Подключение и настройка защиты сети

Чтобы подключить услугу, перейдите на страницу с конфигуратором и выберите подходящие параметры тарифа. Нажмите кнопку Подключить и войдите в личный кабинет либо зарегистрируйтесь.

*Конфигуратор с выбором параметров тарифа для услуги Защита сети*

После авторизации вас встретит мастер установки, который поможет подключить и настроить услугу.

Настройка оборудования

Параметры туннеля

1. Введите номер автономной системы и нажмите Сохранить.

Настройка параметров туннеля — конфигурация автономной системы — *Настройка автономной системы*

Если у вас нет автономной системы, оставьте поле ввода номера пустым и нажмите Сохранить. Мы выделим публичный IP-адрес для подключения

Подтвердите автономную систему: выберите во всплывающем окне email, нажмите Подтвердить, затем введите поступивший на электронную почту код.

Подтверждение автономной системы по email (l3.wizard.select_as.ru.png) — *Подтверждение автономной системы по email*

2. Укажите IP-адрес назначения: PtP-адрес на стыке с вашим провайдером или IP-адрес защищаемого сервера.

Настройка параметров туннеля — IP-адрес назначения — *Настройка IP-адреса назначения*

3. Выберите протокол туннелирования, учитывая технические возможности вашего проекта:

GRE — наиболее популярный и используемый протокол; поддерживается подавляющим большинством Unix-систем и сетевым оборудованием. Инкапсулирует IPv4/IPv6 юникаст и мультикаст трафик.
IPIP — один из самых простых в настройке туннелей. Можно настроить как на системе UNIX/Linux, так и на различных маршрутизаторах. Инкапсулирует юникаст IPv4-трафик.

4. Если вы подключаете защиту для вашей AS, то можете выбрать схему фильтрации: симметричную или асимметричную. Симметричная схема требует направление входящего и исходящего трафика защищаемых префиксов через сеть DDoS-Guard. Асимметричная схема — только входящего трафика.

Исходящий трафик в рамках асимметричной схемы может быть направлен как через DDoS-Guard, так и другого провайдера

После завершения настройки нажмите Далее, чтобы перейти к добавлению платежной информации.

Платежная информация

На данном шаге будет рассчитана итоговая сумма за услугу, и вы сможете выбрать способ оплаты и подтвердить заказ.

*Добавление платежной информации и подтверждение заказа*

Оплатите заказ, чтобы перейти к следующему этапу — настройке туннельного подключения на вашей стороне.

Настройка туннелирования

Если вы подключаете защиту сети для Linux-сервера без автономной системы, настроить туннель можно автоматически. В иных случаях необходимо сделать это вручную, необходимые для этого инструкции доступны в мастере установки.

Работа туннеля с устройствами на ОС Windows не поддерживается

Убедитесь, что ваши оборудование и система поддерживают возможность настройки туннельного соединения.

Автоматическая настройка

Для автоматической настройки скачайте автоконфигуратор tunnel-configure.sh в блоке Как настроить туннель.

Ручная настройка

Для ручной настройки в соответствующем блоке приведены пошаговые инструкции. Введите команды по очереди в терминал вашей системы.

Удаление туннеля

Если вы настраивали туннель автоматически, удалить его можно также при помощи файла-конфигуратора.

Для удаления туннеля вручную воспользуйтесь инструкцией ниже.

Как удалить туннель

1. Удалите маршруты, добавленные ранее для префиксов в диапазоне сетей ICMP hosts:

for i in {$ICMP_HOSTS}; do
ip route del $i via {$DDGPTP_IP}
done

2. Очистите статический маршрут до удаленного конца туннеля:

ip route del “{$REMOTE_IP}”

3. Отзовите все IP-адреса у интерфейса туннеля:

ip addr flush dev ddosguard

4. Деактивируйте интерфейс туннеля:

ip link set ddosguard down || true

5. Удалите интерфейс туннеля:

ip tunnel del ddosguard

6. Установите маршрут по умолчанию через заданный вами шлюз по умолчанию:

ip route replace default via {$USER_DEFAULT_GATEWAY}

Если вы подключаете защиту сети без автономной системы, для завершения настройки необходимо установить туннельное соединение.

Кнопка Завершить настройку будет активна только после настройки туннеля

Пользователям с собственной автономной системой для подключения услуги необходимо также установить BGP-сессию.

