简介： 网络架构优化--云企业网典型场景分析for客户

 

 

1. 背景描述

客户从传统的高速通道迁移到云企业网，加入云企业网的VPC，VBR默认全通，但是实际业务场景需要更严格的策略做选择性放通。此外，由于测试账号没有实际专线和VBR，本文均以VPC举例讲解路由策略的配置，VBR类似。

2. 概念理解

 

图1

 

3. 环境准备

3.1 创建VPC，vswitch，ECS

VPC1：vpc-j**nv 网段：10.0.0.0/8 地域：香港地
vswitch1: 10.0.1.0/24 香港 可用区B
VPC1-ECS1：10.0.1.*
vswitch2: 10.0.2.0/24 香港 可用区B
VPC1-ECS2：10.0.2.*

VPC2：vpc-j**ob 网段：172.16.0.0/12 地域：香港
vswitch: 172.16.1.0/24 香港 可用区B
VPC2-ECS1:172.16.*

VPC3：vpc-g**rl 网段：192.168.0.0/16 地域：法兰克福
vswitch: 192.168.1.0/24 法兰克福 可用区A
VPC3-ECS1:192.168.1.*

以上3个VPC的4个vswitch各创建一台ECS，安全组上放开10.0.0.0/8，172.16.0.0/12 ,192.168.0.0/16

3.2 创建CEN

参考官网：https://help.aliyun.com/document_detail/128625.html?spm=a2c4g.11186623.6.561.697561e2p5r1ha

I 登录云企业网控制台。
II 在云企业网实例页面，单击创建云企业网实例。
III 在创建云企业网实例页面，完成以下操作：

1. 输入实例名称。名称长度为2~128个字符，以英文字母或中文开头，可包含数字、下划线（_）和短横线（-）。
2. 可选： 输入实例描述信息。名称长度为2~256个中英文字符，不能以http://和https://开头。
3. 加载同账号下的网络实例。您可以在创建CEN实例时，将同账号下的网络实例包括专有网络VPC、边界路由器VBR或云连接网CCN直接加载到CEN实例中。加载后，CEN实例内的网络实例可私网互通。
   说明：确保要加载的网络实例没有加入到其他的云企业网实例中。

IV 单击确定。

 

图2

 

4. 场景实战

4.1 场景一：VPC通过CEN实现全通

4.1.1 场景描述：VPC1，VPC2，VPC3全部互通

 

图3

 

4.1.2 实现步骤

4.1.2.1 ping检验当前连通性

• VPC1-ECS1----ok----VPC1-ECS2 （同一个VPC，二层互通）
• VPC1-ECS1/2----Nok----VPC2-ECS1
• VPC1-ECS1/2----Nok----VPC3-ECS1
• VPC2-ECS1----Nok----VPC3-ECS1

  (ok表示可以ping通，Nok表示无法ping通，下同）

4.1.2.2 将3个VPC加入云企业网

参考官网：
https://help.aliyun.com/document_detail/128653.html?spm=a2c4g.11186623.6.562.72b27435d9iERF

4.1.2.3 企业网以及VPC的路由分析

理解路由是很关键的步骤，也是检查配置问题最终、最有效的手段，所以我们花点时间。
1）香港地域网关

 

图4

 

100.64.0.0/10是云服务的保留地址段，由系统自动添加，以下不再重复解释。
2）法兰克福地域网关

 

图5

 

从香港和法兰克服地域网关的路由信息来看：
①VPC1，VPC2的路由成功上报给香港地域网关，并且同步至法兰克福的地域网关。
②VPC3的路由成功上报给法兰克福的地域网关，并且同步至香港的地域网关。
接下来我们看下各个VPC的情况，看下地域网关是否将对应的路由信息下发。
3）VPC1

 

图6

 

4）VPC2

 

图7

 

5）VPC3

 

图8

 

从VPC内的路由信息来看：
VPC内部的交换机网段，系统自动添加了本地路由，且已经上报至对应地域网关。
地域网关中的VPC上报的路由信息，已经下发至其他VPC中。

4.1.2.4 ping再次检验当前连通性

• VPC1-ECS1----ok----VPC1-ECS2 （同一个VPC，二层互通）
• VPC1-ECS1/2----ok----VPC2-ECS1 (云企业网连通)
• VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
• VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)

4.2 场景二：限制VPC间互通

4.2.1 场景描述

VPC1与VPC3互通（场景一已实现），VPC1与VPC2不通，VPC2与VPC3不通。

 

图9

 

4.2.2 策略分析-VPC1与VPC2不通（同地域）

如VPC1与VPC2不通，那么我们要从1，2，3，4入手，其中1，4是VPC上报路由给地域网关，为了不影响VPC1，VPC2的路由上报并且下发给VPC3，所以我们需要保证畅通，那么可以从2和3入手。
1）其中2中可以设置策略让VPC1拒绝由香港地域网关同步过来的VPC2的路由，源是VPC2，目的是VPC1，出地域网关方向。
2）对于3可以设置策略：让VPC2拒绝由香港地域网关同步过来的VPC1的路由，源是VPC1，目的是VPC2，出地域网关方向。

 

图10

 

4.2.3 策略配置-VPC1与VPC2不通（同地域）

4.2.3.1 拒绝VPC1访问VPC2的路由

对应图10中线路2
1)点击添加路由策略

 

图11

 

2)填写策略信息

• 策略优先级：数字越小，优先级越高
• 地域：香港地域
• 应用方向：出地域网关
• 匹配条件：源和目的VPC
• 策略行为：拒绝

 

图12

 

3)检查效果，查看VPC1的路由表，可以看到已经拒绝VPC1访问VPC2的路由。

 

图13

 

4.2.3.2 拒绝VPC2访问VPC1的路由

对应图10中线路3
1）配置步骤同上，配置截图如下：

 

图14

 

2）检查效果：查看VPC2的路由表，可以看到已经拒绝VPC2访问VPC1的路由。

 

图15

 

4.2.4 策略验证-VPC1与VPC2不通（同地域）

ping检验当前连通性:

• VPC1-ECS1----ok----VPC1-ECS2 （同一个VPC，二层互通）
• VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
• VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
• VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)

4.2.5 策略分析-VPC2与VPC3不通（跨地域）

如VPC2与VPC3不通，那么我们要从3，4，5，6，7，8入手，其中4，8是VPC上报路由给地域网关，为了不影响VPC2，VPC3的路由上报并且下发给VPC1，所以我们需要保证畅通，然后5，6是保证两个地域之间的路由互通的，为了不影响地域下其他VPC的互通，需要保证通畅，那么可以从3和7入手。
1）其中3中可以设置策略让VPC2拒绝由香港地域网关同步过来的VPC3的路由，源是VPC3，目的是VPC2，出地域网关方向。
2）对于7可以设置策略：让VPC2拒绝由法兰克福地域网关同步过来的VPC2的路由，源是VPC2，目的是VPC3，出地域网关方向。

 

图16

 

4.2.6 策略配置-VPC2与VPC3不能互通（跨地域）

4.2.6.1 拒绝VPC2访问VPC3的路由

对应图16中线路3
1）配置截图如下：
主要注意点，由于配置跨地域了，需要指明源实例对应的地域：法兰克福。

 

图17

 

2)检查效果，查看VPC2的路由表，可以看到已经拒绝VPC2访问VPC3的路由。

 

图18

 

4.2.6.2 拒绝VPC2访问VPC3的路由

对应图16中线路7
1）配置截图如下：
主要注意点，这次地域选择法兰克福，由于配置跨地域了，需要指明源实例对应的地域：香港。

 

图19

 

2)检查效果，查看VPC3的路由表，可以看到已经拒绝VPC3访问VPC2的路由。

 

图20

 

4.2.7 策略验证-VPC2与VPC3不通（跨地域）

ping检验当前连通性:

• VPC1-ECS1----ok----VPC1-ECS2 （同一个VPC，二层互通）
• VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
• VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
• VPC2-ECS1----Nok----VPC3-ECS1 (访问控制策略生效)

至此，场景二的需求已经完全实现！

4.3 场景三：限制网段间互通

4.3.1 场景描述

VPC1与VPC2不通（场景二已实现），VPC2与VPC3连通（需要去除场景二中4.2.6章节的控制策略），VPC1的vswitch1与VPC3不通，vswitch2与VPC连通。

 

图21

 

4.3.2 策略分析-VPC2与VPC3互通

删除4.2.6中配置的路由策略即可。

4.3.3 策略配置-VPC2与VPC3互通

1）删除策略（这里为实验环境，实际生产环境删除策略需谨慎评估）。

 

图22

 

2）检查效果

• VPC2中VPC3的路由条目恢复可用。

 

图23

 

• VPC3中VPC2的路由条目恢复可用。

 

图24

 

4.3.4 策略验证-VPC2与VPC3互通

ping检验当前连通性:

• VPC1-ECS1----ok----VPC1-ECS2 （同一个VPC，二层互通）
• VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
• VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
• VPC2-ECS1----ok----VPC3-ECS1 (访问控制策略删除)

4.3.5 策略分析-VPC1与VPC3限制网段互通

VPC1与VPC3的联通，要从1，2，5，6，7，8入手，其中1，8是VPC上报路由给地域网关，为了不影响VPC1，VPC3的路由上报并且下发给其他VPC，所以我们需要保证畅通，然后5，6是保证两个地域之间的路由互通的，为了不影响地域下其他VPC的互通，需要保证通畅。最后由于VPC1中只是部分网段与VPC3不通，所以VPC3的路由还是需要通过2给到VPC1，所以我们从7入手。
1）7可以设置策略：让VPC3拒绝由法兰克福地域网关同步过来的VPC1的路由条目10.0.1.0/24，源是VPC1，目的是VPC3，出地域网关方向，并且指定网段。

