正文共:1555 字 14 图,预估阅读时间:1 分钟
我们前面介绍过如何配置低成本的接入到云资源池,比如使用L2TP VPN(巧用VSR的L2TP VPN功能实现访问云上业务)或SSL VPN(VSR白送的的SSL VPN功能,你要不要?)等。或者使用厂商基于IPsec VPN的SD-WAN解决方案,但是,这又引入了比较多的封装开销(IPsec封装引入了额外的报文开销,具体是多少?)。以世界上最大的运营商云天翼云为例,云主机的公网带宽为36元/M/月,如果加上20 %的封装开销,折合43.2元/M/月;阿里云的公网带宽为80元/M/月,腾讯云为90元/M/月。使用VPN的方式,互联成本可能会超过100元/M/月。
那有没有相对低成本一些的方式呢?
这里简单介绍一下云专线业务。以江苏省为例,在本地直接通过专线接入到资源池的专线交换机上,全程不经过互联网;同时,云主机也无需公网带宽,不用暴露在公网上,既经济又安全。价格方面,我只能说,江苏省内的价格比天翼云的云主机价格要便宜,有需求的可以联系我。
今天主要考虑一种场景,那就是客户侧CE设备和云内的VSR如何配置业务互通。
以上图为例,从逻辑上来看,客户侧CE设备和云内VPC资源VSR进行互通时,中间仅经过一台设备,那就是专线接入交换机MVSW。一般来讲,VPC网段我们都是可以自行修改的,云专线的接入网段我们也是可以自行指定的,所以我们使用图示网段进行互联。
可能的设备配置如下:
CE
#
interface GigabitEthernet0/0
ip address 172.16.1.2 255.255.255.252
#
ip route-static 10.1.1.0 24 172.16.1.1
MVSW
专线交换机一般是多个租户共用的,业务通过VRF进行隔离。
#
ip vpn-instance vpn
route-distinguisher 11:11
#
vlan 172 to 173
#
interface Vlan-interface172
ip binding vpn-instance vpn
ip address 172.16.1.1 255.255.255.252
#
interface Vlan-interface173
ip binding vpn-instance vpn
ip address 10.1.1.10 255.255.255.0
VSR
#
interface GigabitEthernet0/0
ip address 10.1.1.1 255.255.255.0
#
ip route-static 172.16.1.0 30 10.1.1.10可以看到,配置都是比较简单的设备互联配置。但是需要注意,专线交换机一般是不会让用户自行配置的,需要提工单操作,一般就是增加路由信息。
现在看一下业务互访信息。
实际使用中就是这种效果,一共2跳。
我们现在在CE设备下挂一个环回口模拟内网主机网关。
如果要实现互通,就需要在VSR和MVSW上都增加静态路由。
VSR上可以自行添加,一般资源池还可以配置VPC路由。
专线交换机上提交工单之后,运维人员会协助添加静态路由。
此时就实现业务互访了。
接下来我们考虑一种场景,那就是路由条目比较多的情况,我们能不能用动态路由来进行路由学习呢?
肯定是可以的,但是能用的动态路由协议有限。
OSPF(Open Shortest Path First,开放最短路径优先)是基于链路状态的内部网关协议,不能跨设备建立邻居关系;IS-IS(Intermediate System-to-Intermediate System,中间系统到中间系统)也是一种使用SPF(Shortest Path First,最短路径优先)算法进行路由计算的链路状态协议,也不能跨设备建立邻居关系;BGP(Border Gateway Protocol,边界网关协议)是一种既可以用于不同AS(Autonomous System,自治系统)之间,又可以用于同一AS内部的动态路由协议。当BGP运行于同一AS内部时,被称为IBGP(Internal BGP);当BGP运行于不同AS之间时,称为EBGP(External BGP)。
目前看,先用EBGP尝试一下,只需要配置CE和VSR使用不同的AS号就可以了。
VSR
#
bgp 100
router-id 10.1.1.1
peer 172.16.1.2 as-number 200
#
address-family ipv4 unicast
peer 172.16.1.2 enable
CE
#
bgp 200
router-id 172.16.1.2
peer 10.1.1.1 as-number 100
#
address-family ipv4 unicast
peer 10.1.1.1 enable然后我们查看邻居建立状态。
状态一直是Connect,无法建立邻居关系,这是为什么呢?
通过抓包,我们可以看到,当尝试建立EBGP邻居时,ICMP报文中的TTL值默认为1,所以BGP会认为邻居不可达,无法建立邻居关系。
那就换成IBGP试一下。需要注意,BGP路由器上可以同时启动多个BGP进程,每个BGP进程对应一个BGP实例;如果未配置实例BGP实例,则仅能配置一个BGP进程,此时需要调整,需要移除之前的BGP配置。
重新配置CE和VSR使用相同的AS号对接。
VSR
#
bgp 100
router-id 10.1.1.1
peer 172.16.1.2 as-number 100
#
address-family ipv4 unicast
peer 172.16.1.2 enable
CE
#
bgp 100
router-id 172.16.1.2
peer 10.1.1.1 as-number 100
#
address-family ipv4 unicast
peer 10.1.1.1 enable然后,邻居关系就建立起来了。
不过此时还没有BGP路由,我们为VSR新增一个环回口,再将路由引入到BGP中。
#
interface LoopBack1
ip address 192.168.2.1 255.255.255.0
#
bgp 100
#
address-family ipv4 unicast
import-route direct此时可以看到VSR设备已经引入直连路由成功。
然后在CE设备上进行查看,发现成功学习到了两条路由,并且目的路由已经成功添加到系统路由表中。
然后我们来测试一下业务联通性。
业务不通,因为专线交换机上没有对应的路由,不知道怎么转发流量。解决方案也简单,提个工单,补一条明细路由。
ip route-static vpn-instance vpn 192.168.2.0 24 10.1.1.1
然后就能成功互访了,但是动态路由用了个寂寞。
其实要解决也简单,你知道怎么操作吗?
长按二维码
关注我们吧
1801
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
