Direct Link on Classic konfigurieren
Nachdem die IBM Cloud® Direct Link on Classic-Konnektivität hergestellt wurde, können Sie den Schritten in diesem Dokument folgen, um Ihr Teilnetz für die Interaktion mit IBM Cloud zu konfigurieren.
Im Allgemeinen müssen Sie zum Aktivieren einer Direct Link-Verbindung einige Schritte zur grundlegenden Netzkonfiguration durchführen; anschließend muss Border Gateway Protocol (BGP) eingerichtet werden. Während des Einrichtungsprozesses wird ein IBM Servicetechniker Sie dabei unterstützen, Ihr Netz für die Verwendung der obligatorischen Funktion für virtuelles Routing (VRF, Virtual Routing Function) zu unterstützen.
Grundlegende Netzkonfiguration
-
Definieren Sie Ihr fernes Netz mithilfe des in RFC1918 festgelegten privaten Standardadressraums.
- Verwenden Sie für neue Umgebungen den Bereich
10.0.0.0/8. - Für vorhandene Umgebungen, die
10.0.0.0/8verwenden, sollten Sie eine genauere Beurteilung durchführen, um sicherzustellen, dass es keine Konflikte mit dem IBM Cloud-Servicenetz oder den Netzen gibt, die Ihrem Konto bereits zugewiesen sind.
- Verwenden Sie für neue Umgebungen den Bereich
-
Unsere Mitarbeiter bei IBM Cloud weisen entweder
/31oder/30für jede Verbindung zu und konfigurieren eine Schnittstellen-IP-Adresse für die XCR-Infrastruktur von IBM Cloud. -
Konfigurieren Sie die Schnittstelle auf dem Edge-Router des Kunden (CER, Customer Edge Router) mithilfe der bereitgestellten IP-Adresse: Nutzen Sie die XCR-IP von IBM Cloud ganz einfach als nächste Station für den an IBM Cloud gerichteten Datenverkehr.
-
Bei zurückfließendem Datenverkehr verwendet IBM Cloud die zugewiesene CER-IP als nächste Station für den gesamten Datenverkehr, der für das ferne Netz bestimmt ist, wie über BGP angegeben.
BGP konfigurieren
Zum Austausch von Routeninformationen mit Ihrer Umgebung muss für IBM Cloud BGP konfiguriert sein. Folgende Optionen stehen zur Verfügung:
-
ASN: IBM Cloud weist ein privates ASN für die einzelnen Kunden zu. Alternativ können Sie Ihr eigenes öffentliches ASN verwenden. Ihre bevorzugte Methode müssen Sie zum Zeitpunkt Ihrer Bestellung angeben. Das Ihnen zugewiesene private ASN wird Ihnen im Rahmen des Implementierungsprozesses bereitgestellt.
-
VRF: Bei der Verwendung von VRF macht IBM Cloud die Ihrem Kundenkonto zugewiesenen privaten Teilnetze zugänglich. Sie müssen die fernen Netze zugänglich machen, die über das private IBM Cloud-Netz erreichbar sein sollen. Es liegt in Ihrer Verantwortung als Kunde, die Mitteilungen rund um das IBM Cloud-Netz zu verwalten. (Weitere Informationen zu VRF finden Sie im nächsten Abschnitt.)
Die folgenden Netze werden herausgefiltert und können nicht akzeptiert werden:
10.0.0.0/14,10.198.0.0/15,10.200.0.0/14,169.254.0.0/16,224.0.0.0/4. -
ECMP: Für Kunden, die eine Redundanz an einem unterstützten Standort schaffen möchten, unterstützt IBM Cloud die Implementierung von Equal Cost Multipath (ECMP), um Lastausgleich und Redundanz über beide Verbindungen hinweg bereitzustellen. Diese ECMP-Konfiguration sollte zum Zeitpunkt der Bestellung angefordert werden.
BGP-Spezifikationen für IBM Cloud Direct Link
Die BGP-Spezifikationen lauten wie folgt:
Wie im vorherigen Abschnitt angegeben, ist BGP für die Verwaltung Ihrer Routenwahl über Direct Link obligatorisch. Ein Konto, über das Direct Link bestellt wird, wird in die VRF-Umgebung migriert.
Vorbehalte gegenüber VLANs und VRF:
- Kontoübergreifendes VLAN-Spanning ist in der VRF-Umgebung nicht zulässig
- Der IPsec-VPN-Service ist eingeschränkt
VRF verhindert nicht den SSL-VPN-Zugriff, aber das Verhalten ändert sich. Ohne VRF reicht eine einzige VPN-Verbindung aus, um alle Server in Ihrem Konto anzuzeigen. Mit VRF können Sie nur auf Ressourcen in dem Markt zugreifen, der Ihrem VPN zugeordnet ist. Beispiel: Wenn Sie die Verbindung zum DAL-VPN herstellen, sind nur Verbindungen zu DAL-Servern möglich.
