You need to enable JavaScript to run this app.
导航
专线连接
  • 文档首页
    • /
  • 专线连接

本地IDC通过双线路主备冗余专线静态路由访问云上VPC

最近更新时间2024.04.10 17:20:41

首次发布时间2022.11.30 08:01:37

我的收藏

为避免单线故障提高业务容灾性能,通常情况下使用两条物理专线以主备冗余的形式,连接本地数据中心(IDC)和私有网络(VPC)。本文为您介绍在静态路由模式下如何联动NQA检测配置双线路主备冗余专线。

背景介绍

某企业需要把北京本地IDC(私网网段:192.168.1.0/24)的部分重点业务迁移到北京地域的VPC1(私网网段:172.16.1.0/24)上,通过专线连接实现连通。由于该业务用户量非常大,一旦出现故障影响会很严重,因此计划分别向两个不同的运营商各申请一条物理专线DAS201_port01_conn、DAS201_port02_conn。

由于本地设备不支持BFD功能,为后期能及时检测专线线路状态,采用双线路主备冗余专线静态路由联动NQA检测的形式连接本地IDC和VPC。
alt

网络规划

专线互联信息第一条专线(虚拟接口1)第二条专线(虚拟接口2)
本端互联IP10.0.0.1/3010.0.0.5/30
对端互联IP10.0.0.2/3010.0.0.6/30
VLAN ID1010

说明

本端互联IP指云上VPC侧的互联IP,对端互联IP指本地IDC侧的互联IP。

前提条件

  • 已获取NQA检测功能的使用权限。当前NQA检测功能为邀测状态,如需试用,请联系客户经理申请。
  • 已创建VPC1(私网网段:172.16.1.0/24)及其子网,具体操作请参见创建私有网络
  • 已在VPC1中创建云服务器(私网IP:172.16.1.12),具体操作请参见购买云服务器

约束限制

  • 两条线路的路由方式均使用静态路由,且分别接入两个专线网关。
  • 物理专线接入交换机时,不建议两条不同的物理专线接入同一台交换机。

操作步骤

步骤一:接入物理专线

开通两条物理专线,且两条物理专线应分别接入不同的交换机,具体操作请参见接入物理专线。本操作使用的物理专线为华北2(北京)地域下的DAS201_port01_conn、DAS201_port02_conn,并指定DAS201_port01_conn为主线路,DAS201_port02_conn为备线路。

步骤二:创建专线网关

  1. 登录专线网关控制台

  2. 在顶部导航栏,选择地域为华北2(北京)。

  3. 单击“创建专线网关”按钮,进入创建专线网关页面。

  4. 参考下表配置专线网关。

    参数
    		说明取值样例
    地域专线网关所在的地域,需要和物理专线地域一致。华北2(北京)
    名称设置专线网关的名称。Dcg-01
    IPv6是否启用IPv6功能。不启用
    协议勾选“我已阅读并同意《专线网关服务条款》” 。-

  5. 确认无误后,单击“确定”按钮,完成创建。

  6. 单击“去控制台”按钮,返回专线网关控制台,在专线网关列表中,可看到新创建的专线网关Dcg-01。

  7. 参考步骤1 ~ 步骤5,创建另一个专线网关Dcg-02。

步骤三:创建虚拟接口

  1. 登录虚拟接口控制台
  2. 单击“创建虚拟接口”按钮,进入创建虚拟接口页面。
  3. 参考下表,配置虚拟接口。
    参数说明取值样例
    基本信息
    地域虚拟接口所属地域,需要与物理专线所在地域、专线网关所在地域保持一致。华北2(北京)
    名称设置虚拟接口的名称。VIF-01
    物理专线通过项目筛选虚拟接口待关联的物理专线。Project-test|DAS201_port01_conn
    专线网关选择虚拟接口待关联的专线网关。Dcg-01
    带宽限速是否开启带宽限速。关闭
    互联信息

    IPv4互联IP

    设置IPv4类型的互联IP。

    • 本端网关互联IP:设置云上专线网关IPv4类型的IP及掩码。您可以根据网络规划自定义互联IP,但需确保本端网关IP和对端网关IP在同一个网段内且不重复。请使用私网IP地址,且不与云上云下IP地址冲突。
    • 对端网关互联IP:设置云下IDC侧网关IPv4类型的IP及掩码。您可以根据网络规划自定义互联IP,但需确保本端网关IP和对端网关IP在同一个网段内且不重复。请使用私网IP地址,且不与云上云下IP地址冲突。
    • 本端网关互联IP:10.0.0.1/30
    • 对端网关互联IP:10.0.0.2/30
    IPv6互联IP是否启用IPv6类型的互联IP。不启用

