Ordinazione di IBM Cloud Direct Link Dedicated
Per ordinare Direct Link Dedicato, è necessario determinare la postazione che si connette a IBM Cloud, completare le informazioni di configurazione richieste per Direct Link, quindi fare clic su Crea per inviare l'ordine.
Considerazioni sulla pianificazione
Assicurati di rivedere le seguenti informazioni prima di ordinare Direct Link Dedicato:
-
Prima di iniziare, contatta il tuo provider del servizio per determinare l'ubicazione di IBM Cloud verificando la tua collocazione o le capacità del provider del servizio per raggiungere la Meet Me Room e la connessione incrociata in IBM Cloud.
-
Tutte le sottoreti del VPC o della rete classica sono collegate al collegamento diretto. Quando crei VPC, assicurati di creare VPC con prefissi non sovrapposti e sottoreti univoche.
- Per evitare conflitti di indirizzi IP per le connessioni classiche a un link diretto, non utilizzare intervalli di indirizzi IP nei blocchi
10.0.0.0/14
,10.200.0.0/14
,10.198.0.0/15
e10.254.0.0/16
per le reti in loco. Gli instradamenti in loco che si sovrappongono vengono eliminati. - Per le connessioni VPC a un link diretto, "puoi" utilizzare intervalli IP classici limitati nei blocchi
10.0.0.0/14
,10.200.0.0/14
,10.198.0.0/15
e10.254.0.0/16
. - Per i collegamenti diretti connessi ai gateway di transito, questi intervalli IP sono sempre filtrati per proteggere le reti classiche che potrebbero essere potenzialmente connesse ai gateway di transito.
- Per evitare conflitti di indirizzi IP per le connessioni classiche a un link diretto, non utilizzare intervalli di indirizzi IP nei blocchi
-
Un requisito di tunneling Generic Routing Encapsulation (GRE)/IPsec tra il router Edge e un router virtuale in IBM Cloud richiede una sottorete non in conflitto al momento dell'ordine. Gli indirizzi predefiniti per Direct Link non sono instradabili e non supportano il tunneling.
-
IBM Cloud Il VPC consente l'uso di uno spazio di indirizzi IPv4 registrato dall' RFC-1918 e e dall'IANA, in modo privato all'interno del VPC. Consente inoltre questo uso, con alcune eccezioni, negli intervalli IANA Special-Purpose e in intervalli selezionati assegnati ai servizi di IBM Cloud. Quando utilizzi gli intervalli registrati IANA all'interno della tua azienda e all'interno dei VPC con IBM Cloud Direct Link, è necessario installare percorsi personalizzati in ciascuna zona. Per ulteriori informazioni, vedi Considerazioni sull'instradamento per le assegnazioni IP registrate IANA.
-
Se prevedi di collegare il tuo direct link a un transit gateway, tieni presente che una sola istanza di direct link accetta un massimo di 120 prefissi di indirizzo in loco quando è connessa a un transit gateway. Considerare l'aggregazione dei prefissi per mantenersi entro questo limite.
Un collegamento diretto può accettare un massimo di 200 prefissi quando non è collegato a un gateway di transito.
-
Assicurati di consultare e familiarizzare con i Problemi noti e le limitazioni.
-
Solo per Direct Link Dedicato con funzione MACsec:
- Attualmente, la funzione Direct Link Dedicated with MACsec è offerta in località selezionate, con un supporto crescente.
- Assicuratevi di proteggere i vostri dati in Direct Link.
- Rivedere le linee guida e le restrizioni per Direct Link Dedicato con MACsec.
Istruzioni di ordinazione
Per ordinare IBM Cloud® Direct Link Dedicated, attieniti alla seguente procedura.
-
Nella console di IBM Cloud, fare clic
di navigazione, quindi selezionare Infrastruttura > Rete > Collegamento diretto.
-
Fare clic su Ordine Direct Link, quindi fare clic sul riquadro Direct Link Dedicato per aprire la pagina di provisioning.
-
Nella sezione Prima di iniziare, fare clic su Espandi lista di controllo per rivedere la procedura di ordinazione (descritta anche in Completamento del collegamento ).
