本教程为您介绍智能接入网关(SAG)如何作为物理专线的备份链路将您的本地网络接入阿里云,构建高可用的混合云环境。

前提条件

背景信息

本教程以下图所示的网络架构为例进行说明。某企业已经在阿里云北京地域的VPC中部署了应用服务,并且已经通过专线接入了本地网络中。为创建一个高可用网络实现本地网络和云上资源互通,该企业计划使用智能接入网关作为专线的备份链路将北京地域的本地网络接入阿里云。

  • 智能接入网关采用SAG-1000型号设备并采用旁挂模式将本地网络接入阿里云,无需改变本地网络的现有架构。
  • 本地网络、智能接入网关和边界路由器实例之间均通过BGP路由协议进行路由学习传递,方便网络管理和运维。
  • 智能接入网关同时关联云连接网实例和边界路由器实例,并加入到同一个云企业网实例中,通过云企业网和云上VPC互通。
  • 本教程中的网络流量流向说明如下:

    在智能接入网关同时关联云连接网和边界路由器的情况下,云企业网默认专线优先。云企业网会优先通过专线学习发布路由,专线故障时,则通过云连接网学习发布路由。即上云流量和去往云下的流量优先通过专线进行传输,在专线故障时,流量则会通过云连接网进行传输。

专线外置上云最佳实践

网段规划

以下为本教程网段规划示例值。请您根据实际业务情况规划网段,并确保各个网段地址不冲突。

项目 网段规划
本地网络 私网网段:172.16.0.0/12
  • 三层交换机G11端口:192.168.100.2/30
  • 三层交换机G12端口:192.168.110.1/30
  • 三层交换机G2端口:192.168.80.2/30
  • 三层交换机BGP路由协议:
    • AS号:65430
    • Router ID:192.168.1.1
出口路由器G1端口:192.168.80.1/30
智能接入网关 WAN口(端口5):192.168.100.1/30,网关192.168.100.2
BGP路由协议:
  • AS号:65435
  • Router ID:192.168.2.2
  • Keep Alive:60秒
  • Hold Time:180秒
  • 启用BGP的端口:WAN口
边界路由器
  • 阿里云侧IP:192.168.110.2/30
  • 客户侧IP(本示例为三层交换机侧):192.168.110.1/30
  • VLAN:0
北京VPC 云上网段:10.0.0.0/16

配置流程

专线内置流程

步骤一:购买智能接入网关设备

在智能接入网关控制台购买智能接入网关设备后,阿里云会将智能接入网关设备寄送给您,并创建一个智能接入网关实例方便您管理设备。

说明 如果您要使用智能接入网关的区域非中国内地时,您需要通过第三方公司购买硬件,详情请参见购买SAG硬件
  1. 登录智能接入网关管理控制台
  2. 在左侧导航栏,单击智能接入网关
  3. 智能接入网关页面,单击购买智能接入网关 > 创建智能接入网关(硬件版)
  4. 根据以下信息配置智能接入网关设备信息,然后单击立即购买
    • 区域:智能接入网关设备使用区域。本示例选择中国内地
    • 实例类型:选择智能接入网关设备规格。本示例选择SAG-1000
    • 已有SAG硬件:选择是否已有智能接入网关硬件设备。本示例选择
    • 版本:智能接入网关设备版本。本示例使用默认标准版
    • 购买数量:智能接入网关设备购买数量。本示例选择1
    • 区域:智能接入网关设备使用的带宽区域。该区域类型和智能接入网关设备使用区域保持一致,且无法修改。
    • 实例名称:智能接入网关实例名称。

      名称长度为2~128个字符,以大小写字母或中文开头,可包含数字、英文句点(.)、连接号(-)和下划线(_)。

    • 带宽峰值:选择通信网络的带宽峰值。本示例选择50 Mbps
    • 购买时长:选择购买时长。
  5. 确认订单信息,然后单击确认购买
  6. 在弹出的收货地址对话框,填写网关设备的收货地址,然后单击立即购买
  7. 在弹出的支付页面,选择支付方式,然后完成支付。

