网络架构优化--云企业网典型场景分析for客户
1. 背景描述
客户从传统的高速通道迁移到云企业网,加入云企业网的VPC,VBR默认全通,但是实际业务场景需要更严格的策略做选择性放通。此外,由于测试账号没有实际专线和VBR,本文均以VPC举例讲解路由策略的配置,VBR类似。
2. 概念理解
图1
3. 环境准备
3.1 创建VPC,vswitch,ECS
VPC1:vpc-j**nv 网段:10.0.0.0/8 地域:香港地
vswitch1: 10.0.1.0/24 香港 可用区B
VPC1-ECS1:10.0.1.*
vswitch2: 10.0.2.0/24 香港 可用区B
VPC1-ECS2:10.0.2.*
VPC2:vpc-j**ob 网段:172.16.0.0/12 地域:香港
vswitch: 172.16.1.0/24 香港 可用区B
VPC2-ECS1:172.16.*
VPC3:vpc-g**rl 网段:192.168.0.0/16 地域:法兰克福
vswitch: 192.168.1.0/24 法兰克福 可用区A
VPC3-ECS1:192.168.1.*
以上3个VPC的4个vswitch各创建一台ECS,安全组上放开10.0.0.0/8,172.16.0.0/12 ,192.168.0.0/16
3.2 创建CEN
参考官网:https://help.aliyun.com/document_detail/128625.html?spm=a2c4g.11186623.6.561.697561e2p5r1ha
I 登录云企业网控制台。
II 在云企业网实例页面,单击创建云企业网实例。
III 在创建云企业网实例页面,完成以下操作:
- 输入实例名称。名称长度为2~128个字符,以英文字母或中文开头,可包含数字、下划线(_)和短横线(-)。
- 可选: 输入实例描述信息。名称长度为2~256个中英文字符,不能以
http://
和https://
开头。 - 加载同账号下的网络实例。您可以在创建CEN实例时,将同账号下的网络实例包括专有网络VPC、边界路由器VBR或云连接网CCN直接加载到CEN实例中。加载后,CEN实例内的网络实例可私网互通。
说明:确保要加载的网络实例没有加入到其他的云企业网实例中。
IV 单击确定。
图2
4. 场景实战
4.1 场景一:VPC通过CEN实现全通
4.1.1 场景描述:VPC1,VPC2,VPC3全部互通
图3
4.1.2 实现步骤
4.1.2.1 ping检验当前连通性
- VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1
- VPC1-ECS1/2----Nok----VPC3-ECS1
- VPC2-ECS1----Nok----VPC3-ECS1
(ok表示可以ping通,Nok表示无法ping通,下同)
4.1.2.2 将3个VPC加入云企业网
参考官网:
https://help.aliyun.com/document_detail/128653.html?spm=a2c4g.11186623.6.562.72b27435d9iERF
4.1.2.3 企业网以及VPC的路由分析
理解路由是很关键的步骤,也是检查配置问题最终、最有效的手段,所以我们花点时间。
1)香港地域网关
图4
100.64.0.0/10是云服务的保留地址段,由系统自动添加,以下不再重复解释。
2)法兰克福地域网关
图5
从香港和法兰克服地域网关的路由信息来看:
①VPC1,VPC2的路由成功上报给香港地域网关,并且同步至法兰克福的地域网关。
②VPC3的路由成功上报给法兰克福的地域网关,并且同步至香港的地域网关。
接下来我们看下各个VPC的情况,看下地域网关是否将对应的路由信息下发。
3)VPC1
图6
4)VPC2
图7
5)VPC3
图8
从VPC内的路由信息来看:
VPC内部的交换机网段,系统自动添加了本地路由,且已经上报至对应地域网关。
地域网关中的VPC上报的路由信息,已经下发至其他VPC中。
4.1.2.4 ping再次检验当前连通性
- VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
- VPC1-ECS1/2----ok----VPC2-ECS1 (云企业网连通)
- VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
- VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)
4.2 场景二:限制VPC间互通
4.2.1 场景描述
VPC1与VPC3互通(场景一已实现),VPC1与VPC2不通,VPC2与VPC3不通。
图9
4.2.2 策略分析-VPC1与VPC2不通(同地域)
如VPC1与VPC2不通,那么我们要从1,2,3,4入手,其中1,4是VPC上报路由给地域网关,为了不影响VPC1,VPC2的路由上报并且下发给VPC3,所以我们需要保证畅通,那么可以从2和3入手。
