本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
本文介紹如何組合使用物理專線和云企業網CEN(Cloud Enterprise Network),實現本地數據中心IDC(Internet Data Center)通過BGP主備專線鏈路上云并和云上專有網絡VPC(Virtual Private Cloud)互通。
方案概述
在企業上云過程中,一些企業會將復雜數據庫集群、專業設備、高安全要求系統放在本地IDC中,前端應用部署在阿里云上。在這種部署場景下,本地IDC和前端應用交互頻繁,通常會對上云鏈路的時延、可靠性和帶寬容量有較高要求。
針對上述網絡訴求,阿里云為您提供以下兩種解決方案:
IDC通過BGP主備專線鏈路上云方案
兩種方案均通過主備物理專線將您本地IDC接入阿里云,在為您提供高可靠,低延遲連接的同時,可以有效避免上云鏈路單點故障的問題。您可以根據本地IDC側路由配置情況靈活選擇使用靜態路由或BGP動態路由上云;同時,云企業網和物理專線均能提供多種帶寬規格,滿足您對帶寬容量的高要求。
場景說明
本文以下圖場景為例,為您介紹IDC通過BGP主備專線鏈路上云方案。某企業在上海擁有一個IDC,其中部署有數據庫集群等高級別業務系統;同時該企業已在阿里云華東2(上海)地域創建了一個VPC,其中通過云服務器ECS(Elastic Compute Service)等云服務部署了一些應用業務。現企業為實現云上云下平穩互通,需要購買兩條物理專線,分別連接到本地IDC不同的CPE(Customer-premisesequipment)設備和邊界路由器VBR(Virtual border router)上,然后通過云企業網實現本地IDC和云上VPC的互通。其中兩條專線分別為主備鏈路將本地IDC接入上云,本地IDC側和VBR之間通過BGP動態路由互通并開啟雙向轉發檢測BFD(Bidirectional Forwarding Detection)功能,實現本地IDC與VPC之間路由的快速收斂,提高網絡的可用性。
準備工作
在您執行本文操作前,請先完成以下準備工作:
您已經注冊了阿里云賬號。如還未注冊,請先完成賬號注冊。更多信息,請參見賬號注冊。
您已經在阿里云華東2(上海)地域創建了一個VPC,且VPC中使用云服務器ECS(Elastic Compute Service)等云資源部署了相關業務。具體操作,請參見搭建IPv4專有網絡。
說明使用企業版轉發路由器創建VPC連接前,請確保VPC實例在企業版轉發路由器支持的可用區擁有至少一個交換機實例,且該交換機實例擁有至少一個空閑的IP地址。本文創建的轉發路由器實例在華東2(上海)地域,支持的可用區為上海可用區F和上海可用區G。
您已經了解VPC中ECS實例所應用的安全組規則,并確保安全組規則允許本地IDC與云上ECS實例互相訪問。具體操作,請參見查詢安全組規則和添加安全組規則。
您已經創建了云企業網。具體操作,請參見創建云企業網實例。
使用企業版轉發路由器創建VPC連接前,請確保VPC實例在企業版轉發路由器支持的可用區擁有足夠的交換機實例,且每個交換機實例需擁有至少一個空閑的IP地址。如何創建交換機實例,請參見創建交換機。
對于企業版轉發路由器僅支持一個可用區的地域(例如華東5(南京-本地地域)地域),VPC實例需在當前可用區下擁有至少一個交換機實例。
對于企業版轉發路由器支持多個可用區的地域(例如華東2(上海)地域),VPC實例需在這些可用區中擁有至少2個交換機實例,2個交換機實例需位于不同的可用區。
本文示例中的網段規劃如下表所示。您可以自行規劃網段,請確保您的網段之間沒有重疊。
機構
網段規劃
服務器或客戶端地址
本地IDC
10.1.1.0/24
客戶端地址:10.1.1.1
VPC
192.168.20.0/24
服務器地址:192.168.20.161
VBR1
VLAN:110
阿里云側IPv4互聯IP:172.16.1.2/30
客戶側IPv4互聯IP:172.16.1.1/30
不涉及
VBR2
VLAN:120
阿里云側IPv4互聯IP:172.16.2.2/30
客戶側IPv4互聯IP:172.16.2.1/30
不涉及
配置流程
