上回提到如何利用 Router OS 建立 BGP 連線,這邊分享我現在的 BGP 使用方式。
我們知道,熟悉的內網 IP 網段有:10.0.0.0 - 10.255.255.255
。
而妥善的分配他們可以讓握的網路看起來更整齊。
所以,將會用到的 IP 分為三類:
BGP tunnel 是 site to site 的 IP,一般來說一組連線只會用到兩個。
所以我使用 10.121.0.n/32
與 10.121.0.n+1/32
,Server 使用 n
,Client 使用 n+1
。
在設定路由器時,我會將路由器自己設為 10.121.R.254
,其中 R
為一個 10 的倍數。(170,180,190)
並將 10.121.R.0/24
這個網段做為 Local 的機器 IP。而該網段又被我細分如下:
10.121.R.1 - 10.121.R.19
:保留10.121.R.20 - 10.121.R.240
:DHCP pool10.121.R.241 - 10.121.R.254
:Service 固定 IP這樣對我來說的好處是:
有時我們會有需要讓外部 VPN 連入,但不希望他能夠存取所有資源的需求,
此時直接連到原本的網段會讓你的防火牆難以設定。
所以另外分配一個 IP pool 給非 Local 使用。
通常,我使用 10.121.R+1.254
做為連入的 local IP,並把剩下的 10.121.R+1.0/24
做為 remote IP。
這樣,在設置防火牆時,便能使用 10.121.R+1.0/24
來 drop 掉不允許訪問的流量。
綜上所述,以我為例會有以下 IP:
10.121.0.4/32 # 該 Router VPN tunnel Local IP
10.121.0.5/32 # 該 Router VPN tunnel Remote IP
10.121.190.250/24 # 該 Router PVE node0 IP
10.121.190.254/24 # 該 Router Local IP pool
10.121.191.254/24 # 該 Router VPN IP pool
大家在設定完後,便能在 IP -> Routes 內欣賞自己的成果。