VPN Gateway：IPsec-VPN聯合物理專線實現主備鏈路上雲（綁定轉寄路由器）

情境樣本

本文以下圖情境為例，為您介紹IPsec-VPN串連（其中IPsec串連綁定轉寄路由器）聯合物理專線實現主備鏈路上雲方案。某企業在上海擁有一個本地IDC，且企業已經在阿里雲華東1（杭州）地區部署了業務VPC，VPC中通過Elastic Compute Service（Elastic Compute Service）等雲產品部署了應用業務和資料分析服務，用於後續業務互動和資料分析。企業現在需要部署上雲的主備鏈路，以實現雲下IDC和雲上VPC的高可靠串連。

網路規劃

網路功能規劃

在本文情境中使用的網路功能如下：

• 本地IDC同時通過物理專線和IPsec-VPN串連接入阿里雲。

  在物理專線和IPsec-VPN串連都正常的情況下，本地IDC與VPC之間的所有流量優先通過物理專線進行傳輸；當物理專線異常時，本地IDC與VPC之間的所有流量可以自動切換至IPsec-VPN串連進行傳輸。

• 建立IPsec-VPN串連時，IPsec串連的網關類型為公網，IPsec串連綁定的資源類型為雲企業網。

• 本地IDC、邊界路由器VBR（Virtual border router）執行個體和IPsec串連均使用BGP動態路由協議，實現路由的自動分發和學習，簡化路由配置。

  目前僅部分地區的IPsec串連支援BGP動態路由協議。關於地區的詳細資料， 請參見配置IPsec連線路由。

  重要

  本情境流量傳輸說明如下：

  • 在物理專線、IPsec-VPN串連、BGP動態路由協議均正常啟動並執行情況下，雲企業網可以通過物理專線和IPsec-VPN串連同時學習到本地IDC的網段，本地IDC也可以通過物理專線和IPsec-VPN串連同時學習到雲企業網傳播的VPC執行個體的路由。雲企業網預設通過物理專線學習到的路由的優先順序高於通過IPsec-VPN串連學習到的路由，因此VPC執行個體和本地IDC之間的流量優先通過物理專線傳輸。

  • 當本地IDC和VBR執行個體之間的BGP鄰置中斷時，雲企業網會自動撤銷通過物理專線學習到的路由，通過IPsec-VPN串連學習到的路由會自動生效，VPC執行個體和本地IDC之間的流量將會自動通過IPsec-VPN串連進行傳輸；當本地IDC和VBR執行個體之間的BGP鄰居恢複正常後，VPC執行個體和本地IDC之間的流量會重新通過物理專線進行傳輸，IPsec-VPN串連會重新成為備用鏈路。

網段規劃

準備工作

在開始配置前，請確保您已完成以下操作：

• 您已經在阿里雲華東1（杭州）地區建立了一個VPC執行個體，並使用ECS部署了相關業務。具體操作，請參見搭建IPv4專用網路。

• 您已經建立了雲企業網執行個體，並在華東1（杭州）和華東2（上海）地區分別建立了企業版轉寄路由器。具體操作，請參見建立雲企業網執行個體和建立轉寄路由器執行個體。

  重要

  建立轉寄路由器執行個體時，需為轉寄路由器執行個體配置轉寄路由器位址區段，否則IPsec串連無法成功綁定轉寄路由器執行個體。

  如果您已經建立了轉寄路由器執行個體，您可以單獨為轉寄路由器執行個體添加轉寄路由器位址區段。具體操作，請參見添加轉寄路由器位址區段。

配置流程

步驟一：部署物理專線

您需要部署物理專線將本地IDC串連至阿里雲。

1. 建立獨享物理專線。

   本文使用獨享專線方式在華東2（上海）地區自主建立1條物理專線串連，命名為物理專線。具體操作，請參見建立和管理獨享專線串連。

2. 建立VBR執行個體。

   1. 登入Express Connect管理主控台。

   2. 在左側導覽列，單擊邊界路由器（VBR）。

   3. 在頂部狀態列，選擇待建立VBR執行個體的地區。

      本文選擇華東2（上海）地區。

   4. 在邊界路由器（VBR）頁面，單擊建立邊界路由器。

   5. 在建立邊界路由器面板，根據以下資訊進行配置，然後單擊確定。

      下表僅列舉本文強相關的配置項，其餘配置項保持預設狀態。如果您需要瞭解更多資訊，請參見建立和管理邊界路由器。

      配置項	說明	VBR
      帳號類型	選擇VBR執行個體的帳號類型。	本文選擇當前帳號。
      名稱	輸入VBR執行個體的名稱。	本文輸入VBR。
      物理專線介面	選擇VBR執行個體需要綁定的物理專線介面。	本文選擇獨享專線類型，然後選擇在步驟1中建立的物理專線。
      VLAN ID	輸入VBR執行個體的VLAN ID。 說明 請確保VBR執行個體的VLAN ID與本地網關裝置介面（物理專線串連的介面）劃分的VLAN ID一致。	本文輸入201。
      設定VBR頻寬值	選擇VBR執行個體的頻寬峰值。	請依據您的實際需求選擇適合的頻寬峰值。
      阿里雲側IPv4互聯IP	輸入VPC通往本地IDC的路由網關IPv4地址。	本文輸入10.0.0.2。
      客戶側IPv4互聯IP	輸入本地IDC通往VPC的路由網關IPv4地址。	本文輸入10.0.0.1。
      IPv4子網路遮罩	輸入阿里雲側和客戶側IPv4地址的子網路遮罩。	本文輸入255.255.255.252。

3. 為VBR執行個體配置BGP組。

   1. 在邊界路由器（VBR）頁面，單擊目標VBR執行個體ID。

   2. 在邊界路由器執行個體詳情頁面，單擊BGP組頁簽。

   3. 在BGP組頁簽下，單擊建立BGP組，並根據以下資訊進行BGP組配置，然後單擊確定。

      下表僅列舉本文強相關的配置項，其餘配置項保持預設狀態。如果您想要瞭解更多資訊，請參見建立BGP組。

      配置項	說明	VBR
      名稱	輸入BGP組的名稱。	本文輸入VBR-BGP。
      Peer AS號	輸入本地網關裝置的自治系統號。	本文輸入本地網關裝置的自治系統號65530。
      本端AS號	輸入VBR執行個體的自治系統號。	本文輸入VBR的自治系統號45104。

4. 為VBR執行個體配置BGP鄰居。

   1. 在邊界路由器執行個體詳情頁面，單擊BGP鄰居頁簽。

   2. 在BGP鄰居頁簽下，單擊建立BGP鄰居。

   3. 在建立BGP鄰居面板，配置BGP鄰居資訊，然後單擊確定。

      下表僅列舉本文強相關的配置項，其餘配置項保持預設狀態。如果您想要瞭解更多資訊，請參見建立BGP鄰居。

      配置項	說明	VBR
      BGP組	選擇要加入的BGP組。	本文選擇VBR-BGP。
      BGP鄰居IP	輸入BGP鄰居的IP地址。	本文輸入本地網關裝置串連物理專線的介面的IP地址10.0.0.1。

5. 為本地網關裝置配置BGP路由協議。

   為本地網關裝置配置BGP路由協議後，本地網關裝置和VBR執行個體之間可以建立BGP鄰居關係，實現路由的自動學習和傳播。

   說明

   本文以思科防火牆ASA（軟體版本9.19.1）作為配置樣本。不同軟體版本的配置命令可能會有所差異，操作時請根據您的實際環境查詢對應文檔或諮詢相關廠商。更多本地網關裝置配置樣本，請參見本地網關裝置配置樣本。

   以下內容包含的第三方產品資訊僅供參考。阿里雲對第三方產品的效能、可靠性以及操作可能帶來的潛在影響，不做任何暗示或其他形式的承諾。

   interface GigabitEthernet0/3                
    nameif VBR1                             #配置串連VBR1的介面名稱。
    security-level 0
    ip address 10.0.0.1 255.255.255.0       #GigabitEthernet0/3介面配置的私網IP地址。
    no shutdown                             #開啟介面。
   !
   
   router bgp 65530                         #開啟BGP路由協議，並配置本地IDC的自治系統號。本文為65530。
   bgp router-id 10.0.0.1                   #BGP路由器ID，本文設定為10.0.0.1。
   bgp log-neighbor-changes
   address-family ipv4 unicast
   neighbor 10.0.0.2 remote-as 45104        #和VBR執行個體建立BGP鄰居關係。
   network 192.168.0.0 mask 255.255.255.0   #宣告本地IDC的網段。
   network 192.168.1.0 mask 255.255.255.0
   network 192.168.2.0 mask 255.255.255.0 
   neighbor 10.0.0.2 activate               #啟用BGP鄰居。
   neighbor 10.0.0.2 weight 1000            #指定通過物理專線學習到的路由的權重值為1000。
   exit-address-family
   !
                           

