部署经验 新加坡电信cn2 在多云环境下的接入实践

1. 项目准备与需求确认

- 明确需求：公网还是专线接入（IPSec/Direct Connect/MPLS）；
- 确定流量方向、带宽、SLA、冗余（两条链路或两家云厂商）；
- 准备信息：客户AS号、预留IP段、公私网映射、云侧VPC/VNet ID与子网。

2. 网络拓扑设计

- 画出逻辑图：CN2出口 -> 运营商交换机/对等 -> 云侧路由器/网关；
- 决定BGP还是静态路由：建议跨云采用BGP eBGP带AS号以便路由传播与故障恢复；
- 设计子网/VRF分区、路由策略、ACL及NAT边界。

3. 物理与链路准备

- 与新加坡电信确认交付点：POP机房、端口类型、MTU、链路标签；
- 若使用IPSec，准备公网出口IP、IKE参数（IKEv2/PSK或证书）；
- 若使用Direct Connect/MPLS，确认VLAN/VCI、L2/L3交付信息。

4. 云侧网关与路由器配置（以常见云为例）

- 在AWS：创建VGW/Transit Gateway并关联VPC，配置VPN连接或Direct Connect；
- 在Azure：创建ExpressRoute或VPN Gateway并配置连接；在GCP：创建Cloud Router并配置BGP；
- 配置本地-云的MTU一致性（建议1500或根据CN2链路确认）

5. BGP对等建立具体步骤（示例）

- 确认双方AS号与对端IP；在云侧创建BGP会话，填写本地AS、对端AS、对端IP；
- 配置keepalive/holdtime（60/180常用），开启多路径（ECMP）如需；
- 检查BGP邻居状态：show ip bgp summary / cloud console status。

6. 路由策略与过滤器

- 在入站应用前缀过滤：允许客户前缀、挡掉bogon和过长前缀；
- 出站应用route-map/社区（community）修改MED/LocalPref以控制路径偏好；
- 对跨云流量设置黑名单与白名单，细化到子网级别。

7. 安全与加密（IPSec 实现要点）

- IKE参数：IKEv2、加密AES-GCM/CHACHA20、DH组选择（14或更高）；
- 子网级别的安全组/NSG放行BGP端口（TCP 179）和必要的业务端口；
- 定期轮换PSK或使用证书，启用日志审计。

8. 多云路由同步与流量工程

- 使用集中路由控制（比如SD-WAN或云Transit）同步路由策略；
- 利用BGP社区和LocalPref在不同云间做流量分流；
- 对关键业务走CN2优先链路，非关键走公共互联网或备份链路。

9. 测试与验证步骤

- 验证BGP邻居建立、路由表是否可见（show ip route/bgp / cloud console）；
- 做ping/traceroute到目标云资源并记录延迟与丢包；
- 做带宽测试（iperf3）并在高并发下观察队列与丢包。

10. 监控、告警与运维

- 部署流量监控（NetFlow/sFlow/云监控），设置阈值告警；
- 监控BGP状态、丢包、延迟、队列长度，定期执行链路健康检查脚本；
- 建立变更管理流程，记录每次路由/策略变更。

11. 常见故障与排查步骤

- BGP未建立：检查access-list/防火墙是否阻挡TCP179，确认AS号/IP无误；
- 路由不通：检查路由传播、NAT规则、MTU、VRF隔离问题；
- 性能问题：核查链路拥塞、QoS设置、丢包发生点。

12. 问：接入CN2需要准备哪些必备信息？

- 回答：必须提供客户公网/私网IP、客户AS号、预期带宽、业务优先级、云侧VPC/VNet ID和可用子网等；并与新加坡电信确认交付点、MTU、VLAN号或VPN参数。

13. 问：如何在多云间保证流量走CN2而非公网？

- 回答：在路由策略上对CN2前缀加高LocalPref或使用BGP社区标记，结合SD-WAN/Transit Gateway集中下发策略，并在云侧优先选择通过CN2建立的BGP路径。

14. 问：部署后常见性能优化有哪些快速建议？

- 回答：调整MTU避免分片、启用多路径ECMP、在BGP中使用MED/LocalPref优化路径、按业务分类做QoS、并监控链路延迟与丢包定期调整。