1.
前期准备与选型
确认业务需求:带宽/时延/可用区。选择合适CN2节点(新加坡 CN2 GT/ CN2 GIA),与本地机房或云提供商对接的可用点(POP)。准备资源:公网IP、ASN(私有或申请公网ASN)、VLAN号、物理链路端口和机柜信息。2.
下单与物理链路接入
联系带宽供应商下单CN2线路,填写BGP信息。到达机房后进行光纤交接:确认LC/SC接口类型、速率(1G/10G)、光纤编号。供应商提供对端IP和默认网关。3.
本地路由器基础配置(以Cisco为例)
配置接口与子网:interface Gi0/0 description CN2_peer ip address 172.16.1.2 255.255.255.252 no shutdown。开启BGP:router bgp 65001 neighbor 172.16.1.1 remote-as 4134(4134为电信ASN示例)。设置update-source、timers、password(MD5)。4.
云端互联选择与对接
AWS:申请Direct Connect并创建Private/Transit VIF,配置BGP对等;Azure:配置ExpressRoute并创建Circuit与Cloud Router,关联虚拟网络;GCP:使用Dedicated/Partner Interconnect并配置Cloud Router进行动态BGP。5.
BGP策略与路由传播
设计路由策略:引入CN2路由时使用route-map限制前缀和最大路径,设置local-preference、MED以实现流量工程。示例:route-map RM-IN permit 10 match ip address PREFIX-ALLOW set local-preference 200。6.
冗余与高可用设计
采用双链路或双POP接入:在不同机房/不同ISP建立第二条CN2或备用ISP链路,配置BGP多路径或使用BFD+BGP快速故障切换。云端配置多区域Direct Connect/ExpressRoute并启用冗余Circuit。7.
IPSec/备份隧道配置
为应对物理链路故障,配置IPSec Site-to-Site把流量回落到公网或另一条链路。示例步骤:创建IKE/ESP策略、生成预共享密钥、配置隧道接口并在路由表中设置优先级(静态/动态路由)。8.
MTU、MSS与隧道调优
CN2上常见MSS/MTU问题:把接口MTU设置为1500或更低(如1420),在防火墙或路由器上调整TCP MSS clamp,避免分片导致性能下降。9.
安全与ACL策略
在边界路由器上限制BGP来源、应用ACL过滤仅允许必要前缀与IP,启用uRPF、RPKI/ROA验证(如支持)以防路由劫持。对管理面启用SSH、ACL并记录变更。10.
监控、测试与验收
测试步骤:1)链路连通:ping对端IP;2)BGP邻居状态:show bgp summary;3)路由宣传验证:show ip bgp 目标前缀;4)端到端时延:mtr/traceroute到目标实例。部署监控:SNMP、NetFlow/sFlow、CloudWatch/Monitor。11.
运维流程与故障排查要点
常见排查:BGP未建邻居检查IP、ASN、MD5、TTL;路由缺失检查route-map/ACL;丢包检查MTU、链路错误计数。编写SOP并与供应商建立应急联系人/工单流程。
12.
案例:新加坡CN2接入AWS Direct Connect的简要步骤
步骤:1. 在AWS控制台申请Direct Connect;2. 创建LAG或单口连接并分配VLAN;3. 在本地路由器上配置对应VLAN和子接口并启BGP;4. 在AWS创建Virtual Interface并配置BGP参数;5. 验证路由收发和访问云资源。13.
问:为什么要在多云中使用新加坡 CN2?
答:CN2在中-东南亚路径上通常具备更低时延和更稳定的传输质量,适合面向中国大陆或东南亚用户的业务,将其接入多云可降低丢包与时延,提升用户体验。
14.
问:BGP配置中常见导致邻居无法建立的错误有哪些?
答:常见错误包括ASN填写错误、对端IP/子网错误、MD5口令不一致、用错接口IP、ACL阻挡TCP 179、TTL或multi-hop设置不当。
15.
问:如何在故障时快速切换流量?
答:配置双链路BGP并使用BFD实现快速失效检测,设置合理的local-preference和MED,预置IPSec备份隧道,结合自动化脚本和监控告警实现自动切换。
