VyOS BGP-configuratie op een VPS: Dual-Stack Tutorial
Configureer BGP op een VyOS-instantie op een VPS om je eigen IPv4- en IPv6-prefixen aan te kondigen. Behandelt prefix-lists, route-maps, sessiebeveiliging en externe verificatie.
Netwerkengineers die dagelijks met Junos of IOS werken kennen de frustratie van het bewerken van platte configuratiebestanden voor BIRD2 of FRR. VyOS geeft je een volwaardige router-CLI op een VPS: hierarchische configuratie, commit/rollback, tab-completion. Deze tutorial doorloopt een volledige BGP-setup op een Virtua Cloud VPS met VyOS, van interface-configuratie tot geverifieerde dual-stack prefix-aankondiging.
Aan het einde heb je IPv4- en IPv6-prefixen aangekondigd via BGP met prefix-lists, route-maps, MD5-authenticatie, GTSM en max-prefix limieten.
BGP en Bring Your Own IP op een VPS: de complete gids
Vereisten
Voordat je begint, heb je het volgende nodig:
- Een ASN geregistreerd bij een RIR (RIPE NCC, ARIN, APNIC). Een ASN registreren bij RIPE NCC
- Minimaal een IPv4 /24 en/of IPv6 /48 prefix toegewezen aan je ASN.
- Geldige ROA-objecten gepubliceerd in RPKI voor elke prefix. RPKI ROA voor BGP: ROA's aanmaken, routes valideren in BIRD2 en FRR
- Een Virtua Cloud VPS met VyOS geïnstalleerd. Bestel een VPS met de ISO-image optie, mount de VyOS ISO en voltooi de installatie (
install imagevanuit het live systeem). Herstart, ontkoppel de ISO, en je hebt een persistente VyOS-instantie. - Een BGP-sessie ingericht door je upstream provider. Je hebt nodig: hun ASN, de peering IPv4/IPv6-adressen en het MD5-wachtwoord (indien ingesteld).
In deze tutorial gebruiken we de volgende placeholders. Vervang ze door je eigen waarden:
| Parameter | Placeholder | Beschrijving |
|---|---|---|
| Je ASN | 64512 |
Je autonomous system number |
| Router ID | 198.51.100.10 |
Meestal je primaire IPv4-adres |
| Upstream ASN | 64501 |
Het AS-nummer van je provider |
| Upstream IPv4 | 198.51.100.1 |
IPv4-peeringadres van de provider |
| Je peering IPv4 | 198.51.100.10 |
Jouw kant van de point-to-point link |
| Upstream IPv6 | 2001:db8::1 |
IPv6-peeringadres van de provider |
| Je peering IPv6 | 2001:db8::10 |
Jouw kant van de IPv6 peering link |
| Je IPv4 prefix | 203.0.113.0/24 |
De prefix die je aankondigt |
| Je IPv6 prefix | 2001:db8:1000::/48 |
De IPv6 prefix die je aankondigt |
| MD5-wachtwoord | (van provider) | Gedeeld geheim voor TCP MD5 |
Hoe krijg ik toegang tot VyOS op een VPS en bereid ik het voor?
Na het inrichten, SSH je naar de VyOS-instantie. VyOS plaatst je in een operational mode shell. Om configuratiewijzigingen aan te brengen, ga je naar configuration mode:
ssh vyos@198.51.100.10
configure
De prompt verandert van $ naar #, wat aangeeft dat je in configuration mode bent. Elk set-commando staged een wijziging. Niets wordt actief totdat je commit uitvoert.
Interface verifiëren
Controleer of je netwerkinterface de juiste adressen heeft. Op een Virtua VPS is de primaire interface doorgaans eth0:
show interfaces ethernet eth0
Als je peeringadressen nog niet geconfigureerd zijn (sommige providers gebruiken een apart /30 of /31 voor de point-to-point link), voeg ze dan toe:
set interfaces ethernet eth0 address 198.51.100.10/24
set interfaces ethernet eth0 address 2001:db8::10/64
Hoe stel ik een BGP-sessie in op VyOS?
VyOS BGP-configuratie begint met set protocols bgp. In VyOS 1.4+ (Sagitta) wordt het AS-nummer ingesteld met system-as, niet het verouderde set protocols bgp <ASN>-formaat uit oudere releases.
Stel je AS-nummer en router ID in:
set protocols bgp system-as 64512
set protocols bgp parameters router-id 198.51.100.10
IPv4 neighbor configureren
set protocols bgp neighbor 198.51.100.1 remote-as 64501
set protocols bgp neighbor 198.51.100.1 description 'Upstream-v4'
set protocols bgp neighbor 198.51.100.1 update-source 198.51.100.10
IPv6 neighbor configureren
Als je provider IPv6 peert via een apart adres (gebruikelijk), voeg dan een tweede neighbor block toe:
set protocols bgp neighbor 2001:db8::1 remote-as 64501
set protocols bgp neighbor 2001:db8::1 description 'Upstream-v6'
set protocols bgp neighbor 2001:db8::1 update-source 2001:db8::10
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast
Activeer voor de IPv4 neighbor de ipv4-unicast address family expliciet:
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast
Hoe kondig ik IPv4- en IPv6-prefixen aan op VyOS?
Om een prefix via BGP aan te kondigen zijn twee dingen nodig: een network-statement onder de juiste address family, en de prefix moet bestaan in de routeringstabel. De standaardaanpak is een statische blackhole route (null route) aanmaken voor elke prefix.
Blackhole routes aanmaken
set protocols static route 203.0.113.0/24 blackhole
set protocols static route6 2001:db8:1000::/48 blackhole
Deze routes zorgen ervoor dat de prefix altijd aanwezig is in de routeringstabel, ook wanneer er geen meer-specifieke routes bestaan.
Network statements toevoegen
set protocols bgp address-family ipv4-unicast network 203.0.113.0/24
set protocols bgp address-family ipv6-unicast network 2001:db8:1000::/48
Het network-commando vertelt BGP om deze prefixen te origineren. Zonder de bijbehorende blackhole route zal BGP de prefix niet adverteren.
Hoe filter ik BGP-routes met prefix-lists en route-maps op VyOS?
BGP draaien zonder filters is nalatig. Je moet zowel outbound (kondig alleen aan wat je bezit) als inbound (beperk wat je accepteert van de upstream) filteren. VyOS gebruikt prefix-list voor IPv4 en prefix-list6 voor IPv6. Dit is een veelgemaakte fout: prefix-list gebruiken met een IPv6 prefix faalt stilzwijgend.
Outbound prefix-lists
Maak een prefix-list die alleen je eigen prefixen toestaat:
set policy prefix-list EXPORT4 rule 10 action permit
set policy prefix-list EXPORT4 rule 10 prefix 203.0.113.0/24
set policy prefix-list6 EXPORT6 rule 10 action permit
set policy prefix-list6 EXPORT6 rule 10 prefix 2001:db8:1000::/48
Er is een impliciete deny-all aan het einde van elke prefix-list. Alleen expliciet toegestane prefixen passeren.
Inbound prefix-lists
Beperk inkomende routes om te voorkomen dat je upstream je tabel overspoelt met een full feed (als je die niet hebt aangevraagd) of rommel lekt:
set policy prefix-list IMPORT4 rule 10 action permit
set policy prefix-list IMPORT4 rule 10 prefix 0.0.0.0/0
set policy prefix-list IMPORT4 rule 10 le 24
set policy prefix-list6 IMPORT6 rule 10 action permit
set policy prefix-list6 IMPORT6 rule 10 prefix ::/0
set policy prefix-list6 IMPORT6 rule 10 le 48
Dit accepteert elke IPv4 prefix tot /24 en elke IPv6 prefix tot /48. Pas de le-waarden aan op basis van je behoeften. Als je alleen een default route wilt, verwijder dan de le-regel en stel de prefix in op 0.0.0.0/0 of ::/0 met exact match.
