BGP — это динамический протокол маршрутизации, который устанавливает соседние соединения с другими шлюзами или коммутаторами уровня 3 и распространяет информацию о маршрутах внутри одной автономной системы (внутренний BGP) или между разными автономными системами (внешний BGP). В сценарии с мультихомингом BGP позволяет организовать соседство с провайдером, обеспечивая отказоустойчивость и балансировку нагрузки для входящего и исходящего интернет-трафика.

Требования

Необходимо наличие одного из следующих коммутаторов или шлюзов:

  • EFG, UDM-Pro-Max, UDM-SE, UDM-Pro или UDW с UniFi OS версии 4.1.13 или новее
  • UXG-Enterprise с прошивкой версии 4.1.8 или новее
  • ECS-Aggregation

Как использовать BGP?

BGP — это многофункциональный протокол маршрутизации, который может применяться в различных сценариях. Примеры:

  • Настройка соседей с другими шлюзами или L3-коммутаторами в одной автономной системе и обмен маршрутами внутри неё.
  • Обмен маршрутами через виртуальная частная сеть и их перераспределение в BGP.
  • Организация соседства с провайдером в однохоминг-сценарии и обмен маршрутами.
  • Организация соседства с несколькими провайдерами в мультихоминг-сценарии, обмен маршрутами и применение инженерии трафика для управления входящим и исходящим трафиком.

Настройки BGP

BGP включается путём загрузки конфигурационного текстового файла в формате FRR BGP. Файл необходимо создать вручную, и набор команд будет отличаться в зависимости от конкретной конфигурации. 

Примечание: Дополнительные строки конфигурации, такие как Prefix Lists или Route Maps, должны располагаться в конце файла после выхода из секции router bgp.

Пример — соседство BGP с провайдером

Ниже приведён пример настройки соседа BGP для провайдера, чтобы анонсировать вашу локальную публичную сеть «вверх» с помощью BGP. Это позволяет сделать ваш префикс глобально маршрутизируемым и гарантирует, что входящий трафик попадёт в вашу сеть через выбранного провайдера.

  1. Инициализация BGP и назначение локального номера автономной системы (AS): router bgp <local-as-number>
  2. Задание идентификатора маршрутизатора, который выступает уникальным идентификатором экземпляра BGP: bgp router-id <id>
  3. Анонс вашей локальной сети (203.0.113.0/24) провайдеру, чтобы она была глобально маршрутизируема: network <local-network-ip> mask <subnet-mask>
  4. Установка BGP-сессии с провайдером с указанием его номера AS: neighbor <isp-ip> remote-as <isp-as-number>
  5. Необязательно: настройка аутентификации по паролю для защиты BGP-сессии (пароль должен совпадать с тем, что использует провайдер): neighbor <isp-ip> password <password>
  6. Необязательно: добавление локального описания соседа для удобства идентификации: neighbor <isp-ip> description <text>
  7. Необязательно: привязка Route Map для приёма определённых префиксов: neighbor <isp-ip> route-map <route-map-name> in
  8. Необязательно: привязка Route Map для анонсирования определённых префиксов: neighbor <isp-ip> route-map <route-map-name> out
  9. Включение мягкой реконфигурации для хранения копии полученных маршрутов. Это позволяет применять изменения политик маршрутизации без перезапуска сессии: neighbor <isp-ip> soft-reconfiguration inbound
  10. Если в шагах 7 и 8 использовались Route Maps, выйдите из секции BGP и добавьте их конфигурацию внизу файла:
    1. Создайте Route Map: route-map <route-map_name> permit <id>
    2. Сопоставьте Prefix List в Route Map: match ip address prefix-list <name>
    3. Создайте Prefix List, который используется в Route Map: ip prefix-list <name> ...
router bgp 65000
bgp router-id 198.51.100.1
!
network 203.0.113.0 mask 255.255.255.0
!
neighbor 198.51.100.2 remote-as 65001
neighbor 198.51.100.2 password securesecret1
neighbor 198.51.100.2 description ISP
!
address-family ipv4
neighbor 198.51.100.2 activate
neighbor 198.51.100.2 soft-reconfiguration inbound
neighbor 198.51.100.2 route-map ACCEPT_ROUTES in
neighbor 198.51.100.2 route-map ADVERTISED_ROUTES out
exit-address-family
!
exit
!
route-map ACCEPT_ROUTES permit 10
match ip address prefix-list ACCEPT_ALL
exit
!
route-map ADVERTISED_ROUTES permit 10
match ip address prefix-list ADVERTISE_SPECIFIC
exit
!
ip prefix-list ACCEPT_ALL seq 5 permit any
!
ip prefix-list ADVERTISE_SPECIFIC seq 5 permit 203.0.113.0/24

