Configurazione BGP su VyOS con VPS: Tutorial Dual-Stack
Configura BGP su un'istanza VyOS in esecuzione su VPS per annunciare i tuoi prefissi IPv4 e IPv6. Prefix-list, route-map, sicurezza delle sessioni e verifica esterna.
Gli ingegneri di rete abituati a Junos o IOS conoscono bene la fatica di modificare file di configurazione piatti per BIRD2 o FRR. VyOS offre una CLI da router completa su un VPS: configurazione gerarchica, commit/rollback, completamento automatico. Questo tutorial guida attraverso un setup BGP completo su un VPS Virtua Cloud con VyOS, dalla configurazione delle interfacce fino alla verifica dell'annuncio dual-stack dei prefissi.
Alla fine, avrai prefissi IPv4 e IPv6 annunciati via BGP con prefix-list, route-map, autenticazione MD5, GTSM e limiti max-prefix attivi.
Prerequisiti
Prima di iniziare, servono:
- Un ASN registrato presso un RIR (RIPE NCC, ARIN, APNIC).
- Almeno un prefisso IPv4 /24 e/o IPv6 /48 assegnato al tuo ASN.
- Oggetti ROA validi pubblicati in RPKI per ogni prefisso. Guida setup RPKI ROA
- Un VPS Virtua Cloud con VyOS installato. Ordina un VPS con l'opzione immagine ISO, monta la ISO di VyOS, e completa l'installazione (
install imagedal sistema live). Riavvia, smonta la ISO, e avrai un'istanza VyOS persistente. - Una sessione BGP provisionata dal tuo provider upstream. Servono: il suo ASN, gli indirizzi di peering IPv4/IPv6, e la password MD5 (se configurata).
In questo tutorial usiamo questi valori placeholder. Sostituiscili con i tuoi:
| Parametro | Placeholder | Descrizione |
|---|---|---|
| Il tuo ASN | 64512 |
Il tuo autonomous system number |
| Router ID | 198.51.100.10 |
Di solito il tuo indirizzo IPv4 primario |
| ASN upstream | 64501 |
Il numero AS del tuo provider |
| IPv4 upstream | 198.51.100.1 |
IPv4 di peering del provider |
| Il tuo IPv4 di peering | 198.51.100.10 |
Il tuo lato del link point-to-point |
| IPv6 upstream | 2001:db8::1 |
IPv6 di peering del provider |
| Il tuo IPv6 di peering | 2001:db8::10 |
Il tuo lato del link di peering IPv6 |
| Il tuo prefisso IPv4 | 203.0.113.0/24 |
Il prefisso che annuncerai |
| Il tuo prefisso IPv6 | 2001:db8:1000::/48 |
Il prefisso IPv6 che annuncerai |
| Password MD5 | (dal provider) | Segreto condiviso per TCP MD5 |
Come accedere e preparare VyOS su un VPS?
Dopo il provisioning, collegati via SSH all'istanza VyOS. VyOS ti posiziona in una shell in modalità operativa. Per apportare modifiche alla configurazione, entra in modalità configurazione:
ssh vyos@198.51.100.10
configure
Il prompt cambia da $ a #, a indicare che sei in modalità configurazione. Ogni comando set registra una modifica. Nulla viene applicato finché non esegui commit.
Verifica l'interfaccia
Controlla che la tua interfaccia di rete abbia gli indirizzi corretti assegnati. Su un VPS Virtua, l'interfaccia primaria è di solito eth0:
show interfaces ethernet eth0
Se gli indirizzi di peering non sono ancora configurati (alcuni provider usano una /30 o /31 separata per il link point-to-point), aggiungili:
set interfaces ethernet eth0 address 198.51.100.10/24
set interfaces ethernet eth0 address 2001:db8::10/64
Come configurare una sessione BGP su VyOS?
La configurazione BGP su VyOS inizia con set protocols bgp. In VyOS 1.4+ (Sagitta), il numero AS si imposta con system-as, non con il formato deprecato set protocols bgp <ASN> delle versioni precedenti.
