クラウド設定

XC (UI)

L3/L4 ルーティング DDoS 軽減ガイドに基づいて、Web インターフェースを使用してクラウド側を設定します。

DDoS ワークスペースの有効化

トンネルおよび BGP を設定する前に、以下を行います。

1. クラウドチーム（sales@example.com またはアカウントチーム経由）に連絡して、以下を依頼してください。

   • テナントに対してルーティング DDoS 軽減ワークスペースを有効化する。
   • 以下を提供する：
     • パブリック IP ネットブロック（IPv4 の場合は /24 以下、IPv6 の場合は /48 以下）および所有証明（または LOA）。
     • ASN（ARIN または同等のレジストリによって発行されたもの）。
     • IRR 登録（RIPE、ARIN、APNIC など）および RPKI リポジトリ内の ROA。
     • 希望するクリーントラフィックの返送方法（GRE トンネル、レイヤー 2、Equinix 経由のプライベートピアリングなど）。
     • 保護するデータセンターの場所とルーター。
     • ルートアナウンスに必要な AS-Path プリペンド。
     • BGP コミュニティ、ルートプリファレンス、または AS-SET

2. SOC が以下をプロビジョニングします。

   • トンネル
   • ASN
   • 保護されたプレフィックス
   • ルートアドバタイズオプション
   • 必要に応じてファスト ACL / ファイアウォールポリシー

トンネル

1. クラウドコンソールにログインし、サービスセレクターからルーティング DDoS を選択します。
2. 管理 > トンネル > トンネルの追加に移動し、以下を設定します。
   • ロケーション名およびアベイラビリティゾーン（デフォルトはゾーン 1）。
   • 最大帯域幅（MB）。
   • トンネルタイプ：
     • GRE Over IPv4：IPv4 アウタートンネルの場合。
     • GRE Over IPv6：IPv6 アウタートンネルの場合。
     • IP Over IP：IPv4-in-IPv4 カプセル化の場合。
     • IPv6 Over IPv6：IPv6-in-IPv6 カプセル化の場合。
   • カスタマーエンドポイント IP：BIG-IP の外部アドレス（アウターセルフ IP。トンネルがパブリックインターネットを経由する場合は、公開ルーティング可能である必要があります）。
   • オプション：IPv4/IPv6 インターコネクト、フラグメンテーション、キープアライブ（すべてデフォルトで無効）。
3. トンネル BGP 情報の下で：
   • ASN オブジェクト（自分の ASN）を選択します。
   • カスタマーピアシークレットオーバーライドを設定します：デフォルトシークレットを使用（デフォルト）、BGP パスワードオーバーライド（ブラインドフォールドまたは平文）、またはシークレットなし。
   • デフォルトと異なる場合は、ホールドダウンタイマーの値を秒単位で設定します。

SOC がこれらのトンネルオブジェクトを事前に作成する場合があります。その場合は、BIG-IP 上でエンドポイント IP と BGP 設定を一致させるだけです。

ASN とルート

• ASN：-> 管理 > ASN > ASN の追加。

  • ASN を入力し、BGP が有効になっていることを確認します。

• プレフィックス：-> 管理 > プレフィックス > プレフィックスの追加。

  • 各 IP プレフィックスを入力し、ASN に関連付けます。

• ルートアドバタイズメント -> 管理 > ルートアドバタイズメント > ルートアドバタイズメントの追加。

  • プレフィックスを入力し、アクティブまたはアドバタイズしないを選択して、オプションで有効期限を設定します。

これらのオブジェクトは、サービスがアクティブなときにグローバルネットワーク経由でアナウンスされるプレフィックスを制御します。

ネットワーク制限

ファイアウォールルール、拒否リストルール、およびインターネット VIP 向けファスト ACL を使用することで、以下が可能になります。

• 特定のトラフィックをブロックまたは許可する。
• 悪用ソースのレートを制限する。
• 純粋なボリューメトリックスクラビングを超えた追加の DDoS 対策を適用する。