阿里云和aws网络互通,vcpe
来源:原创
时间:2021-12-07
作者:脚本小站
分类:Linux
aws需要调用阿里云的服务,aws服务在新加坡,阿里云的服务在国内,走公网延这迟受不了,拉专线太贵,取个折中的方案,阿里云有如下这个产品可以帮忙实现,具体看下面文档,原理就是:让aws接入阿里云的新加坡区域所在的网络节点,然后流量就可以走阿里云的专线到达国内,借用了阿里云的共享专线,连通后走的是内网调用,速度还可以大概60多ms。
官方文档:
help.aliyun.com/document_detail/179290.html
一般情况下按照官方文档来实施即可,但是有些注意点:
按照vcpe时使用官方推荐的centos7,但是aws官方镜像是没有centos的需要到社区镜像里面找,社区镜像的centos selinux是默认开启的,需要手动关一下。
在vcpe所在的机器上要开启转发:
cat >> /etc/sysctl.conf <<EOF net.ipv4.ip_forward = 1 EOF sysctl -p
下载安装脚本:
wget -O /root/sag_vcpe_v2.3.0_deployment.sh https://sdwan-oss-shanghai.oss-accelerate.aliyuncs.com/vcpe_vm/sag_vcpe_v2.3.0_deployment.sh chmod +x /root/sag_vcpe_v2.3.0_deployment.sh
安装:
/root/sag_vcpe_v2.3.0_deployment.sh -n sage6oxxxxxxxxrq -k 8pxxxxxxxxxx== -t aws -w eth0
查看:
~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES d4a3d5d80fd2 vsag-core "sh -c 'mkdir -p /li…" 1 months ago Up 1 months vsag-core e86007551553 centos:7 "/sbin/init" 1 months ago Up 1 months vsag-manager-base
手动加路由:这个路由不是添加在vcpe的机器上,路由添加在以vcpe节点为网关的节点上。
在aws一侧给需要与阿里云通信的主机上手动加路由,aws的路由表上加路由后在主机内不一定生效,需要手动加路由。
ip route add 10.2.0.0/16 via 192.168.44.222 dev eth0 # 192.168.44.222 为vcpe所在机器的ip
调试工具:在安装脚本后加上-c选项可以检查网络状况。
~]# /root/sag_vcpe_v2.3.0_deployment.sh -c 2021-12-07 06:38:24 INFO: Do post-check 2021-12-07 06:38:24 INFO: box_vpn_status: Status 1, the vpn is OK 2021-12-07 06:38:24 INFO: box_wan_status: Status 1, wan is OK 2021-12-07 06:38:24 INFO: The route config is OK
调试:进去到容器中
docker exec -it vsag-core sh
查看隧道状态:
/ # hc_status detect_ip=169.254.201.201 --------------------- master1-all true # 为true说明正常 1.73 1.43 1.54 1.38 1.46 1.33 1.30 1.27 1.32 1.27 slave1-all true # 为true说明正常 1.48 1.42 1.46 1.43 1.49 1.41 1.44 1.43 1.49 1.41 alivpn1 # 后面不用看 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 --------------------- master2-all false -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 slave2-all false -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 alivpn2 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 --------------------- master3-all false -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 slave3-all false -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 alivpn3 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 --------------------- master4-all false -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 slave4-all false -1 -1 -1 -1 -1 -1 -1 -1 -1 -1 alivpn4 -1 -1 -1 -1 -1 -1 -1 -1 -1 -1
查看隧道状态:
/ # ipsec status Security Associations (2 up, 0 connecting): slave1-all[4]: ESTABLISHED 24 hours ago, 169.253.213.15(隧道本端地址)[sag-xxxxxxxxx_sagexxxxxxxxx_wan]...161.117.117.52(隧道对端地址)[0eadzzcc-bdfc-5000-0ead-22ccbdfc5000] slave1-all{11}: INSTALLED, TUNNEL, reqid 5, ESP in UDP SPIs: cd2729a2_i 1b4cbeac_o slave1-all{11}: 0.0.0.0/0 === 0.0.0.0/0 master1-all[3]: ESTABLISHED 24 hours ago, 169.253.213.15[sag-xxxxxxxxx_sagexxxxxxxxx_wan]...161.117.117.15[0eaccad5-79c3-9000-0ead-0ad579c39000] master1-all{12}: INSTALLED, TUNNEL, reqid 3, ESP in UDP SPIs: c6c43e40_i 5ff6e1f6_o master1-all{12}: 0.0.0.0/0 === 0.0.0.0/0
图片:
抓包测试:
tcpdump -i eth0 icmp and host 10.2.74.175 tcpdump -i eth0 icmp and host 192.168.48.240
跨地域的情况下需要购买加速包,测试带宽只有1kbps,跨境需要购买跨境加速包,跨境加速包需要提交申请审核资料。
购买完加速包之后还需要分配带宽才能使用加速包,云企业网实例->点击实例->带宽包管理->设置跨地域带宽->单选框选择“跨地域”->地域下拉框选择“新加坡云连接网”->对端地域选择“杭州”->带宽包实例选择需要分配带宽的实例->带宽“填写相应的带宽”;然后创建即可。
组网图: