1. Giới thiệu
Tổng quan
Trong lớp học lập trình này, bạn sẽ khám phá một số tính năng của Network Connectivity Center.
Network Connectivity Center (NCC) là một mô hình tầng điều khiển dạng trung tâm và vệ tinh để quản lý khả năng kết nối mạng trong Google Cloud. Tài nguyên trung tâm cung cấp một mô hình quản lý kết nối tập trung để kết nối các mạng vệ tinh. NCC hiện hỗ trợ các tài nguyên mạng sau đây dưới dạng mạng nhánh:
- Tài nguyên đi kèm VLAN
- Thiết bị bộ định tuyến
- HA VPN
Lớp học lập trình yêu cầu sử dụng giải pháp SD-WAN SaaS của flexiWAN giúp đơn giản hoá việc triển khai và quản lý WAN.
Sản phẩm bạn sẽ tạo ra
Trong lớp học lập trình này, bạn sẽ xây dựng một cấu trúc liên kết SD-WAN kiểu trung tâm và nhánh để mô phỏng các trang web chi nhánh từ xa sẽ đi qua mạng xương sống của Google để giao tiếp giữa trang web và đám mây.
- Bạn sẽ triển khai một cặp máy ảo GCE được định cấu hình cho tác nhân SD-WAN flexiWAN trong VPC trung tâm, đại diện cho các điểm cuối cho lưu lượng truy cập đến và đi đến GCP.
- Triển khai 2 bộ định tuyến flexiWAN SD-WAN từ xa để đại diện cho 2 VPC của trang web chi nhánh khác nhau
- Để kiểm thử đường dẫn dữ liệu, bạn sẽ định cấu hình 3 máy ảo GCE để mô phỏng máy khách tại chỗ và máy chủ được lưu trữ trên GCP
Kiến thức bạn sẽ học được
- Sử dụng NCC để kết nối các văn phòng chi nhánh ở xa bằng giải pháp WAN do phần mềm xác định nguồn mở
- Kinh nghiệm thực tế với giải pháp WAN do phần mềm nguồn mở xác định
Bạn cần có
- Kiến thức về mạng VPC của GCP
- Kiến thức về Cloud Router và định tuyến BGP
2. Mục tiêu
- Thiết lập môi trường GCP
- Triển khai các phiên bản flexiWAN Edge trong GCP
- Thiết lập một NCC Hub và NVA Edge flexiWAN làm một spoke
- Định cấu hình và quản lý các phiên bản flexiWAN bằng flexiManage
- Định cấu hình hoạt động trao đổi tuyến đường BGP giữa vpc-app-svcs và NVA flexiWAN
- Tạo một trang web từ xa mô phỏng một chi nhánh từ xa của khách hàng hoặc một trung tâm dữ liệu
- Thiết lập một đường hầm IPsec giữa trang web từ xa và NVA
- Xác minh rằng bạn đã triển khai thành công các thiết bị
- Xác thực việc chuyển dữ liệu từ trang web lên đám mây
- Dọn dẹp các tài nguyên đã dùng
Hướng dẫn này yêu cầu bạn tạo một tài khoản flexiManage miễn phí để xác thực, tham gia và quản lý các phiên bản flexiEdge.
Trước khi bắt đầu
Sử dụng Google Cloud Console và Cloud Shell
Để tương tác với GCP, chúng ta sẽ sử dụng cả Bảng điều khiển Google Cloud và Cloud Shell trong suốt bài tập thực hành này.
Bảng điều khiển Google Cloud
Bạn có thể truy cập vào Cloud Console tại https://console.cloud.google.com.
Thiết lập các mục sau trong Google Cloud để dễ dàng định cấu hình Network Connectivity Center:
Trong Google Cloud Console, trên trang chọn dự án, hãy chọn hoặc tạo một dự án Google Cloud.
Khởi chạy Cloud Shell. Lớp học lập trình này sử dụng $variables để hỗ trợ việc triển khai cấu hình gcloud trong Cloud Shell.
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
Vai trò IAM
NCC yêu cầu các vai trò IAM truy cập vào các API cụ thể. Hãy nhớ định cấu hình người dùng của bạn bằng các vai trò NCC IAM theo yêu cầu.
Tên vai trò | Mô tả | Quyền |
networkconnectivity.networkAdmin | Cho phép quản trị viên mạng quản lý trung tâm và các mạng vệ tinh. | networkconnectivity.hubs.networkconnectivity.spokes. |
networkconnectivity.networkSpokeManager | Cho phép thêm và quản lý các mạng nhánh trong một mạng trung tâm. Được dùng trong VPC dùng chung, nơi dự án lưu trữ sở hữu Hub, nhưng các quản trị viên khác trong các dự án khác có thể thêm spoke để đính kèm vào Hub. | networkconnectivity.spokes.** |
networkconnectivity.networkUsernetworkconnectivity.networkViewer | Cho phép người dùng mạng xem các thuộc tính khác nhau của trung tâm và các nhánh. | networkconnectivity.hubs.getnetworkconnectivity.hubs.listnetworkconnectivity.spokes.getnetworkconnectivity.spokes.listnetworkconnectivity.spokes.aggregatedList |
3. Thiết lập môi trường phòng thí nghiệm mạng
Tổng quan
Trong phần này, chúng ta sẽ triển khai các mạng VPC và quy tắc tường lửa.
Mô phỏng mạng lưới chi nhánh tại chỗ
Mạng VPC này chứa các mạng con cho các phiên bản máy ảo tại chỗ.
Tạo mạng và mạng con của trang web tại chỗ:
gcloud compute networks create site1-vpc \
--subnet-mode custom
gcloud compute networks create s1-inside-vpc \
--subnet-mode custom
gcloud compute networks subnets create site1-subnet \
--network site1-vpc \
--range 10.10.0.0/24 \
--region us-central1
gcloud compute networks subnets create s1-inside-subnet \
--network s1-inside-vpc \
--range 10.10.1.0/24 \
--region us-central1
Tạo các quy tắc về tường lửa site1-vpc để cho phép:
- SSH, nội bộ, IAP
- ESP, UDP/500, UDP/4500
- Dải 10.0.0.0/8
- Dải 192.168.0.0/16
gcloud compute firewall-rules create site1-ssh \--network site1-vpc \
--allow tcp:22
gcloud compute firewall-rules create site1-internal \
--network site1-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create site1-cloud \
--network site1-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create site1-vpn \
--network site1-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create site1-iap \
--network site1-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
Tạo quy tắc tường lửa s1-inside-vpc để cho phép:
- SSH, nội bộ, IAP
- Dải 10.0.0.0/8
- Dải 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-ssh \
--network s1-inside-vpc \
--allow tcp:22
gcloud compute firewall-rules create s1-inside-internal \
--network s1-inside-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create s1-inside-cloud \
--network s1-inside-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create s1-inside-iap \
--network site2-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
Để kiểm thử, hãy tạo các thực thể s1-inside-vm và s2-inside-vm
gcloud compute instances create s1-vm \
--zone=us-central1-a \
--machine-type=e2-micro \
--network-interface subnet=s1-inside-subnet,private-network-ip=10.10.1.3,no-address
Mô phỏng môi trường mạng đám mây của GCP
Để bật lưu lượng truy cập từ trang web đến trang web trên nhiều vùng thông qua mạng hub-vpc và các mạng vệ tinh, bạn phải bật tính năng định tuyến toàn cầu trong mạng hub-vpc. Đọc thêm về trao đổi tuyến đường của NCC.