Die IBM Cloud-ASN-Nummer für öffentliche und private Services ist 13884.
- Die Standard-ASN-Nummer für Bestellungen ist 64999. Diese Standardeinstellung kann auf Kundenanfrage geändert werden.
- Optional kann eine 4-Byte private ASN '
4201000000- '4294967294unterstützt werden. - Ausgeschlossene ASNs: '
0, '13884, '36351, '64512, '64513, '65100, '65201-65234,65402-65433, '65500und 4-Byte ASNs: '4201065000-4201065999 - Wenn Sie Direct Link Connect mit einem Layer-3-Service wie IP-VPN verwenden, wird BGP von IBM Cloud mit dem ASN des Direct Link Connect-Providers eingerichtet.
Empfehlungen, Standardwerte und Einschränkungen:
- Die Tunnelung (GRE) wird unterstützt und empfohlen, wenn IP-Überschneidungen ein Problem darstellen.
- Die Standardeinstellungen für den BGP-Zeitgeber sind
Keepalive:30undHoldtime:90. - Die Authentifizierung ist nicht standardmäßig aktiviert.
- BGP BFD ist nicht standardmäßig aktiviert.
- Der maximale Präfixgrenzwert für den Empfang (vom Kunden oder vom Provider) ist 200 pro VRF.
Strikte Einschränkungen für IP-Zuordnungen
-
Bei Verwendung des 10.x.x.x-Netzes dürfen weiterhin keine Überschneidungen mit Ihren Hosts in IBM Cloud und mit dem IBM Cloud-Servicenetz auftreten, das
10.0.0.0/14,10.198.0.0/15und10.200.0.0/14umfasst. -
Die folgenden Bereiche sind im US-System nicht zulässig und werden von IBM Servern abgelehnt:
169.254.0.0/16,224.0.0.0/4.
Redundanz und Diversität
IBM Cloud Direct Link bietet Diversität. Die Kunden sind für die Bereitstellung von Redundanz über ihre BGP-Schemas verantwortlich.
Wenn Sie ECMP zwecks Redundanz auswählen, müssen beide BGP-Sitzungen auf demselben Router für Querverbindungen (XCR) vorhanden sein. Sie geben also die Diversität des Routers auf und sind beim Fehlschlagen des Routers einem Risiko ausgesetzt. Sie gewinnen Layer-3-Redundanz, verlieren jedoch Router-Diversität.
Verständnis der BGP-Weiterleitungsentscheidungen
IBM Cloud BGP Routing and Forward variiert je nach Anbieterimplementierung auf der lokalen Seite. Dies ist wichtig, um zu verstehen, wie Sie Ihre Geräte vor Ort für die Zusammenarbeit mit Direct Link konfigurieren. Eine unzureichende Kenntnis und Planung kann zu unerwünschtem Verhalten führen, z. B. zu assymetrischen Routing-Pfaden oder falsch bevorzugten Routing-Entscheidungen. Die nachstehende Tabelle ist in der Reihenfolge vom wichtigsten zum unwichtigsten Punkt geordnet. Dies gilt für einzelne Pfade. Die Verwendung mehrerer Pfade ändert dieses Verhalten. Beachten Sie die Konfigurationsanleitung Ihres Routers für Abweichungen von diesen allgemeinen Regeln.
| BGP-Betrachtung | Bedeutung | Bevorzugter Wert |
|---|---|---|
| Nächster Hopfen Erreichbar | BGP wird keine Route auswählen, mit der es nicht kommunizieren kann. | Nicht zutreffend |
| Gewicht (nur Cisco) | Cisco-spezifische Metrik für die Bevorzugung eines Pfades. | Höherwertig Bevorzugt |
| Lokal_Pref | Herstellerunabhängige Metrik zur Bevorzugung eines Pfades. | Höherwertig Bevorzugt |
| Lokale Injektionsrouten | Wenn Ihr Router die Routen erstellt, bevorzugen Sie ihn gegenüber iBGP/eBGP. | Nicht zutreffend |
| AS_Pfad Länge | Anzahl der AS, die eine Route durchlaufen muss. | Niedrigerer Wert Bevorzugt |
| Ursprung | Von welchem Protokoll stammt die Route. | Interner BGP wird gegenüber externem BGP bevorzugt |
| MITTEL | Multi Exit Discriminator, der einen Exit-Pfad zwischen ASs bevorzugen kann. | Niedrigerer Wert wird bevorzugt |
| Nachbartyp | Was ist die Protokollbeziehung zwischen zwei AS? | Bevorzugung von internem BGP gegenüber externem BGP |
| IGP-Metrik | Was war die IGP-Metrik der Route? | Niedrigerer Wert wird bevorzugt |
| Route Alter | Wie alt sind die Routen? | Bevorzugen Sie den ältesten Weg |
Weitere Informationen zur Verwendung von VRF
Alle Konten, die eine IBM Cloud Direct Link-Lösung nutzen, müssen auf Lösung mit VRF migrieren. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur VRF-Kontomigration.
