本地IDC通过云智能网类型IPsec-VPN实现主备链路上云
场景介绍
在企业混合云场景中,用户通常在百度智能云上部署多个 VPC,并需要与本地数据中心(IDC)实现互通。通过 IPsec VPN 可将 IDC 网络安全接入云上,并借助云智能网实现同地域或跨地域多个 VPC 与 IDC 的网络互通。当对 VPN 网关的高可用性和安全性要求较高时,可部署双 VPN 网关接入云智能网。主 VPN 网关出现公网 IP 被封或链路中断等异常时,可在秒级切换至备 VPN 网关,从而保障业务连续性。
场景示例
本文以下图所示场景为例:某企业在云上创建业务 VPC(10.208.0.0/16)并部署相关业务,同时在北京拥有本地数据中心(10.206.0.0/8)。为实现路由的自动学习与传播,企业在本地数据中心与 VPN 网关之间建立基于 BGP 的动态路由连接。为提升网络的可靠性与安全性,企业采用双 VPN 网关部署方案,并通过 BGP 路由策略实现主备切换,从而保障网络的高可用性。
网络规划
环境要求
1.IPsec VPN 网关类型需选择公网类型,同时本地数据中心侧网关设备需具备2个公网 IP。
2.本地数据中心侧网关设备需支持 IKEv1 或 IKEv2 协议。
3.本地数据中心侧网关设备需支持 BGP 动态路由协议能力。
业务网段规划
| 资源 | 网段 | IP地址 |
|---|---|---|
| 本地数据中心 | 10.206.0.0/16 | 服务器地址 10.206.0.2 |
| 本地网关设备 | 不涉及 | 本地网关设备的公网接口 |
| 云上业务VPC | 10.208.0.0/16 | 服务器地址 10.208.5.4 |
BGP 网段规划
| 资源 | BGP 隧道网段网段 | BGP IP 地址 | BGP 本端 AS 号 |
|---|---|---|---|
| IPsec 隧道1 | 169.169.169.0/30 | 169.169.169.1 | 1234 |
| IPsec 隧道2 | 169.169.168.0/30 | 169.169.168.1 | 1234 |
| 本地数据中心接口1 | 169.169.169.0/30 | 169.169.169.2 | 5678 |
| 本地数据中心接口2 | 169.169.168.0/30 | 169.169.168.2 | 5678 |
配置步骤
步骤一:配置 IPsec-VPN 网关
1.创建两个IPsec-VPN,关联资源类型选择云智能网,本例使用BGP协议,故还需打开BGP功能开关。
步骤二:创建用户网关
1.配置两个用户网关,IP地址填IDC网关设备的公网IP,自洽系统号填IDC网关的ASN号。
步骤三:配置云智能网
1.在云智能网实例中选择创建CSN实例。
2.创建CSN实例后,点击名称调转到详情页,点击添加网络实例,添加VPN和VPC实例。
3.添加完成后,观察实例状态,均处于已加载状态。至此VPC和VPN都已经接入CSN了。
步骤四:配置 IPsec-VPN 隧道
1.点击IPsec VPN隧道后,开始创建IPsec VPN 隧道。
2.完成配置后,稍等10s左右查看VPN隧道的连接状态,如果监控检查为已连通,且BGP状态为已连接,说明隧道配置正常,公网IPsec已打通。
步骤五:检查路由表
1.在 VPN 网关界面点击对应VPN的路由管理,可以看到本地数据中心发布的路由以及从 CSN 学习到的路由。本地IDC对主隧道发布AS_PATH短的路由,对备隧道发布AS_PATH长的路由,从而实现主备链路上云。(当云上云下网段冲突时,将从CSN传播过来的路由置为不可用。)
2.在 CSN 详情界面点击路由管理,选择路由条目,可以看到学习到的路由。由于从备VPN CSN-VPN2-standby学到的同网段路由的AS_APTH长,故将其置为备用。
步骤六:验证测试
联通性测试
1.在本地数据中心的服务器ping云上VPC下任意一个BCC实例,验证通信是否正常。
高可用测试
1.中断主隧道,验证备隧道是否可用。您可以通过修改IPsec主隧道的预共享密钥来中断主隧道。查看CSN的路由表,可见只有备隧道的路由。
2.测试连通性。
评价此篇文章