Ir al contenido
DDoS

Configuración en la nube

XC (UI)

Sección titulada «XC (UI)»

Utilice la interfaz web para configurar el lado Cloud, basándose en la guía L3/L4 Routed DDoS Mitigation.

Habilitar el espacio de trabajo de DDoS

Sección titulada «Habilitar el espacio de trabajo de DDoS»

Antes de poder configurar túneles y BGP:

  1. Contacte al equipo Cloud (a través de sales@example.com o su equipo de cuenta) para:

    • Habilitar el espacio de trabajo de Routed DDoS Mitigation para su tenant.
    • Proporcionar:
      • Sus bloques de IP públicos (/24 o más cortos para IPv4, /48 o más cortos para IPv6) y prueba de propiedad (o LOA).
      • Su ASN (debe ser emitido por ARIN o un registro equivalente).
      • Registro IRR (RIPE, ARIN, APNIC, etc.) y ROA en el repositorio RPKI.
      • Método de retorno de tráfico limpio deseado (túneles GRE, Capa 2, peering privado a través de Equinix, etc.).
      • Ubicaciones de centros de datos y routers a proteger.
      • Prepends de AS-Path requeridos para los anuncios de rutas.
      • Cualquier comunidad BGP, preferencia de ruta o AS-SET

  2. El SOC aprovisionará:

    • Túneles
    • ASNs
    • Prefijos protegidos
    • Opciones de anuncio de rutas
    • ACLs rápidas / políticas de firewall, según sea necesario

Túneles

Sección titulada «Túneles»
  1. Inicie sesión en la Cloud Console y seleccione Routed DDoS desde el selector de servicios.
  2. Vaya a Manage > Tunnels > Add Tunnel y configure:
    • Location Name y Availability Zone (Zona 1 por defecto).
    • Bandwidth Max in MB.
    • Tunnel Type:
      • GRE Over IPv4 para túnel externo IPv4.
      • GRE Over IPv6 para túnel externo IPv6.
      • IP Over IP para encapsulación IPv4-en-IPv4.
      • IPv6 Over IPv6 para encapsulación IPv6-en-IPv6.
    • Customer Endpoint IP: dirección externa del BIG-IP (IP self externa, debe ser enrutable públicamente cuando los túneles atraviesan Internet público).
    • Opcional: interconexión IPv4/IPv6, fragmentación, keepalive (todos deshabilitados por defecto).
  3. En Tunnel BGP Information:
    • Seleccione un objeto ASN (su ASN).
    • Configure Customer Peer Secret Override: Use Default Secret (predeterminado), BGP Password Override (blindfolded o texto claro), o No Secret.
    • Establezca el valor de Holddown Timer en segundos si difiere del predeterminado.

El SOC puede pre-crear estos objetos de túnel por usted; simplemente haga coincidir las IPs de endpoint y la configuración BGP en el BIG-IP.

ASNs y Rutas

Sección titulada «ASNs y Rutas»

  • ASNs: -> Manage > ASNs > Add ASN.

    • Ingrese su ASN y asegúrese de que BGP esté habilitado.

  • Prefijos: -> Manage > Prefixes > Add Prefix.

    • Ingrese cada prefijo IP y asócielo con su ASN.

  • Anuncios de Rutas -> Manage > Route Advertisement > Add Route Advertisement.

    • Ingrese el prefijo, elija Active o Not Advertised, y fecha de expiración opcional.

Estos objetos controlan qué prefijos se anuncian a través de la red global cuando el servicio está activo.

Restricción de red

Sección titulada «Restricción de red»

Las Firewall Rules, Deny List Rules y Fast ACLs for Internet VIPs le permiten:

  • Bloquear o permitir tráfico específico.
  • Limitar la tasa de fuentes abusivas.
  • Aplicar protecciones adicionales contra DDoS más allá del scrubbing volumétrico puro.