1. Einführung
Übersicht
In diesem Lab lernen Sie einige Funktionen von Network Connectivity Center kennen.
Network Connectivity Center (NCC) ist ein Hub-and-Spoke-Steuerungsebenenmodell für die Verwaltung von Netzwerkverbindungen in Google Cloud. Die Hub-Ressource bietet ein zentralisiertes Modell für die Konnektivitätsverwaltung zum Verbinden von Spokes. NCC unterstützt derzeit die folgenden Netzwerkressourcen als Spokes:
- VLAN-Anhänge
- Router-Appliances
- HA VPN
Codelabs erfordert die Verwendung einer flexiblen SD-WAN- SaaS-Lösung, die die WAN-Bereitstellung und -Verwaltung vereinfacht.
Inhalt
In diesem Codelab erstellen Sie eine Hub-and-Spoke-SD-WAN -Topologie, um Remote-Zweig-Standorte zu simulieren, die das Backbonenetzwerk von Google für die Standort-zu-Cloud-Kommunikation durchqueren.
- Sie stellen ein Paar GCE-VM-Instanzen bereit, die für den FlexiWAN-SD-WAN-Agent in der Hub-VPC konfiguriert sind, die Frontends für ein- und ausgehenden Traffic zur GCP darstellt.
- Zwei Remote-FlexiWAN-SD-WAN-Router bereitstellen, um die VPC mit zwei verschiedenen Zweigstandorten darzustellen
- Für Datenpfadtests konfigurieren Sie drei GCE-VMs, um lokale Clients und Server zu simulieren, die auf der GCP gehostet werden.
Aufgaben in diesem Lab
- NCC verwenden, um Remote-Zweigstellen mithilfe einer softwarebasierten Open-Source-WAN-Lösung miteinander zu verbinden
- Praxiserfahrung mit einer softwarebasierten Open-Source-WAN-Lösung
Voraussetzungen
- Kenntnisse des GCP-VPC-Netzwerks
- Kenntnisse zu Cloud Router und BGP-Routing
2. Zielsetzungen
- GCP-Umgebung einrichten
- FlexiWAN-Edge-Instanzen in der GCP bereitstellen
- NCC-Hub und flexiWAN Edge NVA als Spoke einrichten
- FlexiWAN-Instanzen mit flexiManage konfigurieren und verwalten
- BGP-Routenaustausch zwischen „vpc-app-svcs“ und der FlexiWAN-NVA konfigurieren
- Remote-Standort erstellen, der die Filiale eines Kunden oder ein Rechenzentrum simuliert
- IPSEC-Tunnel zwischen dem Remote-Standort und NVA einrichten
- Bereitgestellte Appliances prüfen
- Validierung der Datenübertragung von einer Website zur Cloud
- Verwendete Ressourcen bereinigen
Für diese Anleitung muss ein kostenloses flexiManage-Konto erstellt werden, um FlexiEdge-Instanzen zu authentifizieren, einzurichten und zu verwalten.
Hinweis
Google Cloud Console und Cloud Shell verwenden
Für die Interaktion mit der GCP verwenden wir in diesem Lab sowohl die Google Cloud Console als auch Cloud Shell.
Google Cloud Console
Die Cloud Console ist unter https://console.cloud.google.com erreichbar.
Richten Sie die folgenden Elemente in Google Cloud ein, um die Konfiguration von Network Connectivity Center zu vereinfachen:
Wählen Sie in der Google Cloud Console auf der Seite zur Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie ein Google Cloud-Projekt.
Starten Sie Cloud Shell. In diesem Codelab wird $variables verwendet, um die Implementierung der gcloud-Konfiguration in Cloud Shell zu unterstützen.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
IAM-Rollen
NCC erfordert IAM-Rollen für den Zugriff auf bestimmte APIs. Konfigurieren Sie Ihren Nutzer nach Bedarf mit den NCC-IAM-Rollen.
