IBM Cloud Docs
Pianificazione per la distribuzione

Pianificazione per la distribuzione

Fornisce considerazioni generali per la pianificazione del tuo Direct Link distribuzione.

Pianificazione di connessioni virtuali

Direct Link i gateway consentono alle reti locali di connettersi alle reti in IBM Cloud utilizzando connessioni virtuali. Il traffico di rete tra connessioni virtuali su un gateway Direct Link non è supportato. Tuttavia, a seconda dei prefissi di rete pubblicizzati dalla rete locale, il traffico potrebbe comunque fluire tra le connessioni virtuali. Ad esempio, se la rete locale pubblicizza il percorso predefinito (0.0.0.0/0 ). In questo caso, tutto il traffico proveniente da una rete connessa tramite una connessione virtuale che non trova un percorso più specifico di 0.0.0.0/0 viene inviato al Direct Link porta. Una volta arrivato al gateway, il traffico viene inoltrato utilizzando algoritmi di routing standard. Se un'altra connessione virtuale ha un percorso che corrisponde all'indirizzo di destinazione del traffico, allora viene inoltrato alla rete su quella connessione virtuale (invece del meno specifico 0.0.0.0/0 della rete locale).

Pianificazione della funzione MACsec dedicata di Direct Link

È possibile abilitare MACsec (IEEE 802.1AE ) quando si ordina IBM Cloud Direct Link Dedicated per proteggere le connessioni Ethernet tra la rete on-premise e IBM Cloud. MACsec opera al livello di collegamento dati (Layer 2) del modello OSI, crittografando tutto il traffico Ethernet, compresi i protocolli del piano di controllo come ARP e DHCP, per proteggere da intercettazioni, manomissioni e attacchi alla rete locale.

MACsec offre diverse caratteristiche di sicurezza fondamentali:

  • Autenticazione dell'origine tramite una chiave di associazione di connettività (CAK)
  • Protezione del replay con una finestra configurabile per i fotogrammi fuori ordine
  • Riservatezza dei dati grazie alla crittografia AES
  • Integrità dei dati mediante un valore di controllo dell'integrità (ICV) per frame

Le sessioni MACsec vengono stabilite tra il dispositivo compatibile con MACsec e lo switch cross-connect IBM. La funzione supporta una CAK primaria e una CAK di riserva opzionale in caso di mancata corrispondenza. I segreti CAK sono memorizzati in modo sicuro come risorse chiave IBM Hyper Protect Crypto Services (HPCS). Per abilitare questa integrazione, Direct Link deve essere autorizzato a recuperare le chiavi pertinenti dalla vostra istanza HPCS.

MACsec utilizza lo standard industriale MACsec Key Agreement (MKA) per la gestione sicura delle chiavi. Impiega la crittografia AES basata su hardware, garantendo una forte sicurezza con un impatto minimo sulle prestazioni. La crittografia garantisce la riservatezza e l'integrità dei dati, operando a livello 2 senza la necessità di modificare i protocolli o le applicazioni di livello superiore. IBM fornisce inoltre indicazioni per la rotazione sicura dei CAK, in modo da garantire una crittografia ininterrotta senza impatti sul traffico.

MACsec è disponibile in località selezionate dove IBM Cloud supporta l'infrastruttura di cross-connect con capacità MACsec. Attualmente, MACsec per Direct Link Dedicated è disponibile a Dallas, Washington DC, Toronto e Montreal.

IBM ha testato e verificato l'implementazione di Cisco MACsec IEEE 802.1AE per la crittografia e la sicurezza a Layer 2. Sebbene i test di IBM siano stati condotti specificamente sulla soluzione MACsec di Cisco, IBM supporta altre soluzioni MACsec che implementano lo standard IEEE 802.1AE. In caso di problemi o di necessità di assistenza per una soluzione MACsec, il supporto di IBM è a disposizione.

Utilizzo di AS prepends con connessioni VPC

Al momento, la rete VPC non considera la lunghezza del percorso AS quando si seleziona l'instradamento migliore per il traffico di rete. Tuttavia, è possibile utilizzare un transit gateway tra il direct link e il VPC in determinate topologie per ottenere lo stesso risultato. Inoltre, se i valori del prefisso vengono ripetuti su prependi AS differenti (della stessa politica), la prima istanza del valore del prefisso imposta la lunghezza del prefisso; il resto viene ignorato.

Tenere presente che i prependenti AS attualmente non hanno alcun effetto sull'instradamento tra i VPC e i collegamenti diretti.

Esempi

Le seguenti topologie di distribuzione illustrano vari scenari AS Prepend durante la connessione ai VPC.

  1. VPC sceglie un instradamento indipendentemente dalla lunghezza del percorso AS.

    I prefissi AS non hanno effetto sull'instradamento tra VPC e collegamenti diretti*I prefissi
    non hanno effetto sull'instradamento tra VPC e collegamenti

  2. Instrada VPC al gateway di transito, quindi il gateway di transito considera la lunghezza del percorso AS quando sceglie l'instradamento verso il locale.

    I prefissi AS vengono considerati durante la
    della rotta*I prefissi AS vengono considerati durante la determinazione della

  3. Il gateway di transito locale è preferito al gateway di transito globale.

    I prefissi AS non vengono considerati durante la
    della rotta*I prefissi AS non vengono considerati durante la determinazione della

  4. Il gateway di transito locale è preferito al gateway di transito globale. Tuttavia, si considera che il percorso AS arrivi in loco.

    I prefissi AS vengono considerati durante la
    della rotta*I prefissi AS vengono considerati durante la determinazione della

  5. Un collegamento diretto alla connessione VPC ha sempre una priorità più alta rispetto a un collegamento diretto (collegato a un transit gateway) connesso a un VPC.

    Il collegamento diretto direttamente collegato a una VPC ha sempre una priorità maggiore rispetto a un collegamento diretto(collegato a un gateway di transito)collegato a una
    collegamento diretto direttamente collegato a una VPC ha sempre una priorità maggiore rispetto a un collegamento diretto (collegato a un gateway di transito) collegato a una