步驟一:創建兩條物理專線連接
本文使用獨享專線方式自主創建兩條物理專線連接。具體操作,請參見創建和管理獨享專線連接。
在創建物理專線2時需要根據物理專線的接入點進行不同的配置:
如果物理專線2的接入點和物理專線1的接入點相同,創建物理專線2時,選擇冗余專線 ID為物理專線1的ID,可以避免兩條物理專線接入同一臺物理接入設備。
如果物理專線2的接入點和物理專線1的接入點不同,兩條物理專線默認形成冗余鏈路。創建物理專線2時,不需要選擇冗余專線 ID。
本文中物理專線2的接入點和物理專線1的接入點不同。
步驟二:創建VBR
完成以下操作,分別為兩條物理專線創建VBR,作為數據從VPC到本地IDC的轉發橋梁。
登錄高速通道管理控制臺。
在頂部菜單欄,選擇目標地域,然后在左側導航欄,單擊邊界路由器(VBR)。
在創建邊界路由器面板,配置以下參數信息,然后單擊確定。
配置
說明
賬號類型
創建VBR的賬號類型。
本文選擇當前賬號。
名稱
設置VBR的名稱。
本文輸入VBR1。
物理專線接口
選擇獨享專線,然后選擇創建的物理專線1接口。
VLAN ID
輸入VBR的VLAN ID。
本文輸入110。
設置VBR帶寬值
設置VBR的帶寬。
本文設置為200Mb。
阿里云側IPv4互聯IP
輸入VPC到本地IDC的路由網關IPv4地址。
本文輸入172.16.1.2。
客戶側IPv4互聯IP
輸入本地IDC到VPC的路由網關IPv4地址。
本文輸入172.16.1.1。
IPv4子網掩碼
阿里云側和客戶側IPv4地址的子網掩碼。
本文輸入255.255.255.252。
重復上述步驟,為第二條物理專線創建VBR實例。
配置參數如下:
配置
說明
賬號類型
創建VBR的賬號類型。
本文選擇當前賬號。
名稱
設置VBR的名稱。
本文輸入VBR2。
物理專線接口
選擇獨享專線,然后選擇創建的物理專線2接口。
VLAN ID
輸入VBR的VLAN ID。
本文輸入120。
設置VBR帶寬值
設置VBR的帶寬。
本文設置為200Mb。
阿里云側IPv4互聯IP
輸入VPC到本地IDC的路由網關IPv4地址。
本文輸入172.16.2.2。
客戶側IPv4互聯IP
輸入本地IDC到VPC的路由網關IPv4地址。
本文輸入172.16.2.1。
IPv4子網掩碼
阿里云側和客戶側IPv4地址的子網掩碼。
本文輸入255.255.255.252。
步驟三:連接VPC實例和VBR實例
完成物理專線接入后,您需要在華東2(上海)地域的轉發路由器中創建與物理專線關聯的VBR連接和需要互通的VPC連接,實現本地IDC和VPC的私網互通。
- 登錄云企業網管理控制臺。
- 在云企業網實例頁面,找到目標云企業網實例,單擊目標實例ID。
在頁簽,找到目標地域的轉發路由器實例,在操作列單擊創建網絡實例連接。
在連接網絡實例頁面,配置以下參數信息創建VPC連接,然后單擊確定創建。
說明在初次執行此操作時,系統會自動為您創建一個名稱為AliyunServiceRoleForCEN的服務關聯角色。該角色允許轉發路由器實例在VPC的交換機上創建ENI。更多信息,請參見AliyunServiceRoleForCEN。
參數
配置
實例類型
選擇待連接的網絡實例類型。
本文選擇專有網絡(VPC)。
地域
選擇待連接的網絡實例所在的地域。
本文選擇華東2(上海)。
轉發路由器
系統自動顯示當前地域下已創建的轉發路由器實例。
資源歸屬UID
選擇待連接的網絡實例所屬的賬號類型。
本文選擇同賬號。
付費方式
轉發路由器的計費模式默認為按量付費。
按量付費的計費規則,請參見計費說明。
網絡實例
選擇待連接的VPC實例ID。
本文選擇已創建的VPC。
交換機
在轉發路由器支持的可用區選擇至少2個交換機實例。
高級配置
系統默認為您選中三種高級功能,即自動關聯至轉發路由器的默認路由表、自動傳播系統路由至轉發路由器的默認路由表和自動為VPC的所有路由表配置指向轉發路由器的路由。
本文保持默認配置。
在連接網絡實例頁面,單擊繼續創建連接。
在連接網絡實例頁面,配置以下參數信息創建VBR1連接,然后單擊確定創建。
參數
配置
實例類型
本文選擇邊界路由器(VBR)。
地域
選擇待連接的網絡實例所在的地域。
本文選擇華東2(上海)地域。
轉發路由器