Rollenname | Beschreibung | Berechtigungen |
networkconnectivity.networkAdmin | Ermöglicht Netzwerkadministratoren die Verwaltung von Hub und Spokes. | networkconnectivity.hubs.networkconnectivity.Spokes |
networkconnectivity.networkSpokeManager | Ermöglicht das Hinzufügen und Verwalten von Spokes in einem Hub. Wird in einer freigegebenen VPC verwendet, in der das Hostprojekt Inhaber des Hubs ist. Andere Administratoren in anderen Projekten können jedoch Spokes für ihre Anhänge zum Hub hinzufügen. | networkconnectivity.Spokes unterstützt.** |
networkconnectivity.networkUsernetworkconnectivity.networkViewer | Ermöglicht Netzwerknutzern, verschiedene Attribute von Hub und Spokes aufzurufen. | networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList |
3. Network Lab Environment einrichten
Übersicht
In diesem Abschnitt stellen wir die VPC-Netzwerke und Firewallregeln bereit.
Lokale Zweig-Site-Netzwerke simulieren
Dieses VPC-Netzwerk enthält Subnetze für lokale VM-Instanzen.
Erstellen Sie die lokalen Standortnetzwerke und Subnetze:
gcloud compute networks create site1-vpc \
--subnet-mode custom
gcloud compute networks create s1-inside-vpc \
--subnet-mode custom
gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1
gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1
Erstellen Sie Firewallregeln für site1-vpc, um Folgendes zuzulassen:
- SSH, intern, IAP
- ESP, UDP/500, UDP/4500
- Bereich 10.0.0.0/8
- Bereich 192.168.0.0/16
gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22
gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
Erstellen Sie Firewallregeln für s1-inside-vpc, um Folgendes zuzulassen:
- SSH, intern, IAP
- Bereich 10.0.0.0/8
- Bereich 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22
gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
Erstellen Sie zu Testzwecken die Instanzen s1-inside-vm
und s2-inside-vm
.
gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address
Cloud-Netzwerkumgebung der GCP simulieren
Wenn Sie regionsübergreifenden Site-to-Site-Traffic über das hub-vpc
-Netzwerk und die Spokes aktivieren möchten, müssen Sie im hub-vpc
-Netzwerk globales Routing aktivieren. Weitere Informationen finden Sie im NCC-Routenaustausch.
- Erstellen Sie
hub-vpc
-Netzwerk und Subnetze:
gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1
gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4
- Erstellen Sie
workload-vpc
-Netzwerk und Subnetze:
gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1
- Erstellen Sie Hub-VPC-Firewallregeln, um Folgendes zuzulassen:
- SSH
- ESP, UDP/500, UDP/4500
- Interner 10.0.0.0/8-Bereich, der den für die BGP-Sitzung vom Cloud Router zur Router-Appliance erforderlichen TCP-Port 179 abdeckt
gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22
gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Erstellen Sie Firewallregeln für Arbeitslast-VPC, die Folgendes zulassen:
- SSH
- interner 192.168.0.0/16-Bereich, der den TCP-Port 179 abdeckt, der für die BGP-Sitzung vom Cloud Router zur Router-Appliance erforderlich ist
gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22
gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Aktivieren Sie Cloud NAT in der Arbeitslast-VPC, damit Arbeitslast1-vm durch Erstellen eines Cloud Routers und eines NAT-Gateways Pakete herunterladen kann
gcloud compute routers create cloud-router-usc-central-1-nat \
--network workload-vpc \
--region us-central1
gcloud compute routers nats create cloudnat-us-central1 \
--router=cloud-router-usc-central-1-nat \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--region us-central1
- Erstellen Sie das
workload1-vm
in "us-central1-a" in
workload-VPC
. Sie verwenden diesen Host, um die Verbindung von Website zu Cloud zu prüfen.
gcloud compute instances create workload1-vm \
--project=$projectname \
--machine-type=e2-micro \
--image-family debian-10 \
--image-project debian-cloud \
--zone us-central1-a \
--private-network-ip 192.168.235.3 \
--no-address \
--subnet=workload-subnet1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
EOF"
4. Lokale Appliances für SD-WAN einrichten
Lokale VM für SDWAN (Appliances) erstellen
Im folgenden Abschnitt erstellen wir site1-nva als lokale Router.
Instanzen erstellen
Erstellen Sie die site1-router
-Appliance mit dem Namen site1-nva.
gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward
5. FlexiWAN auf site1-nva installieren
Stelle eine SSH-Verbindung zu site1-nva her und versuche es bei einer Zeitüberschreitung noch einmal.
gcloud compute ssh site1-nva --zone=us-central1-a
FlexiWAN auf site1-nva installieren
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
Bereiten Sie die VM für die Registrierung der FlexiWAN-Steuerungsebene vor.
Führen Sie nach Abschluss der FlexiWAN-Installation den Befehl fwsystem_checker aus, um die VM für den FlexiWAN-Vorgang vorzubereiten. Dieser Befehl prüft die Systemanforderungen und hilft Ihnen, Konfigurationsfehler in Ihrem System zu beheben.
- Wählen Sie für die schnelle und lautlose Konfiguration die Option
2
aus. - Geben Sie anschließend 0 an.
- Schließen Sie das Cloud Shell-Fenster nicht.
root@site-1-nva-1:/home/user# fwsystem_checker <output snipped> [0] - quit and use fixed parameters 1 - check system configuration 2 - configure system silently 3 - configure system interactively 4 - restore system checker settings to default ------------------------------------------------ Choose: 2 <output snipped> [0] - quit and use fixed parameters 1 - check system configuration 2 - configure system silently 3 - configure system interactively 4 - restore system checker settings to default ------------------------------------------------ Choose: 0 Please wait.. Done. === system checker ended ====
Lass die Sitzung für die folgenden Schritte geöffnet
6. site1-nva mit SD-WAN-Controller registrieren
Diese Schritte sind erforderlich, um die Bereitstellung der flexiWAN NVA über die flexiManage Console abzuschließen. Achten Sie darauf, dass die FlexiWAN-Organisation eingerichtet ist, bevor Sie fortfahren.
Authentifizieren Sie die neu bereitgestellte FlexiWAN-NVA mit flexiManage mithilfe eines Sicherheitstokens. Melden Sie sich dazu im flexiManage-Konto an. Dasselbe Token kann für alle Router-Appliances wiederverwendet werden.
Wählen Sie Inventar → Tokens aus,erstellen Sie ein Token und Kopie auswählen
Kehren Sie zu Cloud Shell (site1-nva) zurück und fügen Sie das Token in das Verzeichnis /etc/flexiWAN/agent/token.txt ein. Gehen Sie dazu so vor:
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Site Router in der flexiManage-Konsole aktivieren
In der flexiManage Console anmelden, um site1-nva auf dem Controller zu aktivieren
Klicken Sie im linken Bereich auf Inventar → Geräte und dann auf das Gerät Unbekannt.
Geben Sie den Hostnamen von site1-nva ein und bewegen Sie den Schieberegler nach rechts, um das Gerät zu genehmigen.
Wählen Sie den Tab Schnittstellen aus.
Suchen Sie die Spalte Zugewiesen. Spalte und klicken Sie auf Nein. und ändere die Einstellung zu Ja.
Wählen Sie den Tab „Firewall“ aus und klicken Sie auf das Pluszeichen +, um eine Firewallregel für eingehenden Traffic hinzuzufügen.
Wählen Sie die WAN-Schnittstelle aus, um die SSH-Regel wie unten beschrieben anzuwenden
Klicke auf Gerät aktualisieren.
Starten Sie „site1-nva“ über den FlexiWAN-Controller. Kehren Sie zu Inventar → Geräte → site1-nva zurück und wählen Sie Gerät starten aus.
Status: Synchronisierung läuft
Status: Synchronisiert
Das Warnsymbol finden Sie unter Fehlerbehebung → Benachrichtigungen. Nach dem Ansehen „Alle“ auswählen und dann als gelesen markieren
7. Hub-SDWAN-Appliances einrichten
Im folgenden Abschnitt erstellen Sie die Hub-Router (hub-r1) und registrieren sie mit dem FlexiWAN-Controller, so wie sie zuvor mit den Standortrouten ausgeführt wurden.
