1. Einführung
Übersicht
In diesem Lab lernen Sie einige der Funktionen des Network Connectivity Centers kennen.
Das Network Connectivity Center (NCC) ist ein Hub-and-Spoke-Steuerungsebenenmodell für die Verwaltung der Netzwerkverbindung in Google Cloud. Die Hub-Ressource bietet ein zentrales Modell für die Verwaltung der Verbindungen zwischen Spokes. Das Network Connectivity Center unterstützt derzeit die folgenden Netzwerkressourcen als Spokes:
- VLAN-Anhänge
- Router-Appliances
- HA VPN
Für Codelabs ist die Verwendung der SaaS-Lösung flexiWAN SD-WAN erforderlich, die die WAN-Bereitstellung und ‑verwaltung vereinfacht.
Umfang
In diesem Codelab erstellen Sie eine Hub-and-Spoke-SD-WAN -Topologie, um Remote-Niederlassungen zu simulieren, die das Backbone-Netzwerk von Google für die Standort-zu-Cloud-Kommunikation durchlaufen.
- Sie stellen zwei GCE-VMs bereit, die für den flexiWAN SD-WAN-Agenten konfiguriert sind und in der Hub-VPC als Headends für ein- und ausgehenden Traffic zur GCP dienen.
- Zwei Remote-flexiWAN SD-WAN-Router für zwei verschiedene VPCs von Standorten der Niederlassung bereitstellen
- Für den Test des Datenpfads konfigurieren Sie drei GCE-VMs, um On-Premises-Clients und einen in der GCP gehosteten Server zu simulieren.
Aufgaben in diesem Lab
- Remote-Niederlassungen mithilfe von NCC über eine Open-Source-Software-definierte WAN-Lösung verbinden
- Praxiserfahrung mit einer Open-Source-Software für softwaredefinierte WAN-Lösungen
Voraussetzungen
- Kenntnisse über das VPC-Netzwerk der Google Cloud Platform
- Kenntnisse zu Cloud Router und BGP-Routing
2. Zielsetzungen
- GCP-Umgebung einrichten
- flexiWAN Edge-Instanzen in der GCP bereitstellen
- NCC-Hub und flexiWAN Edge-NVA als Spoke einrichten
- flexiWAN-Instanzen mit flexiManage konfigurieren und verwalten
- BGP-Routenaustausch zwischen vpc-app-svcs und der flexiWAN-NVA konfigurieren
- Remote-Standort erstellen, der eine Remote-Filiale oder ein Rechenzentrum des Kunden simuliert
- IPsec-Tunnel zwischen dem Remote-Standort und der NVA herstellen
- Prüfen, ob die Appliances erfolgreich bereitgestellt wurden
- Datenübertragung von der Website in die Cloud validieren
- Verwendete Ressourcen bereinigen
Für diese Anleitung ist die Erstellung eines kostenlosen flexiManage-Kontos erforderlich, um flexiEdge-Instanzen zu authentifizieren, einzurichten und zu verwalten.
Hinweis
Google Cloud Console und Cloud Shell verwenden
In diesem Lab verwenden wir sowohl die Google Cloud Console als auch Cloud Shell, um mit der GCP zu interagieren.
Google Cloud Console
Die Cloud Console finden Sie unter https://console.cloud.google.com.
Richten Sie die folgenden Elemente in Google Cloud ein, um die Konfiguration des Network Connectivity Centers zu vereinfachen:
Wählen Sie in der Google Cloud Console auf der Seite zur Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie ein Google Cloud-Projekt.
Starten Sie Cloud Shell. In diesem Codelab werden $variables verwendet, um die Implementierung der gcloud-Konfiguration in Cloud Shell zu unterstützen.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
IAM-Rollen
Für den Zugriff auf bestimmte APIs sind IAM-Rollen erforderlich. Konfigurieren Sie den Nutzer mit den erforderlichen NCC-IAM-Rollen.
