簡介：?網絡架構優化--云企業網典型場景分析for客戶

?

?

1. 背景描述

客戶從傳統的高速通道遷移到云企業網，加入云企業網的VPC，VBR默認全通，但是實際業務場景需要更嚴格的策略做選擇性放通。此外，由于測試賬號沒有實際專線和VBR，本文均以VPC舉例講解路由策略的配置，VBR類似。

2. 概念理解

?

圖1

?

3. 環境準備

3.1 創建VPC，vswitch，ECS

VPC1：vpc-j**nv?網段：10.0.0.0/8 地域：香港地
vswitch1: 10.0.1.0/24 香港 可用區B
VPC1-ECS1：10.0.1.*
vswitch2: 10.0.2.0/24 香港 可用區B
VPC1-ECS2：10.0.2.*

VPC2：vpc-j**ob?網段：172.16.0.0/12 地域：香港
vswitch: 172.16.1.0/24 香港 可用區B
VPC2-ECS1:172.16.*

VPC3：vpc-g**rl?網段：192.168.0.0/16 地域：法蘭克福
vswitch: 192.168.1.0/24 法蘭克福 可用區A
VPC3-ECS1:192.168.1.*

以上3個VPC的4個vswitch各創建一臺ECS，安全組上放開10.0.0.0/8，172.16.0.0/12 ,192.168.0.0/16

3.2 創建CEN

參考官網：https://help.aliyun.com/document_detail/128625.html?spm=a2c4g.11186623.6.561.697561e2p5r1ha

I 登錄云企業網控制臺。
II 在云企業網實例頁面，單擊創建云企業網實例。
III 在創建云企業網實例頁面，完成以下操作：

輸入實例名稱。名稱長度為2~128個字符，以英文字母或中文開頭，可包含數字、下劃線（_）和短橫線（-）。

可選： 輸入實例描述信息。名稱長度為2~256個中英文字符，不能以http://和https://開頭。

加載同賬號下的網絡實例。您可以在創建CEN實例時，將同賬號下的網絡實例包括專有網絡VPC、邊界路由器VBR或云連接網CCN直接加載到CEN實例中。加載后，CEN實例內的網絡實例可私網互通。
說明：確保要加載的網絡實例沒有加入到其他的云企業網實例中。

IV 單擊確定。

?

圖2

?

4. 場景實戰

4.1 場景一：VPC通過CEN實現全通

4.1.1 場景描述：VPC1，VPC2，VPC3全部互通

?

圖3

?

4.1.2 實現步驟

4.1.2.1 ping檢驗當前連通性

• VPC1-ECS1----ok----VPC1-ECS2 （同一個VPC，二層互通）
• VPC1-ECS1/2----Nok----VPC2-ECS1
• VPC1-ECS1/2----Nok----VPC3-ECS1
• VPC2-ECS1----Nok----VPC3-ECS1

  (ok表示可以ping通，Nok表示無法ping通，下同）

4.1.2.2 將3個VPC加入云企業網

參考官網：
https://help.aliyun.com/document_detail/128653.html?spm=a2c4g.11186623.6.562.72b27435d9iERF

4.1.2.3 企業網以及VPC的路由分析

理解路由是很關鍵的步驟，也是檢查配置問題最終、最有效的手段，所以我們花點時間。
1）香港地域網關

?

圖4

?

100.64.0.0/10是云服務的保留地址段，由系統自動添加，以下不再重復解釋。
2）法蘭克福地域網關

?

圖5

?

從香港和法蘭克服地域網關的路由信息來看：
①VPC1，VPC2的路由成功上報給香港地域網關，并且同步至法蘭克福的地域網關。
②VPC3的路由成功上報給法蘭克福的地域網關，并且同步至香港的地域網關。
接下來我們看下各個VPC的情況，看下地域網關是否將對應的路由信息下發。
3）VPC1

?

圖6

?

4）VPC2

?

圖7

?

5）VPC3

?

圖8

?

