跳到內容
DDoS

概覽

雲端 GRE/BGP BIG-IP

Section titled “雲端 GRE/BGP BIG-IP”
  • 從 BIG-IP HA 配對(作為用戶端設備,CPE)設定 GRE 隧道BGP 對等連線, 每個單元各自擁有獨立隧道。
  • 路由模式(L3/L4)連線至雲端 DDoS 緩解清洗中心。
flowchart LR
    INET["Internet<br/>Inbound Traffic"]

    subgraph XC["F5 Distributed Cloud<br/>Global Anycast"]
        SCRUB["DDoS Scrubbing<br/>L3/L4 Mitigation"]
        DROP["Attack Traffic<br/>Dropped"]
    end

    subgraph DC["xDC_NAMEx Data Center"]
        BIGIP["BIG-IP CPE<br/>(GRE endpoint)"]
        SERVERS["DDoS-Protected Servers<br/><i>Your public IP block</i>"]
    end

    INET -->|"all traffic to your<br/>public IPs"| SCRUB
    SCRUB -->|"clean traffic"| BIGIP
    SCRUB -.->|"malicious traffic"| DROP
    BIGIP --> SERVERS
    SERVERS --> BIGIP
    BIGIP -.->|"return traffic<br/>via ISP uplink<br/>(asymmetric path)"| INET

    style SERVERS fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px

需求

Section titled “需求”
  • 已為您的租戶啟用雲端 L3/L4 路由 DDoS 緩解服務 (Always On 或 Always Available)。
  • BIG-IP 需具備:
    • LTM(或同等網路模組)。
    • 已授權並啟用動態路由(BGP)
  • 路由模式:至少一個**公開通告的 /24(或更短)**前綴用於保護 (IPv6 最小為 /48)。
    • 受保護前綴必須為公開可路由(非 RFC 1918)。 當隧道穿越公共網際網路時,GRE 外層端點也必須為公開可路由; 使用私有連線(L2、私有對等)的部署可使用 RFC 1918 端點位址。
  • 您的資料中心/路由器與雲端清洗中心之間的連線能力。

HA 架構

Section titled “HA 架構”

BIG-IP 以主動/待機 HA 配對方式部署,每個單元各自擁有獨立的 GRE 隧道與 BGP 工作階段,連接至每個清洗中心:

flowchart LR
    subgraph F5XC["F5 Distributed Cloud"]
        C1["xCENTER_1x scrubbing center"]
        C2["xCENTER_2x scrubbing center"]
    end

    subgraph DC["xDC_NAMEx Data Center"]
        direction TB
        subgraph UNITA["BIG-IP-A (Active)"]
            A_C1["C1-T1 tunnel<br/>BGP Established"]
            A_C2["C2-T1 tunnel<br/>BGP Established"]
        end
        subgraph UNITB["BIG-IP-B (Standby)"]
            B_C1["C1-T2 tunnel<br/>Graceful-Restart Ready"]
            B_C2["C2-T2 tunnel<br/>Graceful-Restart Ready"]
        end
        SERVERS["DDoS-Protected Servers"]
    end

    C1 -- "GRE C1-T1" --> A_C1
    C2 -- "GRE C2-T1" --> A_C2
    C1 -- "GRE C1-T2" --> B_C1
    C2 -- "GRE C2-T2" --> B_C2
    UNITA --> SERVERS
    UNITB --> SERVERS

    style SERVERS fill:#e8f5e9,stroke:#2e7d32,stroke-width:2px
  • 獨立隧道端點:每個 BIG-IP 單元各自擁有非浮動的外層自我 IP (traffic-group-local-only)及其專屬的 GRE 隧道集合。BIG-IP-A 使用 xBIGIP_A_OUTER_V4x,BIG-IP-B 使用 xBIGIP_B_OUTER_V4x 作為隧道端點。 此設計避免了隧道來源依賴浮動 IP 的問題。
  • 獨立 BGP 工作階段:每個單元透過其專屬隧道執行自己的 BGP 工作階段。 BIG-IP-A 與 C1-T1 及 C2-T1 建立對等連線;BIG-IP-B 與 C1-T2 及 C2-T2 建立對等連線。在容錯移轉時,待機單元的 BGP 工作階段已處於已建立狀態, 因此雲端可立即切換流量。
  • 設定同步:隧道、自我 IP 及路由設定透過 config-sync 在單元間同步。 由於 imish BGP 設定為每個單元各自獨立,每個單元維護其自己的鄰居陳述式。 請確認同步範圍涵蓋所有 tmsh 物件。
  • 主動/待機 BGP 行為:主動單元以正常 BGP 屬性通告受保護前綴。 待機單元可選擇以較長的 AS-path prepend(使其較不優先)通告相同前綴, 或在容錯移轉前抑制通告。請與 SOC 協調確認採用的方式。
  • 容錯移轉收斂:在啟用 graceful-restart 並使用獨立隧道的情況下, 新的主動單元已具備已建立的 BGP 工作階段。收斂時間取決於 BGP 最佳路徑 選擇切換至新主動單元的通告。請使用 run sys failover standby 進行測試。