Rollenname | Beschreibung | Berechtigungen |
networkconnectivity.networkAdmin | Ermöglicht Netzwerkadministratoren die Verwaltung von Hubs und Spokes. | networkconnectivity.hubs.networkconnectivity.spokes. |
networkconnectivity.networkSpokeManager | Ermöglicht das Hinzufügen und Verwalten von Spokes in einem Hub. Wird in einer freigegebenen VPC verwendet, in der das Hostprojekt Inhaber des Hubs ist, aber andere Administratoren in anderen Projekten dem Hub Spokes für ihre Anhänge hinzufügen können. | networkconnectivity.spokes.** |
networkconnectivity.networkUsernetworkconnectivity.networkViewer | Hier können Netzwerknutzer verschiedene Attribute von Hubs und Speichen aufrufen. | networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList |
3. Netzwerk-Lab-Umgebung einrichten
Übersicht
In diesem Abschnitt stellen wir die VPC-Netzwerke und Firewallregeln bereit.
On-Premise-Zweigstellennetzwerke simulieren
Dieses VPC-Netzwerk enthält Subnetze für lokale VM-Instanzen.
Erstellen Sie die Netzwerke und Subnetze der lokalen Standorte:
gcloud compute networks create site1-vpc \
--subnet-mode custom
gcloud compute networks create s1-inside-vpc \
--subnet-mode custom
gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1
gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1
Erstellen Sie Firewallregeln für site1-vpc, die Folgendes zulassen:
- SSH, intern, IAP
- ESP, UDP/500, UDP/4500
- Bereich 10.0.0.0/8
- 192.168.0.0/16-Bereich
gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22
gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
Erstellen Sie Firewallregeln für s1-inside-vpc, um Folgendes zuzulassen:
- SSH, intern, IAP
- Bereich 10.0.0.0/8
- 192.168.0.0/16-Bereich
gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22
gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
Erstellen Sie zu Testzwecken die Instanzen s1-inside-vm und s2-inside-vm.
gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address
GCP-Cloud-Netzwerkumgebung simulieren
Wenn Sie regionenübergreifenden Site-to-Site-Traffic über das hub-vpc-Netzwerk und die Spokes aktivieren möchten, müssen Sie im hub-vpc-Netzwerk das globale Routing aktivieren. Weitere Informationen finden Sie im Hilfeartikel Routenaustausch.
- Erstellen Sie ein
hub-vpc-Netzwerk und Subnetze:
gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1
gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4
- Erstellen Sie ein
workload-vpc-Netzwerk und Subnetze:
gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1
- Erstellen Sie Firewallregeln für das Hub-VPC, die Folgendes zulassen:
- SSH
- ESP, UDP/500, UDP/4500
- Interner Bereich 10.0.0.0/8 (deckt den TCP-Port 179 ab, der für die BGP-Sitzung vom Cloud Router zur Router-Appliance erforderlich ist)
gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22
gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Erstellen Sie Firewallregeln für die Workload-VPC, die Folgendes zulassen:
- SSH
- Interner Bereich 192.168.0.0/16 (deckt den TCP-Port 179 ab, der für die BGP-Sitzung vom Cloud Router zur Router-Appliance erforderlich ist)
gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22
gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Aktivieren Sie Cloud NAT in der Arbeitslast-VPC, damit workload1-vm Pakete herunterladen kann. Erstellen Sie dazu einen Cloud Router und ein NAT-Gateway.
gcloud compute routers create cloud-router-usc-central-1-nat \
--network workload-vpc \
--region us-central1
gcloud compute routers nats create cloudnat-us-central1 \
--router=cloud-router-usc-central-1-nat \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--region us-central1
- Erstellen Sie den
workload1-vm-in "us-central1-a" inworkload-VPC. Mit diesem Host wird die Verbindung zwischen Website und Cloud überprüft.
gcloud compute instances create workload1-vm \
--project=$projectname \
--machine-type=e2-micro \
--image-family debian-10 \
--image-project debian-cloud \
--zone us-central1-a \
--private-network-ip 192.168.235.3 \
--no-address \
--subnet=workload-subnet1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
EOF"
4. On-Premises-Appliances für SD-WAN einrichten
On-Premise-VM für SDWAN (Appliances) erstellen
Im folgenden Abschnitt erstellen wir site1-nva, das als On-Premise-Router fungiert.