Route-maps
Route-maps koppelen prefix-lists aan neighbor sessies:
set policy route-map UPSTREAM-OUT4 rule 10 action permit
set policy route-map UPSTREAM-OUT4 rule 10 match ip address prefix-list EXPORT4
set policy route-map UPSTREAM-OUT6 rule 10 action permit
set policy route-map UPSTREAM-OUT6 rule 10 match ipv6 address prefix-list EXPORT6
set policy route-map UPSTREAM-IN4 rule 10 action permit
set policy route-map UPSTREAM-IN4 rule 10 match ip address prefix-list IMPORT4
set policy route-map UPSTREAM-IN6 rule 10 action permit
set policy route-map UPSTREAM-IN6 rule 10 match ipv6 address prefix-list IMPORT6
Route-maps toepassen op neighbors
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast route-map export UPSTREAM-OUT4
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast route-map import UPSTREAM-IN4
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast route-map export UPSTREAM-OUT6
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast route-map import UPSTREAM-IN6
Hoe beveilig ik een VyOS BGP-sessie?
Vier mechanismen harden een BGP-sessie: TCP MD5-authenticatie, GTSM (TTL security), maximum prefix limieten en de ebgp-requires-policy-instelling. De meeste concurrenten behandelen er nul. Alle vier zouden standaard aan moeten staan.
MD5-authenticatie
MD5 (RFC 2385) ondertekent elk TCP-segment. Het versleutelt geen verkeer maar voorkomt gespoofde TCP-resets en sessiekapingen:
set protocols bgp neighbor 198.51.100.1 password 'your-md5-secret'
set protocols bgp neighbor 2001:db8::1 password 'your-md5-secret'
Beide kanten moeten hetzelfde wachtwoord gebruiken. Vraag het op bij je upstream provider tijdens het inrichten van de sessie.
GTSM (Generalized TTL Security Mechanism)
GTSM (RFC 5082) weigert BGP-pakketten met een lagere TTL dan verwacht. Voor direct verbonden eBGP peers, stel hops in op 1:
set protocols bgp neighbor 198.51.100.1 ttl-security hops 1
set protocols bgp neighbor 2001:db8::1 ttl-security hops 1
Dit dropt elk BGP-pakket dat meer dan 1 hop heeft afgelegd, waardoor remote spoofingpogingen worden geblokkeerd. GTSM is wederzijds exclusief met ebgp-multihop. Gebruik ze niet allebei op dezelfde neighbor.
Maximum prefix limieten
Bescherm je routeringstabel tegen een peer die per ongeluk een volledige tabel stuurt (900k+ IPv4 prefixen) of een route leak:
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast maximum-prefix 10000
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast maximum-prefix 5000
De sessie wordt afgebroken als de peer deze limiet overschrijdt. Stel waarden in op basis van wat je verwacht te ontvangen. Voor een enkele upstream met een default route is 10 voldoende. Voor een full table, 1000000.
eBGP policy afdwingen
VyOS schakelt RFC 8212 enforcement standaard uit voor backward compatibility. Schakel het in zodat BGP weigert routes te verzenden of accepteren zonder expliciet beleid:
set protocols bgp parameters ebgp-requires-policy
Met dit ingeschakeld zal een neighbor zonder toegepaste route-map geen routes uitwisselen. Dit voorkomt onbedoelde route leaks als je een nieuwe peer toevoegt en filters vergeet.
Hoe configureer ik de VyOS firewall voor BGP?
BGP draait op TCP-poort 179. Als je een VyOS firewall draait (en dat zou je moeten), sta BGP-verkeer alleen toe vanaf de peeringadressen van je upstream.
