Налаштування BGP на Vultr

Функція BGP від ​​Vultr дозволяє вам використовувати свій власний IP-простір і використовувати його в будь-якому з наших місць.

Починаємо

Щоб використовувати BGP, вам потрібно:

• Розгорнутий екземпляр сервера Vultr.
• Ваш власний IP-простор (v4 або v6). Якщо у вас є власний ASN, ви можете використовувати його, або ми можемо призначити приватний.

Якщо ви рекламуєте префікс IPv4, екземпляр сервера повинен мати адресу IPv4, автоматично призначену Vultr. Якщо ви рекламуєте префікс IPv6, екземпляр сервера повинен мати як IPv4, так і IPv6 адреси, автоматично призначені Vultr.

Для початку заповніть форму налаштування BGP . Переконайтеся, що ви підтвердили право власності на свій ASN та підмережі, щоб запобігти затримкам.

Після того, як це було налаштовано у вашому обліковому записі, ви можете продовжити налаштування BGP.

Налаштування BGP

Примітка. Якщо ви збираєтеся налаштовувати екземпляр, який був розгорнутий до встановлення BGP у вашому обліковому записі, вам потрібно буде перезавантажити його через панель керування. BGP не працюватиме на жодних існуючих екземплярах, доки їх не буде перезавантажено (перезавантаження через SSH недостатньо).

Ми рекомендуємо використовувати BIRD як демон BGP (але ви можете використовувати будь-який демон BGP, який хочете). Більшість операційних систем мають для цього пакет.

Наші приклади передбачають наступне:

• ASN: 64512
• IP-адреса екземпляра:: 203.0.113.123
• Блок IPv4: 198.51.100.0/24
• Пароль BGP: hunter2

Щоб підтвердити підключення, давайте налаштуємо сеанс BGP без оголошення IP-адрес. Створіть /etc/bird.confфайл із таким текстом. Зауважте, що в деяких системах, таких як Ubuntu 16.04, це буде /etc/bird/bird.conf.

router id 203.0.113.123;

protocol bgp vultr
{
    local as 64512;
    source address 203.0.113.123;
    import none;
    export all;
    graceful restart on;
    multihop 2;
    neighbor 169.254.169.254 as 64515;
    password "hunter2";
}

Перезапустіть bird і перевірте статус сеансу:

[root@vultr ~]# birdc show proto all vultr
BIRD 1.4.5 ready.
name     proto    table    state  since       info
vultr    BGP      master   up     14:11:36    Established
  Preference:     100
  Input filter:   REJECT
  Output filter:  (unnamed)
  Routes:         0 imported, 581634 filtered, 1 exported, 0 preferred
  Route change stats:     received   rejected   filtered    ignored   accepted
    Import updates:         581674          0     581674          0          0
    Import withdraws:            2          0        ---     581675          0
    Export updates:              1          0          0        ---          1
    Export withdraws:            0        ---        ---        ---          0
  BGP state:          Established
    Neighbor address: 169.254.169.254
    Neighbor AS:      64515
    Neighbor ID:      169.254.169.254
    Neighbor caps:    refresh restart-able AS4
    Session:          external multihop AS4
    Source address:   203.0.113.123
    Hold timer:       208/240
    Keepalive timer:  57/80

Стан BGP «Встановлено» означає, що все працює належним чином. Якщо ви не бачите статус «Встановлено», спробуйте виконати наведені нижче дії.

• Ви перезавантажувалися через панель керування, оскільки служба підтримки налаштувала BGP у вашому обліковому записі?
• Чи дозволено використовувати порт BGP (TCP 179) через брандмауер?
• Ваш пароль BGP правильний? (Це можна перевірити на вашій панелі керування, кожна підписка має вкладку BGP із переліком деталей)
• Ви використовуєте основний IP свого екземпляра? (Ви не можете використовувати нічого, крім основної IP-адреси екземпляра з BGP)

Примітки FreeBSD

Конфігурація FreeBSD за замовчуванням не працюватиме з BGP. Щоб реально використовувати BGP у FreeBSD, вам потрібно зробити кілька речей:

1) Перекомпілюйте ядро, увімкнувши ці додаткові параметри:

device crypto
options IPSEC
options TCP_SIGNATURE

2) Налаштуйте свій мережевий адаптер на статичний IP.

3) Оновіть ipsec.conf за допомогою пароля BGP:

add 203.0.113.123 169.254.169.254 tcp 0x1000 -A tcp-md5 "hunter2";
add 169.254.169.254 203.0.113.123 tcp 0x1000 -A tcp-md5 "hunter2";

Оголошення маршрутів

Після того, як у вас буде робочий сеанс BGP, наступний крок — розпочати оголошення деяких маршрутів. Щоб ваш адресний простір був видимим в Інтернеті, вам потрібно буде оголосити принаймні /24 (або /48 для IPv6).

