本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
您可以使用兩條物理專線以主備方式將本地數據中心IDC(Internet Data Center)接入阿里云。采用主備接入方式時,正常情況下僅主用線路在進行流量轉發。阿里云按照您配置的健康檢查的發包時間間隔探測主用線路連通性,當探測到主用線路故障時,自動將流量切換至備用線路,保證您的業務不受影響。
場景示例
本文以下圖場景為例介紹本地IDC如何通過主備冗余專線方式接入阿里云。
某企業在上海擁有一個本地IDC(私網網段:172.16.0.0/12),并且在阿里云華東2(上海)地域創建了一個專有網絡VPC(網段:192.168.0.0/16)。該企業為了解決單點故障問題,需要分別向兩個運營商各申請一條物理專線,其中一條做主用線路,另一條做備用線路,將本地IDC連接至阿里云。
本文中,與兩條物理專線連接的兩個云上邊界路由器VBR(Virtual Border Router)的配置如下表所示。
VBR配置項 | VBR1(物理專線1的VBR) | VBR2(物理專線2的VBR) |
VLAN ID | 1 | 1 |
阿里云側IPv4互聯IP | 10.0.0.1 | 10.0.0.5 |
客戶側IPv4互聯IP | 10.0.0.2 | 10.0.0.6 |
IPv4子網掩碼 | 255.255.255.252 | 255.255.255.252 |
配置流程
步驟一:創建兩條物理專線連接
本文使用獨享專線方式自主創建兩條物理專線連接。具體操作,請參見創建和管理獨享專線連接。
在創建物理專線2時需要根據物理專線的接入點進行不同的配置:
如果物理專線2的接入點和物理專線1的接入點相同,創建物理專線2時,選擇冗余專線 ID為物理專線1的ID,可以避免兩條物理專線接入同一臺物理接入設備。
如果物理專線2的接入點和物理專線1的接入點不同,兩條物理專線默認形成冗余鏈路。創建物理專線2時,不需要選擇冗余專線 ID。
本文中物理專線2的接入點和物理專線1的接入點不同。
步驟二:創建VBR并配置路由
您需要為兩條物理專線各創建一個VBR,并在VBR上配置指向本地IDC的路由。
登錄高速通道管理控制臺。
為物理專線1創建一個VBR。
在頂部菜單欄,選擇目標地域,然后在左側導航欄,單擊邊界路由器(VBR)。
在邊界路由器(VBR)頁面,單擊創建邊界路由器。
在創建邊界路由器面板,配置以下參數信息,然后單擊確定。
配置
說明
賬號類型
創建VBR的賬號類型。
本文選擇當前賬號。
名稱
設置VBR的名稱。
本文設置為VBR1。
資源組
選擇VBR需歸屬的資源組。
您也可以在VBR實例創建成功后,找到目標實例并在其資源組列,單擊加入資源組完成添加。
標簽
標簽鍵:標簽的標簽鍵,支持選擇已有標簽鍵或輸入新的標簽鍵。標簽鍵最多支持64個字符,不能以
aliyun
或acs:
開頭,也不能包含http://
或https://
。標簽值:標簽的標簽值,支持選擇已有標簽值或輸入新的標簽值。標簽值最多支持128個字符,不能以
aliyun
或acs:
開頭,也不能包含http://
或https://
。
您也可以在VBR實例創建成功后,找到目標實例并在其標簽列,添加標簽。成功添加標簽后,您還可以修改、查看和刪除該信息。
物理專線接口
本文選擇獨享專線并選擇物理專線1。
VLAN ID
輸入VBR的VLAN ID。
本文輸入1。
設置VBR帶寬值
設置VBR的帶寬。
本文設置為200Mb。
阿里云側IPv4互聯IP
輸入VPC到本地IDC的路由網關IPv4地址。