IPv4 firewall regels
set firewall ipv4 input filter rule 20 action accept
set firewall ipv4 input filter rule 20 protocol tcp
set firewall ipv4 input filter rule 20 destination port 179
set firewall ipv4 input filter rule 20 source address 198.51.100.1
set firewall ipv4 input filter rule 20 description 'BGP from upstream v4'
set firewall ipv4 input filter rule 21 action accept
set firewall ipv4 input filter rule 21 protocol tcp
set firewall ipv4 input filter rule 21 source port 179
set firewall ipv4 input filter rule 21 source address 198.51.100.1
set firewall ipv4 input filter rule 21 description 'BGP return from upstream v4'
IPv6 firewall regels
set firewall ipv6 input filter rule 20 action accept
set firewall ipv6 input filter rule 20 protocol tcp
set firewall ipv6 input filter rule 20 destination port 179
set firewall ipv6 input filter rule 20 source address 2001:db8::1
set firewall ipv6 input filter rule 20 description 'BGP from upstream v6'
set firewall ipv6 input filter rule 21 action accept
set firewall ipv6 input filter rule 21 protocol tcp
set firewall ipv6 input filter rule 21 source port 179
set firewall ipv6 input filter rule 21 source address 2001:db8::1
set firewall ipv6 input filter rule 21 description 'BGP return from upstream v6'
Regel 21 verwerkt retourverkeer wanneer de remote kant de TCP-verbinding initieert op source port 179. Als je established/related connection tracking hebt ingeschakeld in je firewall, is regel 21 mogelijk overbodig. Neem het op voor de zekerheid.
Commit, save en de VyOS config workflow
VyOS gebruikt een tweefasen workflow. commit activeert de gestaged wijzigingen in de draaiende configuratie. save schrijft de draaiende configuratie naar schijf zodat deze bewaard blijft bij herstarts. Als je save vergeet, wist een herstart je wijzigingen.
commit
Als commit slaagt zonder fouten, sla op:
save
Verwachte output:
Saving configuration to '/config/config.boot'...
Done
Als commit faalt, toont VyOS de fout en draait terug. Lees de fout. Veelvoorkomende oorzaken: typefouten in IP-adressen, conflicterende opties (zoals ttl-security en ebgp-multihop op dezelfde neighbor), of verwijzing naar een prefix-list die niet bestaat.
Om je gestaged wijzigingen te bekijken voor het committen:
compare
Dit toont een diff tussen de draaiende configuratie en je openstaande wijzigingen. Om uncommitted wijzigingen te verwerpen:
discard
Om terug te rollen naar een vorige commit:
rollback 1
commit
save
Hoe verifieer ik dat mijn BGP-aankondigingen zichtbaar zijn?
Verificatie verloopt in twee fasen: lokaal (op de VyOS-instantie) en extern (vanaf het internet). Verlaat eerst configuration mode:
exit
Lokale verificatie
Controleer de sessiestatus voor beide address families:
show bgp ipv4 summary
Verwachte output:
IPv4 Unicast Summary:
BGP router identifier 198.51.100.10, local AS number 64512 vrf-id 0
BGP table version 3
RIB entries 5, using 960 bytes of memory
Peers 1, using 725 KiB of memory
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
198.51.100.1 4 64501 142 138 0 0 0 01:15:23 2
De kolom State/PfxRcd toont een getal (ontvangen prefixen) wanneer de sessie established is. Als het Active, Connect of OpenSent toont, is de sessie niet actief. Zie de troubleshooting-sectie.
show bgp ipv6 summary
Verifieer dat je de juiste prefixen adverteert:
show bgp ipv4 neighbors 198.51.100.1 advertised-routes
De verwachte output bevat je 203.0.113.0/24 prefix. Als deze ontbreekt, controleer je network statement en outbound route-map.
show bgp ipv6 neighbors 2001:db8::1 advertised-routes
Verificatiecommando's referentie
| Commando | Wat het toont |
|---|---|
show bgp ipv4 summary |
Sessiestatus, ontvangen prefixen per peer |
show bgp ipv6 summary |
Idem voor IPv6 |
show bgp ipv4 neighbors <ip> advertised-routes |
Prefixen die je verstuurt |
show bgp ipv4 neighbors <ip> received-routes |
Ontvangen prefixen van peer |
show bgp ipv4 neighbors <ip> |
Volledige neighbor details (timers, capabilities, tellers) |
show ip route bgp |
BGP-routes geïnstalleerd in de routeringstabel |
show bgp ipv4 |
Volledige IPv4 BGP-tabel |
Externe verificatie
Lokale controles bevestigen alleen wat je router denkt. Verifieer vanaf het internet dat je prefixen daadwerkelijk propageren.
bgp.tools: Open https://bgp.tools/prefix/203.0.113.0/24 in een browser. Het toont welke ASen de prefix zien, het AS path en de RPKI-validatiestatus. Als de prefix niet verschijnt, wacht 5-10 minuten op propagatie en controleer opnieuw.
RIPE Stat: Open https://stat.ripe.net/203.0.113.0/24 voor routeringstatus, zichtbaarheid over route collectors en RPKI-validatiestatus.
Looking glass: Veel transit providers bieden looking glass tools aan. Bevraag de looking glass van je upstream om te bevestigen dat ze je aankondiging zien.
Als je prefix RPKI-invalid toont op bgp.tools, is je ROA fout. Corrigeer het in het RIPE-portaal voordat je verdergaat. RPKI ROA voor BGP: ROA's aanmaken, routes valideren in BIRD2 en FRR
VyOS CLI vs BIRD2 vs FRR: snelle vergelijking
Alle drie kunnen BGP draaien op een Linux VPS. De keuze hangt af van je workflowvoorkeur.
| Taak | VyOS CLI | BIRD2 config file | FRR vtysh |
|---|---|---|---|
| AS-nummer instellen | set protocols bgp system-as 64512 |
protocol bgp { local 64512 as 64512; } |
router bgp 64512 |
| Neighbor toevoegen | set protocols bgp neighbor 1.2.3.4 remote-as 64501 |
neighbor 1.2.3.4 as 64501; in protocol block |
neighbor 1.2.3.4 remote-as 64501 |
| Prefix aankondigen | set protocols bgp address-family ipv4-unicast network 203.0.113.0/24 |
protocol static { route 203.0.113.0/24 blackhole; } + export filter |
network 203.0.113.0/24 |
| Prefix-list | set policy prefix-list NAME rule 10 ... |
define PFXLIST = [ 203.0.113.0/24 ]; |
ip prefix-list NAME permit ... |
| Wijzigingen toepassen | commit / save |
birdc configure |
write memory |
| Rollback | rollback N + commit |
Backup configuratiebestand herstellen | Geen ingebouwde rollback |
| Configuratieformaat | Hierarchische CLI | Custom DSL (C-achtig) | IOS-achtige CLI |
| Onderliggende daemon | FRR (gebundeld) | BIRD | FRR |
VyOS bundelt FRR intern maar verpakt het in een commit/rollback workflow. Als je atomaire configuratiewijzigingen en rollback wilt zonder scripts te schrijven, is VyOS de juiste keuze. Als je maximale controle over filterlogica wilt, biedt BIRD2 je een volledige programmeertaal. BIRD2 BGP-configuratie op een Linux VPS FRRouting BGP-configuratie op een Linux VPS
Wat zijn veelvoorkomende VyOS BGP troubleshooting stappen?
