[阿里云网路] 项目对接银行专线,不太懂网,求帮忙

2020-11-03 19:15:17 +08:00
 rayli

介绍: 公司项目跟银行有业务关联,需要互调接口,银行通过联通从机房接了一条专线到阿里云上,现在物理条件已满足。 联通方跟银行放都说自己配置完了,现在就自己这边还没有搞好。 刚刚从开发转到运维,对于网络这块还不是很熟悉,而且阿里云又把物理设备的功能都用软件定义抽象出来,操作方式也从命令变成 web 页的视图交互,真的不知道该如何下手。 友商说我这边只要放通路由就好,感觉应该是比较简单的工作,奈何小弟才疏学浅,很多概念还没理清,也不知道应该用什么云产品,希望有经验的大佬给指点一二,感激不尽! 以下是银行方给出的方案:

	贵单位有多台服务器需与建行进行业务交互,或者贵单位有网络工程师能够调通网络,此时可以采用将专线接入贵单位网络设备的方案。对有条件的外联单位,我们推荐这种方案,更具扩展性,也能实现更多的安全管控。


    一:在贵单位专线接入网络设备,添加到建行服务器或服务器网段的路由
	二:从贵单位服务器到贵单位边缘网络设备(专线接入的网络设备),可能经过了 N 多网络设备,每个网络设备上都要有到建行服务器 IP 和贵单位服务器 IP 的路由,这个也是最容易出错的地方,请关注。
	三:如果贵单位的内部网络中存在防火墙,则请在防火墙上开通对应的访问策略

	网络验证方法:
		注意:必须在贵单位与建行做业务的服务器上进行该验证!严禁在贵单位专线接入网络设备上执行以下验证!
		ping 15.58.6.X (建行服务器 IP,这里仅举例)
		telnet 15.58.6.X 8080 (建行服务器 IP 服务端口号,这里仅举例)

	如果网络不通,建议的检查方案:
	注意:必须在贵单位与建行做业务的服务器上进行该验证!严禁在贵单位专线接入网络设备上执行以下验证!
	Windows 操作:tracert -d 15.58.6.X (建行服务器 IP,这里仅举例)
	Ubuntu 操作:traceroute 15.58.6.X (建行服务器 IP,这里仅举例)
	如果 trace 在贵单位内网中断则请自行检查,如果 trace 到达建行,则请联系建行网络人员协助检查。
5281 次点击
所在节点    云计算
30 条回复
cubecube
2020-11-04 10:15:31 +08:00
专线上创建 vbr,vbr 创建路由策略,将 vbr 加入 vpc,vpc 创建路由策略。就这几个步骤
yorkyoung
2020-11-04 10:16:29 +08:00
很好奇 为什么严禁在专线接入网络设备上执行 ping telnet 和 traceroute
yorkyoung
2020-11-04 10:18:18 +08:00
这要是保密级别不高就可以用 WireGuard
julyclyde
2020-11-04 14:16:32 +08:00
@lbp0200 不对于懂的问题就多看,别多说
zhangsanfeng2012
2020-11-04 14:35:59 +08:00
underlay 网络不需要考虑
如果用 bgp 协议发布路由,你这边路由设备(173.173.173.2 )跟对端(173.173.173.1)建立邻居,把 192.168.1.1/24 发布出去就行了
如果用静态路由,本地路由器就手配到 15.58.5.x 的下一跳是 173.173.173.1,对端路由器配置到 192.168.1.1/24 下一跳是 173.173.173.2
strongcoder
2020-11-04 14:58:42 +08:00
@defunct9 #17 又是你,每次都要 SSH 哈哈哈
FreeEx
2020-11-04 15:03:02 +08:00
静态路由就完事了
defunct9
2020-11-04 16:55:19 +08:00
@strongcoder 是我,是我,还是我。
rayli
2020-11-04 17:24:06 +08:00
感谢各位的关注和指导参考,目前专线已通,为各位总结一下此次对接工作的基本操作和问题以帮助同样正在困惑的朋友(可能有些问题比较低级,或者不准确,欢迎指正,另外此次对接工作我的视野和可操作空间仅限于阿里云的云产品,所以对于阿里云以外的维度无法说明)
1.我们此次对接工作的方案拓扑基本如上图(一楼),作为阿里云用户仅考虑<VBR>阿里云一侧的网络配置即可。
2.专线接入以后,
- 在阿里云的<高速通道控制台>建立<VBR>
- 在阿里云的<云企业网>创建<CEN>,并将目标<VBR>和<VPC>进行关联;
3.此时<专线><VBR><VPC><ECS>四个基本要素已全部具备且已关联,接下来就是对各项进行配置(默认路由其实是全通的,基本不需要额外设置)
4.我遇到的一些问题:
- 阿里云的 VBR 和 VPC 跟实际的网络设备差别很大,尤其是没有网关,这让我这个只会一点 ping,telnet,tracepath 三个命令的网络小白来说,根本不知道怎么去判断我的 ECS 具体可以到达哪个节点。但是在该文档中( https://www.alibabacloud.com/help/zh/doc-detail/146578.htm?spm=a2c63.l28256.a3.57.48726e07imzvHy )步骤三第四小点 [说明] 可以实现对 VBR 节点的测试。在此特别感谢 3 楼 walkersz ;
- 这次工作中应用到了 BGP 协议,关于 BGP 的配置是在 VBR 中操作的(主要包括:创建<BGP 组>,添加<BGP 邻居>,宣告<BGP 网段>),BGP 的配置除了添加<BGP 邻居>的 peer AS 号需要第三方运营商提供,其他参数都根据拓扑图填写;
- 公网私用(阿里云隐藏要素,这一关键字我在阿里云文档中没有看到,直到提交工单,阿里云的技术支持才说明这是特殊场景),银行端用的内网网段是公网 ip 段,需要向阿里云提交工单然后让把售后工程师把银行端内网网段在 VPC 上完成”公网私用“的行为。

这样看来整个工作并不需要很多操作,也基本没什么难度,只是刚转岗,对这一领域不熟悉,很多时候甚至连问题都不知道该怎么提,主要还是研究文档,了解基本概念,补充基础知识,然后才能跟友商的运维进行信息对等的交流,再不济向阿里云提工单,毕竟咱们花了钱。( Tip:如果觉得工单回复慢,或者售后回复驴唇不对马嘴,请打这个电话:4008013260,我今天打了这个电话投诉后,阿里云的工程师智商明显上线,响应也快很多,顺便在吐槽一下阿里云的工单窗口,你不刷新页面是看不到对方发来的最新消息的,淦!)
希望可以给各位一个参考,再次感谢楼下各位的留言!
vicou
2020-11-16 00:18:10 +08:00
学习收藏一波

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/721498

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX