本文介紹如何組合使用物理專線和雲企業網CEN(Cloud Enterprise Network),實現本機資料中心IDC(Internet Data Center)通過BGP主備專線鏈路上雲並和雲上Virtual Private Cloud(Virtual Private Cloud)互連。
情境說明
本文以下圖情境為例,為您介紹IDC通過BGP主備專線鏈路上雲方案。某企業在上海擁有一個IDC,其中部署有資料庫叢集等進階別業務系統;同時該企業已在阿里雲華東2(上海)地區建立了一個VPC,其中通過Elastic Compute Service(Elastic Compute Service)等雲端服務部署了一些應用業務。現企業為實現雲上雲下平穩互連,需要購買兩條物理專線,分別串連到本地IDC不同的CPE(Customer-premisesequipment)裝置和邊界路由器VBR(Virtual border router)上,然後通過雲企業網實現本地IDC和雲上VPC的互連。其中兩條專線分別為主備鏈路將本地IDC接入上雲,本地IDC側和VBR之間通過BGP動態路由互連並開啟雙向轉寄檢測BFD(Bidirectional Forwarding Detection)功能,實現本地IDC與VPC之間路由的快速收斂,提高網路的可用性。
準備工作
在您執行本文操作前,請先完成以下準備工作:
您已經註冊了阿里雲帳號。如還未註冊,請先完成帳號註冊。更多資訊,請參見帳號註冊。
您已經在阿里雲華東2(上海)地區建立了一個VPC,且VPC中使用Elastic Compute Service(Elastic Compute Service)等雲資源部署了相關業務。具體操作,請參見搭建IPv4專用網路。
使用企業版轉寄路由器建立VPC串連前,請確保VPC執行個體在企業版轉寄路由器支援的可用性區域擁有至少一個交換器執行個體,且該交換器執行個體擁有至少一個閒置IP地址。本文建立的轉寄路由器執行個體在華東2(上海)地區,支援的可用性區域為上海可用性區域F和上海可用性區域G。
您已經瞭解VPC中ECS執行個體所應用的安全性群組規則,並確保安全性群組規則允許本地IDC與雲上ECS執行個體互相訪問。具體操作,請參見查詢安全性群組規則和添加安全性群組規則。
您已經建立了雲企業網。具體操作,請參見建立雲企業網執行個體。
您已經在VPC執行個體所在地區建立了企業版轉寄路由器執行個體。具體操作,請參見建立轉寄路由器執行個體。
您已建立兩條獨享物理專線。
本文樣本中的網段規劃如下表所示。您可以自行規劃網段,請確保您的網段之間沒有重疊。
機構
網段規劃
伺服器或用戶端地址
機構
網段規劃
伺服器或用戶端地址
本地IDC
10.1.1.0/24
用戶端地址:10.1.1.1
VPC
192.168.20.0/24
伺服器位址:192.168.20.161
VBR1
VLAN:110
阿里雲側IPv4互聯IP:172.16.1.2/30
客戶側IPv4互聯IP:172.16.1.1/30
不涉及
VBR2
VLAN:120
阿里雲側IPv4互聯IP:172.16.2.2/30
客戶側IPv4互聯IP:172.16.2.1/30
不涉及
步驟一:建立VBR
完成以下操作,分別為兩條物理專線建立VBR,作為資料從VPC到本地IDC的轉寄橋樑。
在頂部功能表列,選擇目標地區,然後在左側導覽列,單擊邊界路由器(VBR)。
在建立邊界路由器面板,配置以下參數資訊,然後單擊確定。
配置
說明
配置
說明
帳號類型
建立VBR的帳號類型。
本文選擇當前帳號。
名稱
設定VBR的名稱。
本文輸入VBR1。
物理專線介面
選擇獨享專線,然後選擇建立的物理專線1介面。
VLAN ID
輸入VBR的VLAN ID。
本文輸入110。
设置VBR带宽值
設定VBR的頻寬。
本文設定為200Mb。
阿里雲側IPv4互聯IP
輸入VPC到本地IDC的路由網關IPv4地址。
