通過雲企業網和企業版轉寄路由器實現同地區雲上雲下網路互連 - Cloud Enterprise Network

本地IDC（Internet Data Center）通過物理專線和邊界路由器VBR（Virtual Border Router）串連至阿里雲後，您可以將VBR執行個體和VPC執行個體串連至轉寄路由器中，實現本地IDC與同地區Virtual Private Cloud (VPC)執行個體網路互連、同地區VPC執行個體之間網路互連。

情境樣本

某企業在杭州擁有一個本地IDC，已通過物理專線和VBR執行個體串連至阿里雲；同時，企業在阿里雲華東1（杭州）地區建立了VPC1和VPC2，2個VPC使用Elastic Compute Service（Elastic Compute Service）分別部署了應用服務，本地IDC與VPC、VPC與VPC之間互不相通。現在因業務發展需要，企業需要本地IDC與VPC、VPC與VPC之間可以互相通訊，資源互訪。

企業可以使用雲企業網產品，將2個VPC和1個VBR串連至華東1（杭州）地區的轉寄路由器執行個體，快速實現同地區下本地IDC與VPC、VPC與VPC之間的資源互訪。

企業版-同地區互連架構圖

前提條件

您已經通過物理專線和VBR將本地IDC接入了阿里雲。具體操作，請參見本地IDC通過專線訪問Elastic Compute Service。

您已經在阿里雲華東1（杭州）地區建立了2個VPC，2個VPC均使用ECS部署了應用服務。具體操作，請參見搭建IPv4專用網路。

請確保每個VPC在企業版轉寄路由器支援的可用性區域中擁有足夠的交換器執行個體，且每個交換器執行個體擁有至少一個閒置IP地址。

對於企業版轉寄路由器僅支援一個可用性區域的地區（例如華東5（南京-本地地區）地區），VPC執行個體需在當前可用性區域下擁有至少一個交換器執行個體。
對於企業版轉寄路由器支援多個可用性區域的地區（例如華東2（上海）地區），VPC執行個體需在這些可用性區域中擁有至少2個交換器執行個體，2個交換器執行個體需位於不同的可用性區域。

更多資訊，請參見VPC串連原理。

單擊查看企業版轉寄路由器支援的地區和可用性區域

地區	地區	可用性區域
中國內地	華東1（杭州）	B、H、I、J、K
	華東2（上海）	B、E、F、G、L、M、N
	華東5（南京-本地地區）	A
	華東6（福州-本地地區）	A
	華南1（深圳）	A（停止新使用者新購）、 C、D、E、F
	華南2（河源）	A、B
	華南3（廣州）	A、B
	華北1（青島）	B、C
	華北2（北京）	C、G、H、I、J、K、L
	華北3（張家口）	A、B、C
	華北5（呼和浩特）	A、B
	華北6（烏蘭察布）	A、B、C
	西南1（成都）	A、B
亞太地區	新加坡	A、B、C
	中國香港	B、C、D
	馬來西亞（吉隆坡）	A、B
	印尼（雅加達）	A、B、C
	菲律賓（馬尼拉）	A
	日本（東京）	A、B、C
	韓國（首爾）	A
	泰國（曼穀）	A
歐洲	德國（法蘭克福）	A、B、C
歐洲	英國（倫敦）	A、B
北美	美國（維吉尼亞）	A、B
北美	美國（矽谷）	A、B
中東	沙特（利雅得）	A、B

本樣本2個VPC、1個VBR和本地IDC網路規劃如下表所示，在您規劃網路時請確保要互連的網段沒有重疊。

屬性	VPC1	VPC2	VBR	本地IDC
網路執行個體所屬地區	華東1（杭州）	華東1（杭州）	華東1（杭州）	杭州
網路執行個體的網段規劃	VPC網段：192.168.0.0/16 交換器1網段：192.168.20.0/24 交換器2網段：192.168.21.0/24	VPC網段：10.0.0.0/16 交換器1網段：10.0.0.0/24 交換器2網段：10.0.1.0/24	VLAN ID：0 阿里雲側IPv4互聯IP：172.16.1.2，子網路遮罩為255.255.255.252 客戶側IPv4互聯IP：172.16.1.1，子網路遮罩為255.255.255.252	本網網段：172.16.0.0/16
網路執行個體交換器的可用性區域	交換器1位於可用性區域H 交換器2位於可用性區域I	交換器1位於可用性區域H 交換器2位於可用性區域I	不涉及	不涉及
伺服器IP地址	ECS1 IP地址：192.168.20.161	ECS2 IP地址：10.0.0.33	不涉及	本機伺服器IP地址：172.16.0.89

您已經瞭解2個VPC中ECS執行個體所應用的安全性群組規則及本地IDC伺服器所應用的存取控制規則，並確保ECS執行個體的安全性群組規則以及本地IDC伺服器的存取控制規則允許VPC之間資源互訪、VPC與本地IDC之間資源互訪。具體操作，請參見查詢安全性群組規則和添加安全性群組規則。

