1. Einführung
Übersicht
In diesem Lab lernen Sie einige der Funktionen von Network Connectivity Center kennen.
Das Network Connectivity Center (NCC) ist ein Hub-and-Spoke-Modell für die Steuerungsebene, mit dem Netzwerkverbindungen in Google Cloud verwaltet werden. Die Hub-Ressource ist ein Modell für die zentrale Konnektivitätsverwaltung miteinander verbundener Spokes. Das NCC unterstützt derzeit die folgenden Netzwerkressourcen als Spokes:
- VLAN-Anhänge
- Router-Appliances
- HA VPN
Für Codelabs ist die Verwendung der flexiWAN SaaS-SD-WAN- Lösung erforderlich, die die Bereitstellung und Verwaltung von WANs vereinfacht.
Umfang
In diesem Codelab erstellen Sie eine Hub-and-Spoke-SD-WAN -Topologie, um Remote-Zweigstellen zu simulieren, die das Backbone-Netzwerk von Google für die Kommunikation zwischen Standort und Cloud durchlaufen.
- Sie stellen ein Paar von GCE-VMs bereit, die für den flexiWAN SD-WAN-Agent in der Hub-VPC konfiguriert sind. Diese VMs stellen die Headends für ein- und ausgehenden Traffic zu GCP dar.
- Stellen Sie zwei Remote-FlexiWAN-SD-WAN-Router bereit, um zwei verschiedene VPCs für Zweigstellen darzustellen.
- Für das Testen des Datenpfads konfigurieren Sie drei GCE-VMs, um On-Premise-Clients und einen auf GCP gehosteten Server zu simulieren.
Lerninhalte
- Mit NCC Remote-Zweigstellen über eine Open-Source-SD-WAN-Lösung verbinden
- Praktische Erfahrung mit einer softwaredefinierten Open-Source-WAN-Lösung
Voraussetzungen
- Kenntnisse über GCP-VPC-Netzwerke
- Kenntnisse zu Cloud Router und BGP-Routing
2. Ziele
- GCP-Umgebung einrichten
- flexiWAN Edge-Instanzen in der GCP bereitstellen
- NCC-Hub und flexiWAN Edge-NVA als Spoke einrichten
- flexiWAN-Instanzen mit flexiManage konfigurieren und verwalten
- BGP-Routenaustausch zwischen vpc-app-svcs und der flexiWAN-NVA konfigurieren
- Erstellen Sie einen Remote-Standort, der eine Remote-Niederlassung eines Kunden oder ein Rechenzentrum simuliert.
- IPSEC-Tunnel zwischen dem Remote-Standort und der NVA herstellen
- Prüfen, ob die Geräte erfolgreich bereitgestellt wurden
- Website-zu-Cloud-Datenübertragung validieren
- Verwendete Ressourcen bereinigen
Für dieses Tutorial ist die Erstellung eines kostenlosen flexiManage-Kontos erforderlich, um flexiEdge-Instanzen zu authentifizieren, einzubinden und zu verwalten.
Hinweis
Google Cloud Console und Cloud Shell verwenden
In diesem Lab verwenden wir sowohl die Google Cloud Console als auch Cloud Shell, um mit GCP zu interagieren.
Google Cloud Console
Die Cloud Console ist unter https://console.cloud.google.com erreichbar.
Richten Sie die folgenden Elemente in Google Cloud ein, um die Konfiguration des Network Connectivity Centers zu vereinfachen:
Wählen Sie in der Google Cloud Console auf der Seite zur Projektauswahl ein Google Cloud-Projekt aus oder erstellen Sie ein Google Cloud-Projekt.
Starten Sie Cloud Shell. In diesem Codelab werden $Variablen verwendet, um die Implementierung der gcloud-Konfiguration in Cloud Shell zu erleichtern.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
IAM-Rollen
Für den Zugriff auf bestimmte APIs sind IAM-Rollen erforderlich. Konfigurieren Sie Ihren Nutzer mit den erforderlichen NCC-IAM-Rollen.
Rollenname | Beschreibung | Berechtigungen |
networkconnectivity.networkAdmin | Ermöglicht Netzwerkadministratoren die Verwaltung von Hubs und Spokes. | networkconnectivity.hubs.networkconnectivity.spokes. |
networkconnectivity.networkSpokeManager | Ermöglicht das Hinzufügen und Verwalten von Spokes in einem Hub. Zur Verwendung in einer freigegebenen VPC, in der das Hostprojekt den Hub besitzt, aber andere Administratoren in anderen Projekten Spokes für ihre Anhänge zum Hub hinzufügen können. | networkconnectivity.spokes.** |
networkconnectivity.networkUsernetworkconnectivity.networkViewer | Damit können Netzwerkbenutzer verschiedene Attribute von Hubs und Spokes aufrufen. | networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList |
3. Netzwerk-Lab-Umgebung einrichten
Übersicht
In diesem Abschnitt stellen wir die VPC-Netzwerke und Firewallregeln bereit.
Netzwerke des lokalen Zweigstellenstandorts simulieren
Dieses VPC-Netzwerk enthält Subnetze für lokale VM-Instanzen.
Erstellen Sie die Netzwerke und Subnetze für den lokalen Standort:
gcloud compute networks create site1-vpc \
--subnet-mode custom
gcloud compute networks create s1-inside-vpc \
--subnet-mode custom
gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1
gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1
Erstellen Sie Firewallregeln für site1-vpc, die Folgendes zulassen:
- SSH, intern, IAP
- ESP, UDP/500, UDP/4500
- Bereich 10.0.0.0/8
- 192.168.0.0/16-Bereich
gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22
gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
Erstellen Sie s1-inside-vpc-Firewallregeln, um Folgendes zuzulassen:
- SSH, intern, IAP
- Bereich 10.0.0.0/8
- 192.168.0.0/16-Bereich
gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22
gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
Erstellen Sie für Testzwecke die Instanzen s1-inside-vm und s2-inside-vm.
gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address
GCP-Cloud-Netzwerkumgebung simulieren
Zur Aktivierung des regionenübergreifenden Site-to-Site-Traffics über das hub-vpc-Netzwerk und die Spokes müssen Sie im hub-vpc-Netzwerk globales Routing aktivieren. Weitere Informationen zum Routenaustausch
- Erstellen Sie das Netzwerk
hub-vpcund die Subnetze:
gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1
gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4
- Erstellen Sie das Netzwerk
workload-vpcund die Subnetze:
gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1
- Erstellen Sie Firewallregeln für die Hub-VPC, die Folgendes zulassen:
- SSH
- ESP, UDP/500, UDP/4500
- interner Bereich 10.0.0.0/8 (der den für die BGP-Sitzung vom Cloud Router zur Router-Appliance erforderlichen TCP-Port 179 abdeckt)
gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22
gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Erstellen Sie Firewallregeln für die Workload-VPC, die Folgendes zulassen:
- SSH
- Interner Bereich 192.168.0.0/16 (der den für die BGP-Sitzung vom Cloud Router zur Router-Appliance erforderlichen TCP-Port 179 abdeckt)
gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22
gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Aktivieren Sie Cloud NAT in der Arbeitslast-VPC, damit workload1-vm Pakete herunterladen kann. Erstellen Sie dazu einen Cloud Router und ein NAT-Gateway.
gcloud compute routers create cloud-router-usc-central-1-nat \
--network workload-vpc \
--region us-central1
gcloud compute routers nats create cloudnat-us-central1 \
--router=cloud-router-usc-central-1-nat \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--region us-central1
- Erstellen Sie den
workload1-vm-Hostin "us-central1-a" inworkload-VPC. Mit diesem Host überprüfen Sie die Verbindung zwischen Website und Cloud.
gcloud compute instances create workload1-vm \
--project=$projectname \
--machine-type=e2-micro \
--image-family debian-10 \
--image-project debian-cloud \
--zone us-central1-a \
--private-network-ip 192.168.235.3 \
--no-address \
--subnet=workload-subnet1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
EOF"
4. On-Premise-Appliances für SD-WAN einrichten
On-Prem-VM für SD‑WAN (Appliances) erstellen
Im folgenden Abschnitt erstellen wir site1-nva, die als lokale Router fungieren.
Instanzen erstellen
Erstellen Sie die site1-router-Appliance mit dem Namen site1-nva.
gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward
5. flexiWAN auf site1-nva installieren
Öffnen Sie eine SSH-Verbindung zu „site1-nva“. Wenn eine Zeitüberschreitung auftritt, versuchen Sie es noch einmal.
gcloud compute ssh site1-nva --zone=us-central1-a
flexiWAN auf site1-nva installieren
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
Bereiten Sie die VM für die flexiWAN-Steuerungsebenenregistrierung vor.
Führen Sie nach Abschluss der flexiWAN-Installation den Befehl fwsystem_checker aus, um die VM für den flexiWAN-Betrieb vorzubereiten. Dieser Befehl prüft die Systemanforderungen und hilft, Konfigurationsfehler in Ihrem System zu beheben.
- Option
2für schnelle und stille Konfiguration auswählen - Beenden Sie den Vorgang anschließend mit 0.
- Schließen Sie das Cloud Shell-Fenster nicht.
root@site-1-nva-1:/home/user# fwsystem_checker
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 2
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====
Lassen Sie die Sitzung für die folgenden Schritte geöffnet.
6. Registrieren Sie „site1-nva“ beim SD-WAN-Controller.
Diese Schritte sind erforderlich, um die Bereitstellung des flexiWAN-NVA abzuschließen, das über die flexiManage Console verwaltet wird. Die flexiWAN-Organisation muss eingerichtet sein, bevor Sie fortfahren.
Authentifizieren Sie die neu bereitgestellte flexiWAN-NVA mit flexiManage mithilfe eines Sicherheitstokens, indem Sie sich im flexiManage-Konto anmelden. Dasselbe Token kann für alle Router-Appliances wiederverwendet werden.
Wählen Sie Inventar → Tokens aus,erstellen Sie ein Token und wählen Sie „Kopieren“ aus.
Kehren Sie zu Cloud Shell (site1-nva) zurück und fügen Sie das Token in das Verzeichnis /etc/flexiWAN/agent/token.txt ein. Gehen Sie dazu so vor:
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Site-Router in der flexiManage Console aktivieren
Melden Sie sich in der flexiManage Console an, um site1-nva auf dem Controller zu aktivieren.
Wählen Sie im linken Bereich Inventar → Geräte aus und klicken Sie auf das Gerät Unbekannt.
Geben Sie den Hostnamen von site1-nva ein und genehmigen Sie das Gerät, indem Sie das Steuerelement nach rechts schieben.
Wählen Sie den Tab Schnittstellen aus.
Suchen Sie nach der Spalte Zugewiesen, klicken Sie auf Nein und ändern Sie die Einstellung zu Ja.
Wählen Sie den Tab „Firewall“ aus und klicken Sie auf das +, um eine Firewallregel für eingehenden Traffic hinzuzufügen.
Wählen Sie die WAN-Schnittstelle aus, auf die die SSH-Regel angewendet werden soll (siehe unten).
Klicken Sie auf Gerät aktualisieren.
Starten Sie die site1-NVA über den flexiWAN-Controller. Kehren Sie zu Inventar → Geräte → site1-nva zurück und wählen Sie Gerät starten aus.
Status – Wird synchronisiert
Status – Synchronisiert
Das Warnsymbol ist unter Fehlerbehebung → Benachrichtigungen zu sehen. Nachdem Sie sich die Nachrichten angesehen haben, wählen Sie alle aus und markieren Sie sie als gelesen.
7. SD‑WAN-Appliances für Hub einrichten
Im folgenden Abschnitt erstellen und registrieren Sie die Hub-Router (hub-r1) beim flexiWAN Controller, wie zuvor bei den Standortroutern.
