Blog
You are currently viewing MikroTik v7.18+ BGP – Част 6: IPv6

MikroTik v7.18+ BGP – Част 6: IPv6

Конфигуриране на IPv6 Адреси

Тези команди задават IPv6 адреси на различни VLAN интерфейси които са така наречените транспортни адреси към BGP peers:

Plaintext
/ipv6 address
add address=2a02:2248::22/126 advertise=no comment=gcn-bgp interface=vlan149
add address=2a01:288:4000:50::2 advertise=no comment=A1-int interface=vlan1360
add address=2001:678:904:1::1 advertise=no comment=Dabnik interface=vlan4050

Обяснение:

  • 2a02:2248::22/126 – IP за BGP връзка с GCN.
  • 2a01:288:4000:50::2 – IP за BGP връзка с A1.
  • 2001:678:904:1::1 – IP за BGP връзка с Dabnik.
  • Всички IP са част от /126 или /128 подсети, което ограничава комуникацията до конкретни точки.

LAN мрежата на доставчика 2001:678:904::/48 която ще се рекламира в Интернет

Добавя префиксите, които ще се рекламират чрез BGP:

Plaintext
/ipv6 firewall address-list
add address=2001:678:904::/48 list=bgp-networks

Това означава, че само мрежата 2001:678:904::/48 ще бъде рекламирана.

Темплейт за BGP рутера по който ще бъде построена AS на доставчика

Plaintext
/routing bgp template
set default disabled=no output.network=bgp-networks
add as=47453 disabled=no name=bgp1 output.network=bgp-networks

Обяснение:

  • AS 47453 – Автономната система на локалния рутер.
  • output.network=bgp-networks – Само мрежите в bgp-networks ще бъдат рекламирани.

Връзки с BGP мрежови peers с които ще обменяме маршрути

Конфигурират се три BGP сесии с различни AS:

Plaintext
/routing bgp connection
add address-families=ipv6 as=47453 connect=yes .filter=gcn-ipv6-in listen=yes local.role=ebgp name=gcn-ipv6 .filter-chain=gcn-ipv6-out .network=bgp-networks remote.address=2a02:2248::21/128 .as=12615 templates=bgp1
add address-families=ipv6 as=47453 connect=yes .filter=a1-ipv6-in listen=yes local.role=ebgp name=a1-ipv6 .filter-chain=a1-ipv6-out .network=bgp-networks remote.address=2a01:288:4000:50::1/128 .as=8717 templates=bgp1
add address-families=ipv6 as=47453 connect=yes .filter=atlantis-gcn-ipv6-in listen=yes local.role=ebgp name=atlanist-gcn-ipv6 .filter-chain=atlantis-gcn-ipv6-out .network=bgp-networks remote.address=2001:678:904:1::2/128 .as=20657 templates=bgp1

Обяснение:

  • GCN (AS 12615) – връзка към 2a02:2248::21.
  • A1 (AS 8717) – връзка към 2a01:288:4000:50::1.
  • Atlantis-GCN (AS 20657) – връзка към 2001:678:904:1::2.
  • local.role=ebgp – означава, че това са външни BGP (eBGP) връзки.

BGP мрежови Филтри които ще определят политиката спрямо peers

Филтрите управляват какви мрежи се приемат и изпращат.

Plaintext
/routing filter rule
add chain=a1-ipv6-in disabled=no rule="accept;"
add chain=a1-ipv6-out disabled=no rule="if (dst == 2001:678:904::/48) { accept; }"

add chain=gcn-ipv6-in disabled=no rule="accept;"
add chain=gcn-ipv6-out disabled=no rule="if (dst == 2001:678:904::/48) { accept; }"

add chain=atlantis-gcn-ipv6-in disabled=no rule="accept;"
add chain=atlantis-gcn-ipv6-out disabled=no rule="if (dst == 2001:678:904::/48) { set gw 2001:678:904:1::1; accept; }"

Обяснение:

  • Входящите правила позволяват всякакъв трафик (accept).
  • Изходящите правила ограничават рекламата само до 2001:678:904::/48.
  • В atlantis-gcn-ipv6-out маршрутът преминава през 2001:678:904:1::1.

Blackhole маршрути които ще осигурят в известна степен защита

Plaintext
/ipv6 route
add blackhole dst-address=2001:678:904::/48
add blackhole dst-address=::/128
add blackhole dst-address=64:ff9b::/96
add blackhole dst-address=::ffff:0.0.0.0/96
add blackhole dst-address=100::/64
add blackhole dst-address=2001::/23
add blackhole dst-address=2001::/32
add blackhole dst-address=2001:2::/48
add blackhole dst-address=2001:db8::/32
add blackhole dst-address=2001:10::/28
add blackhole dst-address=2002::/16
add blackhole dst-address=fc00::/7
add blackhole dst-address=fe80::/10

Обяснение:

  • 2001:678:904::/48 – Blackhole маршрут за предпазване от нежелан трафик.
  • ::/128 – Blackhole маршрут за unspecified address (използва се при конфигурация).
  • 64:ff9b::/96 – Blackhole маршрут за NAT64.
  • fc00::/7 – Блокиране на ULA (Unique Local Address) мрежи.
  • fe80::/10 – Блокиране на link-local адреси извън локалната среда.

Заключение

Тази конфигурация има три eBGP връзки с различни провайдъри, рекламира единствено мрежата 2001:678:904::/48, прилага основни филтри за BGP и осигурява защита чрез Blackhole маршрути.

Проверка и Мониторинг на IPv6 BGP конфигурацията

Рекламирам ли маршрут към peers

/routing/bgp/advertisements/print where peer=gcn-ipv6-1

/routing/bgp/advertisements/print where peer=a1-ipv6-1

/routing/bgp/advertisements/print where peer=atlanist-gcn-ipv6-1

Получавам ли маршрути

/ip route print

Колко общо и от кой peer колко маршрути получавам

/ipv6/route/print count-only

/ipv6/route/print count-only where gateway=2a02:2248::21 active

/ipv6/route/print count-only where gateway=2a01:288:4000:50::1 active

Мрежата 2606:4700::/32 през кой peer я виждам активна

/ipv6/route/print where dst-address in 2606:4700::/32

Мрежата 2606:4700:11::/48 през кои AS преминава за да достигне до мен

/ipv6/route/print detail where dst-address in 2606:4700:11::/48

Tags: , , , ,

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.