配置流程

快速入門-企業版-雲上雲下互連-配置流程

步驟一：建立雲企業網執行個體

雲企業網執行個體是建立和管理一體化網路的基礎資源，在實現網路互連前，需要先建立一個雲企業網執行個體。

登入雲企業網管理主控台。
在雲企業網執行個體頁面，單擊建立雲企業網執行個體。
在创建云企业网实例對話方塊，根據以下資訊進行配置，然後單擊确认。
- 名称：輸入雲企業網執行個體的名稱。
- 描述：輸入雲企業網執行個體的描述資訊。
- 资源组：選擇雲企業網執行個體所屬的資源群組。
  本文不選擇，雲企業網執行個體建立完成後將歸屬於預設資源群組。
- 标签：輸入雲企業網執行個體的標籤。本文保持為空白值。

步驟二：建立轉寄路由器執行個體

在串連網路執行個體前，需要在網路執行個體所屬地區建立轉寄路由器執行個體。

登入雲企業網管理主控台。
在云企业网实例頁面，選擇在步驟一中建立的雲企業網執行個體，單擊雲企業網執行個體ID。
在基本信息 > 转发路由器頁簽，單擊创建转发路由器。

在创建转发路由器對話方塊，配置轉寄路由器執行個體資訊，然後單擊确认。

配置項	說明	配置
地域	選擇轉寄路由器執行個體所屬的地區。	本文選擇華東1（杭州）地區。
版本	轉寄路由器執行個體的版本。	系統自動判斷並顯示當前地區下轉寄路由器執行個體的版本。
開通組播	選擇是否開啟轉寄路由器執行個體的組播功能。	本文保持預設值，即不開啟組播功能。
名称	輸入轉寄路由器執行個體的名稱。	請自訂轉寄路由器執行個體的名稱。
描述	輸入轉寄路由器執行個體的描述資訊。	請自訂轉寄路由器執行個體的描述資訊。
标签	輸入轉寄路由器執行個體的標籤。	本文保持為空白值。
TR地址段	輸入轉寄路由器位址區段。更多資訊，請參見轉寄路由器位址區段。	本文無需配置轉寄路由器位址區段。

步驟三：串連VPC執行個體

將VPC1、VPC2串連至華東1（杭州）地區的轉寄路由器執行個體。

在云企业网实例頁面，單擊步驟一建立的雲企業網執行個體ID。
在基本信息 > 转发路由器頁簽，找到目標地區的轉寄路由器執行個體，在操作單擊创建网络实例连接。

在连接网络实例頁面，根據以下資訊進行配置，然後單擊确定创建。

下表羅列了各個配置項的說明以及VPC1、VPC2對應的參數值，請依據下表中的資料，分別將VPC1和VPC2串連至轉寄路由器執行個體。

說明

在執行此操作時，系統會自動為您建立一個服務關聯角色，角色名稱為AliyunServiceRoleForCEN。該角色將允許轉寄路由器執行個體在VPC的交換器上建立ENI。更多資訊，請參見AliyunServiceRoleForCEN。

配置項	配置項說明	VPC1	VPC2
实例类型	選擇待串連的網路執行個體類型。	专有网络（VPC）	专有网络（VPC）
地域	選擇待串連的網路執行個體所在的地區。	華東1（杭州）	華東1（杭州）
转发路由器	系統自動顯示該地區下已建立的轉寄路由器執行個體ID。
资源归属UID	選擇待串連的網路執行個體所屬的帳號類型。	同账号	同账号
付费方式	預設值按量付费。隨用隨付規則，請參見計費說明。
连接名称	輸入網路執行個體串連的名稱。	`VPC1-test`	`VPC2-test`
标签	為網路執行個體串連添加標籤。	本文保持為空白值。	本文保持為空白值。
网络实例	選擇待串連的網路執行個體。	選擇VPC1	選擇VPC2
交换机	在轉寄路由器支援的可用性區域選擇一個交換器執行個體。如果您在轉寄路由器支援的多個可用性區域均擁有交換器執行個體，您可以同時選擇多個可用性區域並在每個可用性區域下選擇一個交換器執行個體以實現可用性區域層級的容災。	杭州可用性區域H：選擇交換器1 杭州可用性區域I：選擇交換器2	杭州可用性區域H：選擇交換器1 杭州可用性區域I：選擇交換器2
高级配置	系統預設幫您選中以下三種進階功能。您可以依據實際需求取消選中一個或多個配置項。 VPC1和VPC2均保持預設配置，即選中全部進階配置項。自动关联至转发路由器的默认路由表開啟本功能後，VPC串連會自動關聯至轉寄路由器的預設路由表，轉寄路由器通過查詢預設路由錶轉發VPC執行個體的流量。自动传播系统路由至转发路由器的默认路由表開啟本功能後，VPC執行個體會將自身的系統路由傳播至轉寄路由器的預設路由表中，用於網路執行個體的互連。自动为VPC的所有路由表配置指向转发路由器的路由開啟本功能後，系統將在VPC執行個體的所有路由表內自動設定10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條路由條目，其下一跳均指向VPC串連，用於引導VPC執行個體的流量進入轉寄路由器。轉寄路由器預設不向VPC執行個體傳播路由。重要如果VPC的路由表中已經存在目標網段為10.0.0.0/8、172.16.0.0/12或192.168.0.0/16的路由條目，則系統無法再自動下發該路由條目，您需要在VPC路由表中手動添加指向VPC串連的路由條目以實現VPC和轉寄路由器之間的流量互連。您可以單擊發起路由檢查查看網路執行個體內是否存在上述路由。如果VPC執行個體需要實現IPv6網路通訊，建立VPC串連後，您需要為VPC串連開啟路由同步功能或者在VPC執行個體的路由表中手動添加指向VPC串連的IPv6路由條目，VPC執行個體的IPv6流量才能進入轉寄路由器。

