Single-Homed BGP (пример настройки для разных вендоров)

Single-Homed BGP — это популярная и экономичная конфигурация для подключения сети к интернету через одного провайдера. Вот подробное руководство по настройке на оборудовании различных производителей, включая ключевые аспекты безопасности, оптимизации и устранения неисправностей.

1. Общие принципы Single-Homed BGP

Single-Homed BGP означает подключение вашей автономной системы (AS) к одному интернет-провайдеру (ISP). Основная цель — объявление своих префиксов провайдеру и получение маршрута по умолчанию или выборочных маршрутов.

Ключевые характеристики:

• Простота и стоимость: Дешевле в реализации и управлении по сравнению с Multi-Homed подключениями.
• Отсутствие избыточности: Вся ответственность за подключение лежит на одном провайдере и одном физическом линке.
• Динамический маршрутизационный протокол: BGP используется для обмена маршрутами, что предоставляет больший контроль по сравнению со статическими маршрутами.

Типичный сценарий использования: Подключение малого и среднего бизнеса к интернету с необходимостью адвертирования своих публичных префиксов.

2. Настройка Single-Homed BGP на Cisco

Конфигурация на Cisco является эталонной и часто адаптируется под другие платформы.

Базовая настройка:

Важные аспекты:

• Фильтрация маршрутов: Критически важно принимать от провайдера только необходимые маршруты (например, только 0.0.0.0/0) и объявлять только свои собственные префиксы. Это предотвращает случайную "утечку" чужих маршрутов и повышает безопасность.
• Аутентификация MD5: Защита BGP-сессии с помощью пароля.
• Контроль плоскости управления (CoPP): Защита процессора маршрутизатора от перегрузки с помощью политик контроля трафика.

Пример расширенной безопасности (Cisco):

3. Настройка Single-Homed BGP на MikroTik (RouterOS)

MikroTik предлагает мощную BGP-реализацию в RouterOS, часто используемую провайдерами и корпоративными сетями.

Базовая настройка через CLI:

Настройка фильтрации и политик:

Особенности MikroTik:

• Гибкая фильтрация: Использование цепочек фильтров (filter rules) для контроля принимаемых и объявляемых маршрутов.
• Поддержка BFD: Для быстрого обнаружения сбоев на линке.
• Графический интерфейс: Настройку можно выполнить в WinBox/WinFig (IPv4 -> Routing -> BGP).

4. Настройка на другом оборудовании (UniFi, Eltex, FortiGate)

Принципы везде схожи, но отличаются синтаксисом и возможностями.

Ubiquiti UniFi (через конфигурационный файл FRR):
UniFi требует загрузки конфигурационного файла в формате FRR.

• Важно: Требуется открыть TCP-порт 179 для BGP на межсетевом экране UniFi.

Eltex (пример конфигурации):
Синтаксис Eltex часто похож на Cisco.

FortiGate:
На FortiGate BGP настраивается в разделе config router bgp.

5. Ключевые аспекты настройки и лучшие практики

1. Фильтрация маршрутов: Всегда настраивайте фильтрацию входящих и исходящих объявлений. Принимайте только тот маршрут, который вам нужен (например, 0.0.0.0/0), и объявляйте только свои публичные префиксы.
2. Аутентификация сессии: Всегда используйте MD5-аутентификацию для защиты BGP-сессии.
3. Стабильность сессии:
   Используйте BFD для быстрого обнаружения обрывов линка.
   Для eBGP через несколько hop (например, при использовании loopback-адресов) используйте ebgp-multihop.
4. Безопасность устройства:
   Отключите неиспользуемые сервисы (HTTP, FTP).
   Ограничьте доступ к устройству (SSH, SNMP) с помощью ACL.
   Настройте Control Plane Policing (CoPP) для защиты процессора.
5. Безопасность данных:
   Реализуйте uRPF (Unicast Reverse Path Forwarding) на интерфейсах для борьбы со спуфингом.
   Применяйте ACL для блокировки приватных и невалидных адресов (RFC 1918, RFC 3330) на внешних интерфейсах.

6. Обеспечение отказоустойчивости в Single-Homed среде

Хотя Single-Homed не обеспечивает отказоустойчивости на уровне провайдера, её можно улучшить на клиентской стороне:

• Протоколы резервирования шлюзов: Используйте HSRP/VRRP между двумя внутренними маршрутизаторами для резервирования шлюза по умолчанию.
• Несколько линков к одному провайдеру (Dual-Homed): Можно настроить несколько физических линков к одному провайдеру и использовать BGP maximum-paths для балансировки нагрузки

Пример VRRP для резервирования:

7. Выбор оборудования

• Cisco: Промышленный стандарт. Максимальная функциональность, подробная документация, но высокая стоимость.
• MikroTik: Мощная BGP-реализация (поддерживает полные таблицы) при низкой стоимости. Идеально для провайдеров и энтузиастов.
• Ubiquiti UniFi: Удобство централизованного управления через UniFi Controller. Подходит для корпоративных филиалов и SMB, но функциональность BGP может быть ограничена по сравнению с другими.
• FortiGate: Глубокая интеграция BGP с межсетевым экраном и системами безопасности (IPS, AV). Отличный выбор, если безопасность является приоритетом.

8. Диагностика и устранение неисправностей

Основные команды для проверки:

Типичные проблемы:

• Сессия не устанавливается (Idle/Active): Проверьте физическую связность, ACL на промежуточных устройствах, правильность указания AS и пароля.
• Маршруты не объявляются: Убедитесь, что объявляемая сеть присутствует в таблице маршрутизации (установлен network ... или redistribute connected).
• Маршруты не принимаются: Проверьте входящие фильтры (prefix-list, route-map).

Заключение

Single-Homed BGP — это надежное и эффективное решение для организаций, которым необходимо динамически объявлять свои префиксы провайдеру, но не требуются подключения к нескольким ISP.

Ключевые выводы:

1. Безопасность прежде всего: Всегда настраивайте фильтрацию маршрутов и аутентификацию сессии.
2. Стабильность: Используйте BFD и правильные таймеры для быстрого обнаружения сбоев.
3. Платформа имеет значение: Выбор между Cisco, MikroTik, UniFi и другими зависит от бюджета, требуемой функциональности и экспертизы.
4. Резервирование возможно: Даже в Single-Homed среде можно реализовать отказоустойчивость на стороне клиента с помощью VRRP/HSRP.

Для глобальных проектов, где критичны бесперебойность и производительность, стоит рассмотреть Multi-Homed BGP с подключением к нескольким провайдерам.