Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия Следующая версия Следующая версия справа и слева | ||
setup_bgp [02.03.2016 20:32] phantom |
setup_bgp [15.04.2022 13:23] phantom [Оборудование MikroTik] |
||
---|---|---|---|
Строка 1: | Строка 1: | ||
- | ====== Вариант "Proxy у оператора" ====== | ||
- | BGP сессия может быть как с аутентификацией, так и без. Всегда multihop. Сервис CyberFilter использует автономную систему из приватного диапазона - 64512. В сторону клиента анонсируются префиксы длинной /32. | ||
- | Со стороны клиента CyberFilter получает префиксы сетей, абоненты которых будут перенаправляться на фильтрующий сервер (proxy). При этом CyberFilter отфильтровывает все префиксы с origin не равны | ||
- | м номеру автономной системы клиента. | ||
- | Значение next_hop, для префиксов передаваемых со стороны CyberFilter можно установить в Личном Кабинете (раздел "Настройки"). Обычно next_hop == адресу proxy. | ||
- | |||
- | ===== Оборудование Cisco (обычные IOS) ===== | ||
- | |||
- | <code> | ||
- | # Префикс лист со всеми вашими сетями | ||
- | ip prefix-list CYBERFILTER-OUT seq 5 permit A.B.C.D/X | ||
- | ip prefix-list CYBERFILTER-OUT seq 10 permit E.F.G.H/Y | ||
- | |||
- | # настройки BGP | ||
- | router bgp <<asn>> | ||
- | neighbor CYBERFILTER peer-group | ||
- | neighbor CYBERFILTER remote-as 64512 | ||
- | neighbor CYBERFILTER ebgp-multihop 255 | ||
- | neighbor CYBERFILTER password <<password>> | ||
- | neighbor CYBERFILTER update-source Loopback0 | ||
- | neighbor CYBERFILTER version 4 | ||
- | neighbor 81.28.177.200 peer-group CYBERFILTER | ||
- | neighbor CYBERFILTER send-community both | ||
- | neighbor CYBERFILTER next-hop-self | ||
- | neighbor CYBERFILTER soft-reconfiguration inbound | ||
- | neighbor CYBERFILTER prefix-list CYBERFILTER-OUT out | ||
- | neighbor 81.28.177.200 activate | ||
- | </code> | ||
- | |||
- | ===== Оборудование Cisco (IOS XR) ===== | ||
- | |||
- | <code> | ||
- | # Префикс лист со всеми вашими сетями | ||
- | prefix-set TO-CYBERFILTER | ||
- | <<prefix1>>, | ||
- | <<prefixN>> | ||
- | end-set | ||
- | |||
- | route-policy CEBERFILTER-OUT | ||
- | if destination in TO-CYBERFILTER then | ||
- | pass | ||
- | else | ||
- | drop | ||
- | endif | ||
- | end-policy | ||
- | |||
- | router bgp <<asn>> | ||
- | address-family ipv4 unicast | ||
- | ! | ||
- | neighbor 81.28.177.200 | ||
- | remote-as 64512 | ||
- | description CyberFilter | ||
- | update-source Loopback0 | ||
- | address-family ipv4 unicast | ||
- | next-hop-self | ||
- | soft-reconfiguration inbound | ||
- | ebgp-multihop 255 | ||
- | password encrypted <<password>> | ||
- | send-community-ebgp | ||
- | route-policy CEBERFILTER-OUT out | ||
- | </code> | ||
====== Облачный вариант ====== | ====== Облачный вариант ====== | ||
Строка 75: | Строка 14: | ||
asn - номер вашей автономной системы\\ | asn - номер вашей автономной системы\\ | ||
password - пароль на BGP сессии\\ | password - пароль на BGP сессии\\ | ||
- | prefix1 - префикс (сеть) оператора №1\\ | + | prefix1 - ваш префикс (сеть) №1\\ |
