前段时间帮客户安装部署了一台SAG-1000,这是一台定位于总部和IDC接入上云的智能网关设备(SAG),有关SAG我也写过两篇介绍性的文章了,而这次的内容更加偏重实操一些。
首先看现有网络环境:
可以说上面的网络环境还是非常典型的,最外面是一台防火墙,连接运营商的互联网线路,并通过防火墙做NAT地址转换实现内网用户的互联网访问,中间是一台上网行为管理设备,通过上网行为管理设备来阻断和工作无关的上网流量,最下面是核心交换机,通过各个接入交换机连接着内网的所有用户和服务器等设备。
我们的目标网络拓扑是这样的:
虽然SAG可以直接旁挂在核心交换机上,通过单臂路由实现上云接入,但那样以来SAG的网络流量就要经过上网行为管理设备的过滤,有可能对SAG的上云网络连接造成不必要的干扰。最终决定在核心和防火墙之前再加一条链路,让上网行为管理设备和SAG“并联”,这样还有一个好处是可以通过在防火墙或上网行为管理设备对用户端直接访问互联网的流量进行限流来尽可能保证SAG上云的带宽。
为了实现客户端在无感知的情况下“自动”上云,在现有网络设备上需要做如下配置:
- 在核心交换机增加一个VLAN并配置IP地址,将和SAG连接的端口加入到该VLAN。
- 在核心交换机加一条针对云上VPC网段的静态路由,下一跳地址地址为SAG的内网地址(LAN口地址)
- 在防火墙增加一个二层接口并配置IP地址,未来将把SAG的WAN口连接到该接口上。
- 在防火墙为该接口对应的网段配置NAT地址转换,保证该接口下连接的网络设备可以访问互联网。
按照SAG介绍页面的使用流程是这样的:
按照第四步的说法是可以远程进行配置,先上架、加电,SAG-1000的前面板是这样的:
LTE的灯是亮着的,里面有一张阿里云预置的4G SIM卡,在前面板可以显示信号的强度,在包装里还有两根外置天线,固定到设备背面的接口后可以看到信号增加了一格。
后面板是这样的:
在右手边有一个SIM卡槽,假如希望在有线网络故障时实现4G自动备份的功能,需要将阿里云的SIM卡替换成自己的SIM卡,因为阿里云预置的SIM卡只能实现远程配置管理而无法使用互联网流量。
按照阿里云SAG-1000的安装部署文档介绍,SAG-1000的配置分成如下步骤:
我们已经将设备加电,因此登录阿里云控制台将设备激活即可,登录到购买SAG的账号,可以看到SAG的实例,在设备实例上进行操作绑定设备,绑定设备的过程中需要的激活码就在SAG-1000的机壳底部。
端口角色分配可以远程通过阿里云控制台进行(借助预置的4G网络),也可以通过连接SAG-1000的MGT口在现场完成,默认情况下2口为MGT口,其默认地址为192.168.0.1/24,将电脑配置成该网段的其他IP地址就可以通过浏览器进行直接访问和配置了,首次配置时会弹出密码的初始化界面,可以设置该设备的本地管理密码,下次在本地通过MGT口进行管理时需要输入该密码才能访问。
我们登录到SAG-1000本地的管理界面后,将0口分配为LAN口,5口默认为WAN口无需修改,并根据核心交换机和防火墙的配置为LAN口和WAN口分配IP地址。在WAN口的配置中除了IP地址的配置还要将网关配置为防火墙的接口地址。
配置线下路由的同步方式必须在云上控制台完成,这也算是一个坑吧,我之前是在设备端利用管理口直接进行的配置,但总是出现丢失路由条目的情况,最后发现目前的SAG-1000的软件版本默认从云上进行路由条目的同步,因此在本地的配置经常会被云上配置替换掉而导致路由条目丢失。
登录阿里云控制台,找到SAG实例,进入设备配置页面,再进入路由管理页面配置静态路由,将核心交换机上的所有网段路由到核心交换机连接SAG的VLAN 接口IP上。这里举一个例子:假如核心交换机上有两个网段,分别是10.0.1.0/24、10.0.2.0/24,核心交换机和SAG连接的VLAN接口地址是192.168.100.2,在这种环境下就需要在SAG上加两条静态路由,分别是10.0.1.0/24 下一跳 地址是192.168.100.2、10.0.2.0/24 下一跳地址也是192.168.100.2。这样SAG就能够把从云端向客户端发送的数据正确的发送给核心交换机进而转发给客户端了。
通过上述配置,SAG-1000本身的实施内容就已经全部完成了,接下来就剩下云企业网(CEN)和云接入网(CCN)的配置,就是将云接入网CCN和云上VPC都加载到同一个云企业网CEN,具体的操作我之前有过介绍,这里就不再赘述了。
