Merhaba arkadaşlar,
Bu makalemde sizlere bir internet servis sağlayıcının diğer adıyla iss’in yurdışı veya RR operatörleri ile e-bgp anonları ve bgp configurasyonlarını anlatacağım detaylı olarak;
Öncelikle bgp yaptığımız cihaz Juniper MX şase büyük bir cihaz, şimdi bgp çalıştıracağınız cihazı iyi seçmeniz gerekiyor, BGP’de önemli olan CPU değildir RAM’dır ram kapasitesi küçük olur veya düşük olursa 80000000 veya daha fazla route tablolarını yüklemede veya varklı yerlere anons etmesinde sorunlar çıkar veya yavaş gerçekleştirir bu işlemleri,
Şimdi configurasyon tarafına geçebiliriz,
İlk önce yapmanız gereken interface bilgilerini girmek ve Ripe tarafından size verilen AS numarasını bgp yapacağını cihaza tanımlamak,
AS tanımlaması,
Ripe tarafından size tahsis edilen AS numarası size özel
Yıllık 2 bin dolar ip tahsis ücreti ödenir her yıl olmak kaydı ile, şuan fiyatını bilmiyorum ama bir ISS için /24 lü ip bloğu veriyor sadece ama size /24 ten fazla lazım ise yasal firma açmanız ve yasal evraklarınızı göndermeniz gerekmektedir.
AS tanımı;
set routing-options autonomous-system 158496
İnterface tanımların yapılması;
set interfaces xe-3/0/0 description COGENT-BGP_UPLINK set interfaces xe-3/0/0 unit 0 family inet address 216.168.64.199/30
şimdi BGP profilini oluşturacağım;
set protocols bgp group COGENT-BGP type external set protocols bgp group COGENT-BGP traceoptions file COGENT-BGP_LOG set protocols bgp group COGENT-BGP traceoptions flag open detail set protocols bgp group COGENT-BGP traceoptions flag state detail set protocols bgp group COGENT-BGP traceoptions flag packets detail set protocols bgp group COGENT-BGP traceoptions flag all set protocols bgp group COGENT-BGP local-address 216.168.64.199 set protocols bgp group COGENT-BGP log-updown set protocols bgp group COGENT-BGP neighbor 216.168.64.198 import COGENT-BGP-IMPORT set protocols bgp group COGENT-BGP neighbor 216.168.64.198 family inet unicast set protocols bgp group COGENT-BGP neighbor 216.168.64.198 authentication-key .93U-0P58694O1n6-b6s4oTu1Rhv8Xle set protocols bgp group COGENT-BGP neighbor 216.168.64.198 export COGENT-BGP-EXPORT set protocols bgp group COGENT-BGP neighbor 216.168.64.198 peer-as 342098
PREFİX OLUŞTURULMASI;
set policy-options policy-statement COGENT-BGP-IMPORT term route from route-filter 0.0.0.0/0 orlonger accept set policy-options policy-statement COGENT-BGP-IMPORT term route then accept set policy-options policy-statement COGENT-BGP-IMPORT term reject then reject set policy-options policy-statement COGENT-BGP-IMPORT from protocol bgp
set policy-options policy-statement COGENT-BGP-EXPORT term default-router from route-filter 216.175.23.0/16 exact accept set policy-options policy-statement COGENT-BGP-EXPORT term default-router then accept set policy-options policy-statement COGENT-BGP-EXPORT term Reject then reject set policy-options policy-statement COGENT-BGP-EXPORT from protocol bgp
not:
arkadaşlar burada İMPORT/EXPORT mantığı şöyle | örneğin siz bir hizmet veren operatör sünüz, ve hizmet aldığınız 3-5 tane ulusal operatör var, şimdi buradaki mantık full anons ve default route almak zorundasınız böyle olunca ayrıca, aldınız diyelim size operatör 0.0.0.0/0 – 24-8 gönderir sizde bunu kendi routerınızda İMPORT-0.0.0.0/0 olarak kabul edersiniz, ve operatör sizden ip bloglarınızın iletilmesini talep eder bu senaryoda ‘da EXPORT ederek RİPE üzerinden satın aldığınız size ait ip adreslerini EXPORT ederek gönderirsiniz örn:216.175.23.0/16 burada dikkat etmeniz bir diğer husus ile EXPORT ederken /24 olarak anons edebilirsiniz -/30-/22 yapamazsınız, yaparsınız ama size hizmet sağlayan operatörün size tahsis ettiği ip adreslerinde yapabilirsiniz. RİPE ta yapamazsınız aslında RİPE ta da yaparsınız ama RİPE database’inde Object-İnetNum dan subnetlere bölmeniz gerekir. binlerce ipniz varsa bununla başa çıkamazsınız zaten.
YEDEK BGP;
ikinci tanımladığım interface trunk olarak verdikleri için bu portu trunk yapmam gerekiyor
aşağıdaki config 2’inci BGP peer için yapıyorum,
set interfaces ge-0/0/7 vlan-tagging set interfaces ge-0/0/7 unit 2548 description TELECOM_IT-BGP set interfaces ge-0/0/7 unit 2548 vlan-id 2548 set interfaces ge-0/0/7 unit 2548 family inet address 5.178.40.50/30
şimdi BGP profilini oluşturacağım;
set protocols bgp group TELECOM-BGP type external set protocols bgp group TELECOM-BGP traceoptions file TELECOM_BGP_LOG set protocols bgp group TELECOM-BGP traceoptions flag open detail set protocols bgp group TELECOM-BGP traceoptions flag state detail set protocols bgp group TELECOM-BGP traceoptions flag packets detail set protocols bgp group TELECOM-BGP traceoptions flag all set protocols bgp group TELECOM-BGP local-address 5.178.40.50 set protocols bgp group TELECOM-BGP log-updown set protocols bgp group TELECOM-BGP neighbor 5.178.40.49 import TELECOM-BGP-IMPORT set protocols bgp group TELECOM-BGP neighbor 5.178.40.49 family inet unicast set protocols bgp group TELECOM-BGP neighbor 5.178.40.49 authentication-key $9$U-HP53SSRTSR534-bws4oTzF3tu1Rhv8Xle set protocols bgp group TELECOM-BGP neighbor 5.178.40.49 export TELECOM-BGP-EXPORT set protocols bgp group TELECOM-BGP neighbor 5.178.40.49 peer-as 2545680
PREFİX OLUŞTURULMASI;
YEDEK BGP İÇİN
set policy-options policy-statement TELECOM-BGP-IMPORT term route from route-filter 0.0.0.0/0 orlonger accept set policy-options policy-statement TELECOM-BGP-IMPORT term route then accept set policy-options policy-statement TELECOM-BGP-IMPORT term reject then reject set policy-options policy-statement TELECOM-BGP-IMPORT from protocol bgp
set policy-options policy-statement TELECOM-BGP-EXPORT term default-router from route-filter 216.175.23.0/16 exact accept set policy-options policy-statement TELECOM-BGP-EXPORT term default-router then accept set policy-options policy-statement TELECOM-BGP-EXPORT term Reject then reject set policy-options policy-statement TELECOM-BGP-EXPORT from protocol bgp
SECURİTY ZONE;
Security zonları interfacelere match etmeniz gerekiyor, ciscoda huawei’de nexus’ta zorunlu değil ama juniper istiyor,
set security zones security-zone BGP host-inbound-traffic system-services ping set security zones security-zone BGP host-inbound-traffic protocols bgp set security zones security-zone BGP interfaces ge-0/0/7.2548 set security zones security-zone BGP interfaces xe-3/0/0.0