本文輸入10.0.0.1。
客戶側IPv4互聯IP
輸入本地IDC到VPC的路由網關IPv4地址。
本文輸入10.0.0.2。
IPv4子網掩碼
阿里云側和客戶側IPv4地址的子網掩碼。
本文輸入255.255.255.252。
在VBR1上配置指向本地IDC的路由。
在頂部菜單欄,選擇目標地域,然后在左側導航欄,單擊邊界路由器(VBR)。
在邊界路由器(VBR)頁面,單擊VBR1實例ID。
在VBR1詳情頁面,單擊路由條目頁簽,然后單擊添加路由條目。
在添加路由條目面板,配置以下參數信息,然后單擊確定。
配置
說明
下一跳類型
本文選擇物理專線接口。
目標網段
輸入本地IDC的網段。
本文輸入172.16.0.0/12。
下一跳
選擇物理專線接口。
本文選擇物理專線1的接口。
描述
輸入路由條目的描述信息。
重復上述步驟,為物理專線2創建VBR2,并為VBR2配置指向本地IDC的路由。
步驟三:連接VPC實例和VBR實例
您需要在華東2(上海)地域的轉發路由器中創建與物理專線關聯的VBR連接和需要互通的VPC連接,實現本地IDC和VPC的私網互通。
- 登錄云企業網管理控制臺。
- 在云企業網實例頁面,找到目標云企業網實例,單擊目標實例ID。
在
頁簽,找到目標地域的轉發路由器實例,在操作列單擊創建網絡實例連接。在連接網絡實例頁面,配置以下參數信息創建VPC連接,然后單擊確定創建。
說明在初次執行此操作時,系統會自動為您創建一個名稱為AliyunServiceRoleForCEN的服務關聯角色。該角色允許轉發路由器實例在VPC的交換機上創建ENI。更多信息,請參見AliyunServiceRoleForCEN。
參數
配置
實例類型
選擇待連接的網絡實例類型。
本文選擇專有網絡(VPC)。
地域
選擇待連接的網絡實例所在的地域。
本文選擇華東2(上海)。
轉發路由器
系統自動顯示當前地域下已創建的轉發路由器實例。
資源歸屬UID
選擇待連接的網絡實例所屬的賬號類型。
本文選擇同賬號。
付費方式
轉發路由器的計費模式默認為按量付費。
按量付費的計費規則,請參見計費說明。
連接名稱
輸入VPC連接的名稱。
本文輸入VPC-test。
標簽
標簽鍵:標簽的標簽鍵,支持選擇已有標簽鍵或輸入新的標簽鍵。標簽鍵最多支持64個字符,不能以
aliyun
或acs:
開頭,也不能包含http://
或https://
。標簽值:標簽的標簽值,支持選擇已有標簽值或輸入新的標簽值。標簽值最多支持128個字符,不能以
aliyun
或acs:
開頭,也不能包含http://
或https://
。
網絡實例
選擇待連接的VPC實例ID。
本文選擇已創建的VPC。
交換機
在轉發路由器支持的可用區選擇一個交換機實例。
本文選擇對應可用區的交換機。
高級配置
系統默認為您選中三種高級功能,即自動關聯至轉發路由器的默認路由表、自動傳播系統路由至轉發路由器的默認路由表和自動發布路由到VBR。
本文保持默認配置。
在連接網絡實例頁面,單擊繼續創建連接。
在連接網絡實例頁面,配置以下參數信息創建VBR1連接,然后單擊確定創建。
參數
配置
實例類型
本文選擇邊界路由器(VBR)。
地域
選擇待連接的網絡實例所在的地域。
本文選擇華東2(上海)地域。
轉發路由器
系統自動顯示當前地域已創建的轉發路由器實例。
資源歸屬UID
選擇待連接的網絡實例所屬的賬號類型。
本文使用默認值同賬號。
連接名稱
輸入VBR實例連接名稱。
本文輸入VBR-test。
網絡實例
選擇待連接的VBR實例ID。
本文選擇已創建的VBR1實例。
高級配置