Öffnen Sie einen neuen Tab und erstellen Sie eine Cloud Shell-Sitzung. Aktualisieren Sie $variables, um die Implementierung der gcloud-Konfiguration zu unterstützen.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
Hub-NVA-Instanzen erstellen
Erstellen Sie die hub-r1-Appliance:
gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any
8. FlexiWAN auf Hub-Instanzen für Hub-r1 installieren
SSH-Verbindung zu Hub-r1 herstellen
gcloud compute ssh hub-r1 --zone=us-central1-a
FlexiWAN-Agent auf Hub-r1 installieren
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
Hub-r1-VMs für die FlexiWAN-Registrierung vorbereiten.
Führen Sie nach Abschluss der FlexiWAN-Installation den Befehl fwsystem_checker
aus, um die VM für den FlexiWAN-Vorgang vorzubereiten. Dieser Befehl prüft die Systemanforderungen und hilft Ihnen, Konfigurationsfehler in Ihrem System zu beheben.
root@hub-r1:/home/user# fwsystem_checker
- Wählen Sie für die schnelle und lautlose Konfiguration die Option
2
aus. - Geben Sie anschließend 0 an.
- Schließen Sie das Cloud Shell-Fenster nicht.
9. Hub-r1-VMs auf dem FlexManage-Controller registrieren
Authentifizieren Sie die neu bereitgestellte FlexiWAN-NVA mit flexiManage mithilfe eines Sicherheitstokens. Melden Sie sich dazu im flexiManage-Konto an.
- Wählen Sie Inventar → Tokens aus und kopieren Sie das Token.
Kehren Sie zu Cloud Shell (hub-r1) zurück und fügen Sie das Token in das Verzeichnis /etc/flexiWAN/agent/token.txt ein. Gehen Sie dazu so vor:
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Hub-Router „hub-r1“ in der flexiManage Console aktivieren
In der flexiManage-Konsole anmelden
- Wählen Sie Inventar → Geräte aus.
- Suchen Sie nach Hostname für hub-r1 und merken Sie sich, dass er "unknown" ist.
Wählen Sie das unbekannte Gerät mit dem Hostnamen hub-r1 aus.
- Geben Sie den Hostnamen von hub-r1 ein
- Genehmigen Sie das Gerät und ziehen Sie den Regler nach rechts.
Wählen Sie den Tab Schnittstellen aus.
- Suchen Sie nach der Spalte Zugewiesen.
- Klicken Sie neben der Zeile „Benutzeroberfläche“ auf Nein, um die Einstellung in Ja zu ändern.
Wählen Sie den Tab Firewall aus.
- Klicken Sie auf +. zum Hinzufügen einer Firewallregel für eingehenden Traffic
- Wählen Sie die WAN-Schnittstelle aus, um die Regel zu übernehmen
- SSH-Port 22 mit TCP-Protokoll zulassen
- Klicke auf Gerät aktualisieren.
hub-r1-Appliance für SD-WAN über den Controller von FlexiWAN starten
- Kehren Sie zu Inventar → Geräte → Hub-r1 zurück.
Wählen Sie Gerät starten aus.
- Warten Sie, bis die Synchronisierung abgeschlossen ist, und stellen Sie fest, dass die Meldung Wird ausgeführt angezeigt wird. Status
10. Network Connectivity Center im GCP-Hub
API-Dienste aktivieren
Aktivieren Sie die Netzwerkkonnektivitäts-API, falls sie noch nicht aktiviert ist:
gcloud services enable networkconnectivity.googleapis.com
NCC-Hub erstellen
gcloud network-connectivity hubs create ncc-hub
Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.
Created hub [ncc-hub]
Beide Router-Appliances als NCC-Spoke konfigurieren
Suchen Sie den URI und die IP-Adresse für „hub-r1“ und notieren Sie sich die Ausgabe. Sie benötigen diese Informationen im nächsten Schritt.
