Both sides previous revisionPrevious revisionNext revision | Previous revisionLast revisionBoth sides next revision |
informatique:fortinet:bgp [2021/11/08 14:51] – [Vérifications] pteu | informatique:fortinet:bgp [2021/11/17 09:03] – [Contrôle avancé des annonces] pteu |
---|
unset le | unset le |
end | end |
| edit 2 |
| set action deny |
| set prefix any |
| unset ge |
| unset le |
| end |
| end |
| |
# on l'applique comme distribute-list sur notre voisin | # on l'applique sur notre voisin |
config router bgp | config router bgp |
set as 65000 | set as 65000 |
edit "192.168.0.2" | edit "192.168.0.2" |
set remote-as 65001 | set remote-as 65001 |
set set distribute-list-in "pref_BGP-in" | set prefix-list-in "pref_BGP-in" |
end | end |
</code> | </code> |
Les options ''ge'' et ''le'' servent à préciser le masque minimum et maximum pour que la liste matche. Par défaut le masque doit être strictement égal à celui spécifié pour matcher, ici un /16. Cela signifie que si le voisin nous annonce 192.168.0.0**/24**, notre routeur refusera la route. | Les options ''ge'' et ''le'' servent à préciser le masque minimum et maximum pour que la liste matche. Par défaut le masque doit être strictement égal à celui spécifié pour matcher, ici un /16. Cela signifie que si le voisin nous annonce 192.168.0.0**/24**, notre routeur refusera la route. |
| |
On peut faire de même pour contrôler nos annonces vers ce voisin, en définissant de la même façon une ''distribute-list-out''. | On peut faire de même pour contrôler nos annonces vers ce voisin, en définissant de la même façon une ''prefix-list-out''. |
| |
Ce résultat aurait pu être identique avec l'utilisation d'une access-list de filtrage + route-map-in/out ; mais cette solution consomme plus de ressources et ne devrait être réservée que pour des actions plus spécifiques (voir "[[informatique:fortinet:bgp#Contrôle avancé des annonces|Contrôle avancé des annonces]]" dans la suite). | Ce résultat aurait pu être identique avec l'utilisation d'une ''access-list'' de filtrage + ''distribute-list-in/out'' ou ''route-map-in/out'' ; mais cette solution consomme plus de ressources et ne devrait être réservée que pour des actions plus spécifiques (voir "[[informatique:fortinet:bgp#Contrôle avancé des annonces|Contrôle avancé des annonces]]" dans la suite). |
| |
| |
Pour prendre en compte ces modifications, il faut faire un ''execute router restart'' qui va relancer tout le routage (**attention, ça va couper !**). | Pour prendre en compte ces modifications, il faut faire un ''execute router restart'' qui va relancer tout le routage (**attention, ça va couper !**). |
| |
A chaque modification de la configuration BGP, il faut également rafraîchir les routes BGP avec : ''execute router clear bgp all''. | A chaque modification de la configuration BGP, il faut également la reprendre en compte avec : ''execute router clear bgp all'' qui aura pour effet de relancer le process BGP. On peut limiter la portée de l'update (et donc de la convergence) en spécifant, l'AS ou le sens ; par ex pour reset un peer : ''execute router clear bgp ip in 192.168.0.3''. |
| |
====Vérifications==== | ====Vérifications==== |