前言

上回提到如何利用 Router OS 建立 BGP 連線，這邊分享我現在的 BGP 使用方式。

IP 分配

我們知道，熟悉的內網 IP 網段有：10.0.0.0 - 10.255.255.255。
而妥善的分配他們可以讓握的網路看起來更整齊。
所以，將會用到的 IP 分為三類：

1. BGP Tunnel IP：上回設定用來跑的 BGP 的 VPN Tunnel IP
2. local IP pool：該路由底下的 PVE 與 VM，使用的 IP 網段
3. remote IP pool：VPN 到此路由時，使用的 IP 網段

BGP Tunnel

BGP tunnel 是 site to site 的 IP，一般來說一組連線只會用到兩個。
所以我使用 10.121.0.n/32 與 10.121.0.n+1/32 ，Server 使用 n，Client 使用 n+1。

local IP pool

在設定路由器時，我會將路由器自己設為 10.121.R.254，其中 R 為一個 10 的倍數。（170,180,190）
並將 10.121.R.0/24 這個網段做為 Local 的機器 IP。而該網段又被我細分如下：

• 10.121.R.1 - 10.121.R.19：保留
• 10.121.R.20 - 10.121.R.240：DHCP pool
• 10.121.R.241 - 10.121.R.254：Service 固定 IP

這樣對我來說的好處是：

1. 方便辨識：
   • 看到 20 - 240 就知道是 DHCP 的 VM 或 LXC （大家對 2 的相關數字都有種敏銳感）
   • 看到其他的 IP 就知道是固定 IP 的服務。
2. 統一設定，可以在每台 PVE Node 上都利用同樣的規則，例如：
   • 250 是 PVE Node0 IP
   • 251 是 PVE Node1 IP
   • 252 是 PVE Node2 IP
   • 241 是 NAS 儲存的 IP 等等

remote IP pool

有時我們會有需要讓外部 VPN 連入，但不希望他能夠存取所有資源的需求，
此時直接連到原本的網段會讓你的防火牆難以設定。
所以另外分配一個 IP pool 給非 Local 使用。

通常，我使用 10.121.R+1.254 做為連入的 local IP，並把剩下的 10.121.R+1.0/24 做為 remote IP。
這樣，在設置防火牆時，便能使用 10.121.R+1.0/24 來 drop 掉不允許訪問的流量。

結語

綜上所述，以我為例會有以下 IP：

10.121.0.4/32 # 該 Router VPN tunnel Local IP
10.121.0.5/32 # 該 Router VPN tunnel Remote IP
10.121.190.250/24 # 該 Router PVE node0 IP
10.121.190.254/24 # 該 Router Local IP pool
10.121.191.254/24 # 該 Router VPN IP pool

大家在設定完後，便能在 IP -> Routes 內欣賞自己的成果。