Instanzen erstellen
Erstellen Sie die site1-router-Appliance mit dem Namen site1-nva.
gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward
5. flexiWAN auf site1-nva installieren
Öffnen Sie eine SSH-Verbindung zu site1-nva. Bei Zeitüberschreitung versuchen Sie es noch einmal.
gcloud compute ssh site1-nva --zone=us-central1-a
flexiWAN auf site1-nva installieren
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
Bereiten Sie die VM für die Registrierung in der flexiWAN-Steuerungsebene vor.
Führen Sie nach Abschluss der flexiWAN-Installation den Befehl fwsystem_checker aus, um die VM für den flexiWAN-Betrieb vorzubereiten. Dieser Befehl überprüft die Systemanforderungen und hilft, Konfigurationsfehler in Ihrem System zu beheben.
- Wählen Sie die Option
2für eine schnelle und geräuschlose Konfiguration aus. - Beenden Sie das Programm anschließend mit 0.
- Schließen Sie das Cloud Shell-Fenster nicht.
root@site-1-nva-1:/home/user# fwsystem_checker
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 2
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====
Lassen Sie die Sitzung für die folgenden Schritte geöffnet.
6. site1-nva beim SD-WAN-Controller registrieren
Diese Schritte sind erforderlich, um die Bereitstellung des flexiWAN-NVA abzuschließen, der über die flexiManage Console verwaltet wird. Die flexiWAN-Organisation muss eingerichtet sein, bevor Sie fortfahren können.
Authentifizieren Sie die neu bereitgestellte flexiWAN-NVA mit flexiManage mit einem Sicherheitstoken, indem Sie sich im flexiManage-Konto anmelden. Das gleiche Token kann für alle Router-Appliances wiederverwendet werden.
Wählen Sie Inventar → Tokens aus,erstellen Sie ein Token und wählen Sie „Kopieren“ aus.
Kehren Sie zur Cloud Shell (site1-nva) zurück und fügen Sie das Token in das Verzeichnis /etc/flexiWAN/agent/token.txt ein. Gehen Sie dazu so vor:
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Website-Router in der flexiManage Console aktivieren
Melden Sie sich in der flexiManage Console an, um „site1-nva“ auf dem Controller zu aktivieren.
Wählen Sie im linken Bereich Inventar → Geräte aus und klicken Sie auf das Gerät Unbekannt.
Geben Sie den Hostnamen von site1-nva ein und genehmigen Sie das Gerät, indem Sie den Schieberegler nach rechts ziehen.
Wählen Sie den Tab Benutzeroberflächen aus.
Suchen Sie die Spalte Zugewiesen, klicken Sie auf Nein und ändern Sie die Einstellung zu Ja.
Wählen Sie den Tab „Firewall“ aus und klicken Sie auf das Pluszeichen, um eine Firewallregel für eingehenden Traffic hinzuzufügen.
Wählen Sie die WAN-Schnittstelle aus, um die SSH-Regel wie unten beschrieben anzuwenden.
Klicken Sie auf Gerät aktualisieren.
Starten Sie site1-nva über den flexiWAN-Controller. Kehren Sie zu Inventar → Geräte → site1-nva zurück und wählen Sie Gerät starten aus.
Status: Synchronisiert
Status: Synchronisiert
Das Warnsymbol ist unter Fehlerbehebung → Benachrichtigungen zu sehen. Nach dem Ansehen alle auswählen und als gelesen markieren
7. Hub-SDWAN-Appliances einrichten
Im folgenden Abschnitt erstellen und registrieren Sie die Hub-Router (hub-r1) beim flexiWAN-Controller, wie Sie es zuvor mit den Standortrouten getan haben.
