阿里云SD-WAN解决方案,依托于阿里巴巴优质的全球传输网络,通过SDN技术应用到广域网络,结合智能接入网关,企业总部及各分支能够就近接入阿里云POP点,快速、安全、简单地帮助企业构建广域互联网络,为客户提供了一站式云-网-端的云原生SD-WAN解决方案。

方案介绍

随着企业新兴业务的爆发、迅速增长,以昂贵MPLS专线为主的传统广域网互联难以支撑企业WAN的流量激增,SD-WAN逐渐成为企业总部分支互联在云时代的优选。阿里云SD-WAN为企业总部各分支提供基于专线/Internet/4G等混合链路广域网互联接入服务,基于阿里云全球高质量传输网络优势,进一步平衡并优化企业应用,从而提高企业WAN网络的可靠性、灵活性和运维效率。

本方案以某企业各机构上云为例,介绍如何通过部署智能接入网关SAG(专线+互联网)将该企业的分支机构,上海分支、深圳IDC、北京门店和北京移动办公区就近接入阿里云POP点并与企业总部互通,为该企业快速构建总部与分支互联的网络,并且通过云企业网CEN实现全球跨境跨地域高速互联。

方案咨询

方案咨询,请访问SD-WAN解决方案咨询

部署结构图

总体架构图2
本方案涉及的产品说明:
  • 智能接入网关SAG

    通过Internet就近加密接入,智能、可靠、安全的一站式上云服务。了解更多产品信息,请参见智能接入网关

  • 高速通道

    帮助不同网络环境间实现高速、稳定、安全的私网通信。物理专线连接实现云下IDC专线接入云上,提高网络拓扑灵活性和跨网通信质量。了解更多产品信息,请参见高速通道

  • 云企业网CEN

    提供全球网互联能力,帮助用户打造一张具有企业级规模和通信能力的云上网络。了解更多产品信息,请参见云企业网

业务规划

本方案企业各机构上云规划如下:

  • 云上网络:已经部署了阿里云北京VPC、阿里云美西VPC。
  • 上海总部:已经部署了上云物理专线。
  • 上海分支:将通过智能接入网关双机旁挂模式接入阿里云。智能接入网关采用宽带和4G双链路上云方式。
  • 深圳IDC:将通过物理专线和智能接入网关接入阿里云。智能接入网关采用单机旁挂,宽带和4G双链路上云方式,作为物理专线的备份链路接入阿里云。
  • 北京门店:将通过智能接入网关直挂模式接入阿里云。智能接入网关采用宽带和4G双链路上云方式。
  • 北京移动办公区:将通过智能接入网关APP接入阿里云。

本方案企业各机构购买智能接入网关规格说明:

分支机构智能接入网关规格设备数量
上海分支SAG-10002
深圳IDCSAG-10001
北京门店SAG-100WM1
北京移动办公区智能接入网关APP版

网段规划

以下为本方案网段规划示例值,如您需要自行规划网段,请确保各个网段地址不冲突。

分支机构项目网段规划
上海分支出口路由器端口G1:192.168.80.1/30
三层交换机上行接口端口G2:192.168.80.2/30
智能接入网关1WAN端口5:192.168.100.1/30,下一跳:192.168.100.2

LAN端口4:192.168.50.1/30

智能接入网关2WAN端口5:192.168.200.1/30,下一跳:192.168.200.2

LAN端口4:192.168.60.1/30

三层交换机端口G11:192.168.100.2/30

端口G12:192.168.50.2/30

端口G13:192.168.200.2/30

端口G14:192.168.60.2/30

环回口:192.168.100.3/32

业务网段172.16.0.0/12
深圳IDC智能接入网关WAN端口3:192.168.110.1/30 ,下一跳:192.168.110.2
三层交换机端口G11:192.168.110.2/30

端口G2:192.168.90.2/30

出口路由器地址端口G1:192.168.90.1/30
业务网段172.32.0.0/12
北京门店业务网段192.168.10.0/24
北京移动办公区业务网段192.168.20.0/24
上海总部业务网段192.168.30.0/24
阿里云美西VPC业务网段10.10.0.0/16
阿里云北京VPC业务网段10.0.0.0/16

部署流程

本方案部署流程如下:

部署流程

步骤一:购买智能接入网关

您在阿里云控制台购买智能接入网关后,阿里云会将智能接入网关设备寄送给您,并创建一个智能接入网关实例方便您管理网络配置。

请根据企业各分支规划,完成以下操作,购买智能接入网关。

  1. 登录智能接入网关管理控制台
  2. 智能接入网关页面,单击创建智能接入网关
  3. 配置智能接入网关,然后单击立即购买,确认配置信息后,选择《智能接入网关设备服务协议》,然后单击确认购买
  4. 在弹出的收货地址对话框,填写网关设备的收货地址,然后单击立即购买并完成支付。

步骤二:北京门店接入智能接入网关

北京门店收到网关设备后,请按照部署模式检查配件。

北京门店2.1
  1. 激活绑定智能接入网关设备。
    1. 登录智能接入网关管理控制台
    2. 智能接入网关页面,找到北京门店网关实例ID。
    3. 单击操作列下的激活
    4. 单击北京门店网关实例ID,在智能接入网关实例页面,单击设备管理页签,输入北京门店智能接入网关设备序列号。绑定SN
    5. 单击添加设备
  2. 连接网关设备。
    1. 启动网关设备后,将WAN口和Modem相连,LAN口和本地客户端相连。
    2. 北京门店本地客户端可直接通过网关设备接入,使用默认的网关配置即可。如果需要配置WAN口和LAN口,请参见SAG-100WM Web配置SAG-100WM Web配置
  3. 配置网络路由。
    1. 登录智能接入网关管理控制台
    2. 在左侧导航栏,单击智能接入网关,在智能接入网关页面,单击需要进行网络配置的网关实例操作列下的网络配置
    3. 单击线下路由同步方式
    4. 选择静态路由,然后单击添加静态路由

      本操作输入192.168.10.0/24。因为北京门店智能接入网关设备使用了默认网关配置,所以本地客户端的IP地址从192.168.10.0/24中分配。

      线下
    5. 单击确定

步骤三:上海分支接入智能接入网关

上海分支收到网关设备后,请按照SAG-1000设备说明检查配件。

在执行此操作前,请保持网关设备启动且4G信号正常,已经连接到阿里云。本操作以智能接入网关1为例进行配置,请根据同样的步骤和网络规划配置智能接入网关2。

上海分支架构2.1
  1. 激活智能接入网关实例,将两台智能接入网关绑定到同一智能接入网关实例。详细步骤请参见1
  2. 连接网关设备。
    1. 智能接入网关实例页面,单击设备管理页签,选择目标主设备。
    2. 在左侧页签栏,单击端口角色分配
    3. 端口角色分配页面,单击目标端口的操作列下的修改,修改端口角色。

      上海分支使用WAN(端口5),LAN(端口4)。

    4. 通过网线,将智能接入网关的WAN(端口5)连接到三层交换机的G11端口上。
    5. 通过网线,将智能接入网关的LAN(端口4)连接到三层交换机的G12端口上。
  3. 端口配置。
    1. 智能接入网关实例页面,单击设备管理页签。
    2. 在左侧页签栏,单击LAN口管理
    3. LAN(端口4)区域,单击编辑
    4. LAN(端口4)配置页面,连接类型选择静态IP,输入规划好的IP地址信息,然后单击确定LAN口4
    5. 在左侧页签栏,单击WAN口管理
    6. WAN(端口5)区域,单击编辑
    7. WAN(端口5)配置页面,连接类型选择静态IP,输入规划好的IP地址信息,然后单击确定WAN口3
  4. 配置路由。
    1. 智能接入网关实例页面,单击设备管理页签。
    2. 在左侧页签栏,单击路由管理
    3. OSPF协议配置区域,单击编辑
    4. 配置OSPF路由协议页面,输入规划好的配置信息,然后单击确定
      参数说明
      Area ID

      主设备区域ID:1

      备设备区域ID:1

      Hello_time两台设备Hello_time时间均为3秒。
      Dead_time两台设备Dead_time时间均为10秒。
      认证方式两台设备均选择不认证。
      Router ID

      主设备路由器ID:192.168.100.1

      备设备路由器ID:192.168.200.1

      Area Type区域类型默认为NSSA。
    5. WAN/LAN动态路由配置详情区域,选择启用OSPF协议
    6. 单击端口4(LAN)操作列的编辑,选择启用OSPF,单击确定
  5. 配置线下路由同步方式。
    1. 登录智能接入网关管理控制台
    2. 智能接入网关页面,单击需要进行网络配置的网关实例操作列下的网络配置
    3. 线下路由同步方式页签下,选择动态路由
  6. 配置三层交换机和出口路由器。