系統默認為您選中三種高級功能,即自動關聯至轉發路由器的默認路由表、自動傳播系統路由至轉發路由器的默認路由表和自動發布路由到VBR。
本文保持默認配置。
網絡連接創建完成后,您可以在地域內連接管理頁簽查看VPC連接和VBR連接的信息。具體操作,請參見查看網絡實例連接。
步驟四:配置阿里云側健康檢查
阿里云默認每隔2秒從每個健康檢查源IP地址向本地IDC中的健康檢查目的地址發送一個ping報文,如果某條物理專線上連續8個ping報文都無響應,則自動切換流量至另一條物理專線。
登錄云企業網管理控制臺。
在左側導航欄,單擊健康檢查。
在健康檢查頁面,選擇VBR實例所屬的地域,然后單擊設置健康檢查。
本文選擇VBR1實例所屬的地域華東2(上海)。
在設置健康檢查面板,配置以下參數,然后單擊確定。
配置
說明
云企業網實例
選擇已加載VBR實例的云企業網實例。
邊界路由器(VBR)
選擇要監控的VBR實例。
本文選擇VBR1。
源IP
源IP地址可通過以下兩種方式進行配置:
自動生成源IP(推薦):系統自動為您分配100.96.0.0/16網段內的IP地址。
說明若您選擇自動生成的IP地址且在對端配置過ACL策略,請修改ACL策略允許此網段通過, 否則將會出現健康檢查失敗的情況。
自定義源IP:源IP地址可以是10.0.0.0/8、192.168.0.0/16、172.16.0.0/12三個網段內任意一個沒有被使用的IP地址。但不能與云企業網中要互通的地址沖突,也不能和邊界路由器實例的阿里云側、客戶側IP地址沖突。
目標IP
目標IP地址為目標VBR實例客戶側IP地址。
發包時間間隔(秒)
指定健康檢查時發送連續探測報文的時間間隔。單位:秒。
默認值:2。取值范圍:2~3。
探測報文個數(個)
指定健康檢查時發送探測報文的個數。單位:個。
默認值:8。取值范圍:3~8。
切換路由
是否開啟健康檢查的路由切換功能。
系統默認選擇是,即開啟健康檢查的路由切換功能。健康檢查探測到物理專線連接故障時,如果云企業網實例中存在冗余的路由,健康檢查則會立刻觸發路由切換使用可用鏈路。
若您取消選中是,則表示不開啟健康檢查的路由切換功能,健康檢查僅執行鏈路探測功能。若健康檢查探測到物理專線連接故障,則不會觸發路由切換。
警告若您選擇關閉本功能,請確保您有其他方式保證鏈路的冗余性,否則當物理專線連接故障后,會導致網絡中斷。
說明健康檢查會以您指定的發包時間間隔發送探測報文,當連續發送的所有探測報文(即您指定的探測報文個數)都丟包時,則判斷健康檢查失敗。如果健康檢查失敗,請檢查您的物理專線連接是否正常。具體操作,請參見故障排查。
步驟五:設置主用線路和備用線路
您需要通過云企業網的路由策略設置VBR1所在的物理專線為主用線路,設置VBR2所在的物理專線為備用線路。
登錄云企業網管理控制臺。
- 在云企業網實例頁面,找到目標云企業網實例,單擊目標實例ID。
- 在 頁簽,找到目標地域的轉發路由器實例,單擊目標實例ID。
- 在轉發路由器實例詳情頁面,單擊轉發路由器路由表頁簽。
在轉發路由器路由表詳情頁面的左側區域,單擊默認路由表ID。
在默認路由表詳情頁面,單擊路由策略頁簽。
在路由策略頁簽下,單擊添加路由策略。
在添加路由策略頁面,根據以下信息配置路由策略,然后單擊確定。
配置
說明
策略優先級
路由策略的優先級。 取值范圍:1~100。數字越小,優先級越高。
本文輸入20。
描述
輸入路由策略的描述信息。
關聯路由表
選擇路由策略關聯的路由表。
路由策略支持關聯至系統路由表或自定義路由表中。本文選擇默認路由表。
應用方向
選擇路由策略應用的方向。
