引言:什么是阿里云智能接入网关
阿里云智能接入网关(Smart Access Gateway,简称SAG)是阿里云推出的一款软件定义广域网(SD-WAN)解决方案产品。它的核心价值在于帮助企业将线下分支机构、门店、数据中心等本地网络快速、安全、稳定地接入阿里云VPC,实现云上云下资源的互联互通。SAG支持通过公网、专线、4G等多种链路接入方式,具备智能选路、动态路由、QoS保障等能力,是构建混合云网络的重要组件之一。
SAG包含三种产品形态,分别适配不同的使用场景。第一种是硬件CPE形态,即物理设备,型号包括SAG-100WM和SAG-1000,适合固定场所的稳定接入。第二种是镜像vCPE形态,可以在虚拟机或云主机中部署SAG软件镜像,适合虚拟化环境和多云互联场景。第三种是APP形态,适合移动办公员工通过客户端软件远程接入云上资源。企业在进行SAG对接前,首先需要根据自身的网络规模、预算和场景选择合适的形态。
需要先登录阿里云控制台,点击:阿里云控制台
一、SAG硬件版对接:从购买到激活
1.1 购买智能接入网关设备
SAG硬件版的对接第一步是在阿里云控制台购买设备。登录智能接入网关管理控制台后,在智能接入网关页面单击"购买智能接入网关",选择"创建智能接入网关(硬件版)"。配置过程中需要选择区域(如中国内地)、实例类型(SAG-100WM或SAG-1000)、带宽峰值(如30 Mbps或50 Mbps)以及购买时长。如果选择SAG-100WM,适合小型分支或门店场景,通常配备4G备份功能;如果选择SAG-1000,适合大型总部或数据中心场景,支持BGP动态路由等高级功能。下单后,阿里云会在两个工作日内发货,用户可在控制台查看物流信息。
对于海外地区的用户,智能接入网关管理控制台不支持在非中国内地区域直接购买硬件设备,需要联系阿里云客户经理咨询购买事宜。购买时需注意,如果设备使用区域为非中国内地,建议遵循就近原则选择区域,例如在泰国使用可选择中国香港区域就近接入。
1.2 激活与绑定设备
收到硬件设备后,首先检查设备配件是否完整。激活流程如下:将设备上电,通过网线将PC连接到设备的LAN口(默认管理IP为192.168.0.1或192.168.254.1),在浏览器中输入管理地址登录设备本地Web管理控制台。在Web控制台中,根据提示输入激活码完成设备激活。激活后,设备会自动与云端的SAG实例绑定。绑定完成后,在智能接入网关管理控制台中可以看到设备状态变为"可用"。
1.3 WAN口与LAN口配置
设备激活后,需要配置WAN口和LAN口。WAN口用于连接互联网,支持静态IP、DHCP和PPPoE三种方式。如果使用PPPoE拨号,需要输入运营商提供的账号和密码。LAN口用于连接本地内网设备,可以配置IP地址和子网掩码。对于SAG-1000设备,还支持端口角色自定义,可以将某些端口配置为WAN口或专线口。在多WAN口场景中,SAG支持主备链路自动切换,有线宽带WAN为主用链路,无线4G为备用链路,当主用链路发生故障时自动切换至备用链路。
二、组网模式选择:直挂与旁挂
SAG硬件版支持两种主要的组网模式:直挂组网和旁挂组网。两种模式适用于不同的网络架构场景,企业需要根据现有网络情况选择。
2.1 直挂组网模式
直挂组网模式下,SAG设备直接部署在运营商网络(如光猫)和本地内网之间,充当本地网络的出口网关。这种模式适合小型门店或分支机构的场景,对本地人员技能要求较低,默认配置下即可上电接入阿里云。在直挂模式下,SAG设备负责NAT转换、DHCP分配和路由转发,本地客户端通过SAG设备直接访问云上资源。配置相对简单,适合不需要对现有网络架构做大规模改造的场景。
2.2 旁挂组网模式
旁挂组网模式下,SAG设备不改变现有网络拓扑,而是旁路接入到本地核心交换机或路由器上。这种模式适合已经拥有成熟网络架构的大型企业或总部,无需调整现有网络结构即可实现上云。在旁挂模式下,需要在本地三层交换机或路由器上配置指向SAG设备的路由,将去往云上VPC的流量引向SAG设备。旁挂模式通常配合动态路由协议(如OSPF)使用,以实现路由的自动学习和故障自动切换。
