Merhaba arkadaşlar,
Bu makalemde sizlere bir internet servis sağlayıcının diğer adıyla iss’in yurdışı veya RR operatörleri ile e-bgp anonları ve bgp configurasyonlarını anlatacağım detaylı olarak;
Öncelikle bgp yaptığımız cihaz Juniper MX şase büyük bir cihaz, şimdi bgp çalıştıracağınız cihazı iyi seçmeniz gerekiyor, BGP’de önemli olan CPU değildir RAM’dır ram kapasitesi küçük olur veya düşük olursa 80000000 veya daha fazla route tablolarını yüklemede veya varklı yerlere anons etmesinde sorunlar çıkar veya yavaş gerçekleştirir bu işlemleri,
Şimdi configurasyon tarafına geçebiliriz,
İlk önce yapmanız gereken interface bilgilerini girmek ve Ripe tarafından size verilen AS numarasını bgp yapacağını cihaza tanımlamak,
AS tanımlaması,
Ripe tarafından size tahsis edilen AS numarası size özel
Yıllık 2 bin dolar ip tahsis ücreti ödenir her yıl olmak kaydı ile, şuan fiyatını bilmiyorum ama bir ISS için /24 lü ip bloğu veriyor sadece ama size /24 ten fazla lazım ise yasal firma açmanız ve yasal evraklarınızı göndermeniz gerekmektedir.
AS tanımı;
set routing-options autonomous-system 158496
İnterface tanımların yapılması BGP PEER Link;
set interfaces xe-3/0/0 description COGENT-BGP_UPLINK set interfaces xe-3/0/0 unit 0 family inet address 216.168.64.199/30 set interfaces xe-3/0/0 unit 0 family inet filter input GENEL
BGP ve PEER İp adreslerinin konuşması için LOOPBACK interface ve ACCESSLİST yazacağı:
set interfaces lo0 description BGP-LOOPBACK set interfaces lo0 unit 0 family inet filter input GENEL set interfaces lo0 unit 0 family inet address 192.1.1.1/30
ACCESLİTS oluşturup loopback interface match etmeniz gerekiyor.
set firewall family inet filter GENEL term BGP-PEER from source-address 216.168.64.199/30 set firewall family inet filter GENEL term BGP-PEER from port bgp set firewall family inet filter GENEL term BGP-PEER then accept set firewall family inet filter GENEL term GENEL then accept
şimdi BGP profilini oluşturacağım;
set protocols bgp group COGENT-BGP type external set protocols bgp group COGENT-BGP traceoptions file COGENT-BGP_LOG set protocols bgp group COGENT-BGP traceoptions flag open detail set protocols bgp group COGENT-BGP traceoptions flag state detail set protocols bgp group COGENT-BGP traceoptions flag packets detail set protocols bgp group COGENT-BGP traceoptions flag all set protocols bgp group COGENT-BGP local-address 216.168.64.199 set protocols bgp group COGENT-BGP log-updown set protocols bgp group COGENT-BGP neighbor 216.168.64.198 import COGENT-BGP-IMPORT set protocols bgp group COGENT-BGP neighbor 216.168.64.198 family inet unicast set protocols bgp group COGENT-BGP neighbor 216.168.64.198 authentication-key .93U-0P58694O1n6-b6s4oTu1Rhv8Xle set protocols bgp group COGENT-BGP neighbor 216.168.64.198 export COGENT-BGP-EXPORT set protocols bgp group COGENT-BGP neighbor 216.168.64.198 peer-as 342098
PREFİX OLUŞTURULMASI;
set policy-options policy-statement COGENT-BGP-IMPORT term 0 from local-preference 200 set policy-options policy-statement COGENT-BGP-IMPORT term 0 from route-filter 0.0.0.0/0 exact set policy-options policy-statement COGENT-BGP-IMPORT term 0 then accept
set policy-options policy-statement COGENT-BGP-EXPORT term 0 from route-filter 216.175.23.0/16 exact set policy-options policy-statement COGENT-BGP-EXPORT term 0 then accept set policy-options policy-statement COGENT-BGP-EXPORT term DROP then reject
not:
arkadaşlar burada İMPORT/EXPORT mantığı şöyle | örneğin siz bir hizmet veren operatör sünüz, ve hizmet aldığınız 3-5 tane ulusal operatör var, şimdi buradaki mantık full anons ve default route almak zorundasınız böyle olunca ayrıca, aldınız diyelim size operatör 0.0.0.0/0 – 24-8 gönderir sizde bunu kendi routerınızda İMPORT-0.0.0.0/0 olarak kabul edersiniz, ve operatör sizden ip bloglarınızın iletilmesini talep eder bu senaryoda ‘da EXPORT ederek RİPE üzerinden satın aldığınız size ait ip adreslerini EXPORT ederek gönderirsiniz örn:216.175.23.0/16 burada dikkat etmeniz bir diğer husus ile EXPORT ederken /24 olarak anons edebilirsiniz -/30-/22 yapamazsınız, yaparsınız ama size hizmet sağlayan operatörün size tahsis ettiği ip adreslerinde yapabilirsiniz. RİPE ta yapamazsınız aslında RİPE ta da yaparsınız ama RİPE database’inde Object-İnetNum dan subnetlere bölmeniz gerekir. binlerce ipniz varsa bununla başa çıkamazsınız zaten.
YEDEK BGP;
ikinci tanımladığım interface trunk olarak verdikleri için bu portu trunk yapmam gerekiyor
aşağıdaki config 2’inci BGP peer için yapıyorum,
set interfaces ge-0/0/7 vlan-tagging set interfaces ge-0/0/7 unit 2548 description TELECOM_IT-BGP set interfaces ge-0/0/7 unit 2548 vlan-id 2548 set interfaces ge-0/0/7 unit 2548 family inet address 5.178.40.50/30
şimdi BGP profilini oluşturacağım;
set protocols bgp group TELECOM-BGP type external set protocols bgp group TELECOM-BGP traceoptions file TELECOM_BGP_LOG set protocols bgp group TELECOM-BGP traceoptions flag open detail set protocols bgp group TELECOM-BGP traceoptions flag state detail set protocols bgp group TELECOM-BGP traceoptions flag packets detail set protocols bgp group TELECOM-BGP traceoptions flag all set protocols bgp group TELECOM-BGP local-address 5.178.40.50 set protocols bgp group TELECOM-BGP log-updown set protocols bgp group TELECOM-BGP neighbor 5.178.40.49 import TELECOM-BGP-IMPORT set protocols bgp group TELECOM-BGP neighbor 5.178.40.49 family inet unicast set protocols bgp group TELECOM-BGP neighbor 5.178.40.49 authentication-key $9$U-HP53SSRTSR534-bws4oTzF3tu1Rhv8Xle set protocols bgp group TELECOM-BGP neighbor 5.178.40.49 export TELECOM-BGP-EXPORT set protocols bgp group TELECOM-BGP neighbor 5.178.40.49 peer-as 2545680
PREFİX OLUŞTURULMASI;