從VPC內的路由信息來看：
VPC內部的交換機網段，系統自動添加了本地路由，且已經上報至對應地域網關。
地域網關中的VPC上報的路由信息，已經下發至其他VPC中。

4.1.2.4 ping再次檢驗當前連通性

• VPC1-ECS1----ok----VPC1-ECS2 （同一個VPC，二層互通）
• VPC1-ECS1/2----ok----VPC2-ECS1 (云企業網連通)
• VPC1-ECS1/2----ok----VPC3-ECS1 (云企業網連通)
• VPC2-ECS1----ok----VPC3-ECS1 (云企業網連通)

4.2 場景二：限制VPC間互通

4.2.1 場景描述

VPC1與VPC3互通（場景一已實現），VPC1與VPC2不通，VPC2與VPC3不通。

?

圖9

?

4.2.2 策略分析-VPC1與VPC2不通（同地域）

如VPC1與VPC2不通，那么我們要從1，2，3，4入手，其中1，4是VPC上報路由給地域網關，為了不影響VPC1，VPC2的路由上報并且下發給VPC3，所以我們需要保證暢通，那么可以從2和3入手。
1）其中2中可以設置策略讓VPC1拒絕由香港地域網關同步過來的VPC2的路由，源是VPC2，目的是VPC1，出地域網關方向。
2）對于3可以設置策略：讓VPC2拒絕由香港地域網關同步過來的VPC1的路由，源是VPC1，目的是VPC2，出地域網關方向。

?

圖10

?

4.2.3 策略配置-VPC1與VPC2不通（同地域）

4.2.3.1 拒絕VPC1訪問VPC2的路由

對應圖10中線路2
1)點擊添加路由策略

?

圖11

?

2)填寫策略信息

• 策略優先級：數字越小，優先級越高
• 地域：香港地域
• 應用方向：出地域網關
• 匹配條件：源和目的VPC
• 策略行為：拒絕

?

圖12

?

3)檢查效果，查看VPC1的路由表，可以看到已經拒絕VPC1訪問VPC2的路由。

?

圖13

?

4.2.3.2 拒絕VPC2訪問VPC1的路由

對應圖10中線路3
1）配置步驟同上，配置截圖如下：

?

圖14

?

2）檢查效果：查看VPC2的路由表，可以看到已經拒絕VPC2訪問VPC1的路由。

?

圖15

?

4.2.4 策略驗證-VPC1與VPC2不通（同地域）

ping檢驗當前連通性:

• VPC1-ECS1----ok----VPC1-ECS2 （同一個VPC，二層互通）
• VPC1-ECS1/2----Nok----VPC2-ECS1 (訪問控制策略生效)
• VPC1-ECS1/2----ok----VPC3-ECS1 (云企業網連通)
• VPC2-ECS1----ok----VPC3-ECS1 (云企業網連通)

4.2.5 策略分析-VPC2與VPC3不通（跨地域）

如VPC2與VPC3不通，那么我們要從3，4，5，6，7，8入手，其中4，8是VPC上報路由給地域網關，為了不影響VPC2，VPC3的路由上報并且下發給VPC1，所以我們需要保證暢通，然后5，6是保證兩個地域之間的路由互通的，為了不影響地域下其他VPC的互通，需要保證通暢，那么可以從3和7入手。
1）其中3中可以設置策略讓VPC2拒絕由香港地域網關同步過來的VPC3的路由，源是VPC3，目的是VPC2，出地域網關方向。
2）對于7可以設置策略：讓VPC2拒絕由法蘭克福地域網關同步過來的VPC2的路由，源是VPC2，目的是VPC3，出地域網關方向。

?

圖16

?

4.2.6 策略配置-VPC2與VPC3不能互通（跨地域）

4.2.6.1 拒絕VPC2訪問VPC3的路由

對應圖16中線路3
1）配置截圖如下：
主要注意點，由于配置跨地域了，需要指明源實例對應的地域：法蘭克福。

?

圖17

?

