本教程为您介绍智能接入网关SAG(Smart Access Gateway)如何作为物理专线的备份链路将您的本地网络接入阿里云,构建高可用的混合云环境。
前提条件
您已经在阿里云北京地域创建了专有网络VPC(Virtual Private Cloud)。具体操作,请参见创建和管理专有网络。
您已经创建了云企业网实例,且云企业网实例已经加载了北京地域VPC。具体操作,请参见创建云企业网实例。
您已经将专线接入到北京地域的本地网络中并创建了边界路由器VBR(Virtual Border Router)实例。具体操作,请参见创建和管理独享专线连接或共享专线连接概述。
背景信息
本教程以下图所示的网络架构为例进行说明。某企业已经在阿里云北京地域的VPC中部署了应用服务,并且已经通过专线接入了本地网络中。为创建一个高可用网络实现本地网络和云上资源互通,该企业计划使用智能接入网关作为专线的备份链路将北京地域的本地网络接入阿里云。
智能接入网关采用SAG-1000型号设备并采用旁挂模式将本地网络接入阿里云,无需改变本地网络的现有架构。
本地网络、智能接入网关和边界路由器实例之间均通过BGP路由协议进行路由学习传递,方便网络管理和运维。
智能接入网关同时关联云连接网实例和边界路由器实例,并加入到同一个云企业网实例中,通过云企业网和云上VPC互通。
本教程中的网络流量流向说明如下:
在智能接入网关同时关联云连接网和边界路由器的情况下,云企业网默认专线优先。云企业网会优先通过专线学习发布路由,专线故障时,则通过云连接网学习发布路由,即上云流量和去往云下的流量优先通过专线进行传输,在专线故障时,流量则会通过云连接网进行传输。
网段规划
以下为本教程网段规划示例值。请您根据实际业务情况规划网段,并确保各个网段地址不冲突。
项目 | 网段规划 |
本地网络 | 私网网段:172.16.0.0/12 |
| |
出口路由器G1端口:192.168.80.1/30 | |
智能接入网关 | WAN口(端口5):192.168.100.1/30,网关192.168.100.2 |
BGP路由协议:
| |
边界路由器 |
|
北京VPC | 云上网段:10.0.0.0/16 |
配置流程
步骤一:购买智能接入网关设备
在智能接入网关控制台购买智能接入网关设备后,阿里云会将智能接入网关设备寄送给您,并创建一个智能接入网关实例方便您管理设备。
- 登录智能接入网关管理控制台。
在左侧导航栏,单击智能接入网关。
在智能接入网关页面,单击。
- 在智能接入网关页面,根据以下信息配置智能接入网关设备,然后单击立即购买。
- 区域:智能接入网关设备使用区域。本示例选择中国内地。
- 实例类型:选择智能接入网关设备规格。本示例选择SAG-1000。
- 已有SAG硬件:选择是否已有智能接入网关硬件设备。本示例选择否。
- 版本:智能接入网关设备版本。本示例使用默认标准版。
- 购买数量:智能接入网关设备购买数量。本示例选择1。
- 区域:智能接入网关设备使用的带宽区域。该区域类型和智能接入网关设备使用区域保持一致,且无法修改。
- 实例名称:智能接入网关实例名称。
名称长度为2~128个字符,以大小写字母或中文开头,可包含数字、半角句号(.)、短划线(-)和下划线(_)。
- 带宽峰值:选择通信网络的带宽峰值。本示例选择50 Mbps。
- 购买时长:选择购买时长。
- 确认订单信息并勾选服务协议,然后单击确认购买。
- 在弹出的收货地址对话框,填写网关设备的收货地址,然后单击立即购买。
在弹出的支付页面,选择支付方式,然后完成支付。
- 您可以在智能接入网关实例页面查看是否下单成功。智能接入网关设备会在下单后两个工作日内发货。您可以根据以下操作步骤查看物流状态。
- 在智能接入网关页面,找到目标智能接入网关实例。
- 在操作列选择
>查看物流信息。 - 在订单查询面板查看物流信息。
步骤二:激活连接智能接入网关设备
收到智能接入网关设备后,请检查设备配件是否完整。关于设备配件信息,请参见SAG-1000设备说明。
设备检查完成后,您需要激活连接设备。
- 登录智能接入网关管理控制台。
- 在顶部菜单栏,选择目标区域。
- 在智能接入网关页面,找到目标实例。将设备与智能接入网关实例进行绑定。具体操作,请参见添加设备。
- 绑定后,返回到智能接入网关页面。在目标实例操作列下,单击
> 激活。 - 在激活对话框,单击确定。
- 激活设备后,您还需要将智能接入网关设备按照拓扑所示接入到本地机构中。通过网线,将智能接入网关设备的WAN口连接到三层交换机的G11端口上。本示例使用WAN口(端口5)。如果您的端口5不是WAN口,您可以修改端口角色。具体操作,请参见分配端口角色。说明
- 仅SAG-1000型号设备的2.0版本支持端口角色分配功能。
- 在您分配端口角色前,请保持网关设备启动且4G信号正常,已经连接到阿里云。
步骤三:配置智能接入网关设备
连接好设备后,您需要在智能接入网关管理控制台对设备进行配置。
在执行此操作前,请保持设备启动且4G信号正常,已经连接到阿里云。
登录智能接入网关管理控制台。
WAN口配置。
登录智能接入网关管理控制台。
在顶部菜单栏,选择目标区域。
在智能接入网关页面,单击目标网关实例ID链接。
在智能接入网关实例详情页面,单击设备管理页签。
在页签左侧区域,单击WAN口管理。
在WAN(端口5)区域,单击编辑。
在WAN(端口5)配置对话框,根据以下信息配置端口,然后单击确定。
连接类型:选择静态IP。
IP地址:WAN口IP地址。本场景输入192.168.100.1。
掩码:WAN口IP地址掩码。本场景输入255.255.255.252。
网关:网关IP地址。本场景输入192.168.100.2。
说明配置网关后,智能接入网关设备会生成一条默认路由。
配置BGP路由协议。
说明软件版本为1.0系列版本的SAG-1000设备没有单独的用于接入专线的端口,请勿在智能接入网关Web管理控制台配置BGP路由时将端口的对端AS配置为高速通道的AS号(对端AS代表用于接入专线的端口的接口属性),如果您进行了配置,那么您的智能接入网关设备将不会通过云企业网学习到VPC实例路由。
在页签左侧区域,单击路由管理。
在BGP协议配置区域,单击编辑。
在配置BGP路由协议对话框,根据网络规划,配置BGP路由协议,然后单击确定。
本端AS:本示例输入65435。
Router ID:本示例输入192.168.2.2。
Hold Time:本示例输入180秒。
Keep Alive:本示例输入60秒。
启用BGP路由协议并为WAN口启用BGP。
在动态路由配置详情区域,单击启用BGP协议。
在切换路由协议对话框,单击确定。
在展示的端口页面,选择目标端口5(WAN),单击操作列的编辑。
在BGP动态路由配置修改对话框,选择启用BGP,并配置对端IP和对端AS,然后单击确定。
对端IP和对端AS为WAN口连接的对端交换机的BGP AS号以及G11端口IP地址。
对端AS:本示例为65430。
对端IP:本示例为192.168.100.2。
配置线下路由同步方式。
在智能接入网关实例详情页面,单击网络配置页签。
在页签左侧区域,单击线下路由同步方式。
选择静态路由,然后单击添加静态路由,然后单击确定。
静态路由添加为本地网络要和云上互通的网段:172.16.0.0/12。
步骤四:配置边界路由器
您需要在高速通道控制台配置边界路由器实例 ,建立和三层交换机的BGP邻居关系。
配置BGP组。
登录高速通道管理控制台。
在顶部菜单栏,选择目标地域。
在左侧导航栏,单击边界路由器(VBR)。
在边界路由器(VBR)页面,单击目标边界路由器实例ID链接。
在边界路由器实例详情页面,单击BGP组页签。
在BGP组页签下,单击创建BGP组,并根据以下信息进行BGP组配置。
名称:BGP组的名称。本示例输入test。
Peer AS号:三层交换机侧AS号。本示例输入65430。
BGP密钥:该BGP组的密钥。本示例不配置该项。
描述:BGP组的描述信息。本示例输入SAGtest。
单击确定。
配置BGP邻居。
在边界路由器实例详情页面,单击BGP邻居页签。
在BGP邻居页签下,单击创建BGP邻居。
在创建BGP邻居面板,配置BGP邻居信息,然后单击确定。
BGP组:要加入的BGP组。本示例选择刚刚创建的BGP组。
BGP邻居IP:BGP邻居的IP地址。本示例输入三层交换机G12端口IP地址192.168.110.1。
步骤五:配置交换机和路由器
您还需要为智能接入网关设备对端的三层交换机和出口路由器添加路由配置,此处以某品牌交换机和路由器为例,由于不同厂商交换机和路由器配置不同,详情请参考厂商设备手册。
三层交换机的路由配置。
interface GigabitEthernet 0/11 no switchport ip address 192.168.100.2 255.255.255.252 #智能接入网关对端交换机的端口IP interface GigabitEthernet 0/12 no switchport ip address 192.168.110.1 255.255.255.252 #边界路由器对端交换机的端口IP router bgp 65430 bgp router-id 192.168.1.1 network 172.16.0.0 mask 255.240.0.0 #宣告本地网络私网网段 neighbor 192.168.100.1 remote-as 65435 #和智能接入网关建立邻居关系 neighbor 192.168.100.1 timers 60 180 #配置BGP路由协议的Keep Alive和Hold Time neighbor 192.168.110.2 remote-as 45104 #和边界路由器建立邻居关系 exit重要宣告本地网络的私网网段时您仅需要宣告本地网络中需要与云上VPC互通的私网网段即可。请做好专线路由宣告控制,勿将云上VPC实例路由、其他SAG实例路由、其他VBR实例路由等宣告上云,否则可能会导致环路。
出口路由器的路由配置。
ip route 192.168.100.0 255.255.255.252 192.168.80.2 #出口路由器去往智能接入网关的路由
步骤六:配置云上网络连接
在配置好设备后,您需要配置云上网络连接,将本地网络接入阿里云。
创建云连接网。
登录智能接入网关管理控制台。
在顶部菜单栏,选择中国内地区域。
云连接网区域需和智能接入网关设备使用区域保持一致。
在左侧导航栏,单击云连接网。
在云连接网页面,单击创建云连接网。
在创建云连接网面板,配置云连接网名称,然后单击确定。
绑定云连接网。
在左侧导航栏,单击智能接入网关。
在智能接入网关页面,单击目标实例操作列的网络配置。
在页签左侧区域,单击绑定网络详情。
在绑定网络详情页签下,单击添加网络,选择绑定云连接网并选择刚刚创建的云连接网实例,然后单击确定。
请重复同样的步骤,将已经创建的边界路由器实例绑定到智能接入网关实例中。详情请参见绑定网络实例。
在智能接入网关同时绑定云连接网实例和边界路由器实例的情况下,本地网络优先通过专线和云上进行互通。专线故障时,本地网络则会通过云连接网和云上进行互通,即通过Internet加密接入阿里云。
将创建的云连接网实例和边界路由器实例添加到云企业网实例中。详情请参见加载网络实例。
配置安全组规则。
您需要为VPC中的云服务器(ECS)实例配置安全组规则,允许本地网络的私网网段172.16.0.0/12访问ECS中的资源。详情请参见添加安全组规则。
步骤七:在云企业网中添加路由策略
在云企业网中添加路由策略,以确保云连接网实例在通过云企业网学习到VPC实例路由的同时也可以通过VBR实例学习到VPC实例的路由。
在本文的场景中,云连接网通过VBR实例学习到VPC实例的路由后,云连接网实例不会向智能接入网关设备传播VPC实例的路由,确保本地数据中心和VPC之间优先通过物理专线进行互通。在物理专线故障后,云连接网实例将无法再通过VBR实例学习到VPC实例的路由,会自动将VPC实例的路由(通过云企业网学习到的)传播给智能接入网关设备,本地数据中心和VPC之间将通过智能接入网关设备进行互通。
- 登录云企业网管理控制台。
在云企业网实例页面,单击目标云企业网关实例ID。
在基本信息页签下的转发路由器页签,单击目标云连接网实例连接的转发路由器ID。
在转发路由器实例详情页面,单击转发路由器路由表页签。
在转发路由器路由表页签,单击路由策略页签。
在路由策略页签,单击添加路由策略。
在添加路由策略页面,根据以下参数信息进行配置,然后单击确定。
参数
说明
策略优先级
输入策略优先级。
描述
输入策略描述信息。
地域
默认为中国内地云连接网且无法修改。
生效方向
选择出地域网关。
匹配条件
选择网络类型。选择源实例类型。
然后选择VBR。
策略行为
选择允许。
步骤八:验证测试
配置完成后,您在三层交换机上关闭您的专线端口,查看三层交换机中去往云上VPC的路由是否进行了切换。专线故障的情况下,去往云上VPC路由的下一跳将会指向智能接入网关。路由查看命令请参见您的厂商设备手册。
您可以通过本地网络的客户端访问已连接的VPC中部署的云资源测试网络连通性。