Öffnen Sie einen neuen Tab und erstellen Sie eine Cloud Shell-Sitzung. Aktualisieren Sie die $variables, um die Implementierung der gcloud-Konfiguration zu unterstützen.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
NVA-Instanzen für Hubs erstellen
Erstellen Sie die Appliance hub-r1:
gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any
8. flexiWAN auf Hub-Instanzen für hub-r1 installieren
SSH-Verbindung zu hub-r1 öffnen
gcloud compute ssh hub-r1 --zone=us-central1-a
FlexiWAN-Agent auf beiden Hub-r1-Geräten installieren
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
Bereiten Sie die Hub-r1-VMs für die FlexiWAN-Registrierung vor.
Führen Sie nach Abschluss der Installation von flexiWAN den Befehl fwsystem_checker aus, um die VM für den flexiWAN-Betrieb vorzubereiten. Dieser Befehl überprüft die Systemanforderungen und hilft, Konfigurationsfehler in Ihrem System zu beheben.
root@hub-r1:/home/user# fwsystem_checker
- Wählen Sie die Option
2für eine schnelle und geräuschlose Konfiguration aus. - Beenden Sie das Programm anschließend mit 0.
- Schließen Sie das Cloud Shell-Fenster nicht.
9. Hub-r1-VMs beim FlexManage-Controller registrieren
Authentifizieren Sie die neu bereitgestellte flexiWAN-NVA mit flexiManage mit einem Sicherheitstoken, indem Sie sich im flexiManage-Konto anmelden.
- Wähle Inventar → Tokens aus und kopiere das Token.
Kehren Sie zur Cloud Shell (hub-r1) zurück und fügen Sie das Token in das Verzeichnis /etc/flexiWAN/agent/token.txt ein. Gehen Sie dazu so vor:
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Hub-Router hub-r1 in der flexiManage Console aktivieren
In der flexiManage-Konsole anmelden
- Gehen Sie zu Inventar → Geräte.
- Prüfen Sie, ob der Hostname für hub-r1 „unbekannt“ ist.
Wählen Sie das unbekannte Gerät mit dem Hostnamen hub-r1 aus.
- Geben Sie den Hostnamen von hub-r1 ein.
- Genehmigen Sie das Gerät, indem Sie den Schieberegler nach rechts schieben.
Wählen Sie den Tab Benutzeroberflächen aus.
- Suchen Sie nach der Spalte Zugewiesen.
- Klicken Sie neben der Zeile „Benutzeroberfläche“ auf Nein, um die Einstellung in Ja zu ändern.
Wählen Sie den Tab Firewall aus.
- Klicken Sie auf +, um eine Firewallregel für eingehende Verbindungen hinzuzufügen.
- Wählen Sie die WAN-Schnittstelle aus, auf die die Regel angewendet werden soll.
- SSH-Port 22 mit TCP-Protokoll zulassen
- Klicken Sie auf Gerät aktualisieren.
Starten Sie die Appliance hub-r1 für SD-WAN über den Controller von flexiWAN.
- Kehren Sie zu Inventar → Geräte → hub-r1 zurück.
Wählen Sie Gerät starten aus.
- Warten Sie, bis die Synchronisierung abgeschlossen ist, und notieren Sie sich den Status Laufend.
10. Network Connectivity Center im GCP-Hub
API-Dienste aktivieren
Aktivieren Sie die Network Connectivity API, falls sie noch nicht aktiviert ist:
gcloud services enable networkconnectivity.googleapis.com
NCC-Hub erstellen
gcloud network-connectivity hubs create ncc-hub
Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.
Created hub [ncc-hub]
Beide Router-Appliances als NCC-Spoke konfigurieren
Suchen Sie den URI und die IP-Adresse für beide hub-r1 und notieren Sie sich die Ausgabe. Sie benötigen diese Informationen im nächsten Schritt.
Notieren Sie sich die IP-Adresse der Instanz „hub-r1“.
gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"
gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"
Fügen Sie die VNIC networkIP von Hub-R1 als Spoke hinzu. Die Site-to-Site-Datenübertragung ist standardmäßig deaktiviert.
gcloud network-connectivity spokes linked-router-appliances create s2c-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer
Cloud Router für die BGP-Verbindung mit Hub-R1 konfigurieren
Erstellen Sie im nächsten Schritt den Cloud Router und geben Sie das Arbeitslast-VPC-Subnetz 192.168.235.0/24 an.
