Configuración de BIG-IP
- (Ejemplo de Route Domain 0)
Todos los comandos a continuación se ejecutan en tmsh en BIG-IP. Ajuste los nombres de objetos y las IPs según sea necesario.
Para la configuración general de túneles GRE en BIG-IP, consulte Configuring a GRE Tunnel Using BIG-IP. Para la configuración inicial de enrutamiento con la nube, consulte K000147949.
[root@bigip:Active]# tmshroot@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)#Self IPs externos
Sección titulada «Self IPs externos»Endpoints GRE
Estas son las IPs en cada unidad BIG-IP utilizadas como endpoints
del túnel GRE, típicamente en la VLAN externa. Cada unidad tiene su propia
self IP externa no flotante (traffic-group-local-only):
BIG-IP-A:
create net self xc-ddos-v4-self-a \ vlan external \ traffic-group traffic-group-local-only \ allow-service add { icmp:any gre:any } \ address xBIGIP_A_OUTER_V4x/24
create net self xc-ddos-v6-self-a \ vlan external \ traffic-group traffic-group-local-only \ allow-service add { icmp:any gre:any } \ address xBIGIP_A_OUTER_V6x/64BIG-IP-B:
create net self xc-ddos-v4-self-b \ vlan external \ traffic-group traffic-group-local-only \ allow-service add { icmp:any gre:any } \ address xBIGIP_B_OUTER_V4x/24
create net self xc-ddos-v6-self-b \ vlan external \ traffic-group traffic-group-local-only \ allow-service add { icmp:any gre:any } \ address xBIGIP_B_OUTER_V6x/64Túneles GRE
Sección titulada «Túneles GRE»Cada túnel apunta desde una unidad BIG-IP hacia un endpoint del centro de depuración en la nube. Cree dos túneles por unidad (uno hacia cada centro de depuración geoubicado) para un total de cuatro túneles lógicos en el par HA:
Túnel C1-T1 — BIG-IP-A hacia xCENTER_1x:
create net tunnels tunnel xc-ddos-c1t1-v4 \ local-address xBIGIP_A_OUTER_V4x \ profile gre \ remote-address xXC_C1_OUTER_V4x
create net tunnels tunnel xc-ddos-c1t1-v6 \ local-address xBIGIP_A_OUTER_V6x \ profile gre \ remote-address xXC_C1_OUTER_V6xTúnel C2-T1 — BIG-IP-A hacia xCENTER_2x:
create net tunnels tunnel xc-ddos-c2t1-v4 \ local-address xBIGIP_A_OUTER_V4x \ profile gre \ remote-address xXC_C2_OUTER_V4x
create net tunnels tunnel xc-ddos-c2t1-v6 \ local-address xBIGIP_A_OUTER_V6x \ profile gre \ remote-address xXC_C2_OUTER_V6xTúnel C1-T2 — BIG-IP-B hacia xCENTER_1x:
create net tunnels tunnel xc-ddos-c1t2-v4 \ local-address xBIGIP_B_OUTER_V4x \ profile gre \ remote-address xXC_C1_OUTER_V4x
create net tunnels tunnel xc-ddos-c1t2-v6 \ local-address xBIGIP_B_OUTER_V6x \ profile gre \ remote-address xXC_C1_OUTER_V6xTúnel C2-T2 — BIG-IP-B hacia xCENTER_2x:
create net tunnels tunnel xc-ddos-c2t2-v4 \ local-address xBIGIP_B_OUTER_V4x \ profile gre \ remote-address xXC_C2_OUTER_V4x
create net tunnels tunnel xc-ddos-c2t2-v6 \ local-address xBIGIP_B_OUTER_V6x \ profile gre \ remote-address xXC_C2_OUTER_V6xLos nombres de los túneles (xc-ddos-c1t1-v4, etc.) son arbitrarios; utilice su propia
convención de nomenclatura.