Achten Sie darauf, die IP-Adresse der Hub-r1-Instanz zu notieren.
gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"
gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"
Fügen Sie die VPC networkIP
von Hub-r1 als Spoke hinzu. Standardmäßig ist die Website-zu-Website-Datenübertragung deaktiviert.
gcloud network-connectivity spokes linked-router-appliances create s2c-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer
Cloud Router konfigurieren, um BGP mit Hub-R1 einzurichten
Erstellen Sie im folgenden Schritt den Cloud Router und geben Sie das VPC-Subnetz 192.168.235.0/24 der Arbeitslast an
Erstellen Sie den Cloud Router in us-central1, der mit BGP mit Hub-r1 kommuniziert
gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets
Wenn Sie die Router-Appliances als NCC-Spoke konfigurieren, kann der Cloud Router BGP auf virtuellen Schnittstellen aushandeln.
Erstellen Sie auf dem Cloud Router zwei Schnittstellen, die BGP-Nachrichten mit Hub-r1 austauschen.
IP-Adressen werden aus dem Arbeitslast-Subnetz ausgewählt und & kann bei Bedarf geändert werden.
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0
Konfigurieren Sie die Cloud Router-Schnittstelle, um das BGP mit der vNIC-1 von Hub-r1 einzurichten, und aktualisieren Sie die Peer-IP-Adresse mit der IP-Adresse der Netzwerk-IP-Adresse Hub-r1. Hinweis: Dieselbe IP-Adresse wird für int0 & int1.
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-0 \
--interface=int0 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-1 \
--interface=int1 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
Prüfen Sie den BGP-Status. An dieser Stelle im Code-Lab befindet sich das BGP im Status „Verbindungsstatus“. da die Appliance des Netzwerkrouters nicht für BGP konfiguriert wurde.
gcloud compute routers get-status wrk-cr1 --region=us-central1
11. Hub-Router-Appliances für BGP konfigurieren
Hub-r1 für BGP konfigurieren
Melden Sie sich in der flexiManage Console an.
Gehen Sie zu Inventar → Geräte → hub-r1 und wählen Sie das Gerät mit HostName:hub-r1 aus.
- Klicken Sie auf den Tab Routing.
- Klicken Sie auf BGP-Konfiguration.
- Deaktivieren Sie die Option OSPF-Routen neu verteilen.
- Konfigurieren Sie hub-r1 für BGP mit diesen Parametern und klicken Sie auf Speichern.
Wählen Sie Schnittstellen aus. Suchen Sie die LAN-Schnittstelle und suchen Sie die Spalte Routing.
- Klicken Sie auf none (keine). um das Menü zu öffnen, in dem Sie BGP als Routingprotokoll auswählen können
- Klicke oben auf der Seite auf „Gerät aktualisieren“.
12. BGP-Routenaustausch zwischen Router-Appliances
Lokale ASN für Remote-Standorte einrichten
Konfigurieren Sie eine lokale BGP-ASN für site1-nva. Nach der Konfiguration richten wir einen IPSEC-Tunnel zwischen den Remote-Standorten und Hub-Routern ein.
Wählen Sie das Gerät mit HostName:site1-nva aus.
- Klicken Sie auf den Tab Routing.
- Klicken Sie auf BGP-Konfiguration.
- Deaktivieren Sie die Option OSPF-Routen neu verteilen.
- Lokale ASN 7269 → Speichern
- Gerät aktualisieren
- Tab „Schnittstellen“ → Routing → BGP
- Gerät aktualisieren
VPN-Tunnel zwischen Site1- und Hub1-Appliances konfigurieren
Melden Sie sich in der flexiManage Console an.
- Wählen Sie Inventar → Geräte aus.
- Klicken Sie das Kästchen neben den Hostnamen site1-nva und hub-r1 an, um einen VPN-Tunnel zwischen diesen NVAs-Paaren zu erstellen.
- Klicken Sie auf Actions → Create Tunnels (Aktionen → Tunnel erstellen) und konfigurieren Sie Folgendes:
- Wählen Sie Tunnel erstellen aus.
Überprüfen Sie, ob „site1-nva“ erkannte Routen zum Subnetz 192.168.235.0/24 und 192.168.236.0/24
- Wählen Sie Inventar → Geräte → site1-nva aus und klicken Sie auf den Tab Routing.
