Fortinet - FortiGate en tant que BGP Peer à domicile double
Fortinet
L'objectif était ici que 2 pairs BGP (AS3356 Lumen et AS8422 - NetCologne) soient connectés en tant que voisins BGP et que notre AS212033 avec les adresses IPv4 et IPv6 announced.
Comme la configuration via l'interface graphique n'offre pas toutes les options nécessaires, les paramètres de configuration effectués via la CLI sont présentés ici.
Configurer son propre système autonome
Tout d'abord, nous devons indiquer à FortiGate quel est notre propre numéro AS et lui attribuer un Router ID. Le système autonome est ici attribué par RIPE NCC.Pour cela, nous configurons ce qui suit via la CLI
config router bgp
set as 212033
set router-id X.X.X.X - Remplacer par votre propre ID de routeur - Attribution libre
end
Connexion de nos propres réseaux à la FortiGate
Pour que nos adresses publiques puissent être announcées, elles doivent être présentes dans la table de routage de la FortiGate. Comme nous les réduisons en interne avec le subnetting, nous avons décidé de travailler avec des routes blackhole.
config router static
edit 1
set dst 193.3.45.0 255.255.255.0
set blackhole enable
next
end
config routeur static6
edit 1
set dst 2a10:5dc0::/32
set blackhole enable
next
end
Préparation des listes de préfixes et des cartes d'itinéraires
Nous devons indiquer à FortiGate quels réseaux nous voulons annoncer et quelles routes nous voulons recevoir. Comme nous ne voulons pas devenir un AS de transit, nous devons prendre des mesures pour empêcher cela.
Lors de nos premières étapes, nous avons constaté que la réception des Full BGP Routes par les fournisseurs d'accès mettait rapidement notre FortiGate à genoux. Etant donné qu'avec 2 fournisseurs, 4 Full Routes (2x IPv4 et 2x IPv6) doivent être placées dans la RAM, nous atteignons ici rapidement nos limites.
C'est pourquoi nous avons décidé de n'accepter que la route par défaut des fournisseurs d'accès.
Les listes de préfixes, que nous pouvons ensuite utiliser dans les router-maps, en constituent la base.
Celles-ci sont également séparées en IPv4 et IPv6.
config router prefix-list
éditer "accept-dflt-only".
règle de config
edit 1
set prefix 0.0.0.0 0.0.0.0
unset ge
unset le
next
end
next
edit "own-nets-only-out" (éditer le réseau personnel uniquement)
règle de config
edit 1
set prefix 193.3.45.0 255.255.255.0
unset ge
unset le
next
end
next
éditer "1
next
end
config router prefix-list6
edit "own-nets-v6-only-out" (modifier la valeur "own-nets-v6-only-out")
règle de config
edit 1
set prefix6 2a10:5dc0::/32
unset ge
unset le
next
end
next
éditer "accept-dflt-only".
règle de config
edit 1
set prefix6 ::/0
unset ge
unset le
next
end
next
end
config routeur route-map
éditer "dualhomes"
règle de config
edit 1
set set-local-preference 100
next
end
next
éditer "Default-only" (uniquement par défaut)
règle de config
edit 1
set match-ip-address "accept-dflt-only" (adresse IP de correspondance "accept-dflt-only")
next
edit 2
set match-ip6-address "accept-dflt-only" (adresse de correspondance "accept-dflt-only")
next
end
next
end
Configurer les voisins BGP
Ensuite, nous devons indiquer à FortiGate quels sont nos BGP Peers. Dans notre cas, nous avons 4 pairs BGP. 2 pairs IPv4 et 2 pairs IPv6. C'est là que les premiers paramètres de configuration "spéciaux" entrent en jeu. Mais chaque chose en son temps. Ci-joint l'extrait de configuration :
config router bgp
config neighbor
edit "X.X.X.X"
set activate6 disable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out"
set prefix-list-out6 "own-nets-v6-only-out"
set remote-as 3356
set route-map-in "Default-only" (uniquement par défaut)
set route-map-out "dualhomes" (double foyer)
next
éditer "2001:1900:X"
set activate disable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out" (liste de préfixe "own-nets-only-out")
set prefix-list-out6 "own-nets-v6-only-out"
set remote-as 3356
set route-map-in6 "Default-only" (uniquement par défaut)
set route-map-out6 "dualhomes" (double maison)
next
edit "Y.Y.Y.Y"
set activate6 disable
set ebgp-enforce-multihop enable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out" (liste de préfixe-out)
set prefix-list-out6 "own-nets-v6-only-out"
set remote-as 8422
set route-map-in "Default-only" (uniquement par défaut)
set route-map-out "dualhomes" (double domicile)
set mot de passe
next
edit "2001:4dd0:X"
set activate disable
set ebgp-enforce-multihop enable
set soft-reconfiguration enable
set prefix-list-out "own-nets-only-out" (liste de préfixe-out)
set prefix-list-out6 "own-nets-v6-only-out"
set remote-as 8422
set route-map-in6 "Default-only" (uniquement par défaut)
set route-map-out6 "dualhomes" (double maison)
set mot de passe
next
end
set activate6 disable - interdit à ce pair BGP d'utiliser IpV6
set activate disable - interdit à ce pair BGP d'utiliser IpV4
set soft-reconfiguration enable - Permet ici le réapprentissage granulaire des routes sans vider la table de routage BGP à chaque fois.
set prefix-list-out "own-nets-only-out" - quels réseaux IPv4 doivent être announcés ?
set prefix-list-out6 "own-nets-v6-only-out" - quels réseaux IPv6 doivent être annoncés ?
set remote-as XXXX - numéro AS du voisin
set ebgp-enforce-multihop enable - Par défaut, le pair BGP doit être directement accessible. Cependant, dans des cas particuliers, il se peut que le routeur BGP soit éloigné de plusieurs sauts.
set password password - Permet d'indiquer un mot de passe de cryptage MD5.
set route-map-in "Default-only" - Quelles routes voulons-nous recevoir ?
set route-map-out "dualhomes" - Quelles sont les routes que nous envoyons vers l'extérieur ?
Autoriser plusieurs passerelles BGP par défaut
Par défaut, une seule route par défaut est acceptée par un pair BGP. Nous contournons cela avec la commande suivante :
config router bgp
set ebgp-multipath enable
set ibgp-multipath enable
end
Maintenant, le FortiGate devrait commencer à annoncer ses propres réseaux et le routage BGP devrait être fonctionnel.
Marcel Zimmer is the Technical Managing Director of EnBITCon. During his time in the German Armed Forces, the trained IT developer was able to gain numerous project experiences. His interest in IT security was significantly awakened by his service in command support. Even after his service, he is an active reservist in the Bundeswehr.
His first firewall was a Sophos UTM 120, which he had to set up for a customer project. Since then, his interest in IT security has grown steadily. In the course of time, various security and infrastructure topics have come into his focus. His most interesting projects included, for example, WLAN coverage in an explosion-proof area, as well as a multi-site WLAN solution for a large
Zugehörige Produkte