Imposta il tuo numero AS e il router ID:
set protocols bgp system-as 64512
set protocols bgp parameters router-id 198.51.100.10
Configura il neighbor IPv4
set protocols bgp neighbor 198.51.100.1 remote-as 64501
set protocols bgp neighbor 198.51.100.1 description 'Upstream-v4'
set protocols bgp neighbor 198.51.100.1 update-source 198.51.100.10
Configura il neighbor IPv6
Se il tuo provider fa peering IPv6 su un indirizzo separato (prassi comune), aggiungi un secondo blocco neighbor:
set protocols bgp neighbor 2001:db8::1 remote-as 64501
set protocols bgp neighbor 2001:db8::1 description 'Upstream-v6'
set protocols bgp neighbor 2001:db8::1 update-source 2001:db8::10
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast
Per il neighbor IPv4, abilita esplicitamente l'address family ipv4-unicast:
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast
Come annunciare prefissi IPv4 e IPv6 su VyOS?
Per annunciare un prefisso via BGP servono due cose: un'istruzione network sotto l'address family corretta, e il prefisso deve esistere nella tabella di routing. L'approccio standard è creare una rotta statica blackhole (null route) per ogni prefisso.
Crea le rotte blackhole
set protocols static route 203.0.113.0/24 blackhole
set protocols static route6 2001:db8:1000::/48 blackhole
Queste rotte garantiscono che il prefisso sia sempre presente nella tabella di routing, anche quando non esistono rotte più specifiche.
Aggiungi le istruzioni network
set protocols bgp address-family ipv4-unicast network 203.0.113.0/24
set protocols bgp address-family ipv6-unicast network 2001:db8:1000::/48
Il comando network dice a BGP di originare questi prefissi. Senza la rotta blackhole corrispondente, BGP non annuncerà il prefisso.
Come filtrare le rotte BGP con prefix-list e route-map su VyOS?
Eseguire BGP senza filtri è negligente. Devi filtrare sia in uscita (annuncia solo ciò che possiedi) sia in entrata (limita ciò che accetti dall'upstream). VyOS usa prefix-list per IPv4 e prefix-list6 per IPv6. Attenzione a questo errore comune: usare prefix-list con un prefisso IPv6 fallisce silenziosamente.
Prefix-list in uscita
Crea una prefix-list che permette solo i tuoi prefissi:
set policy prefix-list EXPORT4 rule 10 action permit
set policy prefix-list EXPORT4 rule 10 prefix 203.0.113.0/24
set policy prefix-list6 EXPORT6 rule 10 action permit
set policy prefix-list6 EXPORT6 rule 10 prefix 2001:db8:1000::/48
Un deny-all implicito esiste alla fine di ogni prefix-list. Solo i prefissi esplicitamente permessi passano.
Prefix-list in entrata
Limita le rotte in entrata per evitare che l'upstream inondi la tua tabella con un full feed (se non lo hai richiesto) o rotte spazzatura:
set policy prefix-list IMPORT4 rule 10 action permit
set policy prefix-list IMPORT4 rule 10 prefix 0.0.0.0/0
set policy prefix-list IMPORT4 rule 10 le 24
set policy prefix-list6 IMPORT6 rule 10 action permit
set policy prefix-list6 IMPORT6 rule 10 prefix ::/0
set policy prefix-list6 IMPORT6 rule 10 le 48
Questo accetta qualsiasi prefisso IPv4 fino a /24 e qualsiasi prefisso IPv6 fino a /48. Regola i valori le in base alle tue necessità. Se vuoi solo una rotta di default, rimuovi la riga le e imposta il prefisso su 0.0.0.0/0 o ::/0 con match esatto.
Route-map
Le route-map collegano le prefix-list alle sessioni neighbor:
set policy route-map UPSTREAM-OUT4 rule 10 action permit
set policy route-map UPSTREAM-OUT4 rule 10 match ip address prefix-list EXPORT4
set policy route-map UPSTREAM-OUT6 rule 10 action permit
set policy route-map UPSTREAM-OUT6 rule 10 match ipv6 address prefix-list EXPORT6
set policy route-map UPSTREAM-IN4 rule 10 action permit
set policy route-map UPSTREAM-IN4 rule 10 match ip address prefix-list IMPORT4
set policy route-map UPSTREAM-IN6 rule 10 action permit
set policy route-map UPSTREAM-IN6 rule 10 match ipv6 address prefix-list IMPORT6
Applica le route-map ai neighbor
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast route-map export UPSTREAM-OUT4
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast route-map import UPSTREAM-IN4
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast route-map export UPSTREAM-OUT6
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast route-map import UPSTREAM-IN6
Come proteggere una sessione BGP su VyOS?
