本文介绍如何组合使用物理专线和专线网关ECR,实现本地数据中心IDC通过ECR主备专线链路上云并和云上专有网络VPC互通。
场景说明
本文以下图场景为例,为您介绍IDC通过ECR主备专线链路上云方案。某企业在上海拥有一个IDC,其中部署有数据库集群等高级别业务系统;同时该企业已在阿里云华东2(上海)地域创建了一个VPC,其中通过云服务器ECS(Elastic Compute Service)等云服务部署了一些应用业务。现企业为实现云上云下平稳互通,需要购买两条物理专线,分别连接到本地IDC不同的CPE(Customer-premises equipment)设备和边界路由器VBR(Virtual border router)上,然后通过专线网关ECR实现本地IDC和云上VPC的互通。其中两条专线分别为主备链路将本地IDC接入上云,本地IDC侧和VBR之间通过BGP动态路由互通并开启双向转发检测BFD(Bidirectional Forwarding Detection)功能,实现本地IDC与VPC之间路由的快速收敛,提高网络的可用性。
本文示例中的网段规划如下表所示。您可以自行规划网段,请确保您的网段之间没有重叠。
机构 | 网段规划 | 服务器或客户端地址 |
本地IDC | 10.1.1.0/24 | 客户端地址:10.1.1.1 |
VPC | 192.168.20.0/24 | 服务器地址:192.168.20.161 |
VBR1 |
| 不涉及 |
VBR2 |
| 不涉及 |
准备工作
在您执行本文操作前,请先完成以下准备工作:
您已经在阿里云华东2(上海)地域创建了一个VPC,且VPC中使用云服务器ECS等云资源部署了相关业务。具体操作,请参见搭建IPv4专有网络。
您已经了解VPC中ECS实例所应用的安全组规则,并确保安全组规则允许本地IDC与云上ECS实例互相访问。具体操作,请参见查询安全组规则和添加安全组规则。
您已经创建了专线网关ECR。具体操作,请参见创建和管理专线网关ECR。
配置流程
步骤一:创建两条物理专线
本文使用高可靠模式的强大容灾能力创建两条物理专线。具体操作,请参见强大容灾能力。
步骤二:创建VBR
完成以下操作,分别为两条物理专线创建VBR,作为数据从VPC到本地IDC的转发桥梁。
登录高速通道管理控制台。
在顶部菜单栏,选择目标地域,然后在左侧导航栏,单击边界路由器(VBR)。
在创建边界路由器面板,配置以下参数信息,然后单击确定。
配置
说明
账号类型
创建VBR的账号类型。
本文选择当前账号。
名称
设置VBR的名称。
本文输入VBR1。
物理专线接口
选择独享专线,然后选择创建的物理专线1接口。
VLAN ID
输入VBR的VLAN ID。
本文输入110。
设置VBR带宽值
设置VBR的带宽。
本文设置为200Mb。
阿里云侧IPv4互联IP
输入VPC到本地IDC的路由网关IPv4地址。
本文输入172.16.1.2。
客户侧IPv4互联IP
输入本地IDC到VPC的路由网关IPv4地址。
本文输入172.16.1.1。
IPv4子网掩码
阿里云侧和客户侧IPv4地址的子网掩码。
本文输入255.255.255.252。
重复上述步骤,为第二条物理专线创建VBR实例。
配置参数如下:
配置
说明
账号类型
创建VBR的账号类型。
本文选择当前账号。
名称
设置VBR的名称。
本文输入VBR2。
物理专线接口
选择独享专线,然后选择创建的物理专线2接口。
VLAN ID
输入VBR的VLAN ID。
本文输入120。
设置VBR带宽值
设置VBR的带宽。
本文设置为200Mb。
阿里云侧IPv4互联IP
输入VPC到本地IDC的路由网关IPv4地址。
本文输入172.16.2.2。
客户侧IPv4互联IP
输入本地IDC到VPC的路由网关IPv4地址。
本文输入172.16.2.1。
IPv4子网掩码
阿里云侧和客户侧IPv4地址的子网掩码。
本文输入255.255.255.252。
步骤三:VBR开启BFD
通过在VBR上配置BFD,实现路由的快速收敛。
登录高速通道管理控制台。
在顶部菜单栏,选择目标地域,然后在左侧导航栏,单击边界路由器(VBR)。
在边界路由器(VBR)页面,在目标VBR实例操作列单击编辑。
在修改边界路由器面板,设置BFD参数信息,然后单击确定。
此处仅列出BFD相关参数,其余参数保持不变。
配置
说明
发送间隔
BFD报文的发送间隔,单位:ms。
本文使用默认值1000ms。
接收间隔
BFD报文的接收间隔,单位:ms。
本文使用默认值1000ms。
检测时间倍数
指接收方允许发送方发送报文的最大连接丢包个数。
本文使用默认值3。
返回边界路由器(VBR)页面,单击目标VBR实例ID。
在VBR实例详情页面,单击BGP邻居页签。
在目标BGP邻居操作列,单击编辑。
在编辑BGP邻居面板,选中启用BFD复选框并配置BFD跳数,然后单击确定。
说明BFD功能支持自定义单跳或多跳会话。您可以根据真实的物理链路因素来配置不同的跳数。
步骤四:配置BGP
您需要在本地IDC和VBR之间配置BGP,并且您可以在本地IDC侧通过设置AS-Path的长度来确定路由选路的优先级,从而决定主链路和备链路。
在IDC和VBR之间分别建立起BGP邻居关系并宣告路由。具体操作,请参见配置和管理BGP。
阿里云侧BGP ASN(Autonomous System Number)默认为45104,您可以对ASN进行修改,可接受本地IDC侧传递2字节或4字节的ASN。
