Menggunakan SAG untuk menyiapkan koneksi jaringan cadangan - Smart Access Gateway

Topik ini menjelaskan cara menggunakan Smart Access Gateway (SAG) untuk membuat koneksi cadangan bagi sirkuit Express Connect antara jaringan lokal dan Alibaba Cloud, membantu Anda membangun lingkungan hybrid cloud yang sangat tersedia.

Prasyarat

Sebuah virtual private cloud (VPC) telah dibuat di wilayah China (Beijing). Untuk informasi lebih lanjut, lihat Buat dan Kelola VPC.
Sebuah instance Cloud Enterprise Network (CEN) telah dibuat dan dikaitkan dengan VPC di wilayah China (Beijing). Untuk informasi lebih lanjut, lihat Buat Instance CEN.
Sirkuit Express Connect terhubung ke jaringan lokal di wilayah China (Beijing), dan sebuah virtual border router (VBR) telah dibuat. Untuk informasi lebih lanjut, lihat Mode Klasik atau Ikhtisar Koneksi Terkelola melalui Sirkuit Express Connect.

Informasi latar belakang

Gambar berikut menunjukkan topologi jaringan yang digunakan dalam topik ini. Sebagai contoh, sebuah perusahaan telah menerapkan layanan di VPC di wilayah China (Beijing) dan sirkuit Express Connect terhubung ke jaringan lokal. Untuk membangun lingkungan yang sangat tersedia antara jaringan lokal dan Alibaba Cloud, perusahaan tersebut berencana menggunakan perangkat SAG untuk membuat koneksi cadangan, sementara sirkuit Express Connect berfungsi sebagai koneksi aktif.

Untuk menghindari perubahan dalam topologi jaringan, perangkat SAG-1000 diterapkan dalam mode one-arm untuk menghubungkan jaringan lokal ke Alibaba Cloud.
Jaringan lokal, perangkat SAG, dan VBR mempelajari rute melalui BGP, memudahkan pengelolaan dan pemeliharaan jaringan.
Instance SAG dikaitkan dengan instance Cloud Connect Network (CCN) dan VBR. VBR dan instance CCN dikaitkan dengan instance CEN yang sama. Perangkat SAG terhubung ke VPC melalui instance CEN.
Dalam contoh ini, lalu lintas jaringan ditransmisikan dalam arah berikut:
Ketika perangkat SAG dikaitkan dengan instance CCN dan VBR, CEN memilih koneksi melalui sirkuit Express Connect secara default. CEN lebih memilih mempelajari dan mengiklankan rute melalui sirkuit Express Connect. Ketika sirkuit Express Connect down, CEN mempelajari dan mengiklankan rute melalui CCN. Ini berarti bahwa baik lalu lintas masuk maupun keluar lebih disukai ditransmisikan melalui sirkuit Express Connect. Ketika sirkuit Express Connect down, lalu lintas masuk dan keluar ditransmisikan melalui CCN.

专线外置上云最佳实践

Pembagian subnet

Tabel berikut menjelaskan pembagian subnet dalam contoh ini. Kami sarankan Anda merencanakan pembagian subnet berdasarkan kebutuhan bisnis Anda dan memastikan bahwa blok CIDR tidak tumpang tindih satu sama lain.

Item	Blok CIDR
Jaringan lokal	Blok CIDR pribadi: 172.16.0.0/12
	Port G11 dari switch Lapisan 3: 192.168.100.2/30 Port G12 dari switch Lapisan 3: 192.168.110.1/30 Port G2 dari switch Lapisan 3: 192.168.80.2/30 BGP untuk switch Lapisan 3: Nomor Autonomous System (AS): 65430 ID Router: 192.168.1.1
	Port G1 dari router keluar: 192.168.80.1/30
SAG	Port WAN (port 5): 192.168.100.1/30. Alamat IP gateway: 192.168.100.2.
SAG	BGP: Nomor AS: 65435 ID Router: 192.168.2.2 Waktu keepalive: 60 detik Waktu hold: 180 detik Port yang diaktifkan BGP: Port WAN
VBR	Alamat IP sisi Alibaba Cloud: 192.168.110.2/30 Alamat IP sisi klien (sisi switch Lapisan 3 dalam contoh ini): 192.168.110.1/30 VLAN: 0
VPC di China (Beijing)	Blok CIDR VPC: 10.0.0.0/16

Prosedur

专线内置流程

Langkah 1: Membeli perangkat SAG

Setelah Anda membeli perangkat SAG di Konsol SAG, Alibaba Cloud akan mengirimkan perangkat tersebut ke alamat yang ditentukan dan membuat instance SAG untuk membantu Anda memfasilitasi manajemen jaringan.

Catatan

Untuk menggunakan perangkat SAG di area di luar daratan Tiongkok, Anda harus membeli perangkat SAG dari vendor pihak ketiga. Untuk informasi lebih lanjut, lihat Membeli Perangkat SAG.

Masuk ke Konsol SAG.
Di bilah navigasi sisi kiri, klik Smart Access Gateway.
Di halaman Smart Access Gateway, pilih Purchase SAG > Create SAG CPE.
Di halaman Smart Access Gateway, atur parameter berikut dan klik Buy Now:
- Area: Pilih area di mana perangkat SAG akan diterapkan. Mainland China dipilih dalam contoh ini.
- Device Spec: Pilih model perangkat SAG. SAG-1000 dipilih dalam contoh ini.
- Have SAG Devices Already: Pilih apakah Anda sudah memiliki perangkat SAG. Dalam contoh ini, No dipilih.
- Edition: Pilih edisi perangkat SAG. Standard dipilih dalam contoh ini.
- Quantity: Pilih jumlah perangkat SAG yang ingin dibeli. Dalam contoh ini, 1 telah dipilih.
- Area: Pilih area di mana bandwidth SAG akan digunakan. Area ini sama dengan area perangkat SAG dan tidak dapat diubah.
- Instance Name: Masukkan nama untuk instans SAG.
  Nama tersebut harus terdiri dari 2 hingga 128 karakter, dan dapat berisi huruf, angka, titik (.), tanda hubung (-), serta garis bawah (_). Nama harus dimulai dengan huruf.
- Peak Bandwidth: Pilih nilai maksimum bandwidth untuk koneksi jaringan. 50 Mbps dipilih dalam contoh ini.
- Subscription Duration: Pilih durasi langganan.
Konfirmasi informasi pesanan, pilih syarat layanan, lalu klik Buy Now.
Di kotak dialog Shipping Address, masukkan alamat penerima dan klik Buy Now.
Di halaman Pay, pilih metode pembayaran dan selesaikan pembayaran.
Anda dapat memeriksa apakah pesanan telah ditempatkan di halaman Smart Access Gateway. Perangkat SAG akan dikirim dalam dua hari kerja setelah Anda menempatkan pesanan. Untuk memeriksa pembaruan pengiriman, lakukan operasi berikut:
1. Di halaman Smart Access Gateway, temukan instance SAG yang ingin Anda periksa.
2. Pilih > View Shipping Update di kolom Actions.
3. Di panel Order Updates, lihat pembaruan pengiriman.

查看下单状态

Langkah 2: Mengaktifkan perangkat SAG

Setelah Anda menerima perangkat SAG-1000, periksa apakah Anda telah menerima semua aksesori. Untuk informasi lebih lanjut, lihat Spesifikasi Perangkat SAG-1000.

Kemudian, Anda harus mengaktifkan perangkat SAG dan menghubungkannya ke jaringan lokal Anda.

Masuk ke Konsol SAG.
Di bilah navigasi atas, pilih area di mana perangkat SAG diterapkan.
Di halaman Smart Access Gateway, temukan instance SAG yang ingin Anda aktifkan. Hubungkan perangkat SAG dengan instance SAG. Untuk informasi lebih lanjut, lihat Tambahkan Perangkat.
Setelah Anda menghubungkan perangkat SAG dengan instance SAG, kembali ke halaman Smart Access Gateway. Temukan instance SAG dan pilih > Activate di kolom Actions.
Di pesan Activate, klik OK.
Setelah perangkat SAG diaktifkan, sambungkan ke jaringan lokal berdasarkan topologi jaringan yang disebutkan sebelumnya.
Gunakan kabel jaringan untuk menghubungkan port WAN dari perangkat SAG ke port G11 pada switch Lapisan 3.
Dalam contoh ini, port WAN adalah port 5. Jika Anda tidak ingin port 5 menjadi port WAN, Anda dapat memodifikasi peran port. Untuk informasi lebih lanjut, lihat Tetapkan Peran Port.
Catatan
Hanya versi 2.0 dari Perangkat SAG-1000 yang mengizinkan Anda memodifikasi peran port.
Sebelum menetapkan peran port, pastikan bahwa perangkat SAG telah diaktifkan, jaringan 4G berfungsi dengan baik, dan perangkat terhubung ke Alibaba Cloud.