三、路由配置:静态与动态
SAG支持静态路由和动态路由两种方式,动态路由又包括OSPF和BGP两种协议。路由配置是SAG对接的核心环节,决定了本地网络与云上VPC之间能否正确通信。
3.1 静态路由配置
静态路由适用于网络拓扑简单、网段变化不频繁的场景。在SAG管理控制台中,进入目标实例的设备管理页面,在路由管理中添加静态路由条目。需要配置目的网段(如云上VPC的CIDR)、下一跳IP地址和优先级。如果本地网络有多个网段,需要逐一添加对应的静态路由。静态路由配置简单直观,但缺乏灵活性,当网络拓扑发生变化时需要手动调整。
3.2 OSPF动态路由配置
OSPF(Open Shortest Path First)是一种链路状态动态路由协议,适合中大型网络。SAG-1000设备支持OSPF协议。配置OSPF时,需要在SAG设备管理页面的路由管理中开启OSPF功能,配置区域ID(Area ID)、路由器ID(Router ID)等参数。同时,在本地三层交换机或路由器上也需要配置对应的OSPF区域,确保SAG设备和本地网络设备建立OSPF邻居关系。OSPF配置完成后,本地网络的网段信息会自动同步到云端,云上VPC的路由也会自动下发到本地,大大简化了路由管理工作。
3.3 BGP动态路由配置
BGP(Border Gateway Protocol)是更高级的动态路由协议,适用于大型数据中心和复杂的混合云场景。SAG-1000设备同样支持BGP协议。配置BGP时,需要配置本地AS号(自治系统号)、对端AS号、邻居IP地址等参数。BGP相比OSPF具有更强的路由策略控制能力,支持路由过滤、路由聚合、路由优先级调整等高级功能。在多分支互联、IDC与云上VPC互通等复杂场景中,BGP是更优的选择。
四、云上网络对接:CCN与CEN
SAG设备完成本地配置后,还需要在阿里云侧完成云上网络的对接配置。这个环节涉及云连接网(CCN)和云企业网(CEN)两个核心组件。
4.1 创建云连接网(CCN)
云连接网(Cloud Connect Network,CCN)是SAG的专用网络组件,用于管理SAG实例的网络连接。要将SAG实例接入阿里云,首先需要创建一个云连接网实例。在智能接入网关管理控制台的左侧导航栏中单击"云连接网",然后点击"创建云连接网",配置名称后即可完成创建。创建云连接网后,需要将SAG实例添加到该云连接网中。一个云连接网可以关联多个SAG实例,实现多个分支机构在同一个云连接网内的互联互通。
4.2 绑定云企业网(CEN)
云企业网(Cloud Enterprise Network,CEN)是阿里云提供的全球网络互联服务,可以将VPC、云连接网、边界路由器(VBR)等网络实例连接在一起。SAG要访问云上VPC资源,必须将云连接网绑定到云企业网实例上。绑定操作在云连接网的管理页面进行,找到目标云连接网实例,在操作列中单击"绑定云企业网"。可以选择已有的云企业网实例进行绑定,也可以让系统自动创建一个新的云企业网实例。绑定完成后,SAG设备所连接的本地网络就可以与云企业网内的VPC资源进行通信。
需要注意的是,一个云企业网实例只能绑定一个云连接网实例,重复绑定会报错。如果绑定失败,需要检查云连接网所属地域与云企业网实例的地域是否匹配。
4.3 VPC路由配置
完成CCN与CEN的绑定后,还需要确保VPC的路由表中包含指向本地网络的路由。在云企业网的控制台中,可以查看和配置路由信息。对于基础版转发路由器,系统会自动学习并传播路由。如果本地网络有多个网段,需要确保所有网段的路由都正确传播到了云企业网中。同时,VPC中的ECS实例安全组也需要放行来自本地网络IP地址段的访问流量。
五、SAG APP对接:移动办公接入
