BGP

Настройка BGP для обмена информацией о доступности сетей.

Название службы раздела BGP: ideco-frr-vpp, ideco-routing-backend-vpp.

BGP (Border Gateway Protocol) - это основной протокол динамической маршрутизации, который используется в интернете.

Настройка своей автономной системы

1. Введите номер автономной системы в строку Номер AS и нажмите Сохранить:

2. Включите модуль BGP. Модуль BGP запустится, если будет настроен хотя бы один BGP-сосед.

Настройка BGP-соседей

Проверьте, попадает ли этот адрес в список подсетей, для которых применяется SNAT (указаны в предустановленном правиле в разделе Правила трафика -> Файрвол -> SNAT). Если IP-адрес Ideco NGFW VPP, который находится в подсети BGP-соседа, не входит ни в одну из указанных подсетей в поле Адрес назначения, добавьте IP-адрес и убедитесь, что включена опция Инвертировать назначение.

1. Для добавления BGP-соседа нажмите кнопку Добавить.

2. Заполните следующие поля:

Расшифровка полей

Название - любое значение.
IP-адрес - IP-адрес BGP-соседа.
Номер AS - номер AS BGP-соседа.
Входящие сети - фильтр, позволяющий выбрать сети, информацию от которых хотите получать. Если выбран объект Любой, то фильтрация будет отключена и будут приниматься все сети от BGP-соседа. Предустановленный объект фильтров Маршрут по умолчанию соответствует фильтру 0.0.0.0/0.
Анонсируемые сети - фильтр, позволяющий выбрать сети, информацию о которых хотите отправлять. Если выбран объект Любой, фильтрация будет отключена и передаваться будет информация обо всех маршрутах известных NGFW VPP:
- Статические маршруты (redistribute static, указанные во вкладке Сервисы -> Маршрутизация -> Локальных сетей).
- Маршруты, полученные от соседей.
- Присоединенные сети. Предустановленный объект фильтров Маршрут по умолчанию соответствует фильтру 0.0.0.0/0.
AS-Path Prepend - чем больше значение, тем менее приоритетным становится канал.
Local Preference - определяет приоритет пути для выхода трафика. Чем больше значение, тем менее приоритетным становится канал.
MED - определяет приоритет пути для входа трафика. Чем меньше значение, тем приоритетнее путь.

Для Входящих сетей и Анонсируемых сетей объект Любой не может быть установлен одновременно с другими фильтрами.

Если нужного объекта для фильтрации нет, то создать его можно, выбрав Создать новый объект в поле Входящие сети или Анонсируемые сети:

Название - любое значение.
Значение - значение подсети в формате: подсеть/маска подсети, например, 192.168.100.0/24.

Связь между двумя Ideco NGFW VPP по BGP

Чтобы NGFW VPP мог принимать входящие BGP-соединения, необходимо создать правило DNAT. Для этого перейдите в раздел Правила трафика -> Файрвол -> DNAT, нажмите Добавить и заполните следующие поля:

Расшифровка полей

Протокол - TCP.
Источник - любой.
Зона источника - любой.
Назначение - IP-адрес интерфейса текущего Ideco NGFW VPP, который находится в подсети BGP-соседа.
Порты назначения - 179 порт.
Сменить IP-адрес назначения - 169.254.100.2.
Действие - DNAT.