Langkah 3: Konfigurasi perangkat SAG

Setelah perangkat SAG terhubung ke jaringan lokal Anda, Anda dapat mengonfigurasi port perangkat di Konsol SAG.

Sebelum Anda mulai, pastikan bahwa perangkat SAG telah dinyalakan, jaringan 4G bekerja seperti yang diharapkan, dan perangkat SAG terhubung ke Alibaba Cloud.

Masuk ke Konsol SAG.
Konfigurasikan port WAN.
1. Masuk ke Konsol SAG.
2. Di bilah navigasi atas, pilih wilayah.
3. Pada halaman Smart Access Gateway, klik ID dari instance SAG.
4. Pada halaman detail instance, klik tab Device Management.
5. Di pohon navigasi di sisi kiri, klik Manage WAN Ports.
6. Di bagian WAN (Port 5), klik Edit.
7. Di kotak dialog Configure WAN (Port 5), atur parameter berikut dan klik OK.
  - Link Type: Pilih Static.
  - IP: Masukkan alamat IP dari port WAN. 192.168.100.1 digunakan dalam contoh ini.
  - Subnet Mask: Masukkan subnet mask dari alamat IP port WAN. 255.255.255.252 digunakan dalam contoh ini.
  - Gateway: Masukkan alamat IP dari gateway. 192.168.100.2 digunakan dalam contoh ini.
    Catatan
    Setelah parameter di atas dikonfigurasi, perangkat SAG akan menghasilkan rute default.
Konfigurasikan BGP.
Catatan
Perangkat SAG-1000 dengan versi perangkat lunak 1.0 tidak menyediakan port khusus untuk sirkuit Express Connect. Jangan atur nomor AS peer BGP ke nomor AS sirkuit Express Connect saat Anda mengonfigurasi perutean BGP di Konsol SAG. Jika tidak, perangkat SAG Anda tidak dapat mempelajari rute VPC melalui CEN. Nomor AS peer BGP menunjukkan atribut port yang akan dihubungkan ke sirkuit Express Connect.
1. Pada tab Manajemen Perangkat, klik Manage Routes di panel manajemen di sebelah kiri.
2. Di bagian BGP Protocol Settings, klik Edit.
3. Di kotak dialog Configure BGP, atur parameter dan klik OK.
  - Local AS: 65435 digunakan dalam contoh ini.
  - Router ID: 192.168.2.2 digunakan dalam contoh ini.
  - Hold Time: 180 digunakan dalam contoh ini.
  - Keep Alive: 60 digunakan dalam contoh ini.
Aktifkan BGP untuk port WAN.
1. Di bagian Dynamic Routing Settings, pilih Enable BGP Protocol.
2. Di pesan Change Routing Protocol, klik OK.
3. Temukan Port5 (WAN) di bagian Dynamic Routing Settings, dan klik Edit di kolom Actions.
4. Di kotak dialog Modify BGP Dynamic Routing Settings, pilih Enable BGP, tentukan alamat IP peer dan AS peer, lalu klik OK.
  Atur alamat IP peer dan AS peer ke alamat IP port G11 dan nomor AS BGP dari switch peer.
  - Peer AS: 65430 digunakan dalam contoh ini.
  - Peer IP: 192.168.100.2 digunakan dalam contoh ini.
Pilih metode untuk mengiklankan rute ke Alibaba Cloud.
1. Di halaman detail instance SAG, klik tab Network Configuration.
2. Di panel manajemen di sebelah kiri, klik Methods to Synchronize with On-premises Routes.
3. Pilih Static Routing, klik Add Static Route untuk menambahkan blok CIDR, lalu klik OK.
  Masukkan blok CIDR yang digunakan untuk merutekan lalu lintas jaringan dari jaringan lokal ke Alibaba Cloud. 172.16.0.0/12 digunakan dalam contoh ini.

Langkah 4: Konfigurasi VBR

Pada langkah ini, Anda perlu mengonfigurasi VBR di Konsol Express Connect untuk menetapkan hubungan peer BGP antara VBR dan switch Lapisan 3.

