Необходимые условия для настройки BGP-сессий
Описание
BGP-пиринг настраивается между автономной системой Kaspersky DDoS Protection 209030 и автономной системой Клиента (или приватной автономной системой Клиента, номер которой выделяется на стороне Kaspersky DDoS Protection).
BGP-сессия, установленная в каждом туннеле, выполняет несколько функций. Через установленную BGP-сессию для поддержания маршрутизации трафика между Центром очистки и Защищаемыми ресурсами должны быть анонсированы IP-адреса, выданные Kaspersky DDoS Protection. В результате, после окончания подключения площадки Клиента, из Интернета Защищаемый ресурс должен быть доступен по двум IP-адресам: оригинальному и выданному Kaspersky DDoS Protection.
Установка BGP-сессии в каждом туннеле необходима для поддержания отказоустойчивого соединения между Центрами очистки и площадкой Клиента. BGP-соседство позволяет осуществлять выбор используемого GRE-туннеля автоматически на стороне Центров очистки Kaspersky DDoS Protection. Для данной цели со стороны Kaspersky DDoS Protection в каждый из туннелей передается атрибут MED. Оборудование Клиента должно доверять данному атрибуту.
Для обеспечения симметрии в туннеле рекомендуется использовать технологию Policy-Based Routing. Для начала работы данной технологии со стороны Центра очистки анонсируется сигнальный префикс через все установленные BGP-сессии. Данный префикс используется в качестве next-hop recursive для возврата исходящего трафика Защищаемых ресурсов в активный GRE-туннель.
Для обеспечения симметричности трафика со стороны Центра очистки может анонсироваться согласованный сигнальный префикс для Policy-Based Routing.
Для переключения трафика Защищаемых ресурсов Клиента на Центры очистки для каждого DNS-имени Kaspersky DDoS Protection выделяет Клиенту IP-адреса.
В начало