Pro příklad použijeme schéma, které je znázorněno na obrázku –
Konfigurace BGP je velmi podobná konfiguraci na Quagga.
Konfigurace BGP Cisco směrovače AS12345 –
Základní konfigurace
CiscoRouter#show run
Building configuration…
Current configuration : 7452 bytes
!
! Last configuration change at 07:56:35 UTC Wed Jan 5 2011 by xxxxxxx
! NVRAM config last updated at 07:55:38 UTC Wed Jan 5 2011 by xxxxxxx
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service sequence-numbers
!
hostname CiscoRouter
!
ip name-server X.X.X.X
!
username test privilege 15 secret 5 XXXXXXXXXXXXXXXXXXXXXXXx
!
Po základních konfiguračních parametrech následuje konfigurace Ethernetových rozhraní. V tomto případě GE0/0 je připojeno do sítě ISP1, GE0/1 do sítě ISP2 a GE0/0.2 do naši vnitřní sítě.
interface GigabitEthernet0/0
ip address 192.168.255.2 255.255.255.252
ip flow ingress
duplex auto
speed auto
media-type sfp
negotiation auto
no mop enabled
!
interface GigabitEthernet0/0.2
encapsulation dot1Q 2
ip address 109.205.240.1 255.255.255.0
ip flow ingress
ip virtual-reassembly
!
!
interface GigabitEthernet0/1
ip address 10.10.10.102 255.255.255.252
ip flow ingress
duplex auto
speed auto
media-type rj45
no mop enabled
!
Konfigurace BGP procesu
router bgp 12345
no synchronization
bgp router-id 192.168.255.25
bgp log-neighbor-changes
network 109.205.240.0 mask 255.255.252.0
Od řádku router bgp 12345 až po řádek network je uvedená základní konfigurace BGP procesu.
12345 – AS cislo, které dostanete přidělené od RIPE NCC.
Bgp router-id – ip adresa kterou dostanete od vašeho ISP, bude zároveň sloužit jako identifikátor BGP routeru. Network – tímto dáváte najevo jaký prefix budete propagovat ven z AS do světa.
Poté následuje konfigurace BGP peering partnerů –
neighbor 192.168.255.29 remote-as 11111
neighbor 192.168.255.29 description ISP1
neighbor 192.168.255.29 password 7 112SADAFAFSFJJJGFF42532
neighbor 192.168.255.29 next-hop-self
neighbor 192.168.255.29 soft-reconfiguration inbound
neighbor 192.168.255.29 route-map ISP1-in in
neighbor 192.168.255.29 route-map ISP1-out out
neighbor 10.10.10.101 remote-as 2.61150
neighbor 10.10.10.101 description ISP2
neighbor 10.10.10.101 password 7 112SADAFAFSFJJJGFF42532
neighbor 10.10.10.101 next-hop-self
neighbor 10.10.10.101 send-community
neighbor 10.10.10.101 soft-reconfiguration inbound
neighbor 10.10.10.101 route-map ISP2-in in
neighbor 10.10.10.101 route-map ISP2-out out
no auto-summary
Neighbor a vše, co následuje, je konfigurace BGP spojení s jednotlivými ISP, v našem případě 192.168.255.29 je ISP1 a 10.10.10.101 je ISP2.
Řádky Neighbor 192.168.255.29 a dále jsou konfiguraci BGP spojení pro prvního ISP. V našem případě je to záložní linka a je to ISP1.
Password definuje MD5 heslo, které je použité pro BGP spojení. Heslo se musí nastavit jak u nás, tak i na straně ISP1.
Poslední dva řádky jsou konfiguraci dvou route map pro příchozí a odchozí cesty od/do ISP1.
Pro všechny cesty, co přijdou od ISP1 použijeme pravidlo ISP1-in a na všechny routy které do ISP1 pošleme, aplikujeme pravidla ISP1-out.
Stejným způsoben nastavíme parametry BGP spojení pro ISP2.
Tady bych rád podotkl jednu zvláštnost Cisco směrovačů – pokud máte 32 Bit AS číslo(4 Byte), musíte ho zadat v AS dot formátu. Zde naleznete jednoduchou kalkulačku , která vám pomůže převést vaše AS číslo do AS dot.
!
ip as-path access-list 1 permit _6451[2-9]_
ip as-path access-list 1 permit _645[2-9][0-9]_
ip as-path access-list 1 permit _64[6-9][0-9][0-9]_
ip as-path access-list 1 permit _65[0-9][0-9][0-9]_
!
ip prefix-list bogons description bogus nets
ip prefix-list bogons seq 20 permit 127.0.0.0/8 le 32
ip prefix-list bogons seq 30 permit 10.0.0.0/8 le 32
ip prefix-list bogons seq 35 permit 172.16.0.0/12 le 32
ip prefix-list bogons seq 40 permit 192.168.0.0/16 le 32
ip prefix-list bogons seq 45 permit 169.254.0.0/16 le 32
ip prefix-list bogons seq 50 permit 224.0.0.0/4 le 32
ip prefix-list bogons seq 55 permit 240.0.0.0/4 le 32
!
ip prefix-list our-CIDR-blocks seq 5 permit 91.218.188.0/22 le 32
!
