文档首页/ 虚拟专用网络 VPN/ 最佳实践/ 站点入云VPN企业版/ 通过企业路由器构建DC/VPN双链路主备混合云组网/ 组网和资源规划
更新时间:2024-07-19 GMT+08:00
查看PDF
分享

组网和资源规划

通过企业路由器构建DC/VPN双链路主备混合云组网,您需要规划资源和组网,本示例中为您详细介绍资源和组网情况。
  • 网络规划说明:规划VPC及其子网、DC、VPN和ER的网段、路由等。
  • 资源规划说明:规划云上资源的数量、名称以及主要参数等信息,云上资源包括VPC、DC、VPN以及ER等。

网络规划说明

DC/VPN双链路主备混合云组网规划如图1所示,将VPC、DC和VPN分别接入ER中,组网规划说明如表2所示。

图1 DC/VPN双链路主备混合云组网规划
DC和VPN互为主备网络链路,在DC网络链路正常的情况下,流量优选云专线DC。
  • 在ER路由表中只显示优选路由,由于VGW连接(DC)路由的优先级高于VPN连接,因此ER路由表中不显示VPN连接的路由。
  • 云上VPC和线下IDC通信时,默认使用DC这条网络链路,本示例的网络流量路径说明请参见表1
表1 网络流量路径说明

路径

说明

请求路径:VPC1→线下IDC
  1. 在VPC1路由表中,通过下一跳为ER的路由将流量转送到ER。
  2. 在ER路由表中,通过下一跳为VGW连接的路由将流量转送到虚拟网关。
  3. 虚拟网关连接虚拟接口,通过虚拟接口将流量从远端网关转送到物理专线。
  4. 通过物理专线将流量送达线下IDC。

响应路径:线下IDC→VPC1
  1. 通过物理专线将流量转送到虚拟接口。
  2. 虚拟接口连接虚拟网关,通过虚拟接口将流量从本端网关转送到虚拟网关。
  3. 通过虚拟网关将流量转送到ER。
  4. 在ER路由表中,通过下一跳为VPC1连接的路由将流量送达VPC1。
表2 DC/VPN双链路互备混合云组网规划说明

资源

说明

VPC
业务VPC,实际运行客户业务的VPC,本示例中为VPC1,具体说明如下:
  • VPC网段与客户IDC侧网段不能重复。
  • VPC有一个默认路由表。
  • VPC默认路由表中的路由说明如下:
    • local:表示VPC本地IPV4的默认路由条目,用于VPC内子网通信,系统自动配置。
    • ER:表示将VPC子网流量转发至ER,此处目的地址配置为IDC的子网网段,路由信息如表3所示。

VPN网关使用的子网,建议您创建一个新的VPC,并从中分配子网。

您在创建VPN网关时,需要填写该子网网段,VPN网关使用的子网不能与VPC内已有的子网网段重叠。

DC
  • 1个物理连接:需要运营商施工搭建连通华为云和线下IDC的物理专线。
  • 1个虚拟网关:将虚拟网关接入ER中,即表示将“虚拟网关(VGW)”连接添加到ER。
  • 1个虚拟接口:连接虚拟网关和物理连接。

VPN
  • 1个VPN网关:将VPN接入ER中,即表示将“VPN网关(VPN)”连接添加到ER。
  • 1个对端网关:用户IDC侧的对端网关。
  • 2条VPN连接:连接VPN网关和对端网关,两条VPN连接互为主备链路。

ER
开启“默认路由表关联”“默认路由表传播”功能,添加完连接后,系统会自动执行以下配置:
  • VPC:
    • 将1个“虚拟私有云(VPC)”连接关联至ER默认路由表。
    • 在默认路由表中创建“虚拟私有云(VPC)”连接的传播,路由自动学习VPC网段,路由信息如表4所示。
  • DC:
    • 将1个“虚拟网关(VGW)”连接关联至ER默认路由表。
    • 在默认路由表中创建“虚拟网关(VGW)”连接的传播,路由自动学习DC侧的所有路由信息,路由信息如表4所示。
  • VPN:
    • 将1个“VPN网关(VPN)”连接关联至ER默认路由表。
    • 在默认路由表中创建“VPN网关(VPN)”连接的传播,路由自动学习VPN侧的所有路由信息,路由信息如表4所示。

ECS

1个ECS位于业务VPC内,本示例用该ECS来验证云上和线下IDC的网络通信情况。

如果您有多台ECS,并且这些ECS位于不同的安全组,需要在安全组中添加规则放通网络。
表3 VPC路由表

目的地址

下一跳

路由类型

192.168.3.0/24

企业路由器

静态路由:自定义
  • 如果您在创建连接时开启“配置连接侧路由”选项,则不用手动在VPC路由表中配置静态路由,系统会在VPC的所有路由表中自动添加指向ER的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。
  • 如果VPC路由表中的路由与这三个固定网段冲突,则会添加失败。此时建议您不要开启“配置连接侧路由”选项,并在连接创建完成后,手动添加路由。
  • 除了系统自动添加的3个VPC固定网段,您还需要在VPC路由表中添加目的地址为IDC侧网段,下一跳指向ER的路由。
表4 ER路由表

目的地址

下一跳

路由类型

VPC1网段:172.16.0.0/16

VPC1连接:er-attach-01

传播路由

IDC侧网段:192.168.3.0/24

VGW连接:vgw-demo

传播路由

IDC侧网段:192.168.3.0/24

VPN连接:vpngw-demo

传播路由
  • 当两条路由功能一样时,ER路由表中只会显示优选路由。当DC和VPN网络链路均正常时,由于VGW连接和VPN连接的传播路由均指向线下IDC,因此只能在ER路由表中看到优先级较高的VGW连接的路由,暂时不支持查看ER路由中VPN连接的所有路由(包括未优选的路由)。
  • 当DC出现故障,网络链路切换到VPN时,此时通过管理控制台,可以在ER路由表中看到VPN连接的传播路由。

