tocdepth

2

Защита IP адреса

Область применения: приложения, принимающие TCP/UDP-соединения по динамическому порту, платформа Облако VMware. Примеры: FTP-сервер, VoIP-шлюз. Также схема подходит для приложений, которым нужно видеть адрес пользователя, но они не поддерживают Proxy Protocol.

В этой схеме защиты применяется туннелирование трафика между сервисом DDoS-провайдера и тенантом заказчика.

Внутри тенанта терминирование GRE-туннеля можно сделать на Edge Gateway или на отдельной виртуальной машине с операционной системой Linux.

Вариант схемы с выделенным T0

../../_images/schm__ddos-protect_4.svg

Вариант схемы с Linux VM для терминирования туннеля

../../_images/schm__ddos-protect_4.1.svg

Для корректной работы сервиса очистки важно сделать так, чтобы ответный трафик на пришедшие из туннеля запросы так же уходил в туннель. Для этого на шлюзе, терминирующем GRE (Linux VM или NSX T0), необходимо настроить соответствующие политики. Например, можно реализовать один из таких вариантов:

  • Два vrf (front, back). В vrf front находится внешний интерфейс, в vrf back — интерфейс GRE-туннеля и внутренний интерфейс. При этом GRE-туннель строится на адресах vrf front. В обоих vrf есть default-маршрут во внешнюю сеть.

  • Использовать PBR на внутреннем интерфейсе, по совпадению SrcIP с адресом целевой виртуальной машины устанавливать выходным интерфейсом GRE-туннель.

Также нужно настроить MTU и MSS на виртуальной машине с приложением, чтобы избежать фрагментацию пакетов: MTU не более 1476 байт, MSS не более 1436 байт.

Запустили Evolution free tier
для Dev & Test
Получить