Juniper BGP Configurasyonu | ISP Topolojisi için geçerli

Merhaba arkadaşlar,

Bu makalemde sizlere bir internet servis sağlayıcının diğer adıyla iss’in yurdışı veya RR operatörleri ile e-bgp anonları ve bgp configurasyonlarını anlatacağım detaylı olarak;

Öncelikle bgp yaptığımız cihaz Juniper MX şase büyük bir cihaz, şimdi bgp çalıştıracağınız cihazı iyi seçmeniz gerekiyor, BGP’de önemli olan CPU değildir RAM’dır ram kapasitesi küçük olur veya düşük olursa 80000000 veya daha fazla route tablolarını yüklemede veya varklı yerlere anons etmesinde sorunlar çıkar veya yavaş gerçekleştirir bu işlemleri,

Şimdi configurasyon tarafına geçebiliriz,

İlk önce yapmanız gereken interface bilgilerini girmek ve Ripe tarafından size verilen AS numarasını bgp yapacağını cihaza tanımlamak,

AS tanımlaması,

Ripe tarafından size tahsis edilen AS numarası size özel

Yıllık 2 bin dolar ip tahsis ücreti ödenir her yıl olmak kaydı ile, şuan fiyatını bilmiyorum ama bir ISS için /24 lü ip bloğu veriyor sadece ama size /24 ten fazla lazım ise yasal firma açmanız ve yasal evraklarınızı göndermeniz gerekmektedir.

AS tanımı;

set routing-options autonomous-system 158496

 

İnterface tanımların yapılması;

set interfaces xe-3/0/0 description COGENT-BGP_UPLINK
set interfaces xe-3/0/0 unit 0 family inet address 216.168.64.199/30

 

şimdi BGP profilini oluşturacağım;

set protocols bgp group COGENT-BGP type external
set protocols bgp group COGENT-BGP traceoptions file COGENT-BGP_LOG
set protocols bgp group COGENT-BGP traceoptions flag open detail
set protocols bgp group COGENT-BGP traceoptions flag state detail
set protocols bgp group COGENT-BGP traceoptions flag packets detail
set protocols bgp group COGENT-BGP traceoptions flag all
set protocols bgp group COGENT-BGP local-address 216.168.64.199
set protocols bgp group COGENT-BGP log-updown
set protocols bgp group COGENT-BGP neighbor 216.168.64.198 import COGENT-BGP-IMPORT
set protocols bgp group COGENT-BGP neighbor 216.168.64.198 family inet unicast
set protocols bgp group COGENT-BGP neighbor 216.168.64.198 authentication-key .93U-0P58694O1n6-b6s4oTu1Rhv8Xle
set protocols bgp group COGENT-BGP neighbor 216.168.64.198 export COGENT-BGP-EXPORT
set protocols bgp group COGENT-BGP neighbor 216.168.64.198 peer-as 342098

 

PREFİX OLUŞTURULMASI;

set policy-options policy-statement COGENT-BGP-IMPORT term route from route-filter 0.0.0.0/0 orlonger accept
set policy-options policy-statement COGENT-BGP-IMPORT term route then accept
set policy-options policy-statement COGENT-BGP-IMPORT term reject then reject
set policy-options policy-statement COGENT-BGP-IMPORT from protocol bgp

 

set policy-options policy-statement COGENT-BGP-EXPORT term default-router from route-filter 216.175.23.0/16 exact accept
set policy-options policy-statement COGENT-BGP-EXPORT term default-router then accept
set policy-options policy-statement COGENT-BGP-EXPORT term Reject then reject
set policy-options policy-statement COGENT-BGP-EXPORT from protocol bgp

not:

arkadaşlar burada İMPORT/EXPORT mantığı şöyle | örneğin siz bir hizmet veren operatör sünüz, ve hizmet aldığınız 3-5 tane ulusal operatör var, şimdi buradaki mantık full anons ve default route almak zorundasınız böyle olunca ayrıca, aldınız diyelim size operatör 0.0.0.0/0 – 24-8 gönderir sizde bunu kendi routerınızda İMPORT-0.0.0.0/0 olarak kabul edersiniz, ve operatör sizden ip bloglarınızın iletilmesini talep eder bu senaryoda ‘da EXPORT ederek RİPE üzerinden satın aldığınız size ait ip adreslerini EXPORT ederek gönderirsiniz örn:216.175.23.0/16 burada dikkat etmeniz bir diğer husus ile EXPORT ederken /24 olarak anons edebilirsiniz -/30-/22 yapamazsınız, yaparsınız ama size hizmet sağlayan operatörün size tahsis ettiği ip adreslerinde yapabilirsiniz. RİPE ta yapamazsınız aslında RİPE ta da yaparsınız ama RİPE database’inde Object-İnetNum dan subnetlere bölmeniz gerekir. binlerce ipniz varsa bununla başa çıkamazsınız zaten.

 

 

YEDEK BGP;

ikinci tanımladığım interface trunk olarak verdikleri için bu portu trunk yapmam gerekiyor

aşağıdaki config 2’inci BGP peer için yapıyorum,

set interfaces ge-0/0/7 vlan-tagging
set interfaces ge-0/0/7 unit 2548 description TELECOM_IT-BGP
set interfaces ge-0/0/7 unit 2548 vlan-id 2548
set interfaces ge-0/0/7 unit 2548 family inet address 5.178.40.50/30

 

şimdi BGP profilini oluşturacağım;

set protocols bgp group TELECOM-BGP type external
set protocols bgp group TELECOM-BGP traceoptions file TELECOM_BGP_LOG
set protocols bgp group TELECOM-BGP traceoptions flag open detail
set protocols bgp group TELECOM-BGP traceoptions flag state detail
set protocols bgp group TELECOM-BGP traceoptions flag packets detail
set protocols bgp group TELECOM-BGP traceoptions flag all
set protocols bgp group TELECOM-BGP local-address 5.178.40.50
set protocols bgp group TELECOM-BGP log-updown
set protocols bgp group TELECOM-BGP neighbor 5.178.40.49 import TELECOM-BGP-IMPORT
set protocols bgp group TELECOM-BGP neighbor 5.178.40.49 family inet unicast
set protocols bgp group TELECOM-BGP neighbor 5.178.40.49 authentication-key $9$U-HP53SSRTSR534-bws4oTzF3tu1Rhv8Xle
set protocols bgp group TELECOM-BGP neighbor 5.178.40.49 export TELECOM-BGP-EXPORT
set protocols bgp group TELECOM-BGP neighbor 5.178.40.49 peer-as 2545680

 

PREFİX OLUŞTURULMASI;

YEDEK BGP İÇİN

set policy-options policy-statement TELECOM-BGP-IMPORT term route from route-filter 0.0.0.0/0 orlonger accept
set policy-options policy-statement TELECOM-BGP-IMPORT term route then accept
set policy-options policy-statement TELECOM-BGP-IMPORT term reject then reject
set policy-options policy-statement TELECOM-BGP-IMPORT from protocol bgp

 

set policy-options policy-statement TELECOM-BGP-EXPORT term default-router from route-filter 216.175.23.0/16 exact accept
set policy-options policy-statement TELECOM-BGP-EXPORT term default-router then accept
set policy-options policy-statement TELECOM-BGP-EXPORT term Reject then reject
set policy-options policy-statement TELECOM-BGP-EXPORT from protocol bgp

 

SECURİTY ZONE;

Security zonları interfacelere match etmeniz gerekiyor, ciscoda huawei’de nexus’ta zorunlu değil ama juniper istiyor,

set security zones security-zone BGP host-inbound-traffic system-services ping
set security zones security-zone BGP host-inbound-traffic protocols bgp

set security zones security-zone BGP interfaces ge-0/0/7.2548
set security zones security-zone BGP interfaces xe-3/0/0.0

 

BURADA DİP NOT BELİRTMEK İSTİYORUM, BGP YAPACAĞINIZ CİHAZ FİREWALL VEYA BROADBAND DESTEKLİ BİR CİHAZ İSE BGP PEER İNTERFACELERİ AYRI ZONE’LARDA YAPMAYIN ASİMETRİK ROUTE SORUNUNA NEDEN OLDUĞU İÇİN LOAD-BALANCE VE MULTİPLE BGP İLE 1’DEN FAZLA BGP KOMŞULUĞU KURAMAZSINIZ KURSANIZDA PREFİX LİMİTE TAKILACAĞI İÇİN KOMŞULUK DÜŞECEKTİR. ROUTE TABLONUZ KARIŞACAK ASİMETRİK ROUTTEN DOLAYI

