コンテンツにスキップ
DDoS

概要

Cloud GRE/BGP BIG-IP

Section titled “Cloud GRE/BGP BIG-IP”
  • BIG-IP HAペア(カスタマープレミスイクイップメント(CPE)として機能)から、ユニットごとに独立したトンネルを使用してGREトンネルBGPピアリングを設定します。
  • ルーテッドモード(L3/L4)でCloud DDoSミティゲーションスクラビングセンターに接続します。
flowchart LR
    INET["Internet<br/>Inbound Traffic"]

    subgraph XC["F5 Distributed Cloud<br/>Global Anycast"]
        SCRUB["DDoS Scrubbing<br/>L3/L4 Mitigation"]
        DROP["Attack Traffic<br/>Dropped"]
    end

    subgraph DC["xDC_NAMEx Data Center"]
        BIGIP["BIG-IP CPE<br/>(GRE endpoint)"]
        SERVERS["DDoS-Protected Servers<br/><i>Your public IP block</i>"]
    end

    INET -->|"all traffic to your<br/>public IPs"| SCRUB
    SCRUB -->|"clean traffic"| BIGIP
    SCRUB -.->|"malicious traffic"| DROP
    BIGIP --> SERVERS
    SERVERS --> BIGIP
    BIGIP -.->|"return traffic<br/>via ISP uplink<br/>(asymmetric path)"| INET

    style SERVERS fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px

要件

Section titled “要件”
  • テナントで有効化されたCloud L3/L4ルーテッドDDoSミティゲーションサービス(Always OnまたはAlways Available)。
  • 以下を備えたBIG-IP:
    • LTM(または同等のネットワーキングモジュール)。
    • **ダイナミックルーティング(BGP)**のライセンスおよび有効化。
  • ルーテッドモード:保護対象として少なくとも1つのパブリックにアドバタイズされた/24(またはそれより短い)プレフィックス(IPv6の最小は/48)。
    • 保護対象プレフィックスはパブリックにルーティング可能(非RFC 1918)である必要があります。トンネルがパブリックインターネットを経由する場合、GREの外部エンドポイントもパブリックにルーティング可能である必要があります。プライベート接続(L2、プライベートピアリング)を使用するデプロイメントでは、RFC 1918のエンドポイントアドレスを使用できます。
  • データセンター/ルーターとCloudスクラビングセンター間の接続性。

HAアーキテクチャ

Section titled “HAアーキテクチャ”

BIG-IPはアクティブ/スタンバイHAペアとしてデプロイされ、各ユニットはすべてのスクラビングセンターに対して独自の独立したGREトンネルとBGPセッションを持ちます:

flowchart LR
    subgraph F5XC["F5 Distributed Cloud"]
        C1["xCENTER_1x scrubbing center"]
        C2["xCENTER_2x scrubbing center"]
    end

    subgraph DC["xDC_NAMEx Data Center"]
        direction TB
        subgraph UNITA["BIG-IP-A (Active)"]
            A_C1["C1-T1 tunnel<br/>BGP Established"]
            A_C2["C2-T1 tunnel<br/>BGP Established"]
        end
        subgraph UNITB["BIG-IP-B (Standby)"]
            B_C1["C1-T2 tunnel<br/>Graceful-Restart Ready"]
            B_C2["C2-T2 tunnel<br/>Graceful-Restart Ready"]
        end
        SERVERS["DDoS-Protected Servers"]
    end

    C1 -- "GRE C1-T1" --> A_C1
    C2 -- "GRE C2-T1" --> A_C2
    C1 -- "GRE C1-T2" --> B_C1
    C2 -- "GRE C2-T2" --> B_C2
    UNITA --> SERVERS
    UNITB --> SERVERS

    style SERVERS fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px
  • 独立したトンネルエンドポイント:各BIG-IPユニットは独自の非フローティング外部セルフIP(traffic-group-local-only)と独自のGREトンネルセットを持ちます。BIG-IP-AはxBIGIP_A_OUTER_V4xを、BIG-IP-BはxBIGIP_B_OUTER_V4xをトンネルエンドポイントとして使用します。これにより、トンネルソーシングにおけるフローティングIPへの依存を回避します。
  • 独立したBGPセッション:各ユニットは独自のトンネル上で独自のBGPセッションを実行します。BIG-IP-AはC1-T1およびC2-T1とピアリングし、BIG-IP-BはC1-T2およびC2-T2とピアリングします。フェイルオーバー時にスタンバイユニットのBGPセッションはすでに確立されているため、Cloudは即座にトラフィックをシフトできます。
  • 設定同期:トンネル、セルフIP、およびルーティング設定はconfig-syncを介してユニット間で同期されます。imish BGP設定はユニットごとであるため、各ユニットは独自のneighborステートメントを維持します。同期にすべてのtmshオブジェクトが含まれていることを確認してください。
  • アクティブ/スタンバイBGP動作:アクティブユニットは通常のBGP属性で保護対象プレフィックスをアドバタイズします。スタンバイユニットは、より長いAS-pathプリペンドで同じプレフィックスをアドバタイズする(優先度を下げる)か、フェイルオーバーまでアドバタイズメントを抑制できます。アプローチについてはSOCと調整してください。
  • フェイルオーバーコンバージェンスgraceful-restartが有効で独立したトンネルがある場合、新しいアクティブユニットはすでに確立されたBGPセッションを持っています。コンバージェンスは、BGPベストパス選択が新しいアクティブユニットのアドバタイズメントにシフトすることに依存します。run sys failover standbyでテストしてください。