Если ваша организация располагает собственной автономной системой (Autonomous System, AS), вы можете подключиться к сети Qrator Labs по протоколу BGP и анонсировать свои префиксы. Таким образом, автономная система Qrator Labs будет выступать как транзитная AS, через которую будет проходить весь связанный с анонсированными префиксами трафик.

Сеть Qrator Labs подключена к нескольким провайдерам Tier 1 и анонсирует ваши префиксы каждому из них. Каждый провайдер будет выбирать маршрут, проходящий через ближайший к нему роутер Qrator Labs, благодаря чему трафик из любой части мира будет приходить к вам с минимумом дополнительных задержек. При этом трафик, который Qrator Labs распознает как атаку, не будет отправляться в вашу сеть.

Для подключения к Qrator Labs по протоколу BGP:

1. Добавьте префиксы.
2. Настройте канал до Qrator Labs.
3. Настройте BGP-пиринг с Qrator Labs.
4. Опишите карту сервисов.
5. Анонсируйте префиксы.

Добавление префиксовДобавление префиксов

Заранее укажите в разделе Префиксы личного кабинета каждый префикс, который вы собираетесь анонсировать, и соответствующий номер вашей AS, которая будет источником (origin) для этого префикса. Префикс должен принадлежать этой AS согласно базе данных интернет-регистратора.

Для подтверждения операции добавления префикса Qrator Labs направит письмо со ссылкой на адрес, указанный как tech-c для соответствующей AS.

Настройка канала до Qrator LabsНастройка канала до Qrator Labs

Для BGP-сессии необходим канал связи типа точка-точка между вашей сетью и сетью Qrator Labs. Чаще всего для этого удобно использовать виртуальные туннели, такие как GRE, IPIP или MPLS L2 VPN. В отдельных случаях доступны другие способы, например, выделенные каналы связи или физическая коммутация в рамках одного дата-центра.

BGP-пиринг организуется поверх такого канала. Таким образом, выбранные префиксы из вашей AS будут анонсированы только в сеть Qrator Labs.

Это важно, поскольку нужно обеспечить прохождение через Qrator Labs всего входящего трафика, связанного с анонсированными префиксами. Обратите внимание, что если вы будете анонсировать префиксы провайдерам напрямую, то атакующий сможет направить DDoS-атаку через другой маршрут в обход сети Qrator Labs.

Даже если провайдер анонсирует маршрут до суперсети (less specific route), а Qrator Labs — маршрут до подсети (more specific route), риск случайного или целенаправленного прохода трафика в подсеть через провайдера в обход сети Qrator Labs сохраняется.

Для обеспечения отказоустойчивости и надежности рекомендуется создать два или более канала до Qrator Labs. Например, это могут быть два разных GRE-туннеля через разных провайдеров. Со своей стороны Qrator Labs также уделяет большое внимание резервированию, поэтому даже в случае, если отключится или выйдет из строя часть оборудования, AS в целом останется доступной и сможет обеспечивать доступность и защиту вашего сайта по другому каналу.

Настройка BGP-пиринга с Qrator LabsНастройка BGP-пиринга с Qrator Labs

После создания канала типа точка-точка между вашей сетью и сетью Qrator Labs настройте ваше оборудование так, чтобы организовать BGP-сессию поверх этого канала.

Пошаговые инструкции, включая примеры конфигурации для популярных производителей оборудования, вы можете получить у службы поддержки Qrator Labs.

Описание карты сервисовОписание карты сервисов

При анализе трафика, проходящего по BGP, центры очистки трафика ориентируются на сведения, предоставленные клиентом в разделах IP-адреса и Порты и протоколы личного кабинета. Эти сведения вместе называются картой сервисов и описывают направления и объём легитимного трафика, ожидаемого клиентом.

Для начала описания трафика создайте один или несколько сервисов в разделе Сервисы. Затем для каждого сервиса задайте список IP-адресов (раздел IP-адреса), портов и протоколов (раздел Порты и протоколы). Весь входящий и исходящий трафик, не соответствующий описанному в карте сервисов, будет отбрасываться.

Анонс префиксовАнонс префиксов

Непосредственное начало анонса ваших префиксов происходит в рамках протокола BGP и не требует действий в личном кабинете. Сеть Qrator Labs начнёт анонсировать ваши префиксы, как только ваше оборудование начнёт анонсировать их в автономную систему Qrator Labs. Если вы приостановите анонс какого-либо префикса, то Qrator Labs сразу приостановит его анонс, а также перестанет пропускать трафик к этому префиксу.

Обратите внимание, что Qrator Labs при анонсе префиксов не обрабатывает атрибут BGP community.