本文輸入172.16.1.2。
客戶側IPv4互聯IP
輸入本地IDC到VPC的路由網關IPv4地址。
本文輸入172.16.1.1。
IPv4子網路遮罩
阿里雲側和客戶側IPv4地址的子網路遮罩。
本文輸入255.255.255.252。
重複上述步驟,為第二條物理專線建立VBR執行個體。
配置參數如下:
配置
說明
配置
說明
帳號類型
建立VBR的帳號類型。
本文選擇當前帳號。
名稱
設定VBR的名稱。
本文輸入VBR2。
物理專線介面
選擇獨享專線,然後選擇建立的物理專線2介面。
VLAN ID
輸入VBR的VLAN ID。
本文輸入120。
设置VBR带宽值
設定VBR的頻寬。
本文設定為200Mb。
阿里雲側IPv4互聯IP
輸入VPC到本地IDC的路由網關IPv4地址。
本文輸入172.16.2.2。
客戶側IPv4互聯IP
輸入本地IDC到VPC的路由網關IPv4地址。
本文輸入172.16.2.1。
IPv4子網路遮罩
阿里雲側和客戶側IPv4地址的子網路遮罩。
本文輸入255.255.255.252。
步驟二:串連VPC執行個體和VBR執行個體
完成物理專線接入後,您需要在華東2(上海)地區的轉寄路由器中建立與物理專線關聯的VBR串連和需要互連的VPC串連,實現本地IDC和VPC的私網互連。
- 登入雲企業網管理主控台。
- 在云企业网实例頁面,找到目標雲企業網執行個體,單擊目標執行個體ID。
在頁簽,找到目標地區的轉寄路由器執行個體,在操作列單擊创建网络实例连接。
在串連網路執行個體頁面,配置以下參數資訊建立VPC串連,然後單擊確定建立。
在初次執行此操作時,系統會自動為您建立一個名稱為AliyunServiceRoleForCEN的服務關聯角色。該角色允許轉寄路由器執行個體在VPC的交換器上建立ENI。更多資訊,請參見AliyunServiceRoleForCEN。
參數
配置
參數
配置
執行個體類型
選擇待串連的網路執行個體類型。
本文選擇Virtual Private Cloud。
地區
選擇待串連的網路執行個體所在的地區。
本文選擇華東2(上海)。
轉寄路由器
系統自動顯示當前地區下已建立的轉寄路由器執行個體。
資源歸屬UID
選擇待串連的網路執行個體所屬的帳號類型。
本文選擇同帳號。
付費方式
轉寄路由器的計費模式預設為隨用隨付。
隨用隨付的計費規則,請參見計費說明。
網路執行個體
選擇待串連的VPC執行個體ID。
本文選擇已建立的VPC。
交換器
在轉寄路由器支援的可用性區域選擇至少2個交換器執行個體。
進階配置
系統預設為您選中三種進階功能,即自動關聯至轉寄路由器的預設路由表、自動傳播系統路由至轉寄路由器的預設路由表和自動為VPC的所有路由表配置指向轉寄路由器的路由。
本文保持預設配置。
在串連網路執行個體頁面,單擊繼續建立串連。
在串連網路執行個體頁面,配置以下參數資訊建立VBR1串連,然後單擊確定建立。
參數
配置
參數
配置
執行個體類型
本文選擇邊界路由器(VBR)。
地區
選擇待串連的網路執行個體所在的地區。
本文選擇華東2(上海)地區。
轉寄路由器
系統自動顯示當前地區已建立的轉寄路由器執行個體。
資源歸屬UID
選擇待串連的網路執行個體所屬的帳號類型。
本文使用預設值同帳號。
串連名稱
輸入VBR執行個體串連名稱。
本文輸入VBR-test。
網路執行個體
選擇待串連的VBR執行個體ID。
本文選擇已建立的VBR1執行個體。
進階配置
系統預設為您選中三種進階功能,即自動關聯至轉寄路由器的預設路由表、自動傳播系統路由至轉寄路由器的預設路由表和自動為VPC的所有路由表配置指向轉寄路由器的路由。
本文保持預設配置。
網路連接建立完成後,您可以在地區內串連管理頁簽查看VPC串連和VBR串連的資訊。具體操作,請參見查看網路執行個體串連。
步驟三:配置路由
您需要在本地IDC和VBR之間配置BGP,並且您可以在本地IDC側通過設定AS-Path的長度來確定路由選路的優先順序。
