8、云企业网

作者: Brinnatt 分类: alibabacloud 授课(国际班) 发布时间: 2023-02-21 20:58

云企业网CEN(Cloud Enterprise Network)是运行在阿里云私有全球网络上的一张高可用网络。云企业网通过转发路由器TR(Transit Router)帮助您在跨地域专有网络之间,专有网络与本地数据中心间搭建私网通信通道,为您打造一张灵活、可靠、大规模的企业级云上网络。

CloudEnterpriseNetwork

8.1、组成部分

  • 云企业网实例

    云企业网实例是创建、管理一体化云上智能网络的基础资源,是转发路由器实例的载体。

    一个云企业网实例可包含一个或多个转发路由器实例,多个转发路由器实例之间可通过跨地域连接和带宽包互联,帮您灵活地组建云上互联网络。

  • 转发路由器实例

    转发路由器实例是地域范围内的核心转发网元,为您转发同地域或跨地域间的流量,并支持定义灵活的路由策略。在一个云企业网实例中,一个地域支持创建一个转发路由器实例。

  • 网络实例

    转发路由器支持连接以下网络实例,帮您实现云上资源互通、跨地域资源互通、云上和云下资源的互通。

    • 专有网络VPC(Virtual Private Cloud)实例
    • 边界路由器VBR(Virtual Border Router)实例
    • 云连接网CCN(Cloud Connect Network)实例
    • IPsec连接
    • 转发路由器实例

  • 网络实例连接

    网络实例连接是转发路由器与网络实例之间的连接关系。依据网络实例类型,可分为:

    • VPC连接

    • VBR连接

    • CCN连接

    • VPN连接

    VPN连接即IPsec连接与转发路由器之间的连接。

    • 跨地域连接

    跨地域连接即为不同地域转发路由器实例之间的连接。跨地域连接与带宽包组合使用后,可实现网络实例跨地域互通;同地域的网络实例可通过地域内的转发路由器直接互通,无需创建跨地域连接以及购买带宽包。

  • 转发路由器路由表

    转发路由器已经连接的网络实例通过该地域下转发路由器路由表进行流量转发。转发路由器包含一张默认路由表,支持创建自定义路由表并支持通过关联转发和路由学习功能定义互通、隔离、引流策略,满足您多样化的组网需求。

    • 默认路由表

    系统自动为每一个转发路由器实例创建一张默认路由表。

    • 自定义路由表

    自定义路由表需要您手动创建。自定义路由表类似于传统路由器中配置的Virtual Routing Forwarding(VRF),与默认路由表及其他自定义路由表互不相通,可以实现访问隔离。

    • 关联转发

    网络实例连接与转发路由器路由表可以创建关联转发关系。关联转发关系创建后,转发路由器会依据网络实例连接关联的路由表转发其流量。

    • 路由学习

    网络实例连接与转发路由器路由表可以创建路由学习关系。路由学习关系创建后,路由表可以自动学习该网络实例的路由。

  • 带宽包

    带宽包提供跨地域互通带宽。带宽包与转发路由器的跨地域连接组合使用,可实现网络实例跨地域互通。更多信息,请参见使用带宽包

8.2、转发路由器

8.2.1、版本

转发路由器分为基础版和企业版。企业版转发路由器是基础版转发路由器的升级版,除包含基础版转发路由器的所有功能外,还支持定义灵活的路由策略。

8.2.2、工作原理

转发路由器TR(Transit Router)提供连接网络实例、添加自定义路由表、添加路由条目、添加路由策略等丰富的网络互通和路由管理功能。本文为您介绍企业版和基础版转发路由器工作原理。

8.2.2.1、企业版工作原理

8.2.2.1.1、连接网络实例

CloudEnterpriseNetwork_router1

网络实例连接到企业版转发路由器后可实现网络互通。企业版转发路由器支持连接以下网络实例:

  • 一个或多个专有网络VPC(Virtual Private Cloud)实例

    连接VPC实例时,VPC实例需在企业版转发路由器支持的可用区中拥有至少一个交换机实例,该交换机实例需要拥有至少一个空闲的IP地址。在创建VPC连接过程中,企业版转发路由器将在VPC实例的交换机中创建一个弹性网卡ENI(Elastic Network Interface)(该ENI将占用交换机下的一个IP地址),作为VPC实例与企业版转发路由器流量互通的接口。

  • 一个或多个边界路由器VBR(Virtual Border Router)实例

  • 一个或多个IPsec连接

  • 一个或多个转发路由器实例

    连接其他地域的转发路由器实例前,您需要购买带宽包,以便为跨地域连接分配跨地域带宽。更多信息,请参见使用带宽包跨地域连接

说明 云连接网CCN(Cloud Connect Network)实例的地域当前仅支持基础版转发路由器。

8.2.2.1.2、管控路由

CloudEnterpriseNetwork_router2

  • 路由表

    企业版转发路由器连接网络实例后,通过路由表存储网络实例的路由。企业版转发路由器通过查询路由表中的路由条目信息转发网络实例的流量。

    每个企业版转发路由器默认携带一个默认路由表,您可以为企业版转发路由器创建自定义路由表。默认路由表和自定义路由表之间互不相通,可以帮助您实现访问隔离。

  • 路由学习

    路由学习功能控制网络实例的路由传播。网络实例连接与企业版转发路由器路由表建立路由学习关系后,网络实例的路由才被允许传播至企业版转发路由器路由表中。

    您可以将网络实例连接与一个或者多个企业版转发路由器路由表建立路由学习关系。与网络实例连接建立路由学习关系的路由表均能够学习到该网络实例的路由。

  • 关联转发

    关联转发功能控制网络实例的流量转发。网络实例连接与企业版转发路由器路由表建立关联转发关系后,企业版转发路由器将通过查询该路由表中的路由条目信息转发网络实例的流量。

    一个网络实例连接只支持与一个企业版转发路由器路由表建立关联转发关系。

  • 自定义路由条目

    企业版转发路由器路由表支持添加自定义路由条目。您可以通过在企业版转发路由器路由表中添加自定义路由条目辅助控制网络实例流量的转发。

  • 前缀列表

    企业版转发路由器路由表支持绑定VPC的前缀列表。绑定前缀列表后,系统将在企业版转发路由器路由表中自动添加VPC前缀列表下所有网段的路由,减少您的运维工作。

  • 路由策略

    路由策略功能控制企业版转发路由器路由表的路由传播。您可以通过路由策略决定是否将企业版转发路由器路由表中的路由传播给网络实例或者其他地域的转发路由器,您也可以通过路由策略修改企业版转发路由器路由表中路由的属性。

    在添加路由策略时,您需要选择路由策略关联的企业版转发路由器路由表,路由策略只对其关联的路由表内的路由进行过滤和修改。

    如果一个企业版转发路由器下连接了VBR实例、CCN实例或者IPsec连接,系统默认会在企业版转发路由器路由表的出地域网关方向添加策略优先级为5000、策略行为为拒绝的路由策略,该条路由策略会限制VBR实例、CCN实例、IPsec连接与转发路由器下其它VBR实例、CCN实例、IPsec连接的互通能力。更多信息,请参见默认路由策略

  • 默认行为

    企业版转发路由器连接网络实例后,默认不会向网络实例传播任何路由条目,您可以通过以下两种方式在网络实例中添加路由条目,引导网络实例的流量进入企业版转发路由器。

    • 开启网络实例连接的高级功能,实现路由的自动传播。更多信息,请参见本文高级功能部分。
    • 通过关联转发、路由学习、自定义路由条目等功能自定义网络的连通性。
8.2.2.1.3、高级功能

对于VPC连接、VBR连接、VPN连接、跨地域连接,企业版转发路由器提供以下高级功能,帮助您实现路由的自动学习和传播。创建网络实例连接时,系统默认开启以下高级功能。您也可以选择关闭高级功能,创建网络实例连接后,通过路由学习、关联转发、路由策略等功能自定义网络的连通性。

  • VPC连接

    • 自动关联至转发路由器的默认路由表

    开启本功能后,VPC连接会自动关联至企业版转发路由器的默认路由表,企业版转发路由器通过查询默认路由表转发VPC实例的流量。

    • 自动传播系统路由至转发路由器的默认路由表

    开启本功能后,VPC实例会将自身的系统路由传播至企业版转发路由器的默认路由表中,用于网络实例的互通。

    • 自动为VPC的所有路由表配置指向转发路由器的路由

    开启本功能后,系统将在VPC实例的所有路由表内自动配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条路由条目,其下一跳均指向VPC连接,引导VPC实例的流量进入企业版转发路由器。

  • VBR连接

    • 自动关联至转发路由器的默认路由表

    开启本功能后,VBR连接会自动关联至企业版转发路由器的默认路由表,企业版转发路由器通过查询默认路由表转发VBR实例的流量。

    • 自动传播系统路由至转发路由器的默认路由表

    开启本功能后,VBR实例会将自身的系统路由自动传播至企业版转发路由器的默认路由表中。

    • 自动发布路由到Vbr

    开启本功能后,系统自动将VBR连接关联的企业版转发路由器路由表中的路由传播至VBR实例,引导VBR实例的流量进入企业版转发路由器。

  • VPN连接

    • 自动关联至转发路由器的默认路由表

    开启本功能后,VPN连接会关联至企业版转发路由器的默认路由表,企业版转发路由器会通过查询默认路由表转发来自IPsec连接的流量。

    • 自动传播系统路由至转发路由器的默认路由表

    开启本功能后,系统会将IPsec连接目的路由表和BGP路由表中的路由传播至企业版转发路由器的默认路由表中。

    • 自动发布路由到VPN

    开启本功能后,系统会将企业版转发路由器路由表中的路由条目自动传播至IPsec连接的BGP路由表中。

    说明 在IPsec连接和本地数据中心之间运行BGP动态路由协议的情况下,本功能才会生效。

  • 跨地域连接

    • 自动关联至转发路由器的默认路由表

    开启本功能后,跨地域连接会关联至企业版转发路由器的默认路由表,企业版转发路由器会通过查询默认路由表转发跨地域的流量。

    • 自动传播系统路由至转发路由器的默认路由表

    开启本功能后,跨地域连接会将系统路由传播至企业版转发路由器的默认路由表中。

    • 自动发布路由到对端地域

    开启本功能后,即允许跨地域连接将本端地域企业版转发路由器的路由自动传播至对端地域转发路由器的路由表中,用于网络实例跨地域互通。

8.2.2.2、基础版工作原理

CloudEnterpriseNetwork_router3

8.2.2.2.1、连接网络实例

  • 一个或多个VPC实例

  • 一个或多个VBR实例

  • 一个或多个CCN实例

  • 一个或多个转发路由器实例

    连接其他地域的转发路由器实例前,您需要购买带宽包,以便为跨地域连接分配跨地域带宽。更多信息,请参见使用带宽包跨地域连接

8.2.2.2.2、管控路由

  • 路由表

    基础版转发路由器连接网络实例后,通过路由表存储网络实例的路由,并通过查询路由表转发网络实例的流量。

    每个基础版转发路由器被创建后,有且仅有一个默认路由表,不支持创建自定义路由表。

  • 路由传播

    基础版转发路由器连接网络实例后,所有网络实例的路由均会被传播至基础版转发路由器的默认路由表中,基础版转发路由器会将学习来的路由传播给已连接的所有网络实例,以实现网络互通。

  • 路由策略

    路由策略功能控制基础版转发路由器路由表的路由传播。您可以通过路由策略决定是否将基础版转发路由器路由表中的路由传播给网络实例。您也可以通过路由策略修改基础版转发路由器路由表中路由的属性。

    如果一个基础版转发路由器下同时连接了VBR实例和CCN实例,系统默认会在基础版转发路由器路由表的出地域网关方向添加策略优先级为5000、策略行为为拒绝的路由策略,该条路由策略会限制VBR实例、CCN实例与转发路由器下其它VBR实例、CCN实例的互通能力。更多信息,请参见默认路由策略

8.3、功能特性

本文为您介绍云企业网的功能特性。

CloudEnterpriseNetwork_feature

8.3.1、功能特性一览表

云企业网通过转发路由器TR(Transit Router)在跨地域专有网络之间,专有网络与本地数据中心间搭建私网通信通道,帮助您打造一张灵活、可靠、大规模的企业级云上互连网络。同时,转发路由器提供关联转发、路由学习、自定义路由表、路由策略等丰富的网络互通和路由管理能力,帮助您自定义网络连通性。

下表为您汇总云企业网的功能特性以及不同版本的转发路由器支持的功能情况。

CloudEnterpriseNetwork_feature1

CloudEnterpriseNetwork_feature2

CloudEnterpriseNetwork_feature3

8.3.2、连接网络实例

CloudEnterpriseNetwork_feature4

8.3.3、跨地域管理

CloudEnterpriseNetwork_feature5

8.3.4、路由管理

CloudEnterpriseNetwork_feature6

8.3.5、云服务管理

CloudEnterpriseNetwork_feature7

8.3.6、组播管理

CloudEnterpriseNetwork_feature8

8.3.7、监控与运维

CloudEnterpriseNetwork_feature9

8.4、应用场景

转发路由器TR(Transit Router)是地域范围内企业级核心转发网元,可为您转发同地域或不同地域的网络实例间的流量,并支持在地域内定义灵活的互通、隔离、引流策略,帮助您打造一张灵活、可靠、大规模的企业级云上网络。本文为您介绍转发路由器常见的应用场景。

