تطبيق: موقع NCC إلى السحابة الإلكترونية باستخدام SD-WAN Appliance

1. مقدمة

نظرة عامة

في هذا الدرس التطبيقي، ستستكشف بعض ميزات "مركز اتصال الشبكة".

مركز اتصال الشبكة (NCC) هو نموذج لمستوى التحكّم في شبكة تتضمّن مركزًا ونقاط اتصال لإدارة اتصال الشبكة في Google Cloud. يقدّم مورد المحور نموذجًا مركزيًا لإدارة الاتصال لربط الأذرع. تتيح شبكة NCC حاليًا استخدام موارد الشبكة التالية كنقاط اتصال:

• مرفقات VLAN
• أجهزة التوجيه
• شبكة VPN عالية التوفّر

تتطلّب Codelabs استخدام حلّ SD-WAN لخدمة SaaS من flexiWAN الذي يبسط عملية نشر شبكة WAN وإدارتها.

التطبيق الذي ستصممه

في هذا الدليل التعليمي حول الرموز البرمجية، ستُنشئ شبكة SD-WAN من النوع "مركز وشعاع" لمحاكاة المواقع الإلكترونية الفرعية البعيدة التي ستعبر شبكة العمود الفقري من Google للتواصل بين الموقع الإلكتروني والسحابة الإلكترونية.

1. ستنشر جهازَي VM في GCE تم ضبطهما لوكيل flexiWAN SD-WAN في "شبكة VPC" للمركز الذي يمثّل نقاط النهاية للزيارات الواردة والصادرة إلى Google Cloud Platform.
2. نشر جهازَي توجيه عن بُعد من flexiWAN SD-WAN لتمثيل موقعَي فرعَين مختلفَين في VPC
3. لاختبار مسار البيانات، عليك إعداد ثلاثة أجهزة افتراضية على GCE لمحاكاة العملاء والخوادم المستضافة على Google Cloud Platform.

ما ستتعرّف عليه

• استخدام شبكة NCC لربط الفروع البعيدة باستخدام حلّ مفتوح المصدر لشبكة WAN مُدارة بالبرامج
• تجربة عملية لحلّ شبكة WAN محددة بالبرامج المفتوحة المصدر

المتطلبات

• معرفة بشبكة VPC في Google Cloud Platform
• معرفة بجهاز توجيه Cloud Router وتوجيه BGP

2. الأهداف

• إعداد بيئة Google Cloud Platform
• نشر نُسخ flexiWAN Edge في Google Cloud Platform
• إنشاء مركز NCC ووحدة توجيه شبكة افتراضية (NVA) في flexiWAN Edge كخط فرعي
• ضبط وإدارة نُسخ flexiWAN باستخدام flexiManage
• ضبط عملية تبادل مسار BGP بين vpc-app-svcs ووحدة توجيه شبكة افتراضية (NVA) في flexiWAN
• إنشاء موقع إلكتروني عن بُعد يحاكي فرعًا عن بُعد للعملاء أو مركز بيانات
• إنشاء نفق IPSEC بين الموقع البعيد ووحدة التحكّم في حدود الشبكة
• التأكّد من نشر الأجهزة بنجاح
• التحقّق من صحة نقل البيانات من الموقع الإلكتروني إلى السحابة الإلكترونية
• تنظيف الموارد المستخدَمة

يتطلّب هذا الدليل التعليمي إنشاء حساب flexiManage مجاني للمصادقة على نُسخ flexiEdge وإعدادها وإدارتها.

قبل البدء

استخدام Google Cloud Console وCloud Shell

للتفاعل مع Google Cloud Platform، سنستخدم Google Cloud Console وCloud Shell على مدار هذا البرنامج التدريبي.

Google Cloud Console

يمكن الوصول إلى Cloud Console على الرابط https://console.cloud.google.com.

عليك إعداد العناصر التالية في Google Cloud لتسهيل ضبط إعدادات "مركز اتصال الشبكة":

في Google Cloud Console، في صفحة أداة اختيار المشاريع، اختَر مشروعًا على Google Cloud أو أنشِئ مشروعًا.

افتح Cloud Shell. يستخدم هذا الدرس التطبيقي حول الترميز متغيّرات $variables لمساعدة عملية تنفيذ إعدادات gcloud في Cloud Shell.

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname

أدوار "إدارة الهوية وإمكانية الوصول"

تتطلّب خدمة NCC أدوار "إدارة الهوية وإمكانية الوصول" للوصول إلى واجهات برمجة تطبيقات معيّنة. احرص على ضبط أدوار إدارة الهوية وإمكانية الوصول (IAM) في NCC للمستخدم على النحو المطلوب.

3- إعداد بيئة مختبر الشبكة

نظرة عامة

في هذا القسم، سننشر شبكات VPC وقواعد جدار الحماية.

محاكاة شبكات المواقع الفرعية على الموقع الإلكتروني

تحتوي شبكة VPC هذه على شبكات فرعية لأجهزة افتراضية على الموقع.

أنشئ شبكات المواقع الإلكترونية والشبكات الفرعية على الموقع:

gcloud compute networks create site1-vpc \
--subnet-mode custom

gcloud compute networks create s1-inside-vpc \
--subnet-mode custom

gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1

gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1

أنشئ قواعد جدار حماية site1-vpc للسماح بما يلي:

• بروتوكول النقل الآمن (SSH) والمستخدمون الداخليون وبروتوكول IAP
• ESP وUDP/500 وUDP/4500
• نطاق 10.0.0.0/8
• نطاق 192.168.0.0/16

gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22

gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router

gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

أنشئ قواعد جدار حماية s1-inside-vpc للسماح بما يلي:

• بروتوكول النقل الآمن (SSH) والشبكة الداخلية وبروتوكول IAP
• نطاق 10.0.0.0/8
• نطاق 192.168.0.0/16

gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22

gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc  \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

لأغراض الاختبار، أنشئ مثيلَي s1-inside-vm وs2-inside-vm.

gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address

محاكاة بيئة شبكة السحابة الإلكترونية في Google Cloud Platform

لتفعيل حركة البيانات من موقع إلكتروني إلى آخر على مستوى مناطق مختلفة من خلال شبكة hub-vpc ونقاط الاتصال، عليك تفعيل التوجيه العالمي في شبكة hub-vpc. يمكنك الاطّلاع على مزيد من المعلومات في مقالة تبادل المسارات في NCC.

1. أنشئ شبكة hub-vpc وشبكات فرعية:

gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global

gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1

gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4

2. أنشئ شبكة workload-vpc وشبكات فرعية:

gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global

gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1

3. أنشئ قواعد جدار حماية لـ Hub-VPC للسماح بما يلي:

• بروتوكول النقل الآمن (SSH)
• ESP وUDP/500 وUDP/4500
• النطاق الداخلي 10.0.0.0/8 (الذي يشمل منفذ TCP 179 المطلوب لجلسة BGP من موجه السحابة الإلكترونية إلى جهاز الموجّه)

gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22

gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router

gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

4. أنشئ قواعد جدار حماية لـ Workload-VPC للسماح بما يلي:

• بروتوكول النقل الآمن (SSH)
• النطاق الداخلي 192.168.0.0/16 (الذي يشمل منفذ TCP 179 المطلوب لجلسة BGP من موجه السحابة الإلكترونية إلى جهاز الموجّه)

gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22

gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16

gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8

gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20

5. تفعيل ترجمة عنوان الشبكة (NAT) في السحابة الإلكترونية في "سحابة عمل المهام" (VPC) للسماح لـ "وحدة عمل المهام 1" (VM) بتنزيل الحِزم من خلال إنشاء "موجّه في السحابة الإلكترونية" و"بوابة ترجمة عنوان الشبكة"

gcloud compute routers create cloud-router-usc-central-1-nat \
    --network workload-vpc \
    --region us-central1

gcloud compute routers nats create cloudnat-us-central1 \
    --router=cloud-router-usc-central-1-nat \
    --auto-allocate-nat-external-ips \
    --nat-all-subnet-ip-ranges \
    --region us-central1

6. أنشئ workload1-vm in "us-central1-a" in workload-VPC، وسيتم استخدام هذا المضيف للتحقّق من اتصال الموقع الإلكتروني بخدمات السحابة الإلكترونية.

gcloud compute instances create workload1-vm \
    --project=$projectname \
    --machine-type=e2-micro \
    --image-family debian-10 \
    --image-project debian-cloud \
    --zone us-central1-a \
    --private-network-ip 192.168.235.3 \
        --no-address \
    --subnet=workload-subnet1 \
    --metadata startup-script="#! /bin/bash
      sudo apt-get update
      sudo apt-get install apache2 -y
      sudo service apache2 restart
      echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
      EOF"

4. إعداد الأجهزة على الموقع لشبكة SD-WAN

إنشاء جهاز افتراضي على الموقع لشبكة SDWAN (الأجهزة)

في القسم التالي، سننشئ site1-nva الذي يعمل كأجهزة توجيه على الموقع.

إنشاء النُسخ

أنشئ جهاز site1-router الذي يحمل الاسم site1-nva.

gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward

5- تثبيت flexiWAN على site1-nva

افتح اتصال SSH بموقع site1-nva، وفي حال انتهاء المهلة، أعِد المحاولة.

gcloud compute ssh site1-nva --zone=us-central1-a

تثبيت flexiWAN على site1-nva

sudo su 

sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y

حضِّر الجهاز الظاهري لتسجيل خطة التحكّم في flexiWAN.

بعد اكتمال تثبيت flexiWAN، شغِّل الأمر fwsystem_checker لإعداد الجهاز الظاهري لاستخدام flexiWAN. يتحقّق هذا الأمر من متطلبات النظام ويساعد في تصحيح أخطاء الضبط في نظامك.

• اختَر الخيار 2 للضبط السريع والصامت.
• يمكنك الخروج بعد ذلك باستخدام 0.
• لا تغلق نافذة Cloud Shell.

root@site-1-nva-1:/home/user# fwsystem_checker
 
<output snipped>

        [0] - quit and use fixed parameters
         1  - check system configuration
         2  - configure system silently
         3  - configure system interactively
         4  - restore system checker settings to default
        ------------------------------------------------
Choose: 2

<output snipped>

        [0] - quit and use fixed parameters
         1  - check system configuration
         2  - configure system silently
         3  - configure system interactively
         4  - restore system checker settings to default
        ------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====

اترك الجلسة مفتوحة لتنفيذ الخطوات التالية.

6- تسجيل site1-nva مع وحدة تحكّم شبكة WAN الموزّعة

هذه الخطوات مطلوبة لإكمال توفير وحدة توجيه حدود الشبكة (NVA) في flexiWAN التي تتم إدارتها من وحدة تحكّم flexiManage. تأكَّد من إعداد مؤسسة flexiWAN قبل المتابعة.

مصادقة وحدة توجيه حدود الشبكة (NVA) في flexiWAN التي تم نشرها حديثًا باستخدام flexiManage باستخدام رمز أمان من خلال تسجيل الدخول إلى حساب flexiManage يمكن إعادة استخدام الرمز المميّز نفسه في جميع أجهزة التوجيه.

اختَر المستودع → الرموز المميّزة، وأنشئ رمزًا مميّزًا واختَر نسخة.

