利用阿里云丰富云网络产品,提供完整的SDWAN企业分支互联/企业上云解决方案。本次SDWAN解决方案部署指导场景以解决企业大陆分支机构、亚太IDC及云上VPC构建企业办公组网为例。意在指导客户在项目部署实施阶段可参考本文自助完成业务上线的搭建。本文内容已经对外披露。
1. 方案概述
1.1 方案介绍
阿里云SD-WAN解决方案,依托于阿里巴巴优质的全球传输网络,通过SDN技术应用到广域网络,结合智能接入网关,企业总部及各分支能够就近接入阿里云POP点,快速、安全、简单地帮助企业构建广域互联网络,为客户提供了一站式云-网-端的云原生SD-WAN解决方案。本次部署指导场景以解决企业大陆分支机构、亚太IDC及云上VPC构建企业办公组网为例。
1.2 目标读者
金融机构/传统政企/零售类多分支场景的网络运维组同学及网络架构师。
1.3 适用场景
企业分支办公互联及上云组网。
零售类全国门店组网。
金融机构分支互联组网。
2. 方案架构
2.1 方案架构图
场景说明:
上海总部通过第三方物理专线就近接入阿里云。
针对企业国内office/工厂/分公司等企业多种分支机构场景,利用SAG硬件通过最后一公里internet就近加密接入阿里云。
上海总部、上海阿里云VPC和SAG-CCN通过CEN打通,实现企业各地员工能迅速访问各业务系统 ,构建成企业办公组网。
2.2 方案优势
一站式云原生SDWAN解决方案,一套方案解决多种场景需要。
依托于阿里云全国专线传输网络资源,链路可靠性至少三对HA,SLA达99.95%,质量相比公网性能提升30%。
同时天然具备上云访问阿里云云服务及应用,为企业快速构建混合云架构。
用户可通过阿里云控制台进行统一配置、管理及维护,企业建设IT运维成本节省40%。
2.3 产品/模块1介绍-云企业网CEN
阿里云的全球传输网络,用于全球各个Region的VPC/CCN/VBR的互联,帮助用户快速构建高质量合规的全球企业网络。在本方案中,利用云企业网,打通国内各地分支(SAG)、境外VPC、大陆VPC及香港IDC的应用访问。
云企业网产品文档介绍云企业网产品。
2.4 产品/模块2介绍-云连接网CCN
阿里云的SDWAN接入网络,由分布在各地的POP点构成。依托阿里云的优质骨干网络和底层网络优化技术,提供高质量的广域接入网络服务。
云连接网产品文档介绍云连接网产品。
2.5 产品/模块3介绍-智能接入网关SAG
阿里云的SDWAN终端,具有多种软硬件的产品形态,可以适应大中小型分支和移动办公场景需要。部署维护简单方便,可支持集中配置和监控,大大降低维护难度。
智能接入网关产品文档介绍智能接入网关产品。
2.6 产品/模块4介绍-高速通道EC
高速通道(Express Connect)是一款连接企业数据中心与阿里云的网络服务,可在企业数据中心与云上网络之间建立高速、稳定、安全的私网通信通道。高速通道的数据传输过程可信可控,能有效提高网络通信的质量及安全性。可帮助用户与线下IDC或其它云互联,构建混合云或多云环境。
高速通道产品文档介绍高速通道产品。
3. 方案实施
3.1 前提条件
1.请确保您已注册阿里云账号。
2.由于本方案涉及到用户线下的网络改造,需要用户提前做好网络的规划及信息收集,并对新增的智能接入网关SAG做好网络地址的规划。阿里云会给用户提供网络规划模板,并配合用户完成改造的规划。网络规划表示例如下:
3.客户侧已完成上海VPC部署以及上海总部专线的接入阿里云。
3.2 操作步骤
步骤一:SAG硬件商品购买指南
1.购买步骤概述
2.购买步骤详情
步骤1–登录智能接入网关管理控制台智能接入网关控制台。
步骤2-在左侧导航栏单击智能接入网关硬件版,单击创建智能接入网关。
步骤3-根据以下信息配置智能接入网关,单击立即购买。
配置 |
说明 |
区域 |
选择智能接入网关的区域。网关设备的收货地址必须在所选区域内。 智能接入网关的区域按国家划分,目前仅支持中国大陆区域。 |
名称 |
输入一个实例名称。 名称长度为2-128个字符,以大小写字母或中文开头,可包含数字以以下特殊字符: |
硬件规格 |
支持不同的网关设备硬件规格,不同规格的网关设备的配置也不同,详情参见下文不同场景下的最佳实践配置。 |
带宽峰值 |
私网通信的带宽峰值。 |
使用方式 |
选择一种使用方式: 单机:只购买一台智能接入网关设备接入阿里云。 双机备份:购买两台网关设备共享带宽,主设备故障时切换到备用设备。 |
购买数量 |
选择购买数量。 |
购买时长 |
选择购买时长。 |
步骤4 – 核对订单信息,然后点击去支付。
步骤5-在弹出的收货地址对话框,填写网关设备的收货地址,然后单击下单
您可以在智能接入网关实例页面查看是否下单成功。系统会在下单后两天内发货,状态会变更成待激活。如果超期,您可以提交工单查看物流状态。
步骤二:创建云企业网CEN和云连接网CCN,并将云上VPC、专线VBR实例加载至该云企业网CEN
创建云企业网CEN,并将VPC和VBR加载至CEN。
添加相应的网络实例,单击确认,即可完成实例加载至云企业网。
创建云连接网CCN
1.登录智能接入网关管理控制台。
2.在左侧导航栏单击云连接网,单击创建云连接网。
3.填写云连接网的名称,单击确定。
步骤三:SAG1000双机动态旁挂核心设备配置指导
SAG本地网络架构设计:SAG-1000设备以双机旁挂方式接入三层交换机,在不影响您的网络拓扑的情况下,将本地客户端接入阿里云。
步骤1-激活SAG网关设备
在收到网关设备后,您需要激活网关设备。
操作方法:
1.登录智能接入网关管理控制台。
2.单击操作列下的激活。
3.单击目标实例ID,在智能接入网关实例页面,单击设备管理页签,输入智能接入网关设备序列号。
4. 单击添加设备。
步骤2-配置SAG设备网络连接
操作步骤:
1.登录智能接入网关管理控制台。
2.在智能接入网关页面,找到目标网关实例。
3.单击操作列下的网络配置。
4.配置线下路由同步(发布SAG所在本地网络网段)。
5.单击绑定网络详情-云连接网CCN,并添加至云企业网CEN。
步骤3-配置主备SAG设备Web
操作方法:
1.用网线连接把本地电脑和智能接入网关(SAG)的LAN口(如下图红框标注的任一接口)相连。
2.登录智能接入网关(SAG)的Web。 默认管理IP是192.168.0.1,本地电脑默认DHCP即可。 浏览器中输入管理IP 192.168.0.1,并回车 > 点击 Advanced > 点击Proceed,如下操作截图:
3.首次登录需设置Web登录密码. 若忘记密码,需长按智能接入网关上reset键5秒,恢复出厂设置并重置Web登录密码。
4.配置主备SAG的WAN口,主SAG为192.168.20.1,备SAG为192.168.20.2。
SNAT:
默认是开启SNAT,本地局域网向广域网发送的数据包经过NAT转发。此组网拓扑中,建议关闭SNAT,可提高转发性能。
本次组网拓扑连接类型我们选择静态IP:
静态IP:通过指定的IP地址访问互联网。若选择静态IP,需要配置静态IP、子网地址掩码及网关。 请确保指定的静态IP地址和上行路由设备在同一个网段内。
步骤4-配置SAG设备和核心交换机的端口、路由相关参数。
1.登录SAG主的Web页面,配置SAG主的连接类型和端口IP。
2.配置SAG主的OSPF路由参数。
3.登录SAG备的Web页面,配置SAG备的连接类型和端口IP。
4.配置SAG备的OSPF路由参数。
5.配置本地核心交换机的互联端口参数。
6.配置核心交换机的OSPF参数。
7.配置出口防火墙FW的OSPF参数。
防火墙由于各品牌差异较大,无法给出具体配置示例。大体原则需要注意事项如下:
1、OSPF端口模式为点到点模式。
2、OSPF端口hello time与dead time修改为3秒与10秒和SAG端口一致。
3、OSPF进程中将默认路由发至NSSA区域。
防火墙还需放行(UDP:53、500、4500TCP:53、80,、443、22(运维需要,默认可以不开),icmp)端口。
步骤5-核实SAG上线状态和配置效果。
1.完成上述配置后,可以从阿里云控制台-智能接入网关首页的管控、VPN状态信息和设备前面板的cloud指示灯情况,来查看盒子当前状态,显示正常。
2.SAG Web管理页面首页上IPsec状态和管控状态显示正常,表示网关设备已成功连接至阿里云。
3.网关设备前面板cloud指示等为绿灯,表示网关设备已成功连接到阿里云。
正面:智能接入网关的前面板由4个LED指示灯组成,具体说明如下。
LTE:表示设备通讯是否正常。
CLOUD:表示是否连接到阿里云。
SYS:表示智能接入网关设备状态。
PWR:表示电源状态。
4. 方案验证
4.1 访问测试
完成上述配置后,您可以通过在线下总部的客户端访问已连接的VPC中部署的云资源验证配置是否生效。
操作步骤
1.线下主机长ping阿里云云上ECS。
2.把主sag进行断电。
3.观察icmp ping包丢失的情况。一般来说到换时间5s左右流量可恢复到备sag。