SAG APP是SAG的软件客户端形态,专为移动办公场景设计。员工可以在电脑、手机等终端上安装SAG APP客户端,通过互联网安全地访问云上VPC资源。
5.1 购买SAG APP实例
在智能接入网关管理控制台中,进入App实例管理页面,单击"创建智能接入网关App"。配置过程中需要选择地域(如华东2(上海))、客户端账号数量(5~1000个,按阶梯计费)、每账号流量套餐(如5 GB/月)以及超套计费方式。购买完成后,系统会创建一个SAG APP实例。
5.2 网络配置
购买SAG APP实例后,需要为实例配置网络。在实例的操作列中单击"快捷配置",进入网络配置向导。配置内容包括:选择或新建云连接网(CCN)、配置客户端私网网段(如172.16.0.0/16)、配置主备DNS等。如果客户端接入过程中使用了PrivateZone服务,DNS地址需要设置为100.100.2.136和100.100.2.138。配置完成后,SAG APP实例就与云连接网绑定在了一起。
5.3 创建客户端账号与下载软件
网络配置完成后,需要创建客户端账号。在SAG APP实例的管理页面中,可以批量创建或单个创建客户端账号,并为每个账号分配用户名和密码。客户端账号的数量不能超过购买时指定的账号数规格。创建账号后,员工可以从阿里云官网下载SAG APP客户端软件。在客户端中输入云连接网ID、用户名和密码即可建立连接,连接成功后员工便可以通过私网IP访问云上VPC中的服务。
六、SAG vCPE对接:多云互联与虚拟化部署
SAG vCPE是SAG的软件镜像形态,可以在虚拟机、云主机中部署,将SAG的能力延伸到虚拟化环境和第三方云平台。
6.1 创建SAG vCPE实例
在智能接入网关管理控制台中,选择创建SAG vCPE实例。配置内容包括实例名称、地域、带宽规格等。创建完成后,系统会提供SAG vCPE的镜像文件(如QCOW2或OVA格式)以及部署指南。用户可以在本地虚拟化平台(如VMware、KVM)或第三方云平台(如AWS、Azure)中部署该镜像。
6.2 SAG vCPE在AWS中的部署示例
以阿里云与AWS互通为例,用户需要在AWS的VPC中新建一台EC2实例用于部署SAG vCPE镜像。部署完成后,将SAG vCPE实例与云连接网绑定,再将云连接网绑定到云企业网,即可实现AWS VPC与阿里云VPC的互联互通。SAG vCPE与阿里云POP点之间默认建立IPsec VPN隧道,也可以切换至阿里云VPN。这种方案为企业实现多云架构提供了低成本、高效率的网络互联方案。
七、SAG与VPN网关、专线的混合组网与备份
在实际的企业网络架构中,单一的接入方式往往难以满足高可用性的要求。SAG可以与VPN网关、高速通道物理专线组合使用,构建高可用的混合云网络。
7.1 SAG作为专线备份链路
对于已经通过高速通道物理专线接入阿里云的企业,可以将SAG作为专线的备份链路。当专线发生故障时,流量自动切换到SAG链路,确保业务不中断。专线备份有两种方式:内置方式和外置方式。内置方式是将专线直接接入SAG设备的专线口,阿里云默认将流量优先通过专线传输;外置方式是将专线接入企业自己的设备,链路优先级由企业自行配置。
7.2 SAG与VPN网关的协同
VPN网关是阿里云提供的另一款网络接入产品,支持IPsec-VPN和SSL-VPN。在一些场景中,企业可以同时使用SAG和VPN网关实现不同分支的接入。例如,总部使用SAG硬件设备接入,而小型分支机构或合作伙伴使用VPN网关接入,所有网络实例通过云企业网统一互联。SAG与VPN网关在云企业网中可以实现路由互通,构建一张覆盖全面的混合云网络。
八、高级功能:访问控制与QoS策略
8.1 访问控制列表(ACL)
SAG提供访问控制功能,用于控制进出SAG设备的流量,提高网络安全性。访问控制规则的配置基于五元组(源IP、目的IP、源端口、目的端口、协议),支持允许或拒绝特定流量通过。在智能接入网关管理控制台的"访问控制"页面中,可以创建访问控制实例并添加规则。系统从高优先级的访问控制规则开始逐条匹配。SAG硬件实例还支持基于应用类型匹配流量,例如可以针对视频会议、文件传输等应用类型配置访问控制策略。