 

图25

 

4.3.6 策略配置-VPC1与VPC3限制网段互通

1）配置截图，重点是增加路由前缀的匹配条件。

 

图26

 

2）检查效果
VPC3中已经拒绝了VPC1中10.0.1.0/24网段的路由。

 

图27

 

4.3.7 策略验证-VPC1与VPC3限制网段互通

ping检验当前连通性:

• VPC1-ECS1----ok----VPC1-ECS2 （同一个VPC，二层互通）
• VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
• VPC1-ECS1----Nok----VPC3-ECS1 (访问控制策略)
• VPC1-ECS2----ok----VPC3-ECS1 (云企业网连通)
• VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)

至此，场景三的全部需求实现。

4.4 反向思维：默认不通，选择性打通

4.4.1 场景描述

云企业网（CEN）默认策略是加入的实例全部互通，对于VPC，VBR实例较多，且时不时有新增实例，访问控制较为复杂的用户，可以选择先设置默认Deny的低优先级策略然后根据需求再做开通的高优先级策略。建议用户用此方式管理CEN路由策略。
让我们用反向的思维，重新看待下场景二：

 

图28

 

4.4.2 策略分析--反向思维

如何做到让加入的VPC，VBR实例都默认不通呢？在前面的整个配置过程中，我们都是通过拒绝CEN的地域网关下发到VPC，VBR的路由来实现不互通的需求，那么我们考虑设置整个地域的实例默认拒绝CEN地域网关下发的路由即可，效果如下图。
1）香港地域网关：出地域网关方向，所有VPC，VBR，CCN（云链接网）拒绝网关的下发路由。
2）法兰克福地域网关：出地域网关方向，所有VPC，VBR，CCN（云链接网）拒绝网关的下发路由。

 

图29

 

经过上面两步后，两个地域除了网关之间的所有入地域网关均被阻断，包括后续新增加的VPC，VBR实例。所以，当前场景二就演变成需要打通VPC2与VPC3。即新增策略（策略优先级一定要高于默认Deny的策略）允许3和7。

 

图30

 

1）其中3中可以设置策略让VPC1允许由香港地域网关同步过来的VPC3的路由，源是VPC3，目的是VPC2，出地域网关方向。
2）对于7可以设置策略：让VPC3允许由法兰克福网关同步过来的VPC2的路由，源是VPC2，目的是VPC3，出地域网关方向。

4.4.3 策略配置--反向思维

4.4.3.1 配置香港与法兰克福地域网关默认不通

对应图29
对于我们的实验环境，为了演示方便，清理场景二、三种配置的路由策略（实际生产环境删除策略需谨慎评估）。然后所有VPC，VBR，CCN拒绝CEN地域网关下发的路由，策略优先级设置低一些，后续设置的放通策略优先级是一定要高于默认拒绝的策略，配置截图如下：
a.香港地域

 

图31

 

b.法兰克福地域

 

图32

 

此时VPC1，VPC2，VPC3中拒绝了所有本地域的CEN网关发来的路由，VPC1举例截图如下：

 

图33

 

4.4.3.2 配置VPC1与VPC3可以互通

对应图30
a. 允许VPC1接受VPC3的路由，策略优先级要高于默认的策略。

 

图34

 

路由验证：VPC1中已经接受VPC3的路由信息。

 

图35

 

b. 允许VPC3接受VPC1的路由，策略优先级要高于默认的策略。

 

图36

 

路由验证：VPC3中已经接受VPC1的路由信息。

 

图37

 

4.4.4 策略验证-反向思维

 

图38

 

ping检验当前连通性:

• VPC1-ECS1----ok----VPC1-ECS2 （同一个VPC，二层互通）
• VPC1-ECS1/2----Nok----VPC2-ECS1 (默认不通的访问控制策略生效)
• VPC1-ECS1/2----ok----VPC3-ECS1 (允许VPC1与VPC3通信的访问策略生效)
• VPC2-ECS1----Nok----VPC3-ECS1 (默认不通的访问控制策略生效)

至此，场景二的需求已经通过反向思维完全实现！后续：
如果在香港，法兰克福地域有新加入VPC，VBR实例，需要与已经在CEN中的实例通信时，只需要按照4.4.3.2的方式配置一对放通策略即可。
如果有其他地域的VPC，VBR实例加入CEN，可以先如4.4.3.1配置默认deny的策略，然后再根据情况按4.4.3.2配置放通策略。

原文链接

本文为阿里云原创内容，未经允许不得转载。