تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

تطبيق: موقع NCC إلى السحابة الإلكترونية باستخدام SD-WAN Appliance

1. مقدمة

نظرة عامة

سوف تستكشف في هذا التمرين المعملي بعض ميزات مركز الاتصال بالشبكات.

مركز الاتصال بالشبكة (NCC) هو نموذج عنصر تحكُّم في جهاز الموزع (NCC) لإدارة الاتصال بالشبكة في Google Cloud. يوفّر مورد الموزع نموذجًا مركزيًا لإدارة إمكانية الاتصال لتوصيل مكبرات الصوت. تتوافق تقنية NCC حاليًا مع موارد الشبكة التالية كمكبّرات صوت:

مرفقات VLAN
أجهزة التوجيه
شبكة VPN عالية التوفّر

تتطلب الدروس التطبيقية حول الترميز استخدام حلّ SD-WAN الذي يبسّط نشر شبكة WAN وإدارتها.

ما الذي ستنشئه

في هذا الدرس التطبيقي حول الترميز، ستنشئ موزعًا وتتحدث طوبولوجيا SD-WAN لمحاكاة المواقع الإلكترونية الفرعية البعيدة التي ستجتاز شبكة Google الأساسية للاتصال من بين المواقع الإلكترونية والسحابة الإلكترونية.

ستتمكن من نشر زوج من أجهزة GCE vm تم ضبطها لوكيل flexiWAN SD-WAN في شبكة VPC على الموزع والتي تمثل عناوين لحركة البيانات الواردة والصادرة إلى Google Cloud Platform.
نشر جهازَي توجيه flexiWAN SD-WAN عن بُعد لتمثيل شريحتَي VPC مختلفتَين في الموقع الإلكتروني الفرعي
لاختبار مسار البيانات، عليك ضبط ثلاثة أجهزة افتراضية من GCE لمحاكيتها على العملاء المُسبَقين والخادم المُستضاف على Google Cloud Platform.

المعلومات التي ستطّلع عليها

استخدام تقنية NCC للربط بين المكاتب الفرعية البعيدة باستخدام حل شبكة WAN مفتوح المصدر محدد برمجيًا
خبرة عملية في حل WAN محدد البرامج مفتوح المصدر

المتطلبات

الإلمام بشبكة VPC في Google Cloud Platform
الإلمام بخدمة "جهاز التوجيه السحابي" و"توجيه بروتوكول BGP"

2. الأهداف

إعداد بيئة Google Cloud Platform
نشر مثيلات flexiWAN Edge في Google Cloud Platform
إنشاء مركز NCC ومرونة NVA في واجهة المستخدم المرن
ضبط مثيلات flexiWAN وإدارتها باستخدام flexiManage
ضبط تبادل مسار BGP بين vpc-app-svcs وflexiWAN NVA
إنشاء موقع بعيد يحاكي فرعًا عن بُعد للعميل أو مركز بيانات
إنشاء نفق IPSEC بين الموقع البعيد وNVA
التحقق من الأجهزة التي تم نشرها بنجاح
التحقّق من صحة عملية نقل البيانات من الموقع الإلكتروني إلى السحابة الإلكترونية
إخلاء الموارد المستخدمة

يتطلب هذا البرنامج التعليمي إنشاء حساب flexiManage مجاني لمصادقة مثيلات flexiEdge وإعدادها وإدارتها.

قبل البدء

استخدام Google Cloud Console وCloud Shell

وللتفاعل مع Google Cloud Platform، سنستخدم كلاً من Google Cloud Console وCloud Shell خلال هذا الدرس التطبيقي.

Google Cloud Console

يمكن الوصول إلى Cloud Console من خلال https://console.cloud.google.com.

يمكنك إعداد العناصر التالية في Google Cloud لتسهيل ضبط Network Connectivity Center:

في Google Cloud Console، اختَر مشروعًا على Google Cloud أو أنشئ مشروعًا على Google Cloud في صفحة أداة اختيار المشاريع.

افتح Cloud Shell. يستخدم هذا الدرس التطبيقي حول الترميز $variables للمساعدة في تنفيذ إعدادات gcloud في Cloud Shell.

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname

أدوار "إدارة الهوية وإمكانية الوصول"

تتطلب ميزة NCC أدوار "إدارة الهوية وإمكانية الوصول" للوصول إلى واجهات برمجة تطبيقات محدَّدة. تأكَّد من ضبط المستخدم بأدوار "إدارة الهوية وإمكانية الوصول في NCC" على النحو المطلوب.

