如何组合使用SAG和物理专线实现主备链路上云-阿里云帮助中心

本文为您介绍如何组合使用智能接入网关SAG（Smart Access Gateway）和物理专线，实现本地数据中心IDC（Internet Data Center）通过主备链路上云并和云上专有网络VPC（Virtual Private Cloud）互通。

方案概述

在企业上云过程中，一些企业的IDC数据、云上业务数据会统一汇聚到阿里云大数据平台，通过云计算能力进行数据挖掘、分析、开发数据应用。在此场景下，企业至阿里云通常是入向流量大于出向流量，业务交互也比较频繁，企业需要高可靠、高弹性的上云链路。

针对上述网络诉求，阿里云为您提供以下两种解决方案：

在上述方案中，本地IDC与VPC通过物理专线连接，作为上云的主链路，保障日常数据交互的可靠性。VPN网关或智能接入网关SAG（Smart Access Gateway）作为备用链路，解决网络弹性连接的诉求。

当物理专线正常时，本地IDC与VPC之间的所有流量只通过物理专线进行转发。
当物理专线异常时，本地IDC与VPC之间的所有流量将切换至VPN链路或SAG链路进行转发。

场景说明

本文以下图场景为例，为您介绍智能接入网关联合物理专线实现主备链路上云方案。某企业在北京地域拥有一个本地IDC，且企业已经在阿里云华北2（北京）地域创建了一个VPC，其中已通过云服务器ECS（Elastic Compute Service）等云产品部署了应用业务和数据分析服务，用于后续业务交互和数据分析。企业现在需要部署上云链路，以实现云下IDC和云上VPC的互联互通。

准备工作

在开始操作前，请确保您已经满足以下条件：

您已经注册了阿里云账号。如未注册，请先完成账号注册。
您已经在阿里云华北2（北京）地域创建了VPC，其中部署有应用业务和数据分析服务。具体操作，请参见创建和管理专有网络。

您已经完成网络规划。以下为本文示例中本地IDC的网络规划以及智能接入网关接入企业本地IDC中的网络架构示例图。专线外置上云最佳实践

企业将智能接入网关和物理专线均接入到同一台三层交换机上。其中，智能接入网关通过云连接网将本地IDC接入阿里云，物理专线通过边界路由器VBR（Virtual border router）将本地IDC接入阿里云。
智能接入网关采用SAG-1000型号设备并采用旁挂模式将本地IDC接入阿里云，无需改变本地IDC的现有网络架构。
本地IDC、智能接入网关和边界路由器实例之间均通过BGP路由协议进行路由学习传递，方便网络管理和运维。
说明在智能接入网关作为物理专线备份链路的场景中，物理专线需使用BGP路由协议。
智能接入网关同时关联云连接网实例和边界路由器实例，并加入到同一个云企业网实例中，通过云企业网和云上VPC互通。
在智能接入网关同时关联云连接网和边界路由器的情况下，云企业网默认物理专线优先。云企业网会优先通过物理专线学习发布路由，物理专线故障时，则通过云连接网学习发布路由，即上云流量和去往云下的流量优先通过物理专线进行传输，在物理专线故障时，流量则会通过云连接网进行传输。
本文示例中SAG-1000运行2.0软件版本。关于设备软件版本支持的功能说明，请参见智能接入网关硬件功能发布记录。

以下为本文网段规划示例值。请您根据实际业务情况规划网段，并确保各个网段地址不冲突。


项目	网段规划
本地IDC	私网网段：172.16.0.0/12
	三层交换机G11端口：192.168.100.2/30 三层交换机G12端口：192.168.110.1/30 三层交换机G2端口：192.168.80.2/30 三层交换机BGP路由协议： AS号：65430 Router ID：192.168.1.1
	出口路由器G1端口：192.168.80.1/30
智能接入网关	WAN口（端口5）：192.168.100.1/30，网关192.168.100.2
智能接入网关	BGP路由协议： AS号：65435 Router ID：192.168.2.2 Keep Alive：60秒 Hold Time：180秒启用BGP的端口：WAN口
边界路由器	阿里云侧IP：192.168.110.2/30 客户侧IP（本示例为三层交换机侧）：192.168.110.1/30 VLAN：0
VPC	云上网段：10.0.0.0/16

配置流程

步骤一：创建物理专线

您需要在华北2（北京）地域申请一条物理专线。具体操作，请参见创建和管理独享专线连接或共享专线连接概述。

步骤二：配置边界路由器

边界路由器是本地IDC设备和阿里云接入点连接的一个路由器，作为数据从本地IDC到阿里云机房之间的桥梁。物理专线的一端连接到您本地IDC的设备上，另一端连接到边界路由器。您需要在高速通道控制台创建边界路由器实例，并和三层交换机建立BGP邻居关系。

创建边界路由器。
1. 登录高速通道管理控制台。
2. 在左侧导航栏，单击边界路由器（VBR）。
3. 在顶部状态栏，选择要创建的边界路由器的地域。
  本示例选择华北2（北京）地域。
4. 在边界路由器（VBR）页面，单击创建边界路由器。
5. 在创建边界路由器面板，根据以下信息进行配置，然后单击确定。
  - 账号类型：本示例选择当前账号。
  - 名称：本示例输入VBR。
  - 物理专线接口：选择已申请的物理专线接口。
  - VLANID：0。
  - 阿里云侧互联IP：192.168.110.2。
  - 客户侧互联IP：192.168.110.1。
  - 子网掩码：255.255.255.252。
配置BGP组。
1. 在边界路由器（VBR）页面，单击目标边界路由器实例ID。
2. 在边界路由器实例详情页面，单击BGP组页签。
3. 在BGP组页签下，单击创建BGP组，并根据以下信息进行BGP组配置。
  - 名称：BGP组的名称。本示例输入test。
  - Peer AS号：三层交换机侧AS号。本示例输入65430。
  - BGP密钥：BGP组的密钥。本示例不配置该项。
  - 描述：BGP组的描述信息。本示例输入SAGtest。
4. 单击确定。
配置BGP邻居。
1. 在边界路由器实例详情页面，单击BGP邻居页签。
2. 在BGP邻居页签下，单击创建BGP邻居。
3. 在创建BGP邻居面板，配置BGP邻居信息，然后单击确定。
  - BGP组：要加入的BGP组。本示例选择已创建的BGP组。
  - BGP邻居IP：BGP邻居的IP地址。本示例输入三层交换机G12端口IP地址192.168.110.1。

步骤三：购买智能接入网关设备

在智能接入网关控制台购买智能接入网关设备后，阿里云会将智能接入网关设备寄送给您，并创建一个智能接入网关实例方便您管理设备。

说明如果您要使用智能接入网关的区域非中国内地时，您需要通过第三方公司购买硬件。具体操作，请参见购买SAG设备。

登录智能接入网关管理控制台。
在左侧导航栏，单击智能接入网关。
在智能接入网关页面，选择购买智能接入网关 > 创建智能接入网关（硬件版）。
在智能接入网关页面，根据以下信息配置智能接入网关设备，然后单击立即购买。
- 区域：智能接入网关设备使用区域。本示例选择中国内地。
- 实例类型：选择智能接入网关设备规格。本示例选择SAG-1000。
- 已有SAG硬件：选择是否已有智能接入网关硬件设备。本示例选择否。
- 版本：智能接入网关设备版本。本示例使用默认标准版。
- 购买数量：智能接入网关设备购买数量。本示例选择1。
- 区域：智能接入网关设备使用的带宽区域。该区域类型和智能接入网关设备使用区域保持一致，且无法修改。
- 实例名称：智能接入网关实例名称。
  名称长度为2~128个字符，以大小写字母或中文开头，可包含数字、半角句号（.）、短划线（-）和下划线（_）。
- 带宽峰值：选择通信网络的带宽峰值。本示例选择50 Mbps。
- 购买时长：选择购买时长。
确认订单信息并勾选服务协议，然后单击确认购买。
在弹出的收货地址对话框，填写网关设备的收货地址，然后单击立即购买。
在弹出的支付页面，选择支付方式，然后完成支付。

步骤四：激活并连接智能接入网关设备

收到智能接入网关设备后，请检查设备配件是否完整。更多信息，请参见SAG-1000设备说明。

设备检查完成后，您需要激活连接设备。

登录智能接入网关管理控制台。
在顶部菜单栏，选择目标区域。
在智能接入网关页面，找到目标实例。将设备与智能接入网关实例进行绑定。具体操作，请参见添加设备。
绑定后，返回到智能接入网关页面。在目标实例操作列下，单击 > 激活。
在激活对话框，单击确定。
激活设备后，您还需要将智能接入网关设备按照拓扑所示接入到本地机构中。
通过网线，将智能接入网关设备的WAN口连接到三层交换机的G11端口上。
本示例使用WAN口（端口5）。如果您的端口5不是WAN口，您可以修改端口角色。具体操作，请参见分配端口角色。
说明
仅SAG-1000型号设备的2.0版本支持端口角色分配功能。
在您分配端口角色前，请保持网关设备启动且4G信号正常，已经连接到阿里云。

步骤五：配置智能接入网关设备

连接好设备后，您需要在智能接入网关管理控制台对设备进行配置。

在执行此操作前，请保证设备4G信号正常且已经连接到阿里云。

WAN口配置。
1. 登录智能接入网关管理控制台。
2. 在顶部菜单栏，选择目标区域。
3. 在智能接入网关页面，单击目标网关实例ID。
4. 在智能接入网关实例详情页面，单击设备管理页签。
5. 在页签左侧区域，单击WAN口管理。
6. 在WAN（端口5）区域，单击编辑。
7. 在WAN（端口5）配置对话框，根据以下信息配置端口，然后单击确定。
  - 连接类型：选择静态IP。
  - IP地址：WAN口IP地址。本示例输入192.168.100.1。
  - 掩码：WAN口IP地址掩码。本示例输入255.255.255.252。
  - 网关：网关IP地址。本示例输入192.168.100.2。
    说明配置网关后，智能接入网关设备会生成一条默认路由。
配置BGP路由协议。
说明软件版本为1.0系列版本的SAG-1000设备没有单独的用于接入专线的端口，请勿在智能接入网关Web管理控制台配置BGP路由时将端口的对端AS配置为高速通道的AS号（对端AS代表用于接入专线的端口的接口属性），如果您进行了配置，那么您的智能接入网关设备将不会通过云企业网学习到VPC实例路由。
1. 在页签左侧区域，单击路由管理。
2. 在BGP协议配置区域，单击编辑。
3. 在配置BGP路由协议对话框，根据网络规划，配置BGP路由协议，然后单击确定。
  - 本端AS：本示例输入65435。
  - Router ID：本示例输入192.168.2.2。
  - Hold Time：本示例输入180秒。
  - Keep Alive：本示例输入60秒。
  更多信息，请参见配置BGP路由。
启用BGP路由协议并为WAN口启用BGP。
1. 在动态路由配置详情区域，单击启用BGP协议。
2. 在切换路由协议对话框，单击确定。
3. 在端口展示区域，选择目标端口5（WAN），单击操作列的编辑。
4. 在BGP动态路由配置修改对话框，选择启用BGP，并配置对端IP和对端AS，然后单击确定。
  本示例中对端IP和对端AS为WAN口连接的对端交换机的BGP AS号以及G11端口IP地址。
  - 对端AS：本示例输入65430。
  - 对端IP：本示例输入192.168.100.2。
配置线下路由同步方式。
1. 在智能接入网关实例详情页面，单击网络配置页签。
2. 在页签左侧区域，单击线下路由同步方式。
3. 选择静态路由，然后单击添加静态路由，然后单击确定。
  静态路由添加为本地IDC要和云上互通的网段：172.16.0.0/12。

步骤六：本地IDC配置

您需要为智能接入网关设备对端的三层交换机和出口路由器添加路由配置，此处以某品牌交换机和路由器为例。由于不同厂商交换机和路由器配置命令不同，详情请参见相关厂商的设备手册。

三层交换机的路由配置。


interface GigabitEthernet 0/11
no switchport
ip address 192.168.100.2 255.255.255.252     #智能接入网关对端交换机的端口IP

interface GigabitEthernet 0/12
no switchport
ip address 192.168.110.1 255.255.255.252     #边界路由器对端交换机的端口IP

router bgp 65430
bgp router-id 192.168.1.1
network 172.16.0.0 mask 255.240.0.0          #宣告本地IDC私网网段
neighbor 192.168.100.1 remote-as 65435       #和智能接入网关建立BGP邻居关系
neighbor 192.168.100.1 timers 60 180         #配置BGP路由协议的Keep Alive和Hold Time
neighbor 192.168.110.2 remote-as 45104       #和边界路由器建立BGP邻居关系
exit

说明以上交换机路由配置为本示例内容。请根据您网络实际情况进行路由配置和网段宣告。

例如：您本地IDC中包含多台三层交换机，交换机之间通过运行OSPF动态路由协议学习本地IDC私网网段，您需要在和智能接入网关连接的三层交换机中进行OSPF和BGP路由协议的路由重分布操作，以便您本地IDC的所有三层交换机均能够通过OSPF路由协议学习到云上VPC网段，同时边界路由器实例也能通过BGP协议学习到您本地IDC的所有私网网段。具体命令请参考您相应的厂商设备手册。

出口路由器的路由配置。


ip route 192.168.100.0 255.255.255.252  192.168.80.2  #出口路由器去往智能接入网关的回程路由

步骤七：配置云上网络连接

在配置好设备后，您需要配置云上网络连接，将本地IDC接入阿里云。

创建云连接网。
1. 登录智能接入网关管理控制台。
2. 在顶部菜单栏，选择中国内地区域。
  云连接网区域需和智能接入网关设备使用区域保持一致。
3. 在左侧导航栏，单击云连接网。
4. 在云连接网页面，单击创建云连接网。
5. 在创建云连接网面板，配置云连接网名称，然后单击确定。
  云连接网名称长度为2~100个字符，以大小写字母或中文开头，可包含数字、下划线（_）和短划线（-）。
绑定边界路由器和云连接网实例。
说明在智能接入网关作为物理专线备份链路的场景中，智能接入网关需先绑定边界路由器实例，然后再绑定云连接网实例，以防止路由冲突。
1. 在左侧导航栏，单击智能接入网关。
2. 在智能接入网关页面，单击目标实例操作列的网络配置。
3. 在页签左侧区域，单击绑定网络详情。
4. 在绑定网络详情页签下，单击添加网络，选择边界路由器类型并在指定地域选择已创建的边界路由器实例，然后单击确定。
5. 请重复上述绑定步骤，将已经创建的云连接网实例绑定到智能接入网关实例中。具体操作，请参见绑定网络实例。
  在智能接入网关同时绑定云连接网实例和边界路由器实例的情况下，本地IDC优先通过物理专线和云上进行互通。物理专线故障时，本地IDC则会通过云连接网和云上进行互通，即通过互联网加密接入阿里云。
创建云企业网。具体操作，请参见云企业网实例。
云企业网加载网络实例。具体操作，请参见创建VPC连接、创建CCN连接和创建VBR连接。
本示例中需要将华北2（北京）地域的VPC实例、云连接网实例和边界路由器实例加载到同一云企业网中。加入后，VPC实例、云连接网实例和边界路由器实例的路由条目会自动发布到云企业网中，VPC实例、云连接网实例和边界路由器实例也能从云企业网中学习到其它实例的路由。

步骤八：在云企业网中添加路由策略

在云企业网中添加路由策略，以确保云连接网实例在通过云企业网学习到VPC实例路由的同时也可以通过VBR实例学习到VPC实例的路由。

在本文的场景中，云连接网通过VBR实例学习到VPC实例的路由后，云连接网实例不会向智能接入网关设备传播VPC实例的路由，确保本地数据中心和VPC之间优先通过物理专线进行互通。在物理专线故障后，云连接网实例将无法再通过VBR实例学习到VPC实例的路由，会自动将VPC实例的路由（通过云企业网学习到的）传播给智能接入网关设备，本地数据中心和VPC之间将通过智能接入网关设备进行互通。

登录云企业网管理控制台。
在云企业网实例页面，单击目标云企业网关实例ID。
在基本信息页签下的转发路由器页签，单击目标云连接网实例连接的转发路由器ID。
在转发路由器实例详情页面，单击转发路由器路由表页签。
在转发路由器路由表页签，单击路由策略页签。
在路由策略页签，单击添加路由策略。

在添加路由策略页面，根据以下参数信息进行配置，然后单击确定。


参数	说明
策略优先级	输入策略优先级。
描述	输入策略描述信息。
地域	默认为中国内地云连接网且无法修改。
生效方向	选择出地域网关。
匹配条件	选择网络类型。选择源实例类型。然后选择VBR。
策略行为	选择允许。

步骤九：配置健康检查

您需要为物理专线配置健康检查，健康检查会以您指定的发包时间间隔发送探测报文，当连续发送的所有探测报文（即您指定的探测报文个数）都丢包时，云企业网会主动将流量切换至SAG链路。

登录云企业网管理控制台。
在左侧导航栏，单击健康检查。
选择边界路由器的地域，然后单击设置健康检查。
本示例选择华北2（北京）。
在设置健康检查面板，根据以下信息配置健康检查，然后单击确定。
- 云企业网实例：选择边界路由器实例加载的云企业网实例。
- 边界路由器（VBR）：选择已创建的边界路由器实例。
- 源IP：本示例选择自动生成源IP。
  使用自动生成源IP，系统将自动分配100.96.0.0/16地址段内IP地址，探测链路的连通性。
- 目标IP：输入边界路由器实例中客户侧IP地址。
- 发包时间间隔（秒）：指定健康检查时发送连续探测报文的时间间隔。单位：秒。本示例使用默认值。
- 探测报文个数（个）：指定健康检查时发送探测报文的个数。单位：个。本示例使用默认值。
更多信息，请参见健康检查。

步骤十：连通性测试

完成以下操作，测试网络的连通性：

说明在您执行以下步骤前，请您先了解您VPC中的ECS实例所应用的安全组规则，确保安全组规则允许本地IDC访问VPC中的ECS实例。具体操作，请参见查询安全组规则。

在本地IDC下，打开客户端的命令行窗口。
执行ping命令，ping云上VPC 10.0.0.0/16网段下的ECS实例IP地址，如果能接受到回复报文，则表示网络已经连通。
经验证，本地IDC和VPC可以正常通信。
在本地IDC网关设备上，关闭物理专线端口，切断物理专线链接。再次执行ping命令，测试本地IDC和VPC的连通性。
经验证，本地IDC和VPC仍可以正常通信。