BGP
Настройка BGP для обмена информацией о доступности сетей.
Last updated
Настройка BGP для обмена информацией о доступности сетей.
Last updated
Название службы раздела BGP: ideco-frr-vpp, ideco-routing-backend-vpp.
BGP (Border Gateway Protocol) - это основной протокол динамической маршрутизации, который используется в интернете.
1. Введите номер автономной системы в строку Номер AS и нажмите Сохранить:
2. Переведите переключатель раздела BGP в положение включен. Ideco NGFW VPP заполнит поле Router ID автоматически;
3. Модуль BGP запустится, если будет настроен хотя бы один BGP-сосед.
1. Для добавления BGP-соседа нажмите кнопку Добавить;
2. Заполните следующие поля:
Название - любое значение;
IP-адрес - IP-адрес BGP-соседа;
Номер AS - номер AS BGP-соседа;
Входящие сети - фильтр, в котором нужно выбрать сети, информацию от которых хотите получать. Если выбран объект Любой, то фильтрация будет отключена и будут приниматься все сети от BGP-соседа. Предустановленный объект фильтров Маршрут по умолчанию соответствует фильтру 0.0.0.0/0;
Анонсируемые сети - фильтр, в котором нужно выбрать сети, информацию о которых хотите отправлять. Если выбран объект Любой, фильтрация будет отключена и передаваться будет информация обо всех маршрутах, известных NGFW VPP (статические маршруты (redistribute static, указанные во вкладке Сервисы -> Маршрутизация -> Локальных сетей) и маршруты, полученные от соседей, а также присоединенные сети). Предустановленный объект фильтров Маршрут по умолчанию соответствует фильтру 0.0.0.0/0;
AS-Path Prepend - чем больше значение, тем менее приоритетным становится канал;
Local Preference - определяет приоритет пути для выхода трафика. Чем больше значение, тем менее приоритетным становится канал;
MED - определяет приоритет пути для входа трафика. Чем меньше значение, тем приоритетнее путь.
Для Входящих сетей и Анонсируемых сетей объект Любой не может быть установлен одновременно с другими фильтрами.
Если нужного объекта для фильтрации нет, то создать его можно, выбрав Создать новый объект в поле Входящие сети или Анонсируемые сети:
Название - любое значение;
Значение - значение подсети в формате: подсеть/маска подсети, например, 192.168.100.0/24.
Чтобы NGFW VPP мог принимать входящие BGP-соединения, необходимо создать правило DNAT. Для этого перейдите в раздел Правила трафика -> Файрвол -> DNAT, нажмите Добавить и заполните следующие поля:
Протокол - TCP;
Источник - любой;
Зона источника - любой;
Назначение - IP данного VPP, который находится в подсети BGP-соседа;
Порты назначения - 179 порт;
Сменить IP-адрес назначения - 169.254.100.2;
Действие - DNAT.
В VPP не разрешен Forward трафика без авторизации.
Для связи локальных сетей двух VPP, соединенных по BGP, на каждом VPP должны быть авторизованы локальные сети каждого VPP:
И на VPP-1, и на VPP-2 должны быть авторизованы локальные сети 192.168.1.0/24 и 192.168.2.0/24.
