Fortinet - FortiGate come peer BGP a doppia sede
Fortinet
L'obiettivo era collegare 2 peer BGP (AS3356 Lumen e AS8422 - NetCologne) come vicini BGP e annunciare il nostro AS212033 con gli indirizzi IPv4 e IPv6.
Poiché la configurazione tramite l'interfaccia grafica non offre tutte le opzioni necessarie, qui vengono elencati i parametri di configurazione che vengono effettuati tramite la CLI.
Configurazione del proprio sistema autonomo
Per prima cosa occorre indicare al FortiGate il proprio numero AS e assegnare un ID router. Il sistema autonomo viene assegnato da RIPE NCC.Per fare ciò, configuriamo quanto segue tramite la CLI
config router bgp
impostato come 212033
set router-id X.X.X.X - Sostituire con il proprio ID router - Assegnabile liberamente
fine
Legare le proprie reti all'unità FortiGate
Affinché i nostri indirizzi pubblici vengano annunciati, devono essere disponibili nella tabella di routing dell'unità FortiGate. Poiché utilizziamo il subnetting per ridurlo internamente, abbiamo deciso di lavorare con le rotte blackhole.
config router statico
modifica 1
set dst 193.3.45.0 255.255.255.0
imposta blackhole abilitato
successivo
fine
configurare il router static6
modifica 1
impostare dst 2a10:5dc0::/32
imposta buco nero abilitato
successivo
fine
Preparazione dei cosiddetti elenchi di prefissi e mappe di rotte
Dobbiamo dire a FortiGate quali reti vogliamo annunciare e quali rotte vogliamo ricevere. Poiché non vogliamo diventare un AS di transito, dobbiamo adottare misure per evitare che ciò accada.
Nei nostri primi passi, abbiamo scoperto che la ricezione delle rotte BGP complete attraverso i provider mette rapidamente in ginocchio il nostro FortiGate. Poiché con due provider devono essere inserite nella RAM 4 rotte complete (2 IPv4 e 2 IPv6), raggiungiamo rapidamente i nostri limiti.
Pertanto, abbiamo deciso di accettare solo il percorso predefinito dai fornitori di servizi.
La base è costituita dagli elenchi di prefissi, che possono essere utilizzati nelle mappe dei router.
Anche questi sono separati in IPv4 e IPv6.
config router prefix-list
modifica "accept-dflt-only
configurare la regola
modifica 1
impostare il prefisso 0.0.0.0 0.0.0.0
non impostato ge
non impostato le
successivo
fine
successivo
modifica "reti proprie solo fuori
regola di configurazione
modifica 1
impostare il prefisso 193.3.45.0 255.255.255.0
non impostato ge
non impostato le
successivo
fine
successivo
modifica "1
successivo
fine
config router prefix-list6
modifica "own-nets-v6-only-out
configurare la regola
modifica 1
imposta prefisso6 2a10:5dc0::/32
non impostato ge
non impostato le
successivo
fine
successivo
modifica di "accetta-solo-dflt
regola di configurazione
modifica 1
impostare prefisso6 ::/0
non impostato ge
non impostato le
successivo
fine
successivo
fine
configurare la route-map del router
modifica "dualhomes
configura regola
modifica 1
set-local-preference 100
successivo
fine
successivo
modifica "Regola di configurazione di solo default
regola di configurazione
modifica 1
imposta indirizzo-ip di corrispondenza "accept-dflt-only
successivo
modifica 2
impostare l'indirizzo match-ip6 "accept-dflt-only
successivo
fine
successivo
fine
Configurazione dei vicini BGP
Occorre poi indicare a FortiGate quali sono i nostri peer BGP. Nel nostro caso abbiamo 4 peer BGP. 2 peer IPv4 e 2 peer IPv6. Qui entrano in gioco i primi parametri di configurazione "speciali". Ma una cosa dopo l'altra. In allegato l'estratto della configurazione:
