智能接入网关：专线备份（外置专线）

网段规划

以下为本教程网段规划示例值。请您根据实际业务情况规划网段，并确保各个网段地址不冲突。

配置流程

步骤一：购买智能接入网关设备

在智能接入网关控制台购买智能接入网关设备后，阿里云会将智能接入网关设备寄送给您，并创建一个智能接入网关实例方便您管理设备。

1. 登录智能接入网关管理控制台。
2. 在左侧导航栏，单击智能接入网关。
3. 在智能接入网关页面，单击购买智能接入网关 > 创建智能接入网关（硬件版）。
4. 在智能接入网关页面，根据以下信息配置智能接入网关设备，然后单击立即购买。
   • 区域：智能接入网关设备使用区域。本示例选择中国内地。
   • 实例类型：选择智能接入网关设备规格。本示例选择SAG-1000。
   • 已有SAG硬件：选择是否已有智能接入网关硬件设备。本示例选择否。
   • 版本：智能接入网关设备版本。本示例使用默认标准版。
   • 购买数量：智能接入网关设备购买数量。本示例选择1。
   • 区域：智能接入网关设备使用的带宽区域。该区域类型和智能接入网关设备使用区域保持一致，且无法修改。
   • 实例名称：智能接入网关实例名称。

     名称长度为2~128个字符，以大小写字母或中文开头，可包含数字、半角句号（.）、短划线（-）和下划线（_）。

   • 带宽峰值：选择通信网络的带宽峰值。本示例选择50 Mbps。
   • 购买时长：选择购买时长。
5. 确认订单信息并勾选服务协议，然后单击确认购买。
6. 在弹出的收货地址对话框，填写网关设备的收货地址，然后单击立即购买。
7. 在弹出的支付页面，选择支付方式，然后完成支付。
8. 您可以在智能接入网关实例页面查看是否下单成功。智能接入网关设备会在下单后两个工作日内发货。您可以根据以下操作步骤查看物流状态。
   1. 在智能接入网关页面，找到目标智能接入网关实例。
   2. 在操作列选择>查看物流信息。
   3. 在订单查询面板查看物流信息。

步骤二：激活连接智能接入网关设备

收到智能接入网关设备后，请检查设备配件是否完整。关于设备配件信息，请参见SAG-1000设备说明。

设备检查完成后，您需要激活连接设备。

1. 登录智能接入网关管理控制台。
2. 在顶部菜单栏，选择目标区域。
3. 在智能接入网关页面，找到目标实例。将设备与智能接入网关实例进行绑定。具体操作，请参见添加设备。
4. 绑定后，返回到智能接入网关页面。在目标实例操作列下，单击 > 激活。
5. 在激活对话框，单击确定。
6. 激活设备后，您还需要将智能接入网关设备按照拓扑所示接入到本地机构中。
   通过网线，将智能接入网关设备的WAN口连接到三层交换机的G11端口上。

