本教程将指导您如何使用智能接入网关,采用单机旁挂组网的方式,将您的线下总部或分支机构接入阿里云。

前提条件

在开始本操作前,请确保您已经满足以下条件:

背景信息

本教程以某企业为例,该企业已经在北京地域创建了VPC并在其中部署了网络服务。现在该企业希望通过智能接入网关将本地机构接入阿里云,其中智能接入网关通过旁挂组网方式,在不改变企业网络架构的基础上帮企业接入阿里云,实现和云上资源互通。

单机旁挂静态路由上云

网段规划

以下为本方案网段规划示例值,如您需要自行规划网段,请确保各个网段地址不冲突。

地域 网段规划
本地机构 业务网段:172.16.0.0/12
智能接入网关 WAN(端口5):192.168.100.1/30 ,网关192.168.100.2

智能接入网关 LAN(端口4):192.168.50.1/30

三层交换机G11端口:192.168.100.2/30

三层交换机G12端口:192.168.50.2/30

出口路由器G1端口:192.168.80.1/30

三层交换机G2端口:192.168.80.2/30

阿里云北京VPC 10.0.0.0/16

步骤一:购买智能接入网关

您在智能接入网关管理控制台购买设备后,阿里云会将智能接入网关设备寄送给您,并创建一个智能接入网关实例方便您管理网络配置。

  1. 登录智能接入网关管理控制台
  2. 根据以下配置信息智能接入网关。
    • 区域:智能接入网关使用区域。本方案选择中国内地
    • 实例类型:选择智能接入网关设备规格。本方案选择SAG-1000
    • 已有SAG硬件:选择是否已有智能接入网关硬件设备。本方案选择
    • 购买数量:智能接入网关设备购买数量。本方案选择1
    • 区域:智能接入网关使用的带宽区域。该区域类型和智能接入网关设备使用区域保持一致,且无法修改。
    • 实例名称:智能接入网关实例名称。

      名称长度为2~128个字符,以大小写字母或中文开头,可包含数字、英文句点(.)、连接号(-)和下划线(_)。

    • 带宽峰值:选择通信网络的带宽峰值。本方案选择30Mbps
    • 购买时长:选择购买时长。
  3. 配置智能接入网关,然后单击立即购买
  4. 确认订单信息,然后单击确认购买
  5. 在弹出的收货地址对话框,填写网关设备的收货地址,然后单击立即购买
  6. 在弹出支付页面,单击确认支付。

您可以在智能接入网关实例页面查看是否下单成功。系统会在下单后两天内发货。如果超期,您可以提交工单查看物流状态。

查看下单状态

步骤二:激活绑定智能接入网关设备

收到网关设备后,请检查设备配件是否完整,详情请参见SAG-1000设备说明

  1. 登录智能接入网关管理控制台
  2. 智能接入网关页面,找到目标实例ID。
  3. 单击操作列下的激活
  4. 单击目标实例ID,在智能接入网关实例详情页面,单击设备管理页签,输入智能接入网关设备序列号。
    添加设备
  5. 单击添加设备

步骤三:连接智能接入网关设备

激活、绑定智能接入网关设备后,您还需要将智能接入网关连接到本地机构中。

在执行此操作前,请保持网关设备启动且4G信号正常,已经连接到阿里云。

  1. 登录智能接入网关管理控制台
  2. 智能接入网关页面,单击目标实例ID。
  3. 在智能接入网关实例详情页面,单击设备管理页签。
  4. 在页签左侧区域,单击端口角色分配
  5. 端口角色分配页面,单击目标端口操作列下的修改,修改端口角色,然后单击确定
    本方案本地机构使用WAN(端口5)和LAN(端口4),更多端口详情请参见分配端口角色
  6. 通过网线,将智能接入网关的WAN(端口5)连接到三层交换机的G11端口上。
  7. 通过网线,将智能接入网关的LAN(端口4)连接到三层交换机的G12端口上。

步骤四:配置端口

连接好网关设备后,您可以在智能接入网关管理控制台对设备进行端口配置。

  1. 登录智能接入网关管理控制台
  2. 智能接入网关页面,单击目标网关实例ID。
  3. 在智能接入网关实例详情页面,单击设备管理页签。
  4. 在页签左侧区域,单击LAN口管理
  5. LAN(端口4)区域,单击编辑
  6. LAN(端口4)配置页面,根据以下信息配置端口,然后单击确定
    • 连接类型:选择静态IP
    • 接口地址:LAN端口IP地址。本方案输入192.168.50.1。
    • 掩码地址:LAN端口IP地址掩码。本方案输入255.255.255.252。
  7. 在页签左侧区域,单击WAN口管理
  8. WAN(端口5)区域,单击编辑
  9. WAN(端口5)配置页面,根据以下信息配置端口,然后单击确定
    • 连接类型:选择静态IP
    • IP地址:WAN端口IP地址。本场景输入192.168.100.1。
    • 掩码:WAN端口IP地址掩码。本场景输入255.255.255.252。
    • 网关:网关IP地址。本场景输入192.168.100.2 。
      说明 配置网关后,智能接入网关设备会添加一条默认路由。

