbound
   ebgp-multihop 255
   password encrypted <<password>>
   send-community-ebgp
   route-policy CEBERFILTER-OUT out

Облачный вариант

Устанавливается два туннеля - основной и запасной. BGP сессии устанавливаются «на концах» туннелей и могут быть как с аутентификацией, так и без. Сервис CyberFilter использует автономную систему из приватного диапазона - 64512. В сторону клиента анонсируются префиксы длинной /32. Со стороны клиента CyberFilter получает префиксы сетей, абоненты которых будут перенаправляться на фильтрующий сервер (фильтрация по URL). При этом CyberFilter отфильтровывает все префиксы с origin не равным номеру автономной системы клиента.

Обозначения:

local-ip - адрес интерфейса, который смотрит в вашу сеть
CF-remote-1 - адрес терминации туннеля №1 на стороне CyberFilter
CF-remote-2 - адрес терминации туннеля №2 на стороне CyberFilter

asn - номер вашей автономной системы
password - пароль на BGP сессии
prefix1 - ваш префикс (сеть) №1
prefixN - ваш префикс (сеть) №N

198.51.100.A - адрес на туннеле №1 со стороны CyberFilter
198.51.100.B - адрес на туннеле №1 со вашей стороны
198.51.100.С - адрес на туннеле №2 со стороны CyberFilter
198.51.100.D - адрес на туннеле №2 со вашей стороны

Оборудование Cisco (обычные IOS)

Туннели:

interface Tunnel0
 description CyberFilter Primary
 ip address 198.51.100.B 255.255.255.252
 tunnel source Loopback0
 tunnel destination <CF-remote-1>
 tunnel mode ipip
end

interface Tunnel1
 description CyberFilter Secondary
 ip address 198.51.100.D 255.255.255.252
 tunnel source Loopback0
 tunnel destination <CF-remote-2>
 tunnel mode ipip
end

BGP:

# Префикс лист со всеми вашими сетями 
ip prefix-list CYBERFILTER-OUT seq 5 permit <prefix1>
ip prefix-list CYBERFILTER-OUT seq 10 permit <prefix2>

# настройки BGP
router bgp <<asn>>
 neighbor CYBERFILTER peer-group
 neighbor CYBERFILTER remote-as 64512
 neighbor CYBERFILTER password <<password>>
 neighbor CYBERFILTER version 4
 neighbor 198.51.100.A peer-group CYBERFILTER
 neighbor 198.51.100.C peer-group CYBERFILTER
 neighbor CYBERFILTER send-community both
 neighbor CYBERFILTER next-hop-self
 neighbor CYBERFILTER soft-reconfiguration inbound
 neighbor CYBERFILTER prefix-list CYBERFILTER-OUT out
 neighbor 198.51.100.A activate
 neighbor 198.51.100.C activate

Оборудование Cisco (IOS XR)

Туннели:

interface Tunnel0
 description CyberFilter Primary
 ip address 198.51.100.B 255.255.255.252
 tunnel source Loopback0
 tunnel destination <CF-remote-1>
 tunnel mode ipip
end

interface Tunnel1
 description CyberFilter Secondary
 ip address 198.51.100.D 255.255.255.252
 tunnel source Loopback0
 tunnel destination <CF-remote-2>
 tunnel mode ipip
end

BGP:

# Префикс лист со всеми вашими сетями
prefix-set TO-CYBERFILTER
  <<prefix1>>,
  <<prefixN>>
end-set

route-policy CYBERFILTER-OUT
  if destination in TO-CYBERFILTER then
    pass
  else
    drop
  endif
end-policy


router bgp <<asn>>
address-family ipv4 unicast
!
session-group CF-Group
remote-as 64512
  description CyberFilter
  update-source Loopback0
  address-family ipv4 unicast
   next-hop-self
   soft-reconfiguration inbound
   password encrypted <<password>>
   send-community-ebgp
   route-policy CYBERFILTER-OUT out
!
neighbor-group CF-Neighbors
use session-group CF-Group
!
neighbor 198.51.100.A
use neighbor-group CF-Neighbors
neighbor 198.51.100.C
use neighbor-group CF-Neighbors

Оборудование MikroTik

Туннели:

/interface ipip
add local-address=<local-ip> remote-address=<CF-remote-1> name=CF1
add local-address=<local-ip> remote-address=<CF-remote-2> name=CF2

/ip address
add address=198.51.100.B netmask=255.255.255.252 interface=CF1
add address=198.51.100.D netmask=255.255.255.252 interface=CF2

BGP:

# Для каждого префикса желательно создать маршрут blackhole,
# это позволит избежать зацикливания в трейсах из Интернет на ваши сети
/ip route
add dst-address=<prefix1> type=blackhole
add dst-address=<prefixN> type=blackhole

# Фильтр для анонсов в сторону CyberFilter
/routing filter
add chain=CF-Out prefix=<prefix1> action=accept
add chain=CF-Out prefix=<prefixN> action=accept
add chain=CF-Out action=discard

# Настройка непосредственно AS
# MicroTik по умолчанию уже имеет instance с назвнием default - его и настраиваем
/routing bgp instance
set 0 as=<asn> router-id=<local-ip>

# Настройка ваших сетей для анонсов
# Если маршрутов blackhole нет, то нужно добавить опцию synchronize=no
/routing bgp network
add network=<prefix1>
add network=<prefixN>

# Настройка BGP пиров
/routing bgp peer
add instance=default remote-address=198.51.100.A \
remote-as=64512 tcp-md5-key=<password> out-filter=CF-Out name=CF1
add instance=default remote-address=198.51.100.C \
remote-as=64512 tcp-md5-key=<password> out-filter=CF-Out name=CF2
setup_bgp.txt · Последние изменения: 09.12.2016 10:53 — phantom