- Tạo mạng
hub-vpcvà mạng con:
gcloud compute networks create hub-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create hub-subnet1 \
--network hub-vpc \
--range 10.1.0.0/24 \
--region us-central1
gcloud compute networks subnets create hub-subnet2 \
--network hub-vpc \
--range 10.2.0.0/24 \
--region us-east4
- Tạo mạng
workload-vpcvà mạng con:
gcloud compute networks create workload-vpc \
--subnet-mode custom \
--bgp-routing-mode=global
gcloud compute networks subnets create workload-subnet1 \
--network workload-vpc \
--range 192.168.235.0/24 \
--region us-central1
- Tạo các quy tắc tường lửa Hub-VPC để cho phép:
- SSH
- ESP, UDP/500, UDP/4500
- dải 10.0.0.0/8 nội bộ (bao gồm cổng TCP 179 bắt buộc cho phiên BGP từ bộ định tuyến trên đám mây đến thiết bị bộ định tuyến)
gcloud compute firewall-rules create hub-ssh \
--network hub-vpc \
--allow tcp:22
gcloud compute firewall-rules create hub-vpn \
--network hub-vpc \
--allow esp,udp:500,udp:4500 \
--target-tags router
gcloud compute firewall-rules create hub-internal \
--network hub-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create hub-iap \
--network hub-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Tạo các quy tắc tường lửa Workload-VPC để cho phép:
- SSH
- dải 192.168.0.0/16 nội bộ (bao gồm cổng TCP 179 bắt buộc cho phiên BGP từ bộ định tuyến đám mây đến thiết bị định tuyến)
gcloud compute firewall-rules create workload-ssh \
--network workload-vpc \
--allow tcp:22
gcloud compute firewall-rules create workload-internal \
--network workload-vpc \
--allow all \
--source-ranges 192.168.0.0/16
gcloud compute firewall-rules create workload-onprem \
--network hub-vpc \
--allow all \
--source-ranges 10.0.0.0/8
gcloud compute firewall-rules create workload-iap \
--network workload-vpc --allow tcp:22 --source-ranges=35.235.240.0/20
- Bật Cloud NAT trong VPC của tải để cho phép workload1-vm tải các gói xuống bằng cách tạo một Cloud Router và NAT Gateway
gcloud compute routers create cloud-router-usc-central-1-nat \
--network workload-vpc \
--region us-central1
gcloud compute routers nats create cloudnat-us-central1 \
--router=cloud-router-usc-central-1-nat \
--auto-allocate-nat-external-ips \
--nat-all-subnet-ip-ranges \
--region us-central1
- Tạo
workload1-vmin "us-central1-a" inworkload-VPC, bạn sẽ dùng máy chủ này để xác minh khả năng kết nối từ trang web đến đám mây
gcloud compute instances create workload1-vm \
--project=$projectname \
--machine-type=e2-micro \
--image-family debian-10 \
--image-project debian-cloud \
--zone us-central1-a \
--private-network-ip 192.168.235.3 \
--no-address \
--subnet=workload-subnet1 \
--metadata startup-script="#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo service apache2 restart
echo 'Welcome to Workload VM1 !!' | tee /var/www/html/index.html
EOF"
4. Thiết lập thiết bị tại chỗ cho SD-WAN
Tạo máy ảo tại cơ sở cho SDWAN (Thiết bị)
Trong phần sau, chúng ta sẽ tạo site1-nva đóng vai trò là bộ định tuyến tại chỗ.
Tạo các đối tượng
Tạo thiết bị site1-router có tên là site1-nva
gcloud compute instances create site1-nva \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=site1-subnet \
--network-interface subnet=s1-inside-subnet,no-address \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any \
--can-ip-forward
5. Cài đặt flexiWAN trên site1-nva
Mở kết nối SSH đến site1-nva, nếu hết thời gian chờ, hãy thử lại
gcloud compute ssh site1-nva --zone=us-central1-a
Cài đặt flexiWAN trên site1-nva
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
Chuẩn bị máy ảo để đăng ký mặt phẳng điều khiển flexiWAN.
Sau khi cài đặt flexiWAN xong, hãy chạy lệnh fwsystem_checker để chuẩn bị VM cho hoạt động của flexiWAN. Lệnh này kiểm tra các yêu cầu về hệ thống và giúp khắc phục lỗi cấu hình trong hệ thống của bạn.
- Chọn biểu tượng
2để định cấu hình nhanh và không gây tiếng ồn - sau đó thoát bằng 0.
- Đừng đóng cửa sổ Cloud Shell.
root@site-1-nva-1:/home/user# fwsystem_checker
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 2
<output snipped>
[0] - quit and use fixed parameters
1 - check system configuration
2 - configure system silently
3 - configure system interactively
4 - restore system checker settings to default
------------------------------------------------
Choose: 0
Please wait..
Done.
=== system checker ended ====
Để phiên hoạt động cho các bước tiếp theo
6. Đăng ký site1-nva với bộ điều khiển SD-WAN
Bạn phải thực hiện các bước này để hoàn tất việc cung cấp NVA flexiWAN được quản lý từ flexiManage Console. Đảm bảo bạn đã thiết lập tổ chức flexiWAN trước khi tiếp tục.
Xác thực NVA flexiWAN mới triển khai bằng flexiManage bằng mã thông báo bảo mật bằng cách đăng nhập vào Tài khoản flexiManage. Bạn có thể dùng lại cùng một mã thông báo trên tất cả các thiết bị định tuyến.
