V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
rayli
V2EX  ›  云计算

[阿里云网路] 项目对接银行专线,不太懂网,求帮忙

  •  
  •   rayli · 2020-11-03 19:15:17 +08:00 · 5294 次点击
    这是一个创建于 1515 天前的主题,其中的信息可能已经有所发展或是发生改变。

    介绍: 公司项目跟银行有业务关联,需要互调接口,银行通过联通从机房接了一条专线到阿里云上,现在物理条件已满足。 联通方跟银行放都说自己配置完了,现在就自己这边还没有搞好。 刚刚从开发转到运维,对于网络这块还不是很熟悉,而且阿里云又把物理设备的功能都用软件定义抽象出来,操作方式也从命令变成 web 页的视图交互,真的不知道该如何下手。 友商说我这边只要放通路由就好,感觉应该是比较简单的工作,奈何小弟才疏学浅,很多概念还没理清,也不知道应该用什么云产品,希望有经验的大佬给指点一二,感激不尽! 以下是银行方给出的方案:

    	贵单位有多台服务器需与建行进行业务交互,或者贵单位有网络工程师能够调通网络,此时可以采用将专线接入贵单位网络设备的方案。对有条件的外联单位,我们推荐这种方案,更具扩展性,也能实现更多的安全管控。
    

    无标题.png

        一:在贵单位专线接入网络设备,添加到建行服务器或服务器网段的路由
    	二:从贵单位服务器到贵单位边缘网络设备(专线接入的网络设备),可能经过了 N 多网络设备,每个网络设备上都要有到建行服务器 IP 和贵单位服务器 IP 的路由,这个也是最容易出错的地方,请关注。
    	三:如果贵单位的内部网络中存在防火墙,则请在防火墙上开通对应的访问策略
    
    	网络验证方法:
    		注意:必须在贵单位与建行做业务的服务器上进行该验证!严禁在贵单位专线接入网络设备上执行以下验证!
    		ping 15.58.6.X (建行服务器 IP,这里仅举例)
    		telnet 15.58.6.X 8080 (建行服务器 IP 服务端口号,这里仅举例)
    
    	如果网络不通,建议的检查方案:
    	注意:必须在贵单位与建行做业务的服务器上进行该验证!严禁在贵单位专线接入网络设备上执行以下验证!
    	Windows 操作:tracert -d 15.58.6.X (建行服务器 IP,这里仅举例)
    	Ubuntu 操作:traceroute 15.58.6.X (建行服务器 IP,这里仅举例)
    	如果 trace 在贵单位内网中断则请自行检查,如果 trace 到达建行,则请联系建行网络人员协助检查。
    
    第 1 条附言  ·  2020-11-04 17:28:28 +08:00

    感谢各位的关注和指导参考,目前专线已通,为各位总结一下此次对接工作的基本操作和问题以帮助同样正在困惑的朋友(可能有些问题比较低级,或者不准确,欢迎指正,另外此次对接工作我的视野和可操作空间仅限于阿里云的云产品,所以对于阿里云以外的维度无法说明)

    1. 我们此次对接工作的方案拓扑基本如上图(一楼),作为阿里云用户仅考虑<VBR>阿里云一侧的网络配置即可。

    2. 专线接入以后,

      • 在阿里云的<高速通道控制台>建立<VBR>
      • 在阿里云的<云企业网>创建<CEN>,并将目标<VBR>和<VPC>进行关联;
    3. 此时<专线><VBR><VPC><ECS>四个基本要素已全部具备且已关联,接下来就是对各项进行配置(默认路由其实是全通的,基本不需要额外设置)

    4. 我遇到的一些问题:

      • 阿里云的 VBR 和 VPC 跟实际的网络设备差别很大,尤其是没有网关,这让我这个只会一点 ping,telnet,tracepath 三个命令的网络小白来说,根本不知道怎么去判断我的 ECS 具体可以到达哪个节点。但是在该文档中( https://www.alibabacloud.com/help/zh/doc-detail/146578.htm?spm=a2c63.l28256.a3.57.48726e07imzvHy )步骤三第四小点 [说明] 可以实现对 VBR 节点的测试。在此特别感谢 3 楼 walkersz ;
      • 这次工作中应用到了 BGP 协议,关于 BGP 的配置是在 VBR 中操作的(主要包括:创建<BGP 组>,添加<BGP 邻居>,宣告<BGP 网段>),BGP 的配置除了添加<BGP 邻居>的 peer AS 号需要第三方运营商提供,其他参数都根据拓扑图填写;
      • 公网私用(阿里云隐藏要素,这一关键字我在阿里云文档中没有看到,直到提交工单,阿里云的技术支持才说明这是特殊场景),银行端用的内网网段是公网 ip 段,需要向阿里云提交工单然后让把售后工程师把银行端内网网段在 VPC 上完成”公网私用“的行为。

    这样看来整个工作并不需要很多操作,也基本没什么难度,只是刚转岗,对这一领域不熟悉,很多时候甚至连问题都不知道该怎么提,主要还是研究文档,了解基本概念,补充基础知识,然后才能跟友商的运维进行信息对等的交流,再不济向阿里云提工单,毕竟咱们花了钱。

    ( Tip:如果觉得工单回复慢,或者售后回复驴唇不对马嘴,请打这个电话:4008013260,我今天打了这个电话投诉后,阿里云的工程师智商明显上线,响应也快很多,顺便在吐槽一下阿里云的工单窗口,你不刷新页面是看不到对方发来的最新消息的,淦!)

    希望可以给各位一个参考,再次感谢楼下各位的留言!

    30 条回复    2020-11-16 00:18:10 +08:00
    rayli
        1
    rayli  
    OP
       2020-11-03 19:16:53 +08:00
    补一下图片链接:
    user8341
        2
    user8341  
       2020-11-03 19:25:24 +08:00
    每个网络设备上都要有到建行服务器 IP 和贵单位服务器 IP 的路由,这个也是最容易出错的地方,请关注。
    walkersz
        3
    walkersz  
       2020-11-03 19:52:47 +08:00
    https://www.alibabacloud.com/zh/products/express-connect?spm=a2c63.p38356.3156523820.dnavproductnetwork9.141d4867g71aP0

    看下这个文档有帮助不。


    之前在腾讯云上拉过专线。 主要做的内容,可以参考下:
    1 、在专线接入功能上 配置 bgp 连接。 主要参数专线 id 、vlanid 、bgp 密钥等
    2 、vpc 内容配置专线网关,vpc 路由表上配置到对方网络的路由
    rayli
        4
    rayli  
    OP
       2020-11-03 20:11:37 +08:00
    @walkersz
    您好,以下除了物理专线,其他均为阿里云产品。

    [建行专线(已在阿里云控制台可见)---VBR(边界路由器已连接物理专线,已按照联通方提供的文档做完 BGP)---云企业网(用于连接 VBR 和 VPC)---VPC(虚拟专用网络)---内网实例]
    这是我目前能够在控制台看得到且做完的连接。
    刚刚发现阿里云有个 [NAT 网关] 产品,VPC 的下一跳正好可以指向该类型,但是 [NAT 网关] 的创建必须绑定公网 IP (公司是创业公司,领导也不懂这些,但是钱卡的很紧,必须要避免不必要的消费,压力大),所以这个 [NAT 网关] 也需要购买吗?有了网关之后要怎么做,另外,我要怎么追踪网络路径的连通性?
    请大佬指导
    rayli
        5
    rayli  
    OP
       2020-11-03 20:16:55 +08:00
    @user8341 注意到了,可是我现在不清楚问题所在
    qoo2019
        6
    qoo2019  
       2020-11-03 20:34:11 +08:00 via iPhone
    双方互联地址设置了没?另外 vpc 路由表和专线都配置下路由规则,下一跳一边到 vpc,一边到专线
    rayli
        7
    rayli  
    OP
       2020-11-03 21:02:21 +08:00
    @qoo2019
    双方互联 ip 由联通方设置了
    VPC 具有路由表功能,下一跳只能跳到 [ECS 实例,VPN 网关,NAT 网关,辅助弹性网卡] 四种类型
    VBR 具有路由功能,下一跳可以跳到专有网络和专线(系统有默认创建)
    VPC 与 VBR 虽然都加入了 [云企业网] ,但是没有建立对等连接,我不是很清楚这一步操作,所以我的 VPC 跟 VBR 目前应该是断开的。
    阿里云的 VPC 在 web 页面上没有提到网关,我不知道阿里云的 VPC 在创建时是真的没有网关,还是隐藏了,但是有个独立的云产品[NAT 网关],创建它需要再开通公网 IP,我不清楚它需不要出现在这个解决方案里
    我现在遇到的问题,要怎么将 VPC 和 VBR 连接起来
    我仍在阅读阿里云的产品手册,同时希望可以得到大家的帮助和指导
    walkersz
        8
    walkersz  
       2020-11-03 21:11:17 +08:00
    @rayli NAT 网关是给 VPC 内机器(一般是没外网机器)访问外网使用的
    walkersz
        9
    walkersz  
       2020-11-03 21:21:34 +08:00
    Illusionary
        10
    Illusionary  
       2020-11-03 22:02:19 +08:00
    @rayli vpc 和 vbr 的关联,需要用到云企业网,如果 vpc 和 vbr 不在一个地域,还需要在云企业网那里购买带宽包
    opengps
        11
    opengps  
       2020-11-03 22:13:24 +08:00
    一下子横跨银行的物理网络,云厂商的软件定义网络,确实挺绕
    楼主的专线是阿里云跟建行之间的,然后本地跟阿里云打通企业内网吗?
    freelancher
        12
    freelancher  
       2020-11-04 00:23:01 +08:00   ❤️ 2
    去找找付费咨询的网络工程师吧。不然这里的答案我感觉不太正确。也没时间帮你慢慢调试。
    lbp0200
        13
    lbp0200  
       2020-11-04 08:06:10 +08:00 via iPhone
    用宝塔面板?
    mahaonan1994
        14
    mahaonan1994  
       2020-11-04 08:36:55 +08:00 via Android   ❤️ 2
    @lbp0200 这是想楼主 s 么?
    aliyun9898
        15
    aliyun9898  
       2020-11-04 09:24:09 +08:00
    不懂 但是可以问
    lbp0200
        16
    lbp0200  
       2020-11-04 09:46:00 +08:00
    @mahaonan1994 其实,我想说的是建行啊!!!这种情况不应该赶紧请个专业团队吗?
    defunct9
        17
    defunct9  
       2020-11-04 09:54:58 +08:00
    开 ssh,让我上去看看
    rayli
        18
    rayli  
    OP
       2020-11-04 09:57:50 +08:00
    @freelancher 已经向阿里云提交工单,希望可以顺利解决。
    rayli
        19
    rayli  
    OP
       2020-11-04 09:58:43 +08:00
    @opengps 最终目的使阿里云内网实例可以接通建行内网服务器
    rayli
        20
    rayli  
    OP
       2020-11-04 10:00:16 +08:00
    @walkersz 感谢,正在阅读
    cubecube
        21
    cubecube  
       2020-11-04 10:15:31 +08:00