Quattro meccanismi rafforzano una sessione BGP: autenticazione TCP MD5, GTSM (TTL security), limiti max-prefix, e l'impostazione ebgp-requires-policy. La maggior parte dei concorrenti non ne copre nessuno. Tutti e quattro dovrebbero essere attivi di default.
Autenticazione MD5
MD5 (RFC 2385) firma ogni segmento TCP. Non cifra il traffico ma previene reset TCP spoofati e hijack di sessione:
set protocols bgp neighbor 198.51.100.1 password 'your-md5-secret'
set protocols bgp neighbor 2001:db8::1 password 'your-md5-secret'
Entrambi i lati devono usare la stessa password. Richiedila al tuo provider upstream durante il provisioning della sessione.
GTSM (Generalized TTL Security Mechanism)
GTSM (RFC 5082) rifiuta i pacchetti BGP con un TTL inferiore a quello atteso. Per peer eBGP direttamente connessi, imposta gli hop a 1:
set protocols bgp neighbor 198.51.100.1 ttl-security hops 1
set protocols bgp neighbor 2001:db8::1 ttl-security hops 1
Questo scarta qualsiasi pacchetto BGP che ha attraversato più di 1 hop, bloccando tentativi di spoofing remoti. GTSM è mutuamente esclusivo con ebgp-multihop. Non usarli entrambi sullo stesso neighbor.
Limiti max-prefix
Proteggi la tua tabella di routing da un peer che invia accidentalmente una full table (900k+ prefissi IPv4) o un route leak:
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast maximum-prefix 10000
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast maximum-prefix 5000
La sessione viene abbattuta se il peer supera questo limite. Imposta i valori in base a ciò che ti aspetti di ricevere. Per un singolo upstream con rotta di default, 10 è sufficiente. Per una full table, 1000000.
Forzare la policy eBGP
VyOS disabilita l'enforcement RFC 8212 di default per compatibilità. Abilitalo affinché BGP rifiuti di inviare o accettare rotte senza una policy esplicita:
set protocols bgp parameters ebgp-requires-policy
Con questa opzione attiva, un neighbor senza route-map applicata non scambierà alcuna rotta. Questo previene route leak accidentali se aggiungi un nuovo peer e dimentichi i filtri.
Come configurare il firewall VyOS per BGP?
BGP usa la porta TCP 179. Se hai un firewall VyOS attivo (e dovresti), consenti il traffico BGP solo dagli indirizzi di peering del tuo upstream.
Regole firewall IPv4
set firewall ipv4 input filter rule 20 action accept
set firewall ipv4 input filter rule 20 protocol tcp
set firewall ipv4 input filter rule 20 destination port 179
set firewall ipv4 input filter rule 20 source address 198.51.100.1
set firewall ipv4 input filter rule 20 description 'BGP from upstream v4'
set firewall ipv4 input filter rule 21 action accept
set firewall ipv4 input filter rule 21 protocol tcp
set firewall ipv4 input filter rule 21 source port 179
set firewall ipv4 input filter rule 21 source address 198.51.100.1
set firewall ipv4 input filter rule 21 description 'BGP return from upstream v4'
Regole firewall IPv6
set firewall ipv6 input filter rule 20 action accept
set firewall ipv6 input filter rule 20 protocol tcp
set firewall ipv6 input filter rule 20 destination port 179
set firewall ipv6 input filter rule 20 source address 2001:db8::1
set firewall ipv6 input filter rule 20 description 'BGP from upstream v6'
set firewall ipv6 input filter rule 21 action accept
set firewall ipv6 input filter rule 21 protocol tcp
set firewall ipv6 input filter rule 21 source port 179
set firewall ipv6 input filter rule 21 source address 2001:db8::1
set firewall ipv6 input filter rule 21 description 'BGP return from upstream v6'
La regola 21 gestisce il traffico di ritorno quando il lato remoto inizia la connessione TCP sulla porta sorgente 179. Se hai il connection tracking established/related abilitato nel firewall, la regola 21 potrebbe non essere necessaria. Includila per sicurezza.
Commit, save e il workflow di configurazione VyOS
VyOS usa un workflow a due fasi. commit attiva le modifiche in staging nella configurazione attiva. save scrive la configurazione attiva su disco perché persista tra i riavvii. Dimenticare save significa che un riavvio cancella le modifiche.
commit
Se il commit va a buon fine senza errori, salva:
save
Output atteso:
Saving configuration to '/config/config.boot'...
