Beschreibung:
In diesem Artikel wird beschrieben, wie BGP zwischen zwei LANCOM R&S®Unified Firewalls eingerichtet werden kann.
Unterstützung von "Next-Hop" BGP:
"Next-Hop" BGP wird ab LCOS FX 10.12 unterstützt. In LCOS FX 10.9 bis einschließlich 10.11 können Routen also nur an den direkten Nachbarn übermittelt werden (Transfer-Netzwerk erforderlich).
Voraussetzungen:
- LCOS FX ab Version 10.9 (download aktuelle Version)
- Bereits eingerichtete und funktionsfähige Netzwerke
- Web-Browser zur Konfiguration der Unified Firewalls
Es werden folgende Browser unterstützt:- Google Chrome
- Chromium
- Mozilla Firefox
Vorgehensweise:
1. Konfiguration von BGP auf den Unified Firewalls:
1.1 Konfiguration von BGP auf der Firewall-1:
1.1.1 Verbinden Sie sich mit der Firewall-1 und wechseln in das Menü Netzwerk → Routing → BGP.
1.1.2 Aktivieren Sie BGP über den Schieberegler, passen die folgenden Parameter an und klicken auf Speichern:
- AS-Nummer: Tragen Sie die AS-Nummer für die lokale Unified Firewall ein (in diesem Beispiel die 64512).
- Nachbarn:
- Name: Tragen Sie den Namen des BGP-Neighbors ein (in diesem Beispiel Firewall-2).
- Adresse: Tragen Sie die IP-Adresse des BGP-Neighbors ein (in diesem Beispiel die 192.168.80.36).
- AS-Nummer: Tragen Sie die AS-Nummer des BGP-Neighbors ein (in diesem Beispiel die 64513).
- Passwort: Tragen Sie ein Passwort ein, welches für die Authentifizierung der BGP-Neighbors untereinander verwendet wird (in diesem Beispiel Passwort). Dieses muss mit dem in Schritt 1.2.2 gewählten Passwort übereinstimmen.
- Multihop-Peers: Diese Einstellung regelt die Anzahl der Zwischen-Stationen (Hops), über welche eine Route gelernt werden kann (Werte von 0 bis 255). In diesem Beispiel wird der Wert auf 0 belassen. Dadurch können Routen nur von benachbarten Stationen gelernt werden.
- Verbundene Routen weiter verteilen: Aktivieren Sie die Option, damit die lokal konfigurierten Routen an den BGP-Neighbor gesendet werden.
Für die AS-Nummer dürfen Werte zwischen 1 und 4294967295 vergeben werden. LANCOM Systems empfiehlt jedoch lediglich Werte aus den privaten Bereichenzu verwenden.
16-Bit: 64512 bis 65534
32-Bit: 4200000000 bis 4294967294
Anstatt oder zusätzlich zur Option Verbundene Routen weiter verteilen kann die Option Statische Routen weiter verteilen aktiviert werden. Tragen Sie dazu unter Routen die statischen Routing-Einträge in CIDR-Schreibweise (Classless Inter Domain Routing) ein und fügen diese über das "Plus-Zeichen" hinzu.
Stimmen die empfangenen mit den lokal konfigurierten Netzwerken überein, werden die Routen für die lokalen Netzwerke beibehalten.
Optional können Sie in dem Feld Ziel-Routing-Tabelle eine eigene Routing-Tabelle mit selbst erstellten Routing-Regeln referenzieren (Standard-Wert ist 254).
1.2 Konfiguration von BGP auf der Firewall-2:
1.2.1 Verbinden Sie sich mit der Firewall-2 und wechseln in das Menü Netzwerk → Routing → BGP.
1.2.2 Aktivieren Sie BGP über den Schieberegler, passen die folgenden Parameter an und klicken auf Speichern:
- AS-Nummer: Tragen Sie die AS-Nummer für die lokale Unified Firewall ein (in diesem Beispiel die 64513).
- Nachbarn:
- Name: Tragen Sie den Namen des BGP-Neighbors ein (in diesem Beispiel Firewall-1).
- Adresse: Tragen Sie die IP-Adresse des BGP-Neighbors ein (in diesem Beispiel die 192.168.80.37).
- AS-Nummer: Tragen Sie die AS-Nummer des BGP-Neighbors ein (in diesem Beispiel die 64512).
- Passwort: Tragen Sie ein Passwort ein, welches für die Authentifizierung der BGP-Neighbors untereinander verwendet wird (in diesem Beispiel Passwort). Dieses muss mit dem in Schritt 1.1.2 gewählten Passwort übereinstimmen.
- Multihop-Peers: Diese Einstellung regelt die Anzahl der Zwischen-Stationen (Hops), über welche eine Route gelernt werden kann (Werte von 0 bis 255). In diesem Beispiel wird der Wert auf 0 belassen. Dadurch können Routen nur von benachbarten Stationen gelernt werden.
- Verbundene Routen weiter verteilen: Aktivieren Sie die Option, damit die lokal konfigurierten Routen an den BGP-Neighbor gesendet werden.
Für die AS-Nummer dürfen Werte zwischen 1 und 4294967295 vergeben werden. LANCOM Systems empfiehlt jedoch ausschließlich Werte aus den privaten Bereichenzu verwenden.
16-Bit: 64512 bis 65534
32-Bit: 4200000000 bis 4294967294
Anstatt oder zusätzlich zur Option Verbundene Routen weiter verteilen kann die Option Statische Routen weiter verteilen aktiviert werden. Tragen Sie dazu unter Routen die statischen Routing-Einträge in CIDR-Schreibweise (Classless Inter Domain Routing) ein und fügen diese über das "Plus-Zeichen" hinzu.
Stimmen die empfangenen mit den lokal konfigurierten Netzwerken überein, werden die Routen für die lokalen Netzwerke beibehalten.
Optional können Sie in dem Feld Ziel-Routing-Tabelle eine eigene Routing-Tabelle mit selbst erstellten Routing-Regeln referenzieren (Standard-Wert ist 254).
2. Auslesen des BGP-Status auf den Unified Firewalls:
2.1 Wechseln Sie auf den Unified Firewalls jeweils in das Menü Monitoring & Statistiken → BGP-Status.
2.2 In dem Menü BGP-Status werden neben Informationen zum BGP-Neighbor (u.A. IP-Adresse und Remote-AS) auch die Empfangenen und Gesendeten Routen angezeigt.
- BGP-Status auf der Firewall-1:
- BGP-Status auf der Firewall-2: