Fortinet - FortiGate als Dual Homed BGP Peer

Die Zielsetzung war hier, dass 2 BGP Peers (AS3356 Lumen und AS8422 – NetCologne), als BGP Neighbors angebunden werden und unser AS212033 mit den IPv4 und IPv6 Adressen announced.

Da die Konfiguration über die grafische Oberfläche nicht alle notwendigen Optionen bietet, werden hier die Konfigurationsparameter, welche über die CLI getätigt werden, aufgeführt.

Konfigurieren des eigenen autonomen Systems

Dazu konfigurieren wir über die CLI folgendes

config router bgp
 set as 212033
 set router-id X.X.X.X – Durch eigene Router ID ersetzen – Frei vergebbar
end

Binden der eigenen Netze an die FortiGate

Damit unsere Public Adressen überhaupt announced werden können, müssen diese in der Routingtabelle der FortiGate vorhanden sein. Da wir diese intern mit Subnetting kleiner gestalten, haben wir uns dazu entschieden mit Blackhole Routen zu arbeiten

config router static
 edit 1
  set dst 193.3.45.0 255.255.255.0
  set blackhole enable
 next
end
config router static6
 edit 1
  set dst 2a10:5dc0::/32
  set blackhole enable
 next
end


Vorbereitung der sogenannten Prefix Listen und Route Maps

Wir müssen der FortiGate mitteilen, welche Netze wir announcen möchten und welche Routen wir empfangen möchten. Da wir hier kein Transit AS werden möchten, müssen wir hier Maßnahmen treffen, um dies zu unterbinden.

In unseren ersten Schritten haben wir festgestellt, dass das Empfangen der Full BGP Routes durch die Provider unsere FortiGate schnell in die Knie zwingt. Da bei 2 Providern 4 Full Routes (2x IPv4 und 2x IPv6) in den RAM müssen, kommen wir hier schnell an die Grenzen.

Daher haben wir uns dazu entschlossen nur die default route von den Service Providern anzunehmen.

Grundlage dafür bilden die Prefix Listen, welche wir dann in router-maps verwenden können.

Diese sind ebenfalls in IPv4 und IPv6 getrennt.

config router prefix-list
 edit "accept-dflt-only"
  config rule
   edit 1
    set prefix 0.0.0.0 0.0.0.0
    unset ge
    unset le
   next
  end
 next
 edit "own-nets-only-out"
  config rule
   edit 1
    set prefix 193.3.45.0 255.255.255.0
    unset ge
    unset le
   next
  end
 next
 edit "1"
 next
end
config router prefix-list6
 edit "own-nets-v6-only-out"
  config rule
   edit 1
    set prefix6 2a10:5dc0::/32
    unset ge
    unset le
   next
  end
 next
 edit "accept-dflt-only"
  config rule
   edit 1
    set prefix6 ::/0
    unset ge
    unset le
   next
  end
 next
end
config router route-map
 edit "dualhomes"
  config rule
   edit 1
    set set-local-preference 100
   next
  end
 next
 edit "Default-only"
  config rule
   edit 1
    set match-ip-address "accept-dflt-only"
   next
   edit 2
    set match-ip6-address "accept-dflt-only"
   next
  end
 next
end


Konfigurieren der BGP Neighbors

Als nächstes müssen wir der FortiGate mitteilen, was unsere BGP Peers sind. In unserem Falle haben wir 4 BGP Peers. 2 IPv4 Peers und 2 IPv6 Peers. Dabei kamen schon die ersten „besonderen“ Konfigurationsparameter ins Spiel. Aber eins nach dem anderen. Anbei der Konfigurationsauszug:

config router bgp
 config neighbor
  edit "X.X.X.X"
   set activate6 disable
   set soft-reconfiguration enable
   set prefix-list-out "own-nets-only-out"
   set prefix-list-out6 "own-nets-v6-only-out"
   set remote-as 3356
   set route-map-in "Default-only"
   set route-map-out "dualhomes"
  next
  edit "2001:1900:X"
   set activate disable
   set soft-reconfiguration enable
   set prefix-list-out "own-nets-only-out"
   set prefix-list-out6 "own-nets-v6-only-out"
   set remote-as 3356
   set route-map-in6 "Default-only"
   set route-map-out6 "dualhomes"
  next
  edit "Y.Y.Y.Y"
   set activate6 disable
   set ebgp-enforce-multihop enable
   set soft-reconfiguration enable
   set prefix-list-out "own-nets-only-out"
   set prefix-list-out6 "own-nets-v6-only-out"
   set remote-as 8422
   set route-map-in "Default-only"
   set route-map-out "dualhomes"
   set password Passwort
  next
  edit "2001:4dd0:X"
   set activate disable
   set ebgp-enforce-multihop enable
   set soft-reconfiguration enable
   set prefix-list-out "own-nets-only-out"
   set prefix-list-out6 "own-nets-v6-only-out"
   set remote-as 8422
   set route-map-in6 "Default-only"
   set route-map-out6 "dualhomes"
   set password Passwort
  next
 end


set activate6 disable – verbietet diesem BGP Peers IpV6 zu verwenden
set activate disable – verbietet diesem BGP Peers IpV4 zu verwenden
set soft-reconfiguration enable – Erlaubt hier granulares neulernen von Routen, ohne jedes Mal die BGP Routingtabelle zu leeren
set prefix-list-out "own-nets-only-out" – welche IPv4 Netze sollen announced werden?
set prefix-list-out6 "own-nets-v6-only-out" – welche IPv6 Netze sollen announced werden?
set remote-as XXXX – AS Nummer des Nachbarn
set ebgp-enforce-multihop enable – Im Standard muss der BGP Peer direkt erreichbar sein. In besonderen Fällen kann es jedoch sein, dass der BGP Router mehrere Hops entfernt ist.
set password Passwort – Damit kann ein MD5 Verschlüsselungspasswort angegeben werden
set route-map-in "Default-only" – Welche Routen wollen wir empfangen?
set route-map-out "dualhomes" – Welche Routen senden wir nach außen?


Erlauben von mehreren BGP Default Gateways

Im Standard wird nur eine Default Route von einem BGP Peer akzeptiert. Dies umgehen wir mit folgendem Befehl:

config router bgp
 set ebgp-multipath enable
 set ibgp-multipath enable
end


Nun sollte die FortiGate anfangen die eigenen Netze zu announcen und das BGP Routing funktionsfähig sein.