如何通過SAG將本網接入阿里雲 - Smart Access Gateway

本教程為您介紹Smart Access Gateway（Smart Access Gateway）如何作為物理專線的備份鏈路將您的本網接入阿里雲，構建高可用的混合雲環境。

前提條件

您已經在阿里雲北京地區建立了Virtual Private Cloud（Virtual Private Cloud）。具體操作，請參見建立和管理專用網路。
您已經建立了雲企業網執行個體，且雲企業網執行個體已經載入了北京地區VPC。具體操作，請參見建立雲企業網執行個體。
您已經將專線接入到北京地區的本網中並建立了邊界路由器VBR（Virtual Border Router）執行個體。具體操作，請參見建立和管理獨享專線串連或共用專線串連概述。

背景資訊

本教程以下圖所示的網路架構為例進行說明。某企業已經在阿里雲北京地區的VPC中部署了應用服務，並且已經通過專線接入了本網中。為建立一個高可用網路實現本網和雲上資源互連，該企業計劃使用Smart Access Gateway作為專線的備份鏈路將北京地區的本網接入阿里雲。

Smart Access Gateway採用SAG-1000型號裝置並採用旁掛模式將本網接入阿里雲，無需改變本網的現有架構。
本網、Smart Access Gateway和邊界路由器執行個體之間均通過BGP路由協議進行路由學習傳遞，方便網路管理和營運。
Smart Access Gateway同時關聯雲串連網執行個體和邊界路由器執行個體，並加入到同一個雲企業網執行個體中，通過雲企業網和雲上VPC互連。
本教程中的網路流量流向說明如下：
在Smart Access Gateway同時關聯雲串連網和邊界路由器的情況下，雲企業網預設專線優先。雲企業網會優先通過專線學習發布路由，專線故障時，則通過雲串連網學習發布路由，即上雲流量和去往雲下的流量優先通過專線進行傳輸，在專線故障時，流量則會通過雲串連網進行傳輸。

專線外置上雲最佳實務

網段規劃

以下為本教程網段規劃樣本值。請您根據實際業務情況規劃網段，並確保各個網段地址不衝突。

專案	網段規劃
本網	私網網段：172.16.0.0/12
	三層交換器G11連接埠：192.168.100.2/30 三層交換器G12連接埠：192.168.110.1/30 三層交換器G2連接埠：192.168.80.2/30 三層交換器BGP路由協議： AS號：65430 Router ID：192.168.1.1
	出口路由器G1連接埠：192.168.80.1/30
Smart Access Gateway	WAN口（連接埠5）：192.168.100.1/30，網關192.168.100.2
Smart Access Gateway	BGP路由協議： AS號：65435 Router ID：192.168.2.2 Keep Alive：60秒 Hold Time：180秒啟用BGP的連接埠：WAN口
邊界路由器	阿里雲側IP：192.168.110.2/30 客戶側IP（本樣本為三層交換器側）：192.168.110.1/30 VLAN：0
北京VPC	雲上網段：10.0.0.0/16

配置流程

專線內建流程

步驟一：購買Smart Access Gateway裝置

在Smart Access Gateway控制台購買Smart Access Gateway裝置後，阿里雲會將Smart Access Gateway裝置寄送給您，並建立一個Smart Access Gateway執行個體方便您管理裝置。