1)其中2中可以设置策略让VPC1拒绝由香港地域网关同步过来的VPC2的路由,源是VPC2,目的是VPC1,出地域网关方向。
2)对于3可以设置策略:让VPC2拒绝由香港地域网关同步过来的VPC1的路由,源是VPC1,目的是VPC2,出地域网关方向。
图10
4.2.3 策略配置-VPC1与VPC2不通(同地域)
4.2.3.1 拒绝VPC1访问VPC2的路由
对应图10中线路2
1)点击添加路由策略
图11
2)填写策略信息
- 策略优先级:数字越小,优先级越高
- 地域:香港地域
- 应用方向:出地域网关
- 匹配条件:源和目的VPC
- 策略行为:拒绝
图12
3)检查效果,查看VPC1的路由表,可以看到已经拒绝VPC1访问VPC2的路由。
图13
4.2.3.2 拒绝VPC2访问VPC1的路由
对应图10中线路3
1)配置步骤同上,配置截图如下:
图14
2)检查效果:查看VPC2的路由表,可以看到已经拒绝VPC2访问VPC1的路由。
图15
4.2.4 策略验证-VPC1与VPC2不通(同地域)
ping检验当前连通性:
- VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
- VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
- VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)
4.2.5 策略分析-VPC2与VPC3不通(跨地域)
如VPC2与VPC3不通,那么我们要从3,4,5,6,7,8入手,其中4,8是VPC上报路由给地域网关,为了不影响VPC2,VPC3的路由上报并且下发给VPC1,所以我们需要保证畅通,然后5,6是保证两个地域之间的路由互通的,为了不影响地域下其他VPC的互通,需要保证通畅,那么可以从3和7入手。
1)其中3中可以设置策略让VPC2拒绝由香港地域网关同步过来的VPC3的路由,源是VPC3,目的是VPC2,出地域网关方向。
2)对于7可以设置策略:让VPC2拒绝由法兰克福地域网关同步过来的VPC2的路由,源是VPC2,目的是VPC3,出地域网关方向。
图16
4.2.6 策略配置-VPC2与VPC3不能互通(跨地域)
4.2.6.1 拒绝VPC2访问VPC3的路由
对应图16中线路3
1)配置截图如下:
主要注意点,由于配置跨地域了,需要指明源实例对应的地域:法兰克福。
图17
2)检查效果,查看VPC2的路由表,可以看到已经拒绝VPC2访问VPC3的路由。
图18
4.2.6.2 拒绝VPC2访问VPC3的路由
对应图16中线路7
1)配置截图如下:
主要注意点,这次地域选择法兰克福,由于配置跨地域了,需要指明源实例对应的地域:香港。
图19
2)检查效果,查看VPC3的路由表,可以看到已经拒绝VPC3访问VPC2的路由。
图20
4.2.7 策略验证-VPC2与VPC3不通(跨地域)
ping检验当前连通性:
- VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
- VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
- VPC2-ECS1----Nok----VPC3-ECS1 (访问控制策略生效)
至此,场景二的需求已经完全实现!
4.3 场景三:限制网段间互通
4.3.1 场景描述
VPC1与VPC2不通(场景二已实现),VPC2与VPC3连通(需要去除场景二中4.2.6章节的控制策略),VPC1的vswitch1与VPC3不通,vswitch2与VPC连通。
图21
4.3.2 策略分析-VPC2与VPC3互通
删除4.2.6中配置的路由策略即可。
4.3.3 策略配置-VPC2与VPC3互通
1)删除策略(这里为实验环境,实际生产环境删除策略需谨慎评估)。
图22
2)检查效果
- VPC2中VPC3的路由条目恢复可用。
图23
- VPC3中VPC2的路由条目恢复可用。
图24
4.3.4 策略验证-VPC2与VPC3互通
ping检验当前连通性:
- VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
- VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
- VPC2-ECS1----ok----VPC3-ECS1 (访问控制策略删除)
4.3.5 策略分析-VPC1与VPC3限制网段互通
VPC1与VPC3的联通,要从1,2,5,6,7,8入手,其中1,8是VPC上报路由给地域网关,为了不影响VPC1,VPC3的路由上报并且下发给其他VPC,所以我们需要保证畅通,然后5,6是保证两个地域之间的路由互通的,为了不影响地域下其他VPC的互通,需要保证通畅。最后由于VPC1中只是部分网段与VPC3不通,所以VPC3的路由还是需要通过2给到VPC1,所以我们从7入手。
1)7可以设置策略:让VPC3拒绝由法兰克福地域网关同步过来的VPC1的路由条目10.0.1.0/24,源是VPC1,目的是VPC3,出地域网关方向,并且指定网段。
图25
4.3.6 策略配置-VPC1与VPC3限制网段互通
1)配置截图,重点是增加路由前缀的匹配条件。
图26
2)检查效果
VPC3中已经拒绝了VPC1中10.0.1.0/24网段的路由。
图27
4.3.7 策略验证-VPC1与VPC3限制网段互通
ping检验当前连通性:
- VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
- VPC1-ECS1----Nok----VPC3-ECS1 (访问控制策略)
- VPC1-ECS2----ok----VPC3-ECS1 (云企业网连通)
- VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)
至此,场景三的全部需求实现。
4.4 反向思维:默认不通,选择性打通
4.4.1 场景描述
云企业网(CEN)默认策略是加入的实例全部互通,对于VPC,VBR实例较多,且时不时有新增实例,访问控制较为复杂的用户,可以选择先设置默认Deny的低优先级策略然后根据需求再做开通的高优先级策略。建议用户用此方式管理CEN路由策略。
让我们用反向的思维,重新看待下场景二:
图28
4.4.2 策略分析--反向思维
如何做到让加入的VPC,VBR实例都默认不通呢?在前面的整个配置过程中,我们都是通过拒绝CEN的地域网关下发到VPC,VBR的路由来实现不互通的需求,那么我们考虑设置整个地域的实例默认拒绝CEN地域网关下发的路由即可,效果如下图。
1)香港地域网关:出地域网关方向,所有VPC,VBR,CCN(云链接网)拒绝网关的下发路由。
2)法兰克福地域网关:出地域网关方向,所有VPC,VBR,CCN(云链接网)拒绝网关的下发路由。
图29
经过上面两步后,两个地域除了网关之间的所有入地域网关均被阻断,包括后续新增加的VPC,VBR实例。所以,当前场景二就演变成需要打通VPC2与VPC3。即新增策略(策略优先级一定要高于默认Deny的策略)允许3和7。
图30
1)其中3中可以设置策略让VPC1允许由香港地域网关同步过来的VPC3的路由,源是VPC3,目的是VPC2,出地域网关方向。
2)对于7可以设置策略:让VPC3允许由法兰克福网关同步过来的VPC2的路由,源是VPC2,目的是VPC3,出地域网关方向。
4.4.3 策略配置--反向思维
4.4.3.1 配置香港与法兰克福地域网关默认不通
对应图29
对于我们的实验环境,为了演示方便,清理场景二、三种配置的路由策略(实际生产环境删除策略需谨慎评估)。然后所有VPC,VBR,CCN拒绝CEN地域网关下发的路由,策略优先级设置低一些,后续设置的放通策略优先级是一定要高于默认拒绝的策略,配置截图如下:
a.香港地域
图31
b.法兰克福地域
图32
此时VPC1,VPC2,VPC3中拒绝了所有本地域的CEN网关发来的路由,VPC1举例截图如下:
图33
4.4.3.2 配置VPC1与VPC3可以互通
对应图30
a. 允许VPC1接受VPC3的路由,策略优先级要高于默认的策略。
图34
路由验证:VPC1中已经接受VPC3的路由信息。
图35
b. 允许VPC3接受VPC1的路由,策略优先级要高于默认的策略。
图36
路由验证:VPC3中已经接受VPC1的路由信息。
图37
4.4.4 策略验证-反向思维
图38
ping检验当前连通性:
- VPC1-ECS1----ok----VPC1-ECS2 (同一个VPC,二层互通)
- VPC1-ECS1/2----Nok----VPC2-ECS1 (默认不通的访问控制策略生效)
- VPC1-ECS1/2----ok----VPC3-ECS1 (允许VPC1与VPC3通信的访问策略生效)
- VPC2-ECS1----Nok----VPC3-ECS1 (默认不通的访问控制策略生效)
至此,场景二的需求已经通过反向思维完全实现!后续:
如果在香港,法兰克福地域有新加入VPC,VBR实例,需要与已经在CEN中的实例通信时,只需要按照4.4.3.2的方式配置一对放通策略即可。
如果有其他地域的VPC,VBR实例加入CEN,可以先如4.4.3.1配置默认deny的策略,然后再根据情况按4.4.3.2配置放通策略。
原文链接
本文为阿里云原创内容,未经允许不得转载。
网络架构优化--云企业网典型场景分析for客户相关推荐
- 云南高性能云桌面搭建解决方案、云桌面与传统PC优势对比,云桌面适用场景分析
一.传统PC面临的问题 1.难管理:个体复杂度带来的管理困难 企业内部PC分布广.数量多.型号杂,难以标准化及统一管理 软件应用.业务系统安装部署繁琐.业务上线效率低 无法集中管控,维护跟着物理机跑等 ...