ارجع إلى Cloud Shell (site1-nva) والصِق الرمز المميّز في الدليل ‎ /etc/flexiWAN/agent/token.txt من خلال تنفيذ ما يلي:

nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter

تفعيل أدوات توجيه المواقع الإلكترونية في وحدة تحكّم flexiManage

تسجيل الدخول إلى وحدة تحكّم flexiManage لتفعيل site1-nva على وحدة التحكّم

في اللوحة اليمنى، اختَر المستودع > الأجهزة، ثم انقر على الجهاز "غير معروف".

أدخِل اسم المضيف site1-nva وامنح الجهاز الموافقة من خلال التمرير سريعًا لليمين.

اختَر علامة التبويب "الواجهات".

ابحث عن عمود تمّ تعيينه وانقر على لا وغيِّر الإعداد إلى نعم.

اختَر علامة التبويب "جدار الحماية" وانقر على علامة "+" لإضافة قاعدة جدار حماية وارد.

اختَر واجهة WAN لتطبيق قاعدة ssh كما هو موضّح أدناه.

انقر على تحديث الجهاز.

ابدأ site1-nva من وحدة تحكّم flexiWAN. ارجع إلى المستودع → الأجهزة → site1-nva واختَر "بدء الجهاز".

الحالة: جارٍ المزامنة

الحالة: تمت المزامنة

يمكن الاطّلاع على مؤشر التحذير ضمن تحديد المشاكل وحلّها → الإشعارات. بعد الاطّلاع على الرسائل، اختَر الكل ثمّ ضَع علامة "مقروءة" عليها.

7- إعداد أجهزة Hub SDWAN

في القسم التالي، ستنشئ وتسجيل أجهزة توجيه Hub (hub-r1) باستخدام وحدة تحكّم flexiWAN كما تم تنفيذه سابقًا مع مسارات الموقع الإلكتروني.

افتح علامة تبويب جديدة وأنشئ جلسة Cloud Shell، وعدِّل المتغيّرات $variables للمساعدة في تنفيذ إعدادات gcloud.

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname

إنشاء مثيلات NVA في "مركز التحكم"

أنشئ جهاز hub-r1:

gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any

8. تثبيت flexiWAN على نُسخ Hub لـ hub-r1

افتح اتصالاً عبر بروتوكول النقل الآمن (SSH) بجهاز hub-r1.

gcloud compute ssh hub-r1 --zone=us-central1-a

تثبيت برنامج FlexiWAN Agent على كلٍّ من hub-r1

sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y

حضِّر أجهزة افتراضية hub-r1 لتسجيل flexiWAN.

بعد اكتمال تثبيت flexiWAN، شغِّل الأمر fwsystem_checker لإعداد الجهاز الظاهري لاستخدام flexiWAN. يتحقّق هذا الأمر من متطلبات النظام ويساعد في تصحيح أخطاء الضبط في نظامك.

root@hub-r1:/home/user# fwsystem_checker

• اختَر الخيار 2 للضبط السريع والصامت.
• يمكنك الخروج بعد ذلك باستخدام 0.
• لا تغلق نافذة Cloud Shell.

9. تسجيل أجهزة افتراضية hub-r1 على وحدة تحكّم FlexManage

مصادقة وحدة توجيه حدود الشبكة (NVA) في flexiWAN التي تم نشرها حديثًا باستخدام flexiManage باستخدام رمز أمان من خلال تسجيل الدخول إلى حساب flexiManage

• اختَر المستودع → الرموز المميّزة وانسخ الرمز المميّز.

ارجع إلى Cloud Shell (hub-r1) والصِق الرمز المميّز في الدليل ‎ /etc/flexiWAN/agent/token.txt من خلال تنفيذ ما يلي:

nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter

تفعيل أجهزة توجيه Hub hub-r1 في وحدة تحكّم flexiManage

تسجيل الدخول إلى وحدة تحكّم flexiManage

• انتقِل إلى المساحة الإعلانية ← الأجهزة.
• ابحث عن اسم المضيف hub-r1 ولاحظ أنّه "غير معروف".

اختَر الجهاز "غير معروف" الذي يحمل اسم المضيف hub-r1.

