CyberFilter Wiki

Инструменты пользователя

Инструменты сайта

Вы посетили:
setup_bgp

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия 		Предыдущая версия
Следующая версия Следующая версия справа и слева
setup_bgp [05.03.2014 16:25]
phantom [Оборудование Cisco] 		setup_bgp [15.04.2022 13:23]
phantom [Оборудование MikroTik]
Строка 1: Строка 1:
-====== Вариант "Proxy у оператора"​ ====== 
  
-BGP сессия может быть как с аутентификацией,​ так и без. Всегда multihop. Сервис CyberFilter использует автономную систему из приватного диапазона - 64512. В сторону клиента анонсируются префиксы длинной /32. 
- Со стороны клиента CyberFilter получает префиксы сетей, абоненты которых будут перенаправляться на фильтрующий сервер (proxy). При этом CyberFilter отфильтровывает все префиксы с origin не равны 
-м номеру автономной системы клиента. 
  
-Значение next_hop, для префиксов передаваемых со стороны CyberFilter можно установить в Личном Кабинете (раздел "​Настройки"​). Обычно next_hop == адресу proxy. 
  
-===== Оборудование Cisco =====+====== Облачный вариант ======
  
-<​code>​ +Устанавливается два туннеля - основной и запасной. BGP сессии устанавливаются "на концах"​ туннелей и могут быть как с аутентификацией,​ так и без. Сервис CyberFilter использует автономную систему из приватного диапазона - 64512. В сторону клиента анонсируются префиксы длинной /32. Со стороны клиента CyberFilter получает префиксы сетей, абоненты которых будут перенаправляться на фильтрующий ​сервер (фильтрация по URL). При этом CyberFilter отфильтровывает все префиксы с origin не равным номеру автономной системы клиента.
-# Префикс лист со всеми вашими сетями +
-ip prefix-list CYBERFILTER-OUT seq 5 permit A.B.C.D/X +
-ip prefix-list CYBERFILTER-OUT seq 10 permit E.F.G.H/Y+
  
-настройки BGP +Обозначения:
-router bgp <<​asn>>​ +
-neighbor CYBERFILTER peer-group +
-neighbor CYBERFILTER remote-as 64512 +
-neighbor CYBERFILTER ebgp-multihop 255 +
-neighbor CYBERFILTER password <<​password>>​ +
-neighbor CYBERFILTER update-source Loopback0 +
-neighbor CYBERFILTER version 4 +
-neighbor 81.28.177.200 peer-group CYBERFILTER +
-neighbor CYBERFILTER send-community both +
-neighbor CYBERFILTER next-hop-self +
-neighbor CYBERFILTER soft-reconfiguration inbound +
-neighbor CYBERFILTER prefix-list CYBERFILTER-OUT out +
-neighbor 81.28.177.200 activate +
-</​code>​+
  
-====== Облачный вариант ​======+local-ip - адрес интерфейса,​ который смотрит ​в вашу сеть\\ 
 +CF-remote-1 - адрес терминации туннеля №1 на стороне CyberFilter\\ 
 +CF-remote-2 - адрес терминации туннеля №2 на стороне CyberFilter\\
  
-Устанавливается два туннеля ​основной и запасной. BGP сессии ​могут быть как с аутентификацией, так и без. Сервис CyberFilter использует ​автономную систему из приватного диапазона - 64512. В сторону клиента анонсируются префиксы длинной /32. Со стороны клиента CyberFilter получает ​префиксы сетей, абоненты которых будут перенаправляться на фильтрующий сервер (фильтрация по URL). При этом CyberFilter отфильтровывает все ​префиксы с origin не равным номеру автономной системы клиента.+asn - номер вашей автономной системы\\ 
 +password - пароль на BGP сессии\\ 
 +prefix1 - ваш префикс ​(сеть) ​№1\\ 
 +prefixN - ваш префикс ​(сеть) №N\\
  
 +198.51.100.A - адрес на туннеле №1 со стороны CyberFilter\\
 +198.51.100.B - адрес на туннеле №1 со вашей стороны\\
 +198.51.100.С - адрес на туннеле №2 со стороны CyberFilter\\
 +198.51.100.D - адрес на туннеле №2 со вашей стороны\\
  
-===== Оборудование Cisco =====+===== Оборудование Cisco (обычные IOS) =====
  
 Туннели:​ Туннели:​
  
 <​code>​ <​code>​
-interface ​TunnelXXX+interface ​Tunnel0
  ​description CyberFilter Primary  ​description CyberFilter Primary
- ip address 198.51.100.255.255.255.252+ ip address 198.51.100.255.255.255.252
  ​tunnel source Loopback0  ​tunnel source Loopback0
- ​tunnel destination ​A.B.C.D+ ​tunnel destination ​<​CF-remote-1>​
  ​tunnel mode ipip  ​tunnel mode ipip
 end end
  
-interface ​TunnelYYY+interface ​Tunnel1
  ​description CyberFilter Secondary  ​description CyberFilter Secondary
- ip address 198.51.100.255.255.255.252+ ip address 198.51.100.255.255.255.252
  ​tunnel source Loopback0  ​tunnel source Loopback0
- ​tunnel destination ​E.F.G.H+ ​tunnel destination ​<​CF-remote-2>​
  ​tunnel mode ipip  ​tunnel mode ipip
 end end
Строка 61: Строка 48:
 <​code>​ <​code>​
 # Префикс лист со всеми вашими сетями ​ # Префикс лист со всеми вашими сетями ​
-ip prefix-list CYBERFILTER-OUT seq 5 permit ​I.J.K.L/X +ip prefix-list CYBERFILTER-OUT seq 5 permit ​<​prefix1>​ 
-ip prefix-list CYBERFILTER-OUT seq 10 permit ​M.N.O.P/Y+ip prefix-list CYBERFILTER-OUT seq 10 permit ​<​prefix2>​
  