- 亚信安全中标南方电网网络架构优化调整项目 智能联动抑制未知威胁
近日,亚信安全宣布成功中标中国南方电网有限责任公司(以下简称"南方电网")网络架构优化调整项目.亚信安全将通过深度威胁发现设备(TDA)及深度威胁安全网关(DE)结合针对僵尸木马等 ...
- 基于SDN网络的优化技术和QoS研究分析(二)
编者按 随着网络技术的发展,越来越多的分布式应用和不同类型的网络技术被部署到网络上,基于传统IP的网络体系结构正面临越来越多的问题,传统的优势正逐渐成为制约网络技术发展的瓶颈. 由于篇幅较长,文章将分 ...
- 网络架构、云平台和微信公众平台开发接入
云与后端相关的技术似乎并不属于嵌入式和物联智能硬件开发工程师的范畴,但是嵌入式开发工程师有必要认识成熟的网络架构和相关的云技术,以拓展自己在系统架构方面的视野.大数据分析是物联网背后的核心价值,物联智 ...
- 网络架构、云平台和微信公众号开发接入--基于嵌入式工程师的视觉
云与后端相关的技术似乎并不属于嵌入式和物联智能硬件开发工程师的范畴,但是嵌入式开发工程师有必要认识成熟的网络架构和相关的云技术,以拓展自己在系统架构方面的视野.大数据分析是物联网背后的核心价值,物联智 ...
- 阿里云Redis典型场景:如何构建可扩展通用排行榜系统
点击有惊喜 摘要 本文主要介绍通用排行榜的需求功能,并介绍了基于Redis的ZSET数据结构的排序方法,另外探讨了通用排行榜的架构及用户如何通过阿里云Redis解决通用排行架构的技术问题. 背景 移动 ...
- 自然语言处理 典型场景分析
情感分析 又称倾向性分析,意见抽取,情感挖掘.是对带有情感色彩的主观性文本进行分析.处理.归纳和推理的过程. 主要流程: 输入数据 -> tokenization -> stop word ...
- java 漏洞挖掘_Java XXE漏洞典型场景分析
本文首发于oppo安全应急响应中心: 0x01 前言: XML 的解析过程中若存在外部实体,若不添加安全的XML解析配置,则XML文档将包含来自外部 URI 的数据.这一行为将导致XML Extern ...
- 5G网络架构(接入网,传输网,核心网)
前一段时间自己一直在做某市的5G试点项目,对5G的无线接入网相关技术有了更深入的认识.因此,希望通过无线接入网为线索(行话叫锚点),帮大家梳理一下无线侧接入网+承载网+核心网的架构,这里以接入网为主, ...
最新文章
- android Image zImage uImage boot.img分别是什么?个人笔记
- 提高你开发效率的十五个Visual Studio 2010使用技巧
- shell中的变量及运算符
- matlab中统计工具箱函数名大全
- POJ-3061 尺取
- 脱裤子放屁,多此一举
- 发起ajax请求很慢,为什么我的Ajax请求比一般的浏览器请求慢得多?
- ansible免密登录和账号登录方式
- javaWeb三大框架总结
- Alibaba代码规约插件使用IDEA
- 形成性考核(计算机应用基础) 答案,2019年最新电大《计算机应用基础(Win7)》形成性考核册及答案.pdf...
- kubernetes学习例子
- 基于videojs 实现javascript弹幕功能
- css hover变成手_html实现鼠标悬停变成手型实现方式
- OpenCV读取图片顺序
- 华师大 OJ 3024
- 汇聚数据库创新力量 GBASE携手openGauss助企业数字化转型
- 以核心技术提升打破认知偏见:破解第三代哈弗H6的技术密码
- 你是真的“C”——找单身狗~
- linux下普通文件和目录文件区别
热门文章
- 求字典key的和python_python怎么将字典key相同的value值, 合并
- iphone分屏功能怎么用_iPhone上10个隐藏小技巧,怎么用怎么爽
- windows7系统适合哪个python_Python3.6.4在Windows7系统下安装配置教程
- 【LeetCode笔记】207. 课程表(Java、图、BFS、队列)
- logminer java_使用OracleLogminer同步Demo1Demo介绍-博客园.PDF
- effective python目录_Effective python(七):协作开发
- list循环赋值_Python基础 | 0xd 条件判断与循环
- java none怎么用tomcat_JavaWeb学习——在Eclipse里使用Tomcat
- 同比 数据模型 环比_历史数据模型解决方案-历史数据模型解决方案
- linux单机到单机adg环境,Oracle 11.2.0.4 DataGuard 环境打PSU,OJVM PSU补丁快速参考