Wanneer een sessie niet opkomt of prefixen niet zichtbaar zijn, doorloop deze controles systematisch.
| Symptoom | Waarschijnlijke oorzaak | Oplossing |
|---|---|---|
Status blijft op Active |
TCP-verbinding faalt. Firewall blokkeert poort 179, verkeerd neighbor IP, of de remote kant is niet geconfigureerd. | Controleer firewallregels. Verifieer dat het neighbor IP overeenkomt met wat de upstream heeft geconfigureerd. Probeer ping naar het peer-adres. |
Status blijft op OpenSent |
TCP verbindt maar BGP OPEN wordt geweigerd. AS-nummer mismatch of capability negotiation mislukt. | Verifieer dat system-as overeenkomt met wat de upstream verwacht. Controleer show bgp ipv4 neighbors <ip> voor "Notification received". |
Status blijft op OpenConfirm |
MD5-wachtwoord mismatch. TCP verbindt (SYN/ACK werkt zonder MD5-controle) maar BGP-berichten falen op authenticatie. | Bevestig dat het password aan beide kanten overeenkomt. MD5 is hoofdlettergevoelig. |
| Sessie established maar 0 prefixen ontvangen | Upstream stuurt geen routes, of je inbound route-map weigert alles. | Controleer show bgp ipv4 neighbors <ip> received-routes. Als leeg, vraag je upstream. Als routes daar wel staan maar niet in de tabel, controleer je import route-map. |
| Je prefix niet extern zichtbaar | Outbound route-map blokkeert, ontbrekend network statement, of geen blackhole route. | Voer show bgp ipv4 neighbors <ip> advertised-routes uit. Als de prefix ontbreekt, controleer de outbound route-map en het network-statement. Verifieer dat de blackhole route bestaat met show ip route 203.0.113.0/24. |
| RPKI Invalid op bgp.tools | ROA mismatch. De origin AS of max-length in de ROA komt niet overeen met je aankondiging. | Corrigeer de ROA in het RIPE-portaal. Zorg dat de origin AS overeenkomt met system-as en max-length /24 dekt. |
| Sessie flapt | MTU-problemen, instabiele link, of max-prefix limiet bereikt. | Controleer show log voor BGP-berichten. Als max-prefix triggerde, verhoog de limiet of onderzoek waarom de peer te veel routes stuurt. |
Logs lezen
VyOS logt BGP-events via het systeemjournaal:
show log | match bgp
Voor realtime monitoring:
monitor log | match bgp
Op het onderliggende systeem (als je meer detail nodig hebt):
journalctl -u frr -f
Dit tailt de FRR daemon logs direct. Zoek naar NOTIFICATION-berichten, die de BGP error code en subcode bevatten.
Volledige configuratiereferentie
Hier is het volledige configuratieblok ter referentie. Kopieer, vervang placeholderwaarden, plak in configuration mode, commit en save:
# Enter configuration mode
configure
# BGP core
set protocols bgp system-as 64512
set protocols bgp parameters router-id 198.51.100.10
set protocols bgp parameters ebgp-requires-policy
# Blackhole routes for prefix origination
set protocols static route 203.0.113.0/24 blackhole
set protocols static route6 2001:db8:1000::/48 blackhole
# Network statements
set protocols bgp address-family ipv4-unicast network 203.0.113.0/24
set protocols bgp address-family ipv6-unicast network 2001:db8:1000::/48
# IPv4 neighbor
set protocols bgp neighbor 198.51.100.1 remote-as 64501
set protocols bgp neighbor 198.51.100.1 description 'Upstream-v4'
set protocols bgp neighbor 198.51.100.1 update-source 198.51.100.10
set protocols bgp neighbor 198.51.100.1 password 'your-md5-secret'
set protocols bgp neighbor 198.51.100.1 ttl-security hops 1
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast maximum-prefix 10000
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast route-map export UPSTREAM-OUT4