!
Ip prefix list a ip-as path access list jsou příkazy pro konfiguraci filtru.
V tomto případě do filtru bogons přidáme všechny Bogon sítě, které nechceme do našeho AS příjimat.
Do as-path access-listu 1 zadáme čísla privátních AS, které taky nepotřebujeme zbytečně evidovat na svém BGP routeru.
As-path access-list 47 nám bude sloužit pro povolení prodloužené AS_PATH pro prepending cest přícházejicích z ISP1, který je záložní.
!
route-map ISP1-in deny 100
match as-path 1
!
route-map ISP1-in deny 110
match ip address prefix-list bogons
!
route-map ISP1-in deny 120
match ip address prefix-list our-CIDR-blocks
!
route-map ISP1-in permit 200
set local-preference 200
!
Popis route map pro ISP1-
route-map ISP1-in
po pořadí od nejnižšího čísla pravidla:
match as-path 1 – tímto zakážeme přijímat v updatech routy privátních AS čísel. Viz. ip as-path access-list 1
match ip address prefix-list bogons – zakážeme příjem IP privátních sítí
match ip address prefix-list our-CIDR-blocks – zakážeme příjem z internetu vlastních adres
match as-path 47 – toto znamená povolit všechno ostatní co poteče do AS ISP1 + natavit pravidlo ip as-path access-list 47, které povolí AS_PATH prepending
set local-preference 100 – nastavit u všeho co poteče do ISP1 směrem ven local-preference 100
Local-preference a weight – jsou parametry které se používají v BGP4 pro řízení odchozího provozu uvnitř AS resp. uvnitř jednoho routeru (v případě weight).
route-map ISP1-out permit 110
match ip address prefix-list ourIP
!
route-map ISP1-out deny 200
!
set as-path prepend 12345 12345 12345 12345 12345 – nastavíme as path prepending, aby všechny routery venku viděli tuto cestu prodlouženou, v tomto případě o 5 AS čísel.
route-map ISP1-out deny 200 – vše ostatní je zakázáno
route-map ISP2-out permit 100
match ip address prefix-list ourIP
set as-path prepend 12345 12345 12345
!
route-map ISP2-out deny 200
!
route-map ISP2-in deny 100
match as-path 1
!
route-map ISP2-in deny 110
match ip address prefix-list bogons
!
route-map ISP2-in deny 120
match ip address prefix-list our-CIDR-blocks
!
route-map ISP2-in permit 200
set local-preference 100
Popis route map pro ISP2:
Jedná se o konfiguraci pro hlavní konektivitu.
Je dosti podobna konfiguraci pro záložní akorát jsou tu dvě zásádní odlišnosti
a. není nastaven as path prepending. To znamena že BGP routery venku uvidí vždy tuto cestu jako kratší a pošlou svůj provoz sem.
b. všechny příchozí routy dostanou local preference 200, což je vyšší než u rout záložní konektivity, tzn. provoz směrem ven poteče s celého AS přes tento router a tento peer.
Zároveň jsme nastavili set weight 200 – tzn. cesty z ISP2 dostanou tu největší prioritu lokálně na routeru.
line con 0
line aux 0
line vty 0 4
login local
transport input ssh
!
Konfigurace končí rádky s parametry připojení k terminálům.
Monitorování BGP na Cisco
Příkazy pro monitorování stavu BGP v Cisco směrovačích :
- show ip bgp summary – shrnutí BGP stavu našeho směrovače. Jsou tady údaje o peerech jako IP adresy, čísla AS, status spojení
- show ip bgp neighbors – detailní zobrazení informací o naších peering partnerech(dále sousedech)
- show ip bgp neighbors X.X.X.X – detailní zobrazení informací o spojení s vybraným sousedem
- show ip bgp neighbors X.X.X.X advertised-route – zobrazí všechny sítě, které posíláme ven do AS vybraného souseda
- show ip bgp neighbors X.X.X.X received-route – zobrazí všechny sítě, které dostáváme od vybraného souseda
- show ip bgp – zobrazí všechny routy, které jsme přijali
- show ip bgp Y.Y.Y.Y – zobrazí všechny cesty, kam poteče provoz k vybrané IP adrese Y.Y.Y.Y
- debug bgp updates – spustit debug všech příchozích i odchozích updatů
- debug bgp events – sledovat veškere BGP události
Leave a Reply
Be the First to Comment!