! ! ! czesc konfiguracji interfejsow ! ! interface Null0 ! dla kazdego pakietu, ktory odrzucamy, nie generujemy zwrotnego ICMP - inaczej ! potencjalnie wystawiamy się na self-DDoS no ip unreachables ! ! Twoj interfejs(-y) w stronę internetu - aktywowanie mechanizmu uRPF pozwoli ! wpisom z BGP Blackholing filtrowac rowniez ruch *z* przestrzeni pokrytej przez ! otrzymane prefiksy, a nie tylko *do* tych prefiksów ! interface X ip verify unicast source reachable-via any allow-default ! ! ! Twój interfejs(-y) w stronę sieci lokalnej - uruchamiamy uRPF w trybie strict ! ! interface Y ip verify unicast source reachable-via rx ! ! ! ! część konfiguracji BGP ! ! ip bgp-community new-format ! dla wygody definiujemy pare wartosci community, ktorych uzyjemy ponizej ip community-list standard bgpbh-bogons permit 65055:666 ip community-list standard bgpbh-talos permit 65055:999 ip community-list standard bgpbh-spam permit 65055:25 ip community-list standard bgpbh-spam permit 65055:26 ip community-list standard bgpbh-spam permit 65055:27 ! ! ruch do tych prefiksow IPv4 będziemy odrzucac ip route 192.0.2.0 255.255.255.0 Null0 250 name IANA-TEST-NET-1 ip route 192.0.2.1 255.255.255.255 Null0 name BGP-BLACKHOLING-PL ip prefix-list DENY-ANY seq 5 deny 0.0.0.0/0 le 32 ! ! polityka routingu dla prefiksow IPv4 - dopasuj community, zmien pole next-hop ! na takie, ktore routowane jest do Null0, ustaw wysoka preferencje BGP dla prefiksu ! route-map BGP-BH-FEED-IN permit 10 match community bgpbh-bogons set local-preference 6666 set origin igp set ip next-hop 192.0.2.1 route-map BGP-BH-FEED-IN permit 20 match community bgpbh-talos set local-preference 6666 set origin igp set ip next-hop 192.0.2.1 route-map BGP-BH-FEED-IN permit 30 match community bgpbh-spam set local-preference 6666 set origin igp set ip next-hop 192.0.2.1 ! ! na wszelki wypadek, gdybym rozglosil cos innego - to swoja droga domyslna akcja ! route-map BGP-BH-FEED-IN deny 9999 ! router bgp X ! opcjonalna, ale dobra praktyka - ustawienie na sztywno wlasnego router-ID bgp router-id A.B.C.D bgp asnotation dot bgp log-neighbor-changes neighbor 77.79.194.196 remote-as 65055 ! zdalny AS to 65055 neighbor 77.79.194.196 local-as 65055 ! ale identyfikuj sie tez jako AS 65055 neighbor 77.79.194.196 ebgp-multihop 255 neighbor 195.136.71.54 remote-as 65055 neighbor 195.136.71.54 local-as 65055 neighbor 195.136.71.54 ebgp-multihop 255 ! address-family ipv4 neighbor 77.79.194.196 activate neighbor 77.79.194.196 prefix-list DENY-ANY out ! nie wysylaj mi zadnych prefiksow neighbor 77.79.194.196 route-map BGP-BH-FEED-IN in neighbor 195.136.71.54 activate neighbor 195.136.71.54 prefix-list DENY-ANY out ! nie wysylaj mi zadnych prefiksow neighbor 195.136.71.54 route-map BGP-BH-FEED-IN in exit-address-family !