Done
Se commit fallisce, VyOS mostra l'errore e ripristina la configurazione precedente. Leggi l'errore. Cause comuni: errori di battitura negli indirizzi IP, opzioni in conflitto (come ttl-security e ebgp-multihop sullo stesso neighbor), o riferimenti a una prefix-list inesistente.
Per rivedere le modifiche in staging prima del commit:
compare
Questo mostra un diff tra la configurazione attiva e le modifiche pendenti. Per scartare le modifiche non committate:
discard
Per ripristinare un commit precedente:
rollback 1
commit
save
Come verificare che i tuoi annunci BGP siano visibili?
La verifica avviene in due fasi: locale (sull'istanza VyOS) ed esterna (da internet). Esci prima dalla modalità configurazione:
exit
Verifica locale
Controlla lo stato della sessione per entrambe le address family:
show bgp ipv4 summary
Output atteso:
IPv4 Unicast Summary:
BGP router identifier 198.51.100.10, local AS number 64512 vrf-id 0
BGP table version 3
RIB entries 5, using 960 bytes of memory
Peers 1, using 725 KiB of memory
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
198.51.100.1 4 64501 142 138 0 0 0 01:15:23 2
La colonna State/PfxRcd mostra un numero (prefissi ricevuti) quando la sessione è stabilita. Se mostra Active, Connect o OpenSent, la sessione non è attiva. Consulta la sezione troubleshooting.
show bgp ipv6 summary
Verifica che stai annunciando i prefissi corretti:
show bgp ipv4 neighbors 198.51.100.1 advertised-routes
L'output atteso include il tuo prefisso 203.0.113.0/24. Se manca, controlla l'istruzione network e la route-map in uscita.
show bgp ipv6 neighbors 2001:db8::1 advertised-routes
Riferimento comandi di verifica
| Comando | Cosa mostra |
|---|---|
show bgp ipv4 summary |
Stato della sessione, prefissi ricevuti per peer |
show bgp ipv6 summary |
Lo stesso per IPv6 |
show bgp ipv4 neighbors <ip> advertised-routes |
Prefissi che stai inviando |
show bgp ipv4 neighbors <ip> received-routes |
Prefissi ricevuti dal peer |
show bgp ipv4 neighbors <ip> |
Dettaglio completo del neighbor (timer, capability, contatori) |
show ip route bgp |
Rotte BGP installate nella tabella di routing |
show bgp ipv4 |
Tabella BGP IPv4 completa |
Verifica esterna
I controlli locali confermano solo ciò che il tuo router pensa. Verifica da internet che i tuoi prefissi si stiano effettivamente propagando.
bgp.tools: Apri https://bgp.tools/prefix/203.0.113.0/24 nel browser. Mostra quali AS vedono il prefisso, l'AS path, e lo stato di validazione RPKI. Se il prefisso non appare, attendi 5-10 minuti per la propagazione e ricontrolla.
RIPE Stat: Apri https://stat.ripe.net/203.0.113.0/24 per lo stato del routing, la visibilità sui route collector, e lo stato di validazione RPKI.
Looking glass: Molti provider di transito offrono strumenti looking glass. Interroga il looking glass del tuo upstream per confermare che vede il tuo annuncio.
Se il tuo prefisso risulta RPKI-invalid su bgp.tools, il tuo ROA è errato. Correggilo nel portale RIPE prima di proseguire. Guida setup RPKI ROA
VyOS CLI vs BIRD2 vs FRR: confronto rapido
Tutti e tre possono eseguire BGP su un VPS Linux. La scelta dipende dalle tue preferenze di workflow.
