CN112688847A - 一种云网络环境下vpc对等连接的实现方法 - Google Patents
一种云网络环境下vpc对等连接的实现方法 Download PDFInfo
- Publication number
- CN112688847A CN112688847A CN202010826675.7A CN202010826675A CN112688847A CN 112688847 A CN112688847 A CN 112688847A CN 202010826675 A CN202010826675 A CN 202010826675A CN 112688847 A CN112688847 A CN 112688847A
- Authority
- CN
- China
- Prior art keywords
- vpc
- peer
- router
- subnet
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 206010047289 Ventricular extrasystoles Diseases 0.000 claims abstract description 21
- 238000005129 volume perturbation calorimetry Methods 0.000 claims abstract description 21
- 230000008569 process Effects 0.000 claims description 8
- 230000006855 networking Effects 0.000 claims description 7
- RJKFOVLPORLFTN-LEKSSAKUSA-N Progesterone Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)C)[C@@]1(C)CC2 RJKFOVLPORLFTN-LEKSSAKUSA-N 0.000 claims description 6
- 230000006870 function Effects 0.000 claims description 4
- 230000008676 import Effects 0.000 claims description 4
- QDLKYOFKRMDMOG-UHFFFAOYSA-N 4-ethenyl-2,3-dihydro-1H-pyrrole-2-carboxylic acid Chemical compound OC(=O)C1CC(C=C)=CN1 QDLKYOFKRMDMOG-UHFFFAOYSA-N 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种云网络环境下VPC对等连接的实现方法,所述VPC对等连接配置方法如下:S1:建立两个需要连接的VPC,在每个VPC下分别创建网络;S2:在两个网络下面分别创建子网络,将每个子网络分别连接一个路由器;S3:将两个路由器连接,保证两个路由器关联的子网落能够互通;S4:在两个子网络下分别创建一个虚拟机。本发明所述的一种云网络环境下VPC对等连接的实现方法解决了不同VPC内的租户虚机相互隔离,无法相互通信的问题。
Description
技术领域
本发明属于信息传输技术领域,尤其是涉及一种云网络环境下VPC 对等连接的实现方法。
背景技术
云计算网络中,VPC(Virtual Private Cloud)是云上自定义的隔离网络空间,VPC提供二层隔离功能,通过VxLAN协议对每个VPN网络进行严格的二层隔离。租户可以灵活定制私有的网络环境,并自定义子网网段、路由表等。租户可以在VPC内建立多个子网,位于同一VPC内的租户虚机可以互相通信,不同VPC内的租户虚机相互隔离,无法相互通信。
发明内容
有鉴于此,本发明提出一种云网络环境下VPC对等连接的实现方法以解决不同VPC内的租户虚机相互隔离,无法相互通信的问题。
为达到上述目的,本发明的技术方案是这样实现的:
一种云网络环境下VPC对等连接的实现方法,所述VPC对等连接配置方法如下:
S1:建立两个需要连接的VPC,在每个VPC下分别创建网络;
S2:在两个网络下面分别创建子网络,将每个子网络分别连接一个路由器;
S3:将两个路由器连接,保证两个路由器关联的子网落能够互通;
S4:在两个子网络下分别创建一个虚拟机。
进一步的,S2中利用的两个子网络地址不重叠,并配置路由器的CIDR 为当前路由器关联的子网信息。
进一步的,一种基于所述一种云网络环境下VPC对等连接的实现方法的组网方法,将核心交换机与两个分支交换机相连,每个分支交换机连接有一个服务器,服务器通过分支交换机接入到云上,在服务器内部通过管理面创建多个虚拟机,边界路由器与核心交换机连接,所有外网流量都经过该边界路由器、分支交换机,防火墙旁挂在边界路由器上用于实现NAT和网络安全功能。
进一步的,在分支交换机上的配置过程如下,
A1:创建分布式网关接口,并绑定VPN实例和子网网段;
A2:创建承载L3VNI的网关接口,网关接口绑定VPN实例,将所述接口关联L3VNI;
A3:配置IPV4地址前缀列表,允许指定子网网段的路由通过;
A4:配置路由策略和策略匹配条件:匹配子网网段地址;
A5:在EVPN实例下应用出方向的路由策略;
A6:将对端VPC的路由目标作为导入目标。
