本文介紹如何組合使用物理專線和專線網關ECR,實現本地數據中心IDC通過ECR主備專線鏈路上云并和云上專有網絡VPC互通。
場景說明
本文以下圖場景為例,為您介紹IDC通過ECR主備專線鏈路上云方案。某企業在上海擁有一個IDC,其中部署有數據庫集群等高級別業務系統;同時該企業已在阿里云華東2(上海)地域創建了一個VPC,其中通過云服務器ECS(Elastic Compute Service)等云服務部署了一些應用業務。現企業為實現云上云下平穩互通,需要購買兩條物理專線,分別連接到本地IDC不同的CPE(Customer-premises equipment)設備和邊界路由器VBR(Virtual border router)上,然后通過專線網關ECR實現本地IDC和云上VPC的互通。其中兩條專線分別為主備鏈路將本地IDC接入上云,本地IDC側和VBR之間通過BGP動態路由互通并開啟雙向轉發檢測BFD(Bidirectional Forwarding Detection)功能,實現本地IDC與VPC之間路由的快速收斂,提高網絡的可用性。
本文示例中的網段規劃如下表所示。您可以自行規劃網段,請確保您的網段之間沒有重疊。
機構 | 網段規劃 | 服務器或客戶端地址 |
本地IDC | 10.1.1.0/24 | 客戶端地址:10.1.1.1 |
VPC | 192.168.20.0/24 | 服務器地址:192.168.20.161 |
VBR1 |
| 不涉及 |
VBR2 |
| 不涉及 |
準備工作
在您執行本文操作前,請先完成以下準備工作:
您已經在阿里云華東2(上海)地域創建了一個VPC,且VPC中使用云服務器ECS等云資源部署了相關業務。具體操作,請參見搭建IPv4專有網絡。
您已經了解VPC中ECS實例所應用的安全組規則,并確保安全組規則允許本地IDC與云上ECS實例互相訪問。具體操作,請參見查詢安全組規則和添加安全組規則。
您已經創建了專線網關ECR。具體操作,請參見創建和管理專線網關ECR。
配置流程
步驟一:創建兩條物理專線
本文使用高可靠模式的強大容災能力創建兩條物理專線。具體操作,請參見強大容災能力。
步驟二:創建VBR
完成以下操作,分別為兩條物理專線創建VBR,作為數據從VPC到本地IDC的轉發橋梁。
登錄高速通道管理控制臺。
在頂部菜單欄,選擇目標地域,然后在左側導航欄,單擊邊界路由器(VBR)。
在創建邊界路由器面板,配置以下參數信息,然后單擊確定。
配置
說明
賬號類型
創建VBR的賬號類型。
本文選擇當前賬號。
名稱
設置VBR的名稱。
本文輸入VBR1。
物理專線接口
選擇獨享專線,然后選擇創建的物理專線1接口。
VLAN ID
輸入VBR的VLAN ID。
本文輸入110。
設置VBR帶寬值
設置VBR的帶寬。
本文設置為200Mb。
阿里云側IPv4互聯IP
輸入VPC到本地IDC的路由網關IPv4地址。
本文輸入172.16.1.2。
客戶側IPv4互聯IP
輸入本地IDC到VPC的路由網關IPv4地址。
本文輸入172.16.1.1。
IPv4子網掩碼
阿里云側和客戶側IPv4地址的子網掩碼。
本文輸入255.255.255.252。
重復上述步驟,為第二條物理專線創建VBR實例。
配置參數如下:
配置
說明
賬號類型
創建VBR的賬號類型。
本文選擇當前賬號。
名稱
設置VBR的名稱。
本文輸入VBR2。
物理專線接口
選擇獨享專線,然后選擇創建的物理專線2接口。
VLAN ID
輸入VBR的VLAN ID。
本文輸入120。
設置VBR帶寬值
設置VBR的帶寬。
本文設置為200Mb。
阿里云側IPv4互聯IP
