本教程为您介绍智能接入网关(SAG)如何联合物理专线提供备份冗余链路将您的本地网络接入阿里云,构建高可用的混合云环境。

前提条件

背景信息

本教程以下图所示的网络架构为例进行说明。某企业已经在阿里云北京地域创建了VPC,并在其中部署了应用服务。为创建一个高可用网络实现本地网络和云上资源互通,该企业计划使用智能接入网关将北京地域的本地网络接入阿里云并联合物理专线实现上云链路冗余备份。

  • 智能接入网关采用旁挂模式将本地网络接入阿里云,无需改变本地网络的现有架构;且智能接入网关采用SAG-1000型号设备,目前仅SAG-1000型号设备支持接入专线。
  • 已创建的物理专线接入到智能接入网关的专线口,智能接入网关通过专线链路和云连接网链路(即Internet链路)帮企业建立和云上资源的连接,两条链路互为备份链路。
  • 智能接入网关和边界路由器实例之间通过BGP路由协议进行路由学习传递,方便网络管理和运维。
  • 智能接入网关同时关联云连接网实例和边界路由器实例,并加入到同一个云企业网实例中,通过云企业网和云上VPC互通。
  • 本教程的网络流量流向说明如下:

    在智能接入网关同时连接云连接网和边界路由器的情况下,云企业网默认专线优先。云企业网会优先通过专线学习发布路由,专线故障时,则通过云连接网学习发布路由。即上云流量和去往云下的流量优先通过专线进行传输,在专线故障时,流量则会通过云连接网进行传输。

专线内置上云最佳实践

配置流程

专线内置流程

网段规划

以下为本教程网段规划示例值。请您根据实际业务需要进行网段规划,并确保各个网段地址不冲突。

项目 网段规划
本地网络 私网网段:172.16.0.0/12
  • 三层交换机G11端口:192.168.100.2/30
  • 三层交换机G2端口:192.168.80.2/30
出口路由器G1端口:192.168.80.1/30
智能接入网关
  • WAN口(端口5):192.168.100.1/30,网关192.168.100.2
  • 专线口(端口1):192.168.110.1/30,VLAN为0
BGP路由协议:
  • AS号:65435
  • Router ID:192.168.2.2
  • Keep Alive:60秒
  • Hold Time:180秒
  • 启用BGP的端口:专线口
边界路由器
  • 阿里云侧IP:192.168.110.2/30
  • 客户侧IP(本示例为智能接入网关侧):192.168.110.1/30
  • VLAN:0
北京VPC 云上网段:10.0.0.0/16

步骤一:购买智能接入网关设备

在智能接入网关控制台购买智能接入网关设备后,阿里云会将智能接入网关设备寄送给您,并创建一个智能接入网关实例方便您管理设备。

说明 如果您要使用智能接入网关的区域非中国内地时,您需要通过第三方公司购买硬件,详情请参见购买SAG硬件
  1. 登录智能接入网关管理控制台
  2. 在左侧导航栏,单击智能接入网关
  3. 智能接入网关页面,单击购买智能接入网关 > 创建智能接入网关(硬件版)
  4. 根据以下信息配置智能接入网关设备信息,然后单击立即购买
    • 区域:智能接入网关设备使用区域。本示例选择中国内地
    • 实例类型:选择智能接入网关设备规格。本示例选择SAG-1000
    • 已有SAG硬件:选择是否已有智能接入网关硬件设备。本示例选择
    • 版本:智能接入网关设备版本。本示例使用默认标准版
    • 购买数量:智能接入网关设备购买数量。本示例选择1
    • 区域:智能接入网关设备使用的带宽区域。该区域类型和智能接入网关设备使用区域保持一致,且无法修改。
    • 实例名称:智能接入网关实例名称。

      名称长度为2~128个字符,以大小写字母或中文开头,可包含数字、英文句点(.)、连接号(-)和下划线(_)。

    • 带宽峰值:选择通信网络的带宽峰值。本示例选择50 Mbps
    • 购买时长:选择购买时长。
  5. 确认订单信息,然后单击确认购买
  6. 在弹出的收货地址对话框,填写网关设备的收货地址,然后单击立即购买
  7. 在弹出的支付页面,选择支付方式,然后完成支付。

    您可以在智能接入网关实例页面查看是否下单成功。系统会在下单后两个工作日内发货。如果超期,您可以提交工单查看物流状态。

    查看下单状态

步骤二:激活连接智能接入网关设备

收到智能接入网关设备后,请检查设备配件是否完整,详情请参见SAG-1000设备说明

  1. 登录智能接入网关管理控制台
  2. 在顶部菜单栏,选择目标区域。
  3. 智能接入网关页面,找到目标实例。
  4. 单击目标实例操作列下的激活
  5. 激活对话框,单击确定
  6. 激活设备后,您还需要将智能接入网关设备按照拓扑所示接入到本地网络中。
    • 通过网线,将智能接入网关设备的WAN(端口5)连接到三层交换机的G11端口。
    • 您创建的高速通道专线连接到智能接入网关的专线口(端口1)。
  7. 可选:如果您通过第三方公司购买的设备,需手动将设备与智能接入网关实例进行绑定。详情请参见添加设备

步骤三:配置智能接入网关设备

连接好设备后,您需要在智能接入网关管理控制台对设备进行配置。

在执行此操作前,请保持设备启动且4G信号正常,已经连接到阿里云。

  1. 登录智能接入网关管理控制台
  2. 端口角色分配。
    智能接入网关设备出厂时,默认端口5为WAN口。您还需要按照网络规划为智能接入网关分配专线口,详情请参见分配端口角色。本示例中将智能接入网关设备的端口1分配为专线口。
  3. WAN口配置。
    1. 登录智能接入网关管理控制台
    2. 在顶部菜单栏,选择目标区域。
    3. 智能接入网关页面,单击目标网关实例ID链接。
    4. 在智能接入网关实例详情页面,单击设备管理页签。
    5. 在页签左侧区域,单击WAN口管理
    6. WAN(端口5)区域,单击编辑
    7. WAN(端口5)配置对话框,根据以下信息配置端口,然后单击确定
      • 连接类型:选择静态IP
      • IP地址:WAN口IP地址。本场景输入192.168.100.1。
      • 掩码:WAN口IP地址掩码。本场景输入255.255.255.252。
      • 网关:网关IP地址。本场景输入192.168.100.2。
        说明 配置网关后,智能接入网关设备会生成一条默认路由。
  4. 专线口配置。
    1. 在页签左侧区域,单击专线口管理
    2. 专线口管理页面,单击端口1(专线)
    3. 在展示页面中,单击修改
    4. 修改对话框中,根据以下信息配置专线口,然后单击确定。专线更多详情请参见配置专线口
      专线口配置
      • IP:专线口IP地址。本示例为192.168.110.1。
      • 掩码信息:专线口掩码信息。本示例为255.255.255.252。
      • 端口:默认为端口1(专线)
      • VLAN:专线口所属VLAN。本示例采用默认值0,表示专线口作为物理口使用,不启用虚拟接口模式。
        说明
        专线口包含以下两种工作模式:
        • 物理口模式:表示专线口作为一个独立的端口使用,VLAN号为0。
        • 虚拟接口模式:在该模式下,专线口可以被划分为多个子接口使用,一个VLAN号表示一个子接口。配置专线口VLAN时,若VLAN不等于0,则表示启用虚拟接口模式。VLAN配置范围为1~4094。
        专线口VLAN号需和专线对端的VLAN号一致。
  5. 配置BGP路由协议。
    1. 在页签左侧区域,单击路由管理
    2. BGP协议配置区域,单击编辑
    3. 配置BGP路由协议对话框中,根据网络规划,配置BGP路由协议,然后单击确定
      • 本端AS:本示例输入65435。
      • Router ID:本示例输入192.168.2.2。
      • Hold Time:本示例输入180秒。
      • Keep Alive:本示例输入60秒。
  6. 启用BGP路由协议并为专线口启用BGP。
    说明 目前智能接入网关专线口启用BGP动态路由仅支持在智能接入网关管理控制台进行配置,不支持在设备Web管理控制台配置。
    1. 动态路由配置详情区域,单击启用BGP协议
    2. 切换路由协议对话框,单击确定
    3. 专线动态路由配置详情区域,找到目标端口1(专线),单击操作列的编辑
    4. 专线动态路由配置修改对话框,选择启用BGP,并配置对端IP和对端AS,然后单击确定
      对端IP和对端AS为专线口连接的边界路由器侧的BGP AS号以及IP地址。
      • 对端AS:边界路由器侧AS号为45104。
      • 对端IP:本示例为192.168.110.2。
    专线内置BGP配置
  7. 配置线下路由同步方式。
    1. 在智能接入网关实例详情页面,单击网络配置页签。
    2. 在页签左侧区域,单击线下路由同步方式
    3. 选择静态路由,然后单击添加静态路由,然后单击确定

      静态路由添加为本地网络要和云上互通的网段:172.16.0.0/12。

      线下路由2

步骤四:配置边界路由器

您需要在高速通道控制台配置边界路由器实例 ,建立和智能接入网关设备的BGP邻居关系。

  1. 配置BGP组。
    1. 登录高速通道管理控制台
    2. 在顶部菜单栏,选择目标地域。
    3. 在左侧导航栏,单击边界路由器(VBR)
    4. 边界路由器(VBR)页面,单击目标边界路由器实例ID链接。
    5. 在边界路由器实例详情页面,单击BGP组页签。
    6. BGP组页签下,单击创建BGP组,并根据以下信息进行BGP组配置。
      • 名称:BGP组的名称。本示例输入test。
      • Peer AS号:智能接入网关侧AS号。本示例输入65435。
      • BGP密钥:该BGP组的密钥。本示例不配置该项。
      • 描述:BGP组的描述信息。本实例输入SAGtest。
    7. 单击确定
  2. 配置BGP邻居。
    1. 在边界路由器实例详情页面,单击BGP邻居页签。
    2. BGP邻居页签下,单击创建BGP邻居
    3. 创建BGP邻居面板,配置BGP邻居信息,然后单击确定
      • BGP组:要加入的BGP组。本示例选择刚刚创建的BGP组。
      • BGP邻居IP:BGP邻居的IP地址。本示例输入智能接入网关专线口IP地址192.168.110.1。
    创建BGP邻居

步骤五:配置交换机和路由器

您还需要为智能接入网关设备对端的三层交换机和出口路由器添加路由配置,此处以某品牌交换机和路由器为例,由于不同厂商交换机和路由器配置不同,详情请参考厂商设备手册。

  1. 三层交换机的路由配置。
    interface GigabitEthernet 0/11
    no switchport
    ip address 192.168.100.2 255.255.255.252     #智能接入网关对端交换机的端口IP
    
    ip route 10.0.0.0 255.255.0.0 192.168.100.1  #交换机去往北京VPC的路由
     
    ip route 0.0.0.0 0.0.0.0 192.168.80.1        #交换机去往公网路由               
  2. 出口路由器的路由配置。
    ip route 192.168.100.0 255.255.255.252  192.168.80.2  #出口路由器去往智能接入网关的路由          

步骤六:配置云上网络连接

在配置好设备后,您需要配置云上网络连接,将本地网络接入阿里云。

  1. 创建云连接网。
    1. 登录智能接入网关管理控制台
    2. 在顶部菜单栏,选择中国内地区域。
      云连接网区域需和智能接入网关设备使用区域保持一致。
    3. 在左侧导航栏,单击云连接网
    4. 云连接网页面,单击创建云连接网
    5. 创建云连接网面板,配置云连接网名称,然后单击确定
      云连接网名称长度为2~100个字符,以大小写字母或中文开头,可包含数字、下划线(_)和连接号(-)。创建云连接网
  2. 绑定云连接网。
    1. 在左侧导航栏,单击智能接入网关
    2. 智能接入网关页面,单击目标实例操作列的网络配置
    3. 在页签左侧区域,单击绑定网络详情
    4. 绑定网络详情页签下,单击添加网络,选择绑定云连接网并选择刚刚创建的云连接网实例,然后单击确定
      添加网络
    5. 请重复同样的步骤,将已经创建的边界路由器实例绑定到智能接入网关实例中。详情请参见绑定网络实例
      在智能接入网关同时绑定云连接网实例和边界路由器实例的情况下,本地网络优先通过专线和云上进行互通。专线故障时,本地网络则会通过云连接网和云上进行互通,即通过Internet加密接入阿里云。
  3. 将创建的云连接网实例和边界路由器实例添加到云企业网。详情请参见加载网络实例
    添加后,智能接入网关设备关联的本地网络便可以和云企业网实例中已加载的网络实例VPC通信。
    说明 如果您的本地网络、边界路由器实例和VPC实例并不在同一个地域,您需要购买云企业网带宽包并设置跨地域互通带宽,实现跨地域网络实例互通。详情请参见购买带宽包设置跨地域互通带宽
  4. 配置安全组规则。
    您需要为VPC中的云服务器(ECS)实例配置安全组规则,允许本地网络的私网网段172.16.0.0/12访问ECS中的资源。详情请参见添加安全组规则

步骤七:验证测试

  1. 配置完成后,您可以登录云企业网管理控制台,查看VPC网络实例去往本地网络的路由。查看操作请参见在云企业网控制台查看路由
  2. 您可以通过本地网络的客户端访问已连接的VPC中部署的云资源测试网络连通性。