始める
Magic Transitを使用する前に、以下のオンボーディングステップを完了してください。Cloudflareは、アクティブな攻撃シナリオの際にこのタイムラインを大幅に短縮できます。
オンボーディングプロセスは、Cloudflareがあなたの組織と連携してMagic Transitの設定の範囲とタイムラインを確認する初期キックオフコールから始まります。
Cloudflareとのコールの後、前提条件ステップを完了してください。
Magic Transitを使用する前に、Cloudflareのオンボーディング要件を満たしていることを確認してください。
Magic Transitは、Cloudflareのグローバルネットワークからあなたのオリジンネットワークにパケットを送信するためにanycastトンネルに依存しています。
トンネルエンドポイントのルーターは、Magic Transitとの互換性を確保するために以下の要件を満たす必要があります。
- anycastトンネリングをサポートすること。
- インターネットサービスプロバイダー(ISP)ごとに少なくとも1つのトンネルの設定を許可すること。
- 最大セグメントサイズ (MSS)のクランプをサポートすること。
広告したいプレフィックスを特定し、Cloudflareにそれを発表する権限を与える代理権の手紙 (LOA)を作成します。LOAは、Cloudflareがあなたの代わりに広告するルートを受け入れるためにCloudflareのトランジットプロバイダーによって必要です。このLOAテンプレートを参照して例を確認してください。
もしあなたがインターネットサービスプロバイダー(ISP)であり、顧客の代わりにプレフィックスを広告する場合、ISPと顧客の両方にLOAが必要です。
CloudflareのIPアドレスを使用している場合、LOAを提出する必要はありません。
あなたのインターネットルーティングレジストリ(IRR)エントリが、Magic Transitが正しい自律システム(AS)にトラフィックをルーティングするために対応するオリジン自律システム番号(ASN)と一致していることを確認してください。ガイダンスについては、IRRエントリの確認を参照してください。
CloudflareのIPを使用している場合、IRRエントリを確認する必要はありません。
プレフィックスを検証するための追加オプションとして、リソース公開鍵インフラストラクチャ(RPKI)を使用することもできます。RPKIは、ルートを自律システムに関連付けるセキュリティフレームワークメソッド ↗です。情報がルーターに渡される前に、暗号化を使用して情報を検証します。
プレフィックスを確認するには、CloudflareのRPKIポータル ↗を使用できます。
sequenceDiagram accTitle: Magic WAN accDescr: Maximum segment size participant A as Client machine participant B as Cloudflare Magic WAN/Transit participant C as Origin router A->>B: MSS = 1460 bytes <br> Protocol (20 bytes) <br> IP header (20 bytes) Note left of A: SYN B->>C: MSS = 1436 bytes <br> Protocol (20 bytes) <br> IP header (20 bytes) <br> GRE header (4 bytes) <br> IP header (20 bytes) C->>A: MSS = 1436 bytes <br> IP <br> Protocol Note right of C: SYN-ACK A->>B: MSS = 1436 bytes <br> Protocol <br> IP Note left of A: ACK B->>C: Protocol <br> IP <br> GRE <br> IP
The SYN-ACK packet sent to the client during TCP handshake encodes the value for maximum segment size (MSS). Egress packets are routed via your ISP interface, and each packet must comply with the standard Internet routable maximum transmission unit (MTU), which is 1500 bytes.
Cloudflare Magic Transit uses tunnels to deliver packets from our global network to your data centers. Cloudflare encapsulates these packets adding new headers.
追加のヘッダーデータに対応するため、物理的な出口インターフェースでMSS値を1436バイトに設定する必要があります — トンネルインターフェースではありません。Magic Transitの出口トラフィックの場合、出口トラフィックのためにトンネルのインターフェースを介してMSSを設定する必要があります。| Standard Internet Routable MTU | 1500 bytes |
|---|---|
| - Original IP header | 20 bytes |
| - Original protocol header (TCP) | 20 bytes |
| - New IP header | 20 bytes |
| - New protocol header (GRE) | 4 bytes |
| = Maximum segment size (MSS) | 1436 bytes |
Unless you apply these MSS settings at the origin, client machines do not know that they must use an MSS of 1436 bytes when sending packets to your origin.
If you are unable to set the MSS on your physical interfaces to a value lower than 1500 bytes, you can choose to clear the don't-fragment bit in the IP header. When this option is enabled, Cloudflare fragments packets greater than 1500 bytes, and the packets are reassembled on your infrastructure after decapsulation. In most environments, enabling this option does not have significant impact on traffic throughput.
To enable this option for your network, contact your account team.
Instructions to adjust MSS by applying MSS clamps vary depending on the vendor of your router.
The following table lists several commonly used router vendors with links to MSS clamping instructions:
| Router device | URL |
|---|---|
| Cisco | TCP IP Adjust MSS ↗ |
| Juniper | TCP MSS – Edit System ↗ |
トンネルを設定するために、Cloudflare側とルーター側の両方で接続を行い、オリジンインフラストラクチャに接続します。
Cloudflareのグローバルネットワークからあなたのロケーションにトラフィックをルーティングするために、静的ルートを設定するを行います。
トンネルと静的ルートを設定した後、Cloudflareはトンネルの接続性、トンネルとエンドポイントのヘルスチェック、代理権の手紙 (LOA)、インターネットルーティングレジストリ(IRR)、および最大セグメントサイズ (MSS)の設定を検証します。Cloudflareのグローバルネットワークの設定が適用され、展開には約1日かかります。
プレフライトチェックが完了すると、Cloudflareはあなたがダッシュボード、API、またはBGPを介してプレフィックスを広告するためにプレフィックスを解除します。プレフィックスを広告する方法については、動的広告のベストプラクティスを参照してください。
CloudflareのIPを使用している場合、プレフィックスを広告する必要はありません。