配置 Direct Link on Classic
建立 IBM Cloud® Direct Link on Classic 连接后,您可以遵循本文档中提供的步骤来配置子网,以与 IBM Cloud进行交互。
通常,要使 Direct Link on Classic 连接工作,必须执行一些基本网络配置步骤,然后设置边界网关协议 (BGP)。 在设置过程中,IBM工程师会与您合作,使您的网络能够使用所需的虚拟路由功能 (VRF) 功能。
基本网络配置
-
定义使用标准RFC1918专用地址空间的远程网络。
- 对于新环境,这是
10.0.0.0/8
空间。 - 对于使用 "
10.0.0.0/8
的现有环境,我们建议您进行更详细的评估,以确保与IBM Cloud服务网络或已分配给您账户的网络没有冲突。
- 对于新环境,这是
-
我们在IBM Cloud的工作人员会为每个连接分配一个“
/31
或”/30
,并在IBM Cloud交叉连接路由器 (XCR) 基础设施上配置一个接口 IP 地址。 -
通过使用提供的 IP 地址在客户边缘路由器 (CER) 上配置接口: 将 IBM Cloud XCR IP 用作发送到 IBM Cloud的任何流量的下一个中继段。
-
对于返回流量,IBM Cloud会将分配的 CER IP 用作通过 BGP 发送广告的前往远程网络的任何流量的下一跳。
配置 BGP
要与您的环境交换路径信息,IBM Cloud 需要配置 BGP。 选项如下所示:
-
ASN:IBM Cloud 为每个客户用量分配专用 ASN。 或者,您也可以使用自己的公共 ASN。 当您下订单时,会请求您的首选项。 在实施过程中,会向您提供已分配的专用 ASN。
-
VRF:使用 VRF,IBM Cloud会宣传分配给客户账户的特定专用子网。 您必须为希望从IBM Cloud专用网络到达的远程网络做广告。 作为客户,您有责任管理进出IBM Cloud网络的广告。 (有关 VRF 的更多信息包含在下一节中。)
以下网络已被过滤,无法接受:
10.0.0.0/14
、"10.198.0.0/15
"、"10.200.0.0/14
、"169.254.0.0/16
"、"224.0.0.0/4
。 -
ECMP:对于选择在受支持位置构建冗余的客户来说,IBM Cloud 支持实施等成本多路径 (ECMP) 以在两个链路之间提供负载均衡和冗余。 此 ECMP 设置应该在订购时请求。
IBM Cloud Direct Link 的 BGP 规范
BGP 规范如下:
如上一节中所述,通过 Direct Link 管理路由必须遵循 BGP。 订购Direct Link的账户被迁移到 VRF 环境。
关于 VLAN 和 VRF 的警告:
- 在 VRF 环境中不允许帐户间 VLAN 跨接。
- IPSec VPN 服务受到限制。
VRF 不会阻止 SSL VPN 访问,但行为会更改。 不使用 VRF 时,一个 VPN 连接就足以查看帐户上的所有服务器。 通过 VRF,您只能访问与 VPN 相关联的市场中的资源。 因此,如果您连接到 DAL VPN,就只能连接到 DAL 服务器。
对于 Public 和 Private 服务,IBM Cloud ASN 为 13884。
- 订购时客户的缺省 ASN 为 64999,但缺省值可根据客户请求进行更改。
- 可选择支持 4 字节专用 ASN "
4201000000
-"4294967294
。 - 排除的 ASN:
0
,13884
,36351
,64512
,64513
,65100
,65201-65234
,65402-65433
,65500
和 4 字节 ASN:4201065000-4201065999
- 如果您将Direct LinkConnect 与layer-3服务(如 IP VPN)一起使用,IBM Cloud将与Direct LinkConnect 提供商的 ASN 建立 BGP。
建议、缺省值和限制:
- 如果 IP 重叠成为问题,那么支持并建议使用隧道(即 GRE)。
- BGP 定时器默认为 "
Keepalive:30
、"Holdtime:90
。 - 缺省情况下,未启用认证。
- 缺省情况下,未启用 BGP BFD。
- 每个 VRF 接收(来自客户或提供商)的最大前缀数限制为 200。
对 IP 分配的严格限制
-
如果使用10.x.x.x网络,则仍无法与IBM Cloud的主机或IBM Cloud服务网络(占用 "
10.0.0.0/14
、"10.198.0.0/15
"和 "10.200.0.0/14
")创建重叠。 -