Establecer MTU del túnel
Sección titulada «Establecer MTU del túnel»La encapsulación GRE añade sobrecarga (24 bytes para el exterior IPv4, 44 bytes para el exterior IPv6). Sin un MTU explícito, los paquetes cercanos a 1500 bytes se fragmentarán o serán descartados. Establezca el MTU del túnel para tener en cuenta la sobrecarga de encapsulación:
modify net tunnels tunnel xc-ddos-c1t1-v4 mtu 1476modify net tunnels tunnel xc-ddos-c1t1-v6 mtu 1456modify net tunnels tunnel xc-ddos-c1t2-v4 mtu 1476modify net tunnels tunnel xc-ddos-c1t2-v6 mtu 1456modify net tunnels tunnel xc-ddos-c2t1-v4 mtu 1476modify net tunnels tunnel xc-ddos-c2t1-v6 mtu 1456modify net tunnels tunnel xc-ddos-c2t2-v4 mtu 1476modify net tunnels tunnel xc-ddos-c2t2-v6 mtu 1456Anti-spoofing GRE (ACLs en upstream)
Sección titulada «Anti-spoofing GRE (ACLs en upstream)»GRE (protocolo IP 47) no proporciona autenticación. Cualquier persona que conozca el par de IPs externas puede inyectar tráfico en el túnel. Aplique ACLs en el router o firewall upstream para restringir el GRE entrante a únicamente las IPs de origen de los centros de depuración en la nube esperados:
! Example upstream router ACL (Cisco IOS style)ip access-list extended ALLOW-XC-GRE permit gre host xXC_C1_OUTER_V4x host xBIGIP_A_OUTER_V4x permit gre host xXC_C2_OUTER_V4x host xBIGIP_A_OUTER_V4x permit gre host xXC_C1_OUTER_V4x host xBIGIP_B_OUTER_V4x permit gre host xXC_C2_OUTER_V4x host xBIGIP_B_OUTER_V4x deny gre any host xBIGIP_A_OUTER_V4x log deny gre any host xBIGIP_B_OUTER_V4x logSelf IPs internos (peering BGP)
Sección titulada «Self IPs internos (peering BGP)»Asigne direcciones IP internas (dentro del túnel GRE) que formarán la
sesión BGP con la nube. El allow-service debe
incluir tcp:179 (BGP) para que se establezca la sesión de peering. Agregar
icmp:any en las self IPs internas habilita PMTUD y las pruebas de alcanzabilidad
a través del túnel:
Túnel C1-T1 — BIG-IP-A hacia xCENTER_1x:
create net self xc-ddos-c1t1-inner-v4 \ vlan xc-ddos-c1t1-v4 \ traffic-group traffic-group-local-only \ allow-service add { tcp:179 icmp:any } \ address xBIGIP_C1_T1_INNER_V4x/30
create net self xc-ddos-c1t1-inner-v6 \ vlan xc-ddos-c1t1-v6 \ traffic-group traffic-group-local-only \ allow-service add { tcp:179 icmp:any } \ address xBIGIP_C1_T1_INNER_V6x/64Túnel C2-T1 — BIG-IP-A hacia xCENTER_2x:
create net self xc-ddos-c2t1-inner-v4 \ vlan xc-ddos-c2t1-v4 \ traffic-group traffic-group-local-only \ allow-service add { tcp:179 icmp:any } \ address xBIGIP_C2_T1_INNER_V4x/30
create net self xc-ddos-c2t1-inner-v6 \ vlan xc-ddos-c2t1-v6 \ traffic-group traffic-group-local-only \ allow-service add { tcp:179 icmp:any } \ address xBIGIP_C2_T1_INNER_V6x/64Túnel C1-T2 — BIG-IP-B hacia xCENTER_1x:
create net self xc-ddos-c1t2-inner-v4 \ vlan xc-ddos-c1t2-v4 \ traffic-group traffic-group-local-only \ allow-service add { tcp:179 icmp:any } \ address xBIGIP_C1_T2_INNER_V4x/30
create net self xc-ddos-c1t2-inner-v6 \ vlan xc-ddos-c1t2-v6 \ traffic-group traffic-group-local-only \ allow-service add { tcp:179 icmp:any } \ address xBIGIP_C1_T2_INNER_V6x/64Túnel C2-T2 — BIG-IP-B hacia xCENTER_2x:
create net self xc-ddos-c2t2-inner-v4 \ vlan xc-ddos-c2t2-v4 \ traffic-group traffic-group-local-only \ allow-service add { tcp:179 icmp:any } \ address xBIGIP_C2_T2_INNER_V4x/30
create net self xc-ddos-c2t2-inner-v6 \ vlan xc-ddos-c2t2-v6 \ traffic-group traffic-group-local-only \ allow-service add { tcp:179 icmp:any } \ address xBIGIP_C2_T2_INNER_V6x/64Utilice imish para configurar BGP para Route Domain 0.