輸入VPC到本地IDC的路由網關IPv4地址。
本文輸入172.16.2.2。
客戶側IPv4互聯IP
輸入本地IDC到VPC的路由網關IPv4地址。
本文輸入172.16.2.1。
IPv4子網掩碼
阿里云側和客戶側IPv4地址的子網掩碼。
本文輸入255.255.255.252。
步驟三:VBR開啟BFD
通過在VBR上配置BFD,實現路由的快速收斂。
登錄高速通道管理控制臺。
在頂部菜單欄,選擇目標地域,然后在左側導航欄,單擊邊界路由器(VBR)。
在邊界路由器(VBR)頁面,在目標VBR實例操作列單擊編輯。
在修改邊界路由器面板,設置BFD參數信息,然后單擊確定。
此處僅列出BFD相關參數,其余參數保持不變。
配置
說明
發送間隔
BFD報文的發送間隔,單位:ms。
本文使用默認值1000ms。
接收間隔
BFD報文的接收間隔,單位:ms。
本文使用默認值1000ms。
檢測時間倍數
指接收方允許發送方發送報文的最大連接丟包個數。
本文使用默認值3。
返回邊界路由器(VBR)頁面,單擊目標VBR實例ID。
在VBR實例詳情頁面,單擊BGP鄰居頁簽。
在目標BGP鄰居操作列,單擊編輯。
在編輯BGP鄰居面板,選中啟用BFD復選框并配置BFD跳數,然后單擊確定。
說明BFD功能支持自定義單跳或多跳會話。您可以根據真實的物理鏈路因素來配置不同的跳數。
步驟四:配置BGP
您需要在本地IDC和VBR之間配置BGP,并且您可以在本地IDC側通過設置AS-Path的長度來確定路由選路的優先級,從而決定主鏈路和備鏈路。
在IDC和VBR之間分別建立起BGP鄰居關系并宣告路由。具體操作,請參見配置和管理BGP。
阿里云側BGP ASN(Autonomous System Number)默認為45104,您可以對ASN進行修改,可接受本地IDC側傳遞2字節或4字節的ASN。
在IDC側配置向阿里云宣告的BGP路由(10.1.1.0/24),并通過設置AS-Path來確定選路權重,實現阿里云到IDC路由的主備模式。
設置CPE1所連接的專線為主鏈路,CPE2所連接的專線為備份鏈路,通過ASN來對主備鏈路進行選擇。您可以通過設置AS-Path的長度來確定路由選路的優先級。AS-Path長度越短,優先級越高。IDC側分別在兩個CPE的BGP配置如下表所示,具體命令請咨詢相應廠商。
配置 | CPE1 | CPE2 |
Vlan Tag | 110 | 120 |
Network | 10.1.1.0/24 | 10.1.1.0/24 |
BGP ASN | 6***3 | 6***4 |
Interface IP | 172.16.1.1/24 | 172.16.2.1/24 |
AS-Path | B,A | C,B,A |
專線網關ECR具備自動學習分發路由的能力,在配置好路由后,專線網關ECR會基于選路權重等信息,將路由同步到其內部,各節點路由學習說明如下。
VBR的BGP路由信息
路由表項
VBR1
VBR2
目標網段
10.1.1.0/24
10.1.1.0/24
下一跳
172.16.1.1
172.16.2.1
如上表所示,在VBR1和VBR2中可以看到從對端鄰居學到的路由信息和下一跳。由于在專線網關ECR中添加VBR,所以VBR會將從IDC側學來的BGP路由信息發送到專線網關ECR,包括AS-Path。
全量路由配置說明
CPE路由配置
配置
CPE1
CPE2
Vlan Tag
110
120
Network
10.1.1.0/24
10.1.1.0/24
BGP ASN
6***3
6***4
Interface IP
172.16.1.1/24