    由于不同厂商的交换机配置命令有所区别,具体请参考厂商的配置手册。本文仅以某厂商交换机和路由器举例说明。

    • 交换机配置
      • 配置端口IP及OSPF参数:
        说明 同一个智能接入网关设备运行OSPF协议接口的网络类型需要配置为p2p,否则不能正确地计算路由。
        interface GigabitEthernet 0/11
         no switchport
         ip address 192.168.100.2 255.255.255.252   智能接入网关1对端交换机的端口IP
        
        
        interface GigabitEthernet 0/12
         no switchport
         ip ospf network point-to-point             网络类型必须为p2p
         ip ospf hello-interval 3
         ip ospf dead-interval 10
         ip address 192.168.50.2 255.255.255.252    智能接入网关1对端交换机的端口IP
        
        
         interface GigabitEthernet 0/13
         no switchport
         ip address 192.168.200.2 255.255.255.252    智能接入网关2对端交换机的端口IP
        !
        
        interface GigabitEthernet 0/14
         no switchport
         ip address 192.168.60.2 255.255.255.252     智能接入网关2对端交换机的端口IP
         ip ospf network point-to-point              网络类型必须为p2p
         ip ospf dead-interval 10
         ip ospf hello-interval 3
        
        !
      • 配置交换机的Loopback地址及路由通告信息:
        说明 OSPF需要配置为NSSA区域,且自动产生默认路由发布给智能接入网关。
        interface Loopback 0
        ip address 192.168.100.3 255.255.255.255          交换机的loopback地址
        !
        
        router ospf 1
         router-id 192.168.100.3                           交换机的routerID
         network 172.16.0.0 0.15.255.255 area 0            本地服务器网段
         network 192.168.50.0 0.0.0.4 area 1               交换机连接智能接入网关1的接口网段
         network 192.168.100.3 0.0.0.0 area 0              交换机本身的loopback地址
         network 192.168.60.0 0.0.0.4 area 1               交换机连接智能接入网关2的接口网段
         area 1 nssa default-information-originate no-summary
        
        !
    • 出口路由器路由配置
      
      配置静态路由
      
      ip route 192.168.100.1 255.255.255.252  192.168.80.2 出口路由器去往智能接入网关1的路由
      ip route 192.168.200.1 255.255.255.252  192.168.80.2 出口路由器去往智能接入网关2的路由
      
                                      

步骤四:深圳IDC接入智能接入网关和物理专线

深圳IDC收到网关设备后,请按照SAG-1000设备说明检查配件。

在执行此操作前,请保持网关设备启动且4G信号正常,已经连接到阿里云。

深圳IDC架构2.1
  1. 激活绑定智能接入网关实例。详细步骤请参见1
  2. 连接网关设备。
    1. 智能接入网关实例页面,单击设备管理页签。
    2. 在左侧页签栏,单击端口角色分配
    3. 端口角色分配,单击目标端口的操作列下的修改,修改端口角色。

      深圳IDC使用WAN(端口3)。

    4. 通过网线,将智能接入网关的WAN(端口3)连接到三层交换机的G11端口上。
  3. 端口配置。
    1. 智能接入网关实例页面,单击设备管理页签。
    2. 单击WAN口管理页签。
    3. WAN(端口3)区域,单击编辑
    4. WAN(端口3)配置页面,连接类型选择静态IP,输入规划好的IP地址信息,然后单击确定WAN3
  4. 配置路由。
    1. 配置线下路由同步方式。详情请参见3

      深圳IDC选择添加静态路由172.32.0.0/12。

    2. 保持在该智能接入网关实例页面,单击设备管理页签。
    3. 在左侧导航栏,单击路由管理,然后单击添加静态路由
    4. 添加静态路由页面,添加去往本地机构的静态路由。添加静态路由
  5. 配置三层交换机和出口路由器。

