BGP INTERNET Failover

En este post explicaré como configurar INTERNET Failover con BGP en un ejemplo practico utilizado en el mundo real. Cabe recalcar que hay distintas maneras que hacer failover con BGP y que esta es tan solo una de ellas.

En este ejemplo hay que tener en cuenta que:

- Utilizamos un diseño Dual Homed. Por lo tanto tendríamos 1 mismo proveedor (ISP) y 2 enlaces que conectan hacia el. Para tener una capa extra de redundancia añadimos un CPE router adicional en el lado cliente.

- Los CPE Routers son gestionados por el cliente. Es decir que la configuración y el mantenimiento corre a cargo del mismo cliente. En el mundo real, estos equipos los gestiona el equipo de network de una empresa

- Los PE Routers son gestionados por el proveedor (ISP). Y son la puerta de acceso (Gateway) para  INTERNET. 

- El proveedor (ISP) nos proporciona 2 Lineas de INTERNET de las cuales nos asigna 1 rango publico WAN por cada circuito que normalmente suelen ser una linea punto a punto o /30.

- También, el proveedor nos proporcionará un único rango publico LAN que normalmente se utiliza para alocar IP publicas a hosts o dispositivos internos de la red como podría ser un Firewall, un servidor, una red DMZ, etc. Este rango LAN estará enrutado por detrás de los 2 rangos WAN (Más adelante explicaremos como)

- El objetivo de este diseño es que todo el trafico hacia INTERNET vaya por la linea de INTERNET #1 (via PE Router 1) y que si este mismo falla entonces todo el trafico se enrutará automáticamente por la linea de INTERNET #2 (via PE Router 2)

 - Todos los dispositivos tienen que soportar BGP independientemente del vendor.

 DIAGRAMA DE RED 

  

CONFIGURACIÓN - PASO POR PASO (EJEMPLO)

 Paso 1 - Configuración de las interfaces de red

Linea de INTERNET #1 (ISP) ->  WAN Subnet: 1.1.1.0/30 | LAN Subnet: 3.1.1.0/28 *

Linea de INTERNET #2 (ISP) ->  WAN Subnet: 2.1.1.0/30 | LAN Subnet: 3.1.1.0/28 *

* El proveedor nos proporciona la misma "LAN Subnet" en ambas lineas. Luego explicaremos el por que.

PE Router 1 (asociado a Linea de INTERNET #1)

Puerto Gi0/0 -> Dirección IP: 1.1.1.1 | Máscara de red: 255.255.255.252

Puerto Gi0/1 -> No interesa al cliente. Conecta a la red de CORE de INTERNET

PE Router 2 (asociado a Linea de INTERNET #1)

Puerto Gi0/0 -> Dirección IP: 2.1.1.1 | Máscara de red: 255.255.255.252

Puerto Gi0/1 -> No interesa al cliente. Conecta a la red de CORE de INTERNET

CPE Router 1 (Router de cliente)

Puerto Gi0/0 -> Dirección IP: 1.1.1.2 | Máscara de red: 255.255.255.252

Puerto Gi0/1 -> Dirección IP: 3.1.1.1 | Máscara de red: 255.255.255.240

CPE Router 2 (Router de Cliente)

Puerto Gi0/0-> Dirección IP: 2.1.1.2 | Máscara de red: 255.255.255.252

Puerto Gi0/1 -> Dirección IP: 3.1.1.2 | Máscara de red: 255.255.255.240

Firewall (del cliente)

Puerto WAN -> Dirección IP: 3.1.1.3 | Máscara de red: 255.255.255.240

Puerto LAN -> No es necesario saberla para este ejemplo. Conecta a la red LAN interna. 

 

Paso 2 - Configuración de BGP

PE Router 1 (asociado a Linea de INTERNET #1)

AS number 1 (AS Público)

1 BGP Neighbor -> 1.1.1.2 (CPE Router 1) con AS Number 2 - eBGP

Anuncia default route (0.0.0.0/0) al CPE Router 1 por BGP.

PE Router 2 (asociado a Linea de INTERNET #2)

AS number 1 (AS Público)

1 BGP Neighbor -> 2.1.1.2 (CPE Router 1) con AS Number 2 - eBGP

Anuncia default route (0.0.0.0/0) al CPE Router 2 por BGP.

 CPE Router 1 (Router de cliente)

AS number 2 (AS Público)

3 BGP Neighbors:

- 1.1.1.1 (PE Router 1) con AS Number 1 - eBGP

- 3.1.1.2 (CPE Router 2) con AS Number 2 - iBGP

 - 3.1.1.3 (Firewall) con AS Number 65000 - eBGP

Obtiene la default route (0.0.0.0/0) del PE Router 1 y le asigna un Local preference de 300 (esto servirá para influenciar el trafico de INTERNET por este camino)

Anuncia rango público LAN (3.1.1.0/28) obtenido del Firewall a PE Router 1 por BGP.

Anuncia default route (0.0.0.0/0) obtenido de PE Router 1 y redes conectadas (locales) al CPE Router 2 y al Firewall por BGP

CPE Router 2 (Router de cliente)

Obtiene la default route (0.0.0.0/0) del PE Router 2 sin asignar ningun atributo BGP.

AS number 2 (AS Público)

3 BGP Neighbors:

- 2.1.1.1 (PE Router 1) con AS Number 1 - eBGP

- 3.1.1.1 (CPE Router 1) con AS Number 2 - iBGP

 - 3.1.1.3 (Firewall) con AS Number 65000 - eBGP

Anuncia rango público LAN (3.1.1.0/28) obtenido del Firewall a PE Router 2 por BGP

Anuncia default route (0.0.0.0/0) obtenido de PE Router 2 y redes conectadas (locales) al CPE Router 1 y al Firewall por BGP

Firewall (del cliente)

AS number 65000 (AS Privado)

2 BGP Neighbors:

-3.1.1.1 (PE Router 1) con AS Number 2 - eBGP 

-3.1.1.2 (PE Router 2) con AS Number 2 - eBGP

Obtiene la default route (0.0.0.0/0) tanto de CPE Router 1 como de CPE Router 2 pero instalará en la tabla de enrutamiento la ruta aprendida de CPE Router 1 porque tiene un Local Preference mayor al default route aprendido de CPE Router 2 (que quedará como ruta BGP de backup)

Anuncia rango público LAN (3.1.1.0/28) a PE Router 1 y PE Router 2 por BGP



Comentarios

Publicar un comentario

Entradas populares de este blog

EVE-NG: Instalación de EVE-NG

Imagen
EVE-NG es un emulador de redes muy útil para crear topologias de redes de forma virtualizada. Os voy a explicar el proceso de instalación del software en base a mi experiencia Requisitos para hacer uso de EVE-NG: - Instalar VMware Workstation Player (Versión de uso personal) - Tener un buen ordenador (El mío tiene 8 GB de Ram, Intel i7 dual-core, Disco duro SSD, etc)  con suficiente espacio de almacenamiento.Yo tengo un Windows 10 professional - Tener conocimientos de Linux básicos (Crear carpetas, mover archivos, cambiar IP del sistema ,etc) - Instalar Filezilla en el PC para hacer transferencias de archivos locales hacia EVE-NG Paso 1  Descargar el OVF de EVE-NG desde la pagina oficial. Tener en cuenta que hay dos versiones: la profesional y la personal. Yo he utilizado la versión personal para ello. Paso 2 Abrir VMware workstation e abrir el archio OVF para instalar EVE-NG. Importante!!  El adaptador de red (Network adapter) esta en modo bridge. Por lo que he podido leer por INTERN
Leer más

Fortigate: Capturar paquetes (Packet capture/sniffer)

Para capturar paquetes de red en dispositivos Fortigate estos algunos de los comandos que utilizo: diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip>' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip>' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip> and icmp' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip> and tcp' 1
Leer más

Cisco ISE | Certificados SSL públicos para Guest Portal

Imagen
El otro día recibí un mensaje por parte de un usuario guest que se quejaba que no podía conectarse a nuestra red de Guest en una de nuestras oficinas debido a que se encontraba con un mensaje similar a este en su navegador Chrome:      Concretamente me comentaba que al hacer click al boton azul "Connect" no lograba conseguir la redirección. Para poneros en situación, esta red de Guest utiliza la solución de "Guest Portal" de Cisco ISE que simplificandolo funciona de la siguiente manera: - El cliente se connecta a la SSID de Guest (Ejemplo: Guest-ISE) - El cliente recibe una dirección IP del cliente DHCP y luego abre una pagina cualquiera en su navegador preferido donde redirecciona al Guest portal para registrar sus datos (Nombre, Apellidos, Mail, etc) - Una vez registrado, el Guest Portal proporcionara un usuario y contraseña para acceder a la red wifi de Guest (suele tener una duración temporal) - El usuario introduce las credenciales y puede navegar a INTERNET S
Leer más