Примечание: В этом примере для работы BGP с провайдером также необходимо открыть TCP-порт 179 в брандмауэре, создав политику «External to Gateway», разрешающую сервис BGP.

Пример — соседство BGP с AWS через IPsec Site-to-Site виртуальная частная сеть

Следующий пример настраивает соседа BGP с AWS через пару IPsec виртуальная частная сеть-туннелей для динамического обмена маршрутами между вашей локальной сетью и AWS. Это полезно для гибридных облачных сценариев, когда необходимо анонсировать собственные префиксы в AWS без ручного управления статическими маршрутами.

  1. Инициализация BGP и назначение локального номера автономной системы (AS): router bgp <local-as-number>
  2. Задание идентификатора маршрутизатора: bgp router-id <id>
  3. Анонс вашей локальной сети (203.0.113.0/24) в AWS, чтобы серверы в облаке могли достучаться до локальной сети: network <network-ip> mask <subnet-mask>
  4. Установка BGP-сессии с AWS через первый IPsec-туннель: neighbor <remote-tunnel-ip-1> remote-as <aws-as-number>
  5. Установка BGP-сессии через второй IPsec-туннель с тем же номером AS: neighbor <remote-tunnel-ip-2> remote-as <aws-as-number>
  6. Необязательно: описание соседа: neighbor <ip> description <text>
  7. Необязательно: Route Map для приёма префиксов: neighbor <ip> route-map <route-map-name> in
  8. Необязательно: Route Map для анонсирования префиксов: neighbor <ip> route-map <route-map-name> out
  9. Включение мягкой реконфигурации для первого туннеля: neighbor <remote-tunnel-ip-1> soft-reconfiguration inbound
  10. Включение мягкой реконфигурации для второго туннеля: neighbor <remote-tunnel-ip-2> soft-reconfiguration inbound
  11. Если использовались Route Maps (шаги 7–8), их конфигурация добавляется внизу файла.

Примечание: В данном примере IP-адреса туннелей на UniFi Gateway настроены как 169.254.100.1 и 169.254.101.1, а AWS использует 169.254.100.2 и 169.254.101.2.

router bgp 65000
 bgp router-id 198.51.100.1
!
network 203.0.113.0 mask 255.255.255.0
!
neighbor 169.254.100.2 remote-as 65001
neighbor 169.254.100.2 description Tunnel1
!
neighbor 169.254.101.2 remote-as 65001
neighbor 169.254.101.2 description Tunnel2
!
address-family ipv4
neighbor 169.254.100.2 activate
neighbor 169.254.100.2 soft-reconfiguration inbound
neighbor 169.254.100.2 route-map ACCEPT_ROUTES in
neighbor 169.254.100.2 route-map ADVERTISED_ROUTES out
neighbor 169.254.101.2 activate
neighbor 169.254.101.2 soft-reconfiguration inbound
neighbor 169.254.101.2 route-map ACCEPT_ROUTES in
neighbor 169.254.101.2 route-map ADVERTISED_ROUTES out
exit-address-family
!
exit
!
route-map ACCEPT_ROUTES permit 10
match ip address prefix-list ACCEPT_ALL
exit
!
route-map ADVERTISED_ROUTES permit 10
match ip address prefix-list ADVERTISE_SPECIFIC
exit
!
ip prefix-list ACCEPT_ALL seq 5 permit any
!
ip prefix-list ADVERTISE_SPECIFIC seq 5 permit 203.0.113.0/24