前段時間幫客戶安裝部署了一台SAG-1000,這是一台定位于總部和IDC接入上雲的智能網關裝置(SAG),有關SAG我也寫過兩篇介紹性的文章了,而這次的内容更加偏重實操一些。
首先看現有網絡環境:
可以說上面的網絡環境還是非常典型的,最外面是一台防火牆,連接配接營運商的網際網路線路,并通過防火牆做NAT位址轉換實作内網使用者的網際網路通路,中間是一台上網行為管理裝置,通過上網行為管理裝置來阻斷和工作無關的上網流量,最下面是核心交換機,通過各個接入交換機連接配接着内網的所有使用者和伺服器等裝置。
我們的目标網絡拓撲是這樣的:
雖然SAG可以直接旁挂在核心交換機上,通過單臂路由實作上雲接入,但那樣以來SAG的網絡流量就要經過上網行為管理裝置的過濾,有可能對SAG的上雲網絡連接配接造成不必要的幹擾。最終決定在核心和防火牆之前再加一條鍊路,讓上網行為管理裝置和SAG“并聯”,這樣還有一個好處是可以通過在防火牆或上網行為管理裝置對使用者端直接通路網際網路的流量進行限流來盡可能保證SAG上雲的帶寬。
為了實作用戶端在無感覺的情況下“自動”上雲,在現有網絡裝置上需要做如下配置:
- 在核心交換機增加一個VLAN并配置IP位址,将和SAG連接配接的端口加入到該VLAN。
- 在核心交換機加一條針對雲上VPC網段的靜态路由,下一跳位址位址為SAG的内網位址(LAN口位址)
- 在防火牆增加一個二層接口并配置IP位址,未來将把SAG的WAN口連接配接到該接口上。
- 在防火牆為該接口對應的網段配置NAT位址轉換,保證該接口下連接配接的網絡裝置可以通路網際網路。
按照SAG介紹頁面的使用流程是這樣的:
按照第四步的說法是可以遠端進行配置,先上架、加電,SAG-1000的前面闆是這樣的:
LTE的燈是亮着的,裡面有一張阿裡雲預置的4G SIM卡,在前面闆可以顯示信号的強度,在包裝裡還有兩根外置天線,固定到裝置背面的接口後可以看到信号增加了一格。
後面闆是這樣的:
在右手邊有一個SIM卡槽,假如希望在有線網絡故障時實作4G自動備份的功能,需要将阿裡雲的SIM卡替換成自己的SIM卡,因為阿裡雲預置的SIM卡隻能實作遠端配置管理而無法使用網際網路流量。
按照阿裡雲SAG-1000的安裝部署文檔介紹,SAG-1000的配置分成如下步驟:
我們已經将裝置加電,是以登入阿裡雲控制台将裝置激活即可,登入到購買SAG的賬号,可以看到SAG的執行個體,在裝置執行個體上進行操作綁定裝置,綁定裝置的過程中需要的激活碼就在SAG-1000的機殼底部。
端口角色配置設定可以遠端通過阿裡雲控制台進行(借助預置的4G網絡),也可以通過連接配接SAG-1000的MGT口在現場完成,預設情況下2口為MGT口,其預設位址為192.168.0.1/24,将電腦組態成該網段的其他IP位址就可以通過浏覽器進行直接通路和配置了,首次配置時會彈出密碼的初始化界面,可以設定該裝置的本地管理密碼,下次在本地通過MGT口進行管理時需要輸入該密碼才能通路。
我們登入到SAG-1000本地的管理界面後,将0口配置設定為LAN口,5口預設為WAN口無需修改,并根據核心交換機和防火牆的配置為LAN口和WAN口配置設定IP位址。在WAN口的配置中除了IP位址的配置還要将網關配置為防火牆的接口位址。
配置線下路由的同步方式必須在雲上控制台完成,這也算是一個坑吧,我之前是在裝置端利用管理口直接進行的配置,但總是出現丢失路由條目的情況,最後發現目前的SAG-1000的軟體版本預設從雲上進行路由條目的同步,是以在本地的配置經常會被雲上配置替換掉而導緻路由條目丢失。
登入阿裡雲控制台,找到SAG執行個體,進入裝置配置頁面,再進入路由管理頁面配置靜态路由,将核心交換機上的所有網段路由到核心交換機連接配接SAG的VLAN 接口IP上。這裡舉一個例子:假如核心交換機上有兩個網段,分别是10.0.1.0/24、10.0.2.0/24,核心交換機和SAG連接配接的VLAN接口位址是192.168.100.2,在這種環境下就需要在SAG上加兩條靜态路由,分别是10.0.1.0/24 下一跳 位址是192.168.100.2、10.0.2.0/24 下一跳位址也是192.168.100.2。這樣SAG就能夠把從雲端向用戶端發送的資料正确的發送給核心交換機進而轉發給用戶端了。
通過上述配置,SAG-1000本身的實施内容就已經全部完成了,接下來就剩下雲企業網(CEN)和雲接入網(CCN)的配置,就是将雲接入網CCN和雲上VPC都加載到同一個雲企業網CEN,具體的操作我之前有過介紹,這裡就不再贅述了。