Erstellen Sie den Cloud Router in der Region „us-central1“, der mit BGP mit „hub-r1“ kommunizieren soll.
gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets
Wenn Sie die Router-Appliances als NCC-Spoke konfigurieren, kann der Cloud Router BGP über virtuelle Schnittstellen aushandeln.
Erstellen Sie zwei Schnittstellen auf dem Cloud Router, über die BGP-Nachrichten mit hub-r1 ausgetauscht werden.
IP-Adressen werden aus dem Arbeitslast-Subnetz ausgewählt und können bei Bedarf geändert werden.
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0
Konfigurieren Sie die Cloud Router-Schnittstelle, um BGP mit der vNIC-1 von hub-r1 zu etablieren. Aktualisieren Sie die Peer-IP-Adresse mit der IP-Adresse der Netzwerk-IP von hub-r1. Hinweis: Für int0 und int1 wird dieselbe IP-Adresse verwendet.
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-0 \
--interface=int0 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-1 \
--interface=int1 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
Prüfen Sie den BGP-Status. An diesem Punkt im Codelab ist BGP im „Verbindungsstatus“, da die Netzwerk-Router-Appliance nicht für BGP konfiguriert wurde.
gcloud compute routers get-status wrk-cr1 --region=us-central1
11. Hub-Router-Appliances für BGP konfigurieren
Hub-r1 für BGP konfigurieren
Melden Sie sich in der flexiManage-Konsole an.
Gehen Sie zu Inventar → Geräte → hub-r1 und wählen Sie das Gerät mit dem Hostnamen:hub-r1 aus.
- Klicken Sie auf den Tab Routing.
- Klicken Sie auf BGP-Konfiguration.
- Deaktivieren Sie „OSPF-Routen neu verteilen“.
- Konfigurieren Sie hub-r1 mit diesen Parametern für BGP und klicken Sie auf Speichern.
Wählen Sie den Tab Schnittstellen aus, suchen Sie die LAN-Schnittstelle und finden Sie die Spalte Routing.
- Klicken Sie auf kein, um das Menü zu öffnen und BGP als Routingprotokoll auszuwählen.
- Klicken Sie oben auf der Seite auf Gerät aktualisieren.
12. BGP-Routenaustausch zwischen Router-Appliances
Lokale ASN für Remote-Standorte einrichten
Konfigurieren Sie eine lokale BGP-ASN für site1-nva. Anschließend richten wir einen IPsec-Tunnel zwischen den Remote-Standorten und den Hub-Routern ein.
Wählen Sie das Gerät mit dem HostName:site1-nva aus.
- Klicken Sie auf den Tab Routing.
- Klicken Sie auf BGP-Konfiguration.
- Deaktivieren Sie OSPF-Routen neu verteilen.
- Lokale ASN 7269 → Speichern
- Gerät aktualisieren
- Tab „Schnittstellen“ → „Routing“ → „BGP“
- Gerät aktualisieren
VPN-Tunnel zwischen Site1- und Hub1-Appliances konfigurieren
Melden Sie sich in der flexiManage-Konsole an.
- Gehen Sie zu Inventar → Geräte.
- Klicken Sie das Kästchen neben dem Hostnamen von site1-nva und hub-r1 an, um einen VPN-Tunnel zwischen diesen beiden NVAs zu erstellen.
- Klicken Sie auf Aktionen → Tunnel erstellen und konfigurieren Sie Folgendes:
- Wählen Sie Tunnel erstellen aus.
Prüfen Sie, ob „site1-nva“ Routen zum Subnetz 192.168.235.0/24 und 192.168.236.0/24 erlernt hat.
- Wähle Inventar → Geräte → site1-nva aus und klicke auf den Tab Routing.
In der Beispielausgabe unten hat flexiWAN den Tunnel automatisch mit der Host-IP-Adresse 10.100.0.6 erstellt.
