BGP Blackhole на Juniuper MX80

Комментарии ()

Налаштування blackhole для bgp-пірінгу це досить проста та тривіальна задача, яка чудово розписана тут

Варто звернути увагу, що при наявності не одного policy-statement для import та export bgp-піра, потрібно розуміти як працюють цепочки фільтрів в JUNOS (про це читаємо тут)

На стороні провайдера

policy-statement blackhole-import {
    term to-blackhole {
        from community blackhole;
        then {
            next-hop discard;
            accept;
        }
    }
    then next policy;
}
community blackhole members 11111:666;

де: 11111 - ваша AS-ка

protocols {
    bgp {
        traceoptions {
            file bgp.log size 1m files 30;
        }
        advertise-inactive;
        log-updown;
        damping;
        local-as 11111;
        group upstreams {
            type external;
            import blackhole-import;
            ...
            neighbor XXX.XXX.XXX.XXX {
                description "=-= peer =-=";
                import [ blackhole-import BGP-peer-IN ];
                export [ ebgp-export-default-originate BGP-peer-OUT ];
                peer-as YYYYY;
            }
...

Важливо, blackhole-import має бути перед BGP-peer-IN

На стороні кдієнта

Для quagga'и:

router bgp 65001
    ....
    network 192.168.111.111 mask 255.255.255.255

...
access-list blackholeip permit 192.168.111.111/32

...

route-map UPSTREM-OUT permit 5
 match ip address blackholeip
 set community 11111:666 additive

!

Для Juniper

створюємо community

set policy-options community blackhole members 11111:666

Далі cтворюємо policy-statement для додавання community до префіксів які треба передавати маршрутизатору провайдера.


policy-statement Blackhole-export {
      term blackhole {
          from {
              protocol static;
              tag 666;
          }
          then {
              community set blackhole;
              accept;
          }
      }
      then reject;
  }

Додаємо ip-ку в blackhole

set routing-options static route 1.1.1.1/32 discard tag 666

 


Webit.in.ua 2013