资源规划说明

企业路由器ER、云专线DC、虚拟专用网络VPN、虚拟私有云VPC、弹性云服务器ECS只要位于同一个区域内即可,可用区可以任意选择,不用保持一致。

以下资源规划详情仅为示例,您可以根据需要自行修改。

表5 DC/VPN双链路互备混合云组网资源规划总体说明

资源类型

资源数量

说明

VPC

2
业务VPC,实际运行客户业务的VPC,需要接入ER中。
  • VPC名称:请根据实际情况填写,本示例为vpc-for-er。
  • IPv4网段:VPC网段与客户IDC侧网段不能重复,请根据实际情况填写,本示例为172.16.0.0/16。
  • 子网名称:请根据实际情况填写,本示例为subnet-for-er。
  • 子网IPv4网段:VPC子网网段与客户IDC侧子网网段不能重复,请根据实际情况填写,本示例为172.16.0.0/24。

VPN网关使用的VPC,需要从中分配一个子网提供给VPN网关使用。

  • VPC名称:请根据实际情况填写,本示例为vpc-for-vpn。
  • IPv4网段:请根据实际情况填写,本示例为10.0.0.0/16。
  • 子网名称:您创建VPC时,必须创建一个默认子网,请根据实际情况填写,本示例为subnet-01。
  • 子网IPv4网段:默认子网在本示例中不使用,请根据实际情况填写,本示例为10.0.0.0/24。
须知:

您在创建VPN网关时,“虚拟私有云”需要选择该VPC,“互联子网”填写该VPC下的网段,请确保选择的互联子网存在4个及以上可分配的IP地址。

ER

1
  • 名称:请根据实际情况填写,本示例为er-test-01。
  • ASN:此处AS号不能和线下IDC的AS号一样,本示例中保持默认值64512。
  • 默认路由表关联:开启
  • 默认路由表传播:开启
  • 自动接受共享连接:请根据实际情况选择,本示例选择“开启”。
  • 连接,本示例需要在企业路由器中添加3个连接:
    • VPC连接:er-attach-VPC
    • VGW连接:er-attach-VGW
    • VPN连接:er-attach-VPN

DC

1

物理连接:请根据实际需求创建。
虚拟网关
  • 名称:请根据实际情况填写,本示例为vgw-demo。
  • 关联模式:请选择“企业路由器”
  • 企业路由器:选择您的企业路由器,本示例为er-test-01。
  • BGP ASN:此处AS号和企业路由器的AS号一样或者不一样均可,本示例中和ER的AS号一致,保持默认值64512。
虚拟接口
  • 名称:请根据实际情况填写,本示例vif-demo。
  • 虚拟网关:选择您的虚拟网关,本示例为vgw-demo。
  • 本端网关:请根据实际情况填写,本示例为10.0.0.1/30。
  • 远端网关:请根据实际情况填写,本示例为10.0.0.2/30。
  • 远端子网:请根据实际情况填写,本示例为192.168.3.0/24。
  • 路由模式:请选择“BGP”
  • BGP邻居AS号:此处为线下IDC侧的AS号,不能和云上虚拟网关的AS号一样,本示例为65525。

VPN

1
VPN网关
  • 名称:请根据实际情况填写,本示例为vpngw-demo。
  • 关联模式:请选择“企业路由器”
  • 企业路由器:选择您的企业路由器,本示例为er-test-01。
  • BGP ASN:由于DC和VPN为双链路互备,此处AS号和DC虚拟网关的AS号必须一样,本示例为64512。
  • 虚拟私有云:选择您的虚拟私有云,本示例为vpc-for-vpn。
  • 互联子网:用于VPN网关和VPC通信,请确保选择的互联子网存在4个及以上可分配的IP地址。请根据实际情况填写,本示例为10.0.5.0/24。

对端网关

  • 名称:请根据实际情况填写,本示例为cgw-demo。
  • 路由模式:请选择“动态BGP”
  • BGP ASN:此处为线下IDC侧的AS号,由于DC和VPN为双链路互备,该AS号和DC虚拟接口处设置的AS号必须一样,本示例为65525。

2条VPN连接,互为主备:

  • 名称:请根据实际情况填写,本示例中,主VPN连接为vpn-demo-01,备VPN连接为vpn-demo-02。
  • VPN网关:选择您的VPN网关,本示例为vpngw-demo。
  • 公网IP:请根据实际情况选择,主VPN连接选择主EIP,备VPN连接选择备EIP。
  • 连接模式:请选择“路由模式”
  • 对端网关:选择您的对端网关,本示例为cgw-demo。
  • 接口分配方式:本示例选择“自动分配”
  • 路由模式:请选择“BGP”

ECS

1
  • 名称:根据实际情况填写,本示例为ecs-demo。
  • 镜像:请根据实际情况选择,本示例为公共镜像(CentOS 8.2 64bit)。
  • 网络:
    • 虚拟私有云:选择您的虚拟私有云,本示例为vpc-for-er。
    • 子网:选择子网,本示例为subnet-for-er。
  • 安全组:请根据实际情况选择,本示例安全组模板选择“通用Web服务器”,名称为sg-demo。
  • 私有IP地址:172.16.1.137
  • 由于DC和VPN是主备链路,为了防止网络环路,DC虚拟网关和VPN网关的AS号必须保持一致,本示例为64512。
  • ER的AS号和DC、VPN的一样或者不一样均可,本示例为64512。
  • 线下IDC侧的AS号,不能和云上服务的AS号一样,请根据客户的实际情况填写,本示例为65525。