进一步的,在边界路由器上进行的配置过程如下,
B1:创建两个所述CPC承载L3VNI的网关接口,并将所述网关接口关联 L3VNI;
B2:配置两个所述子网络的地址前缀列表;
B3:配置路由策略,并配置路由策略匹配指定两个所述子网络的策略;
B4:配置将对等体学习到的路由相互发布。
相对于现有技术,本发明具有以下优势:
本发明提出的一种云网络环境下VPC对等连接的实现方法采用VPC对等连接,通过指定子网的虚拟路由连接,实现三层路由转发,从而实现隔离的两个VPC内指定子网内虚机的互通,基于该实现原理,相同租户下的VPC和不同租户下的VPC均能够实现互通,场景灵活,保证VPC隔离和安全性,又能够满足用户互通的需求。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例所述的VPC对等连接实际配置过程示意图;
图2为本发明实施例所述的组网设备配置示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以通过具体情况理解上述术语在本发明中的具体含义。
下面将参考附图并结合实施例来详细说明本发明。
一种云网络环境下VPC对等连接的实现方法,所述VPC对等连接配置方法如下:
S1:建立两个需要连接的VPC,在每个VPC下分别创建网络;
S2:在两个网络下面分别创建子网络,将每个子网络分别连接一个路由器;
S3:将两个路由器连接,保证两个路由器关联的子网落能够互通;
S4:在两个子网络下分别创建一个虚拟机。
进一步的,S2中利用的两个子网络地址不重叠,并配置路由器的CIDR 为当前路由器关联的子网信息。
进一步的,一种基于所述一种云网络环境下VPC对等连接的实现方法的组网方法,将核心交换机与两个分支交换机相连,每个分支交换机连接有一个服务器,服务器通过分支交换机接入到云上,在服务器内部通过管理面创建多个虚拟机,边界路由器与核心交换机连接,所有外网流量都经过该边界路由器、分支交换机,防火墙旁挂在边界路由器上用于实现NAT和网络安全功能。
进一步的,在分支交换机上的配置过程如下,
A1:创建分布式网关接口,并绑定VPN实例和子网网段;
A2:创建承载L3VNI的网关接口,网关接口绑定VPN实例,将所述接口关联L3VNI;
A3:配置IPV4地址前缀列表,允许指定子网网段的路由通过;
A4:配置路由策略和策略匹配条件:匹配子网网段地址;
A5:在EVPN实例下应用出方向的路由策略;
A6:将对端VPC的路由目标作为导入目标。
进一步的,在边界路由器上进行的配置过程如下,
B1:创建两个所述CPC承载L3VNI的网关接口,并将所述网关接口关联 L3VNI;
B2:配置两个所述子网络的地址前缀列表;
B3:配置路由策略,并配置路由策略匹配指定两个所述子网络的策略;
B4:配置将对等体学习到的路由相互发布。
本文实现一种VPC对等连接的方法,满足不同VPC下虚机相互通信的需求。
具体实现方案如下:
1、建立两个需要连接的VPC,标记为VPC A和VPC B,并在每个VPC下分别创建网络,记为networkA和networkB;
2、创建子网和路由器:在networkA下创建subnetA,并将subnetA关联路由器A;在networkB下创建subnetB,并将subnetB关联路由器B;上述子网subnetA和子网subnetB地址不重叠,并配置路由器的CIDR为当前路由器关联的子网信息;
3、创建虚拟路由连接:将路由器A和路由器B连接,保证两个路由器关联的子网能够互通;
4、在subnetA下创建虚机A,在subnetB下创建虚机B。
根据上述配置流程,在组网设备上的配置如下:
(1)在LeafA和LeafB设备上配置如下:
a.创建分布式网关接口,并绑定VPN实例和子网网段;
b.创建承载L3VNI的网关接口,接口绑定VPN实例,并将该接口关联 L3VNI;
c.配置IPV4地址前缀列表,允许指定子网网段的路由通过;
d.配置路由策略和策略匹配条件:匹配子网网段地址;
e.在EVPN实例下应用出方向的路由策略;
f.将对端VPC的路由目标作为import target;
LeafA和LeafB设备上上述配置基本相同,不同点仅在于不同VPC对应的VPN实例不同,对应的L3VNI不同。
(2)在Border设备上配置如下:
a.创建VPCA和VPCB承载L3VNI的网关接口,并将该接口关联L3VNI;
b.配置VPCA的子网subnetA和VPCB的subnetB的地址前缀列表;
c.配置路由策略,并配置路由策略匹配指定subnetA和subnetB的策略;
d.配置将对等体学习到的路由相互发布。
此时,Border上出方向的默认路由,通过EVPN学习在Leaf上形成了等价路由,为了避免流量到防火墙引用不正确的VRF导致回程流量不正确,需要配置虚拟路由器的CIDR为当前虚拟路由器关联的子网信息。
VPC A和VPC B内指定子网的互通包括VPC A和VPC B之间发送请求报文以及应答报文,应答报文与请求报文的路径反向对称。
VPC A与VPC B通信请求报文的路径如下:
a.VPC A内虚机VM A向VPC B内虚机VM B发送请求,报文目的地址为虚机B地址,报文先被送往VPC A的分布式网关LeafA上;
b.在分布式网关LeafA上查询路由表,发现VPC B虚机地址的下一跳虚机地址,即在LeafB上,报文经过Spine设备underlay转发到LeafB上;
c.报文到达LeafB上之后,发现目的虚机地址在关联的VPC B内的子网虚机中,则将报文转发至虚机B。
采用VPC对等连接,通过指定子网的虚拟路由连接,实现三层路由转发,从而实现隔离的两个VPC内指定子网内虚机的互通,基于该实现原理,相同租户下的VPC和不同租户下的VPC均能够实现互通,场景灵活,保证VPC隔离和安全性,又能够满足用户互通的需求。
分布式EVPN网关基于VPN实例转发三层流量。每个VPN实例包括RD、 Route Target属性和L3VNI。合理地规划VPN实例的VPN target属性,实现VPN之间的互通。
为了避免流量到防火墙上引用不正确的VRF导致回程流量不正确,需要修改虚拟路由器的CIDR为当前虚拟路由器关联的子网信息。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种云网络环境下VPC对等连接的实现方法,其特征在于包括以下步骤:
S1:建立两个需要连接的VPC,在每个VPC下分别创建网络;
S2:在两个网络下面分别创建子网络,将每个子网络分别连接一个路由器;
S3:将两个路由器连接,保证两个路由器关联的子网落能够互通;
S4:在两个子网络下分别创建一个虚拟机。
2.根据权利要求1所述的一种云网络环境下VPC对等连接的实现方法,其特征在于:S2中利用的两个子网络地址不重叠,并配置路由器的CIDR为当前路由器关联的子网信息。
3.一种基于权利要求1所述一种云网络环境下VPC对等连接的实现方法的组网方法,其特征在于:将核心交换机与两个分支交换机相连,每个分支交换机连接有一个服务器,服务器通过分支交换机接入到云上,在服务器内部通过管理面创建多个虚拟机,边界路由器与核心交换机连接,所有外网流量都经过该边界路由器、分支交换机,防火墙旁挂在边界路由器上用于实现NAT和网络安全功能。
4.根据权利要求3所述的组网方法,其特征在于:在分支交换机上的配置过程如下,
A1:创建分布式网关接口,并绑定VPN实例和子网网段;
A2:创建承载L3VNI的网关接口,网关接口绑定VPN实例,将所述接口关联L3VNI;
A3:配置IPV4地址前缀列表,允许指定子网网段的路由通过;
A4:配置路由策略和策略匹配条件:匹配子网网段地址;
A5:在EVPN实例下应用出方向的路由策略;
A6:将对端VPC的路由目标作为导入目标。
5.根据权利要求3所述的组网方法,其特征在于:在边界路由器上进行的配置过程如下,
B1:创建两个所述CPC承载L3VNI的网关接口,并将所述网关接口关联L3VNI;
B2:配置两个所述子网络的地址前缀列表;
B3:配置路由策略,并配置路由策略匹配指定两个所述子网络的策略;
B4:配置将对等体学习到的路由相互发布。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010826675.7A CN112688847A (zh) | 2020-08-17 | 2020-08-17 | 一种云网络环境下vpc对等连接的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010826675.7A CN112688847A (zh) | 2020-08-17 | 2020-08-17 | 一种云网络环境下vpc对等连接的实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112688847A true CN112688847A (zh) | 2021-04-20 |
Family
ID=75445360
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010826675.7A Pending CN112688847A (zh) | 2020-08-17 | 2020-08-17 | 一种云网络环境下vpc对等连接的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112688847A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113783781A (zh) * | 2021-08-13 | 2021-12-10 | 济南浪潮数据技术有限公司 | 使虚拟私有云之间网络互通的方法和装置 |
| CN113992565A (zh) * | 2021-09-29 | 2022-01-28 | 新华三大数据技术有限公司 | 一种组播报文处理方法及装置 |
| CN114024886A (zh) * | 2021-10-25 | 2022-02-08 | 济南浪潮数据技术有限公司 | 跨资源池的网络互通方法、电子设备及可读存储介质 |
| CN114172865A (zh) * | 2021-12-03 | 2022-03-11 | 紫光云(南京)数字技术有限公司 | 一种云网络下IPv6双栈的实现方法 |
| CN114826825A (zh) * | 2022-04-19 | 2022-07-29 | 北京金山云网络技术有限公司 | 云网络的组网方法、装置及云网络 |
| CN114866467A (zh) * | 2022-05-27 | 2022-08-05 | 济南浪潮数据技术有限公司 | 一种集群通信方法、装置、系统、设备及可读存储介质 |
| CN115297004A (zh) * | 2022-07-25 | 2022-11-04 | 紫光云技术有限公司 | 一种单可用区内vpc对等连接实现方法 |
