Konfigurácia BGP pomocou Quagga na Vultr (CentOS 7)

Funkcia Bring Your IP Space od Vultr umožňuje bezprecedentnú slobodu pri prideľovaní vlastných IP zdrojov k serverom v cloude Vultr. Vo všeobecnosti odporúčame použiť BIRD na oznámenie vášho IP priestoru. Existuje niekoľko solídnych alternatív k BIRD v prípade, že nemôžete niečo dosiahnuť s BIRD (hoci je to veľmi zriedkavé) alebo jednoducho chcete použiť iný softvér.

Vzhľadom na administratívnu a technickú réžiu dôrazne neodporúčame používať BIRD a Quagga (alebo akýkoľvek iný softvér v tomto prípade) v rovnakej infraštruktúre a/alebo sieti. Majte na pamäti, že nasledujúca konfigurácia vám poskytne SPOF, pretože inštancia oznamujúca vašu prekrývajúcu sa podsieť nie je nadbytočná. Mali by ste si však uvedomiť, že Vultr má v každom stojane viacero smerovačov BGP.

Hoci táto príručka bola napísaná s ohľadom na CentOS 7 a testovaná iba na tejto verzii CentOS, s najväčšou pravdepodobnosťou bude fungovať aj na starších verziách, ako je CentOS 6. Prirodzene však dôrazne neodporúčame používať zastaraný softvér a dôrazne odporúčame aktualizáciu na novšiu, novšiu (a podporovanú) verziu, ako je CentOS 7.

Neexistuje žiadne praktické obmedzenie množstva podsietí alebo ich veľkosti, ktoré môžete oznámiť z jednej inštancie spustenej Quagga (alebo akéhokoľvek smerovača BGP v tomto prípade), hoci v akejkoľvek topológii siete by ste mali mať určitý druh šírenia rizika. To znamená, že by ste mali vytvoriť redundantné nastavenie alebo oznámiť rôzne podsiete z rôznych serverov podľa nižšie uvedeného návodu na viacerých serveroch.

Ak chcete postupovať podľa tohto návodu, budete potrebovať:

• ASN, ktoré chcete/potrebujete použiť;
• IP priestor (podsieť), ktorý chcete oznámiť;
• BGP aktivovaný vo vašom účte Vultr

BIRD alebo Quagga?

Pre začiatok môže byť výber medzi BIRD alebo Quagga veľmi ťažký. Obe sú dobre známe a ukázali sa ako veľmi stabilné a robustné pre mnohé prípady použitia, vrátane prostredí a infraštruktúr s vysokou prevádzkou, kde spoľahlivosť zohráva kľúčovú úlohu. Hlavný rozdiel medzi BIRD a Quagga je v tom, že konfigurácia BIRDu je oddelená od démona a je viac orientovaná na štruktúru podobnú kódu.

Napríklad v prípade BIRD, ak chcete dosiahnuť nastavenie núdzového prepnutia, použite nasledujúci blok v bird.confkonfiguračnom súbore:

export filter {
    bgp_path.prepend(asnumber);
    accept;
};

Ako vidíte, konfigurácia vyzerá trochu ako blok kódu, ako by sa zdalo v programovacom jazyku. S Quagga by ste pridali alebo zmenili nastavenia pomocou programu v samotnom démonovi.

Nakoniec to väčšinou závisí od osobných preferencií a neexistuje žiadny „víťaz“ ani softvér, ktorý by ste mali použiť. Vo všeobecnosti sa BIRD ľahšie nastavuje kvôli jeho ľahko naučiteľnému spôsobu konfigurácie a je široko podporovaný komunitou.

Okrem toho, v prospech Quagga, vo všeobecnosti, v bežiacom produkčnom prostredí je Quagga jednoduchšie prekonfigurovať. S BIRD budete musieť upraviť príslušné konfiguračné súbory a nechať démona znova načítať svoje nastavenia. S Quagga môžete vstúpiť do jej shellu, prekonfigurovať nastavenia bez prílišnej práce alebo zmätku. Kontinuita tu hrá veľkú rolu, no v praxi je réžia minimálna. Vo väčšine infraštruktúr nebudete musieť tieto nastavenia príliš prekonfigurovať, takže je pravdepodobne dobré posudzovať podľa iných aspektov softvéru namiesto iba tohto detailu.

Rovnako ako BIRD, aj Quagga je krížovo kompatibilná vo viacerých distribúciách. Ak by ste niekedy chceli zmeniť distribúciu (distribúcie) používané pre smerovače, teoreticky by ste mohli jednoducho prejsť cez svoje konfigurácie a nič by sa nemuselo meniť ani sa nezmení.

