Configuración de Direct Link on Classic
Después de establecer la conectividad de IBM Cloud® Direct Link on Classic, puede seguir los pasos descritos en este documento para configurar la subred y para interactuar con IBM Cloud.
En general, para hacer que funcione la conexión de Direct Link on Classic, deberá realizar algunos pasos de configuración de red básicos y, a continuación, configurar el protocolo BGP (Border Gateway Protocol). Durante el proceso de configuración, un ingeniero de IBM trabajará con usted para habilitar su red para utilizar la función de VRF (Virtual Routing Function), que es obligatoria.
Configuración de red básica
-
Defina su red remota que utiliza el espacio de direcciones privado de RFC1918 estándar.
- Para entornos nuevos, el espacio
10.0.0.0/8. - Para los entornos existentes que utilizan
10.0.0.0/8, recomendamos obtener una evaluación más detallada, para asegurarse de que no haya ningún conflicto con la red de servicios de IBM Cloud, ni con las redes ya asignadas a su cuenta.
- Para entornos nuevos, el espacio
-
Nuestro personal de IBM Cloud asigna un
/31o/30para cada conexión y configurará una dirección IP de la interfaz en la infraestructura del direccionador de conexión (XCR) de IBM Cloud. -
Configure la interfaz en el direccionador de extremo del cliente (CER), utilizando la dirección IP proporcionada: utilice la IP de XCR de IBM Cloud como el próximo paso para cualquier tráfico destinado a IBM Cloud.
-
Para el tráfico de retorno, IBM Cloud utilizará la IP de CER asignada como el próximo paso para cualquier tráfico destinado a la red remota, como se anuncia a través de BGP.
Configuración de BGP
Para intercambiar información de ruta con el entorno, IBM Cloud requiere que se configure BGP. Dispone de las opciones siguientes:
-
ASN: IBM Cloud asigna un ASN privado para el uso de cada cliente. Como alternativa, puede utilizar su propio ASN público. Su preferencia se solicita en el momento de realizar el pedido. El ASN privado asignado se proporciona durante el proceso de implementación.
-
VRF: Al utilizar VRF, IBM Cloud anuncia las subredes privadas específicas asignadas a su cuenta de cliente. Debe anunciar las redes remotas a las que quiere que se pueda llegar desde la red privada de IBM Cloud. Es su responsabilidad como cliente gestionar los anuncios hacia y desde la red de IBM Cloud. (Se incluyen más detalles sobre VRF en la siguiente sección).
Las redes siguientes están filtradas y no se pueden aceptar:
10.0.0.0/14,10.198.0.0/15,10.200.0.0/14,169.254.0.0/16,224.0.0.0/4. -
ECMP: Para los clientes que eligen crear redundancia en una ubicación soportada, IBM Cloud soporta la implementación de ECMP (equal-cost multipath) para proporcionar equilibrio de carga y redundancia entre los dos enlaces. Esta configuración de ECMP se debe solicitar en el momento del pedido.
Especificaciones de BGP para IBM Cloud Direct Link
Las especificaciones de BGP son las siguientes:
Como se ha comentado en la sección anterior, BGP es obligatorio para gestionar el direccionamiento a través de Direct Link. Una cuenta que solicite Direct Link se migra al entorno VRF.
Advertencias sobre las VLAN y VRF:
- No se permite la expansión de VLAN entre cuentas en el entorno VRF.
- El servicio VPN de IPsec está limitado.
VRF no impide el acceso VPN de SSL, pero el comportamiento cambia. Sin VRF, una conexión VPN es suficiente para ver todos los servidores de la cuenta. Con VRF, solo puede acceder a los recursos del mercado asociados a su VPN. Así, si se conecta al VPN DAL, solo puede conectarse a servidores DAL.
ASN de IBM Cloud es 13884, para los servicios públicos y privados.
- El ASN predeterminado para un cliente cuando realiza el pedido es 64999, pero el valor predeterminado se puede modificar mediante una solicitud del cliente.
- Opcionalmente, se puede admitir un ASN privado de 4 bytes '
4201000000- '4294967294'. - ASN excluidos: "
0, "13884, "36351, "64512, "64513, "65100, "65201-65234,65402-65433, "65500y ASN de 4 bytes: "4201065000-4201065999 - Si utiliza Direct Link Connect con un servicio de 3 capas, como IP VPN, IBM Cloud establece BGP con el ASN del proveedor de Direct Link Connect.
Recomendaciones, valores predeterminados y límites:
- Se da soporte al tunelado (es decir, GRE) y se recomienda si el solapamiento de IP se convierte en un problema.
- Los valores predeterminados del temporizador BGP son
Keepalive:30,Holdtime:90. - La autenticación no está habilitada de forma predeterminada.
- BGP BFD no está habilitado de forma predeterminada.
- El límite en el máximo de prefijos recibidos (del cliente o del proveedor) es de 200 por VRF.
Limitaciones estrictas en las asignaciones de IP
-
Si utiliza la red 10.x.x.x, todavía no puede crear solapamientos con los hosts dentro de IBM Cloud ni con la red de servicios de IBM Cloud, que ocupa
10.0.0.0/14,10.198.0.0/15y10.200.0.0/14. -
No se permiten los siguientes rangos en el sistema Federal y los servidores IBM los rechazan:
169.254.0.0/16,224.0.0.0/4.
Redundancia y diversidad
IBM Cloud Direct Link proporciona diversidad y los clientes son responsables de aplicar la redundancia mediante esquemas BGP.