-
Ingrese a imish para RD 0:
bash tmsh run /util imish -r 0 -
Ingrese al modo privilegiado y de configuración:
imish localhost.localdomain[0]> enablelocalhost.localdomain[0]# configure terminal -
Ejemplo de configuración BGP:
BIG-IP-A (router-id xBIGIP_A_OUTER_V4x, vecinos C1-T1 + C2-T1):
router bgp xCUSTOMER_ASNx no synchronization bgp log-neighbor-changes no auto-summary bgp router-id xBIGIP_A_OUTER_V4x bgp graceful-restart restart-time 120 redistribute kernel route-map route-to-cloud-ipv4
neighbor cloud peer-group neighbor cloud remote-as xF5_XC_ASNx neighbor cloud description cloud-peer-group neighbor cloud password xBGP_PASSWORDx neighbor cloud timers 10 30 neighbor cloud soft-reconfiguration inbound neighbor cloud version 4 neighbor cloud capability graceful-restart neighbor cloud send-community neighbor cloud ttl-security hops 1 neighbor cloud maximum-prefix 10 warning-only neighbor cloud prefix-list deny-all in neighbor cloud prefix-list route-to-cloud-ipv4 out
neighbor xXC_C1_T1_INNER_V4x peer-group cloud neighbor xXC_C1_T1_INNER_V4x description cloud-c1-t1-v4
neighbor xXC_C2_T1_INNER_V4x peer-group cloud neighbor xXC_C2_T1_INNER_V4x description cloud-c2-t1-v4
address-family ipv6 redistribute kernel route-map route-to-cloud-ipv6 neighbor cloud activate neighbor cloud soft-reconfiguration inbound neighbor cloud capability graceful-restart neighbor cloud prefix-list deny-all6 in neighbor cloud prefix-list route-to-cloud-ipv6 out neighbor xXC_C1_T1_INNER_V6x peer-group cloud neighbor xXC_C1_T1_INNER_V6x description cloud-c1-t1-v6 neighbor xXC_C2_T1_INNER_V6x peer-group cloud neighbor xXC_C2_T1_INNER_V6x description cloud-c2-t1-v6 exit-address-family
ip prefix-list deny-all deny 0.0.0.0/0 le 32ip prefix-list route-to-cloud-ipv4 permit xPROTECTED_PREFIX_V4x
ipv6 prefix-list deny-all6 deny ::/0 le 128ipv6 prefix-list route-to-cloud-ipv6 permit xPROTECTED_PREFIX_V6x
ip route xPROTECTED_NET_V4x xPROTECTED_MASK_V4x null0 201ipv6 route xPROTECTED_PREFIX_V6x null0 201
route-map route-to-cloud-ipv4 permit 10 match ip address prefix-list route-to-cloud-ipv4 set origin igp
route-map route-to-cloud-ipv6 permit 10 match ipv6 address prefix-list route-to-cloud-ipv6 set origin igpBIG-IP-B (router-id xBIGIP_B_OUTER_V4x, vecinos C1-T2 + C2-T2):
router bgp xCUSTOMER_ASNx no synchronization bgp log-neighbor-changes no auto-summary bgp router-id xBIGIP_B_OUTER_V4x bgp graceful-restart restart-time 120 redistribute kernel route-map route-to-cloud-ipv4
neighbor cloud peer-group neighbor cloud remote-as xF5_XC_ASNx neighbor cloud description cloud-peer-group neighbor cloud password xBGP_PASSWORDx neighbor cloud timers 10 30 neighbor cloud soft-reconfiguration inbound neighbor cloud version 4 neighbor cloud capability graceful-restart neighbor cloud send-community neighbor cloud ttl-security hops 1 neighbor cloud maximum-prefix 10 warning-only neighbor cloud prefix-list deny-all in neighbor cloud prefix-list route-to-cloud-ipv4 out