V tejto príručke popíšeme proces inštalácie a konfigurácie Quagga. V prípade, že chcete vyskúšať aj BIRD, skúste postupovať podľa návodu „ Konfigurácia BGP na Vultr “.

Ako už bolo spomenuté, existuje niekoľko dobrých iných alternatív, ale najväčšia časť z nich má určité nedostatky, ktoré bránia ich použitiu v produkčnom prostredí. Napríklad implementácia BGP od XORP je relatívne zastaraná, čo vo všeobecnosti nie je dobrým začiatkom pre vytvorenie úplne novej infraštruktúry (hoci jej implementácia BGP je stabilná).

V porovnaní s mnohými alternatívami má BIRD nízku pamäťovú stopu a nie je veľmi náročný na zdroje. Na druhej strane, spustenie alebo inovácia na výkonnejšiu cloudovú inštanciu Vultr trvá len niekoľko kliknutí z ovládacieho panela Vultr.

IPv4 a IPv6

Vultr podporuje oznamovanie IPv4 aj IPv6 IP priestoru. Implementácia BGP od Quagga je relatívne aktuálna, čo umožňuje oznamovať aj priestor IPv6.

Hoci je táto príručka zameraná na oznamovanie priestoru IPv4, môžete použiť implementáciu IPv6 spoločnosti Quagga a použiť pokyny tohto článku. Toto však nie je explicitne zdokumentované, preto sa obráťte na alternatívny zdroj.

Dôležitá poznámka

Aby ste mohli prežiť bez smerovača BGP, cez ktorý by ste mohli prechádzať, najlepší spôsob, ako oznámiť svoj priestor IP, je nasledujúci:

• Oznámte svoj /24 (alebo väčší) z vyhradenej inštancie Quagga;
• Oznámte jednotlivé /32 (alebo väčšie) z inštancií, ktoré by mali byť presmerované na nich

Týmto spôsobom by ste mali jednu inštanciu, ktorá by oznamovala prekrývajúcu sa podsieť pre všetky adresy IP, ktoré rozdelíte na jednotlivé /32 alebo väčšie. Pomocou tohto dizajnu môžete rýchlo oznamovať adresy IP a smerovať prevádzku do správnych inštancií.

Prirodzene, môžete voľne experimentovať s viacerými prístupmi k oznamovaniu vášho IP priestoru podľa vašich predstáv. Teoreticky je použitie neobmedzené a nepozná hranice. Upozorňujeme, že servery spoločnosti Vultr sú spravované samostatne a nemôžeme vám pomôcť so žiadnymi problémami, ktoré môžu nastať. Okrem toho nemôže byť na škodu použiť riešenie podporované Vultrom a komunitou, takže ak sa vyskytnú nejaké problémy, môžete rýchlo určiť ich hlavnú príčinu.

Krok 1: Zakázanie SELinuxu

Dôrazne odporúčame vypnúť SELinux, aby ste zabránili zastaveniu fungovania Quagga. Máme príručku na deaktiváciu SELinuxu, postupujte podľa nej a po deaktivácii SELinuxu sa vráťte k tomuto návodu: Vypnutie SELinuxu na CentOS 7 .

Krok 2: Inštalácia Quagga

Môžeme pokračovať inštaláciou Quagga pomocou yum:

yum install quagga

Ak sa zobrazí chyba, najmä v novo nasadenej inštancii, skúste:

yum update

Nakonfigurujte systemdtak, aby sa Zebra (hlavný démon) automaticky spustil pri zavádzaní:

systemctl enable zebra

Nakoniec spustite Zebru:

systemctl start zebra

Proces musíme zopakovať pre BGPd takto:

systemctl start bgpd
systemctl enable bgpd

Zebra a BGPd

Quagga pozostáva z rôznych démonov umožňujúcich smerovanie. Keďže budeme využívať BGP, budeme musieť použiť démonov Zebra a BGPd. Zebra a BGPd spolupracujú. Keď niektorý z nich prestane fungovať, vaše trasy už nebudú inzerované, čím sa stane celý váš priestor IP nedostupný.

Quagga podporuje viacero smerovacích protokolov, okrem iného OSPF a BGP. Jadrom topológie ich implementácií je Zebra. Zebra je jadrový démon, čo je vrstva starajúca sa o komunikáciu UNIXového jadra (TCP) s klientmi Quagga. Na backende Zebra predstavuje Zserv API, ktoré umožňuje týmto smerovacím protokolom komunikovať aktualizácie smerovania. Jednou z implementácií so Zserv API je BGP.

Predvolená verzia používaná Quagga pre BGP je BGPv4+, ktorá zahŕňa podporu rodiny adries pre multicast a IPv6.

Krok 3: Konfigurácia smerovača BGP

Na konfiguráciu smerovača BGP podľa vašich predstáv použijeme vtyshshell. Najprv skopírujte vzorový konfiguračný súbor BGP:

cp /usr/share/doc/quagga-*/bgpd.conf.sample /etc/quagga/bgpd.conf

Po skopírovaní súboru zadajte shell:

vtysh

V niektorých starších verziách Quagga môžete nájsť nastavenie s AS7675. Nepotrebujeme to, pretože to bude iba v konflikte s naším nastavením, takže ho musíme odstrániť, ak existuje. Skontrolujte, či táto konfigurácia existuje vo vašej inštalácii Quagga vykonaním nasledujúceho príkazu vo vnútri shellu :

show running-config

Ak to vráti reťazec s alebo vrátane "router bgp 7675", odstráňte ho vykonaním:

configure terminal
no router bgp 7675
router bgp YOURAS
no auto-summary
no synchronization

Teraz by ste mali zadať informácie o BGP, ktoré vám poskytol Vultr.

neighbor NEIGHBORIP remote-as VULTRAS
neighbor NEIGHBORIP description "Vultr"

Na vytvorenie relácie BGP budete s najväčšou pravdepodobnosťou potrebovať heslo. Zadajte ho:

neighbor NEIGHBORIP password YOURBGPPASSWORD
exit

Nakoniec, ak ste si istí, že chcete zapísať tieto zmeny (platí len vtedy, ak pracujete na produkčnom nastavení), vykonajte nasledujúce, aby sa zmeny prejavili:

write

Uistite sa, že zmeny boli úspešné vykonaním:

show ip bgp summary

Teraz by sme mali úspešne vytvoriť reláciu BGP.

Krok 4: Oznámenie vášho IP priestoru

Hoci sme vytvorili reláciu BGP, zatiaľ neoznamujeme žiadne trasy ani adresy IP, takže to nebude mať v praxi žiadny vplyv. Našťastie nastavenie priestoru IP na oznamovanie je relatívne jednoduchý proces.

V aplikácii vtyshspustite nasledujúce príkazy, aby ste to dosiahli:

configure terminal
router bgp YOURAS

Teraz ste v konfigurácii. Uistite sa, že máte po ruke priestor IP, ktorý chcete oznámiť, a zadajte ho:

network YOURSUBNET/CIDR

Napríklad platný vstup by bol:

network 185.92.220.0/23

Prirodzene, toto nebude fungovať vo vašom konkrétnom nastavení, pretože vyššie uvedený priestor IP vlastní spoločnosť Vultr. Vymeňte to a všetko by malo fungovať dobre.

Ukončite a uložte zmeny:

exit
write

Skontrolujte, či boli vaše predpony úspešne oznámené:

show ip bgp neighbors NEIGHBORIP advertised-routes

Pokúste sa ping na IP adresu z podsiete a pokúste sa vykonať traceroute mimo siete.

Riešenie problémov

Riešenie problémov s Quagga je do značnej miery mimo rámca tohto článku, ale ak máte problémy, vždy sa môžete pokúsiť zastaviť svoju inštanciu Quagga a znova skúsiť oznámiť priestor IP cez BIRD, aby ste mohli vylúčiť množstvo možných príčin.

Keď BGP nefunguje správne na Quagga rovnako ako BIRD, je možné, že váš firewall nebol správne nakonfigurovaný. Port 179 by mal byť otvorený. V systéme CentOS 7 sa pokúste dočasne vypnúť bránu firewall:

systemctl stop firewalld

Ak používate iptables, skúste:

service iptables stop

Potom skúste znova spustiť reláciu BGP. Ak visí na 'Idle', 'Connect' alebo 'Active', je možné, že port je stále zablokovaný. So stavom „Zavedený“ bola relácia BGP úspešne nastavená a zobrazujú sa inzerované trasy.

Quagga je teraz nainštalovaná na váš server a mala by fungovať. Počas prvých dní od oznámenia vlastného IP priestoru by ste mali monitorovať jeho funkčnosť, aby ste zabránili nefunkčnosti celej vašej infraštruktúry.

Týmto končíme náš návod na Quagga, ďakujeme za prečítanie. Ak sa chcete dozvedieť viac o funkcii Bring Your IP Space od Vultr, prejdite na stránku BGP .