IDC通过BGP主备专线链路上云方案

重要

本文中含有需要您注意的重要提示信息,忽略该信息可能对您的业务造成影响,请务必仔细阅读。

本文介绍如何组合使用物理专线和云企业网CEN(Cloud Enterprise Network),实现本地数据中心IDC(Internet Data Center)通过BGP主备专线链路上云并和云上专有网络VPC(Virtual Private Cloud)互通。

方案概述

在企业上云过程中,一些企业会将复杂数据库集群、专业设备、高安全要求系统放在本地IDC中,前端应用部署在阿里云上。在这种部署场景下,本地IDC和前端应用交互频繁,通常会对上云链路的时延、可靠性和带宽容量有较高要求。

针对上述网络诉求,阿里云为您提供以下两种解决方案:

两种方案均通过主备物理专线将您本地IDC接入阿里云,在为您提供高可靠,低延迟连接的同时,可以有效避免上云链路单点故障的问题。您可以根据本地IDC侧路由配置情况灵活选择使用静态路由或BGP动态路由上云;同时,云企业网和物理专线均能提供多种带宽规格,满足您对带宽容量的高要求。

场景说明

本文以下图场景为例,为您介绍IDC通过BGP主备专线链路上云方案。某企业在上海拥有一个IDC,其中部署有数据库集群等高级别业务系统;同时该企业已在阿里云华东2(上海)地域创建了一个VPC,其中通过云服务器ECS(Elastic Compute Service)等云服务部署了一些应用业务。现企业为实现云上云下平稳互通,需要购买两条物理专线,分别连接到本地IDC不同的CPE(Customer-premisesequipment)设备和边界路由器VBR(Virtual border router)上,然后通过云企业网实现本地IDC和云上VPC的互通。其中两条专线分别为主备链路将本地IDC接入上云,本地IDC侧和VBR之间通过BGP动态路由互通并开启双向转发检测BFD(Bidirectional Forwarding Detection)功能,实现本地IDC与VPC之间路由的快速收敛,提高网络的可用性。BGP主备专线

准备工作

在您执行本文操作前,请先完成以下准备工作:

  • 您已经注册了阿里云账号。如还未注册,请先完成账号注册。更多信息,请参见账号注册

  • 您已经在阿里云华东2(上海)地域创建了一个VPC,且VPC中使用云服务器ECS(Elastic Compute Service)等云资源部署了相关业务。具体操作,请参见搭建IPv4专有网络

    说明

    使用企业版转发路由器创建VPC连接前,请确保VPC实例在企业版转发路由器支持的可用区拥有至少一个交换机实例,且该交换机实例拥有至少一个空闲的IP地址。本文创建的转发路由器实例在华东2(上海)地域,支持的可用区为上海可用区F和上海可用区G。

  • 您已经了解VPC中ECS实例所应用的安全组规则,并确保安全组规则允许本地IDC与云上ECS实例互相访问。具体操作,请参见查询安全组规则添加安全组规则

  • 您已经创建了云企业网。具体操作,请参见创建云企业网实例

  • 使用企业版转发路由器创建VPC连接前,请确保VPC实例在企业版转发路由器支持的可用区拥有足够的交换机实例,且每个交换机实例需拥有至少一个空闲的IP地址。如何创建交换机实例,请参见创建交换机

    • 对于企业版转发路由器仅支持一个可用区的地域(例如华东5(南京-本地地域)地域),VPC实例需在当前可用区下拥有至少一个交换机实例。

    • 对于企业版转发路由器支持多个可用区的地域(例如华东2(上海)地域),VPC实例需在这些可用区中拥有至少2个交换机实例,2个交换机实例需位于不同的可用区。

  • 本文示例中的网段规划如下表所示。您可以自行规划网段,请确保您的网段之间没有重叠。

    机构

    网段规划

    服务器或客户端地址

    本地IDC

    10.1.1.0/24

    客户端地址:10.1.1.1

    VPC

    192.168.20.0/24

    服务器地址:192.168.20.161

    VBR1

    • VLAN:110

    • 阿里云侧IPv4互联IP:172.16.1.2/30

    • 客户侧IPv4互联IP:172.16.1.1/30

    不涉及

    VBR2

    • VLAN:120

    • 阿里云侧IPv4互联IP:172.16.2.2/30

    • 客户侧IPv4互联IP:172.16.2.1/30

    不涉及

配置流程

BGP主备专线配置步骤

步骤一:创建两条物理专线连接

本文使用独享专线方式自主创建两条物理专线连接。具体操作,请参见创建和管理独享专线连接

在创建物理专线2时需要根据物理专线的接入点进行不同的配置:

  • 如果物理专线2的接入点和物理专线1的接入点相同,创建物理专线2时,选择冗余专线 ID为物理专线1的ID,可以避免两条物理专线接入同一台物理接入设备。

  • 如果物理专线2的接入点和物理专线1的接入点不同,两条物理专线默认形成冗余链路。创建物理专线2时,不需要选择冗余专线 ID

    本文中物理专线2的接入点和物理专线1的接入点不同。

步骤二:创建VBR

完成以下操作,分别为两条物理专线创建VBR,作为数据从VPC到本地IDC的转发桥梁。

  1. 登录高速通道管理控制台

  2. 在顶部菜单栏,选择目标地域,然后在左侧导航栏,单击边界路由器(VBR)

  3. 创建边界路由器面板,配置以下参数信息,然后单击确定

    配置

    说明

    账号类型

    创建VBR的账号类型。

    本文选择当前账号

    名称

    设置VBR的名称。

    本文输入VBR1

    物理专线接口

    选择独享专线,然后选择创建的物理专线1接口。

    VLAN ID

    输入VBR的VLAN ID。

    本文输入110

    设置VBR带宽值

    设置VBR的带宽。

    本文设置为200Mb

    阿里云侧IPv4互联IP

    输入VPC到本地IDC的路由网关IPv4地址。

    本文输入172.16.1.2

    客户侧IPv4互联IP

    输入本地IDC到VPC的路由网关IPv4地址。

    本文输入172.16.1.1

    IPv4子网掩码

    阿里云侧和客户侧IPv4地址的子网掩码。

    本文输入255.255.255.252

  4. 重复上述步骤,为第二条物理专线创建VBR实例。

    配置参数如下:

    配置

    说明

    账号类型

    创建VBR的账号类型。

    本文选择当前账号

    名称

    设置VBR的名称。

    本文输入VBR2

    物理专线接口

    选择独享专线,然后选择创建的物理专线2接口。

    VLAN ID

    输入VBR的VLAN ID。

    本文输入120

    设置VBR带宽值

    设置VBR的带宽。

    本文设置为200Mb

    阿里云侧IPv4互联IP

    输入VPC到本地IDC的路由网关IPv4地址。

    本文输入172.16.2.2

    客户侧IPv4互联IP

    输入本地IDC到VPC的路由网关IPv4地址。

    本文输入172.16.2.1

    IPv4子网掩码

    阿里云侧和客户侧IPv4地址的子网掩码。

    本文输入255.255.255.252

步骤三:连接VPC实例和VBR实例

完成物理专线接入后,您需要在华东2(上海)地域的转发路由器中创建与物理专线关联的VBR连接和需要互通的VPC连接,实现本地IDC和VPC的私网互通。

  1. 登录云企业网管理控制台
  2. 云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
  3. 基本信息 > 转发路由器页签,找到目标地域的转发路由器实例,在操作列单击创建网络实例连接

  4. 连接网络实例页面,配置以下参数信息创建VPC连接,然后单击确定创建

    说明

    在初次执行此操作时,系统会自动为您创建一个名称为AliyunServiceRoleForCEN的服务关联角色。该角色允许转发路由器实例在VPC的交换机上创建ENI。更多信息,请参见AliyunServiceRoleForCEN

    参数

    配置

    实例类型

    选择待连接的网络实例类型。

    本文选择专有网络(VPC)

    地域

    选择待连接的网络实例所在的地域。

    本文选择华东2(上海)

    转发路由器

    系统自动显示当前地域下已创建的转发路由器实例。

    资源归属UID

    选择待连接的网络实例所属的账号类型。

    本文选择同账号

    付费方式

    转发路由器的计费模式默认为按量付费

    按量付费的计费规则,请参见计费说明

    网络实例

    选择待连接的VPC实例ID。

    本文选择已创建的VPC。

    交换机

    在转发路由器支持的可用区选择至少2个交换机实例。

    高级配置

    系统默认为您选中三种高级功能,即自动关联至转发路由器的默认路由表自动传播系统路由至转发路由器的默认路由表自动为VPC的所有路由表配置指向转发路由器的路由

    本文保持默认配置。

  5. 连接网络实例页面,单击继续创建连接

  6. 连接网络实例页面,配置以下参数信息创建VBR1连接,然后单击确定创建

    参数

    配置

    实例类型

    本文选择边界路由器(VBR)

    地域

    选择待连接的网络实例所在的地域。

    本文选择华东2(上海)地域。

    转发路由器

    系统自动显示当前地域已创建的转发路由器实例。

    资源归属UID

    选择待连接的网络实例所属的账号类型。

    本文使用默认值同账号

    连接名称

    输入VBR实例连接名称。

    本文输入VBR-test

    网络实例

    选择待连接的VBR实例ID。

    本文选择已创建的VBR1实例。

    高级配置

    系统默认为您选中三种高级功能,即自动关联至转发路由器的默认路由表自动传播系统路由至转发路由器的默认路由表自动为VPC的所有路由表配置指向转发路由器的路由

    本文保持默认配置。

  7. 重复步骤5步骤6创建VBR2连接。

    网络连接创建完成后,您可以在地域内连接管理页签查看VPC连接和VBR连接的信息。具体操作,请参见查看网络实例连接

步骤四:配置路由

您需要在本地IDC和VBR之间配置BGP,并且您可以在本地IDC侧通过设置AS-Path的长度来确定路由选路的优先级。

  1. 在IDC和VBR之间分别建立起BGP邻居关系并宣告路由。具体操作,请参见配置和管理BGP

    阿里云侧BGP ASN(Autonomous System Number)为45104,可接受本地IDC侧传递2字节或4字节的ASN。

  2. 在IDC侧配置向阿里云宣告的BGP路由(10.1.1.0/24),并通过设置AS-Path来确定选路权重,实现阿里云到IDC路由的主备模式。

设置CPE1所连接的专线为主链路,CPE2所连接的专线为备份链路。您可以通过设置AS-Path的长度来确定路由选路的优先级。AS-Path长度越短,优先级越高。IDC侧分别在两个CPE的BGP配置如下表所示,具体命令请咨询相应厂商。

配置

CPE1

CPE2

Vlan Tag

110

120

Network

10.1.1.0/24

10.1.1.0/24

BGP ASN

6***3

6***4

Interface IP

172.16.1.1/24

172.16.2.1/24

AS-Path

B,A

C,B,A

云企业网的转发路由器具备自动学习分发路由的能力,在配置好路由后,转发路由器会基于选路权重等信息,将路由同步到其内部,各节点路由学习说明如下。

  • VBR的BGP路由信息

    路由表项

    VBR1

    VBR2

    目标网段

    10.1.1.0/24

    10.1.1.0/24

    下一跳

    172.16.1.1

    172.16.2.1

    如上表所示,在VBR1和VBR2中可以看到从对端邻居学到的路由信息和下一跳。由于在转发路由器中创建了VBR连接,所以VBR会将从IDC侧学来的BGP路由信息发送到转发路由器,包括AS-Path。

  • 全量路由配置说明

    CPE路由配置

    配置

    CPE1

    CPE2

    Vlan Tag

    110

    120

    Network

    10.1.1.0/24

    10.1.1.0/24

    BGP ASN

    6***3

    6***4

    Interface IP

    172.16.1.1/24

    172.16.2.1/24

    AS-Path

    B,A

    C,B,A

    VBR路由条目

    配置

    VBR1

    VBR2

    目标网段

    10.1.1.0/24

    10.1.1.0/24

    下一跳

    172.16.1.1

    172.16.2.1

    IDC路由条目

    目标网段

    192.168.20.0/24

    下一跳

    1. 172.16.1.2

    2. 172.16.2.2

    转发路由器路由条目

    目标网段

    10.1.1.0/24

    下一跳

    VBR1

    由于在转发路由器中已经创建VBR连接和VPC连接,那么从VBR学习的BGP路由也会发布到转发路由器中,转发路由器会基于选路权重等信息,将路由同步到转发路由器内部。

    两个VBR从IDC侧学习到的BGP路由目标网段一致,但路由权重不同,VBR1作为主链路(AS-Path短),VBR2是备链路(AS-Path长)。转发路由器学习到该路由后,会将该路由的属性通知到转发路由器的其他网络实例,例如VPC。从VPC的路由表中就可以看到去往10.1.1.0/24的路由均指向VBR1。

    转发路由器也会将转发路由器内系统路由发布到BGP中,所以在IDC的BGP路由表中就可以看到学习到的转发路由器中的路由信息,并且下一跳分别指向与IDC建立邻居的两个VBR的接口IP。

    同理,如果想从IDC侧设置到阿里云VPC的地址192.168.20.0/24的主备链路,同样可以通过BGP选路属性,在IDC侧分别设置从不同邻居VBR1、VBR2学习到的路由192.168.20.0/24的权重,便可实现从IDC到阿里云的主备选路。

步骤五:配置健康检查

主备物理专线接入时,您需要配置健康检查。健康检查会以您指定的发包时间间隔发送探测报文,当连续发送的所有探测报文(即您指定的探测报文个数)都丢包时,云企业网会主动将流量切换至另一条物理专线。

