Fortinet - FortiGate jako Dual Homed BGP Peer
Fortinet
Celem było połączenie 2 peerów BGP (AS3356 Lumen i AS8422 - NetCologne) jako sąsiadów BGP i ogłoszenie naszego AS212033 z adresami IPv4 i IPv6.
Ponieważ konfiguracja za pomocą graficznego interfejsu użytkownika nie oferuje wszystkich niezbędnych opcji, tutaj wymienione są parametry konfiguracyjne, które wykonuje się za pomocą CLI.
Konfiguracja własnego systemu autonomicznego
Najpierw musimy powiedzieć FortiGate jaki jest nasz własny numer AS i przypisać mu ID routera. System autonomiczny jest tutaj przydzielany przez RIPE NCC.Aby to zrobić, konfigurujemy za pomocą CLI
config router bgp
set as 212033
set router-id X.X.X.X - Zastąpić własnym ID routera - Możliwość dowolnego przypisania
end
Powiązanie własnych sieci z urządzeniem FortiGate
Aby nasze adresy publiczne mogły być w ogóle ogłaszane, muszą być dostępne w tablicy routingu jednostki FortiGate. Ponieważ używamy podsieci, aby zmniejszyć to wewnętrznie, zdecydowaliśmy się na pracę z trasami typu blackhole.
config router static
edit 1
set dst 193.3.45.0 255.255.255.0
set blackhole enable
next
end
config router static6
edit 1
set dst 2a10:5dc0::/32
set blackhole enable
next
end
Przygotowanie tzw. list prefiksów i map tras
Musimy powiedzieć FortiGate, które sieci chcemy ogłaszać i które trasy chcemy otrzymywać. Ponieważ nie chcemy stać się tutaj Transit AS, musimy podjąć środki, aby temu zapobiec.
W naszych pierwszych krokach stwierdziliśmy, że otrzymywanie pełnych tras BGP przez dostawców szybko rzuca naszego FortiGate na kolana. Ponieważ przy 2 dostawcach 4 pełne trasy (2x IPv4 i 2x IPv6) muszą trafić do pamięci RAM, szybko osiągamy nasze limity.
Dlatego zdecydowaliśmy, że będziemy akceptować tylko domyślną trasę od dostawców usług.
Podstawą są listy prefiksów, które następnie możemy wykorzystać w mapach routerów.
Te również są podzielone na IPv4 i IPv6.
config router prefix-list
edit "accept-dflt-only
config rule
edit 1
set prefiks 0.0.0.0 0.0.0.0
odznaczyć ge
ustaw le
next
end
next
edit "own-nets-only-out
reguła konfiguracji
edit 1
set prefiks 193.3.45.0 255.255.255.0
unset ge
ustaw le
next
end
next
edytuj "1
next
end
config router prefix-list6
edit "own-nets-v6-only-out
config reguła
edit 1
set prefix6 2a10:5dc0::/32
unset ge
ustawiony le
next
end
next
edit "accept-dflt-only
reguła konfiguracji
edit 1
set prefix6 ::/0
unset ge
ustaw le
next
end
next
end
config router route-map
edit "dualhomes
config reguła
edit 1
set set-local-preference 100
next
end
next
edit "Tylko domyślnie
reguła konfiguracji
edit 1
set match-ip-address "accept-dflt-only
next
edit 2
set match-ip6-address "accept-dflt-only
next
end
next
end
Konfiguracja sąsiadów BGP
Następnie musimy powiedzieć FortiGate jakie są nasze BGP peery. W naszym przypadku mamy 4 BGP peerów. 2 peery IPv4 i 2 peery IPv6. Tutaj pojawiły się pierwsze "specjalne" parametry konfiguracyjne. Ale po kolei. W załączeniu fragment konfiguracji:
config router bgp
config neighbour
edit "X.X.X.X"
set activate6 disable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out
set prefix-list-out6 "own-nets-v6-only-out
set remote-as 3356
set route-map-in "default-only
set route-map-out "dualhomes
next
edit "2001:1900:X
set activate disable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out
set prefix-list-out6 "own-nets-v6-only-out
set remote-as 3356
set route-map-in6 "default-only
set route-map-out6 "dualhomes
next
edit "Y.Y.Y"
set activate6 disable
set ebgp-enforce-multihop enable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out
set prefix-list-out6 "own-nets-v6-only-out
set remote-as 8422
set route-map-in "default-only
set route-map-out "dualhomes
set password Password
next
edit "2001:4dd0:X"
set activate disable
set ebgp-enforce-multihop enable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out
set prefix-list-out6 "own-nets-v6-only-out
set remote-as 8422
set route-map-in6 "default-only
set route-map-out6 "dualhomes
set password Password
next
end
set activate6 disable - zabrania temu peerowi BGP korzystania z IpV6
set activate disable - zabrania używania IpV4 przez tego peera BGP.
set soft-reconfiguration enable - Pozwala na granularne ponowne uczenie się tras bez konieczności opróżniania tablicy routingu BGP za każdym razem.
set prefix-list-out "own-nets-only-out" - które sieci IPv4 powinny być ogłaszane?
set prefix-list-out6 "own-nets-v6-only-out" - które sieci IPv6 powinny być ogłaszane?
set remote-as XXXX - numer AS sąsiada
set ebgp-enforce-multihop enable - Domyślnie peer BGP musi być osiągalny bezpośrednio. W szczególnych przypadkach jednak router BGP może być oddalony o kilka hopsów.
set password Password - W tym miejscu można określić hasło szyfrowania MD5.
set route-map-in "Default-only" - Jakie trasy chcemy otrzymywać?
set route-map-out "dualhomes" - Które trasy chcemy wysyłać?
Zezwolenie na wiele domyślnych bramek BGP
Domyślnie tylko jedna trasa domyślna jest akceptowana od peera BGP. Obchodzimy to za pomocą następującego polecenia:
config router bgp
set ebgp-multipath enable
set ibgp-multipath enable
end
Teraz FortiGate powinien zacząć ogłaszać swoje własne sieci, a routing BGP powinien działać.
Marcel Zimmer ist der Technische Geschäftsführer der EnBITCon. Während seiner Bundeswehrzeit konnte der gelernte IT-Entwickler zahlreiche Projekterfahrung gewinnen. Sein Interesse an der IT-Sicherheit wurde maßgeblich durch seinen Dienst in der Führungsunterstützung geweckt. Auch nach seiner Dienstzeit ist er aktiver Reservist bei der Bundeswehr.
Seine erste Firewall war eine Sophos UTM 120, welche er für ein Kundenprojekt einrichten musste. Seitdem ist das Interesse für IT-Sicherheit stetig gewachsen. Im Laufe der Zeit sind noch diverse Security- und Infrastrukturthemen in seinen Fokus gerückt. Zu seinen interessantesten Projekten gehörte zum Beispiel eine WLAN-Ausleuchtung in einem EX-Schutz Bereich, sowie eine Multi-Standort-WLAN-Lösung für ein großes Logistikunternehmen.
Zugehörige Produkte