-
Nella sezione Risorse, completare le seguenti informazioni:
- Immetti un nome per la tua connessione Direct Link Dedicated.
- Scegli un gruppo di risorse per creare la connessione Direct Link. I gruppi di risorse aiutano a gestire e contenere le risorse associate a un account. Selezionare Predefinito se non ci sono altri gruppi definiti nell'elenco dei menu. Per ulteriori informazioni sui gruppi di risorse, vedi Prassi ottimali per organizzare le risorse in un gruppo di risorse.
- Immettere i nomi del cliente e del corriere.
-
Opzionalmente, è possibile abilitare la sicurezza del traffico avanzata nella sezione MACsec. A tal fine, attivare l'interruttore Secure Direct Link with MACsec e seguire la seguente procedura:
Prima di stabilire un collegamento diretto con la funzione MACsec, accertarsi che siano soddisfatti tutti i prerequisiti. Inoltre, assicuratevi di rivedere le linee guida e le restrizioni MACsec.
-
Digitare la dimensione della finestra di protezione replay in pacchetti. Il valore predefinito è
512
. L'interfaccia protetta non accetta alcun pacchetto riordinato al di fuori della dimensione della finestra specificata. -
Scegliere il livello di applicazione richiesto per proteggere il traffico di rete:
- Deve essere sicuro- impone la crittografia obbligatoria per tutto il traffico di rete, contribuendo a garantire la massima riservatezza, integrità e autenticità.
- Dovrebbe essere sicuro- Consiglia la crittografia per il traffico di rete, ma non è obbligatoria e può consentire eccezioni o opzioni di ripiego.
-
Per la modalità di riattivazione della chiave di associazione di sicurezza (SAK), definire il modo in cui si desidera che le chiavi vengano aggiornate o modificate durante la comunicazione tra i dispositivi:
- Timer- Il SAK viene reinserito dopo l'intervallo di tempo specificato. In questo modo si garantisce che le chiavi vengano cambiate periodicamente a intervalli di tempo regolari, indipendentemente dal numero di pacchetti trasmessi.
- Packet number rollover- Il SAK viene ricodificato in base ai numeri di pacchetto utilizzati. Questa opzione attiva il rekeying in base al numero di pacchetti inviati, garantendo l'uso di una nuova chiave dopo un'alta percentuale di pacchetti utilizzati con il SAK corrente (la soglia esatta è determinata a discrezione del sistema).
-
Configurare una CAK primaria.
- Digitare un nome CAK.
- Scegliere un'istanza HPCS per la chiave primaria di associazione di connettività (CAK).
- Scegliere una chiave da HPCS contenente il segreto CAK.
-
Opzionalmente, configurare un CAK di riserva.
- Digitare un nome CAK.
- Scegliere un'istanza di chiave di riserva.
- Scegliere una chiave da HPCS contenente il segreto CAK.
Se non si dispone di una chiave di fallback, è possibile impostarne una dopo il provisioning del collegamento diretto.
-
Assicurarsi che lo switch sia Attivato per MACsec se si vuole provare immediatamente a stabilire una sessione MACsec quando si effettua il provisioning del collegamento diretto.
È inoltre possibile attivare e disattivare MACsec dopo aver creato il collegamento diretto.
-
-
Nella sezione Gateway, completare le seguenti informazioni:
-
Selezionare un'area geografica, seguita da un mercato, un tipo, un sito e un'opzione di instradamento.
Sono supportate le opzioni di instradamento locale e globale. Quando si seleziona un'opzione di instradamento, vengono visualizzati i dettagli della località con i siti raggiungibili.
L'opzione di instradamento che selezioni determina la raggiungibilità delle risorse nell'ubicazione selezionata. Se selezioni l'opzione di instradamento Global insieme alle tue selezioni di ubicazioni, l'elenco di menu Region visualizza tutte le regioni che sono disponibili globalmente nell'account specifico. Dopo aver selezionato una regione, è possibile selezionare qualsiasi VPC dal menu Connessioni disponibili. Se selezioni l'instradamento Local, è disponibile per la selezione solo la regione che corrisponde all'ubicazione selezionata. Quando selezionata, vengono visualizzati i VPC disponibili nella regione locale per il tuo account.
-
Scegli una velocità di connessione. Le velocità supportate per l'offerta Direct Link Dedicated sono 1 Gbps, 2 Gbps, 5 Gbps e 10 Gbps.
Velocità superiori a 1 Gbps richiedono un servizio 10 Gbps da parte dell'operatore e delle apparecchiature del cliente. Se si intende aggiornare la velocità di questo gateway, selezionare 2 Gbps per iniziare; altrimenti, non è possibile passare a una velocità superiore su questo gateway.
-
Scegliere il router di collegamento trasversale disponibile nell'ubicazione selezionata per questo direct link (collegamento diretto). Non è possibile modificare questo router dopo il provisioning. Alcuni router possono essere disabilitati in base al supporto della funzione MACsec e alle decisioni prese in merito al suo utilizzo.
-
Scegliere il livello di supporto di MACsec desiderato per questo collegamento diretto. Le funzionalità disponibili dipendono dalle porte disponibili sul router cross-connect selezionato. Le opzioni sono:
-
Richiedi MACsec- Impone l'uso di MACsec, che non può essere disattivato dopo il provisioning.
Richiedi MACsec consente di modificare la configurazione di MACsec, ma non è possibile rimuovere questa funzione.
-
Abilita/disabilita MACsec- Facoltativamente, abilitare o disabilitare MACsec durante o dopo il provisioning di questo collegamento diretto. Dopo aver abilitato MACsec, è possibile attivare o disattivare questa funzione.
-
No MACsec- Esclude questo collegamento diretto dall'uso di MACsec. MACsec non può essere abilitato durante o dopo il provisioning.
Attenzione: Non è possibile utilizzare o abilitare MACsec su questo collegamento diretto, né selezionare un router che supporti solo MACsec.
-
-
-
Nella sezione Fatturazione, seleziona Metered o Unmetered. La tariffazione a contatore significa pagare solo per ciò che si utilizza. Per Unmetered si intende un accesso illimitato, per una tariffa mensile prevedibile.
-
Nella sezione BGP, completare le seguenti informazioni:
-
Seleziona l'XCR (cross-connect router) IBM per la connessione Direct Link. Il numero di collegamenti diretti associati all'account per ciascun router è indicato accanto al nome del router.
-
Seleziona una sottorete di peering BGP per la connessione Direct Link. Hai due scelte per le sottoreti BGP:
-
Seleziona Manual-select IP per specificare due dei tuoi indirizzi IP (in formato CIDR) dagli intervalli
10.254.0.0/16
,172.16.0.0/12
,192.168.0.0/16
,169.254.0.0/16
oPublic
(un indirizzo IP pubblico di tua proprietà).La selezione manuale è utile quando si vogliono evitare conflitti con una sottorete esistente in uso.
-
Selezionare Selezione automatica IP per fare in modo che IBM assegni un indirizzo IP dall'intervallo IP
169.254.0.0/16
.
Assicurarti che eventuali indirizzi BGP forniti autonomamente non siano in conflitto con i blocchi utilizzati da IBM o da risorse esterne alla tua distribuzione Direct Link. Inoltre, se intendi utilizzare il tunneling GRE o IPsec con il tuo direct link, devi selezionare un IP BGP diverso da
169.254.0.0/16
. -
-
Per BGP ASN, utilizza il valore predefinito di
64999
o seleziona un numero ASN dagli intervalli consentiti specificati. Gli intervalli ASN consentiti sono:- Per un intervallo di 2-byte, immetti un valore compreso tra
1-64495
o il valore predefinito64999
. - Per un intervallo di 2-byte o 4-byte, immetti un valore compreso tra
131072-4199999999
. - Per un intervallo di 4 byte, inserire un valore compreso tra
4201000000-4294967294
.
