View a markdown version of this page

Caso de uso: personal conectado a una VPN - AWS Guía prescriptiva
RequisitosConfiguración de Megaport MVE con VXCConfiguración de aplicaciones VNFConfiguración de filtros de rutaConfigurando Direct ConnectConfiguración de Megaport MVE con SECConfiguración de Salesforce Hyperforce

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Caso de uso: personal conectado a una VPN

Este caso de uso cubre un escenario en el que se utiliza un concentrador VPN virtual en una ubicación de Megaport como vía de acceso. Direct Connect En este escenario, tiene sucursales o trabajadores remotos site-to-site VPNs que se conectan al concentrador de VPN.

Utiliza Megaport MVE con un firewall virtual de terceros y Direct Connect proporciona a sus trabajadores remotos una conectividad privada con Salesforce Hyperforce. Los trabajadores remotos se conectan al concentrador de VPN desde un router conectado a Internet en una sucursal o desde un cliente VPN que se ejecuta en su dispositivo. Luego, los trabajadores remotos acceden Direct Connect mediante una ubicación de Megaport.

Utilizar Megaport MVE con un firewall y conectarse Direct Connect a Salesforce Hyperforce.

Requisitos

  • Sus trabajadores remotos acceden a Salesforce a través de conexiones de red privadas.

  • Sus trabajadores remotos o los usuarios de las sucursales tienen conectividad site-to-site VPN a una ubicación habilitada para Megaport a través de Internet.

  • Usted es el propietario y gestiona Cuenta de AWS la conexión Direct Connect alojada con Megaport.

Configuración de Megaport MVE con VXC

El MVE de megapuerto que está configurado con un VXC proporciona el segmento de red privado de capa 2. AWS El MVE es una solución virtual y no requiere un puerto. Sin embargo, debe especificar el dispositivo de red virtual de terceros que se va a implementar. El proceso de implementación y la funcionalidad del VXC son los mismos, ya sea que utilice un puerto, un MVE o un MCR. Direct Connect debe aprovisionarse como una conexión alojada y conectarse a un VIF público.

Para obtener información general e step-by-step instrucciones, consulte la siguiente documentación de Megaport:

Configuración de aplicaciones VNF

MVE es compatible con dispositivos de función de red virtual (VNF) de terceros de proveedores como Aruba, Cisco, Fortinet, Palo Alto Networks, Versa Networks y. VMware Puede elegir un proveedor que se encargue del enrutamiento, la seguridad y las funciones de VPN con SSL del MVE. Para obtener una lista completa de los socios de integración de MVE, consulte la documentación de Megaport.

Por ejemplo, este caso de uso describe una arquitectura de alto nivel en la que Megaport MVE admite conexiones VPN/SD-WAN desde sucursales regionales y usuarios remotos que tienen una conexión VPN SSL. Este MVE enlaza estas conexiones con Hyperforce AWS y las enruta de forma privada a través de ellas. Direct Connect

Los elementos clave de esta arquitectura incluyen:

  • Filtros de ruta para limitar los AWS prefijos de las instancias de Hyperforce relevantes

  • Políticas de VPN con SSL basadas en rangos de direcciones IP y nombres de dominio completos (FQDN) de Hyperforce

  • Política de NAT para los usuarios de Hyperforce que utilizan una única dirección IP pública AWS

Configuración de filtros de ruta

Cuando el VNF haya establecido el emparejamiento entre el BGP y el VIF AWS público, la tabla de enrutamiento debería incluir los prefijos de todos los servicios públicos y de Hyperforce. AWS Puede aplicar el filtrado de rutas mediante listas de IP o etiquetas de comunidad BGP. Le recomendamos que configure un mapa de rutas con prefijos que incluya un rango de instancias de Hyperforce en un. Región de AWS

Notas:

  • Los prefijos BGP anunciados desde su router se AWS configuran al crear el VIF Consola de administración de AWS público.

  • Los prefijos anunciados por no Direct Connect deben anunciarse más allá de los límites de la red de su conexión. Por ejemplo, estos prefijos no se deben incluir en ninguna tabla de enrutamiento de Internet pública. Para obtener más información, consulte las políticas de enrutamiento de la interfaz virtual pública en la documentación. Direct Connect

Configurando Direct Connect

Aceptar una conexión alojada

En el suyo Cuenta de AWS, acepte el VXC creado anteriormente como conexión alojada. Para obtener instrucciones, consulte la documentación de Direct Connect

Cree un VIF público

En tu cuenta, aprovisiona un VIF público con la conexión que aceptaste desde Megaport. Antes de crear este VIF, debe obtener lo siguiente:

  • El ASN BGP del dispositivo VNF.

  • IPv4 Direcciones públicas para la interconexión (normalmente CIDR). /31 Puede ser su propietario o solicitarlas aquí. Soporte Para obtener más información, consulte las direcciones IP homólogas en la sección Requisitos previos para las interfaces virtuales de la Direct Connect documentación.

Para crear un VIF público, siga los pasos de la documentación.Direct Connect

Después de crear el VIF público, debe asegurarse de que la clave de autenticación de BGP coincide con ambos extremos del par BGP para que el estado de emparejamiento esté disponible.

nota

El uso de un VIF público para conectarse AWS desde su entorno local cambia la forma en que se enruta el tráfico a su ubicación local. AWS Le recomendamos que utilice un filtro de prefijos (mapa de rutas) para asegurarse de que los prefijos de Amazon aceptados se limitan a la infraestructura de Hyperforce y a cualquier otro recurso necesario. AWS Para obtener más información, consulte las reglas de publicidad de prefijos de la interfaz virtual pública en la documentación. Direct Connect

Configuración de Megaport MVE con SEC

En algunos casos, las solicitudes de inicio de sesión de Hyperforce se redirigen a centros de datos gestionados por Salesforce. Para mantener este tráfico en una red privada, puede añadir un VXC de Megaport a Salesforce mediante SEC. Puede configurar sus políticas de seguridad de VNF con reglas mediante el FQDN de inicio de sesión de Salesforce. Es similar a la Direct Connect arquitectura descrita anteriormente en esta guía.

Para step-by-step obtener instrucciones, consulte Conexión a Salesforce Express Connect en la documentación de Megaport.

Configuración de Salesforce Hyperforce

Para habilitar las conexiones entrantes desde su red corporativa a Salesforce, debe configurar el acceso entrante a Hyperforce como medida de seguridad. Para permitir los dominios necesarios, siga las instrucciones de la sección Permitir dominios para una consola de Salesforce en Salesforce Classic, en la documentación de Salesforce. No utilice direcciones IP.