| CN115550309A (zh) * | 2022-08-29 | 2022-12-30 | 紫光云技术有限公司 | 一种解决vpc互通地址重叠的方法 |
| WO2023231982A1 (zh) * | 2022-05-30 | 2023-12-07 | 华为云计算技术有限公司 | 一种基于公有云的vpc之间的通信方法及相关产品 |
| WO2024104168A1 (zh) * | 2022-11-16 | 2024-05-23 | 华为云计算技术有限公司 | 跨区域的虚拟私有云之间通信的配置方法及相关装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681218A (zh) * | 2016-04-11 | 2016-06-15 | 北京邮电大学 | 一种Openflow 网络中流量处理的方法及装置 |
| CN107346259A (zh) * | 2017-05-10 | 2017-11-14 | 国家计算机网络与信息安全管理中心 | 一种动态部署安全能力的实现方法 |
| CN110401588A (zh) * | 2019-07-15 | 2019-11-01 | 浪潮云信息技术有限公司 | 基于openstack的公有云平台中实现VPC对等连接方法及系统 |
-
2020
- 2020-08-17 CN CN202010826675.7A patent/CN112688847A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681218A (zh) * | 2016-04-11 | 2016-06-15 | 北京邮电大学 | 一种Openflow 网络中流量处理的方法及装置 |
| CN107346259A (zh) * | 2017-05-10 | 2017-11-14 | 国家计算机网络与信息安全管理中心 | 一种动态部署安全能力的实现方法 |
| CN110401588A (zh) * | 2019-07-15 | 2019-11-01 | 浪潮云信息技术有限公司 | 基于openstack的公有云平台中实现VPC对等连接方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 郑邦峰: "基于分布式VxLAN和EVPN的企业级数据中心网络建设", 《工业技术创新》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113783781A (zh) * | 2021-08-13 | 2021-12-10 | 济南浪潮数据技术有限公司 | 使虚拟私有云之间网络互通的方法和装置 |
| CN113992565B (zh) * | 2021-09-29 | 2023-11-07 | 新华三大数据技术有限公司 | 一种组播报文处理方法及装置 |
| CN113992565A (zh) * | 2021-09-29 | 2022-01-28 | 新华三大数据技术有限公司 | 一种组播报文处理方法及装置 |
| CN114024886A (zh) * | 2021-10-25 | 2022-02-08 | 济南浪潮数据技术有限公司 | 跨资源池的网络互通方法、电子设备及可读存储介质 |
| CN114172865A (zh) * | 2021-12-03 | 2022-03-11 | 紫光云(南京)数字技术有限公司 | 一种云网络下IPv6双栈的实现方法 |
| CN114172865B (zh) * | 2021-12-03 | 2023-09-15 | 紫光云(南京)数字技术有限公司 | 一种云网络下IPv6双栈的实现方法 |
| CN114826825A (zh) * | 2022-04-19 | 2022-07-29 | 北京金山云网络技术有限公司 | 云网络的组网方法、装置及云网络 |
| CN114826825B (zh) * | 2022-04-19 | 2024-04-16 | 北京金山云网络技术有限公司 | 云网络的组网方法、装置及云网络 |
| CN114866467A (zh) * | 2022-05-27 | 2022-08-05 | 济南浪潮数据技术有限公司 | 一种集群通信方法、装置、系统、设备及可读存储介质 |
| WO2023231982A1 (zh) * | 2022-05-30 | 2023-12-07 | 华为云计算技术有限公司 | 一种基于公有云的vpc之间的通信方法及相关产品 |
| CN115297004A (zh) * | 2022-07-25 | 2022-11-04 | 紫光云技术有限公司 | 一种单可用区内vpc对等连接实现方法 |
| CN115297004B (zh) * | 2022-07-25 | 2024-05-24 | 紫光云技术有限公司 | 一种单可用区内vpc对等连接实现方法 |
| CN115550309A (zh) * | 2022-08-29 | 2022-12-30 | 紫光云技术有限公司 | 一种解决vpc互通地址重叠的方法 |
| WO2024104168A1 (zh) * | 2022-11-16 | 2024-05-23 | 华为云计算技术有限公司 | 跨区域的虚拟私有云之间通信的配置方法及相关装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112688847A (zh) | 一种云网络环境下vpc对等连接的实现方法 | |
