企业级移动办公解决方案

场景说明

本文以下图场景为例，为您介绍如何部署企业级移动办公网络。某企业总部在阿里云华东2（上海）、华北2（北京）地域创建了VPC，其中部署有云服务器ECS（Elastic Compute Service）和对象存储服务OSS（Object Storage Service），企业的总部会定期将数据备份到阿里云OSS中，企业有时会需要从OSS中读取数据并和云上ECS进行交互访问。企业现在需要部署移动办公网络，实现终端（电脑端和手机）直接拨号通过内网加密安全上云。

• 企业总部通过物理专线接入阿里云。
• 企业IDC利用SAG硬件通过公网就近加密接入阿里云。
• 针对长期出差在外的商务人士移动办公场景，利用智能接入网关APP就近加密接入阿里云访问业务系统。
• 关于图中涉及的办公网络部署，请参见SAG双机旁挂静态路由上云方案。

方案组成

企业级移动办公解决方案主要通过以下产品实现：

• 云企业网CEN（Cloud Enterprise Network）

  云企业网提供一种能够快速构建混合云和分布式业务系统的全球网络的方法，可帮助您打造一张具有企业级规模和通信能力的云上网络。更多信息，请参见什么是云企业网。

• 云连接网CCN（CloudConnect Network）

  云连接网是阿里云SD-WAN终端的接入网络，由分布在各地的接入点构成。云连接网依托阿里云的优质网络和底层网络优化技术，为您提供高质量的广域网接入网络服务。更多信息，请参见云连接网介绍。

• 智能接入网关SAG（Smart Access Gateway）

  智能接入网关是阿里云的SD-WAN终端，具有多种软硬件的产品形态，可以适应大中小型企业分支和移动办公场景的需要，快速就近地帮您接入云连接网。部署维护简单方便，可支持集中配置和监控，大大降低维护难度。更多信息，请参见什么是智能接入网关。

• VPN网关

  VPN网关是一款基于Internet的网络连接服务，通过加密通道的方式实现企业数据中心、企业办公网络或Internet终端与阿里云VPC安全可靠的连接。VPN网关提供IPsec-VPN连接和SSL-VPN连接。更多信息，请参见什么是VPN网关。

方案优势

• 一站式解决方案

  一套方案解决多种场景需要。

• 网络资源优势

  能够提供灵活可靠且合规的组网服务。

• 云网融合能力

  可以与阿里云的其它云服务无缝扩展集成。

准备工作

开始前，请确保您已经满足以下条件：

• 您已经注册了阿里云账号。如未注册，请先完成账号注册。
• 您已经在阿里云华东2（上海）、华北2（北京）地域创建了VPC。具体操作，请参见创建和管理专有网络。

配置步骤

步骤一：创建云连接网

要将智能接入网关实例所连接的线下分支机构接入阿里云，您必须先创建一个云连接网，然后将智能接入网关实例添加到云连接网内，再将云连接网和云企业网绑定，实现线下分支机构和云上互通。

1. 登录智能接入网关管理控制台。
2. 在左侧导航栏，单击云连接网。
3. 单击创建云连接网。
4. 在创建云连接网面板，配置云连接网名称。
   云连接网名称长度为2～100个字符，以大小写字母或中文开头，可包含数字、下划线（_）或短划线（-）。
5. 单击确定。

步骤二：创建CEN实例

在使用云企业网进行网络互通前，您需要先创建一个云企业网实例。

1. 规划网络。
   要互连的网络实例（专有网络VPC、本地数据中心关联的边界路由器VBR、本地分支或总部加入的云连接网CCN）的所属地域和账号决定了网络互通所需的步骤。在开始使用CEN配置互连网络前，您需要明确要互通的网络实例及所属账号和地域情况。

   本示例中的网络实例信息如下所示。

   
2. 创建CEN实例。
   1. 登录云企业网控制台。
   2. 在云企业网实例页面，单击创建云企业网实例。
   3. 在创建云企业网实例面板，配置云企业网。
      

      • 名称：输入实例名称。

        名称长度为2～128个字符，以英文字母或中文开头，可包含数字、下划线（_）和短划线（-）

      • 描述：（可选）输入实例描述信息。

        描述可以为空；或填写2～256个字符，不能以http://和https://开头，只能以中文或大小写英文字母。

      • 加载网络实例：加载同账号下的网络实例。加载后，CEN实例内的网络实例可私网互通。
        • 实例类型：选择要互通的实例，支持加载专有网络（VPC）、边界路由器（VBR）和云连接网（CCN）。
        • 地域：选择所选实例的地域。
        • 网络实例：选择要加载的实例。
        说明 确保要加载的网络实例没有加入到其他的云企业网实例中。
   4. 单击确定。

步骤三：加载网络实例

您可以将要互通的网络实例（专有网络VPC、边界路由器VBR和云连接网CCN）连接到同一CEN实例中。连接后，CEN会自动学习发布已连接的网络实例的路由，实现私网互通。

1. 登录云企业网控制台。
2. 在云企业网实例页面，单击已创建的CEN实例ID。
3. 在网络实例管理页签，单击加载网络实例。
4. 在同账号页签，配置网络实例。
   

   • 实例类型：选择要互通的实例，支持加载专有网络（VPC）、边界路由器（VBR）和云连接网（CCN）。
   • 地域：选择所选实例类型的所属地域。
   • 网络实例：选择要加载的网络实例。
5. 单击确定。

步骤四：购买智能接入网关APP实例

在您使用智能接入网关APP产品前，您需要先购买一个智能接入网关APP实例。购买实例后，您可以通过实例统一管理网络和客户端。

1. 登录智能接入网关管理控制台。
2. 在左侧导航栏，选择智能接入网关App > App实例管理。
3. 在智能接入网关APP页面，单击创建智能接入网关APP，根据以下信息进行购买配置。
   

   • 区域：智能接入网关客户端的使用地域。本示例选择中国内地。
   • 客户端账号数量：客户端账号数规格，购买后可创建相应数量的账号，一般为每个需要登录的员工创建一个账号。本示例保持默认值10。
     说明 系统默认支持购买5～1000个客户端，不同账号数规格按阶梯计费，具体请参见SAG APP计费说明。
   • 每账号流量套餐：每个账号每月赠送的流量套餐规格，赠送的流量多个账号间不可共享，不支持结算到次月。默认为5 GB/月。
   • 超套计费方式：每个账号实际使用流量超过赠送的流量套餐后，超出的部分按流量后付费。
   • 购买时长：每个账号下套餐的使用时长，按月计算，支持自动续费。本示例保持默认值1个月。
   • 资源组：每个账号下统一管理一组相关资源的容器，根据不同的业务场景，资源组可以映射为项目、应用或组织等概念。一个资源只能归属于一个资源组。
4. 单击立即购买，确认订单后，完成支付。

步骤五：配置智能接入网关APP

购买实例后，您需要在实例中进行网络配置、云企业网配置和客户端账号创建。

1. 在APP实例管理页面，找到已创建的APP实例，在目标实例操作列单击快捷配置。
2. 在快捷配置页面，根据以下信息配置网络，然后单击下一步：配置云企业网（可选）。

   您需要通过网络配置，指定客户端私网网段和要绑定的云连接网（CCN）。

   云连接网是智能接入网关的一个重要组成部分，将智能接入网关APP实例关联到云连接网后，实例所关联的客户端便可以和其他已绑定到此云连接网中的网关设备互通。云连接网更多详情请参见云连接网介绍。

   

   • 云连接网：您可通过以下两种方式选择要绑定的云连接网。本示例选择新建云连接网。
     • 选择现有云连接网：如果您已经创建了云连接网，您可以单击下方文本框，选择已创建的云连接网实例进行绑定。
     • 新建云连接网：如果您未创建过云连接网，您可以在下方文本框中，输入云连接网实例名称，系统会为您在本地域新建云连接网实例并自动进行绑定。

       云连接网实例名称长度为2～100个字符，以大小写字母或中文开头，可包含数字、下划线（_）或短划线（-）。

   • 主备DNS：非必填参数。您可以自定义智能接入网关APP实例客户端连接私网时使用的主备DNS配置。在您配置DNS后，系统会自动向客户端推送DNS配置。本示例无需填写。
   • 私网网段：配置客户端接入阿里云时使用的私网网段，客户端接入时系统会自动从私网网段内为其分配可用的IP地址，需要确保各私网网段不冲突。 本示例输入192.168.10.0/24。

     单击新增私网网段添加更多网段，最多可配置5个私网网段。

3. 根据以下信息配置云企业网，然后单击下一步：创建客户端账号。

   您可以将实例与云企业网（CEN）绑定，绑定后，实例所在网络便可与云企业网中已加载的云资源进行互访。云企业网更多详情请参见什么是云企业网。

   您可以通过以下两种方式绑定云企业网，本示例选择现有CEN进行绑定，以便客户端与云上资源互通。

   

   • 选择现有CEN：如果您已经创建了云企业网，您可以单击下方文本框，选择已创建的云企业网实例进行绑定。
   • 新建CEN：如果您未创建过云企业网，您可以在下方文本框中，输入云企业网实例名称，系统会为您新建云企业网实例并自动进行绑定。

     云企业网实例名称长度为2～100个字符，以大小字母或中文开头，可包含数字、下划线（_）或短划线（-）。

4. 创建客户端账号。

   网络配置完成后，您还需要创建客户端账号，员工可以通过已创建的账号信息登录客户端，进而连接内网。

   

   • 用户名：非必填参数。用户名长度为7～33个字符，必须以大小写字母或数字开头，可以包含下划线（_） 、at（@）、英文句点（.）或连接号（-）。
     说明

     • 同一智能接入网关APP实例下各客户端用户名不能重复，必须保证同一实例下客户端用户名的唯一性。
     • 在创建客户端过程中，若您只输入邮箱信息，客户端成功创建后，系统将自动生成用户名及密码，其中系统将以邮箱地址作为用户名。
   • 邮箱地址：此参数必填。普通用户的邮箱地址，用于管理员向普通用户发送登录客户端的账号信息。

     邮箱地址必须包含at（@），邮箱地址长度为2～64个字符，包含大小写字母、数字、下划线（_）、英文句点（.）或连接号（-）。

   • 是否固定IP：
     • 如果开启，需要设置客户端的IP地址。当前账号始终以此IP地址接入阿里云。
       说明 设置的客户端的IP地址必须在私网网段内。
     • 如果关闭，系统自动从私网网段内分配可用IP地址，每次重连IP地址都会重新分配。
   • 设置带宽峰值：当前账号可以使用的带宽峰值。本示例使用默认值。

     可设置带宽范围为1 Kbps～2000 Kbps，默认为2000 Kbps。

   • 设置密码：非必填参数。设置登录客户端时的密码。

     密码长度为8～32个字符，必须以大小写字母或数字开头，可以包含下划线（_）或连接号（-）。

5. 单击确定创建。

步骤六：使用客户端连接上云

1. 下载并安装智能接入网关APP客户端。

   智能接入网关APP客户端支持部署在Windows、Android、macOS、iOS四种系统中。客户端适配详情和获取方式请参见客户端安装说明。

2. 登录智能接入网关APP客户端。
   登录时，需要输入智能接入网关APP实例ID、用户名和密码，内容如下图所示。该信息在管理员发送的邮件中可获取，如果没有收到，请联系管理员。
3. 单击连接内网，连接内网。
   系统显示内网已连接，表示连接成功。

步骤七：测试网络连通性

完成上述配置后，您可以通过iPerf工具，验证移动办公网络的连通性。

1. 分别在终端（PC和手机）和ECS服务器上下载并安装对应版本的iPerf工具。
   说明 单击下载iPerf工具，下载对应版本的iPerf工具。
2. 参考如下命令示例，使用iPerf工具检测客终端（PC和手机）和ECS服务器的网络吞吐量，如果接收到回复报文，则表示连接成功。
   以下命令示例仅供参考。不同厂商的设备，命令可能会有所不同。具体命令，请咨询相关设备厂商。

   ECS服务器执行：iperf -s -i 1 -w 1M
   终端（PC和手机）执行：iperf -c host -i 1 -w 1M 

   说明 其中，-w表示TCP window size，host需替换成ECS实例IP地址。