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast route-map import UPSTREAM-IN4
# IPv6 neighbor
set protocols bgp neighbor 2001:db8::1 remote-as 64501
set protocols bgp neighbor 2001:db8::1 description 'Upstream-v6'
set protocols bgp neighbor 2001:db8::1 update-source 2001:db8::10
set protocols bgp neighbor 2001:db8::1 password 'your-md5-secret'
set protocols bgp neighbor 2001:db8::1 ttl-security hops 1
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast maximum-prefix 5000
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast route-map export UPSTREAM-OUT6
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast route-map import UPSTREAM-IN6
# Outbound prefix-lists (only announce what you own)
set policy prefix-list EXPORT4 rule 10 action permit
set policy prefix-list EXPORT4 rule 10 prefix 203.0.113.0/24
set policy prefix-list6 EXPORT6 rule 10 action permit
set policy prefix-list6 EXPORT6 rule 10 prefix 2001:db8:1000::/48
# Inbound prefix-lists
set policy prefix-list IMPORT4 rule 10 action permit
set policy prefix-list IMPORT4 rule 10 prefix 0.0.0.0/0
set policy prefix-list IMPORT4 rule 10 le 24
set policy prefix-list6 IMPORT6 rule 10 action permit
set policy prefix-list6 IMPORT6 rule 10 prefix ::/0
set policy prefix-list6 IMPORT6 rule 10 le 48
# Route-maps
set policy route-map UPSTREAM-OUT4 rule 10 action permit
set policy route-map UPSTREAM-OUT4 rule 10 match ip address prefix-list EXPORT4
set policy route-map UPSTREAM-OUT6 rule 10 action permit
set policy route-map UPSTREAM-OUT6 rule 10 match ipv6 address prefix-list EXPORT6
set policy route-map UPSTREAM-IN4 rule 10 action permit
set policy route-map UPSTREAM-IN4 rule 10 match ip address prefix-list IMPORT4
set policy route-map UPSTREAM-IN6 rule 10 action permit
set policy route-map UPSTREAM-IN6 rule 10 match ipv6 address prefix-list IMPORT6
# Firewall - allow BGP from upstream only
set firewall ipv4 input filter rule 20 action accept
set firewall ipv4 input filter rule 20 protocol tcp
set firewall ipv4 input filter rule 20 destination port 179
set firewall ipv4 input filter rule 20 source address 198.51.100.1
set firewall ipv4 input filter rule 20 description 'BGP from upstream v4'
set firewall ipv6 input filter rule 20 action accept
set firewall ipv6 input filter rule 20 protocol tcp
set firewall ipv6 input filter rule 20 destination port 179
set firewall ipv6 input filter rule 20 source address 2001:db8::1
set firewall ipv6 input filter rule 20 description 'BGP from upstream v6'
# Apply
commit
save
Verder lezen
- BGP en Bring Your Own IP op een VPS: de complete gids Hoofdgids met de volledige BYOIP-workflow
- BIRD2 BGP-configuratie op een Linux VPS -- Zelfde doel, ander gereedschap: BIRD2 op bare Linux
- FRRouting BGP-configuratie op een Linux VPS -- FRR-aanpak voor wie vtysh verkiest zonder VyOS
- RPKI ROA voor BGP: ROA's aanmaken, routes valideren in BIRD2 en FRR -- ROA-objecten opzetten voor het aankondigen van prefixen
- BGP Route Filtering: Prefix Lists, AS-Path Filters, Bogon Rejection en GTSM -- Diepgaande uitleg over routefilterstrategieën
- Een ASN registreren bij RIPE NCC Je eigen ASN verkrijgen bij RIPE NCC
- VyOS BGP documentation -- Officiële referentie voor alle BGP-opties
- bgp.tools -- Externe BGP route visibility checker
Copyright 2026 Virtua.Cloud. Alle rechten voorbehouden. Deze inhoud is een origineel werk van het Virtua.Cloud-team. Reproductie, herpublicatie of herdistributie zonder schriftelijke toestemming is verboden.
Klaar om het zelf te proberen?
Draai BGP-sessies op uw eigen IP-ruimte met Virtua.Cloud VPS.
Bekijk VPS-aanbod