Durch die Verwendung von VRF machen Kunden die verfügbaren Routen in den eigens definierten Netzen zugänglich. Im Rahmen dieser Konfiguration ist es nicht möglich, selbstdefinierte IP-Adressen für das IBM Cloud-Netz zu verwenden.
Die Migration zu einer VRF erfordert ein kurzes Ausfallfenster (bis zu 30 Minuten für große Konten mit mehreren VLANs/Standorten), in dem die VLANs des Backend-Netzwerks ihre gegenseitige Konnektivität verlieren, während sie zur VRF verschoben werden.
Bei der Verwendung von VRF kann die Option für das VLAN-Spanning nicht verwendet werden, einschließlich aller VLAN-Spanning-Funktionen zwischen Konten, da alle VLANs miteinander kommunizieren können, es sei denn, für die Verwaltung des Datenverkehrs wird eine Gateway-Appliance eingeführt. Mit VRF können zudem VPN-Services von IBM Cloud nur eingeschränkt genutzt werden, da die Funktion nicht mit den SSL- und IPsec-VPN-Services von IBM Cloud kompatibel ist.
Eine Alternative ist die Verwendung des IBM Cloud Direct Link-Angebots selbst zur Verwaltung Ihrer Server oder die Ausführung einer eigenen VPN-Lösung (z. B. Vyatta), die mit unterschiedlichen VPN-Typen konfiguriert werden kann. Nach der Migration auf eine VRF-Instanz kann SSL VPN für gewöhnlich verwendet werden, wenn eine VPN-Verbindung zu dem Rechenzentrumsstandort hergestellt wird, an dem eine Compute-VM ausgeführt wird. Ein globaler Zugriff ist hierbei allerdings nicht zulässig.
BYoIP und NAT mit Direct Link verwenden
IBM Cloud Direct Link umfasst nicht BYoIP für das private Netz. Datenverkehr mit einer Ziel-IP-Adresse, die nicht durch IBM Cloud zugewiesen wurde, wird daher gelöscht. Kunden können jedoch den Datenverkehr zwischen dem fernen Netz und ihrem IBM Cloud-Netz mithilfe von GRE, IPsec (Internet Protocol Security) oder VLAN einkapseln.
Am häufigsten wird die BYoIP-Umgebung im Rahmen eines Netzgateways (Vyatta) oder einer VMware-NSX-Bereitstellung implementiert. Mit dieser Konfiguration können Kunden IBM Cloud-seitig und für die Rückleitung über den Tunnel zurück zum fernen Netz einen beliebigen IP-Bereich verwenden. Diese Konfiguration muss unabhängig von IBM Cloud vom Kunden verwaltet und unterstützt werden. Außerdem kann es im Rahmen dieser Konfiguration zu einer Unterbrechung der Verbindung zum IBM Cloud-Servicenetz kommen, wenn der Kunde einen 10.x.x.x-Block zuweist, der von IBM Cloud für Services verwendet wird.
Für diese Lösung ist auch erforderlich, dass jedem Host, der Konnektivität zum IBM Cloud-Servicenetz und zum fernen Netz benötigt, zwei IP-Adressen zugewiesen sind: Eine über den IBM 10.x.x.x-Block und eine über den Block des fernen
Netzes. Statische Routen müssen auf dem Host eingerichtet werden, um sicherzustellen, dass der Datenverkehr weitergeleitet wird. Sie können einen IP-Bereich nicht direkt für die IBM Cloud-Hosts (BYoIP) zuweisen und diesen inhärent im IBM Cloud
weiterleiten. Die einzige Möglichkeit, dies zu implementieren, wurde bereits an anderer Stelle erläutert, wird jedoch nicht von IBM Cloud unterstützt.
Alternativ weisen Kunden häufig einen fernen Netzblock für die Verwendung in einer NAT-Tabelle zu, die auf ihrem fernen Edge-Router konfiguriert ist. Mit dieser Konfiguration können Kunden die an beiden Netzen erforderlichen Änderungen beschränken, während Datenverkehr weiterhin in einen Netzadressraum verschoben wird, der mit beiden Netzen kompatibel ist.