- | prefixN - префикс (сеть) оператора №N\\ | + | prefixN - ваш префикс (сеть) №N\\ |
198.51.100.A - адрес на туннеле №1 со стороны CyberFilter\\ | 198.51.100.A - адрес на туннеле №1 со стороны CyberFilter\\ | ||
Строка 191: | Строка 130: | ||
</code> | </code> | ||
- | ===== Оборудование MicroTik ===== | + | ===== Оборудование MikroTik ===== |
Туннели: | Туннели: | ||
Строка 210: | Строка 149: | ||
# Для каждого префикса желательно создать маршрут blackhole, | # Для каждого префикса желательно создать маршрут blackhole, | ||
- | # это позволит избежать зацикливания в трейсах из Интернет на сети оператора | + | # это позволит избежать зацикливания в трейсах из Интернет на ваши сети |
/ip route | /ip route | ||
add dst-address=<prefix1> type=blackhole | add dst-address=<prefix1> type=blackhole | ||
Строка 226: | Строка 165: | ||
set 0 as=<asn> router-id=<local-ip> | set 0 as=<asn> router-id=<local-ip> | ||
- | # Настройка сетей, которые ваших сетей для анонсов | + | # Настройка ваших сетей для анонсов |
# Если маршрутов blackhole нет, то нужно добавить опцию synchronize=no | # Если маршрутов blackhole нет, то нужно добавить опцию synchronize=no | ||
/routing bgp network | /routing bgp network | ||
Строка 234: | Строка 173: | ||
# Настройка BGP пиров | # Настройка BGP пиров | ||
/routing bgp peer | /routing bgp peer | ||
- | add instance=default remote-address=198.51.100.A remote-as=64512 tcp-md5-key=<password> out-filter=CF-Out name=CF1 | + | add instance=default remote-address=198.51.100.A \ |
- | add instance=default remote-address=198.51.100.C remote-as=64512 tcp-md5-key=<password> out-filter=CF-Out name=CF2 | + | remote-as=64512 tcp-md5-key=<password> out-filter=CF-Out name=CF1 |
+ | add instance=default remote-address=198.51.100.C \ | ||
+ | remote-as=64512 tcp-md5-key=<password> out-filter=CF-Out name=CF2 | ||
+ | </code> | ||
+ | |||
+ | ====== Вариант "Proxy у оператора" ====== | ||
+ | |||
+ | Настройки BGP для варианта "Proxy у оператора" осуществляются аналогично облачному варианту, с небольшими дополнениями, т.к. значение next_hop устанавливается со стороны CyberFilter. | ||
+ | |||
+ | Значение next_hop, для префиксов передаваемых со стороны CyberFilter можно установить в Личном Кабинете (раздел «Настройки»). Обычно next_hop == адресу proxy. | ||
+ | ===== Оборудование Cisco (обычные IOS) ===== | ||
+ | |||
+ | <code> | ||
+ | # настройки BGP | ||
+ | router bgp <<asn>> | ||
+ | neighbor CYBERFILTER ebgp-multihop 2 | ||
+ | </code> | ||
+ | |||
+ | ===== Оборудование Cisco (IOS XR) ===== | ||
+ | |||
+ | <code> | ||
+ | router bgp <<asn>> | ||
+ | remote-as 64512 | ||
+ | ebgp-multihop 2 | ||
+ | </code> | ||
+ | |||
+ | ===== Оборудование MikroTik ===== | ||
+ | |||
+ | <code> | ||
+ | /routing bgp peer | ||
+ | add instance=default remote-address=198.51.100.A multihop=yes\ | ||
+ | remote-as=64512 tcp-md5-key=<password> out-filter=CF-Out name=CF1 | ||
+ | add instance=default remote-address=198.51.100.C multihop=yes\ | ||
+ | remote-as=64512 tcp-md5-key=<password> out-filter=CF-Out name=CF2 | ||
</code> | </code> | ||