Инструменты пользователя
Это старая версия документа!
Содержание
Вариант "Proxy у оператора"
BGP сессия может быть как с аутентификацией, так и без. Всегда multihop. Сервис CyberFilter использует автономную систему из приватного диапазона - 64512. В сторону клиента анонсируются префиксы длинной /32. Со стороны клиента CyberFilter получает префиксы сетей, абоненты которых будут перенаправляться на фильтрующий сервер (proxy). При этом CyberFilter отфильтровывает все префиксы с origin не равны м номеру автономной системы клиента.
Значение next_hop, для префиксов передаваемых со стороны CyberFilter можно установить в Личном Кабинете (раздел «Настройки»). Обычно next_hop == адресу proxy.
Оборудование Cisco (обычные IOS)
# Префикс лист со всеми вашими сетями ip prefix-list CYBERFILTER-OUT seq 5 permit A.B.C.D/X ip prefix-list CYBERFILTER-OUT seq 10 permit E.F.G.H/Y # настройки BGP router bgp <<asn>> neighbor CYBERFILTER peer-group neighbor CYBERFILTER remote-as 64512 neighbor CYBERFILTER ebgp-multihop 255 neighbor CYBERFILTER password <<password>> neighbor CYBERFILTER update-source Loopback0 neighbor CYBERFILTER version 4 neighbor 81.28.177.200 peer-group CYBERFILTER neighbor CYBERFILTER send-community both neighbor CYBERFILTER next-hop-self neighbor CYBERFILTER soft-reconfiguration inbound neighbor CYBERFILTER prefix-list CYBERFILTER-OUT out neighbor 81.28.177.200 activate
Оборудование Cisco (IOS XR)
# Префикс лист со всеми вашими сетями
prefix-set TO-CYBERFILTER
<<prefix1>>,
<<prefixN>>
end-set
route-policy CEBERFILTER-OUT
if destination in TO-CYBERFILTER then
pass
else
drop
endif
end-policy
router bgp <<asn>>
address-family ipv4 unicast
!
neighbor 81.28.177.200
remote-as 64512
description CyberFilter
update-source Loopback0
address-family ipv4 unicast
next-hop-self
soft-reconfiguration inbound
ebgp-multihop 255
password encrypted <<password>>
send-community-ebgp
route-policy CEBERFILTER-OUT out
Облачный вариант
Устанавливается два туннеля - основной и запасной. BGP сессии устанавливаются «на концах» туннелей и могут быть как с аутентификацией, так и без. Сервис CyberFilter использует автономную систему из приватного диапазона - 64512. В сторону клиента анонсируются префиксы длинной /32. Со стороны клиента CyberFilter получает префиксы сетей, абоненты которых будут перенаправляться на фильтрующий сервер (фильтрация по URL). При этом CyberFilter отфильтровывает все префиксы с origin не равным номеру автономной системы клиента.
Оборудование Cisco (обычные IOS)
Туннели:
interface TunnelXXX description CyberFilter Primary ip address 198.51.100.X 255.255.255.252 tunnel source Loopback0 tunnel destination A.B.C.D tunnel mode ipip end interface TunnelYYY description CyberFilter Secondary ip address 198.51.100.X 255.255.255.252 tunnel source Loopback0 tunnel destination E.F.G.H tunnel mode ipip end
BGP:
# Префикс лист со всеми вашими сетями ip prefix-list CYBERFILTER-OUT seq 5 permit I.J.K.L/X ip prefix-list CYBERFILTER-OUT seq 10 permit M.N.O.P/Y # настройки BGP router bgp <<asn>> neighbor CYBERFILTER peer-group neighbor CYBERFILTER remote-as 64512 neighbor CYBERFILTER password <<password>> neighbor CYBERFILTER version 4 neighbor 198.51.100.Y peer-group CYBERFILTER neighbor 198.51.100.Z peer-group CYBERFILTER neighbor CYBERFILTER send-community both neighbor CYBERFILTER next-hop-self neighbor CYBERFILTER soft-reconfiguration inbound neighbor CYBERFILTER prefix-list CYBERFILTER-OUT out neighbor 198.51.100.Y activate neighbor 198.51.100.Z activate
Оборудование Cisco (IOS XR)
Туннели:
interface TunnelXXX description CyberFilter Primary ip address 198.51.100.X 255.255.255.252 tunnel source Loopback0 tunnel destination A.B.C.D tunnel mode ipip end interface TunnelYYY description CyberFilter Secondary ip address 198.51.100.X 255.255.255.252 tunnel source Loopback0 tunnel destination E.F.G.H tunnel mode ipip end
BGP:
# Префикс лист со всеми вашими сетями
prefix-set TO-CYBERFILTER
<<prefix1>>,
<<prefixN>>
end-set
route-policy CYBERFILTER-OUT
if destination in TO-CYBERFILTER then
pass
else
drop
endif
end-policy
router bgp <<asn>>
address-family ipv4 unicast
!
session-group CF-Group
remote-as 64512
description CyberFilter
update-source Loopback0
address-family ipv4 unicast
next-hop-self
soft-reconfiguration inbound
ebgp-multihop 255
password encrypted <<password>>
send-community-ebgp
route-policy CYBERFILTER-OUT out
!
neighbor-group CF-Neighbors
use session-group CF-Group
!
neighbor 198.51.100.Y
use neighbor-group CF-Neighbors
neighbor 198.51.100.X
use neighbor-group CF-Neighbors
Инструменты страницы