系統自動顯示當前地域已創建的轉發路由器實例。
資源歸屬UID
選擇待連接的網絡實例所屬的賬號類型。
本文使用默認值同賬號。
連接名稱
輸入VBR實例連接名稱。
本文輸入VBR-test。
網絡實例
選擇待連接的VBR實例ID。
本文選擇已創建的VBR1實例。
高級配置
系統默認為您選中三種高級功能,即自動關聯至轉發路由器的默認路由表、自動傳播系統路由至轉發路由器的默認路由表和自動為VPC的所有路由表配置指向轉發路由器的路由。
本文保持默認配置。
網絡連接創建完成后,您可以在地域內連接管理頁簽查看VPC連接和VBR連接的信息。具體操作,請參見查看網絡實例連接。
步驟四:配置路由
您需要在本地IDC和VBR之間配置BGP,并且您可以在本地IDC側通過設置AS-Path的長度來確定路由選路的優先級。
在IDC和VBR之間分別建立起BGP鄰居關系并宣告路由。具體操作,請參見配置和管理BGP。
阿里云側BGP ASN(Autonomous System Number)為45104,可接受本地IDC側傳遞2字節或4字節的ASN。
在IDC側配置向阿里云宣告的BGP路由(10.1.1.0/24),并通過設置AS-Path來確定選路權重,實現阿里云到IDC路由的主備模式。
設置CPE1所連接的專線為主鏈路,CPE2所連接的專線為備份鏈路。您可以通過設置AS-Path的長度來確定路由選路的優先級。AS-Path長度越短,優先級越高。IDC側分別在兩個CPE的BGP配置如下表所示,具體命令請咨詢相應廠商。
配置 | CPE1 | CPE2 |
Vlan Tag | 110 | 120 |
Network | 10.1.1.0/24 | 10.1.1.0/24 |
BGP ASN | 6***3 | 6***4 |
Interface IP | 172.16.1.1/24 | 172.16.2.1/24 |
AS-Path | B,A | C,B,A |
云企業網的轉發路由器具備自動學習分發路由的能力,在配置好路由后,轉發路由器會基于選路權重等信息,將路由同步到其內部,各節點路由學習說明如下。
VBR的BGP路由信息
路由表項
VBR1
VBR2
目標網段
10.1.1.0/24
10.1.1.0/24
下一跳
172.16.1.1
172.16.2.1
如上表所示,在VBR1和VBR2中可以看到從對端鄰居學到的路由信息和下一跳。由于在轉發路由器中創建了VBR連接,所以VBR會將從IDC側學來的BGP路由信息發送到轉發路由器,包括AS-Path。
全量路由配置說明
CPE路由配置
配置
CPE1
CPE2
Vlan Tag
110
120
Network
10.1.1.0/24
10.1.1.0/24
BGP ASN
6***3
6***4
Interface IP
172.16.1.1/24
172.16.2.1/24
AS-Path
B,A
C,B,A
VBR路由條目
配置
VBR1
VBR2
目標網段
10.1.1.0/24
10.1.1.0/24
下一跳
172.16.1.1
172.16.2.1
IDC路由條目
目標網段
192.168.20.0/24
下一跳
172.16.1.2
172.16.2.2
轉發路由器路由條目
目標網段
10.1.1.0/24
下一跳
VBR1
由于在轉發路由器中已經創建VBR連接和VPC連接,那么從VBR學習的BGP路由也會發布到轉發路由器中,轉發路由器會基于選路權重等信息,將路由同步到轉發路由器內部。
兩個VBR從IDC側學習到的BGP路由目標網段一致,但路由權重不同,VBR1作為主鏈路(AS-Path短),VBR2是備鏈路(AS-Path長)。轉發路由器學習到該路由后,會將該路由的屬性通知到轉發路由器的其他網絡實例,例如VPC。從VPC的路由表中就可以看到去往10.1.1.0/24的路由均指向VBR1。
轉發路由器也會將轉發路由器內系統路由發布到BGP中,所以在IDC的BGP路由表中就可以看到學習到的轉發路由器中的路由信息,并且下一跳分別指向與IDC建立鄰居的兩個VBR的接口IP。
同理,如果想從IDC側設置到阿里云VPC的地址192.168.20.0/24的主備鏈路,同樣可以通過BGP選路屬性,在IDC側分別設置從不同鄰居VBR1、VBR2學習到的路由192.168.20.0/24的權重,便可實現從IDC到阿里云的主備選路。
步驟五:配置健康檢查
主備物理專線接入時,您需要配置健康檢查。健康檢查會以您指定的發包時間間隔發送探測報文,當連續發送的所有探測報文(即您指定的探測報文個數)都丟包時,云企業網會主動將流量切換至另一條物理專線。
登錄云企業網管理控制臺。
在左側導航欄,單擊健康檢查。
在健康檢查頁面,選擇VBR實例所屬的地域,然后單擊設置健康檢查。
本文選擇VBR1實例所屬的地域華東2(上海)。
在設置健康檢查對話框,配置以下參數,然后單擊確定。
配置
說明
云企業網實例
選擇已加載VBR實例的云企業網實例。
邊界路由器(VBR)
選擇要監控的VBR實例。
本文選擇VBR1。
源IP
源IP地址可通過以下兩種方式進行配置:
自動生成源IP(推薦):系統自動為您分配100.96.0.0/16網段內的IP地址。
說明若您選擇自動生成的IP地址且在對端配置過ACL策略,請修改ACL策略允許此網段通過, 否則將會出現健康檢查失敗的情況。
自定義源IP:源IP地址可以是10.0.0.0/8、192.168.0.0/16、172.16.0.0/12三個網段內任意一個沒有被使用的IP地址。但不能與云企業網中要互通的地址沖突,也不能和邊界路由器實例的阿里云側、客戶側IP地址沖突。
目標IP
目標IP地址為目標VBR實例客戶側IP地址。
發包時間間隔(秒)
指定健康檢查時發送連續探測報文的時間間隔。單位:秒。
默認值:2。取值范圍:2~3。
探測報文個數(個)
指定健康檢查時發送探測報文的個數。單位:個。
默認值:8。取值范圍:3~8。
切換路由
是否開啟健康檢查的路由切換功能。
系統默認選擇是,即開啟健康檢查的路由切換功能。健康檢查探測到物理專線連接故障時,如果云企業網實例中存在冗余的路由,健康檢查則會立刻觸發路由切換使用可用鏈路。
若您取消選中是,則表示不開啟健康檢查的路由切換功能,健康檢查僅執行鏈路探測功能。若健康檢查探測到物理專線連接故障,則不會觸發路由切換。
警告若您選擇關閉本功能,請確保您有其他方式保證鏈路的冗余性,否則當物理專線連接故障后,會導致網絡中斷。
說明健康檢查會以您指定的發包時間間隔發送探測報文,當連續發送的所有探測報文(即您指定的探測報文個數)都丟包時,則判斷健康檢查失敗。如果健康檢查失敗,請檢查您的物理專線連接是否正常。具體操作,請參見故障排查。
步驟六:VBR開啟BFD
通過在VBR上配置BFD,實現路由的快速收斂。
登錄高速通道管理控制臺。
在頂部菜單欄,選擇目標地域,然后在左側導航欄,單擊邊界路由器(VBR)。
在邊界路由器(VBR)頁面,在目標VBR實例操作列單擊編輯。
在修改邊界路由器面板,設置BFD參數信息,然后單擊確定。
此處僅列出BFD相關參數,其余參數保持不變。
配置
說明
發送間隔
BFD報文的發送間隔,單位:ms。
本文使用默認值1000ms。
接收間隔
BFD報文的接收間隔,單位:ms。
本文使用默認值1000ms。
檢測時間倍數
指接收方允許發送方發送報文的最大連接丟包個數。
本文使用默認值3。
返回邊界路由器(VBR)頁面,單擊目標VBR實例ID。
在VBR實例詳情頁面,單擊BGP鄰居頁簽。
在目標BGP鄰居操作列,單擊編輯。
在編輯BGP鄰居面板,選中啟用BFD復選框并配置BFD跳數,然后單擊確定。
說明BFD功能支持自定義單跳或多跳會話。您可以根據真實的物理鏈路因素來配置不同的跳數。
步驟七:連通性測試
完成以下操作,測試主備物理專線的連通性。
- 在本地IDC下,打開客戶端的命令行窗口。
- 執行
ping命令,ping云上VPC 192.168.20.0/24網段下的ECS實例IP地址,如果能接受到回復報文,則表示網絡能正常連通。經驗證,本地IDC可以與VPC正常通信。
- 在本地IDC網關設備上,關閉一個物理專線端口(如VBR1到CPE1),再次執行
ping命令,測試本地IDC和VPC的連通性。經驗證,本地IDC和VPC仍可以正常通信。 - 您也可以執行
tracert命令,通過路由跟蹤可以查看到云企業網會對路由進行切換,本地IDC通過VBR2和云上VPC互通。不同的設備,路由追蹤命令會有所不同,具體請咨詢相關設備廠商。