    VLAN ID

    设置用于连接本地IDC的VLAN ID,请确保此VLAN ID未被占用,范围0~2999。

    • 0:表示该物理专线交换机端口上不配置VLAN,使用三层路由接口模式,该模式下一条物理专线上只可创建一个无VLAN标签的虚拟接口。
    • 1~2999:表示该物理专线的交换机端口采用三层子接口模式,每个子接口配置不同的VLAN ID对应到一个虚拟接口,该模式下一条物理专线上可以创建出多个虚拟接口。

    10

    路由信息
    路由类型支持BGP路由和静态路由两种路由模式,本示例中使用静态路由。静态路由

    检测方式

    选择线路健康检查的方式。
    开启NQA检测后,火山引擎设备与本地IDC设备之间,通过发送周期性报文检测线路状态,当出现线路故障时快速切换至备用线路,完成下云路由收敛。

    NQA检测

    检测间隔NQA检测发送连续检测报文的时间间隔。2000
    检测次数NQA检测时间次数,若连续该次数未收到NQA报文,系统判定路线故障。8
  4. 配置完成后,单击“确定”按钮,完成创建。
  5. 参考步骤1~步骤4,创建另一个虚拟接口,具体配置如下表。
    参数说明取值样例
    基本信息
    地域虚拟接口所属地域,需要与物理专线所在地域、专线网关所在地域保持一致。华北2(北京)
    名称设置虚拟接口的名称。VIF-02
    物理专线通过项目筛选虚拟接口待关联的物理专线。Project-test|DAS201_port02_conn
    专线网关选择虚拟接口待关联的专线网关。Dcg-02
    带宽限速是否开启带宽限速。关闭
    互联信息

    IPv4互联IP

    设置IPv4类型的互联IP。

    • 本端网关互联IP:设置云上专线网关IPv4类型的IP及掩码。
    • 对端网关互联IP:设置云下IDC侧网关IPv4类型的IP及掩码。
    • 本端网关互联IP:10.0.0.5/30
    • 对端网关互联IP:10.0.0.6/30
    IPv6互联IP是否启用IPv6类型的互联IP。不启用
    VLAN ID设置用于连接本地IDC的VLAN ID,请确保此VLAN ID未被占用。10
    路由信息
    路由方式选择路由方式。静态路由
    检测方式选择线路健康检查的方式。NQA检测
    检测间隔NQA检测发送连续检测报文的时间间隔。2000
    检测次数NQA检测时间次数,若连续该次数未收到NQA报文,系统判定路线故障。8

步骤四:添加静态路由

1.返回专线网关控制台,在专线网关列表中,单击目标专线网关名称“Dcg-01”。
2. 在详情页面,单击选择“路由信息”页签。
3. 单击“添加静态路由条目”按钮,配置路由条目。

参数取值
网络类型IPv4
目标网段目标网段为本地IDC需要与云上VPC互通网段的CIDR,本示例为192.168.1.0/24
下一跳类型虚拟接口
下一跳VIF-01
  1. 单击“确定”按钮,完成配置。
  2. 返回专线网关列表,单击目标专线网关名称“Dcg-02”。
  3. 在详情页面,单击选择“路由信息”页签。
  4. 单击“添加静态路由条目”按钮,配置路由条目。
参数取值
网络类型IPv4
目标网段目标网段为本地IDC需要与云上VPC互通网段的CIDR,本示例为192.168.0.0/20
下一跳类型虚拟接口
下一跳VIF-02
  1. 单击“确定”按钮,完成配置。

说明

本文为双线路主备冗余场景,两个专线网关需配置为大小段路由,待专线网关加入云企业网后,在云企业网中形成主、备线路。此处线路一配置为192.168.1.0/24,线路二配置为192.168.0.0/20,由于云企业网中相同网段路由优先级按照掩码最长优先原则,掩码越长优先级越高,因此线路一为主线路,线路二为备线路。

步骤五:创建云企业网并加载网络实例

  1. 登录云企业网控制台
  2. 单击“创建云企业网”按钮,进入创建云企业网实例页面。
  3. 参考下表配置云企业网,并加载私有网络“VPC1”。
    参数
    取值
    基本信息
    名称Cen-test
    网络实例
    加载网络实例打开
    地域华北2(北京)
    实例类型私有网络
    网络实例Project-test|VPC1
    更多信息
    项目Project-test
  4. 单击“确定“按钮,完成创建。
  5. 在云企业网实例列表,单击目标实例名称“Cen-test”。
  6. 在“网络实例”页签下,单击“加载网络实例”按钮。
  7. 弹出加载网络实例窗口,配置需要加载的专线网关实例相关信息,完成后单击“确定”按钮。
    参数
    取值
    账号本账号
    地域华北2(北京)
    实例类型专线网关
    网络实例Dcg-01
  8. 参考步骤5~步骤7,加载专线网关Dcg-02。