 # настройки BGP # настройки BGP
Строка 70: Строка 57:
  ​neighbor CYBERFILTER password <<​password>>​  ​neighbor CYBERFILTER password <<​password>>​
  ​neighbor CYBERFILTER version 4  ​neighbor CYBERFILTER version 4
- ​neighbor 198.51.100.peer-group CYBERFILTER + ​neighbor 198.51.100.peer-group CYBERFILTER 
- ​neighbor 198.51.100.peer-group CYBERFILTER+ ​neighbor 198.51.100.peer-group CYBERFILTER
  ​neighbor CYBERFILTER send-community both  ​neighbor CYBERFILTER send-community both
  ​neighbor CYBERFILTER next-hop-self  ​neighbor CYBERFILTER next-hop-self
  ​neighbor CYBERFILTER soft-reconfiguration inbound  ​neighbor CYBERFILTER soft-reconfiguration inbound
  ​neighbor CYBERFILTER prefix-list CYBERFILTER-OUT out  ​neighbor CYBERFILTER prefix-list CYBERFILTER-OUT out
- ​neighbor 198.51.100.activate + ​neighbor 198.51.100.activate 
- ​neighbor 198.51.100.activate+ ​neighbor 198.51.100.activate 
 +</​code>​ 
 + 
 +===== Оборудование Cisco (IOS XR) ===== 
 + 
 +Туннели:​ 
 + 
 +<​code>​ 
 +interface Tunnel0 
 + ​description CyberFilter Primary 
 + ip address 198.51.100.B 255.255.255.252 
 + ​tunnel source Loopback0 
 + ​tunnel destination <​CF-remote-1>​ 
 + ​tunnel mode ipip 
 +end 
 + 
 +interface Tunnel1 
 + ​description CyberFilter Secondary 
 + ip address 198.51.100.D 255.255.255.252 
 + ​tunnel source Loopback0 
 + ​tunnel destination <​CF-remote-2>​ 
 + ​tunnel mode ipip 
 +end 
 +</​code>​ 
 + 
 +BGP: 
 + 
 +<​code>​ 
 +# Префикс лист со всеми вашими сетями 
 +prefix-set TO-CYBERFILTER 
 +  <<​prefix1>>,​ 
 +  <<​prefixN>>​ 
 +end-set 
 + 
 +route-policy CYBERFILTER-OUT 
 +  if destination in TO-CYBERFILTER then 
 +    pass 
 +  else 
 +    drop 
 +  endif 
 +end-policy 
 + 
 + 
 +router bgp <<​asn>>​ 
 +address-family ipv4 unicast 
 +
 +session-group CF-Group 
 +remote-as 64512 
 +  description CyberFilter 
 +  update-source Loopback0 
 +  address-family ipv4 unicast 
 +   ​next-hop-self 
 +   ​soft-reconfiguration inbound 
 +   ​password encrypted <<​password>>​ 
 +   ​send-community-ebgp 
 +   ​route-policy CYBERFILTER-OUT out 
 +
 +neighbor-group CF-Neighbors 
 +use session-group CF-Group 
 +
 +neighbor 198.51.100.A 
 +use neighbor-group CF-Neighbors 
 +neighbor 198.51.100.C 
 +use neighbor-group CF-Neighbors 
 +</​code>​ 
 + 
 +===== Оборудование MikroTik ===== 
 + 
 +Туннели:​ 
 + 
 +<​code>​ 
 +/interface ipip 
 +add local-address=<​local-ip>​ remote-address=<​CF-remote-1>​ name=CF1 
 +add local-address=<​local-ip>​ remote-address=<​CF-remote-2>​ name=CF2 
 + 
 +/ip address 
 +add address=198.51.100.B netmask=255.255.255.252 interface=CF1 
 +add address=198.51.100.D netmask=255.255.255.252 interface=CF2 
 +</​code>​ 
 + 
 +BGP: 
 + 
 +<​code>​ 
 + 
 +# Для каждого префикса желательно создать маршрут blackhole,​ 
 +# это позволит избежать зацикливания в трейсах из Интернет на ваши сети 
 +/ip route 
 +add dst-address=<​prefix1>​ type=blackhole 
 +add dst-address=<​prefixN>​ type=blackhole 
 + 
 +# Фильтр для анонсов в сторону CyberFilter 
 +/routing filter 
 +add chain=CF-Out prefix=<​prefix1>​ action=accept 
 +add chain=CF-Out prefix=<​prefixN>​ action=accept 
 +add chain=CF-Out action=discard 
 + 
 +# Настройка непосредственно AS 
 +# MicroTik по умолчанию уже имеет instance с назвнием default - его и настраиваем 
 +/routing bgp instance 
 +set 0 as=<​asn>​ router-id=<​local-ip>​ 
 + 
 +# Настройка ваших сетей для анонсов 
 +# Если маршрутов blackhole нет, то нужно добавить опцию synchronize=no 
 +/routing bgp network 
 +add network=<​prefix1>​ 
 +add network=<​prefixN>​ 
 + 
 +# Настройка BGP пиров 
 +/routing bgp peer 
 +add instance=default remote-address=198.51.100.A \ 
 +remote-as=64512 tcp-md5-key=<​password>​ out-filter=CF-Out name=CF1 
 +add instance=default remote-address=198.51.100.C \ 
 +remote-as=64512 tcp-md5-key=<​password>​ out-filter=CF-Out name=CF2 
 +</​code>​ 
 + 
 +====== Вариант "Proxy у оператора"​ ====== 
 + 
 +Настройки BGP для варианта "Proxy у оператора"​ осуществляются аналогично облачному варианту,​ с небольшими дополнениями,​ т.к. значение next_hop устанавливается со стороны CyberFilter. 
 + 
 +Значение next_hop, для префиксов передаваемых со стороны CyberFilter можно установить в Личном Кабинете (раздел «Настройки»). Обычно next_hop == адресу proxy.  
 +===== Оборудование Cisco (обычные IOS) ===== 
 + 
 +<​code>​ 
 +# настройки BGP 
 +router bgp <<​asn>>​ 
 +neighbor CYBERFILTER ebgp-multihop 2 
 +</​code>​ 
 + 
 +===== Оборудование Cisco (IOS XR) ===== 
 + 
 +<​code>​ 
 +router bgp <<​asn>>​ 
 +  remote-as 64512 
 +    ebgp-multihop 2 
 +</​code>​ 
 + 
 +===== Оборудование MikroTik ===== 
 + 
 +<​code>​ 
 +/routing bgp peer 
 +add instance=default remote-address=198.51.100.A multihop=yes\ 
 +remote-as=64512 tcp-md5-key=<​password>​ out-filter=CF-Out name=CF1 
 +add instance=default remote-address=198.51.100.C multihop=yes\ 
 +remote-as=64512 tcp-md5-key=<​password>​ out-filter=CF-Out name=CF2
 </​code>​ </​code>​
  
setup_bgp.txt · Последние изменения: 21.09.2022 10:48 — phantom

Инструменты страницы

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki