本文为您介绍如何通过智能接入网关SAG(Smart Access Gateway)双机旁挂模式并使用静态路由将企业接入阿里云,实现云下企业网络与云上VPC(Virtual Private Cloud)的互通。

方案概述

在企业上云过程中,部分大型企业会将数据保存在阿里云,其企业总部及分支机构有时会需要从阿里云读取数据,在企业从阿里云读取数据的过程中,会需要一条高弹性和大带宽的上云链路。智能接入网关是阿里云的SD-WAN终端,具有多种软硬件的产品形态,可将企业快速就近地接入阿里云,部署简单,维护方便,扩展性好。

本文以下图场景为例,为您介绍智能接入网关双机旁挂静态路由上云方案。某企业总部在阿里云华北2(北京)地域创建了VPC,其中部署有云服务器ECS(Elastic Compute Service)、对象存储服务OSS(Object Storage Service)以及其他云服务,企业的总部会定期将数据备份到阿里云OSS中,企业有时会需要从OSS中读取数据并和云上ECS进行交互访问。企业现在需要部署上云链路,以实现云下本地机构和云上VPC的互联互通。其中:

  • 智能接入网关采用SAG-1000型号设备并采用旁挂模式将企业本地机构接入阿里云,无需改变企业本地机构的现有网络架构。
  • 智能接入网关部署为双机模式,两台智能接入网关设备可以互为备份链路,为企业提供高可用的上云链路。
  • 企业本地机构和智能接入网关之间采用静态路由。
SAG双机直挂静态架构图

准备工作

  • 您已经在阿里云华北2(北京)地域创建了VPC。具体操作,请参见创建和管理专有网络
  • 本文示例中SAG-1000运行2.0软件版本。关于设备软件版本支持的功能说明,请参见智能接入网关硬件功能发布记录
  • 以下为智能接入网关接入企业本地机构中的网络架构示例图以及网段规划示例值。SAG双机旁挂静态架构
    重要
    • 如您需要自行规划网段,请确保要互通的网段之间没有重叠。
    • 请确保智能接入网关1的WAN口IP地址、智能接入网关2的WAN口IP地址、虚IP地址、交换机VLAN IP地址之间互不相同。
    规划目标网段及IP地址
    VPC10.0.0.0/16
    出口路由器端口G1:192.168.80.1/30
    智能接入网关1
    • WAN端口5:192.168.100.1/30,下一跳:192.168.100.4
    • WAN端口5开启静态HA模式,虚IP地址:192.168.100.3
    智能接入网关2
    • WAN端口5:192.168.100.2/30,下一跳:192.168.100.4
    • WAN端口5开启静态HA模式,虚IP地址:192.168.100.3
    三层交换机
    • 端口G2:192.168.80.2/30
    • 端口G11:划分到VLAN 11下
    • 端口G12:划分到VLAN 11下
    • VLAN 11:192.168.100.4/30
    本地机构172.16.0.0/12

配置步骤

SAG双机旁挂静态

步骤一:购买智能接入网关

您在智能接入网关管理控制台购买设备后,阿里云会将智能接入网关设备寄送给您,并创建一个智能接入网关实例方便您管理网络配置。

  1. 登录智能接入网关管理控制台
  2. 智能接入网关页面,选择购买智能接入网关 > 创建智能接入网关(硬件版)
  3. 在购买页面,根据以下信息配置智能接入网关,然后单击立即购买
    • 区域:智能接入网关使用区域。本示例选择中国内地
    • 实例类型:选择智能接入网关设备规格。本示例选择SAG-1000
    • 已有SAG硬件:选择是否已有智能接入网关硬件设备。本示例选择
    • 版本:智能接入网关设备版本。本示例使用默认标准版
    • 购买数量:智能接入网关设备购买数量。本示例选择2
    • 区域:智能接入网关使用的带宽区域。该区域类型和智能接入网关设备使用区域保持一致,且无法修改。
    • 实例名称:智能接入网关实例名称。

      名称长度为2~128个字符,以大小写字母或中文开头,可包含数字、半角句号(.)、短划线(-)和下划线(_)。

    • 带宽峰值:选择通信网络的带宽峰值。本示例选择30 Mbps
    • 购买时长:选择购买时长。
  4. 确认订单信息,然后单击确认购买
  5. 在弹出的收货地址对话框,填写网关设备的收货地址,然后单击立即购买
  6. 在弹出支付页面,单击确认支付
  7. 您可以在智能接入网关实例页面查看是否下单成功。智能接入网关设备会在下单后两个工作日内发货。您可以根据以下操作步骤查看物流状态。
    1. 智能接入网关页面,找到目标智能接入网关实例。
    2. 操作列选择ellipsis-v>查看物流信息
    3. 订单查询面板查看物流信息。
查看下单状态

步骤二:激活绑定智能接入网关设备

收到网关设备后,请检查设备配件是否完整,详情请参见SAG-1000设备说明

  1. 在顶部菜单栏,选择目标区域。
  2. 智能接入网关页面,找到目标实例。
  3. 在目标实例操作列单击激活
  4. 单击目标实例ID,在智能接入网关实例详情页面,单击设备管理页签,输入智能接入网关设备序列号。
    添加设备
  5. 单击添加设备
  6. 重复同样的步骤,将第二台智能接入网关设备绑定到该实例。

步骤三:连接智能接入网关设备

激活、绑定智能接入网关设备后,您还需要将智能接入网关连接到本地机构中。

在执行此操作前,请保持网关设备启动且4G信号正常,已经连接到阿里云。本操作以主设备为例进行配置,请根据同样的步骤和网络规划配置备设备。

  1. 登录智能接入网关管理控制台
  2. 智能接入网关页面,找到目标网关实例ID。
  3. 在智能接入网关实例详情页面,单击设备管理页签,选择目标主设备。
  4. 在页签左侧区域,单击端口角色分配
  5. 端口角色分配页面,单击目标端口操作列下的修改,修改端口角色,然后单击确定
    本示例本地机构使用WAN(端口5)。具体操作,请参见分配端口角色
  6. 通过网线,将智能接入网关的WAN(端口5)连接到三层交换机的G11端口上。

步骤四:配置端口

连接好网关设备后,您可以在智能接入网关管理控制台分别对智能接入网关1和智能接入网关2配置端口。

  1. 智能接入网关页面,单击目标网关实例ID。
  2. 在智能接入网关实例详情页面,单击设备管理页签,然后选择目标设备。
  3. 在页签左侧区域,单击WAN口管理
  4. WAN(端口5)区域,单击编辑
  5. WAN(端口5)配置对话框,根据以下信息配置端口,然后单击确定
    配置项说明智能接入网关1参数值智能接入网关2参数值
    连接类型端口连接类型。选择静态IP选择静态IP
    IP地址WAN端口IP地址。192.168.100.1192.168.100.2
    掩码WAN端口IP地址掩码。255.255.255.252255.255.255.252
    网关网关IP地址。192.168.100.4192.168.100.4
    说明 配置网关IP地址后,智能接入网关设备自动会生成一条默认路由。
  6. 开启HA模式。
    您分别需要将智能接入网关1和智能接入网关2的WAN口开启HA模式。
    1. 在智能接入网关实例详情页面,单击设备管理页签,并选择目标设备。
    2. 设备管理页签左侧区域,单击HA管理
    3. HA信息区域,单击编辑图标图标。
    4. HA配置对话框,根据以下信息进行配置,然后单击保存
      配置说明
      HA模式两台智能接入网关设备均选择静态
      端口两台智能接入网关设备均选择WAN(端口5)。
      虚IP智能接入网关WAN口的虚拟IP地址。本示例中两台智能接入网关设备均使用192.168.100.3。
      更多信息,请参见配置设备级高可用

步骤五:配置路由

智能接入网关设备的端口配置完成后,您需要配置线下路由同步方式将本地机构的路由同步到云上,同时在设备上配置静态路由为云上流量去往本地机构指定出口。

  1. 智能接入网关页面,单击目标网关实例ID。
  2. 在智能接入网关实例详情页面,单击网络配置页签。
  3. 在页签左侧区域,单击线下路由同步方式
  4. 选择静态路由,然后单击添加静态路由,配置静态路由信息,然后单击确定

    静态路由添加为本地机构要和云上互通的网段:172.16.0.0/12。

    线下路由2
  5. 保持在该智能接入网关实例页面,单击设备管理页签,并选择目标设备。

    请根据以下操作分别为智能接入网关1和智能接入网关2添加静态路由。

    1. 在页签左侧区域,单击路由管理,然后单击添加静态路由
    2. 添加静态路由对话框,添加去往本地机构的静态路由。
      配置项智能接入网关1参数值智能接入网关2参数值
      目标网段

      172.16.0.0/12

      172.16.0.0/12

      下一跳IP

      192.168.100.4

      192.168.100.4

      端口选择端口5(WAN)选择端口5(WAN)

步骤六:配置本地机构

您需要为智能接入网关设备对端的交换机和出口路由器添加端口以及路由配置。由于不同厂商设备配置不同,以下内容仅供参考,具体配置命令请参见您的厂商设备手册。
  1. 三层交换机配置。
    #a.配置端口IP
    
    vlan 11                                     #创建SVI端口VLAN11,并为端口配置IP地址
    interface vlan 11
    ip address 192.168.100.4 255.255.255.252
    
    
    interface GigabitEthernet 0/11              #将端口G11加入VLAN11
    switchport
    switchport mode access
    switchport access vlan 11
    
    interface GigabitEthernet 0/12              #将端口G12加入VLAN11
    switchport
    switchport mode access
    switchport access vlan 11
    
    #b.为交换机配置去往VPC的静态路由:
    
    ip route 10.0.0.0 255.255.0.0 192.168.100.3  #去往VPC的路由的下一跳指向虚IP地址
                                
  2. 出口路由器的路由配置。
    #添加出口路由器去往智能接入网关的回程路由:
    
    ip route 192.168.100.0 255.255.255.252  192.168.80.2  #出口路由器去往智能接入网关的回程路由

步骤七:配置网络连接

在配置好网关设备后,您需要配置网络连接,将本地机构接入阿里云。

  1. 登录智能接入网关管理控制台
  2. 绑定云企业网。
    1. 创建云企业网实例。具体操作,请参见云企业网实例
    2. 云企业网加载网络实例。具体操作,请参见创建VPC连接创建CCN连接
      本示例中需要将华北2(北京)地域的VPC和云连接网实例加载到同一云企业网中。加入后,VPC和云连接网实例的路由条目会自动发布到云企业网中,VPC和云连接网实例能从云企业网中学习对方的路由,实现云下本地机构和云上VPC的互联互通。
      说明 在您将VPC加入云企业网中时,请选择开启所有高级功能。

步骤七:配置网络连接

在配置好网关设备后,您需要配置网络连接,将本地机构接入阿里云。

  1. 创建云连接网。
    1. 登录智能接入网关管理控制台
    2. 在左侧导航栏,单击云连接网
    3. 云连接网页面,单击创建云连接网
    4. 创建云连接网页面,配置云连接网名称,然后单击确定
      云连接网名称长度为2~100个字符,以大小写字母或中文开头,可包含数字、下划线(_)和短划线(-)。创建云连接网
  2. 配置网络连接。
    1. 登录智能接入网关管理控制台
    2. 智能接入网关页面,单击需要进行网络配置的实例ID或者单击操作列的网络配置
    3. 线下路由同步方式页签下,选择动态路由
    4. 绑定网络详情页签下,单击添加网络,选择云连接网并选择网络实例,单击确定
      云连接网
  3. 绑定云企业网。
    1. 创建云企业网实例。具体操作,请参见云企业网实例
    2. 云企业网加载网络实例。具体操作,请参见创建VPC连接创建CCN连接
      本示例中需要将华北2(北京)地域的VPC和云连接网实例加载到同一云企业网中。加入后,VPC和云连接网实例的路由条目会自动发布到云企业网中,VPC和云连接网实例能从云企业网中学习对方的路由,实现云下本地机构和云上VPC的互联互通。
      说明
      • 在您将VPC加入云企业网中时,请选择开启所有高级功能。
      • 请确保VPC的安全组规则允许本地机构访问VPC中的ECS实例。具体操作,请参见添加安全组规则查询安全组

步骤八:连通性测试

完成上述配置后,您可以通过本地机构的客户端访问VPC中部署的云资源验证配置是否生效。

  1. 在本地机构中,打开客户端的命令行窗口。
  2. 执行ping命令,ping云上VPC 10.0.0.0/16网段下的ECS实例IP地址,如果能接受到回复报文,则表示网络已经连通。