步骤五:配置路由

智能接入网关的WAN口和LAN口配置好后,您需要配置线下路由同步方式将本地机构路由同步到云上,同时配置静态路由为云上流量去往本地机构指定出口。

  1. 智能接入网关页面,单击目标网关实例ID。
  2. 在智能接入网关实例详情页面,单击网络配置页签。
  3. 在页签左侧区域,单击线下路由同步方式
  4. 选择静态路由,然后单击添加静态路由,配置静态路由信息,然后单击确定

    静态路由添加为本地机构要和云上互通的网段:172.16.0.0/12。

    线下路由2
  5. 保持在该智能接入网关实例详情页面,单击设备管理页签。
  6. 在页签左侧区域,单击路由管理页签,然后单击添加静态路由
  7. 添加静态路由页面,添加云上流量去往本地机构的静态路由,然后单击确定
    • 目标网段:要去往的目的网段。本方案输入172.16.0.0/12。
    • 下一跳:去往目标网段的下一跳IP地址。本方案输入192.168.50.2。
    • 端口:去往目的网段的出口。本方案选择端口4(LAN)
    路由添加静态

步骤六:配置交换机和出口路由器

您还需要为智能接入网关设备对端的交换机和出口路由器添加路由配置,此处以某品牌交换机和路由器为例,由于不同厂商交换机和路由器配置不同,详情请参考厂商设备手册。

  1. 互联交换机的路由配置。
    三层交换机:
    
    interface GigabitEthernet 0/11
    no switchport
    ip address 192.168.100.2 255.255.255.252 智能接入网关对端交换机的端口IP
    
    interfaceGigabitEthernet 0/12
    no switchport
    ip address 192.168.50.2 255.255.255.252 智能接入网关对端交换机的端口IP
    
    ip route 10.0.0.0 255.255.0.0 192.168.50.1 交换机去往VPC的路由
    
    
    						
  2. 出口路由器的路由配置。
    配置静态路由:
    
    ip route 192.168.100.1 255.255.255.252  192.168.80.2 出口路由器去往智能接入网关的路由
    						

步骤七:配置云连接网

云连接网(CCN)是智能接入网关的一个重要组成部分。云连接网是由阿里云分布式接入网关组成的设备接入矩阵。要将智能接入网关实例所连接的线下机构接入阿里云,您必须先创建一个云连接网,然后将智能接入网关实例添加到云连接网内,为实现线下机构和云上互通做准备。

完成以下操作,创建云连接网实例并将智能接入网关实例绑定该云连接网。

  1. 登录智能接入网关管理控制台
  2. 在左侧导航栏,单击云连接网
  3. 云连接网页面,单击创建云连接网
  4. 创建云连接网页面,配置云连接网名称,然后单击确定
    云连接网名称长度为2~100个字符,以大小写字母或中文开头,可包含数字、下划线(_)和连接号(-)。
  5. 云连接网页面,单击创建的云连接网实例ID。
  6. 在云连接网实例详情页面,单击绑定智能接入网关
  7. 绑定智能接入网关页面,单击同账号页签,选择目标智能接入网关实例,然后单击确定
    CCN绑定SAG1.1

步骤八:绑定云企业网

云企业网(CEN)可帮助您在不同地域VPC间,VPC与本地数据中心间搭建私网通信通道,通过自动路由分发及学习,提高网络的快速收敛和跨网络通信的质量和安全性,实现全网资源的互通,帮助您打造一张具有企业级规模和通信能力的互联网络。

在本场景中您需要将已创建的云企业网实例绑定到已创建的云连接网实例中,实现云下资源和云上资源互通。

  1. 登录智能接入网关管理控制台
  2. 在左侧导航栏,单击云连接网
  3. 云连接网页面,单击目标实例操作列的绑定云企业网
  4. 绑定云企业网页面,选择要绑定的云企业网实例,单击确定
    绑定后,云连接网中的智能接入网关实例便可以和云企业网实例中已加载的VPC网络实例互通。云企业网

步骤九:配置安全组

完成以下操作,配置安全组,允许本地机构访问VPC中已部署的网络服务。

  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击实例
  3. 找到目标ECS实例,然后单击更多 > 网络和安全组 > 安全组配置
    安全组
  4. 单击目标安全组操作列的配置规则,然后单击添加安全组规则
  5. 配置一条允许线下机构访问的安全组规则。
    下图为安全组配置示例图。您需要将授权对象配置为本地机构的私网网段172.16.0.0/12。更多配置详情请参见添加安全组规则安全组

步骤十:访问测试

完成上述配置后,您可以通过在线下机构的客户端访问已连接的VPC中部署的云资源验证配置是否生效。