步骤六:在ECS所属安全组添加安全组规则

  1. 登录云服务器控制台
  2. 在顶部导航栏选择地域为华北2(北京)。
  3. 在左侧导航树单击“实例”,在实例页面的搜索栏选择“私网IP地址”,并输入172.16.1.12,搜索出目标ECS。
  4. 单击目标ECS名称,进入详情页面,然后单击“安全组”进入安全组页签。
  5. 单击安全组名称,进入安全组详情页面。
  6. 单击进入“访问规则”页签,然后在“入方向”中单击“添加规则”。
    参考下图添加一条入方向规则,允许本地IDC网段访问。

步骤七:配置本地路由和NQA检测

考虑到两台交换机在本地IDC侧也是分别接入两台交换机,因此需要分别在两台交换机上进行配置,可参考如下代码进行本地IDC侧的路由配置。

nqa agent enable

nqa entry <admin-name> <test-name>//创建NQA检测测试组管理员和操作标签。
  type icmp-echo //默认NQA测试类型为ICMP-echo。
  source ip XX.XX.XX.XX  //配置探测源IP地址。
  destination ip XX.XX.XX.XX //配置探测目的IP地址。
  next-hop ip XX.XX.XX.XX //配置探测目的下一跳IP地址。
  frequency <value1> //配置探测时间间隔,单位ms,建议与火山引擎侧虚拟接口中NQA检测的配置保持一致。
  history-record enable // 开启NQA检测测试组历史记录保存功能。
  history-record number 10 //配置测试组中保存的最大历史记录数量。
  probe count <value2> // 配置单次NQA检测的报文数。
  probe timeout <value3> //配置NQA检测超时时间,单位:ms。
  //监测探测失败次数的阈值告警组。
  reaction <value4> checked-element probe-fail threshold-type consecutive <value5> action-type trigger-only //配置NQA检测联动项<value4>,即连续失败<value5>次触发联动。
#
nqa schedule <admin-name> <test-name> start-time now lifetime forever //NQA检测时间计划
track <value6> nqa entry <admin-name> <test-name> reaction <value7> //NQA检测关联的Track项<value6>,<value7>与<value4>对应

ip route-static <VPC-ip-address> <mask | mask-length> <nexthop-interface> <nexthop-address> track <value8>//NQA检测关联Track口<value8>与<value6>对应

说明

由于不同设备的配置命令有所差别,本文仅提供参考命令,实际操作中请根据本地设备型号进行相应配置,具体可咨询设备厂商。

配置示例

  • 主线路配置参考命令:
nqa agent enable

nqa entry admin test1
 type icmp-echo
 source ip 10.0.0.2
 destination ip 10.0.0.1
 next-hop ip 10.0.0.1
 frequency 2000
 history-record enable
 history-record number 10
 probe count 1
 probe timeout 500
 reaction 1 checked-element probe-fail threshold-type consecutive 8 action-type trigger-only

#
nqa schedule admin test1 start-time now lifetime forever 
 track 1 nqa entry admin test1 reaction 1
 ip route-static 172.16.1.0 24 10.0.0.1 track 1
  • 备线路配置参考命令:
nqa agent enable

nqa entry admin test1
 type icmp-echo
 source ip 10.0.0.6
 destination ip 10.0.0.5
 next-hop ip 10.0.0.5
 frequency 2000
 history-record enable
 history-record number 10
 probe count 1
 probe timeout 500
 reaction 1 checked-element probe-fail threshold-type consecutive 8 action-type trigger-only

#
nqa schedule admin test1 start-time now lifetime forever 
 track 1 nqa entry admin test1 reaction 1
 ip route-static 172.16.1.0 24 10.0.0.5 track 1

步骤七:测试连通性

  1. 在本地IDC执行ping命令,测试本地IDC到专线网关侧网络的连通性。

    • Ping主线路的本端互联IP,本示例为ping 10.0.0.1
    • Ping备线路的本端互联IP,本示例为ping 10.0.0.5

    预期结果:可Ping通,本地IDC到专线网关侧可通过主线路通信。

  2. 在本地IDC执行ping命令,Ping云上VPC内云服务器的私网IP,本示例为ping 172.16.1.12,测试本地IDC与VPC云服务器的网络连通性。
    预期结果:可Ping通,本地IDC可通过主线路访问VPC内的云服务器。

  3. 断开主线路模拟故障场景,然后在本地IDC执行ping命令,Ping云上VPC内云服务器的私网IP,本示例为ping 172.16.1.12,测试本地IDC与VPC中的云服务器的网络连通性。
    预期结果:可Ping通,主线路故障场景下,主备线路切换成功,本地IDC可通过备用线路访问VPC内的云服务器。