入地域網關方向:路由傳入本地域轉發路由器的方向。例如:路由從本地域網絡實例發布到本地域轉發路由器,或其他地域的路由發布到本地域轉發路由器。
出地域網關方向:路由傳出本地域轉發路由器的方向。例如:路由從本地域轉發路由器發布到本地域下其他網絡實例,或發布到其他地域轉發路由器。
本文選擇入地域網關。
匹配條件
路由策略的匹配條件。
本文選擇源實例ID列表,并設置為VBR1實例ID,表示匹配所有產生于VBR1網絡實例ID的路由。
單擊 添加匹配條件,可添加多個匹配條件。關于匹配條件的更多信息,請參見匹配條件。
策略行為
選擇策略行為為允許,并設置路由優先級。
設置路由優先級:單擊 添加策略值,選擇路由優先級,然后設置允許通過的路由優先級。路由優先級的數字越小,優先級越高。本文中,設置路由優先級為10。
說明本文中,VBR1無需配置關聯策略優先級。
重復上述步驟,設置VBR2所在線路為備用線路。
關鍵配置的參數值如下表所示,其余配置與設置VBR1所在線路為主用線路相同。
配置
說明
策略優先級
由于路由策略的優先級,優先級數字越小,優先級越高,所以VBR2的策略優先級的數字需要比VBR1的數字大。
本文輸入30。
匹配條件
本文選擇源實例ID列表,并設置為VBR2實例ID,表示匹配所有產生于VBR2網絡實例ID的路由。
策略行為
選擇策略行為為允許,并設置路由優先級。
由于路由優先級的數字越小,優先級越高,因此VBR2的路由優先級數字應大于VBR1的優先級數字。本文設置允許通過的路由優先級為20。
本文中,VBR2無需配置關聯策略優先級。
添加路由策略后,您可以在路由信息頁簽下查看去往本地IDC172.16.0.0/12的兩條路由,其中一條為備用路由。
步驟六:配置本地IDC側路由及健康檢查
您需要在本地IDC側完成配置路由、健康檢查以及健康檢查和路由聯動,實現冗余專線接入。
在配置本地IDC側健康檢查前,您必須要先配置本地IDC側健康檢查探測報文的回程路由,確保從本地IDC發起的健康檢查探測報文能夠成功地往返。
請勿將VBR的互聯IP作為本地IDC對云端進行健康檢查的源IP地址,應該使用云上VPC中的一個空閑IP地址作為源IP,并對該源IP地址進行探測檢查,確保源IP地址的真實性。
配置本地IDC路由。
以下示例僅供參考,不同廠商的不同設備可能會不同。
ip route 192.168.0.0 255.255.0.0 10.0.0.1 preference 10 ip route 192.168.0.0 255.255.0.0 10.0.0.5 preference 20
配置本地IDC健康檢查。
您可以通過雙向轉發檢測BFD(Bidirectional Forwarding Detection)或者網絡質量分析NQA(Network Quality Analyzer)方式檢測本地IDC到VBR的路由,具體配置命令,請咨詢設備廠商。推薦使用BFD方式,支持毫秒級檢測。
配置健康檢查和路由聯動。
不同廠商的不同設備可能會有所不同,請咨詢設備廠商,根據實際進行配置。
步驟七:測試連通性
完成專線接入后,您需要測試冗余專線接入的連通性和主備線路能否自動切換。
打開本地IDC側的PC端命令行窗口。
執行ping命令,檢查本地IDC與云上VPC192.168.0.0/16網段下的ECS實例是否連通。
如果能收到回復報文,表示連接成功。
斷開主用線路,在本地IDC側的PC端的命令行窗口執行ping命令,檢查本地IDC與云上VPC192.168.0.0/16網段下的ECS實例是否連通。
如果能收到回復報文,表示主備用線路自動切換成功。