    由于不同厂商的交换机配置命令有所区别,具体请参考厂商的配置手册。本文仅以某厂商交换机和路由器举例说明。

    互联交换机的路由配置。
    三层交换机:
    
    interface GigabitEthernet 0/11
    no switchport
    ip address 192.168.110.2 255.255.255.252 智能接入网关对端交换机的端口IP
    
    
    ip route 10.0.0.0 255.255.0.0 192.168.110.1 255 交换机去往阿里云北京VPC的路由
    ip route 10.10.0.0 255.255.0.0 192.168.110.1 255 交换机去往阿里云美西VPC的路由
    ip route 192.168.30.0 255.255.255.0 192.168.110.1 255 交换机去往上海总部的路由
    
    ip route 0.0.0.0 0.0.0.0 192.168.90.1 交换机去往公网路由。
    
                                
    出口路由器的路由配置。
    出口路由器:
    
    ip route 192.168.110.1 255.255.255.252  192.168.90.2 出口路由器去往智能接入网关的路由
                                
  6. 搭建物理专线。
    1. 在自主申请专线接入前,您需要完成接入点确认、运营商工勘等准备工作。详细信息,请参见独享专线连接前准备
    2. 开通上云物理专线。详情请参见创建和管理独享专线连接
    3. 登录高速通道管理控制台
    4. 在左侧导航栏,单击边界路由器(VBR) > 边界路由器(VBR)
    5. 在顶部状态栏处,选择要创建的边界路由器的地域。

      深圳IDC选择华南1(深圳)地域。

    6. 边界路由器(VBR)页面,单击创建边界路由器
    7. 创建边界路由器对话框,根据以下信息配置边界路由器,然后单击确定
      • 账号类型:当前账号。
      • 名称:深圳VBR。
      • 物理专线接口:选择申请的物理专线接口。
      • VLANID:0。
      • 阿里云侧互联IP:192.168.150.2/30。
      • 客户侧互联IP:192.168.150.1/30。
      • 子网掩码:255.255.255.252。
  7. 在深圳IDC和边界路由器之间分别建立起BGP邻居并宣告相应路由。深圳IDC配置请咨询相应厂商,阿里云上配置请参见配置和管理BGP
  8. 智能接入网关绑定边界路由器。
    1. 登录智能接入网关管理控制台
    2. 智能接入网关页面,单击需要进行网络配置的网关实例操作列下的网络配置
    3. 绑定网络详情页签下,单击添加网络,选择刚刚创建的边界路由器网络实例,单击确定
    说明 云企业网对相同网段的专线路由和智能接入网关路由处理优先级是:专线路由优先处理。

步骤五:北京移动办公区接入智能接入网关APP

  1. 购买智能接入网关APP。详情请参见购买SAG App
  2. 在智能接入网关控制台添加要进行云上访问的私网网段。详情请参见网络配置
    北京移动办公区添加私网网段192.168.20.0/24。
  3. 在智能接入网关控制台为移动用户添加账号。详情请参见创建客户端账号
    • 用户名:非必填参数,默认为邮箱账号。此处输入test。
    • 邮箱地址:此参数必填。普通用户的邮箱地址,此处输入username@example.com。
    • 设置带宽峰值:当前账号可以使用的带宽峰值。此处保持默认值。

      可设置带宽范围为1Kbps-2Mbps,默认为2Mbps。

    • 设置密码:非必填参数。此处不输入。
  4. 移动用户安装客户端。详情请参见安装客户端
  5. 移动用户可通过下发的账户信息连接内网。详情请参见连接内网

步骤六:绑定智能接入网关到云连接网

要将智能接入网关实例所连接的线下分支接入阿里云,您必须先创建一个云连接网,然后将智能接入网关实例添加到云连接网内,为实现线下分支和云上网络资源互通做准备。

  1. 登录智能接入网关管理控制台
  2. 在左侧导航栏,单击云连接网
  3. 云连接网,单击创建云连接网
  4. 创建云连接网页面,配置云连接网名称,然后单击确定
    云连接网名称长度为2~100个字符,以大小写字母或中文开头,可包含数字、下划线(_)或短横线(-)。创建云连接网
  5. 云连接网页面,单击刚刚创建的云连接网实例ID。
  6. 云连接网实例页面,单击绑定智能接入网关
  7. 绑定智能接入网关页面,选择同账号页签。
  8. 选择北京门户智能接入网关实例,单击确定
  9. 请重复上述步骤,将深圳IDC、上海分支和北京移动办公区APP实例绑定同一个云连接网。
    绑定SAG-CCN2
    您可以在云连接网实例页面查看已经绑定的智能接入网关实例。绑定SAG

步骤七:添加网络实例到云企业网

在智能接入网关绑定到云连接网后,您还需要创建一个云企业网,将云连接网CCN、专有网络VPC和边界路由器VBR绑定到该云企业网内,为企业分支机构、阿里云上VPC网络和企业总部互通做准备。