In der Beispielausgabe unten wurde der Tunnel von flexiWAN automatisch mit der Host-IP-Adresse 10.100.0.6 erstellt.
13. Datenpfadverbindung prüfen
Verbindung von lokaler Umgebung zur Cloud prüfen
Sehen Sie im Diagramm nach, ob der Datenpfad zwischen s1-vm und workload1-vm vorhanden ist.
Statische VPC-Routen für Standort zur Cloud konfigurieren
Das lokale Site1-VPC simuliert das Netzwerk eines lokalen Rechenzentrums.
Beide Site-1-nva-Router-Appliances verwenden eine VPN-Verbindung, um das Hub-Netzwerk zu erreichen.
Erstellen Sie für den Anwendungsfall „Site to Cloud“** statische Routen zum Ziel 192.168.0.0/16 und verwenden Sie dabei die Router-Appliance als nächsten Hop, um Netzwerke im GCP-Cloud-Netzwerk zu erreichen.
Erstellen Sie auf s1-inside-vpc eine statische Route für das Cloud-Ziel (192.168.0.0/16):
gcloud compute routes create site1-subnet-route \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16 \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a
Suchen Sie in Cloud Shell nach der IP-Adresse von workload1-vmnee." Sie benötigen ihn, um die Verbindung von s1-vm zu testen.
gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"
Stellen Sie eine SSH-Verbindung zu s1-vm her und richten Sie mit dem Befehl curl eine TCP-Sitzung für die IP-Adresse der Arbeitslast1-VM ein.
s1-vm:~$ curl 192.168.235.3 -vv * Trying 192.168.235.3:80... * Connected to 192.168.235.3 (192.168.235.3) port 80 (#0) > GET / HTTP/1.1 > Host: 192.168.235.3 > User-Agent: curl/7.74.0 > Accept: */* > * Mark bundle as not supporting multiuse < HTTP/1.1 200 OK < Date: Wed, 07 Dec 2022 15:12:08 GMT < Server: Apache/2.4.54 (Debian) < Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT < ETag: "1f-5ef1e4acfa1d9" < Accept-Ranges: bytes < Content-Length: 31 < Content-Type: text/html < Page served from: workload1-vm * Connection #0 to host 192.168.235.3 left intact
14. Bereinigen
Lokale Ressourcen löschen
Bei Cloud Shell anmelden und VM-Instanzen im Hub- und Zweigstandortnetzwerk löschen
#onprem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet
#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn --quiet
gcloud compute firewall-rules delete site1-iap --quiet
#delete on prem subnets
gcloud compute networks subnets delete site1-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
#delete on prem vpcs
gcloud compute networks delete site1-vpc --quiet
gcloud compute networks delete s1-inside-vpc --quiet
Cloud Hub-Ressourcen löschen
Bei Cloud Shell anmelden und VM-Instanzen im Hub- und Zweigstandortnetzwerk löschen
#delete ncc spokes
gcloud network-connectivity spokes delete s2c-wrk-cr1 --region us-central1 --quiet
#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet
#delete hub instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet
#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet
gcloud compute firewall-rules create workload-ssh --quiet
gcloud compute firewall-rules create workload-internal --quiet
gcloud compute firewall-rules create workload-onprem --quiet
gcloud compute firewall-rules create workload-iap --quiet
#delete hub subnets
gcloud compute networks subnets delete workload-subnet1 --quiet
gcloud compute networks subnets delete hub-subnet1 --quiet
#delete hub vpcs
gcloud compute networks delete workload-vpc --quiet
gcloud compute networks delete hub-vpc --quiet
15. Glückwunsch!
Sie haben das Network Connectivity Center-Lab abgeschlossen.
Behandelte Themen
- Konfigurierte softwarebasierte WAN-Integration für den NCC-Standort in die Cloud
Nächste Schritte
- Network Connectivity Center – Übersicht
- Dokumentation zum Network Connectivity Center
- FlexiWAN-Ressourcen
- flexiWAN-GitLab-Repository
© Google, LLC oder deren Tochtergesellschaften. Alle Rechte vorbehalten. Do not distribute.