config router bgp
configurare il vicino
modifica "X.X.X.X"
imposta attivazione6 disabilitata
impostare soft-reconfiguration enable
imposta prefisso-list-out "own-nets-only-out
impostare prefisso-list-out6 "own-nets-v6-only-out
impostare remote-as 3356
impostare route-map-in "default-only
impostare route-map-out "dualhomes
successivo
modifica "2001:1900:X
imposta attivazione disabilita
impostare soft-reconfiguration enable
impostare prefisso-list-out "own-nets-only-out
impostare prefisso-list-out6 "own-nets-v6-only-out
impostare remote-as 3356
impostare route-map-in6 "default-only
impostare route-map-out6 "dualhomes
successivo
modifica "Y.Y.Y"
set activate6 disable
impostare ebgp-enforce-multihop abilitare
impostare soft-reconfiguration enable
impostare prefisso-list-out "own-nets-only-out
impostare prefisso-list-out6 "own-nets-v6-only-out
impostare remote-as 8422
impostare route-map-in "default-only
impostare route-map-out "dualhomes
imposta password Password
successivo
modifica "2001:4dd0:X"
impostare activate disable
impostare ebgp-enforce-multihop abilitare
impostare soft-reconfiguration enable
impostare prefisso-list-out "own-nets-only-out
impostare prefisso-list-out6 "own-nets-v6-only-out
impostare remote-as 8422
impostare route-map-in6 "default-only
impostare route-map-out6 "dualhomes
imposta password Password
successivo
fine
set activate6 disable - vieta a questo peer BGP di utilizzare IpV6
set activate disable - proibisce a questo peer BGP di usare IpV4
set soft-reconfiguration enable - Consente il riapprendimento granulare delle rotte senza svuotare ogni volta la tabella di routing BGP.
set prefix-list-out "own-nets-only-out" - quali reti IPv4 devono essere annunciate?
set prefix-list-out6 "own-nets-v6-only-out" - quali reti IPv6 devono essere annunciate?
set remote-as XXXX - numero AS del vicino
set ebgp-enforce-multihop enable - Per impostazione predefinita, il peer BGP deve essere raggiungibile direttamente. In casi particolari, tuttavia, il router BGP può trovarsi a diversi hops di distanza.
set password Password - Può essere utilizzata per specificare una password di crittografia MD5.
set route-map-in "Default-only" - Quali rotte vogliamo ricevere?
set route-map-out "dualhomes" - Quali rotte vogliamo inviare?
Consentire più gateway predefiniti BGP
Per impostazione predefinita, un solo percorso predefinito viene accettato da un peer BGP. Si può aggirare questo problema con il seguente comando:
config router bgp
set ebgp-multipath enable
imposta ibgp-multipath abilita
fine
Ora il FortiGate dovrebbe iniziare ad annunciare le proprie reti e il routing BGP dovrebbe essere funzionante.
Marcel Zimmer ist der Technische Geschäftsführer der EnBITCon. Während seiner Bundeswehrzeit konnte der gelernte IT-Entwickler zahlreiche Projekterfahrung gewinnen. Sein Interesse an der IT-Sicherheit wurde maßgeblich durch seinen Dienst in der Führungsunterstützung geweckt. Auch nach seiner Dienstzeit ist er aktiver Reservist bei der Bundeswehr.
Seine erste Firewall war eine Sophos UTM 120, welche er für ein Kundenprojekt einrichten musste. Seitdem ist das Interesse für IT-Sicherheit stetig gewachsen. Im Laufe der Zeit sind noch diverse Security- und Infrastrukturthemen in seinen Fokus gerückt. Zu seinen interessantesten Projekten gehörte zum Beispiel eine WLAN-Ausleuchtung in einem EX-Schutz Bereich, sowie eine Multi-Standort-WLAN-Lösung für ein großes Logistikunternehmen.
Zugehörige Produkte