1. 需求评估与前置准备
- 清点业务:确定哪些应用需要走 CN2(如暴露给中国大陆或台湾用户的 API、数据库复制等)。
- 带宽与 SLA:估算峰值带宽、容灾需求和延时要求,跟 CN2 提供方确认可用的链路类型(专线/云直连/公网 CN2)。
- 网络信息:准备本地边界公网/私网地址段、ASN、联系人、维护时间窗口,以便申请对端资源和跨连。
2. 选型:直连 vs IPSec VPN vs SD-WAN
- 优先级:对延时敏感或大流量推荐物理专线/云厂商的 Direct Connect(CN2 专线);次优为 IPSec VPN 做冗余;SD-WAN 可做流量分流与智能路由。
- 成本与部署窗口:专线需机房交接与 VLAN,VPN 可快速上线测试,SD-WAN 在多个链路间做策略路由。
3. 物理与链路层配置(操作步骤)
- 申请并验收跨接:在 CN2 对端或云/运营商机房开通 VLAN/物理端口,确认承载 VLAN ID、接口速率与双方交换机的 trunk/access 模式。
- 本端配置示例(Cisco):interface Gig0/1; description to-CN2; switchport trunk encapsulation dot1q; switchport mode trunk; switchport trunk allowed vlan X。
- MTU/链路校验:设置 MTU(建议 9000 或对端一致),用 ping -M do -s 测试 PMTU。
4. L3 建联与 BGP 配置(关键步骤与示例)
- IP 规划:在对等链路上分配 /30 或 /31,确定本地/对端邻居 IP 和双方 ASN。
- BGP 基本配置示例(Cisco IOS):router bgp 本地ASN; neighbor 对端IP remote-as 对端ASN; neighbor 对端IP description CN2-peer; neighbor 对端IP ebgp-multihop 1; network 本地网段 mask 255.255.255.0。
- 路由过滤与安全:使用 prefix-list 限制接收前缀数量,配置 route-map 控制出口策略,启用 max-prefix 限制防止路由风暴。
5. IPSec 作为备份链路的配置要点
- 何时使用:当专线中断或成本受控时,把 IPSec 用作自动备份(BGP over IPSec)。
- 配置要点:双向 NAT-T 支持、MSS/MTU 调整(clamp to PMTU)、使用 IKEv2、证书或预共享密钥并开启 DPD。
- 自动化切换:在路由策略中对专线路由设置更低的 local-preference 或更优的 MED,专线故障时自动引出 IPSec 路由。
6. 性能优化与流量工程
- BFD 与快速收敛:在 BGP 邻居启用 BFD(若设备支持)将收敛时间缩短到几百毫秒。
- DSCP/QoS:在本地边界对关键业务打标并在链路上保留队列,防止丢包影响 TCP 性能。
- 路由策略:利用 BGP community 或 AS-path prepending 做流量引导,针对大陆/台湾用户做本地优先、本地回源策略,避免不必要回程。
7. 监控、告警与自动化运维
- 指标与工具:部署主动探测(ping/traceroute 合成检测)、SNMP/NetFlow/ sFlow 收集流量、用 Prometheus/Grafana 或运营商提供的 Portal 监控链路质量与带宽。
- 告警策略:设置抖动/丢包/延时阈值触发告警并自动创建工单。可脚本化切换(API 调用云厂商/SD-WAN)实现故障加速切换。
8. 故障排查步骤(常见场景与命令)
- 链路层:检查物理/光纤指示灯、对端 VLAN 配置与 MTU,使用 ping/tcpdump 抓包确认 L2/L3 是否通过。
- BGP 排查示例命令:show ip bgp summary(邻居状态)、show ip route <前缀>、debug ip bgp(谨慎使用)。若 BGP 不建立,核对 AS、neighbor IP、ACL、TCP 179 是否被防火墙阻挡。
- 延时丢包:做多点 traceroute、mtr 分析抖动点,若发现运营商侧丢包联系对端 NOC 走工单。
9. Q1: 在台湾 CN2 上如何保证到本地的低延时?
答1:
优先采用 CN2 专线或云厂商的 Direct Connect,启用 BGP 做最短 ASN 路径并配合 BFD 快速收敛;同时做本地回源与流量分流,使用 QoS 保证关键业务队列优先,必要时在两地部署缓存/CDN 减少往返。
10. Q2: 专线中断时怎样保证会话不中断?
答2:
配置 IPSec 作为热备并运行 BGP over IPSec,结合 BFD 与合理的 BGP 路径优先级(local-preference),实现链路故障时路由快速切换;对 TCP 应用做会话保持或使用应用层重试策略,必要时在应用侧做流量粘性处理。
11. Q3: 有哪些常见的安全注意事项?
答3:
在边界启用前缀过滤和 max-prefix,限制对端可宣告前缀;对管理平面限制源 IP,启用日志与 ACL,IPSec 使用强加密和钥匙轮换;对公网暴露服务放在 DMZ 并做入侵检测与 WAF 保护。
来源:搭建混合云时台湾cn2与本地网络互联的优化方案