Fortinet - FortiGate como Pares BGP Dual Homed
Fortinet
O objectivo era ligar 2 pares BGP (AS3356 Lumen e AS8422 - NetCologne) como vizinhos BGP e anunciar o nosso AS212033 com os endereços IPv4 e IPv6.
Uma vez que a configuração através da interface gráfica do utilizador não oferece todas as opções necessárias, os parâmetros de configuração que são feitos através do CLI são listados aqui.
Configuração do seu próprio sistema autónomo
Primeiro temos de dizer ao FortiGate qual é o nosso próprio número AS e atribuir uma identificação de router. O Sistema Autónomo é atribuído aqui pela RIPE NCC.Para o fazer, configuramos o seguinte através do CLI
config router bgp
definido como 212033
definir router-id X.X.X.X - Substitua pelo seu próprio ID de router - Livremente atribuível
fim
Ligar as próprias redes à unidade FortiGate
Para que os nossos endereços públicos sejam de todo anunciados, devem estar disponíveis na tabela de encaminhamento da unidade FortiGate. Uma vez que utilizamos a subrede para tornar esta menor internamente, decidimos trabalhar com rotas de blackhole.
config router estático
editar 1
set dst 193.3.45.0 255.255.255.255.0
set blackhole enable
próximo
fim
config router estático6
editar 1
set dst 2a10:5dc0::/32
definir blackhole permitir
próximo
fim
Preparação das chamadas listas de prefixos e mapas de rotas
Temos de dizer ao FortiGate quais as redes que queremos anunciar e quais os itinerários que queremos receber. Uma vez que não queremos tornar-nos um Transit AS aqui, temos de tomar medidas para o evitar.
Nos nossos primeiros passos, descobrimos que a recepção das Rotas BGP completas através dos fornecedores põe rapidamente o nosso FortiGate de joelhos. Uma vez que com 2 provedores 4 rotas completas (2x IPv4 e 2x IPv6) têm de entrar na RAM, rapidamente atingimos os nossos limites.
Por conseguinte, decidimos aceitar apenas a rota padrão dos provedores de serviços.
A base para isto são as listas de prefixos, que podemos então utilizar em mapas de router.
Estas também estão separadas em IPv4 e IPv6.
config router lista de prefixos
editar "apenas aceitar-dflt
regra de configuração
editar 1
definir prefixo 0.0.0.0 0 0.0.0.0
ge não definido
le
próximo
fim
próximo
editar "own-nets-only-out
regra de configuração
editar 1
prefixo fixo 193.3.45.0 255.255.255.255.0
ge não definido
le
próximo
fim
próximo
editar "1
próximo
fim
config router prefix-list6
editar "redes próprias-v6-somente fora
regra de configuração
editar 1
prefixo do conjunto6 2a10:5dc0::/32
ge perturbado
le
próximo
fim
próximo
editar "apenas aceitar-dflt
regra de configuração
editar 1
prefixo do conjunto6 ::/0
ge
le
próximo
fim
próximo
fim
config router route-map
editar "dualhomes
regra de configuração
editar 1
set set-local-preferência 100
próximo
fim
próximo
editar "Apenas por defeito
regra de configuração
editar 1
definir match-ip-address "accept-dflt-only
próximo
editar 2
definir o endereço "apenas aceitar-dflt" para o match-ip6-address
próximo
fim
próximo
fim
Configuração dos vizinhos do BGP
A seguir temos de dizer ao FortiGate quais são os nossos pares do BGP. No nosso caso, temos 4 pares BGP. 2 pares IPv4 e 2 pares IPv6. Foi aqui que entraram em jogo os primeiros parâmetros de configuração "especiais". Mas uma coisa depois da outra. Em anexo está o excerto de configuração:
config router bgp
config neighbour
editar "X.X.X.X.X"
set activate6 desactivar
definir soft-reconfiguration permitir
definir prefixo-lista de saída "own-nets-only-out
definir prefixo-lista-6 "own-nets-v6-only-out
definir remoto como 3356
definir roteiro-mapa-in "apenas por defeito
definir o roteiro de saída "dualhomes
próximo
editar "2001:1900:X
set activate disable
definir soft-reconfiguration permitir
definir prefixo-lista de saída "own-nets-only-out
definir prefixo-lista-6 "own-nets-v6-only-out
definir remoto como 3356
definir roteiro-mapa-in6 "só por defeito
definir roteiro-plano de saída6 "dualhomes
próximo
editar "Y.Y.Y.Y"
set activate6 desactivar
definir ebgp-enforce-multihop permitir
definir soft-reconfiguration permitir
definir prefixo-lista de saída "own-nets-only-out
definir prefixo-lista-6 "own-nets-v6-only-out
definir remoto como 8422
definir roteiro-mapa-in "apenas por defeito
definir o roteiro de saída "dualhomes
definir palavra-passe
próximo
editar "2001:4dd0:X"
set activate disable (activar desactivar)
definir ebgp-enforce-multihop permitir
definir soft-reconfiguration permitir
definir prefixo-lista de saída "own-nets-only-out
definir prefixo-lista-6 "own-nets-v6-only-out
definir remoto como 8422
definir roteiro-mapa-in6 "só por defeito
definir roteiro-plano de saída6 "dualhomes
definir palavra-passe
próximo
fim
set activate6 desactivar - proíbe este par BGP de utilizar o IpV6
set activate disable - proíbe este par BGP de utilizar o IpV4
definir habilitação de reconfiguração suave - Permite a reaprendizagem granular de rotas sem esvaziar a tabela de rotas BGP de cada vez.
definir prefix-list-out "own-nets-only-out" - quais as redes IPv4 que devem ser anunciadas?
definir prefix-list-out6 "own-nets-v6-only-out" - quais as redes IPv6 que devem ser anunciadas?
set remote-as XXXX - número AS do vizinho
definir ebgp-enforce-multihop enable - Por defeito, o par BGP deve ser directamente alcançável. Em casos especiais, contudo, o router BGP pode estar a vários lúpulos de distância.
set password - Isto pode ser utilizado para especificar uma palavra-passe de encriptação MD5.
set route-map-in "Default-only" - Que rotas queremos receber?
set route-map-out "dualhomes" - Quais as rotas que queremos enviar?
Permitir múltiplas gateways padrão BGP
Por defeito, apenas uma rota padrão é aceite de um par BGP. Contornamos isto com o seguinte comando:
config router bgp
definir ebgp-multipath permitir
set ibgp-multipath permitir
fim
Agora o FortiGate deve começar a anunciar as suas próprias redes e o encaminhamento BGP deve ser funcional.
Marcel Zimmer ist der Technische Geschäftsführer der EnBITCon. Während seiner Bundeswehrzeit konnte der gelernte IT-Entwickler zahlreiche Projekterfahrung gewinnen. Sein Interesse an der IT-Sicherheit wurde maßgeblich durch seinen Dienst in der Führungsunterstützung geweckt. Auch nach seiner Dienstzeit ist er aktiver Reservist bei der Bundeswehr.
Seine erste Firewall war eine Sophos UTM 120, welche er für ein Kundenprojekt einrichten musste. Seitdem ist das Interesse für IT-Sicherheit stetig gewachsen. Im Laufe der Zeit sind noch diverse Security- und Infrastrukturthemen in seinen Fokus gerückt. Zu seinen interessantesten Projekten gehörte zum Beispiel eine WLAN-Ausleuchtung in einem EX-Schutz Bereich, sowie eine Multi-Standort-WLAN-Lösung für ein großes Logistikunternehmen.
Zugehörige Produkte