neighbor xXC_C1_T2_INNER_V4x peer-group cloud neighbor xXC_C1_T2_INNER_V4x description cloud-c1-t2-v4
neighbor xXC_C2_T2_INNER_V4x peer-group cloud neighbor xXC_C2_T2_INNER_V4x description cloud-c2-t2-v4
address-family ipv6 redistribute kernel route-map route-to-cloud-ipv6 neighbor cloud activate neighbor cloud soft-reconfiguration inbound neighbor cloud capability graceful-restart neighbor cloud prefix-list deny-all6 in neighbor cloud prefix-list route-to-cloud-ipv6 out neighbor xXC_C1_T2_INNER_V6x peer-group cloud neighbor xXC_C1_T2_INNER_V6x description cloud-c1-t2-v6 neighbor xXC_C2_T2_INNER_V6x peer-group cloud neighbor xXC_C2_T2_INNER_V6x description cloud-c2-t2-v6 exit-address-family
ip prefix-list deny-all deny 0.0.0.0/0 le 32ip prefix-list route-to-cloud-ipv4 permit xPROTECTED_PREFIX_V4x
ipv6 prefix-list deny-all6 deny ::/0 le 128ipv6 prefix-list route-to-cloud-ipv6 permit xPROTECTED_PREFIX_V6x
ip route xPROTECTED_NET_V4x xPROTECTED_MASK_V4x null0 201ipv6 route xPROTECTED_PREFIX_V6x null0 201
route-map route-to-cloud-ipv4 permit 10 match ip address prefix-list route-to-cloud-ipv4 set origin igp
route-map route-to-cloud-ipv6 permit 10 match ipv6 address prefix-list route-to-cloud-ipv6 set origin igpExplicación de los ajustes clave de BGP:
timers 10 30— Keepalive cada 10 s, tiempo de espera 30 s. El valor predeterminado (60 / 180) es demasiado lento para la conmutación por error en la mitigación de DDoS. Coordine los valores de los temporizadores con el SOC para que coincidan en ambos lados.ttl-security hops 1— Habilita GTSM (RFC 5082). Dado que las sesiones BGP son de un solo salto sobre el túnel GRE, esto evita el spoofing remoto de BGP al requerir TTL = 255 en los paquetes BGP entrantes.maximum-prefix 10 warning-only— Salvaguarda de defensa en profundidad. Aunque la lista de prefijos de entrada deniega todas las rutas, esto genera una advertencia si el par inesperadamente envía prefijos.redistribute kernel— Inyecta las rutas estáticasnull0en BGP a través del route-map. Una alternativa es utilizar sentenciasnetworkexplícitas (p. ej.,network xPROTECTED_PREFIX_V4x), que son más precisas porque solo se anuncia el prefijo exacto independientemente de otras rutas del kernel. Cualquiera de los enfoques funciona;redistribute kernelcon un route-map estricto se muestra aquí por su flexibilidad.
Las rutas estáticas null0 con mayor distancia administrativa (201)
garantizan que los prefijos existan en la tabla de enrutamiento del kernel, para que puedan
ser redistribuidos hacia la nube a través de BGP sin afectar el
enrutamiento normal en condiciones sin ataque. Si el prefijo protegido
ya existe en la tabla de enrutamiento desde otra fuente con una distancia
administrativa menor, la ruta null0 no estará activa y
la redistribución puede fallar — verifique con show ip route después de
la configuración.