联邦系统不允许使用以下范围,IBM服务器会拒绝接受它们:"
169.254.0.0/16
, "224.0.0.0/4
。
冗余和多样性
IBM Cloud Direct Link 提供多样性,而客户则负责通过其 BGP 模式实现冗余。
如果选择 ECMP 作为冗余,则两个 BGP 会话必须存在于同一个 XCR 上;因此,您将放弃路由器多样性,并在路由器发生故障时面临风险。 您获得了第 3 层冗余,但却失去了路由器多样性。
了解 BGP 转发决策
IBM Cloud内部部署端的 BGP 路由和转发因供应商的实施而异。 这对于了解如何配置内部部署设备以与 Direct Link 配合使用至关重要。 不理解和不规划可能会导致不希望出现的行为,如不对称路由路径或错误的首选路由选择。 下表从最重要到最不重要排列。 这适用于单一路径。 使用多条路径会改变这种行为。 如需了解这些一般规则的偏差,请遵循路由器的配置指南。
考虑 BGP | 含义 | 首选价值 |
---|---|---|
下一跳可达 | BGP 不会选择无法通信的路由。 | 不适用 |
重量(仅限思科) | 用于优先选择路径的 Cisco 特定度量。 | 更高价值首选 |
本地_Pref | 与供应商无关的首选路径指标。 | 更高价值首选 |
本地注射路线 | 如果您的路由器是路由的始发站,请首选 iBGP/eBGP 路由器。 | 不适用 |
AS_Path 长度 | 路由必须经过的 AS 数量。 | 低值首选 |
源 | 协议起源于什么路由。 | 内部 BGP 优先于外部 BGP |
MED | 多出口判别器,可优先选择 AS 之间的一条出口路径。 | 低值优先 |
邻居类型 | 两个 AS 之间的协议关系是什么? | 内部 BGP 优先于外部 BGP |
IGP 指标 | 路由的 IGP 度量是什么? | 低值优先 |
路线年龄 | 这些路线有多长? | 首选最古老的路线 |
使用 VRF 的更多信息
所有使用 "IBM Cloud"Direct Link解决方案的账户都必须迁移到 VRF。 有关更多信息,请参阅 有关 VRF 帐户迁移的常见问题解答。
使用 VRF,客户将可用的路径宣告到其自定义远程网络。 此配置不允许在IBM Cloud网络上使用自定义 IP 地址。
迁移到 VRF 需要一个短暂的中断窗口(对于有多个 VLAN/位置的大型账户来说,最长不超过 30 分钟),在此期间,后端网络 VLAN 在迁移到 VRF 的过程中会失去相互连接。
VRF 取消了账户的“VLAN 跨接”选项,包括任何账户到账户的 VLAN 跨接功能,因为除非引入网关设备来管理流量,否则所有 VLAN 都能通信。 VRF 还限制了使用IBM Cloud能力。VPN 服务,因为它与IBM Cloud不兼容。SSL 和 IPsec VPN 服务兼容。
替代方法是使用 IBM Cloud Direct Link 产品本身来管理服务器,或者运行可以配置为不同类型 VPN 的自己的 VPN 解决方案(如 Vyatta)。 迁移到 VRF 后,在对计算 VM 运行所在的相同数据中心位置进行 VPN 连接时,SSL VPN 通常会运作。
搭配使用 BYOIP 和 NAT 和 Direct Link
IBM Cloud Direct Link 在专用网络上不提供 BYOIP。 因此,IBM Cloud不会分配目标 IP 地址的流量。 不过,客户可以使用 GRE、IPsec 或 VLAN 封装远程网络与IBM Cloud网络之间的流量。
最常见的是,BYOIP 环境在网关 (Vyatta) 或 VMWare NSX 部署的范围内实施。 此配置使客户能够使用 IBM Cloud 端的任何所需 IP 空间,跨隧道路由回远程网络。 该配置必须由客户管理和支持,与IBM Cloud 无关。 而且,如果客户为 IBM Cloud 服务分配 IBM Cloud 正在使用的 10.x.x.x 段,那么此配置还可以中断与服务网络的连接。
该解决方案还要求每台需要连接到IBM Cloud服务网络和远程网络的主机必须分配两个 IP 地址:一个来自IBM"10.x.x.x
块,另一个来自远程网络块。 必须在主机上设置静态路由,以确保流量的路由。 不能直接在 IBM Cloud 主机 (BYOIP) 上分配 IP 空间,并使其可在 IBM Cloud 网络上进行固有路由。 实现此能力的唯一方法如之前所述,但是 IBM Cloud 并不支持此操作。
或者,客户经常分配一个远程网络块,用于在远程边缘路由器上配置的 NAT 表中。 这种配置允许客户限制对两个网络所需的更改,同时仍将流量转换为与两个网络兼容的网络地址空间。