單擊返回列表，返回到雲企業網執行個體詳情頁面。

步驟四：串連VBR執行個體

在云企业网实例頁面，單擊步驟一建立的雲企業網執行個體ID。
在基本信息 > 转发路由器頁簽，找到目標地區的轉寄路由器執行個體，在操作單擊创建网络实例连接。
在串連網路執行個體頁面，根據以下資訊進行配置，然後單擊確定建立。
- 实例类型：選擇边界路由器（VBR）。
- 地域：選擇待串連的網路執行個體所在的地區。本樣本選擇華東1（杭州）。
- 转发路由器：系統自動顯示當前地區已建立的轉寄路由器執行個體ID。
- 资源归属UID：選擇待串連的網路執行個體所屬的帳號類型。本樣本使用預設值同账号。
- 连接名称：輸入網路執行個體串連名稱。本樣本輸入VBR。
- 标签：為網路執行個體串連添加標籤。本樣本保持為空白值。
- 网络实例：選擇待串連的網路執行個體ID。本樣本選擇VBR執行個體。
- 高级配置：系統預設幫您選中以下三種進階功能。本樣本保持預設配置。
  - 自動關聯至轉寄路由器的預設路由表
    開啟本功能後，VBR串連會自動關聯至轉寄路由器的預設路由表，轉寄路由器通過查詢預設路由錶轉發VBR執行個體的流量。
  - 自動傳播系統路由至轉寄路由器的預設路由表
    VBR執行個體會將自身的系統路由傳播至轉寄路由器的預設路由表中，用於網路執行個體的互連。
  - 自動發布路由到VBR
    開啟本功能後，系統自動將VBR串連關聯的轉寄路由器路由表中的路由發布到VBR執行個體中。
單擊返回列表，返回到雲企業網執行個體詳情頁面。

步驟五：測試連通性

完成上述操作後，VPC1、VPC2、本地IDC之間已經可以互相通訊，您可以通過以下操作測試VPC與VPC、VPC與本地IDC之間的連通性。

說明

操作前，請確保ECS的安全性群組規則已允許存取ICMP協議訪問。具體操作，請參見查詢安全性群組規則和添加安全性群組規則。

測試VPC1和VPC2之間的連通性。
1. 登入VPC1的ECS執行個體。具體操作，請參見ECS遠端連線操作指南。
2. 在VPC1的ECS執行個體中執行ping命令，嘗試訪問VPC2的ECS執行個體。
```
ping <VPC2 ECS執行個體IP地址>
```
  收到如下所示的回複報文，則表示VPC1和VPC2之間網路已連通，可以實現資源互訪。
測試VPC1和本地IDC之間的連通性。
1. 登入VPC1的ECS執行個體。
2. 在VPC1的ECS執行個體中執行ping命令，嘗試訪問本地IDC的伺服器。
```
ping <本地IDC伺服器的IP地址> 
```
  如果收到回複報文，則表示VPC1和本地IDC之間網路已連通，可以實現資源互訪。
測試VPC2和本地IDC之間的連通性。
1. 登入VPC2的ECS執行個體。
2. 在VPC2的ECS執行個體中執行ping命令，嘗試訪問本地IDC的伺服器。
```
ping <本地IDC伺服器的IP地址> 
```
  如果收到回複報文，則表示VPC2和本地IDC之間網路已連通，可以實現資源互訪。

路由說明

在本樣本中，串連VPC1、VPC2和VBR執行個體時，雲企業網自動完成路由的分發和學習以實現VPC與VPC、VPC與本地IDC之間的相互連信：

華東1（杭州）地區下的轉寄路由器執行個體自動學習VPC1、VPC2和VBR的路由條目資訊。
VBR執行個體通過轉寄路由器執行個體自動學習VPC1和VPC2的路由條目資訊。
雲企業網自動在VPC1和VPC2的系統路由表中添加10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條自訂路由條目，下一跳均指向轉寄路由器執行個體。
2個VPC通過上述三條路由條目將流量發送至轉寄路由器執行個體，通過轉寄路由器執行個體實現VPC與VPC、VPC與本地IDC之間的相互連信。

以下內容為您展示本樣本中轉寄路由器執行個體、VPC1、VPC2和VBR的路由條目資訊，方便您瞭解本樣本的路由原理。您可以在雲企業網管理主控台分別查看轉寄路由器執行個體、VBR、VPC1和VPC2的路由條目資訊。具體操作，請參見查看企業版轉寄路由器路由條目和查看網路執行個體路由條目。