本文介绍如何组合使用物理专线和云企业网CEN(Cloud Enterprise Network),实现本地数据中心IDC(Internet Data Center)通过BGP主备专线链路上云并和云上专有网络VPC(Virtual Private Cloud)互通。

方案概述

在企业上云过程中,一些企业会将复杂数据库集群、专业设备、高安全要求系统放在本地IDC中,前端应用部署在阿里云上。在这种部署场景下,本地IDC和前端应用交互频繁,通常会对上云链路的时延、可靠性和带宽容量有较高要求。

针对上述网络诉求,阿里云为您提供以下两种解决方案:

两种方案均通过主备物理专线将您本地IDC接入阿里云,在为您提供高可靠,低延迟连接的同时,可以有效避免上云链路单点故障的问题。您可以根据本地IDC侧路由配置情况灵活选择使用静态路由或BGP动态路由上云;同时,云企业网和物理专线均能提供多种带宽规格,满足您对带宽容量的高要求。

场景说明

本文以下图场景为例,为您介绍IDC通过BGP主备专线链路上云方案。某企业在杭州拥有一个IDC,其中部署有数据库集群等高级别业务系统;同时该企业已在阿里云华东1(杭州)地域创建了一个VPC,其中通过云服务器ECS(Elastic Compute Service)等云服务部署了一些应用业务。现企业为实现云上云下平稳互通,计划购买两条物理专线,分别连接到本地IDC不同的CPE(Customer-premisesequipment)设备和边界路由器VBR(Virtual border router)上,然后通过云企业网实现本地IDC和云上VPC的互通。其中两条专线分别为主备链路将本地IDC接入上云,本地IDC侧和VBR之间通过BGP动态路由互通并开启双向转发检测BFD(Bidirectional Forwarding Detection)功能,实现本地IDC与VPC之间路由的快速收敛,提高网络的可用性。 BGP主备专线

准备工作

在您执行本文操作前,请先完成以下准备工作:
  • 您已经部署了专有网络VPC,且已部署了业务应用。具体操作,请参见使用专有网络
  • 您已提交工单申请并获得使用BFD功能的权限。
  • 本文示例中的网段规划如下表所示。您可以自行规划网段,请确保您的网段之间没有重叠。
    机构 网段规划 服务器或客户端地址
    本地IDC 10.1.1.0/24 客户端地址:10.1.1.1
    VPC 192.168.20.0/24 服务器地址:192.168.20.161
    VBR1
    • VLAN:110
    • 阿里云侧IPv4互联IP:172.16.1.2/30
    • 客户侧IPv4互联IP:172.16.1.1/30
    		 不涉及
    VBR2
    • VLAN:120
    • 阿里云侧IPv4互联IP:172.16.2.2/30
    • 客户侧IPv4互联IP:172.16.2.1/30
    		 不涉及

配置流程

BGP主备专线配置步骤

步骤一:创建物理专线

您需要在华东1(杭州)地域申请两条物理专线,与本地CPE1连接的物理专线的名称为leasedline1,与本地CPE2连接的物理专线的名称为leasedline2。具体操作,请参见创建独享专线连接共享合作伙伴专线连接

  • 如果第二个物理专线接口的接入点和第一个物理专线接口的接入点相同,选择第一条专线的专线ID作为冗余物理专线(确保第一条专线的初装费已支付),可以避免两条专线接入同一台物理接入设备。
  • 如果第二个物理专线接口的接入点和第一个物理专线接口的接入点不同,两条线路默认形成冗余链路,不需要再选择物理专线接口。

