Если ваша организация располагает собственной автономной системой (Autonomous System, AS), вы можете подключиться к сети Curator по протоколу BGP и анонсировать свои префиксы. Таким образом, автономная система Curator будет выступать как транзитная AS, через которую будет проходить весь связанный с анонсированными префиксами трафик.

Сеть Curator подключена к нескольким провайдерам Tier 1 и анонсирует ваши префиксы каждому из них. Каждый провайдер будет выбирать маршрут, проходящий через ближайший к нему роутер Curator, благодаря чему трафик из любой части мира будет приходить к вам с минимумом дополнительных задержек. При этом трафик, который Curator распознает как атаку, не будет отправляться в вашу сеть.

Для подключения к Curator по протоколу BGP:

1. Добавьте префиксы.
2. Настройте канал до Curator.
3. Настройте BGP-пиринг с Curator.
4. Опишите карту сервисов.
5. Анонсируйте префиксы.

Добавление префиксовДобавление префиксов

Заранее укажите в разделе Префиксы личного кабинета каждый префикс, который вы собираетесь анонсировать, и соответствующий номер вашей AS, которая будет источником (origin) для этого префикса. Префикс должен принадлежать этой AS согласно базе данных интернет-регистратора.

Для подтверждения операции добавления префикса Curator направит письмо со ссылкой на адрес, указанный как tech-c для соответствующей AS.

Настройка канала до CuratorНастройка канала до Curator

Для BGP-сессии необходим канал связи типа точка-точка между вашей сетью и сетью Curator. Чаще всего для этого удобно использовать виртуальные туннели, такие как GRE, IPIP или MPLS L2 VPN. В отдельных случаях доступны другие способы, например, выделенные каналы связи или физическая коммутация в рамках одного дата-центра.

BGP-пиринг организуется поверх такого канала. Таким образом, выбранные префиксы из вашей AS будут анонсированы только в сеть Curator.

Это важно, поскольку нужно обеспечить прохождение через Curator всего входящего трафика, связанного с анонсированными префиксами. Обратите внимание, что если вы будете анонсировать префиксы провайдерам напрямую, то атакующий сможет направить DDoS-атаку через другой маршрут в обход сети Curator.

Даже если провайдер анонсирует маршрут до суперсети (less specific route), а Curator — маршрут до подсети (more specific route), риск случайного или целенаправленного прохода трафика в подсеть через провайдера в обход сети Curator сохраняется.

Для обеспечения отказоустойчивости и надежности рекомендуется создать два или более канала до Curator. Например, это могут быть два разных GRE-туннеля через разных провайдеров. Со своей стороны Curator также уделяет большое внимание резервированию, поэтому даже в случае, если отключится или выйдет из строя часть оборудования, AS в целом останется доступной и сможет обеспечивать доступность и защиту вашего сайта по другому каналу.

Настройка BGP-пиринга с CuratorНастройка BGP-пиринга с Curator

После создания канала типа точка-точка между вашей сетью и сетью Curator настройте ваше оборудование так, чтобы организовать BGP-сессию поверх этого канала.

Пошаговые инструкции, включая примеры конфигурации для популярных производителей оборудования, вы можете получить у службы поддержки Curator.

Описание карты сервисовОписание карты сервисов

При анализе трафика, проходящего по BGP, центры очистки трафика ориентируются на сведения, предоставленные клиентом в разделах IP-адреса и Порты и протоколы личного кабинета. Эти сведения вместе называются картой сервисов и описывают направления и объём легитимного трафика, ожидаемого клиентом.

Для начала описания трафика создайте один или несколько сервисов в разделе Сервисы. Затем для каждого сервиса задайте список IP-адресов (раздел IP-адреса), портов и протоколов (раздел Порты и протоколы). Весь входящий и исходящий трафик, не соответствующий описанному в карте сервисов, будет отбрасываться.

Анонс префиксовАнонс префиксов

Непосредственное начало анонса ваших префиксов происходит в рамках протокола BGP и не требует действий в личном кабинете. Сеть Curator начнёт анонсировать ваши префиксы, как только ваше оборудование начнёт анонсировать их в автономную систему Curator. Если вы приостановите анонс какого-либо префикса, то Curator сразу приостановит его анонс, а также перестанет пропускать трафик к этому префиксу.

Обратите внимание, что Curator при анонсе префиксов не обрабатывает атрибут BGP community.