独角兽企业网络实战~阿里云云企业网物理专线对接

物理专线简单拓扑

项目需求

这里不说明具体的项目背景，简单说下需求：在杭州下沙某IDC租赁一批机柜，并放置公司核心数据，该批机柜内的服务器网络需要和公司阿里云上的ECS、RDS、K8S等环境的网络互通，因业务流量大、网络稳定性和安全性要求高的情况下，选择物理专线进行互联，而为了保证网络的冗余，购买了2根物理专线做负载接入，充分利用带宽并保证冗余负载。

前期物理专线部署情况

项目前期因不是我实施的，前期阿里云VBR和IDC交换机的接入都是直接使用静态路由进行对接阿里云服务器租用，在阿里云文档说明就是：本地IDC通过负载冗余专线连接上云，如下图所示：

负载冗余专线上云

关于前期的，物理专线购买和相关流程就不在这边具体说明，需要了解的可以直接私聊我。

在阿里侧的物理专线购买、物理专线施工、部署、端口测试等一系列流程可以参考阿里云文档：

VBR相关的配置流程也在文档内有详细说明，如果需要详细了解云上流程，可以私聊我。

后期IDC侧和阿里云侧方案改动

因路由条目太多，而且后期维护静态路由实在是头痛，因一次服务器机房要做技术改造，顺便把两边互联的网络由静态改为动态BGP互联，为了保证在上线初始不会出现问题，遂在ENSP中做了测试验证，阿里云侧BGP配置很简单。如下所示：

基础验证图

#阿里云侧
system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname aliyun-vbr
[aliyun-vbr]interface GigabitEthernet 0/0/0
[aliyun-vbr-GigabitEthernet0/0/0]ip address 10.0.0.1  255.255.255.252

[aliyun-vbr]dis interface brief    #查看端口状态信息
[~IDC-Core]interface LoopBack 0
[~IDC-Core-LoopBack0]ip address 1.1.1.1  255.255.255.255
[aliyun-vbr]bgp 45104
[aliyun-vbr-bgp]router-id 1.1.1.1
[aliyun-vbr-bgp]peer 10.0.0.2 as 65512
[aliyun-vbr-bgp]network 172.16.1.0 24

#IDC侧
system-view
Enter system view, return user view with return  command.
[~HUAWEI]sysname IDC-Core
[*HUAWEI]commit
[~IDC-Core]interface GE1/0/0
[*IDC-Core-GE1/0/0]undo portswitch    #改为三层接口
[*IDC-Core-GE1/0/0]ip address 10.0.0.2  255.255.255.252
[*IDC-Core-GE1/0/0]commit
[~IDC-Core-GE1/0/0]
[*IDC-Core]interface LoopBack 0

[*IDC-Core-LoopBack0]ip address 2.2.2.2  255.255.255.255
[*IDC-Core-LoopBack0]commit
[~IDC-Core]bgp 65512
[~IDC-Core-bgp]router-id 1.1.1.1
[*IDC-Core-bgp]peer 10.0.0.1 as 45104
[*IDC-Core-bgp]network 172.16.40.0 24
[*IDC-Core-bgp]network 172.16.50.0 24
[*IDC-Core-bgp]commit

进一步模拟真实VBR：

添加两个路由器代替VBR

#阿里云侧VBR1
system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname aliyun-vbr1
[aliyun-vbr1]interface GigabitEthernet 0/0/0
[aliyun-vbr1-GigabitEthernet0/0/0]ip address 10.0.0.1  255.255.255.252
[aliyun-vbr1]dis interface brief    #查看端口状态信息

[aliyun-vbr1]interface LoopBack 0
[[aliyun-vbr1-LoopBack0]ip address 1.1.1.1  255.255.255.255
[aliyun-vbr1]bgp 45104
[aliyun-vbr1-bgp]router-id 1.1.1.1
[aliyun-vbr1-bgp]peer 10.0.0.2 as 65512
[aliyun-vbr1-bgp]network 172.16.1.0 24

#阿里云侧VBR2
system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname aliyun-vbr
[aliyun-vbr2]interface GigabitEthernet 0/0/0
[aliyun-vbr2-GigabitEthernet0/0/0]ip address 10.0.0.5  255.255.255.252
[aliyun-vbr2]dis interface brief    #查看端口状态信息
[aliyun-vbr2]interface LoopBack 0
[aliyun-vbr2-LoopBack0]ip address 3.3.3.3  255.255.255.255

[aliyun-vbr]bgp 45104
[aliyun-vbr-bgp]router-id 1.1.1.1
[aliyun-vbr-bgp]peer 10.0.0.6 as 65512
[aliyun-vbr-bgp]network 172.16.2.0 24

#IDC侧--CE6851交换机侧
system-view
Enter system view, return user view with return  command.
[~HUAWEI]sysname IDC-Core
[*HUAWEI]commit
[~IDC-Core]interface GE1/0/0
[*IDC-Core-GE1/0/0]undo portswitch    #改为三层接口
[*IDC-Core-GE1/0/0]ip address 10.0.0.2  255.255.255.252
[~IDC-Core]interface GE1/0/2
[*IDC-Core-GE1/0/2]undo portswitch    #改为三层接口
[*IDC-Core-GE1/0/2]ip address 10.0.0.6  255.255.255.252
[*IDC-Core-]commit
[~IDC-Core]
[*IDC-Core]interface LoopBack 0
[*IDC-Core-LoopBack0]ip address 2.2.2.2  255.255.255.255

[*IDC-Core-LoopBack0]commit
[~IDC-Core]bgp 65512
[~IDC-Core-bgp]router-id 1.1.1.1
[*IDC-Core-bgp]peer 10.0.0.1 as 45104
[*IDC-Core-bgp]peer 10.0.0.5 as 45104
[*IDC-Core-bgp]network 172.16.40.0 24
[*IDC-Core-bgp]network 172.16.50.0 24
[*IDC-Core-bgp]commit

最终拓扑如下：

最终拓扑情况

在案例中，由于没有办法模拟VBR，故使用路由器代替VBR，作用其实也差不多。而在真实环境中，VBR是在阿里云控制台中界面上配置，如下图所示：

阿里云物理专线对接下的VBR

配置VBR中BGP组信息和BGP邻居，其他IDC侧交换机由于是华为CE6851交换机，故基础命令保持一致，如果需要配置BFD检测，需要在阿里云侧开通BFD检测功能阿里云服务器租用，交换机侧配置双向转发BFD。

到此就基本完成部署。

项目结束

在实际部署中，遇到一点问题，就是由于配置BGP时，我们IDC侧是两台交换机组建的iStack，而施工人员将接口线路接错了，导致排查一段时间，后面进行修改顺利完成BGP的改造。

再次需要说明：阿里云物理专线对应的VBR需要加入云企业网中，由于我们由多地VPC和三地办公区域的组网，利用云企业网搭建一个混合云网络。