Fortinet - FortiGate como Peer BGP Dual Homed
Fortinet
El objetivo era conectar 2 peers BGP (AS3356 Lumen y AS8422 - NetCologne) como vecinos BGP y anunciar nuestro AS212033 con las direcciones IPv4 e IPv6.
Dado que la configuración a través de la interfaz gráfica de usuario no ofrece todas las opciones necesarias, aquí se enumeran los parámetros de configuración que se realizan a través de la CLI.
Configurando su propio sistema autónomo
Primero tenemos que decirle al FortiGate cual es nuestro propio número de AS y asignarle un ID de router. El sistema autónomo lo asigna aquí RIPE NCC.Para ello, configuramos lo siguiente a través de la CLI
config router bgp
set as 212033
set router-id X.X.X.X - Reemplázalo por tu propio ID de router - Asignable libremente
fin
Vinculación de las redes propias a la unidad FortiGate
Para que nuestras direcciones públicas sean anunciadas, deben estar disponibles en la tabla de enrutamiento de la unidad FortiGate. Dado que utilizamos subredes para hacer esto más pequeño internamente, hemos decidido trabajar con rutas blackhole.
config router static
edit 1
set dst 193.3.45.0 255.255.255.0
set blackhole enable
siguiente
end
config router static6
edit 1
set dst 2a10:5dc0::/32
set blackhole enable
siguiente
end
Preparando las llamadas listas de prefijos y mapas de rutas
Tenemos que decirle a FortiGate qué redes queremos anunciar y qué rutas queremos recibir. Como no queremos convertirnos en un AS de tránsito, tenemos que tomar medidas para evitarlo.
En nuestros primeros pasos, hemos encontrado que recibir las Rutas BGP Completas a través de los proveedores rápidamente pone a nuestro FortiGate de rodillas. Dado que con 2 proveedores 4 rutas completas (2x IPv4 y 2x IPv6) tienen que entrar en la RAM, rápidamente alcanzamos nuestros límites.
Por lo tanto, hemos decidido aceptar sólo la ruta por defecto de los proveedores de servicios.
La base para esto son las listas de prefijos, que luego podemos utilizar en los mapas de enrutadores.
Estos también están separados en IPv4 e IPv6.
config router prefix-list
edit "accept-dflt-only
configurar regla
edit 1
set prefix 0.0.0.0 0.0.0.0.0.0
unset ge
unset le
siguiente
end
siguiente
editar "own-nets-only-out
regla de configuración
editar 1
set prefix 193.3.45.0 255.255.255.0
unset ge
unset le
siguiente
end
siguiente
editar "1
siguiente
end
config router prefix-list6
edit "own-nets-v6-only-out
config regla
edit 1
set prefix6 2a10:5dc0::/32
unset ge
unset le
siguiente
end
siguiente
editar "accept-dflt-only
regla de configuración
editar 1
set prefix6 ::/0
unset ge
unset le
siguiente
end
siguiente
end
config router route-map
edit "dualhomes
config regla
edit 1
set set-local-preference 100
siguiente
end
siguiente
editar "Default-only
regla de configuración
editar 1
set match-ip-address "accept-dflt-only
siguiente
editar 2
set match-ip6-address "accept-dflt-only
siguiente
fin
siguiente
end
Configuración de los vecinos BGP
A continuación tenemos que decirle a FortiGate cuales son nuestros peers BGP. En nuestro caso tenemos 4 peers BGP. 2 peers IPv4 y 2 peers IPv6. Aquí es donde entran en juego los primeros parámetros de configuración "especiales". Pero una cosa detrás de la otra. Adjunto el extracto de configuración:
config router bgp
config vecino
edit "X.X.X.X"
set activate6 disable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out
set prefix-list-out6 "own-nets-v6-only-out
set remote-as 3356
set route-map-in "default-only
set route-map-out "dualhomes
siguiente
edit "2001:1900:X
set activate disable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out
set prefix-list-out6 "own-nets-v6-only-out
set remote-as 3356
set route-map-in6 "default-only
set route-map-out6 "dualhomes
siguiente
edit "Y.Y.Y"
set activate6 disable
set ebgp-enforce-multihop enable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out
set prefix-list-out6 "own-nets-v6-only-out
set remote-as 8422
set route-map-in "default-only
set route-map-out "dualhomes
set password Contraseña
siguiente
editar "2001:4dd0:X"
set activate disable
set ebgp-enforce-multihop enable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out
set prefix-list-out6 "own-nets-v6-only-out
set remote-as 8422
set route-map-in6 "default-only
set route-map-out6 "dualhomes
set password Contraseña
siguiente
end
set activate6 disable - prohíbe a este peer BGP utilizar IpV6
set activate disable - prohíbe a este peer BGP utilizar IpV4
set soft-reconfiguration enable - Permite el reaprendizaje granular de rutas sin vaciar la tabla de enrutamiento BGP cada vez.
set prefix-list-out "own-nets-only-out" - ¿Qué redes IPv4 deben anunciarse?
set prefix-list-out6 "own-nets-v6-only-out" - ¿Qué redes IPv6 deben anunciarse?
set remote-as XXXX - Número de AS del vecino
set ebgp-enforce-multihop enable - Por defecto, el peer BGP debe ser directamente alcanzable. En casos especiales, sin embargo, el router BGP puede estar a varios saltos de distancia.
set password Contraseña - Se puede utilizar para especificar una contraseña de cifrado MD5.
set route-map-in "Default-only" - ¿Qué rutas queremos recibir?
set route-map-out "dualhomes" - ¿Qué rutas queremos enviar?
Permitir múltiples pasarelas BGP por defecto
Por defecto, sólo se acepta una ruta por defecto de un peer BGP. Podemos evitarlo con el siguiente comando:
config router bgp
set ebgp-multipath enable
set ibgp-multipath enable
end
Ahora el FortiGate debería empezar a anunciar sus propias redes y el enrutamiento BGP debería ser funcional.
Marcel Zimmer is the Technical Managing Director of EnBITCon. During his time in the German Armed Forces, the trained IT developer was able to gain numerous project experiences. His interest in IT security was significantly awakened by his service in command support. Even after his service, he is an active reservist in the Bundeswehr.
His first firewall was a Sophos UTM 120, which he had to set up for a customer project. Since then, his interest in IT security has grown steadily. In the course of time, various security and infrastructure topics have come into his focus. His most interesting projects included, for example, WLAN coverage in an explosion-proof area, as well as a multi-site WLAN solution for a large
Zugehörige Produkte