Gli ASN esclusi sono:
0
,13884
,36351
,64512
,64513
,65100
,65201
-65234
,65402
-65433
,65500
,65516
,65519
,65521
,65531
e4201065000
-4201065999
. - Per un intervallo di 2-byte, immetti un valore compreso tra
-
-
Nella sezione Impostazioni gateway aggiuntive, è possibile attivare una o più di queste impostazioni opzionali:
-
Configura tagging VLAN (Virtual Local Area Network)- Specificare la VLAN configurata sul router per stabilire la connettività a IBM sulla VLAN di propria scelta. Per ulteriori informazioni, vedi Attivazione, disattivazione e aggiornamento delle tag VLAN.
L'attivazione, la disattivazione o l'aggiornamento di una VLAN dopo che è stata stabilita la sessione BGP causa il tempo di inattività della sessione BGP e l'interruzione della rete fino a quando il dispositivo peer BGP non è configurato per la stessa modifica.
Inserisci un ID VLAN e un valore compreso tra
2
e3967
.La VLAN deve essere conforme all'IEEE 802.1Q (Punto 1Q ) standard.
-
Verifica dell'integrità dei dati con Message Digest 5 (MD5)- Aggiungi un ulteriore livello di sicurezza tra due peer BGP verificando ogni messaggio trasmesso inviato tramite la sessione BGP. Quando MD5 l'autenticazione è attivata, BGP autentica ogni segmento inviato sulla sessione TCP dal suo peer e verifica l'origine di ogni aggiornamento di routing.
Importante:
- Configura lo stesso BGP MD5 chiave di autenticazione sia sul router Edge che sul IBM router di connessione incrociata (XCR). La chiave di autenticazione condivisa sul dispositivo IBM deve essere archiviata nella tua istanza HPC o Key Protect e condivisa con il servizio Direct Link. Per ulteriori informazioni, consultare Setting up BGP Message Digest 5(MD5)authentication keys.
- Puoi ottenere un aggiornamento della chiave senza problemi se le chiavi vengono aggiornate sia sul tuo router Edge che sul router XCR (cross - connect router) IBM entro 90 secondi. Come condizione preliminare, è necessario configurare il tempo di attesa BGP sul router a un minimo di 90 secondi. Tutti i router Direct Link hanno una configurazione di 90 secondi per impostazione predefinita. Entrambi i lati possono avviare l'aggiornamento della chiave, ma entrambi i lati devono eseguire l'aggiornamento nel tempo di attesa BGP configurato per evitare interruzioni del traffico.
- Se è stata stabilita una sessione di peering BGP e si abilita BGP MD5 autenticazione (o modificare la chiave di autenticazione su un valore diverso), le sessioni BGP vengono ristabilite. Questa azione provoca tempi di inattività della sessione BGP e interruzioni della rete finché il dispositivo peer BGP non viene configurato con la stessa modifica.
Completare le seguenti informazioni:
- Per il keystore, seleziona Hyper Protect Crypto Services o Key Protect.
- Selezionare un'istanza del keystore di autenticazione.
- Selezionare una chiave di autenticazione.
-
Rileva errori di rete con BFD (Bidirectional Forwarding Detection)- Attiva BFD per rilevare rapidamente gli errori in una rete tra due router o switch collegati da un collegamento. BFD fornisce un unico metodo standardizzato per rilevare gli errori di collegamento a qualsiasi livello di protocollo, su qualsiasi supporto. Per ulteriori informazioni, vedi Configurazione del rilevamento dell'inoltro bidirezionale.
L'attivazione e la disattivazione di BFD dopo aver stabilito la sessione BGP causa il tempo di inattività della sessione BGP e l'interruzione della rete fino a quando il dispositivo peer BGP non viene configurato per la stessa modifica.
Completare le seguenti informazioni:
- Intervallo - L'intervallo è il tempo minimo (in millisecondi) che deve intercorrere tra l'invio dei pacchetti di BFD hello da parte del dispositivo di routing locale e la risposta del vicino. Questo valore può essere compreso tra 300 e 255.000 millisecondi.
- Moltiplicatore - Il moltiplicatore è il numero di volte in cui un pacchetto di hello viene perso prima che BFD dichiari il vicino down. Questo valore può essere compreso tra 1 e 255. Il valore predefinito del moltiplicatore è 3.