EVET ŞUAN BGP BAĞLANTIMIZIN CONFİGLERİ BİTTİ SIRA GELDİ FİREWALL PUBLİC İP ADRESİNİ BİR İNTERFACE VERİP FİREWALL WAN PORTU OLARAK TANIMLAMAYA,

JUNİPER BGP ROUTER ÜZERİNDE BİR İNTERFACE TANIMLAYACAĞIM RİPE’TAN ALDIĞIM VE ANONS ETTİĞİM İP ADRESLERİNİ KULLANABİLMEK İNTERNET ÇIKIŞI ALABİLMEK İÇİN,

set interfaces xe-2/0/0 description ISP-FIREWALL-UPLINK
set interfaces xe-2/0/0 unit 0 family inet address 216.175.23.254/16

 

VE SECURİTY ZONE OLUŞTURMANIZ GEREKİYOR;

set security zones security-zone ISP-FW interfaces xe-2/0/0

 

EVET ŞUAN HERŞEY TAMAM BGP KOMŞULUĞU OTURDU 2-3 DK İÇERİSİNDE BÜTÜN ROUTE TABLOLARI GELECEK,

BU YAPIDA BİZ DEFAULT ROUTE VE FULL ANONS KULLANIYORUZ İSP OLDUĞU İÇİN,

BURADA DİKKAT ETMENİZ GEREKEN ŞEYLER VAR

MESELA ;

ISP-FIREWALL-UPLINK

FİREWALL İNTERNET ÇIKIŞLARI VE VAE FTTH MÜŞTERİLERİNİN İNTERNET ÇIKIŞLARI İÇİN VE RİPE’TAN ALDIĞINIZ İP BLOĞUNU YUKARIDAKİ CONFİGTE

216.175.23.254/16 BU İP ADRESİNİ SUBNETLERE BÖLEMEZSİNİZ,

ÖRNEK ;

216.175.24.1/30 VEYA 216.175.23.50/2 OLARAK İP SUBNET MASKLARA BÖLEMEZSİNİZ SADECE JUNİPER DA DEĞİL BU CONFİGURASYON OLAN HİÇBİR ROUTER’DA

SEBEBİ SİZE TAHSİS EDİLEN 216.175.23.254/16 YAZILDIĞI GİBİ AŞAĞIDAKİ CONFİĞİ GİRMENİZ GEREKLİ,

set routing-options static route 216.175.23.254/16 discard

 

YUKARIDAKİ CONFİGİ İŞLEMENİZ GEREKİYOR, VE ŞUAN İSTEDİĞİNİZ KADAR SUBNETLERE BÖLEBİLİR VE MÜŞTERİLERE DAĞITABİLİRSİNİZ,

BİR DİP NOT DAHA BELİRTMEK İSTİYORUM EĞER SİZ İSS YANİ RR SAĞLAYICISIYSANIZ SİZİN ÜZERİNİZDEN ANONS ETMEK İSTEYEN MÜŞTERİLERİNİZE

YUKARIDAKİ İMPORT VE EXPORT MANTIĞI TAM TERSİNE İŞLETECEKSİNİZ YANİ  MÜŞTERİNİZE SİZ DEFAULT ROUTE VE FULL ANONS YAPACAKSINIZ EXPORT’UNUZ 0.0.0.0/0 OLACAK VE İMPORTUNUZ İSE SİZİN KABUL EDECEĞİNİZ İP BLOĞU OLACAK VE PREFİX LİMİT YAZMAYIDA UNUTMAYIN

 

UMARIM FAYDALI OLMUŞTUR….

BİR SONRAKİ İPV6 BGP ve RİPE İP ANONS YAPILANDIRMASI MAKALELERİMDE GÖRÜŞMEZ ÜZERE…

Leave a Reply

Your email address will not be published. Required fields are marked *