24T15 BGP 3 x Autonomous System w 10 min. [Konfiguracja Fortigate]

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

0:46 Konfiguracja protokołu BGP

9:56 Podsumowanie

Transkrypcja

Cześć. W dzisiejszym odcinku konfiguracja BGP na Fortigate. Dzisiaj zobaczysz trzy punkty czyli konfiguracja najpierw IP na Fortigate, następnie konfiguracja dotycząca samego BGP i konkretnego OSu, będą trzy urządzenia, różne OSy i w trzecim punkcie na sam koniec obserwowanie sąsiadów. Czyli jak już się te wszystkie trzy Fortigate w konfiguracji routingu na BGP skomunikują to zobaczymy na urządzeniu dostępnych sąsiadów. Czyli będziemy mogli potwierdzić, że nasza konfiguracja jest prawidłowa.

Mamy trzy Fortigate. A3, A2 i G To co będziemy konfigurować to protokół BGP w takim środowisku bardzo prostym laboratoryjnym z założeniem przetestowania czy nam ta konfiguracja zadziała. Czyli to co potrzebujemy zrobić to protokołem routingu przekazać do tych po prawej stronie Fortigate informacje czyli A2 i A3 informacje o sieciach których bezpośrednio nie widzą czyli dla A2 to będzie sieć pomiędzy Fortigate dla A3 to będzie sieć pomiędzy Fortigate A2 a G a dla Fortigate A2 będzie to sieć między Fortygatem G i A3. No to zaczynamy konfigurację.

Konfigurację rozpoczniemy od Fortigate G no i zaczniemy od dodania najpierw adresacji. Czyli wchodzimy w Network Interfaces. Edytujemy interface, mamy tutaj interfejs drugi i nadajemy adresację. Czyli będziemy mieli 20.20.20.1 po stronie Fortigate G. Jak widzisz tu na górze też jest Fortigate G, na porcie drugim będzie to sieć 20.20.20.1, maska 24 bity. Żeby sobie ułatwić to też tylko w laboratoryjnym środowisku ma sens ale żeby sobie ułatwić to możemy włączyć serwer DHCP i dla Fortigate A2 i A3 będziemy odpowiednio przypisywać z DHCP adres na tym interfejsie łączącym do Fortigate G.

Więc jeżeli chodzi o interfejs na porcie drugim to serwer DHCP będzie rozgłaszał ze swojej sieci która jest powiązana z adresem IP i maską przypisaną na tym interfejsie. Kolejno konfiguracja na interfejsie trzecim, tutaj adresacja 30.30.30.1 maska 24 bity i tak samo serwer DHCP włączony i na tym samym zakresie. Czyli 30.30.30 od adresu 2 do końcówki coś tam, może być też również dwa. Będziemy przyznawać tylko jeden adres.

Kolejna część konfiguracji to w tej części Network BGP konfigurujemy Local AS. Bo BGP działa na identyfikatorach Autonomous Systems czyli ASów i jeżeli routery się widzą jako sąsiedzi w tym samym ASie to znaczy, że są połączone w ramach jednej grupy jeżeli każdy z tych routerów zgłasza inny as to znaczy, że to są różne systemy autonomiczne. Wybierzmy sobie dla Fortigate G Local AS 100 identyfikator po prostu tego obszaru będzie 100 i BGP trzeba wykreować ręcznie konfigurację dotyczącą połączenia sąsiadów. Czyli konfigurujemy że sąsiad to będzie 20.20.20.2 i identyfikator tego AS zdalnego będzie 101. Czyli tu tworzymy połączenie eBGP czyli takie najbardziej klasyczne jeżeli chodzi o ten protokół sieci takich rozległych.

Wybieramy na jakim interfejsie czyli tu będziemy na interfejsie drugim i zgodnie z tą adresacją na tym interfejsie 20.20.20 wybieramy adres i będziemy aktualizować ze źródła na porcie drugim. To co jeszcze tutaj zaznaczamy to Soft reconfiguration. To jest funkcjonalność wymagana do aktualizacji konfiguracji protokołu BGP jeżeli byśmy mieli już spięte te sąsiedztwa i nie chcieli ich od nowa budować to uwzględnienie zmian konfiguracyjnych w protokole BGP będzie wymagało tej właśnie funkcji Soft reconfiguration czyli rekonfiguracja parametrów komunikacji pomiędzy routerami w BGP ale bez restartowania samego serwisu i bez odbudowywania relacji sąsiedzkiej. Chodzi o pewną optymalizację działania naszego protokołu.

Idźmy dalej, to mamy jednego sąsiada dodanego, tworzymy drugiego sąsiada bo przypomnę że Fortigate G ma podłączonych dwóch sąsiadów więc mamy teraz drugiego sąsiada do skonfigurowania. Adres 30.30.30.2 na interfejsie 3. Tutaj AS 102. Interfejs wspomniany trzeci, update source czyli gdzie będzie oczekiwał czy akceptował aktualizacji, na jakim porcie. No i zaznaczamy Soft reconfiguration podobnie jak wcześniej. Mamy dwóch sąsiadów skonfigurowanych, stosujemy zmiany Apply.

No i teraz przechodzimy do konfiguracji Fortigate A2 czyli będziemy teraz sąsiada konfigurować w stosunku do Fortigate G. No to zaczynamy. Jak już wcześniej wspomniałem mamy serwer DHCP skonfigurowany więc wystarczy, że na interfejsie w sekcji Network zaznaczymy, że będziemy korzystać z DHCP i powinniśmy otrzymać adres IP na tym interfejsie. Sprawdźmy.

Mamy adres 20.20.20.2 i to nas najbardziej interesuje. Czyli mamy adres z danej podsieci, będziemy mogli nawiązać połączenie z sąsiadem BGP. Tutaj konfigurujemy również ręcznie lokalny AS 101 zgodnie z tym co wcześniej wymyśliliśmy sobie i dodajemy sąsiada. 20.20.20.1 Remote AS 100, interfejs odpowiednio port drugi, update port drugi i soft reconfiguration. Tutaj tylko jednego sąsiada konfigurujemy ale oczywiście nie ma problemu jeżeli tutaj moglibyśmy według routingu skonfigurować więcej sąsiadów to moglibyśmy dodać po prostu dowolnego sąsiada o ile tylko komunikację po IP byśmy mieli. Ale nie komplikujmy tego bardzo prostego przypadku laboratoryjnego. Idziemy do Fortigate A3 i podobnie konfiguracja interfejsu. To jakie administracyjne dostępy to jest mało istotne w tym naszym przykładzie.

Ważne, że mamy DHCP skonfigurowane, sprawdzamy jaki adres IP otrzymamy na tym interfejsie czy na tym urządzeniu. Jesteśmy na Fortigate A3. No i tu powinniśmy dostać adres z sieci 30.30.30.2 i taki adres dokładnie jest przyznany. Czyli mamy teraz do dokończenia konfigurację BGP na tym Fortigate A3 local AS 102, sąsiada 30.30.30.1 Remote AS 100, interfejs trzeci update trzeci, update source port 3, i software reconfiguration to jest wszystko co tutaj potrzebujemy skonfigurować. Tu powinno być Soft reconfiguration zgodnie pozostałymi parametrami ale nie ma to kluczowego znaczenia dla tego całego naszego przykładu. Mamy sąsiada skonfigurowanego.

To co tutaj jeszcze można zaznaczyć nie trzeba ale można to tutaj w naszym przykładzie również nic nie zmienia ale dla pokazania IPv4 redistribute to jest funkcjonalność którą włączamy jeżeli chcemy w ramach tego naszego protokołu BGP redystrybuować informację o trasach które są dostępne na tym urządzeniu. Czyli np. jak mamy podłączone conected te nasze sieci to do BGP będą wysyłane wszystkie informacje o sieciach które są z BGP związane. Jeżeli mamy uruchomiony na tym routerze OSPF na przykład to możemy redystrybuować trasy nauczone przez OSPFa do BGPi tak się częstoteż dzieje bo te protokoły wewnętrzne są najczęściej inne a te external czyli tak jak eBGP to jest po prostu tylko najczęściej jakaś agregacja i wysłanie informacji zbiorczej do reszty świata jakie sieci posiadamy, stosujemy.

Możemy teraz wrócić do Fortigate G. Sprawić sobie BGP i widzimy, że tutaj mamy tych dwóch sąsiadów dodanych. Na koniec oczywiście jakaś polityka która zezwala na ruch który w tym naszym środowisku testowym jest spodziewany czyli pomiędzy poszczególnymi portami i chcemy żeby ten ruch nie był blokowany bo jak wiemy na Firewallach domyślnie ruch jest blokowany. W większości przynajmniej implementacji więc jeżeli nie dodamy wprost takiej polityki która zezwala na ruch pomiędzy tymi naszymi Fortigate no to te pakiety będą blokowane na routerze czy na Firewallu czy też na wejściu do tego Fortigate G i nic nam się tutaj nie skomunikuje bo komunikacja dla BGP jest poprostu po IP i TCP.

Na dzisiaj to tyle, dziękuję za uwagę. Jeżeli masz jakieś pytania to oczywiście pisz w komentarzu i do zobaczenia w kolejnym odcinku.


Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.