Настройка BGP-пиринга
17 апреля 2024
ID 206051
Необходимые условия для настройки BGP-сессий
- В каждом туннеле должна быть установлена BGP-сессия.
- BGP-сессия устанавливается между внутренними, приватными IP-адресами туннеля.
- При отсутствии собственной AS BGP-сессия устанавливается между приватным, выданным Kaspersky DDoS Protection номером автономной системы на стороне Клиента и публичным номером автономной системы Kaspersky DDoS Protection на стороне Центра очистки.
- Для каждой установленной BGP-сессии со стороны Клиента постоянно должны быть видны анонсы IP-адресов, выданных Kaspersky DDoS Protection для каждого Защищаемого ресурса.
- Оборудование Клиента должно доверять анонсируемому со стороны Центра очистки атрибуту MED.
Описание
BGP-пиринг настраивается между автономной системой Kaspersky DDoS Protection 209030 и автономной системой Клиента (или приватной автономной системой Клиента, номер которой выделяется на стороне Kaspersky DDoS Protection).
BGP-сессия, установленная в каждом туннеле, выполняет несколько функций. Через установленную BGP-сессию для поддержания маршрутизации трафика между Центром очистки и Защищаемыми ресурсами должны быть анонсированы IP-адреса, выданные Kaspersky DDoS Protection. В результате, после окончания подключения площадки Клиента, из Интернета Защищаемый ресурс должен быть доступен по двум IP-адресам: оригинальному и выданному Kaspersky DDoS Protection.
Установка BGP-сессии в каждом туннеле необходима для поддержания отказоустойчивого соединения между Центрами очистки и площадкой Клиента. BGP-соседство позволяет осуществлять выбор используемого GRE-туннеля автоматически на стороне Центров очистки Kaspersky DDoS Protection. Для данной цели со стороны Kaspersky DDoS Protection в каждый из туннелей передается атрибут MED. Оборудование Клиента должно доверять данному атрибуту.
Для обеспечения симметрии в туннеле рекомендуется использовать технологию Policy-Based Routing. Для начала работы данной технологии со стороны Центра очистки анонсируется сигнальный префикс через все установленные BGP-сессии. Данный префикс используется в качестве next-hop recursive для возврата исходящего трафика Защищаемых ресурсов в активный GRE-туннель.
Для обеспечения симметричности трафика со стороны Центра очистки может анонсироваться согласованный сигнальный префикс для Policy-Based Routing.
Для переключения трафика Защищаемых ресурсов Клиента на Центры очистки для каждого DNS-имени Kaspersky DDoS Protection выделяет Клиенту IP-адреса.