本示例使用独享专线连接,且两条物理专线的接入点不同。

步骤二:创建VBR

完成以下操作,分别为两条物理专线创建VBR,作为数据从VPC到本地IDC的转发桥梁。

  1. 登录高速通道管理控制台
  2. 在左侧导航栏,单击边界路由器(VBR)
  3. 在顶部菜单栏,选择要创建的VBR的地域。
    本示例选择 华东1(杭州)地域。
  4. 边界路由器(VBR)页面,单击创建边界路由器
  5. 创建边界路由器面板,根据以下信息配置VBR,然后单击确定
    • 账号类型:本示例选择当前账号
    • 名称:本示例输入VBR1。
    • 物理专线接口:选择申请的其中一个专线接口。
    • VLANID:110。
    • 阿里云侧互联IP:172.16.1.2。
    • 客户侧互联IP:172.16.1.1。
    • 子网掩码:255.255.255.252。
  6. 重复上述步骤,为第二条物理专线创建VBR实例。
    配置参数如下:
    • 账号类型:本示例选择当前账号
    • 名称:本示例输入VBR2。
    • 物理专线接口:选择申请的另一个专线接口。
    • VLANID:120。
    • 阿里云侧互联IP:172.16.2.2。
    • 客户侧互联IP:172.16.2.1。
    • 子网掩码:255.255.255.252。

步骤三:加入云企业网

完成物理专线接入后,您需要将物理专线关联的VBR和要互通的VPC加入同一个云企业网中。

  1. 登录云企业网管理控制台
  2. 云企业网实例页面,创建云企业网实例。具体操作,请参见创建云企业网实例
  3. 云企业网实例页面,找到目标云企业网实例,单击操作列下的管理
  4. 单击网络实例管理页签,然后单击加载网络实例加载专线关联的VBR和要互通的VPC。
    本示例中需要将VBR1、VBR2、VPC加载到同一云企业网中。加入后,VPC和VBR实例的路由条目会自动发布到云企业网中,VPC和VBR实例能从云企业网中学习对方的路由。具体操作,请参见 加载网络实例
  5. 如果VPC中存在指向ECS实例、VPN网关、HAVIP等路由条目,请根据连通性需求,在VPC控制台将这些路由发布到云企业网中。
    具体操作,请参见 发布路由到云企业网

步骤四:配置路由

您需要在本地IDC和VBR之间配置BGP,并且您可以在本地IDC侧通过设置AS-Path的长度来确定路由选路的优先级。

  1. 在IDC和VBR之间分别建立起BGP邻居关系并宣告路由。具体操作,请参见配置BGP
    阿里云侧BGP ASN(Autonomous System Number)为45104,可接受本地IDC侧传递2字节或4字节的ASN。
  2. IDC侧配置向阿里云宣告的BGP路由(10.1.1.0/24),并通过设置AS-Path来确定选路权重,实现阿里云到IDC路由的主备模式。

设置CPE1所连接的专线为主链路,CPE2所连接的专线为备份链路。您可以通过设置AS-Path的长度来确定路由选路的优先级。AS-Path长度越短,优先级越高。IDC侧分别在两个CPE的BGP配置如下表所示,具体命令请咨询相应厂商。

配置 CPE1 CPE2
Vlan Tag 110 120
Network 10.1.1.0/24 10.1.1.0/24
BGP ASN 6***3 6***4
Interface IP 172.16.1.1/24 172.16.2.1/24
AS-Path B,A C,B,A
云企业网具备自动学习分发路由的能力,在配置好路由后,云企业网会基于选路权重等信息,将路由同步到云企业网内部,各节点路由学习说明如下。
  • VBR的BGP路由信息
    路由表项 VBR1 VBR2
    目标网段 10.1.1.0/24 10.1.1.0/24
    下一跳 172.16.1.1 172.16.2.1

    如上表所示,在VBR1和VBR2中可以看到从对端邻居学到的路由信息和下一跳。由于VBR已经加载到云企业网中,所以VBR会将从IDC侧学来的BGP路由信息发送到云企业网,包括AS-Path。

  • 全量路由配置说明
    CPE路由配置
    配置 CPE1 CPE2
    Vlan Tag 110 120
    Network 10.1.1.0/24 10.1.1.0/24
    BGP ASN 6***3 6***4
    Interface IP 172.16.1.1/24 172.16.2.1/24
    AS-Path B,A C,B,A
    VBR路由条目
    配置 VBR1 VBR2
    目标网段 10.1.1.0/24 10.1.1.0/24
    下一跳 172.16.1.1 172.16.2.1
    IDC路由条目
    目标网段 192.168.20.0/24
    下一跳
    1. 172.16.1.2
    2. 172.16.2.2
    CEN路由条目
    目标网段 10.1.1.0/24
    下一跳 VBR1