اسم الدور	الوصف	الأذونات
networkconnectivity.networkAdmin	تسمح لمشرفي الشبكة بإدارة الموزِّع ومكبرات الصوت.	Networkconnectivity.hubs.networkconnectivity.spokes
networkconnectivity.networkSpokeManager	يسمح بإضافة مكبرات الصوت وإدارتها في الموزع. للاستخدام في شبكة VPC المشتركة حيث يمتلك المشروع المضيف الموزع، ولكن يمكن للمشرفين الآخرين في المشاريع الأخرى إضافة مكبرات صوت لمرفقاتهم إلى "المركز".	Networkconnectivity.spokes**
networkconnectivity.networkUsernetworkconnectivity.networkViewer	يسمح لمستخدمي الشبكة بعرض سمات مختلفة للموزّع ومكبرات الصوت.	networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList

3- إعداد بيئة Network Lab

نظرة عامة

في هذا القسم، سننشر شبكات VPC وقواعد جدار الحماية.

محاكاة شبكات المواقع الإلكترونية الفرعية

تحتوي شبكة VPC هذه على شبكات فرعية لمثيلات الأجهزة الافتراضية داخل الشركة.

أنشئ شبكات المواقع الإلكترونية والشبكات الفرعية داخل الشركة:

gcloud compute networks create site1-vpc \
--subnet-mode custom

gcloud compute networks create s1-inside-vpc \
--subnet-mode custom

gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1

gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1

أنشئ قواعد جدار حماية site1-vpc للسماح بما يلي:

بروتوكول النقل الآمن (SSH)، داخلي، الشراء داخل التطبيق
ESP وUDP/500 وUDP/4500
نطاق 10.0.0.0/8
نطاق 192.168.0.0/16

gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22

gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router

gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

أنشئ قواعد جدار حماية s1-inside-vpc للسماح بما يلي:

بروتوكول النقل الآمن (SSH)، داخلي، الشراء داخل التطبيق
نطاق 10.0.0.0/8
نطاق 192.168.0.0/16

gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22

gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc  \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

لأغراض الاختبار، أنشئ المثيلَين s1-inside-vm وs2-inside-vm.

gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address

محاكاة بيئة شبكة Google Cloud Platform

لتفعيل الزيارات من موقع إلى موقع إلكتروني في جميع المناطق من خلال شبكة hub-vpc ومكبّرات الصوت، عليك تفعيل التوجيه العام في شبكة hub-vpc. تعرَّف على المزيد من المعلومات في تبادل مسار "NCC".

إنشاء شبكة hub-vpc وشبكات فرعية:

gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global

gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1

gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4

إنشاء شبكة workload-vpc وشبكات فرعية:

gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global

gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1

إنشاء قواعد جدار حماية Hub-VPC للسماح بما يلي:

بروتوكول النقل الآمن (SSH)
ESP وUDP/500 وUDP/4500
نطاق 10.0.0.0/8 داخلي (والذي يغطي منفذ TCP رقم 179 المطلوب لجلسة BGP من الموجه السحابي إلى جهاز جهاز التوجيه)

gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22

gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router

gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

يمكنك إنشاء قواعد جدار حماية Workload-VPC للسماح بما يلي:

بروتوكول النقل الآمن (SSH)
النطاق الداخلي 192.168.0.0/16 (الذي يغطي منفذ TCP رقم 179 المطلوب لجلسة BGP من جهاز التوجيه السحابي إلى جهاز التوجيه)

gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22

gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

تفعيل "ترجمة عنوان الشبكة في السحابة الإلكترونية" في شبكة VC لأحمال العمل لإتاحة Workload1-vm بتنزيل الحزم من خلال إنشاء جهاز توجيه السحابة الإلكترونية وبوابة NAT

gcloud compute routers create cloud-router-usc-central-1-nat \
    --network workload-vpc \
    --region us-central1

gcloud compute routers nats create cloudnat-us-central1 \
    --router=cloud-router-usc-central-1-nat \
    --auto-allocate-nat-external-ips \
    --nat-all-subnet-ip-ranges \
    --region us-central1

أنشِئ workload1-vm in "us-central1-a" in workload-VPC، وستستخدم هذا المضيف لإثبات ملكية الموقع الإلكتروني من أجل الاتصال بالسحابة الإلكترونية.

gcloud compute instances create workload1-vm \
    --project=$projectname \
    --machine-type=e2-micro \
    --image-family debian-10 \
    --image-project debian-cloud \
    --zone us-central1-a \
    --private-network-ip 192.168.235.3 \
        --no-address \
    --subnet=workload-subnet1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
      EOF"

4. الإعداد على الأجهزة الأولية لـ SD-WAN

إنشاء جهاز افتراضي (VM) On-Prem لـ SDWAN (التطبيقات)

في القسم التالي، سوف ننشئ site1-nva كموجهات داخل المؤسسة.