Öffnen Sie einen neuen Tab und erstellen Sie eine Cloud Shell-Sitzung. Aktualisieren Sie die $variables, um die Implementierung der gcloud-Konfiguration zu unterstützen.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
Hub-NVA-Instanzen erstellen
Erstellen Sie die Appliance hub-r1:
gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any
8. flexiWAN auf Hub-Instanzen für hub-r1 installieren
SSH-Verbindung zu hub-r1 öffnen
gcloud compute ssh hub-r1 --zone=us-central1-a
flexiWAN-Agent auf beiden Hub-r1-Geräten installieren
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
hub-r1-VMs für die flexiWAN-Registrierung vorbereiten
Führen Sie nach Abschluss der flexiWAN-Installation den Befehl fwsystem_checker aus, um die VM für den flexiWAN-Betrieb vorzubereiten. Dieser Befehl prüft die Systemanforderungen und hilft, Konfigurationsfehler in Ihrem System zu beheben.
root@hub-r1:/home/user# fwsystem_checker
- Option
2für schnelle und stille Konfiguration auswählen - Beenden Sie den Vorgang anschließend mit 0.
- Schließen Sie das Cloud Shell-Fenster nicht.
9. hub-r1-VMs auf dem FlexManage-Controller registrieren
Authentifizieren Sie die neu bereitgestellte flexiWAN-NVA mit flexiManage mithilfe eines Sicherheitstokens, indem Sie sich im flexiManage-Konto anmelden.
- Wählen Sie Inventar → Tokens aus und kopieren Sie das Token.
Kehren Sie zur Cloud Shell (hub-r1) zurück und fügen Sie das Token in das Verzeichnis /etc/flexiWAN/agent/token.txt ein. Gehen Sie dazu so vor:
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Hub-Router hub-r1 in der flexiManage Console aktivieren
In der flexiManage Console anmelden
- Rufen Sie Inventar → Geräte auf.
- Der Hostname für hub-r1 ist „unknown“.
Wähle das unbekannte Gerät mit dem Hostnamen hub-r1 aus.
- Geben Sie den Hostnamen des hub-r1 ein.
- Genehmigen Sie das Gerät, indem Sie das Drehrad nach rechts schieben.
Wählen Sie den Tab Schnittstellen aus.
- Spalte Zugewiesen suchen
- Klicken Sie neben der Schnittstellenzeile auf Nein, um die Einstellung in Ja zu ändern.
Wählen Sie den Tab Firewall aus.
- Klicken Sie auf +, um eine eingehende Firewallregel hinzuzufügen.
- Wählen Sie die WAN-Schnittstelle aus, von der die Regel übernommen werden soll.
- SSH-Port 22 mit TCP-Protokoll zulassen
- Klicken Sie auf Gerät aktualisieren.
Starten Sie die hub-r1-Appliance für SD-WAN über den Controller von flexiWAN.
- Kehre zu Inventar → Geräte → hub-r1 zurück.
Wählen Sie Gerät starten aus.
- Warten Sie, bis die Synchronisierung abgeschlossen ist, und notieren Sie sich den Status Wird ausgeführt.
10. Network Connectivity Center im GCP Hub
API-Dienste aktivieren
Aktivieren Sie die Network Connectivity API, falls sie noch nicht aktiviert ist:
gcloud services enable networkconnectivity.googleapis.com
NCC-Hub erstellen
gcloud network-connectivity hubs create ncc-hub
Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.
Created hub [ncc-hub]
Beide Router-Appliances als NCC-Spoke konfigurieren
Suchen Sie den URI und die IP-Adresse für „hub-r1“ und notieren Sie sich die Ausgabe. Sie benötigen diese Informationen im nächsten Schritt.
Notieren Sie sich die IP-Adresse der hub-r1-Instanz.
gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"
gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"
Fügen Sie die vNIC des Hub-r1 networkIP als Spoke hinzu. Die Site-to-Site-Datenübertragung ist standardmäßig deaktiviert.
gcloud network-connectivity spokes linked-router-appliances create s2c-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer
Cloud Router für die Einrichtung von BGP mit Hub-R1 konfigurieren
Erstellen Sie im nächsten Schritt den Cloud Router und kündigen Sie das Arbeitslast-VPC-Subnetz 192.168.235.0/24 an.
Erstellen Sie den Cloud Router in us-central1, der über BGP mit hub-r1 kommuniziert.
gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets
Wenn Sie die Router-Appliances als NCC-Spoke konfigurieren, kann der Cloud Router BGP auf virtuellen Schnittstellen aushandeln.
Erstellen Sie zwei Schnittstellen auf dem Cloud Router, über die BGP-Nachrichten mit hub-r1 ausgetauscht werden.
IP-Adressen werden aus dem Arbeitslast-Subnetz ausgewählt und können bei Bedarf geändert werden.
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0
Konfigurieren Sie die Cloud Router-Schnittstelle, um BGP mit vNIC-1 von hub-r1 einzurichten. Aktualisieren Sie die peer-ip-address mit der IP-Adresse von networkIP von hub-r1. Hinweis: Für int0 und int1 wird dieselbe IP-Adresse verwendet.
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-0 \
--interface=int0 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-1 \
--interface=int1 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
Prüfen Sie den BGP-Status. An diesem Punkt im Codelab ist BGP im Verbindungsstatus, da die Netzwerkrouter-Appliance nicht für BGP konfiguriert wurde.
gcloud compute routers get-status wrk-cr1 --region=us-central1
11. Hub-Router-Appliances für BGP konfigurieren
Hub-r1 für BGP konfigurieren
Melden Sie sich in der flexiManage Console an.
Rufen Sie Inventar → Geräte → hub-r1 auf und wählen Sie das Gerät mit dem HostName:hub-r1 aus.
- Klicken Sie auf den Tab Routing.
- Klicken Sie auf BGP-Konfiguration.
- OSPF-Routen neu verteilen deaktivieren
- Konfigurieren Sie hub-r1 für BGP mit diesen Parametern und klicken Sie auf Speichern.
Wählen Sie den Tab Schnittstellen aus, suchen Sie die LAN-Schnittstelle und die Spalte Routing.
- Klicken Sie auf Keine, um das Menü zu öffnen und BGP als Routing-Protokoll auszuwählen.
- Klicken Sie oben auf der Seite auf „Gerät aktualisieren“.
12. BGP-Routenaustausch zwischen Router-Appliances
Lokale ASN für Remote-Standorte einrichten
Konfigurieren Sie eine lokale BGP-ASN für site1-nva. Nach der Konfiguration richten wir einen IPSEC-Tunnel zwischen den Remote-Standorten und Hub-Routern ein.
Wählen Sie das Gerät mit HostName:site1-nva aus.
- Klicken Sie auf den Tab Routing.
- Klicken Sie auf BGP-Konfiguration.
- OSPF-Routen neu verteilen deaktivieren
- Lokales ASN 7269 → Speichern
- Gerät aktualisieren
- Tab „Interfaces“ → „Routing“ → „BGP“
- Gerät aktualisieren
VPN-Tunnel zwischen Site1- und Hub1-Appliances konfigurieren
Melden Sie sich in der flexiManage Console an.
- Rufen Sie Inventar → Geräte auf.
- Klicken Sie das Kästchen neben dem Hostnamen von site1-nva und hub-r1 an, um einen VPN-Tunnel zwischen diesem NVA-Paar zu erstellen.
- Klicken Sie auf Aktionen → Tunnel erstellen und konfigurieren Sie Folgendes:
- Wählen Sie Tunnel erstellen aus.
Prüfen Sie, ob „site1-nva“ Routen zu den Subnetzen 192.168.235.0/24 und 192.168.236.0/24 gelernt hat.
- Wählen Sie Inventar → Geräte → site1-nva aus und klicken Sie auf den Tab Routing.
In der Beispielausgabe unten hat flexiWAN den Tunnel automatisch mit der Host-IP-Adresse 10.100.0.6 erstellt. 
13. Datenpfadkonnektivität prüfen
Site-to-Cloud-Konnektivität vom lokalen Standort aus prüfen
Sehen Sie sich das Diagramm an und prüfen Sie, ob der Datenpfad zwischen s1-vm und workload1-vm
Statische VPC-Routen für Site-to-Cloud konfigurieren
Die lokale Site1-VPC simuliert ein lokales Rechenzentrumsnetzwerk.
Beide Router-Appliances von Site-1-nva verwenden VPN-Verbindungen, um das Hub-Netzwerk zu erreichen.
Erstellen Sie für den Anwendungsfall „Standort zu Cloud“** statische Routen zum Ziel 192.168.0.0/16, wobei die Router-Appliance als nächster Hop verwendet wird, um Netzwerke im GCP-Cloud-Netzwerk zu erreichen.
Erstellen Sie auf s1-inside-vpc eine statische Route für das Cloud-Ziel (192.168.0.0/16):
gcloud compute routes create site1-subnet-route \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16 \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a
Suchen Sie in Cloud Shell nach der IP-Adresse von workload1-vmnee.“ Sie benötigen diese, um die Verbindung von „s1-vm“ aus zu testen.
gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"
Stellen Sie eine SSH-Verbindung zu s1-vm her und verwenden Sie den Befehl curl, um eine TCP-Sitzung mit der IP-Adresse von workload1-VM herzustellen.
s1-vm:~$ curl 192.168.235.3 -vv * Trying 192.168.235.3:80... * Connected to 192.168.235.3 (192.168.235.3) port 80 (#0) > GET / HTTP/1.1 > Host: 192.168.235.3 > User-Agent: curl/7.74.0 > Accept: */* > * Mark bundle as not supporting multiuse < HTTP/1.1 200 OK < Date: Wed, 07 Dec 2022 15:12:08 GMT < Server: Apache/2.4.54 (Debian) < Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT < ETag: "1f-5ef1e4acfa1d9" < Accept-Ranges: bytes < Content-Length: 31 < Content-Type: text/html < Page served from: workload1-vm * Connection #0 to host 192.168.235.3 left intact
14. Bereinigen
On-Premise-Ressourcen löschen
Melden Sie sich in Cloud Shell an und löschen Sie VM-Instanzen in den Netzwerken der Hub- und Branch-Standorte.
#onprem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet
#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn --quiet
gcloud compute firewall-rules delete site1-iap --quiet
#delete on prem subnets
gcloud compute networks subnets delete site1-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
#delete on prem vpcs
gcloud compute networks delete site1-vpc --quiet
gcloud compute networks delete s1-inside-vpc --quiet
Cloud Hub-Ressourcen löschen
Melden Sie sich in Cloud Shell an und löschen Sie VM-Instanzen in den Netzwerken der Hub- und Branch-Standorte.
#delete ncc spokes
gcloud network-connectivity spokes delete s2c-wrk-cr1 --region us-central1 --quiet
#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet
#delete hub instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet
#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet
gcloud compute firewall-rules create workload-ssh --quiet
gcloud compute firewall-rules create workload-internal --quiet
gcloud compute firewall-rules create workload-onprem --quiet
gcloud compute firewall-rules create workload-iap --quiet
#delete hub subnets
gcloud compute networks subnets delete workload-subnet1 --quiet
gcloud compute networks subnets delete hub-subnet1 --quiet
#delete hub vpcs
gcloud compute networks delete workload-vpc --quiet
gcloud compute networks delete hub-vpc --quiet
15. Glückwunsch!
Sie haben das Network Connectivity Center-Lab abgeschlossen.
Behandelte Themen
- Software-Defined WAN-Integration für NCC-Site-Cloud-Verbindungen konfiguriert
Nächste Schritte
- Network Connectivity Center – Übersicht
- Network Connectivity Center-Dokumentation
- flexiWAN-Ressourcen
- flexiWAN-GitLab-Repository
© Google LLC oder deren Tochtergesellschaften. Alle Rechte vorbehalten. Nicht weitergeben.