說明

如果您要使用Smart Access Gateway的地區非中國內地時，您需要通過第三方公司購買硬體。具體操作，請參見購買SAG裝置。

登入Smart Access Gateway管理主控台。
在左側導覽列，單擊Smart Access Gateway。
在Smart Access Gateway頁面，單擊購買Smart Access Gateway > 建立Smart Access Gateway（硬體版）。
在Smart Access Gateway頁面，根據以下資訊配置Smart Access Gateway裝置，然後單擊立即購買。
- 地區：Smart Access Gateway裝置使用地區。本樣本選擇中國內地。
- 執行個體類型：選擇Smart Access Gateway裝置規格。本樣本選擇SAG-1000。
- 已有SAG硬體：選擇是否已有Smart Access Gateway硬體裝置。本樣本選擇否。
- 版本：Smart Access Gateway裝置版本。本樣本使用預設標準版。
- 購買數量：Smart Access Gateway裝置購買數量。本樣本選擇1。
- 地區：Smart Access Gateway裝置使用的頻寬地區。該地區類型和Smart Access Gateway裝置使用地區保持一致，且無法修改。
- 執行個體名稱：Smart Access Gateway執行個體名稱。
  名稱長度為2~128個字元，以大小寫字母或中文開頭，可包含數字、半形句號（.）、短劃線（-）和底線（_）。
- 頻寬峰值：選擇通訊網路的頻寬峰值。本樣本選擇50 Mbps。
- 購買時間長度：選擇購買時間長度。
確認訂單資訊並勾選服務合約，然後單擊購買。
在彈出的收貨地址對話方塊，填寫網關裝置的收貨地址，然後單擊立即購買。
在彈出的支付頁面，選擇支付方式，然後完成支付。
您可以在Smart Access Gateway執行個體頁面查看是否下單成功。Smart Access Gateway裝置會在下單後兩個工作日內發貨。您可以根據以下操作步驟查看物流狀態。
1. 在Smart Access Gateway頁面，找到目標Smart Access Gateway執行個體。
2. 在操作列選擇>查看物流資訊。
3. 在訂單查詢面板查看物流資訊。

查看下單狀態

步驟二：啟用串連Smart Access Gateway裝置

收到Smart Access Gateway裝置後，請檢查裝置配件是否完整。關於裝置配件資訊，請參見SAG-1000裝置說明。

裝置檢查完成後，您需要啟用串連裝置。

登入Smart Access Gateway管理主控台。
在頂部功能表列，選擇目的地區域。
在Smart Access Gateway頁面，找到目標執行個體。將裝置與Smart Access Gateway執行個體進行綁定。具體操作，請參見添加裝置。
綁定後，返回到Smart Access Gateway頁面。在目標執行個體操作列下，單擊 > 啟用。
在啟用對話方塊，單擊確定。
啟用裝置後，您還需要將Smart Access Gateway裝置按照拓撲所示接入到本地機構中。
通過網線，將Smart Access Gateway裝置的WAN口串連到三層交換器的G11連接埠上。
本樣本使用WAN口（連接埠5）。如果您的連接埠5不是WAN口，您可以修改連接埠角色。具體操作，請參見分配連接埠角色。
說明
僅SAG-1000型號裝置的2.0版本支援連接埠角色指派功能。
在您分配連接埠角色前，請保持網關裝置啟動且4G訊號正常，已經串連到阿里雲。

步驟三：配置Smart Access Gateway裝置

串連好裝置後，您需要在Smart Access Gateway管理主控台對裝置進行配置。

在執行此操作前，請保持裝置啟動且4G訊號正常，已經串連到阿里雲。

登入Smart Access Gateway管理主控台。
WAN口配置。
1. 登入Smart Access Gateway管理主控台。
2. 在頂部功能表列，選擇目的地區域。
3. 在Smart Access Gateway頁面，單擊目標網關執行個體ID連結。
4. 在Smart Access Gateway執行個體詳情頁面，單擊裝置管理頁簽。
5. 在頁簽左側地區，單擊WAN口管理。
6. 在WAN（連接埠5）地區，單擊編輯。
7. 在WAN（連接埠5）配置對話方塊，根據以下資訊配置連接埠，然後單擊確定。
  - 連線類型：選擇靜態IP。
  - IP地址：WAN口IP地址。本情境輸入192.168.100.1。
  - 掩碼：WAN口IP位址遮罩。本情境輸入255.255.255.252。
  - 網關：網關IP地址。本情境輸入192.168.100.2。
    說明
    配置網關後，Smart Access Gateway裝置會產生一條預設路由。
配置BGP路由協議。
說明
軟體版本為1.0系列版本的SAG-1000裝置沒有單獨的用於接入專線的連接埠，請勿在Smart Access GatewayWeb管理主控台配置BGP路由時將連接埠的對端AS配置為Express Connect的AS號（對端AS代表用於接入專線的連接埠的介面屬性），如果您進行了配置，那麼您的Smart Access Gateway裝置將不會通過雲企業網學習到VPC執行個體路由。
1. 在頁簽左側地區，單擊路由管理。
2. 在BGP協議配置地區，單擊編輯。
3. 在配置BGP路由協議對話方塊，根據網路規劃，配置BGP路由協議，然後單擊確定。
  - 本端AS：本樣本輸入65435。
  - Router ID：本樣本輸入192.168.2.2。
  - Hold Time：本樣本輸入180秒。
  - Keep Alive：本樣本輸入60秒。
啟用BGP路由協議並為WAN口啟用BGP。
1. 在動態路由配置詳情地區，單擊啟用BGP協議。
2. 在切換路由協議對話方塊，單擊確定。
3. 在展示的連接埠頁面，選擇目標連接埠5（WAN），單擊操作列的編輯。
4. 在BGP動態路由配置修改對話方塊，選擇啟用BGP，並配置對端IP和對端AS，然後單擊確定。
  對端IP和對端AS為WAN口串連的對端交換器的BGP AS號以及G11連接埠IP地址。
  - 對端AS：本樣本為65430。
  - 對端IP：本樣本為192.168.100.2。
配置線下路由同步方式。
1. 在Smart Access Gateway執行個體詳情頁面，單擊網路設定頁簽。
2. 在頁簽左側地區，單擊線下路由同步方式。
3. 選擇靜態路由，然後單擊添加靜態路由，然後單擊確定。
  靜態路由添加為本網要和雲上互連的網段：172.16.0.0/12。

步驟四：配置邊界路由器

您需要在Express Connect控制台配置邊界路由器執行個體，建立和三層交換器的BGP鄰居關係。

配置BGP組。
1. 登入Express Connect管理主控台。
2. 在頂部功能表列，選擇目標地區。
3. 在左側導覽列，單擊邊界路由器（VBR）。
4. 在邊界路由器（VBR）頁面，單擊目標邊界路由器執行個體ID連結。
5. 在邊界路由器執行個體詳情頁面，單擊BGP組頁簽。
6. 在BGP組頁簽下，單擊建立BGP組，並根據以下資訊進行BGP組配置。
  - 名稱：BGP組的名稱。本樣本輸入test。
  - Peer AS號：三層交換器側AS號。本樣本輸入65430。
  - BGP密鑰：該BGP組的密鑰。本樣本不配置該項。
  - 描述：BGP組的描述資訊。本樣本輸入SAGtest。
7. 單擊確定。
配置BGP鄰居。
1. 在邊界路由器執行個體詳情頁面，單擊BGP鄰居頁簽。
2. 在BGP鄰居頁簽下，單擊建立BGP鄰居。
3. 在建立BGP鄰居面板，配置BGP鄰居資訊，然後單擊確定。
  - BGP組：要加入的BGP組。本樣本選擇剛剛建立的BGP組。
  - BGP鄰居IP：BGP鄰居的IP地址。本樣本輸入三層交換器G12連接埠IP地址192.168.110.1。

步驟五：配置交換器和路由器

您還需要為Smart Access Gateway裝置對端的三層交換器和出口路由器添加路由配置，此處以某品牌交換器和路由器為例，由於不同廠商交換器和路由器配置不同，詳情請參考廠商裝置手冊。

三層交換器的路由配置。


interface GigabitEthernet 0/11
no switchport
ip address 192.168.100.2 255.255.255.252     #Smart Access Gateway對端交換器的連接埠IP

interface GigabitEthernet 0/12
no switchport
ip address 192.168.110.1 255.255.255.252     #邊界路由器對端交換器的連接埠IP

router bgp 65430
bgp router-id 192.168.1.1
network 172.16.0.0 mask 255.240.0.0          #宣告本網私網網段
neighbor 192.168.100.1 remote-as 65435       #和Smart Access Gateway建立鄰居關係
neighbor 192.168.100.1 timers 60 180         #配置BGP路由協議的Keep Alive和Hold Time
neighbor 192.168.110.2 remote-as 45104       #和邊界路由器建立鄰居關係
exit

重要

宣告本網的私網網段時您僅需要宣告本網中需要與雲上VPC互連的私網網段即可。請做好專線路由宣告控制，勿將雲上VPC執行個體路由、其他SAG執行個體路由、其他VBR執行個體路由等宣告上雲，否則可能會導致環路。

出口路由器的路由配置。


ip route 192.168.100.0 255.255.255.252  192.168.80.2  #出口路由器去往Smart Access Gateway的路由

步驟六：配置雲上網路連接

在配置好裝置後，您需要配置雲上網路連接，將本網接入阿里雲。

建立雲串連網。
1. 登入Smart Access Gateway管理主控台。
2. 在頂部功能表列，選擇中國內地地區。
  雲串連網地區需和Smart Access Gateway裝置使用地區保持一致。
3. 在左側導覽列，單擊雲串連網。
4. 在雲串連網頁面，單擊建立雲串連網。
5. 在建立雲串連網面板，配置雲串連網名稱，然後單擊確定。
綁定雲串連網。
1. 在左側導覽列，單擊Smart Access Gateway。
2. 在Smart Access Gateway頁面，單擊目標執行個體操作列的網路設定。
3. 在頁簽左側地區，單擊綁定網路詳情。
4. 在綁定網路詳情頁簽下，單擊添加網路，選擇綁定雲串連網並選擇剛剛建立的雲串連網執行個體，然後單擊確定。
5. 請重複同樣的步驟，將已經建立的邊界路由器執行個體綁定到Smart Access Gateway執行個體中。詳情請參見綁定網路執行個體。
  在Smart Access Gateway同時綁定雲串連網執行個體和邊界路由器執行個體的情況下，本網優先通過專線和雲上進行互連。專線故障時，本網則會通過雲串連網和雲上進行互連，即通過Internet加密接入阿里雲。
將建立的雲串連網執行個體和邊界路由器執行個體添加到雲企業網執行個體中。詳情請參見載入網路執行個體。
添加後，本網便可以和雲企業網執行個體中已載入的VPC網路執行個體通訊。
說明
如果您的本網、邊界路由器執行個體和VPC執行個體並不在同一個地區，您需要購買雲企業網頻寬包並設定跨地區互連頻寬，實現跨地區網路執行個體互連。詳情請參見使用頻寬包和跨地區互連頻寬。
配置安全性群組規則。
您需要為VPC中的Elastic Compute Service執行個體配置安全性群組規則，允許本網的私網網段172.16.0.0/12訪問ECS中的資源。詳情請參見添加安全性群組規則。

步驟七：在雲企業網中添加路由策略

在雲企業網中添加路由策略，以確保雲串連網執行個體在通過雲企業網學習到VPC執行個體路由的同時也可以通過VBR執行個體學習到VPC執行個體的路由。

在本文的情境中，雲串連網通過VBR執行個體學習到VPC執行個體的路由後，雲串連網執行個體不會向Smart Access Gateway裝置傳播VPC執行個體的路由，確保本機資料中心和VPC之間優先通過物理專線進行互連。在物理專線故障後，雲串連網執行個體將無法再通過VBR執行個體學習到VPC執行個體的路由，會自動將VPC執行個體的路由（通過雲企業網學習到的）傳播給Smart Access Gateway裝置，本機資料中心和VPC之間將通過Smart Access Gateway裝置進行互連。

登入雲企業網管理主控台。
在雲企業網執行個體頁面，單擊目標雲企業網關執行個體ID。
在基本資料頁簽下的轉寄路由器頁簽，單擊目標雲串連網執行個體串連的轉寄路由器ID。
在轉寄路由器執行個體詳情頁面，單擊轉寄路由器路由表頁簽。
在轉寄路由器路由表頁簽，單擊路由策略頁簽。
在路由策略頁簽，單擊添加路由策略。

在添加路由策略頁面，根據以下參數資訊進行配置，然後單擊確定。

參數	說明
策略優先順序	輸入策略優先順序。
描述	輸入策略描述資訊。
地區	預設為中國內地雲串連網且無法修改。
生效方向	選擇出地區網關。
匹配條件	選擇網路類型。選擇源執行個體類型。然後選擇VBR。
策略行為	選擇允許。

步驟八：驗證測試

配置完成後，您在三層交換器上關閉您的專線連接埠，查看三層交換器中去往雲上VPC的路由是否進行了切換。專線故障的情況下，去往雲上VPC路由的下一跳將會指向Smart Access Gateway。路由查看命令請參見您的廠商裝置手冊。
您可以通過本網的用戶端訪問已串連的VPC中部署的雲資源測試網路連通性。