Поделиться через

Руководство по защите сервера маршрутизации Azure с помощью защиты от атак DDoS Azure

  • Статья

В этой статье показано, как создать сервер маршрутизации Azure с защищенной виртуальной сетью DDoS. Защита от атак DDoS Azure защищает общедоступный сервер маршрутизации от атак распределенного типа "Отказ в обслуживании".

Внимание

Защита от атак DDoS Azure взимает затраты при использовании SKU защиты сети. Плата за превышение расходов применяется только в том случае, если более 100 общедоступных IP-адресов защищены в клиенте. Убедитесь, что ресурсы в этом руководстве удалены, если вы не используете ресурсы в будущем. Дополнительные сведения о ценах см. в разделе "Цены на защиту от атак DDoS Azure". Дополнительные сведения о защите от атак DDoS Azure см. в статье "Что такое защита от атак DDoS Azure"?

В этом руководстве описано следующее:

  • Создайте план защиты от атак DDoS
  • Создание сервера маршрутизации Azure
  • Включение защиты и плана DDoS
  • Настройка сервера маршрутизации

Необходимые компоненты

Создание плана защиты от атак DDoS

В этом разделе описано, как создать план защиты от атак DDoS Azure для связывания с виртуальной сетью, создаваемой далее в этой статье.

  1. Войдите на портал Azure.

  2. В поле поиска в верхней части портала введите защиту от атак DDoS. Выберите планы защиты от атак DDoS из результатов поиска.

  3. Выберите + Создать.

  4. На вкладке "Основы" плана защиты от атак DDoS введите или выберите следующие сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите Создать.
    Введите RouteServerRG.
    Нажмите кнопку ОК.
    Сведения об экземпляре
    Имя. Введите myDDoSProtectionPlan.
    Область/регион Выберите Западная часть США.

  5. Выберите Review + create (Просмотреть и создать).

  6. Нажмите кнопку создания.

Создание сервера маршрутизации

В этом разделе описано, как создать сервер маршрутизации Azure. Виртуальная сеть и общедоступный IP-адрес, используемые для сервера маршрутов, создаются во время развертывания сервера маршрутов.

  1. В поле поиска в верхней части портала введите route Server. Выберите серверы маршрутизации из результатов поиска.

  2. Выберите + Создать.

  3. На вкладке "Основные сведения" в разделе "Создание сервера маршрутов" введите или выберите следующие сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите RouteServerRG.
    Сведения об экземпляре
    Имя. Введите myRouteServer.
    Область/регион Выберите Западная часть США.
    Настройка виртуальных сетей
    Виртуальная сеть Выберите Создать.
    В поле "Имя" введите myVNet.
    Оставьте предварительно заполненное адресное пространство и подсети. В примере этой статьи адресное пространство — 10.1.0.0/16 с подсетью 10.1.0.0/24.
    В подсетях для имени подсети введите RouteServerSubnet.
    В диапазоне адресов введите 10.1.1.0/27.
    Нажмите кнопку ОК.
    Подсеть Выберите RouteServerSubnet (10.1.1.0/27).
    Общедоступный IP-адрес
    Общедоступный IP-адрес Выберите Создать.
    Имя общедоступного IP-адреса Введите myPublicIP.

    Снимок экрана: создание виртуальной сети и подсетей.

  4. Выберите Review + create (Просмотреть и создать).

  5. Нажмите кнопку создания.

    Примечание.

    Развертывание сервера маршрутизации может занять до 30 минут.

Включение защиты от атак DDoS

Сеть DDoS Azure включена в виртуальной сети, в которой требуется защитить ресурс.

  1. В поле поиска в верхней части портала введите виртуальные сети. Выберите виртуальные сети из результатов поиска.

  2. Выберите myVNet.

  3. Выберите защиту от атак DDoS в параметрах.

  4. Выберите Включить.

  5. В раскрывающемся поле в плане защиты от атак DDoS выберите myDDoSProtectionPlan.

  6. Выберите Сохранить.

Настройка пиринга с помощью виртуальных сетевых модулей

В этом разделе описана настройка пиринга BGP с NVA.

  1. В поле поиска в верхней части портала введите route Server. Выберите серверы маршрутизации из результатов поиска.

  2. Выберите myRouteServer.

  3. В разделе "Параметры" выберите "Одноранговые узлы".

  4. Выберите Добавить.

  5. Введите или выберите следующие сведения в разделе "Добавить одноранговый узел".

    Параметр Значение
    Имя. Введите имя пиринга между сервером маршрутизации и NVA.
    ASN Введите номер автономной системы (ASN) своего виртуального сетевого модуля.
    Адрес IPv4 Введите IP-адрес NVA, который требуется выполнить пиринг с сервером маршрутизации.

  6. Выберите Добавить.

Завершение настройки NVA

Чтобы установить сеанс BGP, необходимо, чтобы одноранговые IP-адреса и ASN сервера маршрутизации Azure выполнили настройку в NVA. Эти сведения можно получить на странице обзора сервера маршрутизации.

  1. В поле поиска в верхней части портала введите route Server. Выберите серверы маршрутизации из результатов поиска.

  2. Выберите myRouteServer.

  3. На странице обзора myRouteServer запишите IP-адреса ASN и одноранговых IP-адресов.

    Экран

Очистка ресурсов

Если вы не собираетесь продолжать использовать это приложение, удалите виртуальную сеть, план защиты от атак DDoS и сервер маршрутизации, выполнив следующие действия:

  1. В поле поиска в верхней части портала введите RouteServerRG. Выберите RouteServerRG из результатов поиска.

  2. Выберите команду Удалить группу ресурсов.

  3. В разделе "Удалить группу ресурсов" введите RouteServerRG и нажмите кнопку "Удалить".

  4. Выберите "Удалить ", чтобы подтвердить удаление группы ресурсов и всех его ресурсов.

Следующий шаг

Настройка сервера маршрутизации Azure и управление ими