    专线上创建 vbr,vbr 创建路由策略,将 vbr 加入 vpc,vpc 创建路由策略。就这几个步骤
    yorkyoung
        22
    yorkyoung  
       2020-11-04 10:16:29 +08:00
    很好奇 为什么严禁在专线接入网络设备上执行 ping telnet 和 traceroute
    yorkyoung
        23
    yorkyoung  
       2020-11-04 10:18:18 +08:00
    这要是保密级别不高就可以用 WireGuard
    julyclyde
        24
    julyclyde  
       2020-11-04 14:16:32 +08:00
    @lbp0200 不对于懂的问题就多看,别多说
    zhangsanfeng2012
        25
    zhangsanfeng2012  
       2020-11-04 14:35:59 +08:00
    underlay 网络不需要考虑
    如果用 bgp 协议发布路由,你这边路由设备(173.173.173.2 )跟对端(173.173.173.1)建立邻居,把 192.168.1.1/24 发布出去就行了
    如果用静态路由,本地路由器就手配到 15.58.5.x 的下一跳是 173.173.173.1,对端路由器配置到 192.168.1.1/24 下一跳是 173.173.173.2
    strongcoder
        26
    strongcoder  
       2020-11-04 14:58:42 +08:00
    @defunct9 #17 又是你,每次都要 SSH 哈哈哈
    FreeEx
        27
    FreeEx  
       2020-11-04 15:03:02 +08:00
    静态路由就完事了
    defunct9
        28
    defunct9  
       2020-11-04 16:55:19 +08:00
    @strongcoder 是我,是我,还是我。
    rayli
        29
    rayli  
    OP
       2020-11-04 17:24:06 +08:00   ❤️ 1
    感谢各位的关注和指导参考,目前专线已通,为各位总结一下此次对接工作的基本操作和问题以帮助同样正在困惑的朋友(可能有些问题比较低级,或者不准确,欢迎指正,另外此次对接工作我的视野和可操作空间仅限于阿里云的云产品,所以对于阿里云以外的维度无法说明)
    1.我们此次对接工作的方案拓扑基本如上图(一楼),作为阿里云用户仅考虑<VBR>阿里云一侧的网络配置即可。
    2.专线接入以后,
    - 在阿里云的<高速通道控制台>建立<VBR>
    - 在阿里云的<云企业网>创建<CEN>,并将目标<VBR>和<VPC>进行关联;
    3.此时<专线><VBR><VPC><ECS>四个基本要素已全部具备且已关联,接下来就是对各项进行配置(默认路由其实是全通的,基本不需要额外设置)
    4.我遇到的一些问题:
    - 阿里云的 VBR 和 VPC 跟实际的网络设备差别很大,尤其是没有网关,这让我这个只会一点 ping,telnet,tracepath 三个命令的网络小白来说,根本不知道怎么去判断我的 ECS 具体可以到达哪个节点。但是在该文档中( https://www.alibabacloud.com/help/zh/doc-detail/146578.htm?spm=a2c63.l28256.a3.57.48726e07imzvHy )步骤三第四小点 [说明] 可以实现对 VBR 节点的测试。在此特别感谢 3 楼 walkersz ;
    - 这次工作中应用到了 BGP 协议,关于 BGP 的配置是在 VBR 中操作的(主要包括:创建<BGP 组>,添加<BGP 邻居>,宣告<BGP 网段>),BGP 的配置除了添加<BGP 邻居>的 peer AS 号需要第三方运营商提供,其他参数都根据拓扑图填写;
    - 公网私用(阿里云隐藏要素,这一关键字我在阿里云文档中没有看到,直到提交工单,阿里云的技术支持才说明这是特殊场景),银行端用的内网网段是公网 ip 段,需要向阿里云提交工单然后让把售后工程师把银行端内网网段在 VPC 上完成”公网私用“的行为。

    这样看来整个工作并不需要很多操作,也基本没什么难度,只是刚转岗,对这一领域不熟悉,很多时候甚至连问题都不知道该怎么提,主要还是研究文档,了解基本概念,补充基础知识,然后才能跟友商的运维进行信息对等的交流,再不济向阿里云提工单,毕竟咱们花了钱。( Tip:如果觉得工单回复慢,或者售后回复驴唇不对马嘴,请打这个电话:4008013260,我今天打了这个电话投诉后,阿里云的工程师智商明显上线,响应也快很多,顺便在吐槽一下阿里云的工单窗口,你不刷新页面是看不到对方发来的最新消息的,淦!)
    希望可以给各位一个参考,再次感谢楼下各位的留言!
    vicou
        30
    vicou  
       2020-11-16 00:18:10 +08:00 via Android
    学习收藏一波
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2693 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 11:49 · PVG 19:49 · LAX 03:49 · JFK 06:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.