13. Datenpfadverbindung prüfen
Site-to-Cloud-Konnektivität von On-Premises-Standort prüfen
Sehen Sie sich das Diagramm an und prüfen Sie, ob der Datenpfad zwischen s1-vm und workload1-vm
Statische VPC-Routen für Site-to-Cloud-Verbindungen konfigurieren
Das lokale Site1-VPC simuliert ein lokales Rechenzentrumsnetzwerk.
Beide Site 1-nva-Router-Appliances verwenden eine VPN-Verbindung, um das Hub-Netzwerk zu erreichen.
Erstellen Sie für den Anwendungsfall „Site-to-Cloud“ statische Routen zum Ziel 192.168.0.0/16 und verwenden Sie die Router-Appliance als nächsten Hop, um Netzwerke im GCP-Cloud-Netzwerk zu erreichen.
Erstellen Sie auf s1-inside-vpc eine statische Route für das Cloud-Ziel (192.168.0.0/16):
gcloud compute routes create site1-subnet-route \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16 \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a
Rufen Sie in Cloud Shell die IP-Adresse von workload1-vmnee auf.“ Sie benötigen diese Informationen, um die Verbindung von s1-vm zu testen.
gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"
Stellen Sie eine SSH-Verbindung zu s1-vm her und verwenden Sie den Befehl curl, um eine TCP-Sitzung zur IP-Adresse der VM „workload1“ herzustellen.
s1-vm:~$ curl 192.168.235.3 -vv * Trying 192.168.235.3:80... * Connected to 192.168.235.3 (192.168.235.3) port 80 (#0) > GET / HTTP/1.1 > Host: 192.168.235.3 > User-Agent: curl/7.74.0 > Accept: */* > * Mark bundle as not supporting multiuse < HTTP/1.1 200 OK < Date: Wed, 07 Dec 2022 15:12:08 GMT < Server: Apache/2.4.54 (Debian) < Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT < ETag: "1f-5ef1e4acfa1d9" < Accept-Ranges: bytes < Content-Length: 31 < Content-Type: text/html < Page served from: workload1-vm * Connection #0 to host 192.168.235.3 left intact
14. Bereinigen
On-Premise-Ressourcen löschen
Melden Sie sich in Cloud Shell an und löschen Sie die VM-Instanzen in den Netzwerken der Hub- und Branch-Standorte.
#onprem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet
#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn --quiet
gcloud compute firewall-rules delete site1-iap --quiet
#delete on prem subnets
gcloud compute networks subnets delete site1-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
#delete on prem vpcs
gcloud compute networks delete site1-vpc --quiet
gcloud compute networks delete s1-inside-vpc --quiet
Cloud Hub-Ressourcen löschen
Melden Sie sich in Cloud Shell an und löschen Sie die VM-Instanzen in den Netzwerken der Hub- und Branch-Standorte.
#delete ncc spokes
gcloud network-connectivity spokes delete s2c-wrk-cr1 --region us-central1 --quiet
#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet
#delete hub instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet
#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet
gcloud compute firewall-rules create workload-ssh --quiet
gcloud compute firewall-rules create workload-internal --quiet
gcloud compute firewall-rules create workload-onprem --quiet
gcloud compute firewall-rules create workload-iap --quiet
#delete hub subnets
gcloud compute networks subnets delete workload-subnet1 --quiet
gcloud compute networks subnets delete hub-subnet1 --quiet
#delete hub vpcs
gcloud compute networks delete workload-vpc --quiet
gcloud compute networks delete hub-vpc --quiet
15. Glückwunsch!
Sie haben das Lab zum Network Connectivity Center abgeschlossen.
Behandelte Themen
- Software-definiertes WAN für die Verbindung zwischen der NCC-Website und der Cloud konfiguriert
Nächste Schritte
- Network Connectivity Center – Übersicht
- Network Connectivity Center-Dokumentation
- flexiWAN-Ressourcen
- flexiWAN GitLab-Repository
©Google, LLC oder verbundene Unternehmen. Alle Rechte vorbehalten. Do not distribute.