الطوبولوجيا وأوراق العمل

الطوبولوجيا والعناوين

تهيئة مركز البيانات xDC_NAMEx للاتصال بمراكز التنظيف السحابية.

ملاحظة

هذه قيم توضيحية. استبدلها بقيم خاصة بالعميل والقيم التي يوفرها مركز العمليات الأمنية (SOC) باستخدام الجداول أعلاه.

يجب أن تكون البادئات المحمية قابلة للتوجيه عبر الإنترنت العام (غير RFC 1918). يجب أيضاً أن تكون عناوين IP الخارجية لنقاط نهاية GRE قابلة للتوجيه عبر الإنترنت العام عند عبور الأنفاق للإنترنت العام؛ قد يسمح الاتصال الخاص (L2، الاقتران الخاص) بنقاط نهاية RFC 1918. راجع K000147949 للاطلاع على أمثلة باستخدام عناوين التوثيق المناسبة.

لتحقيق التكرار، أنشئ نفقَيْن لكل وحدة BIG-IP إلى مراكز تنظيف مختلفة موزعة جغرافياً (4 أنفاق إجمالاً لزوج HA).

flowchart LR
    INET["Internet<br/>Inbound Traffic"]

    subgraph XC["F5 Distributed Cloud"]
        C1["xCENTER_1x Scrubbing<br/>xXC_C1_OUTER_V4x"]
        C2["xCENTER_2x Scrubbing<br/>xXC_C2_OUTER_V4x"]
    end

    subgraph DC["xDC_NAMEx Data Center"]
        BIGIPA["BIG-IP-A<br/>xBIGIP_A_OUTER_V4x"]
        BIGIPB["BIG-IP-B<br/>xBIGIP_B_OUTER_V4x"]
        NET["DDoS-Protected Network<br/>xPROTECTED_PREFIX_V4x<br/>xPROTECTED_PREFIX_V6x<br/><i>Your public IP block</i>"]
    end

    INET --> C1
    INET --> C2
    C1 -- "GRE C1-T1" --> BIGIPA
    C2 -- "GRE C2-T1" --> BIGIPA
    C1 -- "GRE C1-T2" --> BIGIPB
    C2 -- "GRE C2-T2" --> BIGIPB
    BIGIPA --> NET
    BIGIPB --> NET

    style NET fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px

أوراق العمل

استخدم أوراق عمل XC وBIG-IP التالية كمرجع عند بناء تهيئة النفق.

XC

النفق C1-T1 — المركز 1 إلى BIG-IP-A:

• عناوين IP الخارجية لـ GRE (لنقاط نهاية النفق):

  • IPv4 SRC: xXC_C1_OUTER_V4x/24
  • IPv4 DST: xBIGIP_A_OUTER_V4x/24
  • IPv6 SRC: xXC_C1_OUTER_V6x/64
  • IPv6 DST: xBIGIP_A_OUTER_V6x/64

• عناوين IP الداخلية لـ GRE (لجلسة BGP):

  • IPv4: xXC_C1_T1_INNER_V4x/30
  • IPv6: xXC_C1_T1_INNER_V6x/64

النفق C1-T2 — المركز 1 إلى BIG-IP-B:

• عناوين IP الخارجية لـ GRE (لنقاط نهاية النفق):

  • IPv4 SRC: xXC_C1_OUTER_V4x/24
  • IPv4 DST: xBIGIP_B_OUTER_V4x/24
  • IPv6 SRC: xXC_C1_OUTER_V6x/64
  • IPv6 DST: xBIGIP_B_OUTER_V6x/64

• عناوين IP الداخلية لـ GRE (لجلسة BGP):

  • IPv4: xXC_C1_T2_INNER_V4x/30
  • IPv6: xXC_C1_T2_INNER_V6x/64

النفق C2-T1 — المركز 2 إلى BIG-IP-A:

• عناوين IP الخارجية لـ GRE (لنقاط نهاية النفق):

  • IPv4 SRC: xXC_C2_OUTER_V4x/24
  • IPv4 DST: xBIGIP_A_OUTER_V4x/24
  • IPv6 SRC: xXC_C2_OUTER_V6x/64
  • IPv6 DST: xBIGIP_A_OUTER_V6x/64

• عناوين IP الداخلية لـ GRE (لجلسة BGP):

  • IPv4: xXC_C2_T1_INNER_V4x/30
  • IPv6: xXC_C2_T1_INNER_V6x/64

النفق C2-T2 — المركز 2 إلى BIG-IP-B:

• عناوين IP الخارجية لـ GRE (لنقاط نهاية النفق):

  • IPv4 SRC: xXC_C2_OUTER_V4x/24
  • IPv4 DST: xBIGIP_B_OUTER_V4x/24
  • IPv6 SRC: xXC_C2_OUTER_V6x/64
  • IPv6 DST: xBIGIP_B_OUTER_V6x/64

• عناوين IP الداخلية لـ GRE (لجلسة BGP):

  • IPv4: xXC_C2_T2_INNER_V4x/30
  • IPv6: xXC_C2_T2_INNER_V6x/64

عناوين IP الداخلية (العبور)

تستخدم عناوين IP الداخلية مثل 10.10.10.0/30 عناوين RFC 1918. وهذا صحيح لأنها مغلّفة داخل نفق GRE ولا تظهر أبداً على الإنترنت العام. يجب أن تكون البادئات المحمية دائماً قابلة للتوجيه عبر الإنترنت العام؛ كما يجب أن تكون عناوين IP الخارجية لنقاط النهاية قابلة للتوجيه عبر الإنترنت العام عند عبور الأنفاق للإنترنت العام.

