规划虚拟连接

Direct Link网关允许内部网络使用虚拟连接连接到IBM Cloud中的网络。 不支持 Direct Link 网关上的虚拟连接之间的网络流量。 不过，根据内部网络的网络前缀广告，流量仍可能在虚拟连接之间流动。 例如，如果内部网络宣传默认路由（0.0.0.0/0）。在这种情况下，来自通过虚拟连接连接的网络的所有流量，如果找不到比 0.0.0.0/0 更具体的路由，就会被发送到 Direct Link 网关。 流量到达网关后，通过标准路由算法进行转发。 如果另一个虚拟连接的路由与流量的目标地址相匹配，则会将流量转发到该虚拟连接上的网络（而不是不太具体的内部网络 0.0.0.0/0）。

规划 Direct Link 专用 MACsec 功能

您可以在订购 IBM Cloud Direct Link Dedicated 时启用 MACsec（IEEE 802.1AE ），以确保内部网络与 IBM Cloud 之间以太网连接的安全。 MACsec 在 OSI 模型的数据链路层（第 2 层）运行，对所有以太网流量（包括 ARP 和 DHCP 等控制平面协议）进行加密，以防止窃听、篡改和本地网络攻击。

MACsec 提供了几个关键的安全功能：

• 使用连接关联密钥（CAK）进行原点验证
• 通过可配置的窗口为失序帧提供重放保护
• 通过 AES 加密实现数据保密
• 使用每个帧的完整性校验值（ICV）实现数据完整性

具有 MACsec 功能的设备与 IBM 交叉连接交换机之间会建立 MACsec 会话。 该功能支持主 CAK 和可选的后备 CAK，以防出现不匹配情况。 CAK 秘密作为 IBM Hyper Protect Crypto Services (HPCS) 密钥资源安全存储。 要实现这一集成，Direct Link 必须获得授权，才能从 HPCS 实例中检索相关密钥。

MACsec 使用行业标准 MACsec 密钥协议 (MKA) 进行安全密钥管理。 它采用基于硬件的 AES 加密技术，在提供强大安全性的同时，将对性能的影响降至最低。 加密可确保数据的保密性和完整性，在第 2 层运行，无需更改高层协议或应用程序。 IBM 还提供了安全轮换 CAK 的指导，以确保在不影响流量的情况下进行不间断加密。

在 IBM Cloud 支持支持 MACsec 的交叉连接基础设施的特定地点，可以使用 MACsec。 目前，Direct Link Dedicated 的 MACsec 可在达拉斯、华盛顿特区、多伦多和蒙特利尔使用。

IBM 已测试并验证了 Cisco MACsec IEEE 在第 2 层加密和安全方面的实施。802.1AE 虽然 IBM 的测试是专门针对思科的 MACsec 解决方案进行的，但 IBM 支持实施 IEEE 802.1AE 标准的其他 MACsec 解决方案。 如果您在使用 MACsec 解决方案时遇到任何问题或需要帮助，IBM 支持中心将随时为您提供帮助。

将 AS 前置与 VPC 连接配合使用

目前，在为网络流量选择最佳路由时，VPC 组网不考虑 AS 路径长度。 但是，您可以在某些拓扑中使用直接链路与 VPC 之间的传输网关来实现相同的结果。 此外，如果在 (同一策略的) 不同 AS 前缀之间重复前缀值，那么前缀值的第一个实例将设置前缀长度; 其余值将被忽略。

请记住，AS 前置当前对 VPC 和直接链路之间的路由没有影响。