DC/VPN双链路互备混合云组网构建步骤
步骤一:创建云服务资源(业务VPC、ECS、ER)
本步骤指导您创建业务VPC、ECS以及ER服务资源,云服务资源的总体规划说明,请参见表5。
- 创建企业路由器。
创建企业路由器,具体方法请参见创建企业路由器。
- 创建业务VPC。
创建VPC及子网,具体方法请参见创建虚拟私有云和子网。
- 创建业务ECS。
本示例中1个业务ECS主要用于验证云上VPC和线下IDC通信使用,数量和配置仅供参考,请您根据实际需要创建业务ECS。
创建ECS,具体方法请参见自定义购买ECS。
步骤二:在企业路由器中添加并配置DGW连接
本示例中,云专线DC资源的总体规划说明,请参见表5。
- 创建物理连接。
创建方法,具体请参见物理连接接入。
- 在企业路由器中添加“全域接入网关(DGW)”连接。
- 在IDC侧的网络设备上,配置网络参数。
由于组网为DC和VPN的双链路互备,因此配置路由时,需要注意以下方面:
- DC和VPN的路由类型保持一致,构造双链路互备需要配置为BGP路由。
- 配置DC和VPN路由的主备优先级,确保DC的优先级高于VPN。
- DC和VPN网络链路的断连感知时间建议和云上网络保持一致。
步骤三:在企业路由器中添加并配置VPC连接
- 将业务VPC接入企业路由器中。
添加连接时,不开启“配置连接侧路由”功能。
开启该功能后,会在VPC路由表中自动添加指向ER的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。本示例中,需要在VPC路由表中手动配置指向ER的路由,目的地址为IDC侧的网段。
添加“虚拟私有云(VPC)”连接,具体方法请参见在企业路由器中添加VPC连接。
- 检查ER路由表中指向VPC的路由。
本示例中,ER开启了“默认路由表关联”和“默认路由表传播”功能,那么在ER中添加“虚拟私有云(VPC)”连接时,系统会自动添加ER指向VPC的路由,无需手动添加,只需要检查即可。
查看ER路由,具体方法请参见查看路由。
- 在业务VPC的路由表中,添加指向ER的路由。
VPC路由规划详情,请参见表3。
配置路由信息,具体方法请参见在VPC路由表中配置路由。
步骤四:验证DC链路的通信情况
- 登录弹性云服务器ecs-demo。
弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。
本示例是通过管理控制台远程登录(VNC方式)。
- 执行以下命令,验证业务VPC与IDC是否可以通过ER通信。
ping IDC侧任意一个IP地址
命令示例:
ping 192.168.3.10
回显类似如下信息,表示vpc-for-er与IDC可以通过ER通信。[root@ecs-demo ~]# ping 192.168.3.10 PING 192.168.3.10 (192.168.3.10) 56(84) bytes of data. 64 bytes from 192.168.3.10: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 192.168.3.10: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 192.168.3.10: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 192.168.3.10: icmp_seq=4 ttl=64 time=0.372 ms ... --- 192.168.3.10 ping statistics ---
步骤五:在企业路由器中添加并配置VPN连接
本示例中,虚拟专用网络VPN、VPN网关使用的VPC资源的总体规划说明,请参见表5。
- 创建1个VPN网关使用的VPC。
创建VPC及子网,具体方法请参见创建虚拟私有云和子网。
您在创建VPN网关时,“虚拟私有云”需要选择该VPC,“互联子网”填写该VPC下未被占用的网段,该网段不能与VPC内已有的子网网段重叠。本示例中互联子网网段不能与默认子网subnet-01一样。
- 创建VPN网关,即在企业路由器中添加“VPN网关(VPN)”连接。
- 创建对端网关。
具体方法请参见创建对端网关。
- 分别创建两条VPN连接,用作主备。
- 创建主VPN连接,请参见创建第一条VPN连接。
- 创建备VPN连接,请参见创建第二条VPN连接。
- 在IDC侧的网络设备上,配置网络参数。
由于组网为DC和VPN的双链路互备,因此配置路由时,需要注意以下方面:
- DC和VPN的路由类型保持一致,构造双链路互备需要配置为BGP路由。
- 配置DC和VPN路由的主备优先级,确保DC的优先级高于VPN。
- DC和VPN网络链路的断连感知时间建议和云上网络保持一致。
步骤六:验证VPN链路的通信情况
由于VPN链路为备选,如果您需要验证VPN链路通信情况,需要先构造DC主链路故障,然后验证备VPN链路的通信情况。
- 构造DC主链路的故障,确保业务VPC已无法通过该链路和IDC通信。
请您务必在没有业务的情况下,构造DC链路故障,以免对业务造成影响。
- 登录弹性云服务器ecs-demo。
弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。
本示例是通过管理控制台远程登录(VNC方式)。
- 执行以下命令,验证业务VPC与IDC是否可以通过ER通信。
ping IDC侧任意一个IP地址
命令示例:
ping 192.168.3.10
回显类似如下信息,表示vpc-for-er与IDC可以通过ER通信。[root@ecs-demo ~]# ping 192.168.3.10 PING 192.168.3.10 (192.168.3.10) 56(84) bytes of data. 64 bytes from 192.168.3.10: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 192.168.3.10: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 192.168.3.10: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 192.168.3.10: icmp_seq=4 ttl=64 time=0.372 ms ... --- 192.168.3.10 ping statistics ---