Konfigurace BGP na Mikrotik

Na úvod bych chtěl říct, že konfigurace BGP na mikrotiku se dá provádět jak v CLI tak i přes WebAdmina. Tady se budeme zabývat konfguraci přes CLI, protože je jednodušší na znázornění.

Naše číslo AS – AS12345, naše IP adresa v tomto případě je 192.168.255.25, síť kterou posíláme do Internetu je 109.205.240.0/21
AS našeho peera ISP1 je AS11111, jeho IP adresa 192.168.255.29, MD-5 heslo v tomto případě není nastavené.
Viz. obrázek.

BGP_1

Konfigurace globalního BGP procesu 
/routing bgp instance set default as=12345 redistribute-static=yes redistribute-connected=yes router-id=192.168.255.25
/routing bgp network add network=109.205.240.0/21 synchronize=no

Konfigurace BGP partnera ISP1
/routing bgp peer add remote-address=192.168.255.29 remote-as=11111 instance=default out-filter=AS11111-bgp-out in-filter=AS11111-bgp-in

Filtry BGP-out – na výstupu povolíme pouze naší síť, pokud Mikrotik se bude snažit poslat ven nějaké další sítě, filter to nepustí
/routing filter add action=accept chain=AS11111-bgp-out comment=”” disabled=no invert-match=no prefix=109.205.240.0/21 set-bgp-prepend=3
/routing filter add action=discard chain=AS11111-bgp-out comment=”” disabled=no invert-match=no

Protože ISP1 je v našem případě záložní, museli jsme nastavit jedno zvláštní pravidlo do filtru BGP-out – set-bgp-prepend=3 . Toto pravidlo jsme do filtru vložili s cílem aby se umělé prodlužovala cesta k našemu AS v AS-PATH atributu, který si BGP routery mezi sebou předávají. Tímto dosáhneme toho, že veškerý příchozí provoz poteče přes druhého ISP (samozřejmě pouze v případě, že spojení s ISP2 bude funkční).

Filtry BGP-in – na vstupu zakážeme posílat k nam do AS zvenku bogon prefixy a naší vlastní síť.
/routing filter add action=discard chain=AS11111-bgp-in comment=”” disabled=no invert-match=no prefix=10.0.0.0/8
/routing filter add action=discard chain=AS11111-bgp-in comment=”” disabled=no invert-match=no prefix=169.254.0.0/16
/routing filter add action=discard chain=AS11111-bgp-in comment=”” disabled=no invert-match=no prefix=192.168.0.0/16
/routing filter add action=discard chain=AS11111-bgp-in comment=”” disabled=no invert-match=no prefix=172.16.0.0/12
/routing filter add action=discard chain=AS11111-bgp-in comment=”” disabled=no invert-match=no prefix=224.0.0.0/4
/routing filter add action=discard chain=AS11111-bgp-in comment=”” disabled=no invert-match=no prefix=240.0.0.0/4
/routing filter add action=discard chain=AS11111-bgp-in comment=”” disabled=no invert-match=no prefix=127.0.0.0/8
/routing filter add action=discard chain=AS11111-bgp-in comment=”” disabled=no invert-match=no prefix=109.205.240.0/21
/routing filter add action=accept chain=AS11111-bgp-in comment=”” disabled=no invert-match=no

Máme BGP spojení s prvním ISP, můžeme si to ještě všechno zkontrolovat přes WinBox.

Konfigurace BGP partnera ISP2
/routing bgp peer add remote-address=10.10.10.101 remote-as=22222 instance=default out-filter=AS22222-bgp-out in-filter=AS22222-bgp-in

Filtry BGP-out – na výstupu, stejně jako u ISP1, povolíme pouze naší síť, pokud Mikrotik se bude snažit poslat ven nějaké další sítě, filter to nepustí. Navic si můžete všimnout rozdílu v tom, že už nemáme parametr pro AS-PARH prepending, tzn. právě přes tohoto peera chceme příjmat příchozí provoz.
/routing filter add action=accept chain=AS22222-bgp-out comment=”” disabled=no invert-match=no prefix=109.205.240.0/21
/routing filter add action=discard chain=AS22222-bgp-out comment=”” disabled=no invert-match=no

Filtry BGP-in – na vstupu zakážeme posílat k nam do AS zvenku bogon prefixy a naší vlastní síť.
/routing filter add action=discard chain=AS22222-bgp-in comment=”” disabled=no invert-match=no prefix=10.0.0.0/8
/routing filter add action=discard chain=AS22222-bgp-in comment=”” disabled=no invert-match=no prefix=169.254.0.0/16
/routing filter add action=discard chain=AS22222-bgp-in comment=”” disabled=no invert-match=no prefix=192.168.0.0/16
/routing filter add action=discard chain=AS22222-bgp-in comment=”” disabled=no invert-match=no prefix=172.16.0.0/12
/routing filter add action=discard chain=AS22222-bgp-in comment=”” disabled=no invert-match=no prefix=224.0.0.0/4
/routing filter add action=discard chain=AS22222-bgp-in comment=”” disabled=no invert-match=no prefix=240.0.0.0/4
/routing filter add action=discard chain=AS22222-bgp-in comment=”” disabled=no invert-match=no prefix=127.0.0.0/8
/routing filter add action=discard chain=AS22222-bgp-in comment=”” disabled=no invert-match=no prefix=109.205.240.0/21
/routing filter add action=accept chain=AS22222-bgp-in comment=”” disabled=no invert-match=no set-bgp-local-pref=200

Poslední řádek BGP-in fitru u ISP2 se liší od filtru pro ISP1 v tom, že jsme nastavili Lokální preferenci 200 (default je 100) pro všechny příchozí cesty od ISP2. To znamená, že veškerý odchozí provoz z našeho autonomního systému se bude posílat směrem ven přes poskytovatele ISP2.

 

Leave a Reply

Be the First to Comment!

Notify of

wpDiscuz