    由于VBR和VPC均已加载到云企业网中,那么从VBR上学来的BGP路由也会发布到云企业网中,云企业网会基于选路权重等信息,将路由同步到云企业网内部。

    两个VBR从IDC侧学习到的BGP路由目标网段一致,但路由权重不同,VBR1作为主链路(AS-Path短),VBR2是备链路(AS-Path长)。云企业网学习到该路由后,会将该路由的属性通知到云企业网中的其他网络实例,例如VPC。从VPC的路由表中就可以看到去往10.1.1.0/24的路由均指向VBR1。

    云企业网也会将云企业网内系统路由发布到BGP中,所以在IDC的BGP路由表中就可以看到学习到的云企业网中的路由信息,并且下一跳分别指向与IDC建立邻居的两个VBR的接口IP。

    同理,如果想从IDC侧设置到阿里云VPC的地址192.168.20.0/24的主备链路,同样可以通过BGP选路属性,在IDC侧分别设置从不同邻居VBR1、VBR2学习到的路由192.168.20.0/24的权重,便可实现从IDC到阿里云的主备选路。

步骤五:配置健康检查

主备物理专线接入时,您需要配置健康检查。健康检查会以您指定的发包时间间隔发送探测报文,当连续发送的所有探测报文(即您指定的探测报文个数)都丢包时,云企业网会主动将流量切换至另一条物理专线。

  1. 返回到云企业网实例页面。
  2. 在左侧导航栏,单击健康检查
  3. 选择VBR的地域,然后单击设置健康检查
  4. 设置健康检查面板,根据以下信息配置健康检查,然后单击确定
    • 云企业网实例:选择VBR实例加载的云企业网实例。
    • 边界路由器(VBR):选择要监控的VBR实例。
    • 源IP:选择自定义源IP,输入所连接的VPC中交换机下的一个空闲IP。
    • 目标IP:输入本地IDC网络设备的接口IP。
    • 发包时间间隔(秒):采用默认值2秒。
    • 探测报文个数(个):采用默认值8个。
  5. 重复上述步骤,为第二个VBR配置健康检查。

步骤六:VBR开启BFD

通过在VBR上配置BFD,实现路由的快速收敛。

  1. 登录高速通道管理控制台
  2. 在左侧导航栏,单击边界路由器(VBR)
  3. 边界路由器(VBR)页面,单击目标VBR实例操作列下的编辑
  4. 修改边界路由器面板,根据以下信息设置BFD参数,然后单击确定
    • 发送间隔:BFD报文的发送间隔,单位:ms。本示例使用默认值1000ms。
    • 接收间隔:BFD报文的接收间隔,单位:ms。本示例使用默认值1000ms。
    • 检测时间倍数:指接收方允许发送方发送报文的最大连接丢包个数。本示例使用默认值3。
  5. 返回边界路由器(VBR)页面,单击目标VBR实例ID。
  6. 在VBR实例详情页面,单击BGP邻居页签。
  7. 单击目标BGP邻居操作列下的编辑
  8. 修改BGP邻居面板,选中启用BFD复选框并配置BFD跳数,然后单击确定
    说明 BFD功能支持自定义单跳或多跳会话。您可以根据真实的物理链路因素来配置不同的跳数。

步骤七:连通性测试

完成以下操作,测试主备物理专线的连通性。
说明 在您执行以下步骤前,请您先了解您VPC中的ECS实例所应用的安全组规则,确保安全组规则允许本地IDC访问VPC中的ECS实例。具体操作,请参见 查询安全组规则
  1. 在本地IDC下,打开客户端的命令行窗口。
  2. 执行ping命令,ping云上VPC 192.168.20.0/24网段下的ECS实例IP地址,如果能接受到回复报文,则表示网络能正常连通。
    经验证,本地IDC可以与VPC正常通信。 专线静态主备-ping
  3. 在本地IDC网关设备上,关闭一个物理专线端口(如VBR1到CPE1),再次执行ping命令,测试本地IDC和VPC的连通性。
    经验证,本地IDC和VPC仍可以正常通信。 专线静态主备-ping
  4. 您也可以执行tracert命令,通过路由跟踪可以查看到云企业网会对路由进行切换,本地IDC通过VBR2和云上VPC互通。
    不同的设备,路由追踪命令会有所不同,具体请咨询相关设备厂商。