Konfigurasikan grup BGP
1. Masuk ke Express Connect Console.
2. Di bilah navigasi atas, pilih wilayah.
3. Di panel navigasi di sisi kiri, klik Virtual Border Routers (VBRs).
4. Pada halaman Virtual Border Routers (VBRs), klik ID dari VBR.
5. Pada halaman detail, klik tab BGP Groups.
6. Pada tab BGP Groups, klik Create BGP Group dan atur parameter berikut:
  - Name: Masukkan nama untuk grup BGP. Dalam contoh ini, digunakan test.
  - Peer ASN: Masukkan nomor AS dari switch Lapisan 3. Dalam contoh ini, digunakan 65.430.
  - BGP Key: Masukkan kunci dari grup BGP. Parameter ini diabaikan dalam contoh ini.
  - Description: Masukkan deskripsi untuk grup BGP. Dalam contoh ini, SAGtest digunakan.
7. Klik OK.
Konfigurasikan peer BGP.
1. Di halaman detail VBR, klik tab BGP Peers.
2. Pada tab BGP Peers, klik Create BGP Peer.
3. Di panel Create BGP Peer, atur parameter berikut dan klik OK.
  - BGP Group: Tentukan grup BGP ke mana Anda ingin menambahkan VBR dan perangkat SAG. Grup BGP test digunakan dalam contoh ini.
  - BGP Peer IP: Masukkan alamat IP dari peer BGP. 192.168.110.1 digunakan dalam contoh ini, yang merupakan alamat IP dari port G12 pada switch Lapisan 3.

Langkah 5: Konfigurasi switch dan router

Anda juga perlu membuat rute untuk switch peer dan router Internet-facing dari perangkat SAG. Switch dan router yang digunakan dalam contoh ini mungkin berbeda dari milik Anda. Untuk informasi lebih lanjut, lihat manual yang diberikan oleh penyedia Anda.

Konfigurasikan rute untuk switch Lapisan 3.


interface GigabitEthernet 0/11
no switchport
ip address 192.168.100.2 255.255.255.252      #Alamat IP dari switch peer perangkat SAG

interface GigabitEthernet 0/12
no switchport
ip address 192.168.110.1 255.255.255.252     #Alamat IP dari switch peer VBR

router bgp 65430
bgp router-id 192.168.1.1
network 172.16.0.0 mask 255.240.0.0          #Mengiklankan blok CIDR privat dari jaringan lokal
neighbor 192.168.100.1 remote-as 65435       #Membangun hubungan tetangga dengan perangkat SAG
neighbor 192.168.100.1 timers 60 180         #Mengatur interval waktu keepalive dan waktu tahan untuk BGP
neighbor 192.168.110.2 remote-as 45104       #Membangun hubungan tetangga dengan VBR
exit

Penting

Anda hanya perlu mengiklankan blok CIDR privat dari jaringan lokal yang perlu berkomunikasi dengan VPC. Kami menyarankan Anda untuk menyusun rute yang ingin Anda iklankan dan yang tidak ingin Anda iklankan, misalnya, rute dari VPC, instance SAG lainnya, dan VBR lainnya. Jika tidak, loop routing mungkin terjadi.

Konfigurasikan rute untuk router egress. Contoh berikut menyediakan konfigurasi sampel.


ip route 192.168.100.0 255.255.255.252 192.168.80.2 #Rute ke perangkat SAG

Langkah 6: Menyiapkan koneksi jaringan

Setelah Anda mengonfigurasi perangkat SAG, Anda harus menyiapkan koneksi jaringan untuk menghubungkan jaringan lokal ke Alibaba Cloud.