• أدخِل اسم المضيف hub-r1.
• امنح الموافقة على الجهاز، ثم حرِّك قرص التنقّل إلى اليمين.

انقر على علامة التبويب الواجهات.

• ابحث عن عمود "تمّ تعيينه".
• بجانب صف الواجهة، انقر على "لا" لتغيير الإعداد إلى "نعم".

انقر على علامة التبويب جدار الحماية.

• انقر على + لإضافة قاعدة جدار الحماية للاتصالات الواردة.
• اختَر واجهة WAN لتلقّي القاعدة.
• السماح بمنفذ SSH 22 باستخدام بروتوكول TCP
• انقر على تحديث الجهاز.

شغِّل جهاز hub-r1 لشبكة WAN الموزّعة (SD-WAN) من وحدة تحكّم flexiWAN.

• ارجع إلى المساحة الإعلانية ← الأجهزة ← hub-r1.

اختَر بدء تشغيل الجهاز.

• انتظِر حتى تكتمل المزامنة ولاحِظ الحالة "جارٍ".

10. Network Connectivity Center على "مركز عملائي في Google Cloud Platform"

تفعيل خدمات واجهة برمجة التطبيقات

فعِّل واجهة برمجة التطبيقات الخاصة بإمكانية الاتصال بالشبكة في حال لم تكن مفعَّلة بعد:

gcloud services enable networkconnectivity.googleapis.com

إنشاء مركز NCC

gcloud network-connectivity hubs create ncc-hub

Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.     
Created hub [ncc-hub]

ضبط جهازَي التوجيه على أنّهما نقطة اتصال في شبكة NCC

ابحث عن معرّف الموارد المنتظم (URI) وعنوان IP لكل من hub-r1 ولاحظ الإخراج. ستحتاج إلى هذه المعلومات في الخطوة التالية.

احرص على تدوين عنوان IP لوحدة hub-r1.

gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"

gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"

أضِف وحدة شبكة افتراضية networkIP لوحدة التحكّم في الشبكة hub-r1 كوحدة شبكة فرعية. يكون نقل البيانات من موقع إلكتروني إلى آخر غير مفعّل تلقائيًا.

gcloud network-connectivity spokes linked-router-appliances create s2c-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer

ضبط "راوتر السحابة الإلكترونية" لإنشاء BGP مع Hub-R1

في الخطوة التالية، أنشئ "موجه السحابة" وأعلِن عن الشبكة الفرعية لوحدة عمل VPC‏ 192.168.235.0/24.

أنشئ جهاز توجيه السحابة الإلكترونية في us-central1 الذي سيتواصل مع BGP باستخدام hub-r1.

gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets

من خلال ضبط أجهزة التوجيه على أنّها نقطة اتصال NCC، يمكن لجهاز توجيه السحابة الإلكترونية التفاوض بشأن BGP على الواجهات الافتراضية.

أنشئ واجهتَين على جهاز توجيه السحابة الإلكترونية ستتبادلان رسائل BGP مع hub-r1.

يتم اختيار عناوين IP من الشبكة الفرعية لوحدة العمل ويمكن تغييرها إذا لزم الأمر.

gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101 

gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0

اضبط واجهة "راوتر السحابة الإلكترونية" لإنشاء بروتوكول BGP مع وحدة vNIC-1 في hub-r1، وعدِّل عنوان IP الخاص بالنظير باستخدام عنوان IP لشبكة hub-r1. يُرجى العلم أنّه يتم استخدام عنوان IP نفسه لكل من int0 وint1.

gcloud compute routers add-bgp-peer wrk-cr1 \
    --peer-name=hub-cr1-bgp-peer-0 \
    --interface=int0 \
    --peer-ip-address=192.168.235.4 \
    --peer-asn=64111 \
    --instance=hub-r1 \
    --instance-zone=us-central1-a \
    --region=us-central1

gcloud compute routers add-bgp-peer wrk-cr1 \
    --peer-name=hub-cr1-bgp-peer-1 \
    --interface=int1 \
    --peer-ip-address=192.168.235.4 \
    --peer-asn=64111 \
    --instance=hub-r1 \
    --instance-zone=us-central1-a \
    --region=us-central1

