| BGP protokol unutar enterprise okruženja |
 |
 |
 |
| Autor Administrator |
| Petak, 28 Maj 2010 14:07 |
|
U ovoj vježbi ćemo konfigurisati i implementirati BGP protokol unutar manjeg preduzeća sa izlazom na internet preko dva provajdera. Naše preduzeće se nalazi u autonmnom sistemu (AS) 6500 i spojeno je na internet preko provajdera (ISP) koji se nalaze unutar AS 1111 i 2222. Upotrijebićemo jedan ruter(oblak) za simuliranje interneta (ubrizgavanjem loopback-ova) i dva rutera unutar DMZ zone za simuliranje servera, dok će loopback interfejs na IBR ruteru simulirati LAN. U okviru ove vježbe konfigurisaćemo samo BGP za AS 6500 (u protivnom bi vježba bila preduga), ali ću ukljućiti početne konfiguracije za sve uređaje kao i finalne konfiguracije. U ovoj vježbi ću koristiti cisco 3725 rutere, ali isto tako bilo koji ruter u Dynamips-u će poslužiti.
Ovo je naša topologija:
Zadaci:1. Konfigurisati vanjski granični ruter unutar AS 6500. Povezati ga sa ISP-1 i ISP-2. Pobrinuti se da se DMZ subnet propagira na internet. Prvo ćemo konfigurisati OBR (Outside Border Router):Router(config)#hostname OBR OBR(config)#interface FastEthernet0/0 OBR(config-if)# ip address 72.51.18.1 255.255.255.0 OBR(config-if)# ip nat inside OBR(config-if)# ip virtual-reassembly OBR(config-if)# duplex auto OBR(config-if)# speed auto OBR(config-if)# OBR(config-if)#interface Serial0/0 OBR(config-if)# ip address 57.85.11.3 255.255.255.254 OBR(config-if)# ip nat outside OBR(config-if)# ip virtual-reassembly OBR(config-if)# clock rate 2000000 OBR(config-if)# OBR(config-if)#interface Serial0/1 OBR(config-if)# ip address 93.48.61.3 255.255.255.254 OBR(config-if)# ip nat outside OBR(config-if)# ip virtual-reassembly OBR(config-if)# clock rate 2000000 OBR(config-if)# OBR(config-if)#router ospf 6500 OBR(config-router)# log-adjacency-changes OBR(config-router)# network 72.51.18.0 0.0.0.255 area 0 OBR(config-router)# default-information originate always Osnovne stvari su konfigurisane, hostname, IP adrese, NAT inside/outside, i OSPF. OSPF je dignut na našem DMZ linku i podešen je da propagira defaultnu rutu “always”, što znaći da će defaultna ruta biti propagirana iako je nema u ruting tabeli. Defaultna ruta se šalje na IBR. IBR-u je potrebna defaultna ruta jer jedini put izvan mreže vodi preko OBR. Zatim ćemo konfigurisati BGP na OBR:OBR(config)#ip as-path access-list 10 permit ^$ OBR(config)# OBR(config-route-map)#route-map ISP-2_OUT permit 10 OBR(config-route-map)# match as-path 10 OBR(config-route-map)# set origin igp OBR(config-route-map)# set as-path prepend 6500 6500 6500 OBR(config-route-map)# OBR(config-route-map)#route-map ISP-1_OUT permit 10 OBR(config-route-map)# match as-path 10 OBR(config-route-map)# set origin igp OBR(config-route-map)# OBR(config)#route-map ISP-2_IN permit 10 OBR(config-route-map)# set local-preference 100 OBR(config-route-map)#route-map ISP-1_IN permit 10 OBR(config-route-map)# set local-preference 200 OBR(config-route-map)#exit OBR(config)# OBR(config)#router bgp 6500 OBR(config-router)# no synchronization OBR(config-router)# no auto-summary OBR(config-router)# network 57.85.11.2 mask 255.255.255.254 OBR(config-router)# network 72.51.18.0 mask 255.255.255.0 OBR(config-router)# network 93.48.61.2 mask 255.255.255.254 OBR(config-router)# neighbor 57.85.11.2 remote-as 2222 OBR(config-router)# neighbor 57.85.11.2 route-map ISP-2_IN in OBR(config-router)# neighbor 57.85.11.2 route-map ISP-2_OUT out OBR(config-router)# neighbor 93.48.61.2 remote-as 1111 OBR(config-router)# neighbor 93.48.61.2 route-map ISP-1_IN in OBR(config-router)# neighbor 93.48.61.2 route-map ISP-1_OUT out OK, ovo je najvažniji dio konfiguracije. Prvo ćemo konfigurisati as-path ACL(access list). Zatim