روابط IPv6 الداخلية

تستخدم روابط IPv6 الداخلية بادئات /64 هنا لتتوافق مع الإعدادات الافتراضية الشائعة للسحابة. بالنسبة للروابط النقطة إلى نقطة، يُفضَّل استخدام /127 وفقاً لـ RFC 6164 لتجنب استنفاد اكتشاف الجيران. استخدم /127 إذا كان تخصيص نفق مركز العمليات الأمنية (SOC) يدعم ذلك.

BIG-IP

BIG-IP-A (عنوان IP الخارجي xBIGIP_A_OUTER_V4x / xBIGIP_A_OUTER_V6x):

• عناوين IP الخارجية لـ GRE:

  • IPv4 SRC: xBIGIP_A_OUTER_V4x/24
  • IPv4 DST (المركز 1): xXC_C1_OUTER_V4x/24
  • IPv4 DST (المركز 2): xXC_C2_OUTER_V4x/24
  • IPv6 SRC: xBIGIP_A_OUTER_V6x/64
  • IPv6 DST (المركز 1): xXC_C1_OUTER_V6x/64
  • IPv6 DST (المركز 2): xXC_C2_OUTER_V6x/64

• عناوين IP الداخلية لـ GRE — النفق C1-T1:

  • IPv4: xBIGIP_C1_T1_INNER_V4x/30
  • IPv6: xBIGIP_C1_T1_INNER_V6x/64

• عناوين IP الداخلية لـ GRE — النفق C2-T1:

  • IPv4: xBIGIP_C2_T1_INNER_V4x/30
  • IPv6: xBIGIP_C2_T1_INNER_V6x/64

BIG-IP-B (عنوان IP الخارجي xBIGIP_B_OUTER_V4x / xBIGIP_B_OUTER_V6x):

• عناوين IP الخارجية لـ GRE:

  • IPv4 SRC: xBIGIP_B_OUTER_V4x/24
  • IPv4 DST (المركز 1): xXC_C1_OUTER_V4x/24
  • IPv4 DST (المركز 2): xXC_C2_OUTER_V4x/24
  • IPv6 SRC: xBIGIP_B_OUTER_V6x/64
  • IPv6 DST (المركز 1): xXC_C1_OUTER_V6x/64
  • IPv6 DST (المركز 2): xXC_C2_OUTER_V6x/64

• عناوين IP الداخلية لـ GRE — النفق C1-T2:

  • IPv4: xBIGIP_C1_T2_INNER_V4x/30
  • IPv6: xBIGIP_C1_T2_INNER_V6x/64

• عناوين IP الداخلية لـ GRE — النفق C2-T2:

  • IPv4: xBIGIP_C2_T2_INNER_V4x/30
  • IPv6: xBIGIP_C2_T2_INNER_V6x/64

• البادئات المحمية (المُعلَن عنها إلى السحابة):

  • IPv4: xPROTECTED_NET_V4xxPROTECTED_CIDR_V4x
  • IPv6: xPROTECTED_PREFIX_V6x

مخطط الطوبولوجيا التفصيلي

flowchart LR
    subgraph XC["F5 Distributed Cloud"]
        C1["xCENTER_1x<br/>xXC_C1_OUTER_V4x<br/>xXC_C1_OUTER_V6x"]
        C2["xCENTER_2x<br/>xXC_C2_OUTER_V4x<br/>xXC_C2_OUTER_V6x"]
    end

    subgraph DC["xDC_NAMEx Data Center"]
        subgraph BIGIPA["BIG-IP-A<br/>xBIGIP_A_OUTER_V4x<br/>xBIGIP_A_OUTER_V6x"]
            T1_INNER["C1-T1 Inner<br/>xBIGIP_C1_T1_INNER_V4x<br/>xBIGIP_C1_T1_INNER_V6x"]
            T2_INNER["C2-T1 Inner<br/>xBIGIP_C2_T1_INNER_V4x<br/>xBIGIP_C2_T1_INNER_V6x"]
        end

        subgraph BIGIPB["BIG-IP-B<br/>xBIGIP_B_OUTER_V4x<br/>xBIGIP_B_OUTER_V6x"]
            T3_INNER["C1-T2 Inner<br/>xBIGIP_C1_T2_INNER_V4x<br/>xBIGIP_C1_T2_INNER_V6x"]
            T4_INNER["C2-T2 Inner<br/>xBIGIP_C2_T2_INNER_V4x<br/>xBIGIP_C2_T2_INNER_V6x"]
        end
    end

    C1 == "GRE C1-T1" ==> T1_INNER
    C2 == "GRE C2-T1" ==> T2_INNER
    C1 == "GRE C1-T2" ==> T3_INNER
    C2 == "GRE C2-T2" ==> T4_INNER

    C1 -. "BGP tcp/179<br/>xXC_C1_T1_INNER_V4x → xBIGIP_C1_T1_INNER_V4x" .-> T1_INNER
    C2 -. "BGP tcp/179<br/>xXC_C2_T1_INNER_V4x → xBIGIP_C2_T1_INNER_V4x" .-> T2_INNER
    C1 -. "BGP tcp/179<br/>xXC_C1_T2_INNER_V4x → xBIGIP_C1_T2_INNER_V4x" .-> T3_INNER
    C2 -. "BGP tcp/179<br/>xXC_C2_T2_INNER_V4x → xBIGIP_C2_T2_INNER_V4x" .-> T4_INNER