Si selecciona ECMP para la redundancia, ambas sesiones BGP deben existir en el mismo XCR; por lo tanto, renuncia a la diversidad del direccionador y se expone a riesgos en caso de que el direccionador falle. Gana una redundancia de 3 capas, pero pierde diversidad de direccionador.
Comprender las decisiones de reenvío de BGP
IBM Cloud BGP Routing and Forward varía según la implementación del proveedor en el lado local. Esto es fundamental para entender cómo se configura el equipo local para trabajar con Direct Link. La falta de comprensión y planificación puede dar lugar a comportamientos no deseados, como rutas asimétricas o elecciones de enrutamiento incorrectamente preferidas. La siguiente tabla está ordenada de mayor a menor importancia. Esto se aplica a las rutas individuales. El uso de varias rutas cambia este comportamiento. Siga la guía de configuración de su router para conocer las desviaciones de estas reglas generales.
| Consideración de BGP | Significado | Valor preferente |
|---|---|---|
| Siguiente salto alcanzable | BGP no seleccionará una ruta con la que no pueda comunicarse. | N/D |
| Peso (sólo Cisco) | Métrica específica de Cisco para preferir una ruta. | Mayor valor Preferente |
| Local_Pref | Métrica independiente del proveedor para preferir una ruta. | Mayor valor Preferente |
| Rutas inyectadas localmente | Si su router está originando las rutas, prefiéralo a iBGP/eBGP. | N/D |
| Longitud AS_Path | Número de AS por los que debe pasar una ruta. | Valor inferior Preferente |
| Origen | Qué protocolo originó la ruta. | BGP interno preferido a BGP externo |
| MED | Discriminador Multi Salida, que puede preferir una ruta de salida entre ASs. | Se prefiere el valor más bajo |
| Tipo de vecino | ¿Cuál es la relación de protocolo entre dos AS? | Preferir BGP interno a BGP externo |
| Métrica IGP | ¿Cuál era la métrica IGP de la ruta? | Se prefiere el valor más bajo |
| Ruta Edad | ¿Qué antigüedad tienen las rutas? | Preferir la ruta más antigua |
Más información sobre el uso de VRF
Todas las cuentas que utilizan la solución IBM Cloud Direct Link deben migrar a un VRF. Para obtener más información, consulte Preguntas más frecuentes sobre la migración de cuentas VRF.
Al utilizar VRF, los clientes anuncian las rutas disponibles a sus redes remotas autodefinidas. Esta configuración no permite utilizar las direcciones de IP autodefinidas en la red de IBM Cloud.
La migración a una VRF requiere una breve ventana de interrupción (hasta 30 minutos para grandes cuentas con múltiples VLANs/ubicaciones), durante la cual las VLANs de la red backend pierden conectividad mutua mientras se trasladan a la VRF.
VRF elimina la opción "VLAN Spanning" para su cuenta, incluidas las capacidades de expansión de VLAN de cuenta a cuenta, porque todas las VLAN pueden comunicarse, a menos que se introduzca un dispositivo de pasarela para gestionar el tráfico. VRF también limita la posibilidad de utilizar servicios VPN de IBM Cloud porque no es compatible con los servicios VPN de IPsec y SSL de IBM Cloud.
Una alternativa es utilizar la oferta IBM Cloud Direct Link para gestionar los servidores o ejecutar su propia solución de VPN (por ejemplo, Vyatta), que puede configurarse con distintos tipos de VPN. Después de migrar a un VRF, SSL VPN normalmente funciona cuando se realiza una conexión VPN en la ubicación del mismo centro de datos en la que se ejecuta una máquina virtual de cálculo, pero no permite el acceso global.
Uso de BYOIP y NAT con Direct Link
IBM Cloud Direct Link no ofrece BYOIP en la red privada. Por lo tanto, el tráfico con una dirección IP de destino que no haya asignado IBM Cloud se descarta. Sin embargo, los clientes pueden encapsular tráfico entre la red remota y su red de IBM Cloud que utiliza GRE, IPsec o VLAN.
Generalmente, el entorno BYOIP se implementa en el ámbito de una Pasarela de red (Vyatta) o un despliegue de VMWare NSX. Esta configuración permite a los clientes utilizar cualquier espacio de IP deseable en el lado de IBM Cloud, y direccionar de nuevo a través del túnel a la red remota. Esta configuración debe estar gestionada y soportada por el cliente, independiente de IBM Cloud. Además, esta configuración puede romper la conectividad a la red de servicios de IBM Cloud si el cliente asigna un bloque 10.x.x.x que IBM Cloud tenga en uso para los servicios.
Esta solución también requiere que cada host que necesite conectividad a la red de servicios de IBM Cloud y a la red remota debe tener dos direcciones IP asignadas: una desde el bloque 10.x.x.x de IBM y otra desde el bloque de red
remota. Las rutas estáticas deben establecerse en el host, para asegurarse de que el tráfico se direcciona. No puede asignar espacio de IP directamente en los hosts de IBM Cloud (BYOIP) y tenerlo direccionable en la red de IBM Cloud de forma
inherente. La única forma de implementar esta capacidad es como se resaltó anteriormente, pero no está soportado por IBM Cloud.
Como alternativa, los clientes suelen asignar un bloque de red remoto para su uso en una tabla NAT configurada en su direccionador de extremo remoto. Esta configuración permite a los clientes limitar los cambios necesarios para ambas redes, mientras que sigue convirtiendo tráfico a un espacio de direcciones de red compatible con las dos redes.