通过

教程:使用 Azure DDoS 防护保护 Azure 路由服务器

本教程介绍如何创建启用了 DDoS 保护的 Azure 路由服务器。 Azure DDoS 防护可保护可公开访问的路由服务器免受分布式拒绝服务攻击,确保网络路由基础结构持续运行。

在本教程结束时,你将拥有受 Azure DDoS 保护的功能齐全的路由服务器部署,可以与网络虚拟设备进行边界网关协议 (BGP) 对等连接。

重要

使用网络防护 SKU 时,Azure DDoS 防护会产生费用。 仅当租户中保护超过 100 个公共 IP 时,才会收取超额费用。 如果将来不使用本教程中的资源,请确保将其删除。 有关定价的信息,请参阅 Azure DDoS 防护定价。 有关 Azure DDoS 防护的详细信息,请参阅什么是 Azure DDoS 防护?

本教程中,您将学习如何:

  • 创建 DDoS 防护计划
  • 创建 Azure 路由服务器
  • 启用 DDoS 防护和计划
  • 配置路由服务器

先决条件

创建 DDoS 防护计划

在本部分中,你将创建一个 Azure DDoS 保护计划,该计划将在本教程的后面部分与虚拟网络相关联。

  1. 登录到 Azure 门户

  2. 在门户顶部的搜索框中,输入 DDoS 保护。 从搜索结果中选择“DDoS 防护计划”

  3. 选择+ 新建

  4. “创建 DDoS 保护计划”的“基本信息”选项卡上,输入或选择以下信息:

    设置 价值
    项目详细信息
    订阅 选择订阅。
    资源组 选择“新建”。
    输入 myResourceGroup
    选择“确定”。
    实例详细信息
    名称 输入 myDDoSProtectionPlan
    区域 选择“美国东部”。

  5. 选择“查看 + 创建”

  6. 选择 创建

创建路由服务器

在本部分中,将创建一个 Azure 路由服务器及其虚拟网络和公共 IP 地址。 部署过程将创建所有必要的网络组件。

  1. 在门户顶部的搜索框中,输入“路由服务器”。 从搜索结果中选择“路由服务器”。

  2. 选择+ 新建

  3. 在“创建路由服务器”的“基本信息”选项卡上,输入或选择以下信息

    设置 价值
    项目详细信息
    订阅 选择订阅。
    资源组 选择“myResourceGroup”。
    实例详细信息
    名称 输入 myRouteServer
    区域 选择“中国北部 3”。
    配置虚拟网络
    虚拟网络 选择“新建”。
    “名称”中,输入 myVNet
    保留预填充的地址空间和子网。 在本文的示例中,地址空间为 10.1.0.0/16,子网为 10.1.0.0/24。
    子网中,对于 子网名称,请输入 RouteServerSubnet
    地址范围内,输入 10.1.1.0/27
    选择“确定”。
    子网 选择“RouteServerSubnet (10.1.1.0/27)”。
    公共 IP 地址
    公共 IP 地址 选择“新建”。
    公共 IP 地址名称 输入 myPublicIP

  4. 选择“查看 + 创建”

  5. 选择 创建

    注释

    路由服务器的部署最长可能需要 30 分钟的时间。

启用 DDoS 防护

在要保护的资源所在的虚拟网络级别启用 Azure DDoS 网络保护。 在本部分中,将为托管路由服务器的虚拟网络启用 DDoS 保护。

  1. 在门户顶部的搜索框中,输入“虚拟网络”。 在搜索结果中,选择“虚拟网络”。

  2. 选择“myVNet”。

  3. “设置”下选择 DDoS 保护

  4. 选择启用

  5. “DDoS 保护计划 ”下拉列表中,选择 myDDoSProtectionPlan

  6. 选择“保存”

    注释

    启用 DDoS 保护后,保护可能需要几分钟才能完全处于活动状态。

设置与 NVA 的对等互连

在本部分中,将在路由服务器和网络虚拟应用(NVA)之间配置 BGP 对等连接。 此步骤建立允许动态路由交换的路由关系。

  1. 在门户顶部的搜索框中,输入“路由服务器”。 从搜索结果中选择“路由服务器”。

  2. 选择“myRouteServer”。

  3. 在“设置”下,选择“对等方”

  4. 选择 + 添加

  5. 在“添加对等方”中,输入或选择以下信息:

    设置 价值
    名称 输入路由服务器与 NVA 之间的对等互连的描述性名称。
    ASN 输入 NVA 的自治系统编号(ASN)。
    IPv4 地址 输入你想要让其与路由服务器对等互连的 NVA 的 IP 地址。

  6. 选择 并添加

    注释

    确保 NVA 配置了与路由服务器 (65515) 不同的 ASN,并支持多跃点 eBGP。

在 NVA 上完成配置

若要与路由服务器建立 BGP 会话,需要 Azure 路由服务器的对等 IP 和 ASN。 要完成您的网络虚拟设备的配置,需要这些信息。

  1. 在门户顶部的搜索框中,输入“路由服务器”。 从搜索结果中选择“路由服务器”。

  2. 选择“myRouteServer”。

  3. myRouteServer“概述”页上,记下 ASN对等 IP 值。

    路由服务器概述页的屏幕截图,其中显示了 ASN 和对等 IP 信息。

  4. 使用这些值在 NVA 上配置 BGP 对等连接:

    • 配置两个 BGP 会话(一个用于每个对等 IP)
    • 使用路由服务器的 ASN 作为远程 ASN
    • 确保 NVA 的 ASN 不同于 65515

    小窍门

    为获得最佳冗余,请与路由服务器提供的两个对等 IP 建立 BGP 会话。

清理资源

如果不打算继续使用这些资源,请删除资源组以删除虚拟网络、DDoS 保护计划、路由服务器和所有关联的资源,以避免持续产生费用。

  1. 在门户顶部的搜索框中,输入 myResourceGroup。 从搜索结果中选择“myResourceGroup”。

  2. 选择“删除资源组”。

  3. “删除资源组”中,输入 myResourceGroup,然后选择“ 删除”。

  4. 选择“删除”以确认删除资源组及其所有资源。

    警告

    此作永久删除资源组中的所有资源。 在继续作之前,请确保不再需要这些资源。

后续步骤

现已部署受 DDoS 保护的路由服务器,了解如何有效地配置和管理路由服务器:

配置和管理 Azure 路由服务器

  • Last updated on