अवलोकन
Cloud GRE/BGP BIG-IP
Section titled “Cloud GRE/BGP BIG-IP”- BIG-IP HA युग्म (ग्राहक परिसर उपकरण, CPE के रूप में कार्यरत) से GRE टनल और BGP पीयरिंग कॉन्फ़िगर करें, प्रत्येक यूनिट के लिए स्वतंत्र टनल के साथ।
- रूटेड मोड (L3/L4) में Cloud DDoS Mitigation स्क्रबिंग केंद्रों से जुड़ें।
flowchart LR
INET["Internet<br/>Inbound Traffic"]
subgraph XC["F5 Distributed Cloud<br/>Global Anycast"]
SCRUB["DDoS Scrubbing<br/>L3/L4 Mitigation"]
DROP["Attack Traffic<br/>Dropped"]
end
subgraph DC["xDC_NAMEx Data Center"]
BIGIP["BIG-IP CPE<br/>(GRE endpoint)"]
SERVERS["DDoS-Protected Servers<br/><i>Your public IP block</i>"]
end
INET -->|"all traffic to your<br/>public IPs"| SCRUB
SCRUB -->|"clean traffic"| BIGIP
SCRUB -.->|"malicious traffic"| DROP
BIGIP --> SERVERS
SERVERS --> BIGIP
BIGIP -.->|"return traffic<br/>via ISP uplink<br/>(asymmetric path)"| INET
style SERVERS fill:#e8f5e9,stroke:#2e7d32,stroke-width:2pxआवश्यकताएँ
Section titled “आवश्यकताएँ”- आपके टेनेंट के लिए Cloud L3/L4 रूटेड DDoS Mitigation सेवा (Always On या Always Available) सक्षम होनी चाहिए।
- BIG-IP के साथ:
- LTM (या समकक्ष नेटवर्किंग मॉड्यूल)।
- डायनामिक राउटिंग (BGP) लाइसेंस प्राप्त और सक्षम।
- रूटेड मोड: सुरक्षा के लिए कम से कम एक सार्वजनिक रूप से विज्ञापित /24 (या छोटा)
उपसर्ग (IPv6 न्यूनतम /48 है)।
- संरक्षित उपसर्ग सार्वजनिक रूप से रूटेबल होने चाहिए (गैर-RFC 1918)। GRE बाहरी एंडपॉइंट भी सार्वजनिक रूप से रूटेबल होने चाहिए जब टनल सार्वजनिक इंटरनेट से गुजरती हैं; निजी कनेक्टिविटी (L2, निजी पीयरिंग) का उपयोग करने वाले डिप्लॉयमेंट RFC 1918 एंडपॉइंट पतों का उपयोग कर सकते हैं।
- आपके डेटा सेंटर/राउटर और Cloud स्क्रबिंग केंद्र(ओं) के बीच कनेक्टिविटी।
HA आर्किटेक्चर
Section titled “HA आर्किटेक्चर”BIG-IP को सक्रिय/स्टैंडबाय HA युग्म के रूप में तैनात किया जाता है, प्रत्येक यूनिट को प्रत्येक स्क्रबिंग केंद्र के लिए अपनी स्वतंत्र GRE टनल और BGP सत्र मिलते हैं:
flowchart LR
subgraph F5XC["F5 Distributed Cloud"]
C1["xCENTER_1x scrubbing center"]
C2["xCENTER_2x scrubbing center"]
end
subgraph DC["xDC_NAMEx Data Center"]
direction TB
subgraph UNITA["BIG-IP-A (Active)"]
A_C1["C1-T1 tunnel<br/>BGP Established"]
A_C2["C2-T1 tunnel<br/>BGP Established"]
end
subgraph UNITB["BIG-IP-B (Standby)"]
B_C1["C1-T2 tunnel<br/>Graceful-Restart Ready"]
B_C2["C2-T2 tunnel<br/>Graceful-Restart Ready"]
end
SERVERS["DDoS-Protected Servers"]
end
C1 -- "GRE C1-T1" --> A_C1
C2 -- "GRE C2-T1" --> A_C2
C1 -- "GRE C1-T2" --> B_C1
C2 -- "GRE C2-T2" --> B_C2
UNITA --> SERVERS
UNITB --> SERVERS
style SERVERS fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px- स्वतंत्र टनल एंडपॉइंट: प्रत्येक BIG-IP यूनिट का अपना
नॉन-फ्लोटिंग बाहरी सेल्फ IP (
traffic-group-local-only) और GRE टनल का अपना सेट होता है। BIG-IP-A टनल एंडपॉइंट के रूप मेंxBIGIP_A_OUTER_V4xऔर BIG-IP-BxBIGIP_B_OUTER_V4xका उपयोग करता है। इससे टनल सोर्सिंग के लिए फ्लोटिंग IP पर निर्भरता समाप्त होती है। - स्वतंत्र BGP सत्र: प्रत्येक यूनिट अपने टनल पर अपने BGP सत्र चलाती है। BIG-IP-A, C1-T1 और C2-T1 के साथ पीयर करता है; BIG-IP-B, C1-T2 और C2-T2 के साथ पीयर करता है। फेलओवर पर स्टैंडबाय यूनिट के BGP सत्र पहले से स्थापित होते हैं, इसलिए Cloud तुरंत ट्रैफ़िक स्थानांतरित कर सकता है।
- कॉन्फ़िग सिंक: टनल, सेल्फ IP, और राउटिंग कॉन्फ़िगरेशन
config-sync के माध्यम से यूनिटों के बीच सिंक किए जाते हैं। चूँकि
imishBGP कॉन्फ़िगरेशन प्रति-यूनिट है, प्रत्येक यूनिट अपने नेबर स्टेटमेंट बनाए रखती है। सत्यापित करें कि सिंक में सभी tmsh ऑब्जेक्ट शामिल हैं। - सक्रिय/स्टैंडबाय BGP व्यवहार: सक्रिय यूनिट सामान्य BGP विशेषताओं के साथ संरक्षित उपसर्गों का विज्ञापन करती है। स्टैंडबाय यूनिट या तो लंबे AS-path प्रीपेंड के साथ समान उपसर्गों का विज्ञापन कर सकती है (इसे कम पसंदीदा बनाती है) या फेलओवर तक विज्ञापन दबा सकती है। SOC के साथ दृष्टिकोण समन्वित करें।
- फेलओवर अभिसरण:
graceful-restartसक्षम और स्वतंत्र टनल के साथ, नई सक्रिय यूनिट के BGP सत्र पहले से स्थापित होते हैं। अभिसरण BGP best-path चयन पर निर्भर करता है जो नई सक्रिय यूनिट के विज्ञापनों की ओर स्थानांतरित होता है।run sys failover standbyसे परीक्षण करें।