   本示例使用WAN口（端口5）。如果您的端口5不是WAN口，您可以修改端口角色。具体操作，请参见分配端口角色。

   说明

   • 仅SAG-1000型号设备的2.0版本支持端口角色分配功能。
   • 在您分配端口角色前，请保持网关设备启动且4G信号正常，已经连接到阿里云。

步骤三：配置智能接入网关设备

连接好设备后，您需要在智能接入网关管理控制台对设备进行配置。

在执行此操作前，请保持设备启动且4G信号正常，已经连接到阿里云。

1. 登录智能接入网关管理控制台。
2. WAN口配置。
   1. 登录智能接入网关管理控制台。
   2. 在顶部菜单栏，选择目标区域。
   3. 在智能接入网关页面，单击目标网关实例ID链接。
   4. 在智能接入网关实例详情页面，单击设备管理页签。
   5. 在页签左侧区域，单击WAN口管理。
   6. 在WAN（端口5）区域，单击编辑。
   7. 在WAN（端口5）配置对话框，根据以下信息配置端口，然后单击确定。
      • 连接类型：选择静态IP。
      • IP地址：WAN口IP地址。本场景输入192.168.100.1。
      • 掩码：WAN口IP地址掩码。本场景输入255.255.255.252。
      • 网关：网关IP地址。本场景输入192.168.100.2。
        说明 配置网关后，智能接入网关设备会生成一条默认路由。
3. 配置BGP路由协议。
   说明 软件版本为1.0系列版本的SAG-1000设备没有单独的用于接入专线的端口，请勿在智能接入网关Web管理控制台配置BGP路由时将端口的对端AS配置为高速通道的AS号（对端AS代表用于接入专线的端口的接口属性），如果您进行了配置，那么您的智能接入网关设备将不会通过云企业网学习到VPC实例路由。
   1. 在页签左侧区域，单击路由管理。
   2. 在BGP协议配置区域，单击编辑。
   3. 在配置BGP路由协议对话框，根据网络规划，配置BGP路由协议，然后单击确定。
      • 本端AS：本示例输入65435。
      • Router ID：本示例输入192.168.2.2。
      • Hold Time：本示例输入180秒。
      • Keep Alive：本示例输入60秒。
4. 启用BGP路由协议并为WAN口启用BGP。
   1. 在动态路由配置详情区域，单击启用BGP协议。
   2. 在切换路由协议对话框，单击确定。
   3. 在展示的端口页面，选择目标端口5（WAN），单击操作列的编辑。
   4. 在BGP动态路由配置修改对话框，选择启用BGP，并配置对端IP和对端AS，然后单击确定。
      对端IP和对端AS为WAN口连接的对端交换机的BGP AS号以及G11端口IP地址。

      • 对端AS：本示例为65430。
      • 对端IP：本示例为192.168.100.2。
   
5. 配置线下路由同步方式。
   1. 在智能接入网关实例详情页面，单击网络配置页签。
   2. 在页签左侧区域，单击线下路由同步方式。
   3. 选择静态路由，然后单击添加静态路由，然后单击确定。

      静态路由添加为本地网络要和云上互通的网段：172.16.0.0/12。

      

步骤四：配置边界路由器

您需要在高速通道控制台配置边界路由器实例 ，建立和三层交换机的BGP邻居关系。

1. 配置BGP组。
   1. 登录高速通道管理控制台。
   2. 在顶部菜单栏，选择目标地域。
   3. 在左侧导航栏，单击边界路由器（VBR）。
   4. 在边界路由器（VBR）页面，单击目标边界路由器实例ID链接。
   5. 在边界路由器实例详情页面，单击BGP组页签。
   6. 在BGP组页签下，单击创建BGP组，并根据以下信息进行BGP组配置。
      • 名称：BGP组的名称。本示例输入test。
      • Peer AS号：三层交换机侧AS号。本示例输入65430。
      • BGP密钥：该BGP组的密钥。本示例不配置该项。
      • 描述：BGP组的描述信息。本示例输入SAGtest。
   7. 单击确定。
2. 配置BGP邻居。
   1. 在边界路由器实例详情页面，单击BGP邻居页签。
   2. 在BGP邻居页签下，单击创建BGP邻居。
   3. 在创建BGP邻居面板，配置BGP邻居信息，然后单击确定。
      • BGP组：要加入的BGP组。本示例选择刚刚创建的BGP组。
      • BGP邻居IP：BGP邻居的IP地址。本示例输入三层交换机G12端口IP地址192.168.110.1。
   

步骤五：配置交换机和路由器

您还需要为智能接入网关设备对端的三层交换机和出口路由器添加路由配置，此处以某品牌交换机和路由器为例，由于不同厂商交换机和路由器配置不同，详情请参考厂商设备手册。

1. 三层交换机的路由配置。

   
   interface GigabitEthernet 0/11
   no switchport
   ip address 192.168.100.2 255.255.255.252     #智能接入网关对端交换机的端口IP
   
   interface GigabitEthernet 0/12
   no switchport
   ip address 192.168.110.1 255.255.255.252     #边界路由器对端交换机的端口IP
   
   router bgp 65430
   bgp router-id 192.168.1.1
   network 172.16.0.0 mask 255.240.0.0          #宣告本地网络私网网段
   neighbor 192.168.100.1 remote-as 65435       #和智能接入网关建立邻居关系
   neighbor 192.168.100.1 timers 60 180         #配置BGP路由协议的Keep Alive和Hold Time
   neighbor 192.168.110.2 remote-as 45104       #和边界路由器建立邻居关系
   exit
                   