إنشاء مثيلات

أنشئ جهاز site1-router باسم site1-nva

gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward

5- تثبيت flexiWAN على site1-nva

فتح اتصال SSH بـ site1-nva، وإذا انتهت المهلة مرة أخرى

gcloud compute ssh site1-nva --zone=us-central1-a

تثبيت flexiWAN على site1-nva

sudo su 

sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y

عليك تحضير الجهاز الافتراضي لتسجيل مستوى التحكّم المرن.

بعد اكتمال تثبيت flexiWAN، شغِّل الأمر fwsystem_checker لإعداد الجهاز الافتراضي للتشغيل المرن. يتحقّق هذا الأمر من متطلبات النظام ويساعد في إصلاح أخطاء الضبط في نظامك.

حدِّد الخيار 2 لضبط الإعدادات السريعة بدون تنبيه صوتي.
ثم خروج بعد ذلك باستخدام 0.
لا تغلِق نافذة هيكل السحابة الإلكترونية.

root@site-1-nva-1:/home/user# fwsystem_checker
 
<output snipped>

        [0] - quit and use fixed parameters
         1  - check system configuration
         2  - configure system silently
         3  - configure system interactively
         4  - restore system checker settings to default
        ------------------------------------------------
Choose: 2

<output snipped>

        [0] - quit and use fixed parameters
         1  - check system configuration
         2  - configure system silently
         3  - configure system interactively
         4  - restore system checker settings to default
        ------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====

اترك الجلسة مفتوحة لتنفيذ الخطوات التالية

6- تسجيل site1-nva باستخدام وحدة تحكُّم SD-WAN

يجب تنفيذ هذه الخطوات لإكمال عملية توفير NVA المرنة التي يتم إجراؤها من خلال flexiManage Console. تأكَّد من إعداد مؤسسة flexiWAN قبل المضي قدمًا.

يمكنك المصادقة على واجهة flexiWAN NVA المنشورة حديثًا باستخدام flexiManage باستخدام رمز الأمان، وذلك من خلال تسجيل الدخول إلى الحساب flexiManage. وقد تتم إعادة استخدام الرمز المميز نفسه عبر جميع أجهزة الموجه.

انقر على المستودع ← الرموز المميّزة وأنشِئ رمزًا مميّزًا. اختيار نسخة

ارجع إلى Cloud Shell (site1-nva) وألصق الرمز المميز في الدليل /etc/flexiWAN/agent/token.txt عن طريق تنفيذ ما يلي

nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter

تفعيل أجهزة توجيه المواقع الإلكترونية على وحدة التحكّم flexiManage Console

سجِّل الدخول إلى وحدة التحكّم flexiManage Console لتفعيل site1-nva على وحدة التحكّم.

في اللوحة اليمنى، انقر على اختيار المستودع ← الأجهزة، ثم انقر على الجهاز "غير معروف".

أدخِل اسم المضيف لـ site1-nva ثم وافِق على الجهاز من خلال تمرير القرص إلى اليمين.

اختيار علامة تبويب "الواجهات"

ابحث عن الخيار "تم تعيينه". عمود والنقر على "لا" وغيِّر الإعداد إلى "نعم"

اختَر علامة تبويب "جدار الحماية" وانقر على علامة "+" لإضافة قاعدة جدار حماية وارد.

اختيار واجهة WAN لتطبيق قاعدة ssh كما هو موضّح أدناه

انقر على تحديث الجهاز.

ابدأ تشغيل site1-nva من وحدة تحكُّم flexiWAN. ارجِع إلى المستودع ← الأجهزة ← site1-nva اختَر بدء الجهاز.

