Fortinet - FortiGate als Dual Homed BGP Peer
Fortinet
Het doel was om 2 BGP-peers (AS3356 Lumen en AS8422 - NetCologne) als BGP-buren te verbinden en onze AS212033 aan te kondigen met de IPv4- en IPv6-adressen.
Aangezien de configuratie via de grafische gebruikersinterface niet alle nodige opties biedt, worden hier de configuratieparameters opgesomd die via de CLI worden gemaakt.
Configuratie van een eigen autonoom systeem
Eerst moeten we de FortiGate vertellen wat ons eigen AS-nummer is en een router ID toewijzen. Het Autonoom Systeem wordt hier toegewezen door RIPE NCC.Hiervoor configureren we het volgende via de CLI
config router bgp
instellen als 212033
set router-id X.X.X.X - vervangen door uw eigen router-ID - vrij toewijsbaar
einde
De eigen netwerken binden aan de FortiGate unit
Om onze publieke adressen überhaupt te kunnen aankondigen, moeten ze beschikbaar zijn in de routeringstabel van de FortiGate unit. Aangezien we subnetting gebruiken om dit intern te verkleinen, hebben we besloten om met blackhole routes te werken.
config router static
bewerken 1
set dst 193.3.45.0 255.255.255.0
set blackhole inschakelen
volgende
einde
config router static6
bewerken 1
set dst 2a10:5dc0::/32
set blackhole enable
volgende
einde
Voorbereiden van de zogenaamde prefixlijsten en routemaps
We moeten FortiGate vertellen welke netwerken we willen aankondigen en welke routes we willen ontvangen. Aangezien we hier geen Transit AS willen worden, moeten we maatregelen nemen om dit te voorkomen.
In onze eerste stappen hebben we gemerkt dat het ontvangen van de volledige BGP-routes via de providers onze FortiGate snel op de knieën krijgt. Aangezien er bij 2 providers 4 volledige routes (2x IPv4 en 2x IPv6) in het RAM moeten, bereiken we al snel onze limieten.
Daarom hebben we besloten om alleen de standaardroute van de service providers te accepteren.
De basis hiervoor zijn de prefixlijsten, die we vervolgens kunnen gebruiken in router maps.
Ook deze zijn gescheiden in IPv4 en IPv6.
config router prefix-list
bewerk "accept-dflt-only
config regel
bewerken 1
set prefix 0.0.0.0 0.0.0.0
unset ge
unset le
volgende
einde
volgende
bewerk "own-nets-only-out
configureerregel
bewerken 1
set prefix 193.3.45.0 255.255.255.0
unset ge
unset le
volgende
einde
volgende
bewerk "1
volgende
einde
config router prefix-list6
bewerken "own-nets-v6-only-out
config regel
bewerken 1
set prefix6 2a10:5dc0::/32
unset ge
ongedaan maken le
volgende
einde
volgende
bewerk "accept-dflt-only
configureer regel
bewerken 1
set prefix6 ::/0
unset ge
le verwijderen
volgende
einde
volgende
einde
config router route-map
bewerk "dualhomes
config regel
bewerken 1
set set-local-preference 100
volgende
einde
volgende
bewerk "standaard alleen
configuratieregel
bewerken 1
set match-ip-address "accept-dflt-only
volgende
bewerking 2
set match-ip6-address "accept-dflt-only
volgende
einde
volgende
einde
De BGP-buren configureren
Vervolgens moeten we FortiGate vertellen wat onze BGP peers zijn. In ons geval hebben we 4 BGP peers. 2 IPv4 peers en 2 IPv6 peers. Hier komen de eerste "speciale" configuratieparameters om de hoek kijken. Maar het een na het ander. Bijgaand het configuratie fragment:
config router bgp
config buur
bewerk "X.X.X.X"
set activate6 disable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out
set prefix-list-out6 "own-nets-v6-only-out
stel remote-as 3356 in
set route-map-in "default-only
set route-map-out "dualhomes
volgende
bewerken "2001:1900:X
set activate disable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out
set prefix-list-out6 "own-nets-v6-only-out
ingestelde remote-as 3356
set route-map-in6 "default-only
set route-map-out6 "dualhomes
volgende
edit "Y.Y.Y"
set activate6 disable
set ebgp-enforce-multihop enable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out
set prefix-list-out6 "own-nets-v6-only-out
ingestelde remote-as 8422
set route-map-in "default-only
set route-map-out "dualhomes
ingesteld wachtwoord Wachtwoord
volgende
bewerken "2001:4dd0:X"
set activate disable
set ebgp-enforce-multihop enable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out
set prefix-list-out6 "own-nets-v6-only-out
ingestelde remote-as 8422
set route-map-in6 "default-only
set route-map-out6 "dualhomes
ingesteld wachtwoord Wachtwoord
volgende
einde
set activate6 disable - verbiedt deze BGP peer om IpV6 te gebruiken
set activate disable - verbiedt dat deze BGP peer IpV4 gebruikt.
set soft-reconfiguration enable - Laat granulair opnieuw leren van routes toe zonder telkens de BGP-routetabel te legen.
set prefix-list-out "own-nets-only-out" - welke IPv4-netwerken moeten worden aangekondigd?
set prefix-list-out6 "own-nets-v6-only-out" - welke IPv6-netwerken moeten worden aangekondigd?
set remote-as XXXX - AS nummer van de buurman
set ebgp-enforce-multihop enable - Standaard moet de BGP peer direct bereikbaar zijn. In speciale gevallen kan de BGP-router echter meerdere hops verwijderd zijn.
set password Wachtwoord - Hiermee kan een MD5-coderingswachtwoord worden opgegeven.
set route-map-in "Default-only" - Welke routes willen we ontvangen?
set route-map-out "dualhomes" - Welke routes willen we uitsturen?
Meerdere BGP standaard gateways toestaan
Standaard wordt slechts één standaardroute geaccepteerd van een BGP peer. We omzeilen dit met het volgende commando:
config router bgp
set ebgp-multipath enable
stel ibgp-multipath in
einde
Nu zou de FortiGate zijn eigen netwerken moeten beginnen aan te kondigen en zou de BGP-routering moeten werken.
Marcel Zimmer ist der Technische Geschäftsführer der EnBITCon. Während seiner Bundeswehrzeit konnte der gelernte IT-Entwickler zahlreiche Projekterfahrung gewinnen. Sein Interesse an der IT-Sicherheit wurde maßgeblich durch seinen Dienst in der Führungsunterstützung geweckt. Auch nach seiner Dienstzeit ist er aktiver Reservist bei der Bundeswehr.
Seine erste Firewall war eine Sophos UTM 120, welche er für ein Kundenprojekt einrichten musste. Seitdem ist das Interesse für IT-Sicherheit stetig gewachsen. Im Laufe der Zeit sind noch diverse Security- und Infrastrukturthemen in seinen Fokus gerückt. Zu seinen interessantesten Projekten gehörte zum Beispiel eine WLAN-Ausleuchtung in einem EX-Schutz Bereich, sowie eine Multi-Standort-WLAN-Lösung für ein großes Logistikunternehmen.
Zugehörige Produkte