Мы отслеживаем состояние туннельного соединения и BGP-сессии автоматически. Когда туннель и сессия будут успешно настроены, изменятся цвет иконки и их статусы — на Активен и Установлена соответственно.

Настройка BGP-сессии

На этом шаге необходимо установить сессию с параметрами, которые указаны в соответствующем разделе.

Убедитесь, что на вашем оборудовании прописан статический маршрут 198.18.100.0/24 через наш PtP-адрес, который выдается индивидуально под каждое новое включение.
Включите в параметрах сессии multi-hop с TTL не менее 16.
Проверьте, что в конфигурации BGP-сессии на вашей стороне установлен режим Active. DDoS-Guard использует режим Passive со своей стороны, чтобы не отправлять сообщения о начале установки сессии.
После установки мы анонсируем вам default route независимо от выбранной схемы фильтрации.
Если вы планируете использовать L7-защиту в рамках Оптимального уровня, то в настройках BGP-сессии с DDoS-Guard нужно разрешить прием этих и более специфичных анонсов (/24–/32):

77.220.207.0/24 - /32
45.10.240.0/24 - /32
45.10.241.0/24 - /32
45.10.242.0/24 - /32
186.2.160.0/24 - /32
186.2.164.0/24 - /32
186.2.167.0/24 - /32
186.2.168.0/24 - /32
185.178.209.197/32
190.115.30.44/32

После успешной установки BGP-сессии настройка услуги будет завершена.

Завершение настройки

После настройки вы увидите сообщение об успешном подключении защиты сети. Нажмите Приступить к работе, чтобы перейти на страницу услуги в личном кабинете

*Завершение подключения услуги Защита сети*

Просмотр услуги

На странице услуги вы сможете посмотреть подробную информацию о ней, управлять функциями защиты L3-4 и при необходимости изменить параметры тарифа. Подробнее об управлении услугой — в инструкции «Возможности личного кабинета для защиты сети»

Вверху страницы находятся панели состояния: статус оплаты, BGP-сессия, Ping Global и Ping Asia.

Панели состояние на странице услуги Защита сети: статус оплаты, BGP-сессия, Ping Global, Ping Asia — *Панели состояния на странице услуги Защита сети*

С помощью Ping Global и Ping Asia можно проверить работу соединения:

Ping Global показывает минимальную задержку соединения между вами и ближайшими узлами DDoS‑Guard в Европе, США и Латинской Америке.
Ping Asia показывает минимальную задержку соединения между вами и ближайшими узлами DDoS‑Guard, в том числе в Азии.

Для подключения к узлам азиатского региона необходимо выбрать область включения Asia

С помощью панели BGP-сессия можно посмотреть историю состояний сессии.

История BGP-сессии — личный кабинет DDoS-Guard — *История состояний BGP-сессии*

Если в панелях Ping Global, Ping Asia, BGP-сессия появились данные, подключение прошло успешно.

Также данные об исходящем и очищенном входящем трафике отобразятся на вкладке Общая статистика. Вы можете посмотреть ее за период до 90 дней в двух форматах: биты в секунду и пакеты в секунду.

Общая статистика очищенного входящего и исходящего трафика, биты в секунду — *Общая статистика трафика в битах на странице услуги Защита сети*

После настройки услуги вы сможете:

Посмотреть статистику атак L3-4
Сформировать отчет об атаках за период
Отслеживать анонсы префиксов по BGP
Задать правила фильтрации Twin Tunnel:

Копировать ссылку

Помогла ли вам статья?

Наши решения

Защита сайта

Обеспечим защиту от DDoS-атак на уровне L7 OSI и быструю доставку контента с помощью CDN

Защита сети

Защитим инфраструктуру сети от DDoS-атак на уровнях L3-L7 OSI с неограниченным количеством префиксов

Защищенный выделенный сервер

Аренда физического сервера с защитой от DDoS-атак в ЦОДе уровня Tier III

Защищенный VDS/VPS

Аренда виртуальных выделенных серверов с защитой от DDoS-атак и гибкой настройкой конфигурации

Защищенный хостинг

Хостинг на серверах DDoS-Guard с защитой от всех известных DDoS-атак и ускоренной доставкой контента (CDN)

WAF

Отслеживайте попытки вредоносного вторжения и получайте подробную аналитику