View a markdown version of this page

用例:连接 VPN 的员工 - AWS 规范性指导
要求使用 VXC 配置 Megaport MVE配置 VNF 设备配置路径过滤器正在配置 Direct Connect使用 SEC 配置 Megaport MVE配置 Salesforce 超高性能

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用例:连接 VPN 的员工

此用例涵盖了您在Megaport位置使用虚拟VPN集中器作为入口的场景. Direct Connect在这种情况下,您有远程分支机构或工作人员连接 site-to-site VPNs 到 VPN 集中器。

将 Megaport MVE 与第三方虚拟防火墙配合使用, Direct Connect 为您的远程工作人员提供与 Salesforce Hyperforce 的私有连接。远程工作人员通过分支机构中连接互联网的路由器或在其设备上运行的 VPN 客户端连接到 VPN 集中器。然后,远程工作人员使用Megapor Direct Connect t位置进入坡道。

使用带有防火墙的 Megaport MVE 并连接 Direct Connect 到 Salesforce Hyperforce。

要求

  • 您的远程工作人员通过专用网络连接访问 Salesforce。

  • 您的远程工作人员或分支机构的用户可以通过互联网与支持 MegaPort 的位置建立了 site-to-site VPN 连接。

  • 您拥有一个可以管理 AWS 账户 与 Megaport 的 Direct Connect 托管连接。

使用 VXC 配置 Megaport MVE

配置了 VXC 的 Megaport MVE 为其提供了私有第 2 层网段。 AWS MVE 是一种虚拟解决方案,不需要端口。 但是,您必须指定要部署的第三方虚拟网络设备。无论您使用端口、MVE 还是 MCR,VXC 部署过程和功能都是一样的。 Direct Connect 应配置为托管连接并附加到公共 VIF。

有关概述和 step-by-step说明,请参阅以下 Megaport 文档:

配置 VNF 设备

MVE 支持阿鲁巴、思科、Fortinet、Palo Alto Networks、Versa Networks 等供应商提供的第三方虚拟网络功能 (VNF) 设备。 VMware您可以选择供应商来处理 MVE 的路由、安全和 SSL VPN 功能。有关 MVE 集成合作伙伴的完整列表,请参阅 Me gaport 文档

例如,此用例描述了一个高级架构,其中 Megaport MVE 支持来自地区分支机构和拥有 SSL VPN 连接的远程用户的 VPN/SD-WAN 连接。此 MVE 与这些连接进行对等 AWS 并将这些连接私密路由到 Hyperforce。 Direct Connect

该架构的关键元素包括:

  • 路由过滤器以限制相关 Hyper AWS force 实例的前缀

  • 基于 Hyperforce 完全限定域名 (FQDN) 和 IP 地址范围的 SSL VPN 策略

  • 针对面向单个公有 IP 地址的 Hyperforce 用户的 NAT 策略 AWS

配置路径过滤器

当 VNF 与公共 VIF 建立 BGP 对等时,路由表中应填充所有 AWS 公共服务和 Hyperforce 的前缀。 AWS 您可以使用 IP 列表或 BGP 社区标签来应用路由过滤。 我们建议您配置前缀的路由映射,其中包含一系列 Hyperforce 实例。 AWS 区域

备注:

  • 从您的路由器通告到的 BGP 前缀 AWS 是在您创建公共 VI AWS 管理控制台 F 时配置的。

  • 所通告的前缀 Direct Connect 不得在连接的网络边界之外进行通告。例如,这些前缀不得包含在任何公有 Internet 路由表中。有关更多信息,请参阅 Direct Connect 文档中的公共虚拟接口路由策略

正在配置 Direct Connect

接受托管连接

在您的中 AWS 账户,接受之前创建的 VXC 作为托管连接。有关说明,请参阅 Direct Connect 文档。 

创建公共 VIF

在您的账户中,在您从 Megaport 接受的连接下配置公共 VIF。在创建此 VIF 之前,您需要获取以下信息:

  • VNF 设备的 BGP ASN。

  • 用于对等互连的公共 IPv4 地址(通常是 /31 CIDR)。您可以拥有这些或向其索取 支持。有关更多信息,请参阅 Direct Connect 文档中虚拟接口的先决条件一节中的对等 IP 地址

要创建公共 VIF,请按照Direct Connect 文档中的步骤操作。

创建公共 VIF 后,您需要确保 BGP 身份验证密钥与 BGP 对等体的两端都匹配,才能使对等互连状态变为可用。

注意

使用公共 VIF AWS 从您的本地环境进行连接会改变流量从中路由到您的本地位置的方式。 AWS我们建议您使用前缀筛选器(路线图)来确保接受的 Amazon 前缀仅限于 Hyperforce 基础设施和任何其他必要资源。 AWS 有关更多信息,请参阅 Direct Connect 文档中的公共虚拟接口前缀广告规则

使用 SEC 配置 Megaport MVE

在某些情况下,Hyperforce 登录请求会被重定向到 Salesforce 管理的数据中心。 要将此流量保持在私有网络上,你可以使用 SEC 向 Salesforce 添加 Megaport VXC。您可以使用 Salesforce 登录 FQDN 配置带有规则的 VNF 安全策略。这与本指南前面描述的 Direct Connect 架构类似。

有关 step-by-step说明,请参阅 Megaport 文档中的连接 Salesforce E xpress Connect。

配置 Salesforce 超高性能

要启用从公司网络到 Salesforce 的入站连接,您需要将 Hyperforce 的入站访问权限配置为一项安全措施。要允许所需的域,请按照 Salesforce 文档中 Salesforce C lassic 中允许在 Salesforce 控制台中使用域名中的说明进行操作。请勿使用 IP 地址。