تحقَّق من حالة BGP، وفي هذه المرحلة من مختبر الرموز البرمجية، تكون حالة BGP هي "حالة الاتصال" لأنّه لم يتم ضبط جهاز توجيه الشبكة على BGP.

gcloud compute routers get-status wrk-cr1 --region=us-central1

11. ضبط أجهزة توجيه Hub لبروتوكول BGP

ضبط hub-r1 لبروتوكول BGP

يُرجى التأكّد من تسجيل الدخول إلى وحدة تحكّم flexiManage.

انتقِل إلى المستودع ← الأجهزة ← hub-r1 واختَر الجهاز الذي يحمل الاسم HostName:hub-r1.

• انقر على علامة التبويب "التوجيه".
• انقر على "إعدادات BGP".
• أوقِف "إعادة توزيع مسارات بروتوكول إدارة الزمرة المفتوحة (OSPF)".
• اضبط hub-r1 لبروتوكول BGP باستخدام هذه المَعلمات وانقر على "حفظ".

اختَر علامة التبويب "الواجهات"، وابحث عن واجهة شبكة LAN، ثم ابحث عن العمود "التوجيه".

• انقر على "none" لفتح القائمة من أجل اختيار BGP كبروتوكول التوجيه.

• في أعلى الصفحة، انقر على "تعديل الجهاز".

12. تبادل مسار BGP بين أجهزة التوجيه

إنشاء رقم تعريف مزود خدمة شبكة (ASN) محلي للمواقع البعيدة

عليك ضبط رقم تعريف مزود خدمة الإنترنت (ASN) لبروتوكول BGP المحلي للموقع الإلكتروني site1-nva. وبعد ضبطه، سننشئ نفقًا IPSEC بين المواقع البعيدة وأجهزة توجيه المحور.

اختَر الجهاز الذي يحمل الاسم HostName:site1-nva.

• انقر على علامة التبويب "التوجيه".
• انقر على "إعدادات BGP".
• أوقِف "إعادة توزيع مسارات بروتوكول إدارة الزمرة المفتوحة (OSPF)".
• رقم تعريف إشعار الشحن المتقدّم المحلي 7269 → حفظ
• تعديل الجهاز
• علامة التبويب "الواجهات" → التوجيه → BGP
• تعديل الجهاز

ضبط إعدادات أنفاق شبكة VPN بين جهازَي Site1 وHub1

يُرجى التأكّد من تسجيل الدخول إلى وحدة تحكّم flexiManage.

• انتقِل إلى المساحة الإعلانية ← الأجهزة.
• ضَع علامة في المربّع بجانب اسمَي المضيفَين site1-nva وhub-r1 لإنشاء نفق شبكة VPN بين هذان الجهازان من NVA.
• انقر على الإجراءات → إنشاء قنوات اتصال وضبط ما يلي:

• انقر على إنشاء قنوات.

تأكَّد من أنّ "site1-nva" قد تعلّم طرقًا إلى الشبكة الفرعية 192.168.235.0/24 و192.168.236.0/24.

• اختَر المستودع → الأجهزة → site1-nva وانقر على علامة التبويب "التوجيه".

في مثال الإخراج أدناه، أنشأ flexiWAN النفق تلقائيًا باستخدام عنوان IP للمضيف 10.100.0.6 .

13. التأكّد من إمكانية الاتصال بمسار البيانات

التحقّق من إمكانية اتصال الموقع الإلكتروني بالسحابة الإلكترونية من موقع إلكتروني على الخادم

راجِع المخطّط البياني، وتأكَّد من أنّ مسار البيانات بين s1-vm وworkload1-vm

ضبط المسارات الثابتة لشبكة VPC من الموقع الإلكتروني إلى السحابة الإلكترونية

تحاكي Site1-VPC على الموقع الإلكتروني شبكة مركز بيانات على الموقع الإلكتروني.