在IDC和VBR之間分別建立起BGP鄰居關係並宣告路由。具體操作,請參見配置BGP。
阿里雲側BGP ASN(Autonomous System Number)為45104,可接受本地IDC側傳遞2位元組或4位元組的ASN。
在IDC側配置向阿里雲宣告的BGP路由(10.1.1.0/24),並通過設定AS-Path來確定選路權重,實現阿里雲到IDC路由的主備模式。
設定CPE1所串連的專線為主鏈路,CPE2所串連的專線為備份鏈路。您可以通過設定AS-Path的長度來確定路由選路的優先順序。AS-Path長度越短,優先順序越高。IDC側分別在兩個CPE的BGP配置如下表所示,具體命令請諮詢相應廠商。
配置 | CPE1 | CPE2 |
配置 | CPE1 | CPE2 |
Vlan Tag | 110 | 120 |
Network | 10.1.1.0/24 | 10.1.1.0/24 |
BGP ASN | 6***3 | 6***4 |
Interface IP | 172.16.1.1/24 | 172.16.2.1/24 |
AS-Path | B,A | C,B,A |
雲企業網的轉寄路由器具備自動學習分發路由的能力,在配置好路由後,轉寄路由器會基於選路權重等資訊,將路由同步到其內部,各節點路由學習說明如下。
VBR的BGP路由資訊
路由表項
VBR1
VBR2
路由表項
VBR1
VBR2
目標網段
10.1.1.0/24
10.1.1.0/24
下一跳
172.16.1.1
172.16.2.1
如上表所示,在VBR1和VBR2中可以看到從對端鄰居學到的路由資訊和下一跳。由於在轉寄路由器中建立了VBR串連,所以VBR會將從IDC側學來的BGP路由資訊發送到轉寄路由器,包括AS-Path。
全量路由配置說明
CPE路由配置
CPE路由配置
配置
CPE1
CPE2
Vlan Tag
110
120
Network
10.1.1.0/24
10.1.1.0/24
BGP ASN
6***3
6***4
Interface IP
172.16.1.1/24
172.16.2.1/24
AS-Path
B,A
C,B,A
VBR路由條目
配置
VBR1
VBR2
目標網段
10.1.1.0/24
10.1.1.0/24
下一跳
172.16.1.1
172.16.2.1
IDC路由條目
目標網段
192.168.20.0/24
下一跳
172.16.1.2
172.16.2.2
轉寄路由器路由條目
目標網段
10.1.1.0/24
下一跳
VBR1
由於在轉寄路由器中已經建立VBR串連和VPC串連,那麼從VBR學習的BGP路由也會發布到轉寄路由器中,轉寄路由器會基於選路權重等資訊,將路由同步到轉寄路由器內部。
兩個VBR從IDC側學習到的BGP路由目標網段一致,但路由權重不同,VBR1作為主鏈路(AS-Path短),VBR2是備鏈路(AS-Path長)。轉寄路由器學習到該路由後,會將該路由的屬性通知到轉寄路由器的其他網路執行個體,例如VPC。從VPC的路由表中就可以看到去往10.1.1.0/24的路由均指向VBR1。
轉寄路由器也會將轉寄路由器內系統路由發布到BGP中,所以在IDC的BGP路由表中就可以看到學習到的轉寄路由器中的路由資訊,並且下一跳分別指向與IDC建立鄰居的兩個VBR的介面IP。
同理,如果想從IDC側設定到阿里雲VPC的地址192.168.20.0/24的主備鏈路,同樣可以通過BGP選路屬性,在IDC側分別設定從不同鄰居VBR1、VBR2學習到的路由192.168.20.0/24的權重,便可實現從IDC到阿里雲的主備選路。
步驟四:配置健全狀態檢查
主備物理專線接入時,您需要配置健全狀態檢查。健全狀態檢查會以您指定的發包時間間隔發送探測報文,當連續發送的所有探測報文(即您指定的探測報文個數)都丟包時,雲企業網會主動將流量切換至另一條物理專線。
登入雲企業網管理主控台。
在左側導覽列,單擊健全狀態檢查。
在健全狀態檢查頁面,選擇VBR執行個體所屬的地區,然後單擊設定健全狀態檢查。
本文選擇VBR1執行個體所屬的地區華東2(上海)。
在設定健全狀態檢查對話方塊,配置以下參數,然後單擊確定。
配置
說明
配置
說明
雲企業網執行個體
選擇已載入VBR執行個體的雲企業網執行個體。
邊界路由器(VBR)
選擇要監控的VBR執行個體。
本文選擇VBR1。
源IP
源IP地址可通過以下兩種方式進行配置:
自動產生源IP(推薦):系統自動為您分配100.96.0.0/16網段內的IP地址。
若您選擇自動產生的IP地址且在對端配置過ACL策略,請修改ACL策略允許此網段通過, 否則將會出現健全狀態檢查失敗的情況。
自訂來源IP:源IP地址可以是10.0.0.0/8、192.168.0.0/16、172.16.0.0/12三個網段內任意一個沒有被使用的IP地址。但不能與雲企業網中要互連的地址衝突,也不能和邊界路由器執行個體的阿里雲側、客戶側IP地址衝突。
目標IP
目標IP地址為目標VBR執行個體客戶側IP地址。
發包時間間隔(秒)
指定健全狀態檢查時發送連續探測報文的時間間隔。單位:秒。
預設值:2。取值範圍:2~3。
探測報文個數(個)
指定健全狀態檢查時發送探測報文的個數。單位:個。
預設值:8。取值範圍:3~8。
切換路由
是否開啟健全狀態檢查的路由切換功能。
系統預設選擇是,即開啟健全狀態檢查的路由切換功能。健全狀態檢查探測到物理專線串連故障時,如果雲企業網執行個體中存在冗餘的路由,健全狀態檢查則會立刻觸發路由切換使用可用鏈路。
若您取消選中是,則表示不開啟健全狀態檢查的路由切換功能,健全狀態檢查僅執行鏈路探測功能。若健全狀態檢查探測到物理專線串連故障,則不會觸發路由切換。
若您選擇關閉本功能,請確保您有其他方式保證鏈路的冗餘性,否則當物理專線串連故障後,會導致網路中斷。
健全狀態檢查會以您指定的發包時間間隔發送探測報文,當連續發送的所有探測報文(即您指定的探測報文個數)都丟包時,則判斷健全狀態檢查失敗。
步驟五:VBR開啟BFD
通過在VBR上配置BFD,實現路由的快速收斂。
在頂部功能表列,選擇目標地區,然後在左側導覽列,單擊邊界路由器(VBR)。
在邊界路由器(VBR)頁面,在目標VBR執行個體操作列單擊編輯。
在修改邊界路由器面板,設定BFD參數資訊,然後單擊確定。
此處僅列出BFD相關參數,其餘參數保持不變。
配置
說明
配置
說明
發送間隔
BFD報文的發送間隔,單位:ms。
本文使用預設值1000ms。
接收間隔
BFD報文的接收間隔,單位:ms。
本文使用預設值1000ms。
檢測時間倍數
指接收方允許發送方發送報文的最大串連丟包個數。
本文使用預設值3。
返回邊界路由器(VBR)頁面,單擊目標VBR執行個體ID。
在VBR執行個體詳情頁面,單擊BGP鄰居頁簽。
在目標BGP鄰居操作列,單擊編輯。
在編輯BGP鄰居面板,選中啟用BFD複選框並配置BFD跳數,然後單擊確定。
BFD功能支援自訂單跳或多跳會話。您可以根據真實的物理鏈路因素來配置不同的跳數。
步驟六:連通性測試
完成以下操作,測試主備物理專線的連通性。
- 在本地IDC下,開啟用戶端的命令列視窗。
- 執行
ping命令,ping雲上VPC 192.168.20.0/24網段下的ECS執行個體IP地址,如果能接受到回複報文,則表示網路能正常連通。經驗證,本地IDC可以與VPC正常通訊。
- 在本地IDC網關裝置上,關閉一個物理專線連接埠(如VBR1到CPE1),再次執行
ping命令,測試本地IDC和VPC的連通性。經驗證,本地IDC和VPC仍可以正常通訊。 - 您也可以執行
tracert命令,通過路由跟蹤可以查看到雲企業網會對路由進行切換,本地IDC通過VBR2和雲上VPC互連。不同的裝置,路由追蹤命令會有所不同,具體請諮詢相關裝置廠商。