    您可以在智能接入网关实例页面查看是否下单成功。系统会在下单后两个工作日内发货。如果超期,您可以提交工单查看物流状态。

    查看下单状态

步骤二:激活连接智能接入网关设备

收到智能接入网关设备后,请检查设备配件是否完整,详情请参见SAG-1000设备说明

  1. 登录智能接入网关管理控制台
  2. 在顶部菜单栏,选择目标区域。
  3. 智能接入网关页面,找到目标实例。
  4. 单击目标实例操作列下的激活
  5. 激活对话框,单击确定
  6. 激活设备后,您还需要将智能接入网关设备按照拓扑所示接入到本地机构中。
    通过网线,将智能接入网关设备的WAN(端口5)连接到三层交换机的G11端口上。
  7. 可选:如果您通过第三方公司购买的设备,需手动将设备与智能接入网关实例进行绑定。详情请参见添加设备

步骤三:配置智能接入网关设备

连接好设备后,您需要在智能接入网关管理控制台对设备进行配置。

在执行此操作前,请保持设备启动且4G信号正常,已经连接到阿里云。

  1. 登录智能接入网关管理控制台
  2. WAN口配置。
    1. 登录智能接入网关管理控制台
    2. 在顶部菜单栏,选择目标区域。
    3. 智能接入网关页面,单击目标网关实例ID链接。
    4. 在智能接入网关实例详情页面,单击设备管理页签。
    5. 在页签左侧区域,单击WAN口管理
    6. WAN(端口5)区域,单击编辑
    7. WAN(端口5)配置对话框,根据以下信息配置端口,然后单击确定
      • 连接类型:选择静态IP
      • IP地址:WAN口IP地址。本场景输入192.168.100.1。
      • 掩码:WAN口IP地址掩码。本场景输入255.255.255.252。
      • 网关:网关IP地址。本场景输入192.168.100.2。
        说明 配置网关后,智能接入网关设备会生成一条默认路由。
  3. 配置BGP路由协议。
    1. 在页签左侧区域,单击路由管理
    2. BGP协议配置区域,单击编辑
    3. 配置BGP路由协议对话框,根据网络规划,配置BGP路由协议,然后单击确定
      • 本端AS:本示例输入65435。
      • Router ID:本示例输入192.168.2.2。
      • Hold Time:本示例输入180秒。
      • Keep Alive:本示例输入60秒。
  4. 启用BGP路由协议并为WAN口启用BGP。
    1. 动态路由配置详情区域,单击启用BGP协议
    2. 切换路由协议对话框,单击确定
    3. 在展示的端口页面,选择目标端口5(WAN),单击操作列的编辑
    4. BGP动态路由配置修改对话框,选择启用BGP,并配置对端IP和对端AS,然后单击确定
      对端IP和对端AS为WAN口连接的对端交换机的BGP AS号以及G11端口IP地址。
      • 对端AS:本示例为65430。
      • 对端IP:本示例为192.168.100.2。
    专线外置BGP配置
  5. 配置线下路由同步方式。
    1. 在智能接入网关实例详情页面,单击网络配置页签。
    2. 在页签左侧区域,单击线下路由同步方式
    3. 选择静态路由,然后单击添加静态路由,然后单击确定

      静态路由添加为本地网络要和云上互通的网段:172.16.0.0/12。

      线下路由2

步骤四:配置边界路由器

您需要在高速通道控制台配置边界路由器实例 ,建立和三层交换机的BGP邻居关系。

  1. 配置BGP组。
    1. 登录高速通道管理控制台
    2. 在顶部菜单栏,选择目标地域。
    3. 在左侧导航栏,单击边界路由器(VBR)
    4. 边界路由器(VBR)页面,单击目标边界路由器实例ID链接。
    5. 在边界路由器实例详情页面,单击BGP组页签。
    6. BGP组页签下,单击创建BGP组,并根据以下信息进行BGP组配置。
      • 名称:BGP组的名称。本示例输入test。
      • Peer AS号:三层交换机侧AS号。本示例输入65430。
      • BGP密钥:该BGP组的密钥。本示例不配置该项。
      • 描述:BGP组的描述信息。本示例输入SAGtest。
    7. 单击确定
  2. 配置BGP邻居。
    1. 在边界路由器实例详情页面,单击BGP邻居页签。
    2. BGP邻居页签下,单击创建BGP邻居
    3. 创建BGP邻居面板,配置BGP邻居信息,然后单击确定
      • BGP组:要加入的BGP组。本示例选择刚刚创建的BGP组。
      • BGP邻居IP:BGP邻居的IP地址。本示例输入三层交换机G12端口IP地址192.168.110.1。
    专线外置-创建BGP邻居

