网络架构优化--云企业网典型场景分析for客户

简介： 网络架构优化--云企业网典型场景分析for客户

1. 背景描述

客户从传统的高速通道迁移到云企业网，加入云企业网的VPC，VBR默认全通，但是实际业务场景需要更严格的策略做选择性放通。此外，由于测试账号没有实际专线和VBR，本文均以VPC举例讲解路由策略的配置，VBR类似。

2. 概念理解

图1

3. 环境准备

3.1 创建VPC，vswitch，ECS

VPC1：vpc-j**nv 网段：10.0.0.0/8 地域：香港地
vswitch1: 10.0.1.0/24 香港可用区B
VPC1-ECS1：10.0.1.*
vswitch2: 10.0.2.0/24 香港可用区B
VPC1-ECS2：10.0.2.*

VPC2：vpc-j**ob 网段：172.16.0.0/12 地域：香港
vswitch: 172.16.1.0/24 香港可用区B
VPC2-ECS1:172.16.*

VPC3：vpc-g**rl 网段：192.168.0.0/16 地域：法兰克福
vswitch: 192.168.1.0/24 法兰克福可用区A
VPC3-ECS1:192.168.1.*

以上3个VPC的4个vswitch各创建一台ECS，安全组上放开10.0.0.0/8，172.16.0.0/12 ,192.168.0.0/16

3.2 创建CEN

参考官网：https://help.aliyun.com/document_detail/128625.html?spm=a2c4g.11186623.6.561.697561e2p5r1ha

I 登录云企业网控制台。
II 在云企业网实例页面，单击创建云企业网实例。
III 在创建云企业网实例页面，完成以下操作：

输入实例名称。名称长度为2~128个字符，以英文字母或中文开头，可包含数字、下划线（_）和短横线（-）。
可选：输入实例描述信息。名称长度为2~256个中英文字符，不能以http://和https://开头。
加载同账号下的网络实例。您可以在创建CEN实例时，将同账号下的网络实例包括专有网络VPC、边界路由器VBR或云连接网CCN直接加载到CEN实例中。加载后，CEN实例内的网络实例可私网互通。
说明：确保要加载的网络实例没有加入到其他的云企业网实例中。

IV 单击确定。

图2

4. 场景实战

4.1 场景一：VPC通过CEN实现全通

4.1.1 场景描述：VPC1，VPC2，VPC3全部互通

图3

4.1.2 实现步骤

4.1.2.1 ping检验当前连通性

VPC1-ECS1----ok----VPC1-ECS2 （同一个VPC，二层互通）
VPC1-ECS1/2----Nok----VPC2-ECS1
VPC1-ECS1/2----Nok----VPC3-ECS1
VPC2-ECS1----Nok----VPC3-ECS1
(ok表示可以ping通，Nok表示无法ping通，下同）

4.1.2.2 将3个VPC加入云企业网

参考官网：
https://help.aliyun.com/document_detail/128653.html?spm=a2c4g.11186623.6.562.72b27435d9iERF

4.1.2.3 企业网以及VPC的路由分析

理解路由是很关键的步骤，也是检查配置问题最终、最有效的手段，所以我们花点时间。
1）香港地域网关

图4

100.64.0.0/10是云服务的保留地址段，由系统自动添加，以下不再重复解释。
2）法兰克福地域网关

图5

从香港和法兰克服地域网关的路由信息来看：
①VPC1，VPC2的路由成功上报给香港地域网关，并且同步至法兰克福的地域网关。
②VPC3的路由成功上报给法兰克福的地域网关，并且同步至香港的地域网关。
接下来我们看下各个VPC的情况，看下地域网关是否将对应的路由信息下发。
3）VPC1

图6

4）VPC2

图7

5）VPC3

图8

从VPC内的路由信息来看：
VPC内部的交换机网段，系统自动添加了本地路由，且已经上报至对应地域网关。
地域网关中的VPC上报的路由信息，已经下发至其他VPC中。

4.1.2.4 ping再次检验当前连通性

VPC1-ECS1----ok----VPC1-ECS2 （同一个VPC，二层互通）
VPC1-ECS1/2----ok----VPC2-ECS1 (云企业网连通)
VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)

4.2 场景二：限制VPC间互通

4.2.1 场景描述

VPC1与VPC3互通（场景一已实现），VPC1与VPC2不通，VPC2与VPC3不通。

图9

4.2.2 策略分析-VPC1与VPC2不通（同地域）

如VPC1与VPC2不通，那么我们要从1，2，3，4入手，其中1，4是VPC上报路由给地域网关，为了不影响VPC1，VPC2的路由上报并且下发给VPC3，所以我们需要保证畅通，那么可以从2和3入手。
1）其中2中可以设置策略让VPC1拒绝由香港地域网关同步过来的VPC2的路由，源是VPC2，目的是VPC1，出地域网关方向。
2）对于3可以设置策略：让VPC2拒绝由香港地域网关同步过来的VPC1的路由，源是VPC1，目的是VPC2，出地域网关方向。

