클라우드 구성

XC (UI)

L3/L4 라우팅 DDoS 완화 가이드를 기반으로 웹 인터페이스를 사용하여 클라우드 측을 구성합니다.

DDoS 워크스페이스 활성화

터널 및 BGP를 구성하기 전에:

1. 클라우드 팀(sales@example.com 또는 계정 팀을 통해)에 연락하여:

   • 테넌트에 대한 라우팅 DDoS 완화 워크스페이스를 활성화합니다.
   • 다음 정보를 제공합니다:
     • 공인 IP 넷블록 (IPv4의 경우 /24 이하, IPv6의 경우 /48 이하) 및 소유권 증명서(또는 LOA).
     • ASN (ARIN 또는 동등한 레지스트리에서 발급되어야 함).
     • IRR 등록(RIPE, ARIN, APNIC 등) 및 RPKI 저장소의 ROA.
     • 원하는 클린 트래픽 반환 방법 (GRE 터널, Layer 2, Equinix를 통한 프라이빗 피어링 등).
     • 보호할 데이터 센터 위치 및 라우터.
     • 경로 공지에 필요한 AS-Path prepend.
     • 모든 BGP 커뮤니티, 경로 기본 설정 또는 AS-SET

2. SOC에서 다음을 프로비저닝합니다:

   • 터널
   • ASN
   • 보호된 접두사
   • 경로 광고 옵션
   • 필요에 따른 빠른 ACL / 방화벽 정책

터널

1. 클라우드 콘솔에 로그인하고 서비스 선택기에서 Routed DDoS를 선택합니다.
2. Manage > Tunnels > Add Tunnel로 이동하여 다음을 구성합니다:
   • Location Name 및 Availability Zone (기본값: Zone 1).
   • Bandwidth Max in MB.
   • Tunnel Type:
     • GRE Over IPv4: IPv4 외부 터널.
     • GRE Over IPv6: IPv6 외부 터널.
     • IP Over IP: IPv4-in-IPv4 캡슐화.
     • IPv6 Over IPv6: IPv6-in-IPv6 캡슐화.
   • Customer Endpoint IP: BIG-IP의 외부 주소 (외부 셀프 IP, 터널이 공용 인터넷을 통과할 때 공개적으로 라우팅 가능해야 함).
   • 선택 사항: IPv4/IPv6 인터커넥트, 단편화, 킵얼라이브 (모두 기본적으로 비활성화됨).
3. Tunnel BGP Information 아래:
   • ASN 객체 (사용자의 ASN)를 선택합니다.
   • Customer Peer Secret Override 설정: 기본 시크릿 사용 (기본값), BGP 비밀번호 재정의 (블라인드폴드 또는 일반 텍스트), 또는 시크릿 없음.
   • 기본값과 다른 경우 Holddown Timer 값을 초 단위로 설정합니다.

SOC에서 이러한 터널 객체를 미리 생성할 수 있으며, 사용자는 BIG-IP에서 엔드포인트 IP와 BGP 설정을 일치시키기만 하면 됩니다.

ASN 및 경로

• ASN: -> Manage > ASNs > Add ASN.

  • ASN을 입력하고 BGP가 활성화되어 있는지 확인합니다.

• 접두사: -> Manage > Prefixes > Add Prefix.

  • 각 IP 접두사를 입력하고 ASN과 연결합니다.

• 경로 광고 -> Manage > Route Advertisement > Add Route Advertisement.

  • 접두사를 입력하고 Active 또는 Not Advertised를 선택하며, 선택적으로 만료 기간을 설정합니다.

이러한 객체는 서비스가 활성화될 때 전역 네트워크를 통해 공지되는 접두사를 제어합니다.

네트워크 제한

방화벽 규칙, 거부 목록 규칙 및 인터넷 VIP용 빠른 ACL을 통해:

• 특정 트래픽을 차단하거나 허용합니다.
• 남용 소스에 대한 속도를 제한합니다.
• 순수 대용량 스크러빙 이상의 추가적인 DDoS 보호를 적용합니다.