前段時間幫客戶安裝部署了一臺SAG-1000,這是一臺定位於總部和IDC接入上雲的智能網關設備(SAG),有關SAG我也寫過兩篇介紹性的文章了,而這次的內容更加偏重實操一些。
首先看現有網絡環境:
可以說上面的網絡環境還是非常典型的,最外面是一臺防火牆,連接運營商的互聯網線路,並通過防火牆做NAT地址轉換實現內網用戶的互聯網訪問,中間是一臺上網行為管理設備,通過上網行為管理設備來阻斷和工作無關的上網流量,最下面是核心交換機,通過各個接入交換機連接著內網的所有用戶和服務器等設備。
我們的目標網絡拓撲是這樣的:
雖然SAG可以直接旁掛在核心交換機上,通過單臂路由實現上雲接入,但那樣以來SAG的網絡流量就要經過上網行為管理設備的過濾,有可能對SAG的上雲網絡連接造成不必要的干擾。最終決定在核心和防火牆之前再加一條鏈路,讓上網行為管理設備和SAG“並聯”,這樣還有一個好處是可以通過在防火牆或上網行為管理設備對用戶端直接訪問互聯網的流量進行限流來儘可能保證SAG上雲的帶寬。
為了實現客戶端在無感知的情況下“自動”上雲,在現有網絡設備上需要做如下配置:
- 在核心交換機增加一個VLAN並配置IP地址,將和SAG連接的端口加入到該VLAN。
- 在核心交換機加一條針對雲上VPC網段的靜態路由,下一跳地址地址為SAG的內網地址(LAN口地址)
- 在防火牆增加一個二層接口並配置IP地址,未來將把SAG的WAN口連接到該接口上。
- 在防火牆為該接口對應的網段配置NAT地址轉換,保證該接口下連接的網絡設備可以訪問互聯網。
按照SAG介紹頁面的使用流程是這樣的:
按照第四步的說法是可以遠程進行配置,先上架、加電,SAG-1000的前面板是這樣的:
LTE的燈是亮著的,裡面有一張阿里雲預置的4G SIM卡,在前面板可以顯示信號的強度,在包裝裡還有兩根外置天線,固定到設備背面的接口後可以看到信號增加了一格。
後面板是這樣的:
在右手邊有一個SIM卡槽,假如希望在有線網絡故障時實現4G自動備份的功能,需要將阿里雲的SIM卡替換成自己的SIM卡,因為阿里雲預置的SIM卡只能實現遠程配置管理而無法使用互聯網流量。
按照阿里雲SAG-1000的安裝部署文檔介紹,SAG-1000的配置分成如下步驟:
我們已經將設備加電,因此登錄阿里雲控制檯將設備激活即可,登錄到購買SAG的賬號,可以看到SAG的實例,在設備實例上進行操作綁定設備,綁定設備的過程中需要的激活碼就在SAG-1000的機殼底部。
端口角色分配可以遠程通過阿里雲控制檯進行(藉助預置的4G網絡),也可以通過連接SAG-1000的MGT口在現場完成,默認情況下2口為MGT口,其默認地址為192.168.0.1/24,將電腦配置成該網段的其他IP地址就可以通過瀏覽器進行直接訪問和配置了,首次配置時會彈出密碼的初始化界面,可以設置該設備的本地管理密碼,下次在本地通過MGT口進行管理時需要輸入該密碼才能訪問。
我們登錄到SAG-1000本地的管理界面後,將0口分配為LAN口,5口默認為WAN口無需修改,並根據核心交換機和防火牆的配置為LAN口和WAN口分配IP地址。在WAN口的配置中除了IP地址的配置還要將網關配置為防火牆的接口地址。
配置線下路由的同步方式必須在雲上控制檯完成,這也算是一個坑吧,我之前是在設備端利用管理口直接進行的配置,但總是出現丟失路由條目的情況,最後發現目前的SAG-1000的軟件版本默認從雲上進行路由條目的同步,因此在本地的配置經常會被雲上配置替換掉而導致路由條目丟失。
登錄阿里雲控制檯,找到SAG實例,進入設備配置頁面,再進入路由管理頁面配置靜態路由,將核心交換機上的所有網段路由到核心交換機連接SAG的VLAN 接口IP上。這裡舉一個例子:假如核心交換機上有兩個網段,分別是10.0.1.0/24、10.0.2.0/24,核心交換機和SAG連接的VLAN接口地址是192.168.100.2,在這種環境下就需要在SAG上加兩條靜態路由,分別是10.0.1.0/24 下一跳 地址是192.168.100.2、10.0.2.0/24 下一跳地址也是192.168.100.2。這樣SAG就能夠把從雲端向客戶端發送的數據正確的發送給核心交換機進而轉發給客戶端了。
通過上述配置,SAG-1000本身的實施內容就已經全部完成了,接下來就剩下雲企業網(CEN)和雲接入網(CCN)的配置,就是將雲接入網CCN和雲上VPC都加載到同一個雲企業網CEN,具體的操作我之前有過介紹,這裡就不再贅述了。