Zum Inhalt springen
DDoS

Cloud-Konfiguration

XC (UI)

Abschnitt betitelt „XC (UI)“

Verwenden Sie die Weboberfläche, um die Cloud-Seite zu konfigurieren, basierend auf dem L3/L4 Routed DDoS Mitigation-Leitfaden.

DDoS-Arbeitsbereich aktivieren

Abschnitt betitelt „DDoS-Arbeitsbereich aktivieren“

Bevor Sie Tunnel und BGP konfigurieren können:

  1. Wenden Sie sich an das Cloud-Team (über sales@example.com oder Ihr Account-Team), um:

    • Den Routed DDoS Mitigation-Arbeitsbereich für Ihren Mandanten zu aktivieren.
    • Folgendes bereitzustellen:
      • Ihre öffentlichen IP-Netzblöcke (/24 oder kürzer für IPv4, /48 oder kürzer für IPv6) sowie einen Eigentumsnachweis (oder LOA).
      • Ihre ASN (muss von ARIN oder einer gleichwertigen Registrierungsstelle vergeben sein).
      • IRR-Registrierung (RIPE, ARIN, APNIC usw.) und ROA im RPKI-Repository.
      • Gewünschte Methode zur Rückleitung von sauberem Datenverkehr (GRE-Tunnel, Layer 2, privates Peering über Equinix usw.).
      • Rechenzentrumsstandorte und zu schützende Router.
      • AS-Path-Prepends, die für Routenankündigungen erforderlich sind.
      • Alle BGP-Communitys, Routenpräferenzen oder AS-SET

  2. Das SOC stellt bereit:

    • Tunnel
    • ASNs
    • Geschützte Präfixe
    • Routenankündigungsoptionen
    • Schnelle ACLs / Firewall-Richtlinien, sofern erforderlich

Tunnel

Abschnitt betitelt „Tunnel“
  1. Melden Sie sich bei der Cloud-Konsole an und wählen Sie Routed DDoS aus dem Dienst-Selektor aus.
  2. Navigieren Sie zu Verwalten > Tunnel > Tunnel hinzufügen und konfigurieren Sie:
    • Standortname und Verfügbarkeitszone (standardmäßig Zone 1).
    • Maximale Bandbreite in MB.
    • Tunneltyp:
      • GRE Over IPv4 für IPv4-äußeren Tunnel.
      • GRE Over IPv6 für IPv6-äußeren Tunnel.
      • IP Over IP für IPv4-in-IPv4-Kapselung.
      • IPv6 Over IPv6 für IPv6-in-IPv6-Kapselung.
    • Kunden-Endpunkt-IP: Externe Adresse des BIG-IP (äußere Self-IP, muss öffentlich routbar sein, wenn Tunnel das öffentliche Internet durchqueren).
    • Optional: IPv4/IPv6-Interconnect, Fragmentierung, Keepalive (alle standardmäßig deaktiviert).
  3. Unter Tunnel-BGP-Informationen:
    • Wählen Sie ein ASN-Objekt (Ihre ASN) aus.
    • Legen Sie Customer Peer Secret Override fest: Standard-Secret verwenden (Standard), BGP-Passwort überschreiben (blindfolded oder Klartext) oder Kein Secret.
    • Legen Sie den Holddown-Timer-Wert in Sekunden fest, sofern er vom Standard abweicht.

Das SOC kann diese Tunnelobjekte vorab für Sie erstellen; Sie müssen lediglich die Endpunkt-IPs und BGP-Einstellungen auf dem BIG-IP entsprechend abgleichen.

ASNs und Routen

Abschnitt betitelt „ASNs und Routen“

  • ASNs: -> Verwalten > ASNs > ASN hinzufügen.

    • Geben Sie Ihre ASN ein und stellen Sie sicher, dass BGP aktiviert ist.

  • Präfixe: -> Verwalten > Präfixe > Präfix hinzufügen.

    • Geben Sie jedes IP-Präfix ein und verknüpfen Sie es mit Ihrer ASN.

  • Routenankündigungen -> Verwalten > Routenankündigung > Routenankündigung hinzufügen.

    • Geben Sie das Präfix ein, wählen Sie Aktiv oder Nicht angekündigt und legen Sie optional ein Ablaufdatum fest.

Diese Objekte steuern, welche Präfixe über das globale Netzwerk angekündigt werden, wenn der Dienst aktiv ist.

Netzwerkeinschränkung

Abschnitt betitelt „Netzwerkeinschränkung“

Firewall-Regeln, Ablehnungslisten-Regeln und Schnelle ACLs für Internet-VIPs ermöglichen Ihnen:

  • Bestimmten Datenverkehr zu blockieren oder zuzulassen.
  • Missbräuchliche Quellen zu raten-limitieren.
  • Zusätzliche DDoS-Schutzmaßnahmen über das reine volumetrische Scrubbing hinaus anzuwenden.