الحالة - المزامنة

الحالة - تمت المزامنة

يمكن عرض مؤشر التحذير ضمن تحديد المشاكل وحلّها ← الإشعارات. بعد العرض، اختَر الكل ثم ضَع علامة "مقروءة"

7. إعداد أجهزة SDWAN على الموزع

في القسم التالي، سيتم إنشاء أجهزة التوجيه Hub وتسجيلها (hub-r1) باستخدام وحدة التحكم flexiWAN كما تم تنفيذها سابقًا مع مسارات الموقع.

افتح علامة تبويب جديدة وأنشِئ جلسة Cloud Shell وعدِّل $variables للمساعدة في تنفيذ إعدادات gcloud.

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname

إنشاء مثيلات NVA للموزع

أنشئ جهاز hub-r1:

gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any

8. تثبيت flexiWAN على مثيلات الموزع لـ Hub-r1

فتح اتصال بروتوكول النقل الآمن بـ Hub-r1

gcloud compute ssh hub-r1 --zone=us-central1-a

تثبيت وكيل flexiWAN على كلٍّ من Hub-r1

sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y

إعداد أجهزة Hub-r1 الافتراضية للتسجيل المرنة.

بعد اكتمال تثبيت flexiWAN، شغِّل الأمر fwsystem_checker لإعداد الجهاز الافتراضي لعملية flexiWAN. يتحقّق هذا الأمر من متطلبات النظام ويساعد في إصلاح أخطاء الضبط في نظامك.

root@hub-r1:/home/user# fwsystem_checker

حدِّد الخيار 2 لضبط الإعدادات السريعة بدون تنبيه صوتي.
ثم خروج بعد ذلك باستخدام 0.
لا تغلِق نافذة هيكل السحابة الإلكترونية.

9. تسجيل أجهزة Hub-r1 الافتراضية على وحدة التحكّم FlexManage

يمكنك المصادقة على واجهة flexiWAN NVA المنشورة حديثًا باستخدام flexiManage باستخدام رمز الأمان، وذلك من خلال تسجيل الدخول إلى الحساب flexiManage.

انقر على المستودع ← الرموز المميّزة وانسخ الرمز المميّز.

ارجع إلى Cloud Shell (hub-r1) وألصق الرمز المميّز في الدليل /etc/flexiWAN/agent/token.txt من خلال تنفيذ ما يلي

nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter

تفعيل Hub-r1 لأجهزة التوجيه Hub على وحدة التحكّم المرنة في الإدارة

تسجيل الدخول إلى وحدة التحكّم المرنة

انتقِل إلى المستودع ← الأجهزة
البحث عن اسم المضيف الخاص بـ hub-r1 وهو "unknown" وتدوينه

اختيار الجهاز غير المعروف الذي يتضمّن اسم المضيف hub-r1

أدخِل اسم مضيف hub-r1
الموافقة على الجهاز، ثم مرِّر القرص إلى اليمين.

حدد علامة تبويب الواجهات

البحث عن العمود "تم تعيينه"
بجانب صف الواجهة، انقر على "لا" لتغيير الإعداد إلى "نعم".

اختيار علامة التبويب جدار الحماية

انقر على "+" لإضافة قاعدة جدار حماية وارد
اختيار واجهة WAN لاكتساب القاعدة
السماح بمنفذ SSH رقم 22 باستخدام بروتوكول TCP
انقر على تحديث الجهاز.

تشغيل جهاز hub-r1 لبروتوكول SD-WAN من وحدة تحكّم flexiWAN

الرجوع إلى المستودع ← الأجهزة ← Hub-r1

اختَر Start Device (بدء تشغيل الجهاز).

انتظر إلى أن تكتمل المزامنة ولاحظ "تشغيل". الحالة

10. مركز الاتصال بالشبكة على مركز GCP

تفعيل خدمات واجهة برمجة التطبيقات

فعِّل واجهة برمجة تطبيقات إمكانية الاتصال بالشبكة في حال لم يتم تفعيلها بعد:

gcloud services enable networkconnectivity.googleapis.com

إنشاء مركز NCC

gcloud network-connectivity hubs create ncc-hub

Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.     
Created hub [ncc-hub]

تهيئة كلا جهازي التوجيه كمحور NCC

ابحث عن معرّف الموارد المنتظم (URI) وعنوان IP لكل من Hub-r1 ولاحظ الناتج. ستحتاج هذه المعلومات في الخطوة التالية.

تأكَّد من تدوين عنوان IP لمثيل Hub-r1.

gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"

gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"

أضِف networkIP vnic لـ Hub-r1 كمكبّر. يتم إيقاف عملية نقل البيانات من موقع إلكتروني إلى موقع إلكتروني تلقائيًا.

gcloud network-connectivity spokes linked-router-appliances create s2c-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer

ضبط Cloud Router لإنشاء بروتوكول BGP باستخدام Hub-R1

في الخطوة التالية، أنشِئ "جهاز توجيه السحابة الإلكترونية" وأعلِن عن شبكة VPC الفرعية لحمولة العمل 192.168.235.0/24

إنشاء الموجه السحابي في us-central1 الذي سيتصل بـ BGP باستخدام Hub-r1

gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets

بتهيئة أجهزة الموجه على أنها NCC Spoke، فإن هذا يمكّن جهاز التوجيه السحابي من التفاوض بشأن بروتوكول BGP على الواجهات الافتراضية.

أنشئ واجهتين على جهاز التوجيه السحابي لتبادل رسائل BGP مع Hub-r1.

يتم اختيار عناوين IP من الشبكة الفرعية لأعباء العمل و& يمكن تغييرها إذا لزم الأمر.

gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101 

gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0

يمكنك ضبط واجهة Cloud Router لإنشاء بروتوكول BGP باستخدام vNIC-1 الخاص بـ Hub-r1، وتعديل عنوان IP من النظير باستخدام عنوان IP لـ Hub-r1 NetworkIP. ملاحظة، يتم استخدام عنوان IP نفسه مع int0 & int1.

gcloud compute routers add-bgp-peer wrk-cr1 \
    --peer-name=hub-cr1-bgp-peer-0 \
    --interface=int0 \
    --peer-ip-address=192.168.235.4 \
    --peer-asn=64111 \
    --instance=hub-r1 \
    --instance-zone=us-central1-a \
    --region=us-central1

gcloud compute routers add-bgp-peer wrk-cr1 \
    --peer-name=hub-cr1-bgp-peer-1 \
    --interface=int1 \
    --peer-ip-address=192.168.235.4 \
    --peer-asn=64111 \
    --instance=hub-r1 \
    --instance-zone=us-central1-a \
    --region=us-central1

تحقق من حالة BGP، حيث إن BGP هي "connect state" في هذه المرحلة من درس الرموز لأن جهاز توجيه الشبكة لم يتم إعداده لـ BGP.

gcloud compute routers get-status wrk-cr1 --region=us-central1

11. تكوين أجهزة توجيه المحور لـ BGP

ضبط Hub-r1 لـ BGP

التأكد من تسجيل الدخول إلى وحدة التحكم المرنة

انتقِل إلى المستودع ← الأجهزة ← hub-r1 واختَر الجهاز الذي يتضمّن HostName:hub-r1

انقر على علامة التبويب "التوجيه".
انقر على "ضبط BGP".
إيقاف "إعادة توزيع مسارات OSPF"
اضبط hub-r1 لـ BGP باستخدام هذه المعلمات وانقر على "Save" (حفظ)

حدد "الواجهات" علامة التبويب، ثم حدد موقع واجهة شبكة LAN، وابحث عن عمود "التوجيه"

انقر على بدون. لفتح القائمة لاختيار BGP كبروتوكول التوجيه

في أعلى الصفحة، انقر على "تحديث الجهاز".

12. تبادل المسار BGP بين أجهزة التوجيه

إنشاء ASN محلي للمواقع الإلكترونية البعيدة

بعد ضبط BGP ASN على site1-nva، سيتم إنشاء نفق IPSEC بين المواقع الإلكترونية البعيدة وأجهزة توجيه الموزع (hub).

اختَر الجهاز الذي يحتوي على HostName:site1-nva

انقر على علامة التبويب "التوجيه".
انقر على "ضبط BGP".
إيقاف "إعادة توزيع مسارات OSPF"
Local ASN 7269 ← حفظ
تحديث الجهاز
علامة تبويب "الواجهات" ← التوجيه ← BGP
تحديث الجهاز

إعداد أنفاق VPN بين أجهزة Site1 وHub1

التأكد من تسجيل الدخول إلى وحدة التحكم المرنة

انتقِل إلى المستودع ← الأجهزة
اختَر المربّع بجانب اسم المضيف لـ site1-nva وhub-r1 لإنشاء نفق VPN بين هذين الزوج من رموز NVA
انقر على الإجراءات←إنشاء القنوات واضبط ما يلي:

اختَر إنشاء أنفاق.