在IDC侧配置向阿里云宣告的BGP路由(10.1.1.0/24),并通过设置AS-Path来确定选路权重,实现阿里云到IDC路由的主备模式。
设置CPE1所连接的专线为主链路,CPE2所连接的专线为备份链路,通过ASN来对主备链路进行选择。您可以通过设置AS-Path的长度来确定路由选路的优先级。AS-Path长度越短,优先级越高。IDC侧分别在两个CPE的BGP配置如下表所示,具体命令请咨询相应厂商。
配置 | CPE1 | CPE2 |
Vlan Tag | 110 | 120 |
Network | 10.1.1.0/24 | 10.1.1.0/24 |
BGP ASN | 6***3 | 6***4 |
Interface IP | 172.16.1.1/24 | 172.16.2.1/24 |
AS-Path | B,A | C,B,A |
专线网关ECR具备自动学习分发路由的能力,在配置好路由后,专线网关ECR会基于选路权重等信息,将路由同步到其内部,各节点路由学习说明如下。
VBR的BGP路由信息
路由表项
VBR1
VBR2
目标网段
10.1.1.0/24
10.1.1.0/24
下一跳
172.16.1.1
172.16.2.1
如上表所示,在VBR1和VBR2中可以看到从对端邻居学到的路由信息和下一跳。由于在专线网关ECR中添加VBR,所以VBR会将从IDC侧学来的BGP路由信息发送到专线网关ECR,包括AS-Path。
全量路由配置说明
CPE路由配置
配置
CPE1
CPE2
Vlan Tag
110
120
Network
10.1.1.0/24
10.1.1.0/24
BGP ASN
6***3
6***4
Interface IP
172.16.1.1/24
172.16.2.1/24
AS-Path
B,A
C,B,A
VBR路由条目
配置
VBR1
VBR2
目标网段
10.1.1.0/24
10.1.1.0/24
下一跳
172.16.1.1
172.16.2.1
IDC路由条目
目标网段
192.168.20.0/24
下一跳
172.16.1.2
172.16.2.2
步骤五:添加VBR和VPC实例至专线网关ECR
完成物理专线接入后,您需要在专线网关ECR中添加VBR实例和关联VPC实例,实现本地IDC和VPC的私网互通。
登录高速通道管理控制台。
在左侧导航栏,单击专线网关,然后在专线网关页面,单击目标专线网关实例。
在VBR页签,单击添加VBR。
在添加VBR对话框,根据以下信息进行配置,然后单击确定。
配置
说明
资源归属
选择VBR资源的归属的账号。取值:
同账号。
跨账号:如果您需要绑定跨账号的VBR实例,则需要您在VBR实例所属的阿里云账号为目标阿里云账号的专线网关ECR实例授权。具体操作,请参见跨账号VBR实例授权。
地域
选择VBR资源所属的地域。
对端账号UID
输入对端阿里云账号的UID。
说明当资源归属选择跨账号时配置该参数。
网络实例
选择目标VBR实例。
允许IDC间业务访问
您可以进行勾选是否允许IDC间业务访问。
说明该功能默认不开放,如需要使用,请联系您的阿里云客户经理申请。
在VPC页签,单击关联VPC。
在关联VPC对话框,根据以下信息进行配置,然后单击确定。
配置
说明
资源归属
选择VPC所属地账号类型。取值:
同账号。
跨账号:如果您需要绑定跨账号的VPC实例,则需要您在VPC实例所属的阿里云账号为目标阿里云账号的专线网关ECR实例授权。具体操作,请参见跨账号VPC实例授权。
地域
选择目标VPC所在的地域。
对端账号UID
输入对端阿里云账号的UID。
说明当资源归属选择跨账号时配置该参数。
VPC ID
选择目标VPC实例ID。
允许的前缀路由
输入允许通过专线网关ECR向本地数据中心公布的前缀路由。您可以选择匹配模式或者增量模式配置前缀路由。
说明专线网关ECR支持添加IPv4前缀路由和IPv6前缀路由。
配置前缀路由时支持选择或切换以下模式。
匹配模式:高速通道将撤回已发布到IDC的明细路由,转而向IDC发布配置的允许前缀路由。
增量模式:高速通道将撤回已发布到IDC且在配置的前缀路由范围内的明细路由,不在前缀路由范围内的明细路由保持发布。
匹配模式切换增量模式:高速通道将重新发布不在前缀路由范围内的明细路由至IDC,已配置的前缀路由保持发布。
增量模式切换匹配模式:高速通道将撤回已发布到IDC且不在前缀路由范围内的明细路由,已配置的前缀路由保持发布。
若未配置或清空已配置的前缀路由,高速通道会自动向IDC发布明细路由。
若您当前ECR仅发布一条指定前缀路由,此时您对该前缀路由进行修改,阿里云为了保证您的业务流量平稳可持续运行,则会短暂恢复明细路由,待前缀路由修改发布后,再调整成您配置的前缀路由,请您重点关注明细的路由的发布对您对端网络的影响。
步骤六:连通性测试
完成以下操作,测试主备物理专线的连通性:
在您执行以下步骤前,请您先了解您VPC中的ECS实例所应用的安全组规则,确保安全组规则允许本地IDC访问VPC中的ECS实例。具体操作,请参见查询安全组规则。
在本地IDC下,打开客户端的命令行窗口。
执行
ping
命令,ping
云上VPC 192.168.20.0/24网段下的ECS实例IP地址,如果能接收到回复报文,则表示网络能正常连通。您可以通过使用高速通道主动故障演练功能,通过模拟断开主线路用于测试流量切换至备线路的正常连通。更多信息,请参见故障演练。