图10

4.2.3 策略配置-VPC1与VPC2不通（同地域）

4.2.3.1 拒绝VPC1访问VPC2的路由

对应图10中线路2
1)点击添加路由策略

图11

2)填写策略信息

策略优先级：数字越小，优先级越高
地域：香港地域
应用方向：出地域网关
匹配条件：源和目的VPC
策略行为：拒绝

图12

3)检查效果，查看VPC1的路由表，可以看到已经拒绝VPC1访问VPC2的路由。

图13

4.2.3.2 拒绝VPC2访问VPC1的路由

对应图10中线路3
1）配置步骤同上，配置截图如下：

图14

2）检查效果：查看VPC2的路由表，可以看到已经拒绝VPC2访问VPC1的路由。

图15

4.2.4 策略验证-VPC1与VPC2不通（同地域）

ping检验当前连通性:

VPC1-ECS1----ok----VPC1-ECS2 （同一个VPC，二层互通）
VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)

4.2.5 策略分析-VPC2与VPC3不通（跨地域）

如VPC2与VPC3不通，那么我们要从3，4，5，6，7，8入手，其中4，8是VPC上报路由给地域网关，为了不影响VPC2，VPC3的路由上报并且下发给VPC1，所以我们需要保证畅通，然后5，6是保证两个地域之间的路由互通的，为了不影响地域下其他VPC的互通，需要保证通畅，那么可以从3和7入手。
1）其中3中可以设置策略让VPC2拒绝由香港地域网关同步过来的VPC3的路由，源是VPC3，目的是VPC2，出地域网关方向。
2）对于7可以设置策略：让VPC2拒绝由法兰克福地域网关同步过来的VPC2的路由，源是VPC2，目的是VPC3，出地域网关方向。

图16

4.2.6 策略配置-VPC2与VPC3不能互通（跨地域）

4.2.6.1 拒绝VPC2访问VPC3的路由

对应图16中线路3
1）配置截图如下：
主要注意点，由于配置跨地域了，需要指明源实例对应的地域：法兰克福。

图17

2)检查效果，查看VPC2的路由表，可以看到已经拒绝VPC2访问VPC3的路由。

图18

4.2.6.2 拒绝VPC2访问VPC3的路由

对应图16中线路7
1）配置截图如下：
主要注意点，这次地域选择法兰克福，由于配置跨地域了，需要指明源实例对应的地域：香港。

图19

2)检查效果，查看VPC3的路由表，可以看到已经拒绝VPC3访问VPC2的路由。

图20

4.2.7 策略验证-VPC2与VPC3不通（跨地域）

ping检验当前连通性:

VPC1-ECS1----ok----VPC1-ECS2 （同一个VPC，二层互通）
VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
VPC2-ECS1----Nok----VPC3-ECS1 (访问控制策略生效)

至此，场景二的需求已经完全实现！

4.3 场景三：限制网段间互通

4.3.1 场景描述

VPC1与VPC2不通（场景二已实现），VPC2与VPC3连通（需要去除场景二中4.2.6章节的控制策略），VPC1的vswitch1与VPC3不通，vswitch2与VPC连通。

图21

4.3.2 策略分析-VPC2与VPC3互通

删除4.2.6中配置的路由策略即可。

4.3.3 策略配置-VPC2与VPC3互通

1）删除策略（这里为实验环境，实际生产环境删除策略需谨慎评估）。

图22

2）检查效果

VPC2中VPC3的路由条目恢复可用。

图23

VPC3中VPC2的路由条目恢复可用。

图24

4.3.4 策略验证-VPC2与VPC3互通

ping检验当前连通性:

VPC1-ECS1----ok----VPC1-ECS2 （同一个VPC，二层互通）
VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
VPC1-ECS1/2----ok----VPC3-ECS1 (云企业网连通)
VPC2-ECS1----ok----VPC3-ECS1 (访问控制策略删除)

4.3.5 策略分析-VPC1与VPC3限制网段互通

VPC1与VPC3的联通，要从1，2，5，6，7，8入手，其中1，8是VPC上报路由给地域网关，为了不影响VPC1，VPC3的路由上报并且下发给其他VPC，所以我们需要保证畅通，然后5，6是保证两个地域之间的路由互通的，为了不影响地域下其他VPC的互通，需要保证通畅。最后由于VPC1中只是部分网段与VPC3不通，所以VPC3的路由还是需要通过2给到VPC1，所以我们从7入手。
1）7可以设置策略：让VPC3拒绝由法兰克福地域网关同步过来的VPC1的路由条目10.0.1.0/24，源是VPC1，目的是VPC3，出地域网关方向，并且指定网段。

图25

4.3.6 策略配置-VPC1与VPC3限制网段互通

1）配置截图，重点是增加路由前缀的匹配条件。

图26

2）检查效果
VPC3中已经拒绝了VPC1中10.0.1.0/24网段的路由。

图27

4.3.7 策略验证-VPC1与VPC3限制网段互通

ping检验当前连通性:

VPC1-ECS1----ok----VPC1-ECS2 （同一个VPC，二层互通）
VPC1-ECS1/2----Nok----VPC2-ECS1 (访问控制策略生效)
VPC1-ECS1----Nok----VPC3-ECS1 (访问控制策略)
VPC1-ECS2----ok----VPC3-ECS1 (云企业网连通)
VPC2-ECS1----ok----VPC3-ECS1 (云企业网连通)

至此，场景三的全部需求实现。

4.4 反向思维：默认不通，选择性打通

4.4.1 场景描述

云企业网（CEN）默认策略是加入的实例全部互通，对于VPC，VBR实例较多，且时不时有新增实例，访问控制较为复杂的用户，可以选择先设置默认Deny的低优先级策略然后根据需求再做开通的高优先级策略。建议用户用此方式管理CEN路由策略。
让我们用反向的思维，重新看待下场景二：

图28

4.4.2 策略分析--反向思维

如何做到让加入的VPC，VBR实例都默认不通呢？在前面的整个配置过程中，我们都是通过拒绝CEN的地域网关下发到VPC，VBR的路由来实现不互通的需求，那么我们考虑设置整个地域的实例默认拒绝CEN地域网关下发的路由即可，效果如下图。
1）香港地域网关：出地域网关方向，所有VPC，VBR，CCN（云链接网）拒绝网关的下发路由。
2）法兰克福地域网关：出地域网关方向，所有VPC，VBR，CCN（云链接网）拒绝网关的下发路由。

图29

经过上面两步后，两个地域除了网关之间的所有入地域网关均被阻断，包括后续新增加的VPC，VBR实例。所以，当前场景二就演变成需要打通VPC2与VPC3。即新增策略（策略优先级一定要高于默认Deny的策略）允许3和7。

图30

1）其中3中可以设置策略让VPC1允许由香港地域网关同步过来的VPC3的路由，源是VPC3，目的是VPC2，出地域网关方向。
2）对于7可以设置策略：让VPC3允许由法兰克福网关同步过来的VPC2的路由，源是VPC2，目的是VPC3，出地域网关方向。

4.4.3 策略配置--反向思维

4.4.3.1 配置香港与法兰克福地域网关默认不通

对应图29
对于我们的实验环境，为了演示方便，清理场景二、三种配置的路由策略（实际生产环境删除策略需谨慎评估）。然后所有VPC，VBR，CCN拒绝CEN地域网关下发的路由，策略优先级设置低一些，后续设置的放通策略优先级是一定要高于默认拒绝的策略，配置截图如下：
a.香港地域

图31

b.法兰克福地域

图32

此时VPC1，VPC2，VPC3中拒绝了所有本地域的CEN网关发来的路由，VPC1举例截图如下：

图33

4.4.3.2 配置VPC1与VPC3可以互通

对应图30
a. 允许VPC1接受VPC3的路由，策略优先级要高于默认的策略。

图34

路由验证：VPC1中已经接受VPC3的路由信息。

图35

b. 允许VPC3接受VPC1的路由，策略优先级要高于默认的策略。

图36

路由验证：VPC3中已经接受VPC1的路由信息。

图37

4.4.4 策略验证-反向思维

图38

ping检验当前连通性:

VPC1-ECS1----ok----VPC1-ECS2 （同一个VPC，二层互通）
VPC1-ECS1/2----Nok----VPC2-ECS1 (默认不通的访问控制策略生效)
VPC1-ECS1/2----ok----VPC3-ECS1 (允许VPC1与VPC3通信的访问策略生效)
VPC2-ECS1----Nok----VPC3-ECS1 (默认不通的访问控制策略生效)

至此，场景二的需求已经通过反向思维完全实现！后续：
如果在香港，法兰克福地域有新加入VPC，VBR实例，需要与已经在CEN中的实例通信时，只需要按照4.4.3.2的方式配置一对放通策略即可。
如果有其他地域的VPC，VBR实例加入CEN，可以先如4.4.3.1配置默认deny的策略，然后再根据情况按4.4.3.2配置放通策略。

原文链接

本文为阿里云原创内容，未经允许不得转载。