Bölüm 1: Ön Hazırlık ve Gereksinimler
Konfigürasyona başlamadan önce, IXP (Internet Exchange Point) operatörünüzden veya bağlantı kuracağınız karşı taraftan aşağıdaki bilgileri temin etmeniz gerekir. Bu makaledeki örneklerde, anlatımın net olması için aşağıdaki varsayılan değerleri kullanacağız.
Bir BGP oturumunu başarıyla ayağa kaldırmak için şu parametreleri not etmeliyiz:
1. Local ASN (Yerel Otonom Sistem Numarası): Sizin veya kurumunuzun sahip olduğu AS numarası.
2. Remote ASN (Karşı Taraf AS Numarası): Genellikle IXP Route Server’ın veya doğrudan peer olacağınız kurumun AS numarası.
3. Peering IP Blokları: IXP subneti içerisinden size tahsis edilen IPv4 ve IPv6 adresleri.
4. VLAN ID: Eğer IXP bağlantısı size bir switch portu üzerinden trunk (tagli) olarak geliyorsa ilgili VLAN numarası.
5. Fiziksel Interface: VyOS üzerinde bağlantının sonlandırılacağı fiziksel port (Örn: eth1, eth2).
6. BGP MD5 Password (Opsiyonel): Güvenlik amacıyla BGP oturumu için belirlenmiş ortak anahtar.
Örnek Senaryo Verileri
Aşağıdaki adımlarda uygulayacağımız komutlar, bu örnek senaryoya dayanmaktadır. Lütfen bu değerleri kendi ağ bilgilerinle değiştirmeyi unutma.
Bölüm 2: Arayüz (Interface) Yapılandırması
BGP konuşmaya başlamadan önce, fiziksel ve mantıksal bağlantımızın sağlam olduğundan emin olmalıyız. Tipik bir IXP ortamında, bağlantı genellikle belirli bir VLAN (802.1Q tagging) üzerinden teslim edilir.
VyOS mimarisinde VLAN’lar, fiziksel ethernet portu altında “Sanal Arayüzler” (Virtual Interfaces – vif) olarak yapılandırılır. Senaryomuza dayanarak (Interface eth1, VLAN 100), IP adreslerini atayacak ve trafiği buna göre etiketleyeceğiz.
Yapılandırma Komutları:
# 1. Yönetim kolaylığı için arayüze bir açıklama ekleyelim
set interfaces ethernet eth0 vif 100 description 'IXP_Peering_VLAN'
# 2. IXP tarafından sağlanan IPv4 adresini atayalım
set interfaces ethernet eth0 vif 100 address '192.0.2.10/24'
# 3. IPv6 adresini atayalım (İlk günden IPv6 yapılandırması şiddetle önerilir)
set interfaces ethernet eth0 vif 100 address '2001:db8::10/64'
# 4. Değişiklikleri çalışan yapılandırmaya (running config) uygulayalım
commit
# 5. Yapılandırmayı kalıcı hale getirelim (startup config'e kaydedelim)
save
Bölüm 3: Modüler Yapı – Peer-Group ve Filtreleme ile BGP Kurulumu
Bir IXP ortamında BGP yapılandırırken “Best Practice” (En İyi Uygulama), ayarları doğrudan komşuya (Neighbor) yazmak yerine, bir Peer-Group oluşturup ortak ayarları bu grupta toplamaktır. Bu yöntem, ileride yeni bir Route Server eklendiğinde veya politika değişikliği gerektiğinde size büyük esneklik sağlar.
Aşağıda; önce güvenlik filtrelerimizi (Prefix-List) oluşturacak, ardından bunları bir Peer-Group yapısı içinde Route Server ile konuşan BGP oturumumuza uygulayacağız.