Chọn Kho hàng → Mã thông báo,tạo mã thông báo và chọn sao chép
Quay lại Cloud Shell (site1-nva) và dán mã thông báo vào thư mục /etc/flexiWAN/agent/token.txt bằng cách thực hiện như sau
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Kích hoạt Bộ định tuyến trang web trên Bảng điều khiển flexiManage
Đăng nhập vào Bảng điều khiển flexiManage để kích hoạt site1-nva trên bộ điều khiển
Trên bảng điều khiển bên trái, hãy Chọn Kho hàng → Thiết bị, nhấp vào thiết bị "Không xác định"
Nhập tên máy chủ của site1-nva và Chấp thuận thiết bị bằng cách trượt nút quay sang phải.
Chọn thẻ "Giao diện"
Tìm cột "Đã chỉ định", nhấp vào "Không" rồi thay đổi chế độ cài đặt thành "Có"
Chọn thẻ Tường lửa rồi nhấp vào dấu "+" để thêm quy tắc tường lửa đến
Chọn giao diện WAN để áp dụng quy tắc ssh như mô tả dưới đây
Nhấp vào "Cập nhật thiết bị"
Khởi động site1-nva từ bộ điều khiển flexiWAN. Quay lại Inventory → Devices → site1-nva (Kho hàng → Thiết bị → site1-nva), chọn Start Device (Khởi động thiết bị)
Trạng thái – Đang đồng bộ hoá
Trạng thái – Đã đồng bộ hoá
Bạn có thể xem chỉ báo cảnh báo trong phần Khắc phục sự cố → Thông báo. Sau khi xem, hãy chọn tất cả rồi đánh dấu là đã đọc
7. Thiết lập các thiết bị SDWAN của Hub
Trong phần sau, bạn sẽ tạo và đăng ký các bộ định tuyến Hub (hub-r1) với Bộ điều khiển flexiWAN như đã thực hiện trước đó với các tuyến đường của trang web.
Mở một thẻ mới và tạo một phiên Cloud Shell, cập nhật $variables để hỗ trợ việc triển khai cấu hình gcloud
gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
projectname=[YOUR-PROJECT-NAME]
echo $projectname
Tạo các phiên bản NVA của trung tâm
Tạo thiết bị hub-r1:
gcloud compute instances create hub-r1 \
--zone=us-central1-a \
--machine-type=e2-medium \
--network-interface subnet=hub-subnet1 \
--network-interface subnet=workload-subnet1,no-address \
--can-ip-forward \
--create-disk=auto-delete=yes,boot=yes,device-name=flex-gcp-nva-1,image=projects/ubuntu-os-cloud/global/images/ubuntu-1804-bionic-v20220901,mode=rw,size=20,type=projects/$projectname/zones/us-central1-a/diskTypes/pd-balanced \
--no-shielded-secure-boot \
--shielded-vtpm \
--shielded-integrity-monitoring \
--reservation-affinity=any
8. Cài đặt flexiWAN trên các phiên bản Hub cho hub-r1
Mở kết nối SSH đến hub-r1
gcloud compute ssh hub-r1 --zone=us-central1-a
Cài đặt tác nhân flexiWAN trên cả hub-r1
sudo su
sudo curl -sL https://deb.flexiWAN.com/setup | sudo bash -
apt install flexiWAN-router -y
Chuẩn bị các máy ảo hub-r1 để đăng ký flexiWAN.
Sau khi hoàn tất quá trình cài đặt flexiWAN, hãy chạy lệnh fwsystem_checker để chuẩn bị VM cho hoạt động của flexiWAN. Lệnh này kiểm tra các yêu cầu về hệ thống và giúp khắc phục lỗi cấu hình trong hệ thống của bạn.
root@hub-r1:/home/user# fwsystem_checker
- Chọn biểu tượng
2để định cấu hình nhanh và không gây tiếng ồn - sau đó thoát bằng 0.
- Đừng đóng cửa sổ Cloud Shell.
9. Đăng ký các máy ảo hub-r1 trên bộ điều khiển FlexManage
Xác thực NVA flexiWAN mới triển khai bằng flexiManage bằng mã thông báo bảo mật bằng cách đăng nhập vào Tài khoản flexiManage.
- Chọn Khoảng không quảng cáo → Mã thông báo rồi sao chép mã thông báo
Quay lại Cloud Shell (hub-r1) rồi dán mã thông báo vào thư mục /etc/flexiWAN/agent/token.txt bằng cách thực hiện các bước sau
nano /etc/flexiWAN/agent/token.txt
#Paste the generated token obtain from flexiManage
#Exit session with CTRL+X and Select Y to save then enter
Kích hoạt bộ định tuyến Hub hub-r1 trên flexiManage Console
Đăng nhập vào flexiManage Console
- Chuyển đến Khoảng không quảng cáo → Thiết bị
- Tìm và ghi lại Tên máy chủ cho hub-r1 là "unknown"
Chọn Thiết bị không xác định có HostName là hub-r1
- Nhập tên máy chủ của hub-r1
- Phê duyệt thiết bị, trượt nút xoay sang phải.
Chọn thẻ Giao diện
- Tìm cột "Được giao"
- Bên cạnh hàng giao diện, hãy nhấp vào "Không" để thay đổi chế độ cài đặt thành "Có"
Chọn thẻ Tường lửa
- Nhấp vào "+" để thêm quy tắc tường lửa cho lưu lượng truy cập đến
- Chọn giao diện WAN để kế thừa quy tắc
- Cho phép cổng SSH 22 bằng giao thức TCP
- Nhấp vào "Cập nhật thiết bị"
Khởi động thiết bị hub-r1 cho SD-WAN từ bộ điều khiển của flexiWAN
- Quay lại Kho hàng → Thiết bị → hub-r1
Chọn "Khởi động thiết bị"
- Chờ quá trình đồng bộ hoá hoàn tất và ghi lại trạng thái "đang chạy"
10. Network Connectivity Center trên GCP Hub
Bật dịch vụ API
Bật API kết nối mạng nếu bạn chưa bật:
gcloud services enable networkconnectivity.googleapis.com
Tạo Trung tâm NCC
gcloud network-connectivity hubs create ncc-hub
Create request issued for: [ncc-hub]
Waiting for operation [projects/user-3p-dev/locations/global/operations/operation-1668793629598-5edc24b7ee3ce-dd4c765b-5ca79556] to complete...done.
Created hub [ncc-hub]
Định cấu hình cả hai thiết bị định tuyến làm mạng con NCC
Tìm URI và địa chỉ IP cho cả hub-r1 và ghi lại đầu ra. Bạn sẽ cần thông tin này ở bước tiếp theo.
Hãy nhớ ghi lại địa chỉ IP của thực thể hub-r1.
gcloud compute instances describe hub-r1 \
--zone=us-central1-a \
--format="value(selfLink.scope(projects))"
gcloud compute instances describe hub-r1 --zone=us-central1-a | grep "networkIP"
Thêm vnic networkIP của hub-r1 làm một spoke. Theo mặc định, tính năng chuyển dữ liệu trang web giữa các trang web sẽ bị tắt.
gcloud network-connectivity spokes linked-router-appliances create s2c-wrk-cr1 \
--hub=ncc-hub \
--router-appliance=instance="https://www.googleapis.com/compute/projects/$projectname/zones/us-central1-a/instances/hub-r1",ip=192.168.235.4 \
--region=us-central1 \
--site-to-site-data-transfer
Định cấu hình Cloud Router để thiết lập BGP với Hub-R1
Trong bước tiếp theo, hãy tạo Cloud Router và thông báo mạng con VPC của khối lượng công việc 192.168.235.0/24
Tạo bộ định tuyến đám mây trong us-central1 sẽ giao tiếp với BGP bằng hub-r1
gcloud compute routers create wrk-cr1 \
--region=us-central1 \
--network=workload-vpc \
--asn=65002 \
--set-advertisement-groups=all_subnets
Bằng cách định cấu hình các thiết bị định tuyến dưới dạng NCC Spoke, bạn có thể cho phép bộ định tuyến đám mây thương lượng BGP trên các giao diện ảo.
Tạo 2 giao diện trên bộ định tuyến đám mây sẽ trao đổi thông báo BGP với hub-r1.
Địa chỉ IP được chọn từ mạng con của khối lượng công việc và có thể thay đổi nếu cần.
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int0 \
--ip-address=192.168.235.101
gcloud compute routers add-interface wrk-cr1 \
--region=us-central1 \
--subnetwork=workload-subnet1 \
--interface-name=int1 \
--ip-address=192.168.235.102 \
--redundant-interface=int0
Định cấu hình giao diện Cloud Router để thiết lập BGP với vNIC-1 của hub-r1, cập nhật peer-ip-address bằng Địa chỉ IP của networkIP hub-r1. Xin lưu ý rằng cùng một địa chỉ IP được dùng cho int0 và int1.