| Task | VyOS CLI | BIRD2 config file | FRR vtysh |
|---|---|---|---|
| Impostare il numero AS | set protocols bgp system-as 64512 |
protocol bgp { local 64512 as 64512; } |
router bgp 64512 |
| Aggiungere un neighbor | set protocols bgp neighbor 1.2.3.4 remote-as 64501 |
neighbor 1.2.3.4 as 64501; dentro il blocco protocol |
neighbor 1.2.3.4 remote-as 64501 |
| Annunciare un prefisso | set protocols bgp address-family ipv4-unicast network 203.0.113.0/24 |
protocol static { route 203.0.113.0/24 blackhole; } + export filter |
network 203.0.113.0/24 |
| Prefix-list | set policy prefix-list NAME rule 10 ... |
define PFXLIST = [ 203.0.113.0/24 ]; |
ip prefix-list NAME permit ... |
| Applicare modifiche | commit / save |
birdc configure |
write memory |
| Rollback | rollback N + commit |
Ripristino file di configurazione di backup | Nessun rollback integrato |
| Formato configurazione | CLI gerarchica | DSL personalizzato (simile al C) | CLI tipo IOS |
| Daemon sottostante | FRR (integrato) | BIRD | FRR |
VyOS integra FRR internamente ma lo avvolge in un workflow commit/rollback. Se vuoi modifiche atomiche alla configurazione e rollback senza scrivere script, VyOS è la scelta giusta. Se vuoi il massimo controllo sulla logica dei filtri, BIRD2 offre un linguaggio di programmazione completo. Tutorial BGP BIRD2 Tutorial BGP FRR
Quali sono i passaggi comuni per il troubleshooting BGP su VyOS?
Quando una sessione non si stabilisce o i prefissi non sono visibili, segui questi controlli sistematicamente.
| Sintomo | Causa probabile | Soluzione |
|---|---|---|
Stato bloccato su Active |
Connessione TCP fallita. Firewall che blocca la porta 179, IP del neighbor errato, o il lato remoto non è configurato. | Controlla le regole firewall. Verifica che l'IP del neighbor corrisponda a ciò che ha configurato l'upstream. Prova un ping verso l'indirizzo del peer. |
Stato bloccato su OpenSent |
TCP connesso ma BGP OPEN rifiutato. Mismatch del numero AS o fallimento della negoziazione delle capability. | Verifica che system-as corrisponda a ciò che l'upstream si aspetta. Controlla show bgp ipv4 neighbors <ip> cercando "Notification received". |
Stato bloccato su OpenConfirm |
Mismatch della password MD5. TCP connesso (SYN/ACK funziona senza controllo MD5) ma i messaggi BGP falliscono l'autenticazione. | Conferma che la password corrisponda su entrambi i lati. MD5 è case-sensitive. |
| Sessione stabilita ma 0 prefissi ricevuti | L'upstream non sta inviando rotte, o la tua route-map in entrata nega tutto. | Controlla show bgp ipv4 neighbors <ip> received-routes. Se vuoto, chiedi al tuo upstream. Se le rotte appaiono lì ma non nella tabella, controlla la route-map di import. |
| Il tuo prefisso non è visibile esternamente | Route-map in uscita che blocca, istruzione network mancante, o nessuna rotta blackhole. | Esegui show bgp ipv4 neighbors <ip> advertised-routes. Se il prefisso manca, controlla la route-map in uscita e l'istruzione network. Verifica che la rotta blackhole esista con show ip route 203.0.113.0/24. |
| RPKI Invalid su bgp.tools | Mismatch ROA. L'origin AS o il max-length nel ROA non corrisponde al tuo annuncio. | Correggi il ROA nel portale RIPE. Assicurati che l'origin AS corrisponda a system-as e che il max-length copra /24. |
| Sessione che oscilla (flapping) | Problemi di MTU, link instabile, o limite max-prefix raggiunto. | Controlla show log per i messaggi BGP. Se è scattato il max-prefix, aumenta il limite o indaga perché il peer sta inviando rotte in eccesso. |
Leggi i log
VyOS registra gli eventi BGP tramite il journal di sistema:
show log | match bgp
Per il monitoraggio in tempo reale:
monitor log | match bgp
Sul sistema sottostante (se servono più dettagli):
journalctl -u frr -f
Questo segue i log del daemon FRR in diretta. Cerca i messaggi NOTIFICATION, che contengono il codice di errore BGP e il sotto-codice.
