콘텐츠로 이동
DDoS

개요

Cloud GRE/BGP BIG-IP

섹션 제목: “Cloud GRE/BGP BIG-IP”
  • GRE 터널BGP 피어링을 BIG-IP HA 쌍(고객 구내 장비, CPE 역할)에서 구성하며, 각 유닛별로 독립적인 터널을 사용합니다.
  • 라우팅 모드(L3/L4)로 Cloud DDoS Mitigation 스크러빙 센터에 연결합니다.
flowchart LR
    INET["Internet<br/>Inbound Traffic"]

    subgraph XC["F5 Distributed Cloud<br/>Global Anycast"]
        SCRUB["DDoS Scrubbing<br/>L3/L4 Mitigation"]
        DROP["Attack Traffic<br/>Dropped"]
    end

    subgraph DC["xDC_NAMEx Data Center"]
        BIGIP["BIG-IP CPE<br/>(GRE endpoint)"]
        SERVERS["DDoS-Protected Servers<br/><i>Your public IP block</i>"]
    end

    INET -->|"all traffic to your<br/>public IPs"| SCRUB
    SCRUB -->|"clean traffic"| BIGIP
    SCRUB -.->|"malicious traffic"| DROP
    BIGIP --> SERVERS
    SERVERS --> BIGIP
    BIGIP -.->|"return traffic<br/>via ISP uplink<br/>(asymmetric path)"| INET

    style SERVERS fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px

요구 사항

섹션 제목: “요구 사항”
  • 테넌트에 Cloud L3/L4 라우팅 DDoS Mitigation 서비스(Always On 또는 Always Available)가 활성화되어 있어야 합니다.
  • BIG-IP 요구 사항:
    • LTM(또는 동등한 네트워킹 모듈).
    • **동적 라우팅(BGP)**이 라이선스되고 활성화되어 있어야 합니다.
  • 라우팅 모드: 보호를 위해 최소 하나의 공개적으로 광고된 /24(또는 더 짧은) 프리픽스가 필요합니다(IPv6 최소값은 /48).
    • 보호 대상 프리픽스는 공개적으로 라우팅 가능해야 합니다(비-RFC 1918). 터널이 공용 인터넷을 통과하는 경우 GRE 외부 엔드포인트도 공개적으로 라우팅 가능해야 합니다. 프라이빗 연결(L2, 프라이빗 피어링)을 사용하는 배포의 경우 RFC 1918 엔드포인트 주소를 사용할 수 있습니다.
  • 데이터 센터/라우터와 Cloud 스크러빙 센터 간의 연결이 필요합니다.

HA 아키텍처

섹션 제목: “HA 아키텍처”

BIG-IP는 액티브/스탠바이 HA 쌍으로 배포되며, 각 유닛은 모든 스크러빙 센터에 대해 자체 독립적인 GRE 터널과 BGP 세션을 갖습니다:

flowchart LR
    subgraph F5XC["F5 Distributed Cloud"]
        C1["xCENTER_1x scrubbing center"]
        C2["xCENTER_2x scrubbing center"]
    end

    subgraph DC["xDC_NAMEx Data Center"]
        direction TB
        subgraph UNITA["BIG-IP-A (Active)"]
            A_C1["C1-T1 tunnel<br/>BGP Established"]
            A_C2["C2-T1 tunnel<br/>BGP Established"]
        end
        subgraph UNITB["BIG-IP-B (Standby)"]
            B_C1["C1-T2 tunnel<br/>Graceful-Restart Ready"]
            B_C2["C2-T2 tunnel<br/>Graceful-Restart Ready"]
        end
        SERVERS["DDoS-Protected Servers"]
    end

    C1 -- "GRE C1-T1" --> A_C1
    C2 -- "GRE C2-T1" --> A_C2
    C1 -- "GRE C1-T2" --> B_C1
    C2 -- "GRE C2-T2" --> B_C2
    UNITA --> SERVERS
    UNITB --> SERVERS

    style SERVERS fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px
  • 독립적인 터널 엔드포인트: 각 BIG-IP 유닛은 자체 비-플로팅 외부 셀프 IP(traffic-group-local-only)와 자체 GRE 터널 세트를 갖습니다. BIG-IP-A는 xBIGIP_A_OUTER_V4x를, BIG-IP-B는 xBIGIP_B_OUTER_V4x를 터널 엔드포인트로 사용합니다. 이를 통해 터널 소싱 시 플로팅 IP에 대한 의존성을 방지합니다.
  • 독립적인 BGP 세션: 각 유닛은 자체 터널을 통해 자체 BGP 세션을 실행합니다. BIG-IP-A는 C1-T1 및 C2-T1과 피어링하고, BIG-IP-B는 C1-T2 및 C2-T2와 피어링합니다. 페일오버 시 스탠바이 유닛의 BGP 세션이 이미 설정되어 있으므로 Cloud가 즉시 트래픽을 전환할 수 있습니다.
  • 설정 동기화: 터널, 셀프 IP 및 라우팅 구성은 config-sync를 통해 유닛 간에 동기화됩니다. imish BGP 구성은 유닛별이므로 각 유닛은 자체 네이버 구문을 유지합니다. 동기화에 모든 tmsh 객체가 포함되는지 확인하십시오.
  • 액티브/스탠바이 BGP 동작: 액티브 유닛은 일반 BGP 속성으로 보호 대상 프리픽스를 광고합니다. 스탠바이 유닛은 더 긴 AS-path 프리펜드로 동일한 프리픽스를 광고하거나(덜 선호되도록) 페일오버 전까지 광고를 억제할 수 있습니다. SOC와 접근 방식을 조율하십시오.
  • 페일오버 수렴: graceful-restart가 활성화되고 독립적인 터널이 구성된 상태에서 새로운 액티브 유닛은 이미 설정된 BGP 세션을 보유합니다. 수렴은 새로 활성화된 유닛의 광고로 BGP 최적 경로 선택이 전환되는 것에 따라 달라집니다. run sys failover standby로 테스트하십시오.