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-0 \
--interface=int0 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
gcloud compute routers add-bgp-peer wrk-cr1 \
--peer-name=hub-cr1-bgp-peer-1 \
--interface=int1 \
--peer-ip-address=192.168.235.4 \
--peer-asn=64111 \
--instance=hub-r1 \
--instance-zone=us-central1-a \
--region=us-central1
Xác minh trạng thái BGP. Tại thời điểm này trong lớp học lập trình, BGP là "trạng thái kết nối" vì thiết bị định tuyến mạng chưa được định cấu hình cho BGP.
gcloud compute routers get-status wrk-cr1 --region=us-central1
11. Định cấu hình các thiết bị định tuyến Hub cho BGP
Định cấu hình hub-r1 cho BGP
Đừng quên đăng nhập vào flexiManage Console
Chuyển đến Khoảng không quảng cáo → Thiết bị → hub-r1 rồi chọn thiết bị có HostName:hub-r1
- Nhấp vào thẻ "Định tuyến"
- Nhấp vào "BGP Configuration" (Cấu hình BGP)
- Tắt "Redistribute OSPF Routes" (Phân phối lại các tuyến OSPF)
- Định cấu hình hub-r1 cho BGP bằng các tham số sau rồi nhấp vào "Lưu"
Chọn thẻ "Interfaces" (Giao diện), tìm giao diện LAN, tìm cột "Routing" (Định tuyến)
- Nhấp vào "none" (không có) để mở trình đơn chọn BGP làm giao thức định tuyến
- Ở đầu trang, hãy nhấp vào "cập nhật thiết bị"
12. Trao đổi tuyến BGP giữa các thiết bị định tuyến
Thiết lập ASN cục bộ cho các trang web từ xa
Định cấu hình ASN BGP cục bộ cho site1-nva. Sau khi định cấu hình, chúng ta sẽ thiết lập một đường hầm IPsec giữa các địa điểm từ xa và bộ định tuyến trung tâm.
Chọn thiết bị có HostName:site1-nva
- Nhấp vào thẻ "Định tuyến"
- Nhấp vào "BGP Configuration" (Cấu hình BGP)
- Tắt "Redistribute OSPF Routes" (Phân phối lại các tuyến OSPF)
- ASN cục bộ 7269 → Lưu
- Cập nhật thiết bị
- Interfaces Tab → Routing → BGP
- Cập nhật thiết bị
Định cấu hình đường hầm VPN giữa các thiết bị Site1 và Hub1
Đừng quên đăng nhập vào flexiManage Console
- Chuyển đến Khoảng không quảng cáo → Thiết bị
- Chọn hộp bên cạnh tên máy chủ của site1-nva và hub-r1 để tạo một đường hầm VPN giữa cặp NVA này
- Nhấp vào Actions→ Create Tunnels (Thao tác → Tạo đường hầm) rồi định cấu hình như sau
- Chọn Tạo đường hầm
Xác minh rằng "site1-nva" đã tìm hiểu các tuyến đến mạng con 192.168.235.0/24 và 192.168.236.0/24
- Chọn Inventory → Devices → site1-nva (Kho hàng → Thiết bị → site1-nva) rồi nhấp vào thẻ "Routing" (Định tuyến)
Trong ví dụ về đầu ra bên dưới, flexiWAN đã tự động tạo đường hầm bằng địa chỉ IP máy chủ lưu trữ 10.100.0.6 
13. Xác minh khả năng kết nối đường dẫn dữ liệu
Xác minh khả năng kết nối từ trang web với đám mây từ cơ sở tại chỗ
Tham khảo sơ đồ, xác minh rằng đường dẫn dữ liệu giữa s1-vm và workload1-vm
Định cấu hình các tuyến tĩnh VPC cho Site to Cloud
Site1-VPC tại chỗ mô phỏng một mạng trung tâm dữ liệu tại chỗ.
Cả hai thiết bị định tuyến Site-1-nva đều sử dụng kết nối VPN để truy cập vào mạng trung tâm.
Đối với trường hợp sử dụng từ trang web đến đám mây**,** hãy tạo các tuyến tĩnh đến đích đến 192.168.0.0/16 bằng cách sử dụng thiết bị định tuyến làm hop tiếp theo để tiếp cận các mạng trong mạng đám mây GCP.