2)檢查效果，查看VPC2的路由表，可以看到已經拒絕VPC2訪問VPC3的路由。

?

圖18

?

4.2.6.2 拒絕VPC2訪問VPC3的路由

對應圖16中線路7
1）配置截圖如下：
主要注意點，這次地域選擇法蘭克福，由于配置跨地域了，需要指明源實例對應的地域：香港。

?

圖19

?

2)檢查效果，查看VPC3的路由表，可以看到已經拒絕VPC3訪問VPC2的路由。

?

圖20

?

4.2.7 策略驗證-VPC2與VPC3不通（跨地域）

ping檢驗當前連通性:

• VPC1-ECS1----ok----VPC1-ECS2 （同一個VPC，二層互通）
• VPC1-ECS1/2----Nok----VPC2-ECS1 (訪問控制策略生效)
• VPC1-ECS1/2----ok----VPC3-ECS1 (云企業網連通)
• VPC2-ECS1----Nok----VPC3-ECS1 (訪問控制策略生效)

至此，場景二的需求已經完全實現！

4.3 場景三：限制網段間互通

4.3.1 場景描述

VPC1與VPC2不通（場景二已實現），VPC2與VPC3連通（需要去除場景二中4.2.6章節的控制策略），VPC1的vswitch1與VPC3不通，vswitch2與VPC連通。

?

圖21

?

4.3.2 策略分析-VPC2與VPC3互通

刪除4.2.6中配置的路由策略即可。

4.3.3 策略配置-VPC2與VPC3互通

1）刪除策略（這里為實驗環境，實際生產環境刪除策略需謹慎評估）。

?

圖22

?

2）檢查效果

• VPC2中VPC3的路由條目恢復可用。

?

圖23

?

• VPC3中VPC2的路由條目恢復可用。

?

圖24

?

4.3.4 策略驗證-VPC2與VPC3互通

ping檢驗當前連通性:

• VPC1-ECS1----ok----VPC1-ECS2 （同一個VPC，二層互通）
• VPC1-ECS1/2----Nok----VPC2-ECS1 (訪問控制策略生效)
• VPC1-ECS1/2----ok----VPC3-ECS1 (云企業網連通)
• VPC2-ECS1----ok----VPC3-ECS1 (訪問控制策略刪除)

4.3.5 策略分析-VPC1與VPC3限制網段互通

VPC1與VPC3的聯通，要從1，2，5，6，7，8入手，其中1，8是VPC上報路由給地域網關，為了不影響VPC1，VPC3的路由上報并且下發給其他VPC，所以我們需要保證暢通，然后5，6是保證兩個地域之間的路由互通的，為了不影響地域下其他VPC的互通，需要保證通暢。最后由于VPC1中只是部分網段與VPC3不通，所以VPC3的路由還是需要通過2給到VPC1，所以我們從7入手。
1）7可以設置策略：讓VPC3拒絕由法蘭克福地域網關同步過來的VPC1的路由條目10.0.1.0/24，源是VPC1，目的是VPC3，出地域網關方向，并且指定網段。

?

圖25

?

4.3.6 策略配置-VPC1與VPC3限制網段互通

1）配置截圖，重點是增加路由前綴的匹配條件。

?

圖26

?

2）檢查效果
VPC3中已經拒絕了VPC1中10.0.1.0/24網段的路由。

?

圖27

?

4.3.7 策略驗證-VPC1與VPC3限制網段互通

ping檢驗當前連通性:

• VPC1-ECS1----ok----VPC1-ECS2 （同一個VPC，二層互通）
• VPC1-ECS1/2----Nok----VPC2-ECS1 (訪問控制策略生效)
• VPC1-ECS1----Nok----VPC3-ECS1 (訪問控制策略)
• VPC1-ECS2----ok----VPC3-ECS1 (云企業網連通)
• VPC2-ECS1----ok----VPC3-ECS1 (云企業網連通)

至此，場景三的全部需求實現。

4.4 反向思維：默認不通，選擇性打通

4.4.1 場景描述

云企業網（CEN）默認策略是加入的實例全部互通，對于VPC，VBR實例較多，且時不時有新增實例，訪問控制較為復雜的用戶，可以選擇先設置默認Deny的低優先級策略然后根據需求再做開通的高優先級策略。建議用戶用此方式管理CEN路由策略。
讓我們用反向的思維，重新看待下場景二：

?