Hubungkan instance SAG ke instance CCN.
1. Masuk ke Konsol SAG.
2. Di bilah navigasi atas, pilih Mainland China.
  Instansi CCN dan instansi SAG harus diterapkan di area yang sama.
3. Di panel navigasi sisi kiri, klik CCN.
4. Pada halaman CCN, klik Create CCN Instance.
5. Di panel Create CCN Instance, tentukan nama untuk instansi CCN dan klik OK.
Hubungkan instance SAG dengan instance CCN.
1. Di panel navigasi sebelah kiri, klik Smart Access Gateway.
2. Pada halaman Smart Access Gateway, temukan instance SAG dan klik Network Configuration di kolom Actions.
3. Di panel manajemen sebelah kiri, klik Network Instance Details.
4. Pada tab Network Instance Details, klik Attach Network, pilih instance CCN yang telah Anda buat, lalu klik OK.
5. Ulangi langkah-langkah sebelumnya untuk mengaitkan VBR dengan instance SAG. Untuk informasi lebih lanjut, lihat Attach a Network Instance.
  Jika instance SAG dikaitkan dengan instance CCN dan VBR, jaringan lokal terhubung ke Alibaba Cloud melalui sirkuit Express Connect secara default. Jika sirkuit Express Connect tidak aktif, jaringan lokal terhubung ke Alibaba Cloud melalui CCN. Dalam hal ini, koneksi dienkripsi dan dibangun melalui Internet.
Hubungkan instance CCN dan VBR ke instance CEN. Untuk informasi lebih lanjut, lihat Hubungkan Instance Jaringan.
Jaringan lokal kemudian dapat berkomunikasi dengan VPC yang terhubung ke instance CEN.
Catatan
Jika jaringan lokal, VBR, dan VPC tidak berada di wilayah yang sama, Anda harus membeli paket bandwidth untuk instance CEN dan mengalokasikan bandwidth antar-wilayah. Dengan cara ini, jaringan lokal, VBR, dan VPC dapat saling berkomunikasi. Untuk informasi lebih lanjut, lihat Gunakan Paket Bandwidth dan Kelola Bandwidth untuk Koneksi Antar-Wilayah.
Konfigurasikan aturan grup keamanan.
Anda harus membuat aturan grup keamanan untuk Instance ECS di VPC untuk mengizinkan akses dari blok CIDR pribadi 172.16.0.0/12 ke sumber daya yang diterapkan pada Instance ECS. Untuk informasi lebih lanjut, lihat Tambah Aturan Grup Keamanan.

Langkah 7: Tambahkan kebijakan routing ke instance CEN

Tambahkan kebijakan routing ke instance CEN untuk memastikan bahwa instance CCN dapat mempelajari rute VPC dari instance CEN dan VBR.

Dalam contoh ini, setelah instance CCN mempelajari rute VPC dari VBR, instance CEN tidak lagi mengiklankan rute VPC ke perangkat SAG. Ini memastikan bahwa lalu lintas jaringan antara jaringan lokal dan VPC disukai ditransmisikan melalui sirkuit Express Connect. Jika sirkuit Express Connect down, instance CCN tidak lagi mempelajari rute VPC dari VBR dan secara otomatis mengiklankan rute VPC yang dipelajari dari instance CEN ke perangkat SAG. Kemudian, lalu lintas jaringan antara jaringan lokal dan VPC ditransmisikan melalui perangkat SAG.

Masuk ke Konsol CEN.
Di halaman Instances, klik ID instance CEN yang ingin Anda kelola.
Di tab Basic Settings, klik tab Transit Router dan klik ID transit router yang ingin Anda kelola.
Di halaman detail transit router, klik tab Route Table.
Di tab Route Table, klik tab Route Maps.
Di tab Route Maps, klik Add Route Map.

Di halaman Add Route Map, atur parameter dan klik OK.

Parameter	Deskripsi
Routing Policy Priority	Masukkan prioritas untuk kebijakan routing.
Description	Masukkan deskripsi untuk kebijakan routing.
Region	Chinese Mainland CCN dipilih secara default dan tidak dapat diubah.
Policy Direction	Pilih Export from Regional Gateway.
Match Condition	Pilih tipe jaringan. Pilih Source Instance Type dari daftar drop-down. Kemudian, pilih VBR.
Action Policy	Pilih Allow.

Langkah 8: Uji failover koneksi dan konektivitas jaringan

Setelah Anda menyelesaikan langkah-langkah sebelumnya, tutup port Express Connect pada switch Lapisan 3 dan uji apakah rute yang menunjuk ke VPC beralih. Jika sirkuit Express Connect mengalami kesalahan, tujuan hop berikutnya berubah dari VPC ke perangkat SAG. Untuk informasi lebih lanjut tentang perintah yang digunakan untuk melihat rute, lihat manual yang dikeluarkan oleh penyedia Anda.
Anda dapat mengakses sumber daya cloud di VPC yang terhubung dari klien lokal untuk menguji konektivitas.