步骤五:配置交换机和路由器

您还需要为智能接入网关设备对端的三层交换机和出口路由器添加路由配置,此处以某品牌交换机和路由器为例,由于不同厂商交换机和路由器配置不同,详情请参考厂商设备手册。

  1. 三层交换机的路由配置。
    
    interface GigabitEthernet 0/11
    no switchport
    ip address 192.168.100.2 255.255.255.252     #智能接入网关对端交换机的端口IP
    
    interface GigabitEthernet 0/12
    no switchport
    ip address 192.168.110.1 255.255.255.252     #边界路由器对端交换机的端口IP
    
    router bgp 65430
    bgp router-id 192.168.1.1
    network 172.16.0.0 mask 255.240.0.0          #宣告本地网络私网网段
    neighbor 192.168.100.1 remote-as 65435       #和智能接入网关建立邻居关系
    neighbor 192.168.100.1 timers 60 180         #配置BGP路由协议的Keep Alive和Hold Time
    neighbor 192.168.110.2 remote-as 45104       #和边界路由器建立邻居关系
    exit
                    
    说明 以上交换机路由配置为本示例内容。请根据您网络实际情况进行路由配置和网段宣告。

    例如:您本地网络中包含多台三层交换机,交换机之间通过运行OSPF动态路由协议学习本地网络私网网段,那么您需要在和智能接入网关连接的三层交换机中进行OSPF和BGP路由协议的路由重分布操作,以便您本地网络的所有三层交换机均能够通过OSPF路由协议学习到云上VPC网段,同时边界路由器实例也能通过BGP协议学习到您本地网络的所有私网网段。具体命令请参考您相应的厂商设备手册。

  2. 出口路由器的路由配置。
    
    ip route 192.168.100.0 255.255.255.252  192.168.80.2  #出口路由器去往智能接入网关的路由
                    

步骤六:配置云上网络连接

在配置好设备后,您需要配置云上网络连接,将本地网络接入阿里云。

  1. 创建云连接网。
    1. 登录智能接入网关管理控制台
    2. 在顶部菜单栏,选择中国内地区域。
      云连接网区域需和智能接入网关设备使用区域保持一致。
    3. 在左侧导航栏,单击云连接网
    4. 云连接网页面,单击创建云连接网
    5. 创建云连接网面板,配置云连接网名称,然后单击确定
      云连接网名称长度为2~100个字符,以大小写字母或中文开头,可包含数字、下划线(_)和连接号(-)。创建云连接网
  2. 绑定云连接网。
    1. 在左侧导航栏,单击智能接入网关
    2. 智能接入网关页面,单击目标实例操作列的网络配置
    3. 在页签左侧区域,单击绑定网络详情
    4. 绑定网络详情页签下,单击添加网络,选择绑定云连接网并选择刚刚创建的云连接网实例,然后单击确定
      添加网络
    5. 请重复同样的步骤,将已经创建的边界路由器实例绑定到智能接入网关实例中。详情请参见绑定网络实例
      在智能接入网关同时绑定云连接网实例和边界路由器实例的情况下,本地网络优先通过专线和云上进行互通。专线故障时,本地网络则会通过云连接网和云上进行互通,即通过Internet加密接入阿里云。
  3. 将创建的云连接网实例和边界路由器实例添加到云企业网实例中。详情请参见加载网络实例
    添加后,本地网络便可以和云企业网实例中已加载的VPC网络实例通信。
    说明 如果您的本地网络、边界路由器实例和VPC实例并不在同一个地域,您需要购买云企业网带宽包并设置跨地域互通带宽,实现跨地域网络实例互通。详情请参见购买带宽包设置跨地域互通带宽
  4. 配置安全组规则。
    您需要为VPC中的云服务器(ECS)实例配置安全组规则,允许本地网络的私网网段172.16.0.0/12访问ECS中的资源。详情请参见添加安全组规则

步骤七:验证测试

  1. 配置完成后,您在三层交换机上关闭您的专线端口,查看三层交换机中去往云上VPC的路由是否进行了切换。专线故障的情况下,去往云上VPC路由的下一跳将会指向智能接入网关。路由查看命令请参见您的厂商设备手册。
  2. 您可以通过本地网络的客户端访问已连接的VPC中部署的云资源测试网络连通性。