BURADA DİP NOT BELİRTMEK İSTİYORUM, BGP YAPACAĞINIZ CİHAZ FİREWALL VEYA BROADBAND DESTEKLİ BİR CİHAZ İSE BGP PEER İNTERFACELERİ AYRI ZONE’LARDA YAPMAYIN ASİMETRİK ROUTE SORUNUNA NEDEN OLDUĞU İÇİN LOAD-BALANCE VE MULTİPLE BGP İLE 1’DEN FAZLA BGP KOMŞULUĞU KURAMAZSINIZ KURSANIZDA PREFİX LİMİTE TAKILACAĞI İÇİN KOMŞULUK DÜŞECEKTİR. ROUTE TABLONUZ KARIŞACAK ASİMETRİK ROUTTEN DOLAYI
EVET ŞUAN BGP BAĞLANTIMIZIN CONFİGLERİ BİTTİ SIRA GELDİ FİREWALL PUBLİC İP ADRESİNİ BİR İNTERFACE VERİP FİREWALL WAN PORTU OLARAK TANIMLAMAYA,
JUNİPER BGP ROUTER ÜZERİNDE BİR İNTERFACE TANIMLAYACAĞIM RİPE’TAN ALDIĞIM VE ANONS ETTİĞİM İP ADRESLERİNİ KULLANABİLMEK İNTERNET ÇIKIŞI ALABİLMEK İÇİN,
set interfaces xe-2/0/0 description ISP-FIREWALL-UPLINK set interfaces xe-2/0/0 unit 0 family inet address 216.175.23.254/16
VE SECURİTY ZONE OLUŞTURMANIZ GEREKİYOR;
set security zones security-zone ISP-FW interfaces xe-2/0/0
EVET ŞUAN HERŞEY TAMAM BGP KOMŞULUĞU OTURDU 2-3 DK İÇERİSİNDE BÜTÜN ROUTE TABLOLARI GELECEK,
BU YAPIDA BİZ DEFAULT ROUTE VE FULL ANONS KULLANIYORUZ İSP OLDUĞU İÇİN,
BURADA DİKKAT ETMENİZ GEREKEN ŞEYLER VAR
MESELA ;
ISP-FIREWALL-UPLINK
FİREWALL İNTERNET ÇIKIŞLARI VE VAE FTTH MÜŞTERİLERİNİN İNTERNET ÇIKIŞLARI İÇİN VE RİPE’TAN ALDIĞINIZ İP BLOĞUNU YUKARIDAKİ CONFİGTE
216.175.23.254/16 BU İP ADRESİNİ SUBNETLERE BÖLEMEZSİNİZ,
ÖRNEK ;
216.175.24.1/30 VEYA 216.175.23.50/2 OLARAK İP SUBNET MASKLARA BÖLEMEZSİNİZ SADECE JUNİPER DA DEĞİL BU CONFİGURASYON OLAN HİÇBİR ROUTER’DA
SEBEBİ SİZE TAHSİS EDİLEN 216.175.23.254/16 YAZILDIĞI GİBİ AŞAĞIDAKİ CONFİĞİ GİRMENİZ GEREKLİ,
set routing-options static route 216.175.23.254/16 discard
YUKARIDAKİ CONFİGİ İŞLEMENİZ GEREKİYOR, VE ŞUAN İSTEDİĞİNİZ KADAR SUBNETLERE BÖLEBİLİR VE MÜŞTERİLERE DAĞITABİLİRSİNİZ,
BİR DİP NOT DAHA BELİRTMEK İSTİYORUM EĞER SİZ İSS YANİ RR SAĞLAYICISIYSANIZ SİZİN ÜZERİNİZDEN ANONS ETMEK İSTEYEN MÜŞTERİLERİNİZE
YUKARIDAKİ İMPORT VE EXPORT MANTIĞI TAM TERSİNE İŞLETECEKSİNİZ YANİ MÜŞTERİNİZE SİZ DEFAULT ROUTE VE FULL ANONS YAPACAKSINIZ EXPORT’UNUZ 0.0.0.0/0 OLACAK VE İMPORTUNUZ İSE SİZİN KABUL EDECEĞİNİZ İP BLOĞU OLACAK VE PREFİX LİMİT YAZMAYIDA UNUTMAYIN
UMARIM FAYDALI OLMUŞTUR….
BİR SONRAKİ İPV6 BGP ve RİPE İP ANONS YAPILANDIRMASI MAKALELERİMDE GÖRÜŞMEZ ÜZERE…