Protokół routingu BGP [Konfiguracja Fortigate]

Wstęp

BGP (Border Gateway Protocol) to protokół routingu używany w sieciach komputerowych do wymiany informacji o trasach między różnymi systemami autonomicznymi (AS – Autonomous Systems). Jest głównie wykorzystywany w w sieciach ISP lub punktach pomiędzy dostawcami internetu.

Adresacja Fortigate_G
Ustawienia BGP
Adresacja Fortigate_A2
Ustawienia BGP
Adresacja Fortigate A3
Ustawienia BGP
Zdefiniowanie reguły na firewallu
Test konfiguracji

Topologia jakiej użyję

Konfiguracja BGP

FORTIGATE_G

Najpierw nadamy adresy na porty. Przechodzimy do zakładki Network > Interfaces i znajdujemy pole Address.

Teraz ustawimy dhcp serwer na ten port aby podłączony fortigate otrzymał konfigurację. Możemy zrobić to na nim statycznie, lecz wtedy ręcznie trzeba będzie dodać wpisy takie jak brama czy dns.

Zaznaczamy DHCP Server i dodajemy zakres jaki nas interesuje

Czynność powtarzamy dla drugiego portu

Teraz przechodzimy już do konfiguracji BGP. Zakładka Network > BGP i uzupełniamy pola

Pierwszym krokiem będzie nadanie AS

Local AS identyfikuje numer systemu autonomicznego, w którym działa FortiGate, natomiast Router ID to unikalny identyfikator routera używany w protokole BGP. W tej konfiguracji Router ID można zostawić pusty

Teraz dodamy sąsiadów, dzięki czemu będą się widzieć i ruch pomiędzy nimi będzie przechodził przez tego Fortigate_G. Klikamy “Create New” i uzupełniamy pola

IP: adres sąsiada

Remote AS: numer AS sąsiada

Interface: port podłączony do sąsiada

Update source: port podłączony do sąsiada. Kiedy FortiGate nawiązuje sesję BGP z innym urządzeniem, używa adresu IP tego interfejsu jako źródła aktualizacji BGP

Zaznaczamy jeszcze Soft reconfiguration. Jest to mechanizmem, który pozwala na ponowne przetworzenie zapamiętanych aktualizacji od sąsiadującego routera BGP bez potrzeby ponownego nawiązywania sesji.

Czynność powtarzamy dla drugiego sąsiada

FORTIGATE_A2

Odbieramy najpierw konfigurację dhcp. Przechodzimy do zakładki Network > Inferfaces i wybieramy port 2

Teraz przechodzimy do zakładki Network > BGP i uzupełniamy

Oraz dodajemy sąsiada, głównego fortigate

Zjeżdżamy niżej i zaznaczamy IPv4 Redistribute Connected

FORTIGATE_A3

Czynności powtarzamy tak jak na wcześniejszym fortigate

I ustawienie BGP

FORTIGATE_G

Teraz utworzymy reguły pozwalające na przechodzenie ruchu pomiędzy Fortigate A2 i Fortigate A3. Przechodzimy do zakładki Policy & Objects > Firewall Policy, klikamy “Create New” i uzupełniamy pola

Name: nazwa wedle uznania

Incoming Interface: port wchodzący

Outgoing interface: port wychodzący

Source: all

Destination: all

Service: all

Możemy sprecyzować np. jakie aplikacje mogą przechodzić przez dane łącza, ja ustawie wszystkie

I robimy w drugą stronę

Test konfiguracji

Widzimy, że na fortigate widzimy sąsiadów

Wykonamy ping z jednego fortigate na drugi

I w drugą strone