| USRE49485E1 (en) | Overlay management protocol for secure routing based on an overlay network | |
| US11115375B2 (en) | Interoperability between data plane learning endpoints and control plane learning endpoints in overlay networks | |
| US10425325B2 (en) | Optimizing traffic paths to orphaned hosts in VXLAN networks using virtual link trunking-based multi-homing | |
| US20190007312A1 (en) | Techniques for routing and forwarding between multiple virtual routers implemented by a single device | |
| KR101340495B1 (ko) | 가상 전용 네트워크의 구현 방법 및 시스템 | |
| US8488491B2 (en) | Compressed virtual routing and forwarding in a communications network | |
| EP2466817A1 (en) | Virtual private network implementation method and system | |
| EP3130092B1 (en) | Proxy of routing protocols to redundant controllers | |
| US20020184388A1 (en) | Layered approach to virtual private routing | |
| US20170208032A1 (en) | Method and apparatus for forwarding generic routing encapsulation packets at a network address translation gateway | |
| JP2006524974A5 (zh) | ||
| CN108156067B (zh) | 一种实现基于以太网虚拟专用网络的方法和系统 | |
| JP4753314B2 (ja) | 仮想閉域網を1つのレイヤ3スイッチとして設定管理するシステム及びプログラム | |
| EP3583751B1 (en) | Method for an improved deployment and use of network nodes of a switching fabric of a data center or within a central office point of delivery of a broadband access network of a telecommunications network | |
| Wu et al. | YANG data model for L3VPN service delivery | |
| US20140136714A1 (en) | Method for exchanging information about network resources | |
| US10715431B2 (en) | Methods and apparatuses for routing data packets in a network topology | |
| Litkowski et al. | YANG Data Model for L3VPN service delivery | |
| CN113542441B (zh) | 一种通信处理方法及装置 | |
| CN103095507B (zh) | 基于以太网虚拟化互联网络的报文传输方法及边缘设备 | |
| US20220255930A1 (en) | Systems and methods for automatic network virtualization between heterogeneous networks | |
| Litkowski et al. | RFC 8299: YANG Data Model for L3VPN Service Delivery | |
| Ryynänen | Design and Implementation of a Small-and Medium-Sized TCP/IP Enterprise Network | |
| Fujita et al. | A decentralized VPN service over generalized mobile ad-hoc networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210420 |
|
| RJ01 | Rejection of invention patent application after publication |