تأكَّد من أنّ الموقع الإلكتروني "site1-nva" المسارات المستفادة إلى الشبكة الفرعية 192.168.235.0/24 و192.168.236.0/24

اختَر المستودع ← الأجهزة ← site1-nva وانقر على علامة التبويب التوجيه.

في مثال الإخراج أدناه، أنشأ flexiWAN تلقائيًا النفق باستخدام عنوان IP للمضيف 10.100.0.6 .

13. التحقّق من اتصال مسار البيانات

إثبات ملكية الموقع الإلكتروني إلى الاتصال بالسحابة الإلكترونية من داخل الشركة

ارجع إلى المخطّط البياني، وتأكّد من أنّ مسار البيانات بين s1-vm وworkload1-vm

ضبط مسارات سحابة VPC الثابتة في الموقع الإلكتروني والسحابة الإلكترونية

يحاكي Site1-VPC داخل المؤسسة شبكة مركز بيانات داخل المؤسسة.

يستخدم كلا جهازَي التوجيه Site-1-nva الاتصال عبر شبكة VPN للوصول إلى شبكة الموزع (hub).

بالنسبة إلى حالة استخدام الموقع الإلكتروني على السحابة الإلكترونية**،** أنشئ مسارات ثابتة إلى الوجهة 192.168.0.0/16 باستخدام جهاز التوجيه كمرحلة تالية للوصول إلى الشبكات في شبكة السحابة الإلكترونية على Google Cloud Platform.

على s1-inside-vpc، يمكنك إنشاء مسار ثابت لوجهة السحابة الإلكترونية (192.168.0.0/16):

gcloud compute routes create site1-subnet-route  \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16  \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a

في cloudshell، ابحث عن عنوان IP لـ workload1-vmnee. ستحتاج إلى تفعيل هذا الخيار لاختبار الاتصال من "s1-vm".

gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"

SSH إلى "s1-vm" واستخدِم الأمر "curl" لإنشاء جلسة بروتوكول TCP لعنوان IP Workload1-VM.

s1-vm:~$ curl 192.168.235.3 -vv
*   Trying 192.168.235.3:80...
* Connected to 192.168.235.3 (192.168.235.3) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.235.3
> User-Agent: curl/7.74.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Wed, 07 Dec 2022 15:12:08 GMT
< Server: Apache/2.4.54 (Debian)
< Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT
< ETag: "1f-5ef1e4acfa1d9"
< Accept-Ranges: bytes
< Content-Length: 31
< Content-Type: text/html
< 
Page served from: workload1-vm
* Connection #0 to host 192.168.235.3 left intact

14. تنظيف

حذف المراجع المتوفرة في مقرّ النشاط التجاري

تسجيل الدخول إلى cloud shell وحذف مثيلات الأجهزة الافتراضية في الموزع (hub) وشبكات المواقع الإلكترونية الفرعية

#onprem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet


#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn  --quiet
gcloud compute firewall-rules delete site1-iap --quiet


#delete on prem subnets
gcloud compute networks subnets delete site1-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet


#delete on prem vpcs
gcloud compute networks delete site1-vpc --quiet
gcloud compute networks delete s1-inside-vpc --quiet

حذف موارد Cloud Hub

تسجيل الدخول إلى cloud shell وحذف مثيلات الأجهزة الافتراضية في الموزع (hub) وشبكات المواقع الإلكترونية الفرعية

#delete ncc spokes
gcloud network-connectivity spokes delete s2c-wrk-cr1 --region us-central1 --quiet

#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet


#delete hub instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet


#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet

gcloud compute firewall-rules create workload-ssh --quiet
gcloud compute firewall-rules create workload-internal --quiet
gcloud compute firewall-rules create workload-onprem --quiet
gcloud compute firewall-rules create workload-iap --quiet

#delete hub subnets
gcloud compute networks subnets delete workload-subnet1 --quiet

gcloud compute networks subnets delete hub-subnet1 --quiet

#delete hub vpcs
gcloud compute networks delete workload-vpc --quiet
gcloud compute networks delete hub-vpc --quiet

15. تهانينا!

لقد أكملت برنامج Network Connectivity Center Lab!

المواضيع التي تناولتها

ضبط دمج شبكة WAN المحدَّدة من خلال البرامج والربط بين موقع NCC الإلكتروني والسحابة الإلكترونية

الخطوات التالية