7、智能接入网关

作者: Brinnatt 分类: alibabacloud 授课(国际班) 发布时间: 2023-02-21 20:56

智能接入网关SAG（Smart Access Gateway）是阿里云提供的软件定义广域网SD-WAN（Software Defined Wide Area Network）解决方案。企业可通过智能接入网关实现一站式接入阿里云，获得更加智能、安全和可靠的上云体验。

7.1、产品形态

智能接入网关包含以下三种产品形态：

硬件CPE（Customer Premises Equipment）设备形态：适用于站点接入上云。

在本地数据中心IDC（Internet Data Center）、企业分支和门店部署智能接入网关硬件设备后可自动和云上形成私网连接。智能接入网关提供SAG-100WM和SAG-1000两个型号的硬件设备。
- SAG-100WM：可放在桌面或弱电箱内，WAN侧支持宽带、4G接入，LAN侧支持有线、WI-FI接入，最大支持50 Mbps加密私网带宽（512字节），适用于小型分支和门店快捷接入。
- SAG-1000：可放在机架内，WAN侧支持专线、宽带、4G混合组网接入，LAN侧支持有线接入，最大支持500 Mbps加密私网带宽（512字节），适用于本地IDC和大型分支接入。
镜像vCPE形态：适用于站点接入上云。

智能接入网关vCPE是智能接入网关的软件镜像版，支持部署在本地IDC的服务器、阿里云边缘节点服务ENS（Edge Node Service）实例、阿里云、亚马逊云计算服务AWS、Microsoft Azure等云平台的云服务器上。部署后，智能接入网关vCPE作为一个虚拟CPE设备帮您将网络接入阿里云，加密私网带宽可达300 Mbps以上（1024字节），突破了物理的限制，为您接入上云提供更多的灵活性。
App形态：适用于终端接入上云。

电脑、手机等终端安装智能接入网关App后可一键接入上云，支持的系统包括：Windows（Windows 7 SP1及以上）、macOS（10.11.1及以上）、Android（5.0至10.0）和iOS（12.0及以上）。

7.2、产品组件

如下图所示，本地IDC、企业分支和门店可通过智能接入网关硬件设备接入阿里云；电脑和手机等终端可通过智能接入网关App接入阿里云；其他分支可通过智能接入网关vCPE接入阿里云。接入阿里云后，您可通过跨地域的云企业网将不同国家和不同地域的云上专有网络VPC（Virtual Private Cloud）、本地IDC、企业分支、门店、员工移动端及其他云上的网络节点进行连接，形成一张以阿里云为中心的全互联企业内网。

ExpressConnect_SAG

组件	说明	相关介绍
智能接入网关设备（SAG）	用户侧CPE设备	什么是智能接入网关
智能接入网关vCPE（SAG vCPE）	用户侧虚拟CPE设备	什么是智能接入网关vCPE
智能接入网关App（SAG App）	智能接入网关客户端	什么是智能接入网关App
云连接网CCN（CloudConnect Network）	阿里云接入点组成的接入网络	什么是云连接网
云企业网CEN（Cloud Enterprise Network）	阿里云云上跨地域网络	什么是云企业网
专有网络VPC（Virtual Private Cloud）	阿里云云上私有网络	什么是专有网络

7.3、技术架构

智能接入网关基于阿里云云原生SD-WAN架构，与传统SD-WAN架构相比有以下三点优势：

ZTP（Zero Touch Provisioning）安装部署，集中管理运维

控制层面是基于阿里云平台的软件定义（Software Defined），您可以像管理云上VPC和云服务器ECS（Elastic Compute Service）等资源一样，通过控制台、API和云监控平台来管理所有用户侧的智能接入网关硬件设备。
混合网络接入

转发层面是基于阿里云平台的企业私有广域网（WAN），支持专线、宽带和4G混合组网接入，提高专线利用率，提高网络可靠性。
云网融合

云、网和端一体化架构：
- 云上云下VPN协议自协商，无需额外配置。
- 云下一键访问云服务。
- 云上云下统一端到端的安全策略。

ExpressConnect_SAG_arch

7.4、功能特性

智能接入网关提供宽带、4G和专线等方式接入上云，并提供流日志、网络控制和NAT转换等功能方便您进行网络管理。

7.4.1、多链路

智能接入网关支持宽带WAN、4G和专线多个链路上云，链路之间可以互为备份，提高您网络的可靠性。

双链路备份–WAN+4G：同一台智能接入网关，支持宽带WAN+4G主备双链路接入阿里云。

说明智能接入网关硬件设备出厂时会携带一个4G卡，但该卡只能从云端接收配置，不能用于传输数据。建议您从运营商处购买一个可以传输数据的4G卡，该4G卡插入智能接入网关设备后可作为宽带备份链路，在宽带链路故障时为您传输数据。
专线备份：在客户网络中已有专线链路的情况下，可增加智能接入网关作为备份上云链路。
专线+Internet备份：智能接入网关支持Internet链路和专线互为备份链路，当主用链路发生故障时，自动切换至备用链路接入阿里云。

说明目前仅 SAG-1000支持专线功能，SAG-100WM不支持专线功能。更多信息，请参见什么是高速通道。

7.4.2、路由方式

智能接入网关支持多种路由方式，可支持配置静态路由，BGP动态路由和OSPF动态路由。更多信息，请参见路由配置。

7.4.3、服务质量QoS

智能接入网关支持基于五元组的QoS功能，您可以通过该功能划分不同业务的流量带宽，保证高优先级的流量带宽。

QoS即服务质量，在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。

用户同时拥有多家门店，门店的业务包括ERP、订单和OA办公等多种业务系统，各种业务系统之间争夺带宽，导致关键业务的带宽无法得到保证，从而引起了丢包。

您可以通过QoS策略根据各种业务的特点来对网络资源进行合理的规划和分配，从而使网络资源得到高效利用。更多信息，请参见什么是QoS策略。

7.4.4、网络地址转换NAT

智能接入网关支持网络地址转换NAT功能，您可以通过配置该功能隐藏内部网络地址，解决私网地址冲突，提高网络安全性。

SNAT：SNAT功能可以隐藏内部网络地址并解决私网地址冲突问题。智能接入网关将内部网络地址转换为外网地址，内部网络可以通过转换后的外网地址访问外部网络，但外部网络不能通过内网转换后地址主动发起对内部网络的访问。更多信息，请参见配置私网SNAT。
说明对于TCP、UDP、DCCP、SCTP等带端口的协议，如果源端口在如下三个范围段，SNAT后端口会和源端口在同一个端口范围。
- 低于512的端口。
- 512和1023之间的端口。
- 端口1024及更高端口。
DNAT：DNAT功能是指将智能接入网关内部地址映射为外部网络地址，外部网络可以通过映射后地址访问内部网络，从而使内部网络可对外提供服务。更多信息，请参见添加DNAT。

7.4.5、访问控制

智能接入网关支持访问控制功能，您可以针对不同的智能接入网络实例设置访问白名单或黑名单。更多信息，请参见访问控制概述。

7.4.6、流日志

智能接入网关支持流日志功能，可以记录智能接入网关的传入和传出流量信息。帮助您监控网络流量和排查网络故障。此外，您可以通过流日志分析业务构成，指导业务优化。更多信息，请参见流日志概述。

7.4.7、健康检查

智能接入网关支持健康检查功能，创建健康检查后智能接入网关设备可发送探测报文检测目的连通性。更多信息，请参见创建健康检查实例。

7.4.8、拨测监控

智能接入网关支持拨测监控功能，您可以通过为智能接入网关实例创建应用拨测监控对具体的业务目标进行监控，并通过云监控控制台设置报警规则，从而获知监控数据异常，以便您及时处理问题。更多信息，请参见拨测监控。

7.5、部署模式

智能接入网关支持直挂和旁挂两种部署模式。

7.5.1、直挂模式

智能接入网关可作为出口设备帮您把本地小型分支或机构接入阿里云，直挂模式下您本地分支或机构的所有流量均通过智能接入网关进行传输。

SAG_direct

7.5.2、旁挂模式

智能接入网关也可在不改变您现有组网的模式下，通过旁挂模式接入阿里云。旁挂模式下可以通过智能接入网关传递您的私网流量，去往公网的流量仍可通过您的出口设备进行传输。

SAG_side

7.6、应用场景

智能接入网关可满足不同场景的上云需求，您可以根据实际场景选择合适的组网。

7.6.1、移动上云组网

您可以通过智能接入网关APP将移动端用户或远程用户接入到阿里云。智能接入网关APP支持终端（PC和手机）直接拨号，内网加密安全上云，适用于移动办公和远程运维的场景。

SAG_senario_1

7.6.2、小型网络上云组网

您可以通过智能接入网关的直挂模式，将本地门店等小型机构或分支接入到阿里云。

在小型网络接入阿里云时，建议您购买一个传输数据的4G卡，将4G卡插入智能接入网关设备后，4G卡可作为上云的备用链路，在主用链路故障时，自动为您传输数据，提高网络的可靠性。

SAG_senario_2

7.6.3、大型网络上云组网

您可以通过智能接入网关的旁挂模式，将本地机构等大型网络接入到阿里云。

在大型网络接入阿里云时，建议您购买专线和4G卡，购买后专线、宽带和4G可互为备份链路上云，提高网络的可靠性。

专线备份（内置方式）

若您将购买的专线接入到购买的智能接入网关上，则阿里云默认会将本地网络流量优先通过专线传输。
专线备份（外置方式）

若您将专线接入到您自己的其他设备上，智能接入网关和专线的链路优先级可根据需要在您相关设备上进行配置。

7.6.4、高可用拓扑

如果您的业务对可用性要求高，在设计网络拓扑时，可考虑通过两台智能接入网关设备组成高可用网络接入阿里云。

您可以通过购买两台智能接入网关设备组成高可用网络接入阿里云，智能接入网关设备备份方式分为双机冷备和双机热备两种：

双机冷备：主设备在线，当主设备发生故障时，用备设备替换主设备连接入网，且需在智能接入网关管理控制台切换备设备为主设备。
双机热备：两台设备同时在线，自动检测，自动切换主备。

SAG-100WM默认为双机冷备模式，您可以根据产品需求修改设备为双机热备模式。具体操作，请参见双机冷备切换至双机热备。SAG-1000默认为双机热备模式，且仅支持双机热备模式。

7.6.4.1、双机直挂高可用组网模式

您可以通过将两台智能接入网关设备直挂部署在您的网络中并开启设备的高可用功能，将本地机构接入到阿里云，防止智能接入网关设备单点失效的问题，提高您网络的可靠性。

SAG_senario_5

7.6.4.2、双机旁挂动态路由组网模式

您可以通过将两台智能接入网关旁挂部署在您的网络中并启用动态路由，将本地机构接入到阿里云，让您的上云网络有快速响应的能力，提高您网络的可靠性。

智能接入网关启用动态路由后可自动学习线下路由，满足大型网络中网络更新迭代快的需求，减少您的运维工作。

SAG_senario_6