Adım 1: Prefix-List ile “Beyaz Liste” Oluşturma
İlk kural: Asla filtresiz BGP kurmayın. Sadece bize ait olan IP bloklarını tanımlayarak işe başlıyoruz. (Senaryo: IPv4 bloğumuz 203.0.113.0/24, IPv6 bloğumuz 2001:db8:cafe::/48)
# --- IPv4 Prefix Listesi ---
set policy prefix-list OWN-PREFIXES-V4 rule 10 action 'permit'
set policy prefix-list OWN-PREFIXES-V4 rule 10 prefix '203.0.113.0/24'
# --- IPv6 Prefix Listesi ---
set policy prefix-list6 OWN-PREFIXES-V6 rule 10 action 'permit'
set policy prefix-list6 OWN-PREFIXES-V6 rule 10 prefix '2001:db8:cafe::/48'Adım 2: Route-Map ile Politikayı Belirleme
Prefix-List’leri BGP’nin anlayacağı bir politika haritasına dönüştürüyoruz.
# --- IPv4 Export Haritası ---
# Kural: Listemdeki IP ise izin ver, değilse engelle.
set policy route-map IXP-EXPORT-V4 rule 10 action 'permit'
set policy route-map IXP-EXPORT-V4 rule 10 match ip address prefix-list 'OWN-PREFIXES-V4'
set policy route-map IXP-EXPORT-V4 rule 999 action 'deny'
# --- IPv6 Export Haritası ---
set policy route-map IXP-EXPORT-V6 rule 10 action 'permit'
set policy route-map IXP-EXPORT-V6 rule 10 match ipv6 address prefix-list 'OWN-PREFIXES-V6'
set policy route-map IXP-EXPORT-V6 rule 999 action 'deny'Adım 3: Peer-Group Tanımlama ve Ayarları Uygulama
İşte sihrin gerçekleştiği yer. IXP-PEERS adında bir grup oluşturuyoruz. Tüm AS numarası, açıklama ve Route-Map ayarlarını komşuya değil, gruba atıyoruz.
# Initialise the BGP Process
set protocols bgp system-as 65001
# --- Creating the Peer-Group ---
# Let us name the group 'IXP-PEERS'
set protocols bgp peer-group IXP-PEERS
set protocols bgp peer-group IXP-PEERS remote-as '65000'
set protocols bgp peer-group IXP-PEERS description 'IXP Route Servers'
set protocols bgp peer-group IXP-PEERS ebgp-multihop 3
# --- Group IPv4 Settings ---
# Apply soft-reconfiguration and the Export filter to the group
set protocols bgp peer-group IXP-PEERS address-family ipv4-unicast route-map export 'IXP-EXPORT-V4'
# --- Group IPv6 Settings ---
# Activate the IPv6 family and attach the relevant filter
set protocols bgp peer-group IXP-PEERS address-family ipv6-unicast route-map export 'IXP-EXPORT-V6'Adım 4: Komşuları Gruba Dahil Etme
Tüm zor ayarları grubu tanımlarken yaptık. Şimdi tek yapmamız gereken, IXP Route Server IP adreslerini bu gruba üye yapmak. Yarın ikinci bir Route Server eklemek isterseniz, sadece tek bir satır komut yetecek!
# --- Adding the IPv4 Neighbour ---
set protocols bgp neighbor 192.0.2.1 peer-group 'IXP-PEERS'
# --- Adding the IPv6 Neighbour ---
set protocols bgp neighbor 2001:db8::1 peer-group 'IXP-PEERS'
# Commit and Save
commit
saveBölüm 4: Kontrol ve Doğrulama
Yapılandırmayı tamamladıktan sonra her şeyin yolunda gittiğini görmek için şu komutları kullanabilirsiniz:
- BGP Durumunu Kontrol Etme: show ip bgp summary (State kısmında bir sayı görüyorsanız bağlantı kurulmuş demektir.)
- Dışarıya Ne Anons Ediyoruz? (Kritik Kontrol): show ip bgp neighbors 192.0.2.1 advertised-routes (Bu komutun çıktısında SADECE kendi prefix’inizi görmelisiniz. Başka IP’ler görüyorsanız filtreleriniz çalışmıyor demektir.)
- İçeriye Ne Alıyoruz? show ip bgp neighbors 192.0.2.1 routes (IXP’den gelen rotaları burada görebilirsiniz.)
KAYNAK: Hüseyin Terziakın
Bir yanıt yazın