圖28

?

4.4.2 策略分析--反向思維

如何做到讓加入的VPC，VBR實例都默認不通呢？在前面的整個配置過程中，我們都是通過拒絕CEN的地域網關下發到VPC，VBR的路由來實現不互通的需求，那么我們考慮設置整個地域的實例默認拒絕CEN地域網關下發的路由即可，效果如下圖。
1）香港地域網關：出地域網關方向，所有VPC，VBR，CCN（云鏈接網）拒絕網關的下發路由。
2）法蘭克福地域網關：出地域網關方向，所有VPC，VBR，CCN（云鏈接網）拒絕網關的下發路由。

?

圖29

?

經過上面兩步后，兩個地域除了網關之間的所有入地域網關均被阻斷，包括后續新增加的VPC，VBR實例。所以，當前場景二就演變成需要打通VPC2與VPC3。即新增策略（策略優先級一定要高于默認Deny的策略）允許3和7。

?

圖30

?

1）其中3中可以設置策略讓VPC1允許由香港地域網關同步過來的VPC3的路由，源是VPC3，目的是VPC2，出地域網關方向。
2）對于7可以設置策略：讓VPC3允許由法蘭克福網關同步過來的VPC2的路由，源是VPC2，目的是VPC3，出地域網關方向。

4.4.3 策略配置--反向思維

4.4.3.1 配置香港與法蘭克福地域網關默認不通

對應圖29
對于我們的實驗環境，為了演示方便，清理場景二、三種配置的路由策略（實際生產環境刪除策略需謹慎評估）。然后所有VPC，VBR，CCN拒絕CEN地域網關下發的路由，策略優先級設置低一些，后續設置的放通策略優先級是一定要高于默認拒絕的策略，配置截圖如下：
a.香港地域

?

圖31

?

b.法蘭克福地域

?

圖32

?

此時VPC1，VPC2，VPC3中拒絕了所有本地域的CEN網關發來的路由，VPC1舉例截圖如下：

?

圖33

?

4.4.3.2 配置VPC1與VPC3可以互通

對應圖30
a. 允許VPC1接受VPC3的路由，策略優先級要高于默認的策略。

?

圖34

?

路由驗證：VPC1中已經接受VPC3的路由信息。

?

圖35

?

b. 允許VPC3接受VPC1的路由，策略優先級要高于默認的策略。

?

圖36

?

路由驗證：VPC3中已經接受VPC1的路由信息。

?

圖37

?

4.4.4 策略驗證-反向思維

?

圖38

?

ping檢驗當前連通性:

• VPC1-ECS1----ok----VPC1-ECS2 （同一個VPC，二層互通）
• VPC1-ECS1/2----Nok----VPC2-ECS1 (默認不通的訪問控制策略生效)
• VPC1-ECS1/2----ok----VPC3-ECS1 (允許VPC1與VPC3通信的訪問策略生效)
• VPC2-ECS1----Nok----VPC3-ECS1 (默認不通的訪問控制策略生效)

至此，場景二的需求已經通過反向思維完全實現！后續：
如果在香港，法蘭克福地域有新加入VPC，VBR實例，需要與已經在CEN中的實例通信時，只需要按照4.4.3.2的方式配置一對放通策略即可。
如果有其他地域的VPC，VBR實例加入CEN，可以先如4.4.3.1配置默認deny的策略，然后再根據情況按4.4.3.2配置放通策略。

原文鏈接

本文為阿里云原創內容，未經允許不得轉載。

總結

以上是生活随笔為你收集整理的网络架构优化--云企业网典型场景分析for客户的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。