Trên s1-inside-vpc,hãy tạo một tuyến tĩnh cho đích đến trên đám mây (192.168.0.0/16):
gcloud compute routes create site1-subnet-route \
--network=s1-inside-vpc \
--destination-range=192.168.0.0/16 \
--next-hop-instance=site1-nva \
--next-hop-instance-zone=us-central1-a
Trên cloudshell, hãy tìm địa chỉ IP của workload1-vmnee". Bạn sẽ cần thông tin này để kiểm thử khả năng kết nối từ "s1-vm".
gcloud compute instances describe workload1-vm --zone=us-central1-a | grep "networkIP"
SSH đến "s1-vm" và sử dụng lệnh "curl" để thiết lập một phiên TCP đến địa chỉ IP workload1-VM.
s1-vm:~$ curl 192.168.235.3 -vv * Trying 192.168.235.3:80... * Connected to 192.168.235.3 (192.168.235.3) port 80 (#0) > GET / HTTP/1.1 > Host: 192.168.235.3 > User-Agent: curl/7.74.0 > Accept: */* > * Mark bundle as not supporting multiuse < HTTP/1.1 200 OK < Date: Wed, 07 Dec 2022 15:12:08 GMT < Server: Apache/2.4.54 (Debian) < Last-Modified: Tue, 06 Dec 2022 00:57:46 GMT < ETag: "1f-5ef1e4acfa1d9" < Accept-Ranges: bytes < Content-Length: 31 < Content-Type: text/html < Page served from: workload1-vm * Connection #0 to host 192.168.235.3 left intact
14. Dọn dẹp
Xoá tài nguyên tại chỗ
Đăng nhập vào Cloud Shell và xoá các thực thể máy ảo trong mạng lưới trung tâm và mạng lưới chi nhánh
#onprem instances
gcloud compute instances delete s1-vm --zone=us-central1-a --quiet
#delete on prem firewall rules
gcloud compute firewall-rules delete site1-ssh --quiet
gcloud compute firewall-rules delete site1-internal --quiet
gcloud compute firewall-rules delete site1-cloud --quiet
gcloud compute firewall-rules delete site1-vpn --quiet
gcloud compute firewall-rules delete site1-iap --quiet
#delete on prem subnets
gcloud compute networks subnets delete site1-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
gcloud compute networks subnets delete s1-inside-subnet --quiet
#delete on prem vpcs
gcloud compute networks delete site1-vpc --quiet
gcloud compute networks delete s1-inside-vpc --quiet
Xoá tài nguyên Cloud Hub
Đăng nhập vào Cloud Shell và xoá các thực thể máy ảo trong mạng lưới trung tâm và mạng lưới chi nhánh
#delete ncc spokes
gcloud network-connectivity spokes delete s2c-wrk-cr1 --region us-central1 --quiet
#delete ncc hub
gcloud network-connectivity hubs delete ncc-hub --quiet
#delete hub instances
gcloud compute instances delete hub-r1 --zone=us-central1-a --quiet
#delete hub firewall rule
gcloud compute firewall-rules delete hub-ssh --quiet
gcloud compute firewall-rules delete hub-vpn --quiet
gcloud compute firewall-rules delete hub-internal --quiet
gcloud compute firewall-rules delete hub-iap --quiet
gcloud compute firewall-rules create workload-ssh --quiet
gcloud compute firewall-rules create workload-internal --quiet
gcloud compute firewall-rules create workload-onprem --quiet
gcloud compute firewall-rules create workload-iap --quiet
#delete hub subnets
gcloud compute networks subnets delete workload-subnet1 --quiet
gcloud compute networks subnets delete hub-subnet1 --quiet
#delete hub vpcs
gcloud compute networks delete workload-vpc --quiet
gcloud compute networks delete hub-vpc --quiet
15. Xin chúc mừng!
Bạn đã hoàn thành bài thực hành Network Connectivity Center!
Nội dung bạn đã đề cập
- Đã định cấu hình chế độ tích hợp WAN do phần mềm xác định cho trang web NCC với đám mây
Các bước tiếp theo
- Tổng quan về Network Connectivity Center
- Tài liệu về Network Connectivity Center
- Tài nguyên về flexiWAN
- Kho lưu trữ flexiWAN GitLab
©Google, LLC hoặc các đơn vị liên kết của Google. Bảo lưu mọi quyền. Không được phân phối.