   说明 以上交换机路由配置为本示例内容。请根据您网络实际情况进行路由配置和网段宣告。

   例如：您本地网络中包含多台三层交换机，交换机之间通过运行OSPF动态路由协议学习本地网络私网网段，那么您需要在和智能接入网关连接的三层交换机中进行OSPF和BGP路由协议的路由重分布操作，以便您本地网络的所有三层交换机均能够通过OSPF路由协议学习到云上VPC网段，同时边界路由器实例也能通过BGP协议学习到您本地网络的所有私网网段。具体命令请参考您相应的厂商设备手册。

2. 出口路由器的路由配置。

   
   ip route 192.168.100.0 255.255.255.252  192.168.80.2  #出口路由器去往智能接入网关的路由
                   

步骤六：配置云上网络连接

在配置好设备后，您需要配置云上网络连接，将本地网络接入阿里云。

1. 创建云连接网。
   1. 登录智能接入网关管理控制台。
   2. 在顶部菜单栏，选择中国内地区域。
      云连接网区域需和智能接入网关设备使用区域保持一致。
   3. 在左侧导航栏，单击云连接网。
   4. 在云连接网页面，单击创建云连接网。
   5. 在创建云连接网面板，配置云连接网名称，然后单击确定。
2. 绑定云连接网。
   1. 在左侧导航栏，单击智能接入网关。
   2. 在智能接入网关页面，单击目标实例操作列的网络配置。
   3. 在页签左侧区域，单击绑定网络详情。
   4. 在绑定网络详情页签下，单击添加网络，选择绑定云连接网并选择刚刚创建的云连接网实例，然后单击确定。
      
   5. 请重复同样的步骤，将已经创建的边界路由器实例绑定到智能接入网关实例中。详情请参见绑定网络实例。
      在智能接入网关同时绑定云连接网实例和边界路由器实例的情况下，本地网络优先通过专线和云上进行互通。专线故障时，本地网络则会通过云连接网和云上进行互通，即通过Internet加密接入阿里云。
3. 将创建的云连接网实例和边界路由器实例添加到云企业网实例中。详情请参见加载网络实例。
   添加后，本地网络便可以和云企业网实例中已加载的VPC网络实例通信。

   说明 如果您的本地网络、边界路由器实例和VPC实例并不在同一个地域，您需要购买云企业网带宽包并设置跨地域互通带宽，实现跨地域网络实例互通。详情请参见使用带宽包和跨地域互通带宽。
4. 配置安全组规则。
   您需要为VPC中的云服务器（ECS）实例配置安全组规则，允许本地网络的私网网段172.16.0.0/12访问ECS中的资源。详情请参见添加安全组规则。

步骤七：在云企业网中添加路由策略

在云企业网中添加路由策略，以确保云连接网实例在通过云企业网学习到VPC实例路由的同时也可以通过VBR实例学习到VPC实例的路由。

在本文的场景中，云连接网通过VBR实例学习到VPC实例的路由后，云连接网实例不会向智能接入网关设备传播VPC实例的路由，确保本地数据中心和VPC之间优先通过物理专线进行互通。在物理专线故障后，云连接网实例将无法再通过VBR实例学习到VPC实例的路由，会自动将VPC实例的路由（通过云企业网学习到的）传播给智能接入网关设备，本地数据中心和VPC之间将通过智能接入网关设备进行互通。

1. 登录云企业网管理控制台。
2. 在云企业网实例页面，单击目标云企业网关实例ID。
3. 在基本信息页签下的转发路由器页签，单击目标云连接网实例连接的转发路由器ID。
4. 在转发路由器实例详情页面，单击转发路由器路由表页签。
5. 在转发路由器路由表页签，单击路由策略页签。
6. 在路由策略页签，单击添加路由策略。
7. 在添加路由策略页面，根据以下参数信息进行配置，然后单击确定。

   参数	说明
   策略优先级	输入策略优先级。
   描述	输入策略描述信息。
   地域	默认为中国内地云连接网且无法修改。
   生效方向	选择出地域网关。
   匹配条件	选择网络类型。选择源实例类型。 然后选择VBR。
   策略行为	选择允许。

步骤八：验证测试

1. 配置完成后，您在三层交换机上关闭您的专线端口，查看三层交换机中去往云上VPC的路由是否进行了切换。专线故障的情况下，去往云上VPC路由的下一跳将会指向智能接入网关。路由查看命令请参见您的厂商设备手册。
2. 您可以通过本地网络的客户端访问已连接的VPC中部署的云资源测试网络连通性。