يستخدم كلّ من جهازَي توجيه Site-1-nva اتصال VPN للوصول إلى شبكة المحور.

بالنسبة إلى حالة استخدام الموقع الإلكتروني إلى السحابة الإلكترونية**،** أنشئ مسارات ثابتة إلى الوجهة 192.168.0.0/16 باستخدام جهاز التوجيه كقفزة تالية للوصول إلى الشبكات في شبكة السحابة الإلكترونية في Google Cloud Platform.

على s1-inside-vpc، أنشئ مسارًا ثابتًا لوجهة السحابة الإلكترونية (192.168.0.0/16):

gcloud compute routes create site1-subnet-route  \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16  \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a

على CloudShell، ابحث عن عنوان IP الخاص بـ workload1-vmnee. ستحتاج إلى ذلك لاختبار الاتصال من "s1-vm".

gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"

يمكنك استخدام بروتوكول النقل الآمن (SSH) للاتصال بـ "s1-vm" واستخدام الأمر "curl" لإنشاء جلسة TCP مع عنوان IP لوحدة workload1-VM.

s1-vm:~$ curl 192.168.235.3 -vv
*   Trying 192.168.235.3:80...
* Connected to 192.168.235.3 (192.168.235.3) port 80 (#0)
> GET / HTTP/1.1
> Host: 192.168.235.3
> User-Agent: curl/7.74.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< Date: Wed, 07 Dec 2022 15:12:08 GMT
< Server: Apache/2.4.54 (Debian)
< Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT
< ETag: "1f-5ef1e4acfa1d9"
< Accept-Ranges: bytes
< Content-Length: 31
< Content-Type: text/html
< 
Page served from: workload1-vm
* Connection #0 to host 192.168.235.3 left intact

14. تنظيف

حذف الموارد على الموقع

تسجيل الدخول إلى Cloud Shell وحذف مثيلات الأجهزة الافتراضية في شبكات الموقع الرئيسي والفرعي

#onprem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet


#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn  --quiet
gcloud compute firewall-rules delete site1-iap --quiet


#delete on prem subnets
gcloud compute networks subnets delete site1-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet


#delete on prem vpcs
gcloud compute networks delete site1-vpc --quiet
gcloud compute networks delete s1-inside-vpc --quiet

حذف موارد Cloud Hub

تسجيل الدخول إلى Cloud Shell وحذف مثيلات الأجهزة الافتراضية في شبكات الموقع الرئيسي والفرعي

#delete ncc spokes
gcloud network-connectivity spokes delete s2c-wrk-cr1 --region us-central1 --quiet

#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet


#delete hub instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet


#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet

gcloud compute firewall-rules create workload-ssh --quiet
gcloud compute firewall-rules create workload-internal --quiet
gcloud compute firewall-rules create workload-onprem --quiet
gcloud compute firewall-rules create workload-iap --quiet

#delete hub subnets
gcloud compute networks subnets delete workload-subnet1 --quiet

gcloud compute networks subnets delete hub-subnet1 --quiet

#delete hub vpcs
gcloud compute networks delete workload-vpc --quiet
gcloud compute networks delete hub-vpc --quiet

15. تهانينا!

لقد أكملت الدرس التطبيقي لمركز اتصال الشبكة.

ما تناولته

• تم إعداد عملية دمج شبكة WAN المستندة إلى البرامج لموقع NCC الإلكتروني مع السحابة الإلكترونية.

الخطوات التالية

• نظرة عامة على "مركز اتصال الشبكة"
• مستندات Network Connectivity Center
• مراجع flexiWAN
• مستودع flexiWAN على GitLab

©Google, LLC أو الشركات التابعة لها جميع الحقوق محفوظة. عدم التوزيع