Riferimento configurazione completa
Ecco il blocco di configurazione completo come riferimento. Copia, sostituisci i valori placeholder, incolla in modalità configurazione, commit e save:
# Enter configuration mode
configure
# BGP core
set protocols bgp system-as 64512
set protocols bgp parameters router-id 198.51.100.10
set protocols bgp parameters ebgp-requires-policy
# Blackhole routes for prefix origination
set protocols static route 203.0.113.0/24 blackhole
set protocols static route6 2001:db8:1000::/48 blackhole
# Network statements
set protocols bgp address-family ipv4-unicast network 203.0.113.0/24
set protocols bgp address-family ipv6-unicast network 2001:db8:1000::/48
# IPv4 neighbor
set protocols bgp neighbor 198.51.100.1 remote-as 64501
set protocols bgp neighbor 198.51.100.1 description 'Upstream-v4'
set protocols bgp neighbor 198.51.100.1 update-source 198.51.100.10
set protocols bgp neighbor 198.51.100.1 password 'your-md5-secret'
set protocols bgp neighbor 198.51.100.1 ttl-security hops 1
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast maximum-prefix 10000
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast route-map export UPSTREAM-OUT4
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast route-map import UPSTREAM-IN4
# IPv6 neighbor
set protocols bgp neighbor 2001:db8::1 remote-as 64501
set protocols bgp neighbor 2001:db8::1 description 'Upstream-v6'
set protocols bgp neighbor 2001:db8::1 update-source 2001:db8::10
set protocols bgp neighbor 2001:db8::1 password 'your-md5-secret'
set protocols bgp neighbor 2001:db8::1 ttl-security hops 1
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast maximum-prefix 5000
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast route-map export UPSTREAM-OUT6
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast route-map import UPSTREAM-IN6
# Outbound prefix-lists (only announce what you own)
set policy prefix-list EXPORT4 rule 10 action permit
set policy prefix-list EXPORT4 rule 10 prefix 203.0.113.0/24
set policy prefix-list6 EXPORT6 rule 10 action permit
set policy prefix-list6 EXPORT6 rule 10 prefix 2001:db8:1000::/48
# Inbound prefix-lists
set policy prefix-list IMPORT4 rule 10 action permit
set policy prefix-list IMPORT4 rule 10 prefix 0.0.0.0/0
set policy prefix-list IMPORT4 rule 10 le 24
set policy prefix-list6 IMPORT6 rule 10 action permit
set policy prefix-list6 IMPORT6 rule 10 prefix ::/0
set policy prefix-list6 IMPORT6 rule 10 le 48
# Route-maps
set policy route-map UPSTREAM-OUT4 rule 10 action permit
set policy route-map UPSTREAM-OUT4 rule 10 match ip address prefix-list EXPORT4
set policy route-map UPSTREAM-OUT6 rule 10 action permit
set policy route-map UPSTREAM-OUT6 rule 10 match ipv6 address prefix-list EXPORT6
set policy route-map UPSTREAM-IN4 rule 10 action permit
set policy route-map UPSTREAM-IN4 rule 10 match ip address prefix-list IMPORT4
set policy route-map UPSTREAM-IN6 rule 10 action permit
set policy route-map UPSTREAM-IN6 rule 10 match ipv6 address prefix-list IMPORT6
# Firewall - allow BGP from upstream only
set firewall ipv4 input filter rule 20 action accept
set firewall ipv4 input filter rule 20 protocol tcp
set firewall ipv4 input filter rule 20 destination port 179
set firewall ipv4 input filter rule 20 source address 198.51.100.1
set firewall ipv4 input filter rule 20 description 'BGP from upstream v4'
set firewall ipv6 input filter rule 20 action accept
set firewall ipv6 input filter rule 20 protocol tcp
set firewall ipv6 input filter rule 20 destination port 179
set firewall ipv6 input filter rule 20 source address 2001:db8::1
set firewall ipv6 input filter rule 20 description 'BGP from upstream v6'
# Apply
commit
save
Ulteriori letture
- Tutorial BGP BIRD2 -- Stesso obiettivo, strumento diverso: BIRD2 su Linux nativo
- Tutorial BGP FRR -- Approccio FRR per chi preferisce vtysh senza VyOS
- Guida setup RPKI ROA -- Configurazione degli oggetti ROA prima di annunciare i prefissi
- Approfondimento sul filtraggio rotte BGP -- Approfondimento sulle strategie di filtraggio delle rotte
- Documentazione BGP VyOS -- Riferimento ufficiale per tutte le opzioni BGP
- bgp.tools -- Strumento esterno di verifica visibilità rotte BGP
Copyright 2026 Virtua.Cloud. Tutti i diritti riservati. Questo contenuto è un'opera originale del team Virtua.Cloud. La riproduzione, ripubblicazione o redistribuzione senza autorizzazione scritta è vietata.
Pronto a provare?
Distribuisci il tuo server in pochi secondi. Linux, Windows o FreeBSD.
Vedi piani VPS