Найпростіший спосіб розпочати роботу – додати статичний маршрут до вашої конфігурації BIRD, наприклад:

protocol static
{
    route  198.51.100.0/24 via 203.0.113.123;
}

protocol device
{
    scan time 5;
}

Блок 'protocol device' дозволяє BIRD збирати інформацію про мережеві адаптери, підключені до вашого екземпляра. Без нього ваші статичні маршрути не відображатимуться.

Перезавантажте BIRD, а потім переконайтеся, що ваш маршрут працює правильно:

[root@vultr ~]# birdc show route
BIRD 1.4.5 ready.
198.51.100.0/24    via 203.0.113.123 on eth0 [static1 14:22:12] * (200)

На цьому етапі трафік вашої підмережі має надходити до вашого екземпляра. Ви не зможете перевірити жодні IP-адреси, доки вони не будуть налаштовані у вашій операційній системі. Одним із способів перевірити це було б використання tcpdump, 'tcpdump -i eth0 -n net 198.51.100.0/24'.

Налаштування IP-адрес

Однією з поширених конфігурацій, які ми бачимо, є використання окремих IP-адрес у різних екземплярах. Це можливо, хоча кожен екземпляр повинен мати власний сервер BGP.

Для цього ми анонсуємо /32 маршрути від окремих екземплярів, окрім покриття /24. Ми могли б зробити це за допомогою статичних маршрутів, але замість цього рекомендуємо використовувати фіктивні інтерфейси. Ми будемо використовувати 198.51.100.100 як IP-адресу, яку ми хочемо маршрутизувати.

Налаштуйте це в інтерфейсі:

# ip link add dev dummy1 type dummy
# ip link set dummy1 up
# ip addr add dev dummy1 198.51.100.100/32

Переконайтеся, що це налаштовано належним чином:

# ip addr show dev dummy1
5: dummy1: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN
    link/ether ba:23:57:2c:ad:bc brd ff:ff:ff:ff:ff:ff
    inet 198.51.100.100/32 scope global dummy1

Примітка. Ви повинні ознайомитися з документацією вашої операційної системи, щоб визначити, як налаштувати цей інтерфейс для завантаження.

Тепер ми налаштуємо BIRD на сканування будь-яких фіктивних інтерфейсів і оголошувати будь-які IP-адреси, які він знайде на них. Додайте наступне до конфігурації BIRD і перезавантажте BIRD:

protocol direct
{
    interface "dummy*";
    import all;
}

Переконайтеся, що BIRD оголошує маршрут:

[root@vultr ~]# birdc show route
BIRD 1.4.5 ready.
198.51.100.0/24    via 203.0.113.123 on eth0 [static1 14:22:12] * (200)
198.51.100.100/32  dev dummy1 [direct1 14:36:56] * (240)

Ви можете повторити цей процес на інших екземплярах з іншими IP-адресами. Відбувається, що наші маршрутизатори використовуватимуть найбільш специфічний маршрут для будь-якої даної IP-адреси. Коли є /24 і /32, /32 є найбільш конкретним маршрутом, тому будь-який трафік для цього IP-адресу буде слідувати за цим маршрутом.

Ви можете мати кілька екземплярів, які оголошують те саме /32. Це дасть вам високу доступність (якщо будь-який екземпляр вийшов з ладу, його маршрути зникли б, а трафік перейшов би на інший екземпляр).

Наші місцезнаходження не пов’язані, тому вам потрібно переконатися, що ви оголошуєте /24 (або IPv6 /48) для кожного розташування, де ви хочете використовувати IP-адреси. Ви не можете використовувати один /24 для призначення IP-адрес для кількох місць, якщо ви не намагаєтеся налаштувати мережу anycast.

Деякі з наших місць підтримують ECMP, і в цьому випадку трафік буде випадковим чином розподілятися між 8 екземплярами, які оголошують той самий IP. Наразі ECMP підтримують:

• Нью Джерсі
• Чикаго
• Даллас
• Атланта
• Токіо
• Сінгапур
• Лос-Анджелес
• Майамі
• Силіконова долина
• Париж
• Лондон

Супутні документи

• Посібник користувача AS20473 BGP

Примітки

Для BIRD 1.5 і вище, вам може знадобитися змінити routeсинтаксис рядків із:

route  198.51.100.0/24 via 203.0.113.123;

до:

route  198.51.100.0/24 via "203.0.113.123";

** Вирішення проблем **

Наші системи вимагають аутентифікації TCP MD5 для встановлення з’єднання. Це означає, що ви не можете перевірити підключення за допомогою чогось на зразок telnet. Зазвичай ми радимо спостерігати за трафіком за допомогою tcpdump, щоб усунути проблеми з підключенням.