跳转到内容
DDoS

云端配置

XC(界面)

Section titled “XC(界面)”

根据 L3/L4 路由式 DDoS 缓解 指南,使用 Web 界面配置云端

启用 DDoS 工作区

Section titled “启用 DDoS 工作区”

在配置隧道和 BGP 之前:

  1. 联系云端团队(通过 sales@example.com 或您的客户团队)以:

    • 为您的租户启用路由式 DDoS 缓解工作区。
    • 提供:
      • 您的公共 IP 网段(IPv4 /24 或更短,IPv6 /48 或更短)及所有权证明(或 LOA)。
      • 您的 ASN(必须由 ARIN 或同等注册机构颁发)。
      • IRR 注册(RIPE、ARIN、APNIC 等)及 RPKI 存储库中的 ROA
      • 所需的净流量回程方式(GRE 隧道、二层、通过 Equinix 私有对等等)。
      • 需要保护的数据中心位置及路由器。
      • 路由通告所需的 AS-Path 前置
      • 任何 BGP 社区、路由偏好或 AS-SET

  2. SOC 将负责配置:

    • 隧道
    • ASN
    • 受保护前缀
    • 路由通告选项
    • 快速 ACL/防火墙策略(按需)

隧道

Section titled “隧道”
  1. 登录云控制台,从服务选择器中选择路由式 DDoS
  2. 前往 Manage > Tunnels > Add Tunnel,并配置:
    • Location NameAvailability Zone(默认为 Zone 1)。
    • Bandwidth Max in MB
    • Tunnel Type(隧道类型):
      • GRE Over IPv4:用于 IPv4 外层隧道。
      • GRE Over IPv6:用于 IPv6 外层隧道。
      • IP Over IP:用于 IPv4-in-IPv4 封装。
      • IPv6 Over IPv6:用于 IPv6-in-IPv6 封装。
    • Customer Endpoint IP:BIG-IP 的外部地址(外层自 IP,隧道穿越公共互联网时必须具备公网可路由性)。
    • 可选:IPv4/IPv6 互联、分片、保活(默认均禁用)。
  3. Tunnel BGP Information 下:
    • 选择 ASN object(您的 ASN)。
    • 设置 Customer Peer Secret Override:使用默认密钥(默认)、BGP 密码覆盖(盲化或明文),或无密钥。
    • 如与默认值不同,设置 Holddown Timer(秒)。

SOC 可能会为您预先创建这些隧道对象;您只需在 BIG-IP 上匹配端点 IP 和 BGP 设置即可。

ASN 与路由

Section titled “ASN 与路由”

  • ASN:-> Manage > ASNs > Add ASN

    • 输入您的 ASN 并确保已启用 BGP。

  • 前缀:-> Manage > Prefixes > Add Prefix

    • 输入每个 IP 前缀并将其与您的 ASN 关联。

  • 路由通告 -> Manage > Route Advertisement > Add Route Advertisement

    • 输入前缀,选择 ActiveNot Advertised,以及可选的过期时间。

这些对象控制在服务激活时通过全球网络通告哪些前缀。

网络限制

Section titled “网络限制”

防火墙规则拒绝列表规则互联网 VIP 快速 ACL 允许您:

  • 封锁或放行特定流量。
  • 对滥用源进行限速。
  • 在纯容量清洗之外应用额外的 DDoS 防护。