-
Dare priorità ai collegamenti diretti con AS antepone- Regolare la preferenza di percorso allungando i percorsi AS con multipli del numero di sistema autonomo (ASN) BGP. Quando il prefisso viene associato, il percorso AS più lungo diventa una priorità più bassa per il router BGP. Per ulteriori informazioni, consultare Presenza di un percorso AS per influenzare la priorità di instradamento.
-
Filtrare i percorsi di importazione- Selezionare un filtro predefinito per consentire o negare tutti i percorsi non corrispondenti ai filtri di instradamento attivi. Per impostazione predefinita, sono consentiti tutti gli instradamenti di importazione. Successivamente, fare clic su Configura filtri per iniziare a creare filtri di instradamento di importazione. Per dare priorità ai filtri, trascinare l'icona accanto al numero dell'ordine nella tabella. Fare clic su Salva per salvare la configurazione. Per ulteriori informazioni, vedi Filtro degli instradamenti.
-
Filtra i percorsi di esportazione- Selezionare un filtro predefinito per consentire o negare tutti i percorsi non corrispondenti ai filtri di instradamento attivi. Per impostazione predefinita, sono consentiti tutti gli instradamenti di esportazione. Successivamente, fare clic su Configura filtri per iniziare a creare i filtri di instradamento dell'esportazione. Per dare priorità ai filtri, trascinare l'icona accanto al numero dell'ordine nella tabella. Fare clic su Salva per salvare la configurazione. Per ulteriori informazioni, vedi Filtro degli instradamenti.
-
-
Nella sezione Connessioni, selezionare il tipo di connessione di rete che si desidera collegare al gateway Direct Link. È possibile selezionare un tipo di collegamento quando si crea un collegamento diretto o dopo che è stato eseguito il provisioning del collegamento diretto.
Selezionare uno dei seguenti tipi di connessione:
-
Seleziona Risorse dirette (predefinito) per creare una connessione privata diretta tra la tua rete installata in loco e la distribuzione IBM Cloud. Facoltativamente, scegliere una connessione e immettere un nome connessione. Per aggiungere più connessioni di rete al gateway Direct Link, fai clic su Add connection +. Puoi creare uno dei seguenti collegamenti:
- Le reti dell'infrastruttura classica ti consentono di connetterti alle risorse classiche IBM Cloud. È consentita solo una connessione all'infrastruttura classica per ogni gateway Direct Link.
- Le reti VPC ti consentono di connetterti alle risorse VPC del tuo account.
Non puoi richiedere una connessione a una rete in un altro account quando crei un gateway. Tuttavia, è possibile richiedere una connessione a una rete in un altro account dopo il provisioning di un gateway. È inoltre possibile creare connessioni classiche all'infrastruttura e VPC dopo la creazione di un gateway. Per ulteriori informazioni, vedi Aggiunta di connessioni virtuali a un gateway Direct Link.
-
Seleziona Transit Gateway per collegare il tuo link diretto ai gateway di transito. Puoi eseguire il bind del tuo direct link a uno o più gateway locali o a un gateway globale.
Se selezioni Transit Gateway come tipo di connessione di rete, devi anche avviare una connessione Direct Link tramite la console IBM Cloud Transit Gateway dallo stesso account IBM Cloud. Per istruzioni, consultare Aggiunta di una connessione.
-
-
Un riepilogo dell'ordine mostra le stime dei prezzi per consentirti di riesaminarle. Leggere e accettare i prerequisiti di Direct Link e rivedere i Termini dei servizi cloud. Quindi, fai clic su Crea per completare il tuo ordine.
Se vuoi aggiungere i dati in uscita in GB alla tua stima, fai clic su Aggiungi alla stima per calcolare il costo. Puoi anche fare clic sulla scheda Informazioni su per i collegamenti alle tabelle dei prezzi Direct Link e altre risorse utili.
Passo successivo
Dopo l'invio dell'ordine Direct Link Dedicated, la tabella Direct Link indica lo stato di connessione LOA creation in progress. Fai clic sul nome della connessione per aprirne la pagina dei dettagli. Quindi, visualizzare la sezione Azioni per vedere se ci sono azioni in sospeso. Per visualizzare il processo di completamento, vedere Completamento della connessione.