  1. 登录云企业网管理控制台

  2. 在左侧导航栏,单击健康检查

  3. 健康检查页面,选择VBR实例所属的地域,然后单击设置健康检查

    本文选择VBR1实例所属的地域华东2(上海)

  4. 设置健康检查对话框,配置以下参数,然后单击确定

    配置

    说明

    云企业网实例

    选择已加载VBR实例的云企业网实例。

    边界路由器(VBR)

    选择要监控的VBR实例。

    本文选择VBR1。

    源IP

    源IP地址可通过以下两种方式进行配置:

    • 自动生成源IP(推荐):系统自动为您分配100.96.0.0/16网段内的IP地址。

      说明

      若您选择自动生成的IP地址且在对端配置过ACL策略,请修改ACL策略允许此网段通过, 否则将会出现健康检查失败的情况。 

    • 自定义源IP:源IP地址可以是10.0.0.0/8、192.168.0.0/16、172.16.0.0/12三个网段内任意一个没有被使用的IP地址。但不能与云企业网中要互通的地址冲突,也不能和边界路由器实例的阿里云侧、客户侧IP地址冲突。

    目标IP

    目标IP地址为目标VBR实例客户侧IP地址。

    发包时间间隔(秒)

    指定健康检查时发送连续探测报文的时间间隔。单位:秒。

    默认值:2。取值范围:2~3。

    探测报文个数(个)

    指定健康检查时发送探测报文的个数。单位:个。

    默认值:8。取值范围:3~8。

    切换路由

    是否开启健康检查的路由切换功能。

    系统默认选择,即开启健康检查的路由切换功能。健康检查探测到物理专线连接故障时,如果云企业网实例中存在冗余的路由,健康检查则会立刻触发路由切换使用可用链路。

    若您取消选中,则表示不开启健康检查的路由切换功能,健康检查仅执行链路探测功能。若健康检查探测到物理专线连接故障,则不会触发路由切换。

    警告

    若您选择关闭本功能,请确保您有其他方式保证链路的冗余性,否则当物理专线连接故障后,会导致网络中断。

    说明

    健康检查会以您指定的发包时间间隔发送探测报文,当连续发送的所有探测报文(即您指定的探测报文个数)都丢包时,则判断健康检查失败。如果健康检查失败,请检查您的物理专线连接是否正常。具体操作,请参见故障排查

  5. 重复步骤3步骤4,为VBR2配置健康检查。

步骤六:VBR开启BFD

通过在VBR上配置BFD,实现路由的快速收敛。

  1. 登录高速通道管理控制台

  2. 在顶部菜单栏,选择目标地域,然后在左侧导航栏,单击边界路由器(VBR)

  3. 边界路由器(VBR)页面,在目标VBR实例操作列单击编辑

  4. 修改边界路由器面板,设置BFD参数信息,然后单击确定

    此处仅列出BFD相关参数,其余参数保持不变。

    配置

    说明

    发送间隔

    BFD报文的发送间隔,单位:ms。

    本文使用默认值1000ms。

    接收间隔

    BFD报文的接收间隔,单位:ms。

    本文使用默认值1000ms。

    检测时间倍数

    指接收方允许发送方发送报文的最大连接丢包个数。

    本文使用默认值3

  5. 返回边界路由器(VBR)页面,单击目标VBR实例ID。

  6. 在VBR实例详情页面,单击BGP邻居页签。

  7. 在目标BGP邻居操作列,单击编辑

  8. 编辑BGP邻居面板,选中启用BFD复选框并配置BFD跳数,然后单击确定

    说明

    BFD功能支持自定义单跳或多跳会话。您可以根据真实的物理链路因素来配置不同的跳数。

步骤七:连通性测试

完成以下操作,测试主备物理专线的连通性。

说明 在您执行以下步骤前,请您先了解您VPC中的ECS实例所应用的安全组规则,确保安全组规则允许本地IDC访问VPC中的ECS实例。具体操作,请参见查询安全组规则
  1. 在本地IDC下,打开客户端的命令行窗口。
  2. 执行ping命令,ping云上VPC 192.168.20.0/24网段下的ECS实例IP地址,如果能接受到回复报文,则表示网络能正常连通。
    经验证,本地IDC可以与VPC正常通信。专线静态主备-ping
  3. 在本地IDC网关设备上,关闭一个物理专线端口(如VBR1到CPE1),再次执行ping命令,测试本地IDC和VPC的连通性。
    经验证,本地IDC和VPC仍可以正常通信。专线静态主备-ping
  4. 您也可以执行tracert命令,通过路由跟踪可以查看到云企业网会对路由进行切换,本地IDC通过VBR2和云上VPC互通。
    不同的设备,路由追踪命令会有所不同,具体请咨询相关设备厂商。