8.2 QoS策略
SAG支持QoS(Quality of Service)策略,用于保证关键业务流量的带宽和优先级。一个QoS策略包含一个或多个限速规则,每个限速规则包含一个或多个流分类规则。流分类规则可以基于五元组或应用类型对流量进行分类,限速规则则对分类后的流量设置带宽上限和优先级。QoS策略应用到SAG实例后,系统会根据配置保证高优先级流量的带宽。在多WAN口场景中,QoS策略还可以与WAN口限速功能配合使用。
九、运维与故障排查
9.1 一键诊断功能
SAG提供一键诊断功能,从SAG配置、全网质量、业务质量三个方面探查当前网络状态并给出指导建议。当网络出现异常时,管理员可以在控制台中启动一键诊断,系统会自动检测SAG设备状态、链路质量、路由配置等,并输出诊断报告。
9.2 常见故障处理
在实际运维中,可能会遇到一些常见问题。例如:插入4G卡后蜂窝口显示Internet不可用,需要检查4G卡是否开通了数据业务以及信号强度是否正常。WAN口通过PPPoE拨号时提示密码不符合,需要确认运营商提供的账号密码是否正确。本地客户端无法连接到云连接网内的其他设备,需要检查SAG设备状态是否为"可用",以及交换机和SAG设备之间的物理连通性。SAG APP客户端启动后报错"[1000]程序异常请重启",可以尝试重新安装客户端或检查网络环境。
此外,SAG支持在控制台中关闭自动更新功能,以避免设备在业务高峰期自动升级导致网络中断。对于SAG-1000设备,如果需要通过本地Web管理控制台进行配置,需要为管理PC配置192.168.0.0/24网段的IP地址。
十、总结与最佳实践
阿里云智能接入网关为企业提供了灵活、高效、安全的混合云网络接入方案。通过本文的详细介绍,可以总结出以下几点最佳实践:
第一,根据场景选择合适的产品形态。固定场所选择硬件版,移动办公选择APP版,虚拟化环境或多云场景选择vCPE版。第二,合理规划IP网段,确保本地网络与云上VPC的网段不冲突。第三,对于中大型网络,优先使用OSPF或BGP动态路由协议,降低运维复杂度。第四,充分利用云企业网实现多VPC、多分支的统一互联。第五,为关键业务配置QoS策略保障带宽质量。第六,对于核心业务,建议采用SAG+专线的双链路备份方案,提高网络可用性。
智能接入网关作为阿里云SD-WAN解决方案的核心产品,正在不断演进和优化,未来将在多云互联、智能选路、应用优化等方面提供更强大的能力。掌握SAG的对接使用方法,是构建现代化混合云网络架构的必备技能。
常见问题问答
问:SAG硬件设备发货需要多长时间?
答:在阿里云控制台购买SAG硬件设备后,通常会在两个工作日内发货。用户可以在智能接入网关管理控制台中查看物流状态。
问:SAG-100WM和SAG-1000有什么区别?如何选择?
答:SAG-100WM是小型设备,适合门店或小型分支机构,支持4G备份。SAG-1000是大型设备,适合总部或数据中心,支持BGP动态路由等高级功能。根据网络规模和功能需求选择即可。
问:SAG APP的流量套餐是共享的吗?
答:不共享。每个账号每月赠送的流量套餐是独立的,多个账号间的流量不可共享,且不支持结算到次月。
问:SAG设备可以通过4G上网吗?
答:可以。SAG-100WM等型号支持插入4G卡作为备用链路。当有线宽带WAN主链路发生故障时,系统会自动切换至4G无线链路。
问:一个云企业网实例可以绑定多个云连接网吗?
答:不可以。一个云企业网实例只能绑定一个云连接网实例,重复绑定会报错。如果需要接入多个云连接网,需要创建多个云企业网实例或使用转发路由器的多地域能力。
问:SAG支持哪些动态路由协议?
答:SAG-1000设备支持OSPF和BGP两种动态路由协议。OSPF适合中大型网络,BGP适合大型数据中心和复杂的混合云场景。