8.4.1、同地域网络组网

CloudEnterpriseNetwork_senario1

项目 说明
实现场景 转发路由器可以快速构建同地域云上网络,实现同地域网络实例互通。
主要操作 创建转发路由器实例后,您可以通过创建网络实例连接将要互通的网络实例连接至同地域的转发路由器实例上,即可实现同地域的网络实例互通。
相关文档 使用云企业网实现同地域云上云下网络互通(企业版)

8.4.2、跨地域网络组网

CloudEnterpriseNetwork_senario2

项目 说明
实现场景 转发路由器可以快速连接跨地域的网络实例,实现跨地域网络互通。
主要操作 创建转发路由器实例后,您可以通过创建网络实例连接将要互通的网络实例连接至对应的转发路由器实例,然后在不同地域的转发路由器实例之间创建跨地域连接,即可实现跨地域网络实例互通。
相关文档 使用云企业网实现跨地域跨账号VPC互通(企业版)

8.4.3、混合云组网

CloudEnterpriseNetwork_senario3

项目 说明
实现场景 转发路由器支持连接专有网络VPC(Virtual Private Cloud)实例、边界路由器VBR(Virtual Border Router)实例、云连接网CCN(Cloud Connect Network)实例和IPsec连接实例,通过VBR实例、CCN实例、IPsec连接实例连接至阿里云的本地网络,均可以通过转发路由器实现本地网络和云上网络的互通以及本地网络之间的互通。
主要操作 创建转发路由器实例后,您可以通过创建网络实例连接将要互通的网络实例连接至对应的转发路由器实例,然后依据互通地域创建跨地域连接,即可实现本地网络和云上网络互通以及本地网络之间的互通。
相关文档 使用云企业网实现同地域云上云下网络互通(企业版)

8.4.4、企业级复杂组网

转发路由器支持定义灵活的互通、隔离、引流策略,您可以通过转发路由器组建复杂的企业级网络。

8.4.4.1、统一VPC出口

CloudEnterpriseNetwork_senario4

项目 说明
实现场景 您可以通过转发路由器的多种路由功能定义灵活的路由策略,使云上部署的所有VPC实例从统一的互联网出口访问互联网,便于集中管控,提高您业务的安全性。
主要操作 创建转发路由器实例后,将所有VPC实例连接至转发路由器实例,依据互通地域创建跨地域连接,然后通过创建自定义路由表、自定义路由条目等路由功能引导云上所有VPC实例去往互联网的流量从统一出口访问互联网。

8.4.4.2、多VPC之间实现流量安全互访

CloudEnterpriseNetwork_senario5

项目 说明
实现场景 您可以通过转发路由器的多种路由功能定义灵活的路由策略,将VPC实例间互相访问的流量划分为可信流量和不可信的流量,引导不可信的流量先经过安全服务VPC进行流量过滤,并只允许过滤后的流量相互通信,提高网络的安全性。
主要操作 创建转发路由器实例后,将所有VPC实例连接至转发路由器实例,依据互通地域创建跨地域连接,然后通过创建自定义路由表、自定义路由条目等路由功能引导不可信的流量先经过安全服务VPC进行流量过滤,然后只允许过滤后的流量相互通信。
相关文档 使用企业版转发路由器实现流量安全互访

8.4.4.3、多云企业网实例下的网络使用共享服务

CloudEnterpriseNetwork_senario6

项目 说明
实现场景 一个VPC实例支持同时连接多个转发路由器实例。如果您拥有多个云企业网实例,不同云企业网实例下的网络均需要访问某一个VPC实例下的服务,您可以将该VPC实例连接至不同云企业网实例下的转发路由器上,然后通过转发路由器的多种路由功能实现不同云企业网实例的网络均可以访问该VPC实例的服务。
主要操作 将需要共享服务的VPC实例连接至各个云企业网实例下的转发路由器上,然后依据互通需求在各个转发路由器上添加相关路由配置,实现多个云企业网实例下的网络均可以访问该VPC实例的服务。
更多阅读
标签云