ćemo kreirati route mapu za svakog BGP neighbor-a koji je obuhvaćen access listom. Svrha ovoga je da osujetimo AS 6500 da postane transitni AS za dva ISP-a. Access listom smo obuhvatili "prazan prostor" jer je to ono što ruter vidi kada šalje update svojim komšijama. Bilo šta što nebi spadalo u "prazan prostor" (rute koje dolaze izvan AS 6500) će biti odbaćeno i neće biti sastavni dio update-a. U route mapama smo porijeklo(origin) podesili na IGP . Route mape smo aplicirali u OUT direkciji na oba neighbor-a. Zatim smo konfigurisali još dvije route mape koje su podesile "Local Preference" na 200 kod ISP-1 i na 100 kod ISP-2. Ovo će učniti da link preko ISP-1 bude primaran, a link koji ide preko ISP-2 neće biti u funkciji osim u slučaju da primarni link padne (*viša LP vrijednost je bolja). Na kraju smo konfigurisali route mape IN prema našim komšijama. Na kraju smo konfigurisali NAT:OBR(config)#ip access-list extended NAT OBR(config-ext-nacl)# permit ip 192.168.20.0 0.0.0.255 any OBR(config-ext-nacl)#route-map ISP-1_NAT permit 10 OBR(config-ext-nacl)# OBR(config-route-map)# match ip address NAT OBR(config-route-map)# match interface Serial0/1 OBR(config-route-map)# OBR(config-route-map)#route-map ISP-2_NAT permit 10 OBR(config-route-map)# match ip address NAT OBR(config-route-map)# match interface Serial0/0 OBR(config-route-map)#exit OBR(config)# OBR(config)#ip nat inside source route-map ISP-1_NAT interface Serial0/1 overload OBR(config)#ip nat inside source route-map ISP-2_NAT interface Serial0/0 overload Ovdje imamo dvojnul NAT konfiguraciju. Koristili smo access listu za obuhvatanje saobraćaja (LAN koji se nalazi iza IBR) kojeg želimo NAT-ovati. Zatim smo podesili route-mape koje odgovaraju NAT access listi i izlaznim interfejsima. Zatim smo unutar NAT konfiguracije podesili koriščenje route mapa i PAT-a. Testirajmo našu konfiguraciju:ISP-1#sh ip bgp neighbors 93.48.61.3 routes ... Network Next Hop Metric LocPrf Weight Path *> 57.85.11.2/31 93.48.61.3 0 0 6500 i *> 72.51.18.0/24 93.48.61.3 0 0 6500 i * 93.48.61.2/31 93.48.61.3 0 0 6500 i Total number of prefixes 3 ISP-2#sh ip bgp | sec 6500 * 57.85.11.2/31 57.85.11.3 0 0 6500 6500 6500 6500 i *> 72.51.18.0/24 68.33.42.3 0 7777 1111 6500 i * 57.85.11.3 0 0 6500 6500 6500 6500 i * 57.85.11.3 0 0 6500 6500 6500 6500 i Vidimo da se samo rute koje potiču iz AS 6500 propagiraju. ISP-2 preferira putanju preko ISP-1 za pristup našoj DMZ zoni. Provjerimo da li AS 6500 korisit putanju preko ISP-1 za pristup vanjskim rutama:OBR#sh ip bgp
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Network Next Hop Metric LocPrf Weight Path
* 5.5.5.5/32 57.85.11.2 100 0 2222 7777 ?
*> 93.48.61.2 200 0 1111 7777 ?
* 25.14.76.2/31 57.85.11.2 100 0 2222 7777 i
*> 93.48.61.2 200 0 1111 i
* 32.32.32.0/24 57.85.11.2 100 0 2222 7777 ?
*> 93.48.61.2 200 0 1111 7777 ?
* 43.43.43.0/24 57.85.11.2 100 0 2222 7777 ?
*> 93.48.61.2 200 0 1111 7777 ?
...
ISP-1 je najbolja putanja za sve naše mreže, njegov LP je 200. Na kraju testirajmo NAT:IBR#sh ip int b Interface IP-Address OK? Method Status Protocol FastEthernet0/0 72.51.18.2 YES NVRAM up up Loopback20 192.168.20.1 YES NVRAM up up IBR#ping 65.65.65.1 source lo20 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 65.65.65.1, timeout is 2 seconds: Packet sent with a source address of 192.168.20.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 12/15/20 ms OBR#sh ip nat trans Pro Inside global Inside local Outside local Outside global icmp 93.48.61.3:12 192.168.20.1:12 65.65.65.1:12 65.65.65.1:12 NAT također radi! Možemo uspješno pingati uređaje na internetu.
Set as favorite
Bookmark
Email This
Hits: 11976 Komentari (0)Napišite komentar |
| Ažurirano Srijeda, 02 Juni 2010 14:05 |