YEDEK BGP İÇİN
set policy-options policy-statement TELECOM-BGP-IMPORT term route from route-filter 0.0.0.0/0 orlonger accept set policy-options policy-statement TELECOM-BGP-IMPORT term route then accept set policy-options policy-statement TELECOM-BGP-IMPORT term reject then reject set policy-options policy-statement TELECOM-BGP-IMPORT from protocol bgp
set policy-options policy-statement TELECOM-BGP-EXPORT term default-router from route-filter 216.175.23.0/16 exact accept set policy-options policy-statement TELECOM-BGP-EXPORT term default-router then accept set policy-options policy-statement TELECOM-BGP-EXPORT term Reject then reject set policy-options policy-statement TELECOM-BGP-EXPORT from protocol bgp
BURADA DİP NOT BELİRTMEK İSTİYORUM, BGP YAPACAĞINIZ CİHAZ FİREWALL VEYA BROADBAND DESTEKLİ BİR CİHAZ İSE BGP PEER İNTERFACELERİ AYRI ZONE’LARDA YAPMAYIN ASİMETRİK ROUTE SORUNUNA NEDEN OLDUĞU İÇİN LOAD-BALANCE VE MULTİPLE BGP İLE 1’DEN FAZLA BGP KOMŞULUĞU KURAMAZSINIZ KURSANIZDA PREFİX LİMİTE TAKILACAĞI İÇİN KOMŞULUK DÜŞECEKTİR. ROUTE TABLONUZ KARIŞACAK ASİMETRİK ROUTTEN DOLAYI
EVET ŞUAN BGP BAĞLANTIMIZIN CONFİGLERİ BİTTİ SIRA GELDİ FİREWALL PUBLİC İP ADRESİNİ BİR İNTERFACE VERİP FİREWALL WAN PORTU OLARAK TANIMLAMAYA,
JUNİPER BGP ROUTER ÜZERİNDE BİR İNTERFACE TANIMLAYACAĞIM RİPE’TAN ALDIĞIM VE ANONS ETTİĞİM İP ADRESLERİNİ KULLANABİLMEK İNTERNET ÇIKIŞI ALABİLMEK İÇİN,
set interfaces xe-2/0/0 description ISP-FIREWALL-UPLINK set interfaces xe-2/0/0 unit 0 family inet address 216.175.23.254/16
EVET ŞUAN HERŞEY TAMAM BGP KOMŞULUĞU OTURDU 2-3 DK İÇERİSİNDE BÜTÜN ROUTE TABLOLARI GELECEK,
BU YAPIDA BİZ DEFAULT ROUTE VE FULL ANONS KULLANIYORUZ İSP OLDUĞU İÇİN,
BURADA DİKKAT ETMENİZ GEREKEN ŞEYLER VAR
MESELA ;
ISP-FIREWALL-UPLINK
FİREWALL İNTERNET ÇIKIŞLARI VE VAE FTTH MÜŞTERİLERİNİN İNTERNET ÇIKIŞLARI İÇİN VE RİPE’TAN ALDIĞINIZ İP BLOĞUNU YUKARIDAKİ CONFİGTE
216.175.23.254/16 BU İP ADRESİNİ SUBNETLERE BÖLEMEZSİNİZ,
ÖRNEK ;
216.175.24.1/30 VEYA 216.175.23.50/2 OLARAK İP SUBNET MASKLARA BÖLEMEZSİNİZ SADECE JUNİPER DA DEĞİL BU CONFİGURASYON OLAN HİÇBİR ROUTER’DA
SEBEBİ SİZE TAHSİS EDİLEN 216.175.23.254/16 YAZILDIĞI GİBİ AŞAĞIDAKİ CONFİĞİ GİRMENİZ GEREKLİ,
set routing-options static route 216.175.23.254/16 discard
YUKARIDAKİ CONFİGİ İŞLEMENİZ GEREKİYOR, VE ŞUAN İSTEDİĞİNİZ KADAR SUBNETLERE BÖLEBİLİR VE MÜŞTERİLERE DAĞITABİLİRSİNİZ,
BİR DİP NOT DAHA BELİRTMEK İSTİYORUM EĞER SİZ İSS YANİ RR SAĞLAYICISIYSANIZ SİZİN ÜZERİNİZDEN ANONS ETMEK İSTEYEN MÜŞTERİLERİNİZE
YUKARIDAKİ İMPORT VE EXPORT MANTIĞI TAM TERSİNE İŞLETECEKSİNİZ YANİ MÜŞTERİNİZE SİZ DEFAULT ROUTE VE FULL ANONS YAPACAKSINIZ EXPORT’UNUZ 0.0.0.0/0 OLACAK VE İMPORTUNUZ İSE SİZİN KABUL EDECEĞİNİZ İP BLOĞU OLACAK VE PREFİX LİMİT YAZMAYIDA UNUTMAYIN
UMARIM FAYDALI OLMUŞTUR….
BİR SONRAKİ İPV6 BGP ve RİPE İP ANONS YAPILANDIRMASI MAKALELERİMDE GÖRÜŞMEZ ÜZERE…