Zum Inhalt
Megaport-Dokumentation
Cloudnative VPN-/Verschlüsselungsoptionen - Megaport-Dokumentation

Aktivieren von Cloud-spezifischen VPN-/Verschlüsselungsoptionen über dedizierte Cloudkonnektivitätspfade

Bei der Einrichtung einer dedizierten Verbindung in die öffentliche Cloud über ExpressRoute zu Microsoft Azure oder Direct Connect zu Amazon Web Services ist die Sicherheit des Transportpfades Teil einer Sicherheitsrisikobewertung, um das Risiko eines möglichen Man-in-the-Middle-Angriffs zu minimieren.

Azure und AWS haben Details zur Nutzung von VPN-Diensten über ihre jeweiligen dedizierten Cloudkonnektivitätsoptionen veröffentlicht:

Aber was ist mit der Verwendung eines Megaports als Verbindungspartner für Ihr ExpressRoute oder Direct Connect? Was kann Megaport über den privaten Pfad zur Cloud hinaus bieten?

In diesem Thema werden verschiedene Szenarien vorgestellt, bei denen eine dedizierte Cloud-Konnektivität zum Einsatz kommt, darunter:

  • Szenario 1: IPsec VPN – Azure ER Microsoft-Peering oder AWS DX Public VIF
  • Szenario 2: IPsec VPN über Megaport Cloud Router (MCR) – Azure ER Microsoft-Peering oder AWS DX Public VIF
  • Szenario 3: IPsec VPN – Azure ER Privates Peering oder AWS DX Private VIF mit Network Virtual Appliance (NVA) in Azure oder AWS
  • Szenario 4: IPsec VPN – Multicloud mit Network Virtual Appliance (NVA) in Azure und AWS

 

Szenario 1
IPsec VPN - Microsoft-Peering oder Public VIF
Voraussetzungen
  • Eigene öffentliche IP-Adressen, die für die Verwendung von Microsoft-Peering und einer Public VIF zugewiesen werden können.
    Hinweis: Wenn keine öffentlichen IP-Adressen vorhanden sind, verwenden Sie einen MCR (Szenario 2).
  • Lokale Network Appliance, die IEEE 802.1ad (Q-in-Q) unterstützt – speziell für Azure.
    Hinweis: Wenn 802.1ad nicht unterstützt wird, verwenden Sie einen MCR (Szenario 2).
  • Eigene Network Appliance, die IPsec-fähig ist.
Erforderliche Megaport-Technologie Wie viel?
Megaport Ja 1 oder (2 in einer Link Aggregation/LAG-Konfiguration)
Megaport Cloud Router (MCR) Nein
Virtuelle Querverbindung (VXC) Ja 1 zu jedem CSP (Azure oder AWS)
Scenario 1
Wichtige Aspekte
  • Azure und AWS verwenden das Industriestandardprotokoll IPsec AES128 oder AES256 für die Verschlüsselung: Die Verwendung anderer Protokolle aus Sicherheits- oder Leistungsgründen ist nicht einfach anpassbar.
  • Azure und AWS IPsec VPN können mit einer Aktiv-Aktiv-Hochverfügbarkeitskonfiguration (HA) konfiguriert werden.
  • Der maximale Durchsatz, der sowohl für das Azure VPN Gateway als auch für das AWS Virtual Private Gateway verfügbar ist, beträgt 1,25 Gbit/s.
Szenario 2
IPsec VPN über MCR - Microsoft-Peering oder Public VIF.
Diese Lösung ist für Unternehmen geeignet, die keine öffentlichen IP-Adressen besitzen.
Voraussetzungen
  • Kundeneigene Network Appliance, die IPsec-fähig ist.
Erforderliche Megaport-Technologie Wie viel?
Megaport Ja 1 (2 in einer Link Aggregation/LAG-Konfiguration)
Megaport Cloud Router (MCR) Ja 1
Virtuelle Querverbindung (VXC) Ja 1 zu jedem CSP (Azure oder AWS) und ein privater VXC
Scenario 2
Wichtige Aspekte
  • Azure und AWS verwenden das Industriestandardprotokoll IPsec AES128 oder AES256 für die Verschlüsselung: Die Verwendung anderer Protokolle aus Sicherheits- oder Leistungsgründen ist nicht einfach anpassbar.
  • Azure und AWS IPsec VPN können mit einer Aktiv-Aktiv-Hochverfügbarkeitskonfiguration (HA) konfiguriert werden.
  • Der maximale Durchsatz, der sowohl für das Azure VPN Gateway als auch für das AWS Virtual Private Gateway verfügbar ist, beträgt 1,25 Gbit/s.
Szenario 3
IPsec (oder anderes) VPN - Privates Peering oder private VIF mit Network Virtual Appliance (NVA) in Azure oder AWS.
Voraussetzungen
  • Lokale Network-Appliance des Kunden, die IEEE 802.1ad (Q-in-Q) unterstützt – speziell für Azure.
    Hinweis: Wenn 802.1ad nicht unterstützt wird, verwenden Sie einen MCR (Szenario 2), verwenden Sie jedoch privates Peering oder eine private VIF.
  • Der Kunde besitzt IPsec-fähige Network Appliances vor Ort und in der Cloud.
Erforderliche Megaport-Technologie Wie viel?
Megaport Ja 1 (2 in einer Link Aggregation/LAG-Konfiguration)
Megaport Cloud Router (MCR) Nein
Virtuelle Querverbindung (VXC) Ja 1 zu jedem CSP (Azure oder AWS)
Scenario 3
Wichtige Aspekte
  • Unternehmen haben die Möglichkeit, die Verschlüsselungsmethode flexibel zu wählen, um die Sicherheit oder die Leistung zu verbessern.
  • Zusätzliche Kosten für die VMs, auf denen die NVA läuft.
  • Organisationen müssen sich überlegen, wie sie hohe Verfügbarkeit (HA) für dieses Szenario entwickeln und bereitstellen.
  • Der maximale Durchsatz kann die 1,25 Gbit/s bis zur maximalen Megaport-Geschwindigkeit von 1 Gbit/s oder 10 Gbit/s überschreiten, wenn eine ausreichende Rechenleistung auf der NVA verfügbar ist.
Szenario 4
IPsec (oder anderes) VPN - Multicloud mit Network Virtual Appliance (NVA) in Azure und AWS.
Diese Lösung eignet sich für Unternehmen mit einer lokalen Infrastruktur, die sich nicht in geografischer Nähe zu den CSPs befindet.
Voraussetzungen
  • Der Kunde besitzt IPsec-fähige Network Appliances vor Ort und in der Cloud.
Erforderliche Megaport-Technologie Wie viel?
Megaport Ja 1 (2 in einer Link Aggregation/LAG-Konfiguration)
Megaport Cloud Router (MCR) Ja 1
Virtuelle Querverbindung (VXC) Ja 1 zu jedem CSP (Azure und AWS) und 1 privater VXC
Scenario 4
Wichtige Aspekte
  • Bietet eine flexible Verschlüsselungsmethode für bessere Sicherheit oder bessere Leistung.
  • Zusätzliche Kosten für die VMs, auf denen die NVA läuft.
  • Es muss überlegt werden, wie hohe Verfügbarkeit für dieses Szenario entworfen und bereitgestellt wird.
  • Der maximale Durchsatz kann die 1,25 Gbit/s bis zur maximalen Megaport Cloud Router-Größe (5 Gbit/s) überschreiten, wobei die erforderliche Rechenleistung auf der NVA verfügbar sein muss.
Letztes Update: 2022-02-11