  1. 登录云企业网控制台
  2. 云企业网实例页面,单击创建云企业网实例
  3. 创建云企业网实例页面,将之前步骤中创建的云连接网CCN直接加载到该云企业网实例中。
    说明 创建云企业网实例详情请参见创建云企业网实例
    创建CEN2
  4. 登录智能接入网关管理控制台
  5. 在左侧导航栏,选择快捷连接 > 云企业网,选择之前创建的云企业网实例ID。
  6. 网络实例管理页签,单击加载网络实例
  7. 单击同账号页签,添加网络实例。

    将之前创建的阿里云北京VPC、阿里云美西VPC、上海总部边界路由器VBR和深圳IDC边界路由器VBR绑定到该云企业网内。

    • 实例类型:选择要加载的实例类型。
    • 地域:选择所选实例类型的所属地域。
    • 网络实例:选择要加载的网络实例。

步骤八:购买带宽包

要实现跨地域网络实例互通,您必须购买带宽包并设置跨地域互通带宽。同地域互通不需要购买带宽包。带宽包购买说明请参见使用带宽包

本方案中需要同时购买跨境和非跨境带宽包,以实现云上网络资源互通。

  1. 登录智能接入网关管理控制台
  2. 在左侧导航栏,选择快捷连接 > 云企业网,选择之前创建的云企业网实例ID。
  3. 在云企业网实例页面,单击带宽包管理页签,此处以单击购买带宽包(预付费)
  4. 云企业网(预付费)页面,在跨境页签下配置带宽包信息,然后单击立即购买
    • 云企业网:选择VPC、VBR和云连接网所加入的云企业网。
    • 区域A区域B:选择本次购买带宽包需要互通的网络实例所在的区域。

      此处选择中国内地北美

    • 带宽值:根据业务需要,选择跨区域互通的带宽。
    • 带宽包名称:输入该带宽包的名称。
    跨境
  5. 在云企业网实例页面,单击跨地域互通带宽管理页签,然后单击设置跨地域带宽
  6. 设置跨境互通带宽,每个带宽包下的跨地域互通带宽的总和不能大于该带宽包的带宽值。
    • 带宽包:选择已绑定至云企业网实例的带宽包,此处选择中国内地⇋北美
    • 互通地域:选择需要互通的地域,此处选择中国内地云连接网美国(硅谷)。请以同样的方式创建华北2(北京)美国(硅谷)华南1(深圳)美国(硅谷)华东2(上海)美国(硅谷)的互通带宽包。
    • 带宽:根据业务需要,输入带宽值。
      说明 每个带宽包下的跨地域互通带宽的总和不能大于该带宽包的带宽值。
  7. 购买中国内地互通带宽包。在云企业网(预付费)页面,单击非跨境页签,然后完成以下配置。
    • 云企业网:选择VPC、VBR和云连接网所加入的云企业网。
    • 区域A区域B:选择本次购买带宽包需要互通的网络实例所在的区域。

      此处选择中国内地中国内地

    • 带宽值:根据业务需要,选择跨区域互通的带宽。
    • 带宽包名称:输入该带宽包的名称。
  8. 设置跨地域互通带宽,然后单击确定
    • 带宽包:选择已绑定至云企业网实例的带宽包,此处选择中国内地⇋中国内地
    • 互通地域:选择需要互通的地域,此处选择中国内地云连接网华北2(北京)。请以同样的方式创建中国内地云连接网华南1(深圳)中国内地云连接网华东2(上海)华北2(北京)华南1(深圳)华北2(北京)华东2(上海)华东2(上海)华南1(深圳)的互通带宽包。
    • 带宽:根据业务需要,输入带宽值。

步骤九:配置安全组

您需要在阿里云北京VPC、阿里云美西VPC内分别为上海分支、深圳IDC、北京门户和北京移动办公区进行访问授权,以便分支机构访问云上资源。

本操作以阿里云北京VPC为例为上海分支进行访问授权,请以同样的操作为其余分支授权。

  1. 登录ECS管理控制台
  2. 在左侧导航栏,单击实例
  3. 找到阿里云北京VPC内的ECS实例,然后单击更多 > 网络和安全组 > 安全组配置
  4. 单击配置规则,然后单击添加安全组规则
  5. 配置一条允许上海分支访问阿里云北京VPC的安全组规则。
    安全组

步骤十:访问测试

完成上述配置后,您可以通过在各个分支的客户端访问已连接的VPC中部署的云资源验证配置是否生效。