172.16.2.1/24
AS-Path
B,A
C,B,A
VBR路由條目
配置
VBR1
VBR2
目標網段
10.1.1.0/24
10.1.1.0/24
下一跳
172.16.1.1
172.16.2.1
IDC路由條目
目標網段
192.168.20.0/24
下一跳
172.16.1.2
172.16.2.2
步驟五:添加VBR和VPC實例至專線網關ECR
完成物理專線接入后,您需要在專線網關ECR中添加VBR實例和關聯VPC實例,實現本地IDC和VPC的私網互通。
登錄高速通道管理控制臺。
在左側導航欄,單擊專線網關,然后在專線網關頁面,單擊目標專線網關實例。
在VBR頁簽,單擊添加VBR。
在添加VBR對話框,根據以下信息進行配置,然后單擊確定。
配置
說明
資源歸屬
選擇VBR資源的歸屬的賬號。取值:
同賬號。
跨賬號:如果您需要綁定跨賬號的VBR實例,則需要您在VBR實例所屬的阿里云賬號為目標阿里云賬號的專線網關ECR實例授權。具體操作,請參見跨賬號VBR實例授權。
地域
選擇VBR資源所屬的地域。
對端賬號UID
輸入對端阿里云賬號的UID。
說明當資源歸屬選擇跨賬號時配置該參數。
網絡實例
選擇目標VBR實例。
允許IDC間業務訪問
您可以進行勾選是否允許IDC間業務訪問。
說明該功能默認不開放,如需要使用,請聯系您的阿里云客戶經理申請。
在VPC頁簽,單擊關聯VPC。
在關聯VPC對話框,根據以下信息進行配置,然后單擊確定。
配置
說明
資源歸屬
選擇VPC所屬地賬號類型。取值:
同賬號。
跨賬號:如果您需要綁定跨賬號的VPC實例,則需要您在VPC實例所屬的阿里云賬號為目標阿里云賬號的專線網關ECR實例授權。具體操作,請參見跨賬號VPC實例授權。
地域
選擇目標VPC所在的地域。
對端賬號UID
輸入對端阿里云賬號的UID。
說明當資源歸屬選擇跨賬號時配置該參數。
VPC ID
選擇目標VPC實例ID。
允許的前綴路由
輸入允許通過專線網關ECR向本地數據中心公布的前綴路由。您可以選擇匹配模式或者增量模式配置前綴路由。
說明專線網關ECR支持添加IPv4前綴路由和IPv6前綴路由。
配置前綴路由時支持選擇或切換以下模式。
匹配模式:高速通道將撤回已發布到IDC的明細路由,轉而向IDC發布配置的允許前綴路由。
增量模式:高速通道將撤回已發布到IDC且在配置的前綴路由范圍內的明細路由,不在前綴路由范圍內的明細路由保持發布。
匹配模式切換增量模式:高速通道將重新發布不在前綴路由范圍內的明細路由至IDC,已配置的前綴路由保持發布。
增量模式切換匹配模式:高速通道將撤回已發布到IDC且不在前綴路由范圍內的明細路由,已配置的前綴路由保持發布。
若未配置或清空已配置的前綴路由,高速通道會自動向IDC發布明細路由。
若您當前ECR僅發布一條指定前綴路由,此時您對該前綴路由進行修改,阿里云為了保證您的業務流量平穩可持續運行,則會短暫恢復明細路由,待前綴路由修改發布后,再調整成您配置的前綴路由,請您重點關注明細的路由的發布對您對端網絡的影響。
步驟六:連通性測試
完成以下操作,測試主備物理專線的連通性:
在您執行以下步驟前,請您先了解您VPC中的ECS實例所應用的安全組規則,確保安全組規則允許本地IDC訪問VPC中的ECS實例。具體操作,請參見查詢安全組規則。
在本地IDC下,打開客戶端的命令行窗口。
執行
ping命令,ping云上VPC 192.168.20.0/24網段下的ECS實例IP地址,如果能接收到回復報文,則表示網絡能正常連通。您可以通過使用高速通道主動故障演練功能,通過模擬斷開主線路用于測試流量切換至備線路的正常連通。更多信息,請參見故障演練。