BGP INTERNET Failover

En este post explicaré como configurar INTERNET Failover con BGP en un ejemplo practico utilizado en el mundo real. Cabe recalcar que hay distintas maneras que hacer failover con BGP y que esta es tan solo una de ellas.

En este ejemplo hay que tener en cuenta que:

- Utilizamos un diseño Dual Homed. Por lo tanto tendríamos 1 mismo proveedor (ISP) y 2 enlaces que conectan hacia el. Para tener una capa extra de redundancia añadimos un CPE router adicional en el lado cliente.

- Los CPE Routers son gestionados por el cliente. Es decir que la configuración y el mantenimiento corre a cargo del mismo cliente. En el mundo real, estos equipos los gestiona el equipo de network de una empresa

- Los PE Routers son gestionados por el proveedor (ISP). Y son la puerta de acceso (Gateway) para  INTERNET. 

- El proveedor (ISP) nos proporciona 2 Lineas de INTERNET de las cuales nos asigna 1 rango publico WAN por cada circuito que normalmente suelen ser una linea punto a punto o /30.

- También, el proveedor nos proporcionará un único rango publico LAN que normalmente se utiliza para alocar IP publicas a hosts o dispositivos internos de la red como podría ser un Firewall, un servidor, una red DMZ, etc. Este rango LAN estará enrutado por detrás de los 2 rangos WAN (Más adelante explicaremos como)

- El objetivo de este diseño es que todo el trafico hacia INTERNET vaya por la linea de INTERNET #1 (via PE Router 1) y que si este mismo falla entonces todo el trafico se enrutará automáticamente por la linea de INTERNET #2 (via PE Router 2)

 - Todos los dispositivos tienen que soportar BGP independientemente del vendor.

 DIAGRAMA DE RED 

  

CONFIGURACIÓN - PASO POR PASO (EJEMPLO)

 Paso 1 - Configuración de las interfaces de red

Linea de INTERNET #1 (ISP) ->  WAN Subnet: 1.1.1.0/30 | LAN Subnet: 3.1.1.0/28 *

Linea de INTERNET #2 (ISP) ->  WAN Subnet: 2.1.1.0/30 | LAN Subnet: 3.1.1.0/28 *

* El proveedor nos proporciona la misma "LAN Subnet" en ambas lineas. Luego explicaremos el por que.

PE Router 1 (asociado a Linea de INTERNET #1)

Puerto Gi0/0 -> Dirección IP: 1.1.1.1 | Máscara de red: 255.255.255.252

Puerto Gi0/1 -> No interesa al cliente. Conecta a la red de CORE de INTERNET

PE Router 2 (asociado a Linea de INTERNET #1)

Puerto Gi0/0 -> Dirección IP: 2.1.1.1 | Máscara de red: 255.255.255.252

Puerto Gi0/1 -> No interesa al cliente. Conecta a la red de CORE de INTERNET

CPE Router 1 (Router de cliente)

Puerto Gi0/0 -> Dirección IP: 1.1.1.2 | Máscara de red: 255.255.255.252

Puerto Gi0/1 -> Dirección IP: 3.1.1.1 | Máscara de red: 255.255.255.240

CPE Router 2 (Router de Cliente)

Puerto Gi0/0-> Dirección IP: 2.1.1.2 | Máscara de red: 255.255.255.252

Puerto Gi0/1 -> Dirección IP: 3.1.1.2 | Máscara de red: 255.255.255.240

Firewall (del cliente)

Puerto WAN -> Dirección IP: 3.1.1.3 | Máscara de red: 255.255.255.240

Puerto LAN -> No es necesario saberla para este ejemplo. Conecta a la red LAN interna. 

 

Paso 2 - Configuración de BGP

PE Router 1 (asociado a Linea de INTERNET #1)

AS number 1 (AS Público)

1 BGP Neighbor -> 1.1.1.2 (CPE Router 1) con AS Number 2 - eBGP

Anuncia default route (0.0.0.0/0) al CPE Router 1 por BGP.

PE Router 2 (asociado a Linea de INTERNET #2)

AS number 1 (AS Público)

1 BGP Neighbor -> 2.1.1.2 (CPE Router 1) con AS Number 2 - eBGP

Anuncia default route (0.0.0.0/0) al CPE Router 2 por BGP.

 CPE Router 1 (Router de cliente)

AS number 2 (AS Público)

3 BGP Neighbors:

- 1.1.1.1 (PE Router 1) con AS Number 1 - eBGP

- 3.1.1.2 (CPE Router 2) con AS Number 2 - iBGP

 - 3.1.1.3 (Firewall) con AS Number 65000 - eBGP

Obtiene la default route (0.0.0.0/0) del PE Router 1 y le asigna un Local preference de 300 (esto servirá para influenciar el trafico de INTERNET por este camino)

Anuncia rango público LAN (3.1.1.0/28) obtenido del Firewall a PE Router 1 por BGP.

Anuncia default route (0.0.0.0/0) obtenido de PE Router 1 y redes conectadas (locales) al CPE Router 2 y al Firewall por BGP

CPE Router 2 (Router de cliente)

Obtiene la default route (0.0.0.0/0) del PE Router 2 sin asignar ningun atributo BGP.

AS number 2 (AS Público)

3 BGP Neighbors:

- 2.1.1.1 (PE Router 1) con AS Number 1 - eBGP

- 3.1.1.1 (CPE Router 1) con AS Number 2 - iBGP

 - 3.1.1.3 (Firewall) con AS Number 65000 - eBGP

Anuncia rango público LAN (3.1.1.0/28) obtenido del Firewall a PE Router 2 por BGP

Anuncia default route (0.0.0.0/0) obtenido de PE Router 2 y redes conectadas (locales) al CPE Router 1 y al Firewall por BGP

Firewall (del cliente)

AS number 65000 (AS Privado)

2 BGP Neighbors:

-3.1.1.1 (PE Router 1) con AS Number 2 - eBGP 

-3.1.1.2 (PE Router 2) con AS Number 2 - eBGP

Obtiene la default route (0.0.0.0/0) tanto de CPE Router 1 como de CPE Router 2 pero instalará en la tabla de enrutamiento la ruta aprendida de CPE Router 1 porque tiene un Local Preference mayor al default route aprendido de CPE Router 2 (que quedará como ruta BGP de backup)

Anuncia rango público LAN (3.1.1.0/28) a PE Router 1 y PE Router 2 por BGP



Comentarios

Publicar un comentario

Entradas populares de este blog

EVE-NG: Instalación de EVE-NG

Imagen
EVE-NG es un emulador de redes muy útil para crear topologias de redes de forma virtualizada. Os voy a explicar el proceso de instalación del software en base a mi experiencia Requisitos para hacer uso de EVE-NG: - Instalar VMware Workstation Player (Versión de uso personal) - Tener un buen ordenador (El mío tiene 8 GB de Ram, Intel i7 dual-core, Disco duro SSD, etc)  con suficiente espacio de almacenamiento.Yo tengo un Windows 10 professional - Tener conocimientos de Linux básicos (Crear carpetas, mover archivos, cambiar IP del sistema ,etc) - Instalar Filezilla en el PC para hacer transferencias de archivos locales hacia EVE-NG Paso 1  Descargar el OVF de EVE-NG desde la pagina oficial. Tener en cuenta que hay dos versiones: la profesional y la personal. Yo he utilizado la versión personal para ello. Paso 2 Abrir VMware workstation e abrir el archio OVF para instalar EVE-NG. Importante!!  El adaptador de red (Network adapter) esta en modo bridge. Por lo que he podido l...
Leer más

Fortigate: Capturar paquetes (Packet capture/sniffer)

Para capturar paquetes de red en dispositivos Fortigate estos algunos de los comandos que utilizo: diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip>' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip>' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip> and icmp' 1 diagnose sniffer packet any 'src host <sourceip> or dst host <destinationip> and tcp' 1
Leer más

Nornir | Introducción, instalación y primer script básico

Como habéis podido observar, soy muy fan de Ansible ya que es una herramienta de network automation muy fácil de aprender y no requiere saber mucho de programación en Python para poder usarlo. Sin embargo, me he dado cuenta que Ansible tiene sus limitaciones ya que cuando ejecutamos un playbook como por ejemplo cuando queremos ejecutar show ip int brief en multiples routers y switches Cisco es un proceso un tanto lento ya que realiza cada conexión SSH secuencialmente y no a la vez con lo que imaginaros que si tenemos que gestionar cientos o miles de dispositivos de red la cantidad de segundos y minutos que tendriamos que esperar para obtener el output de nuestro playbook. Para ello, existe un nueva herramienta de automatización de redes llamada Nornir que se supone que es una especie de evolución de Ansible (hay que gente que le llama Ansible 2.0) pero que está creado puramente en Python y soluciona alguno de los problemas or limitaciones de Ansible. Algunas de estas mejoras son l...
Leer más