教學課程:使用 Azure DDoS 保護來保護 Azure 路由伺服器

本教學課程示範如何建立已啟用 DDoS 防護的 Azure 路由伺服器。 Azure DDoS 防護可保護您可公開存取的路由伺服器免於分散式阻斷服務攻擊,確保網路路由基礎結構的持續運作。

在本教學課程結束時,您已擁有受 Azure DDoS 保護保護的完整功能路由伺服器部署,並準備好與網路虛擬設備進行邊界閘道通訊協定 (BGP) 對等互連。

重要事項

使用網路保護 SKU 時,會衍生 Azure DDoS 保護的成本。 只有在租戶中保護超過 100 個公用 IP 時,才適用超額費用。 如果您未來不會使用本教學課程中的資源,請務必加以刪除。 如需定價的相關資訊,請參閱 Azure DDoS Protection 定價。 如需 Azure DDoS 保護的詳細資訊,請參閱什麼是 Azure DDoS 保護? (部分機器翻譯)

在本教學課程中,您會了解如何:

  • 建立 DDoS 保護計劃
  • 建立 Azure 路由伺服器
  • 啟用 DDoS 保護和計劃
  • 設定路由伺服器

先決條件

建立 DDoS 保護計劃

在本節中,您會建立與本教學課程稍後與虛擬網路相關聯的 Azure DDoS 防護方案。

  1. 登入 Azure 入口網站

  2. 在入口網站頂端的搜尋方塊中,輸入 DDoS 防護。 從搜尋結果中選取 [DDoS 保護計劃]

  3. 選取 [+ 建立]

  4. 建立 DDoS 防護計劃[基本] 索引標籤上,輸入或選取下列資訊:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 [建立新的]
    輸入 myResourceGroup
    選取 [確定]。
    執行個體詳細資料
    名稱 輸入 myDDoSProtectionPlan
    區域 選取 [美國東部]

  5. 選取 [檢閱 + 建立]

  6. 選取 [建立]

建立路由伺服器

在本節中,您會建立 Azure 路由伺服器及其虛擬網路和公用 IP 位址。 部署程序會建立所有必要的網路元件。

  1. 在入口網站頂端的搜尋方塊中,輸入路由伺服器。 從搜尋結果中選取 [路由伺服器]

  2. 選取 [+ 建立]

  3. 在 [建立路由伺服器] 的 [基本] 索引標籤上,輸入或選取下列資訊:

    設定
    專案詳細資料
    訂用帳戶 選取您的訂用帳戶。
    資源群組 選取 myResourceGroup
    執行個體詳細資料
    名稱 輸入 myRouteServer
    區域 選取 [美國東部]
    設定虛擬網路
    虛擬網路 選取 [建立新的]
    [名稱] 中,輸入 myVNet
    保留預先填入的 [位址空間] 和 [子網路]。 在本文的範例中,位址空間是 10.1.0.0/16,子網路是 10.1.0.0/24
    Subnets 中,針對 Subnet name,輸入 RouteServerSubnet
    [位址範圍] 中,輸入 10.1.1.0/27
    選取 [確定]。
    子網路 選取 [RouteServerSubnet (10.1.1.0/27)]
    公用 IP 位址
    公用 IP 位址 選取 [建立新的]
    公用 IP 位址名稱 輸入 myPublicIP

  4. 選取 [檢閱 + 建立]

  5. 選取 [建立]

    附註

    部署路由伺服器可能需要最多 30 分鐘的時間。

啟用 DDoS 保護

Azure DDoS 網路保護會在您想要保護的資源所在的虛擬網路層級啟用。 在本節中,您會為裝載路由伺服器的虛擬網路啟用 DDoS 防護。

  1. 在入口網站頂端的搜尋方塊中,輸入 [虛擬網路]。 從搜尋結果中選取 [虛擬網路]

  2. 選取 [myVNet]

  3. 選取 [設定] 底下的 [DDoS 防護]。

  4. 選取 [啟用]

  5. [DDoS 防護方案 ] 下拉式清單中,選取 [myDDoSProtectionPlan]。

  6. 選取 [儲存]

    附註

    啟用 DDoS 防護後,保護可能需要幾分鐘才能完全啟用。

使用 NVA 設定對等互連

在本節中,您會設定路由伺服器與網路虛擬設備 (NVA) 之間的 BGP 對等互連。 此步驟會建立允許動態路由交換的路由關係。

  1. 在入口網站頂端的搜尋方塊中,輸入路由伺服器。 從搜尋結果中選取 [路由伺服器]

  2. 選取 [myRouteServer]

  3. 在 [設定] 底下,選取 [同儕節點]

  4. 選取 [+ 新增]

  5. 在 [新增同儕節點] 中,輸入或選取下列資訊:

    設定
    名稱 輸入路由伺服器與 NVA 之間的對等互連描述性名稱。
    ASN 輸入 NVA 的自治系統編號 (ASN)。
    IPv4 位址 輸入您要與路由伺服器對等互連之 NVA 的 IP 位址。

  6. 選取 [新增]

    附註

    請確定您的 NVA 已設定與路由伺服器 (65515) 不同的 ASN,並支援多躍點 eBGP。

完成 NVA 上的組態

若要與您的路由伺服器建立 BGP 工作階段,您需要 Azure 路由伺服器的對等 IP 位址和 ASN。 需要此資訊才能完成網路虛擬設備上的設定。

  1. 在入口網站頂端的搜尋方塊中,輸入路由伺服器。 從搜尋結果中選取 [路由伺服器]

  2. 選取 [myRouteServer]

  3. myRouteServer 的 [概觀] 頁面上,記下 ASN[對等 IP] 值。

    顯示 ASN 和對等 IP 資訊的路由伺服器概觀頁面的螢幕擷取畫面。

  4. 使用下列值在 NVA 上配置 BGP 對等互連。

    • 配置兩個BGP會話(每個對等IP一個)
    • 使用路由伺服器的 ASN 作為遠端 ASN
    • 請確定 NVA 的 ASN 與 65515 不同

    小提示

    為了獲得最佳備援,請使用路由伺服器提供的兩個對等 IP 建立 BGP 會話。

清除資源

如果您不打算繼續使用這些資源,請刪除資源群組以移除虛擬網路、DDoS 防護方案、路由伺服器和所有相關聯的資源,以避免持續費用。

  1. 在入口網站頂端的搜尋方塊中,輸入 myResourceGroup。 從搜尋結果中選取 [myResourceGroup]

  2. 選取 [刪除資源群組]

  3. [刪除資源群組] 中,輸入 myResourceGroup,然後選取 [刪除]。

  4. 選取 [刪除] 以確認刪除資源群組及其所有資源。

    警告

    此動作會永久刪除資源群組中的所有資源。 在繼續之前,請確保您不再需要這些資源。

後續步驟

現在您已經部署了受 DDoS 保護的路由伺服器,了解如何有效地設定和管理它:

設定和管理 Azure 路由伺服器

  • Last updated on