步驟二：配置雲企業網

部署物理專線後，本地IDC可以通過物理專線接入阿里雲，但本地IDC和VPC之間還無法通訊，您需要將VBR執行個體和VPC執行個體串連至雲企業網，通過雲企業網實現本地IDC和VPC之間的相互連信。

1. 建立VPC串連。

   1. 登入雲企業網管理主控台。

   2. 在雲企業網執行個體頁面，找到在準備工作中建立的雲企業網執行個體，單擊雲企業網執行個體ID。

   3. 在基本資料 > 轉寄路由器頁簽，找到華東1（杭州）地區的轉寄路由器執行個體，在操作列單擊建立網路執行個體串連。

   4. 在串連網路執行個體頁面，根據以下資訊進行配置，然後單擊確定建立。

      下表僅列舉本文強相關的配置項，其餘配置項保持預設狀態。如果您想要瞭解更多資訊，請參見建立VPC串連。

      配置項	配置項說明	VPC串連
      執行個體類型	選擇網路執行個體類型。	本文選擇Virtual Private Cloud。
      地區	選擇網路執行個體所屬的地區。	本文選擇華東1（杭州）。
      轉寄路由器	系統自動顯示當前地區已建立的轉寄路由器執行個體ID。
      資源歸屬UID	選擇網路執行個體所屬的阿里雲帳號和當前登入的帳號是否為同一個帳號。	本文選擇同帳號。
      付費方式	VPC串連的付費方式。預設值為隨用隨付。關於轉寄路由器的計費規則，請參見計費說明。
      串連名稱	輸入VPC串連的名稱。	本文輸入VPC-Attachment。
      網路執行個體	選擇網路執行個體。	本文選擇已建立的VPC執行個體。
      交換器	在轉寄路由器支援的可用性區域選擇交換器執行個體。 如果轉寄路由器在當前地區僅支援一個可用性區域，則您需要在當前可用性區域選擇一個交換器執行個體。 如果轉寄路由器在當前地區支援多個可用性區域，則您需要在至少2個可用性區域中各選擇一個交換器執行個體。在VPC和轉寄路由器流量互連的過程中，這2個交換器執行個體可以實現可用性區域層級的容災。 推薦您在每個可用性區域中都選擇一個交換器執行個體，以減少流量繞行，體驗更低傳輸時延以及更高效能。 請確保選擇的每個交換器執行個體下擁有一個閒置IP地址。如果VPC執行個體在轉寄路由器支援的可用性區域中並沒有交換器執行個體或者交換器執行個體下沒有閒置IP地址，您需要建立一個交換器執行個體。 具體操作，請參見建立和管理交換器。	本文在可用性區域H下選擇交換器1、在可用性區域I選擇交換器2。
      進階配置	選擇是否開啟所有進階配置選項。系統預設選擇開啟所有進階配置選項。	保持預設配置，即開啟所有進階配置選項。

2. 建立VBR串連。

   1. 返回基本資料 > 轉寄路由器頁簽，找到華東2（上海）地區的轉寄路由器執行個體，在操作列單擊建立網路執行個體串連。

   2. 在串連網路執行個體頁面，根據以下資訊進行配置，然後單擊確定建立。

      下表僅列舉本文強相關的配置項，其餘配置項保持預設狀態。如果您想要瞭解更多資訊，請參見使用企業版轉寄路由器建立VBR串連。

      配置項	配置項說明	VBR
      執行個體類型	選擇網路執行個體類型。	本文選擇邊界路由器（VBR）。
      地區	選擇網路執行個體所屬的地區。	本文選擇華東2（上海）。
      轉寄路由器	系統自動顯示當前地區已建立的轉寄路由器執行個體。
      資源歸屬UID	選擇網路執行個體所屬的阿里雲帳號和當前登入的帳號是否為同一個帳號。	本文選擇同帳號。
      串連名稱	輸入網路執行個體串連的名稱。	本文輸入VBR-Attachment。
      網路執行個體	選擇網路執行個體。	本文選擇VBR。
      進階配置	選擇是否開啟所有進階配置選項。系統預設選擇開啟所有進階配置選項。	保持預設配置，即開啟所有進階配置選項。

3. 建立跨地區串連。

   由於VBR執行個體綁定的轉寄路由器執行個體和VPC執行個體綁定的轉寄路由器執行個體位於不同的地區，VBR執行個體和VPC執行個體之間預設無法通訊。您需要在華東1（杭州）和華東2（上海）地區的轉寄路由器執行個體之間建立跨地區串連，實現VBR執行個體和VPC執行個體之間的跨地區互連。

   1. 在雲企業網執行個體頁面，找到目標雲企業網執行個體，單擊雲企業網執行個體ID。

   2. 在基本資料 > 頻寬包管理頁簽，單擊設定跨地區頻寬。

   3. 在串連網路執行個體頁面，根據以下資訊配置跨地區串連，然後單擊確定建立。

      請根據以下資訊建立跨地區串連，其餘配置項保持預設狀態。更多資訊，請參見建立跨地區串連。

      配置項	說明
      執行個體類型	選擇跨地區串連。
      地區	選擇要互連的地區。 本文選擇華東1（杭州）。
      轉寄路由器	系統自動顯示當前地區下轉寄路由器的執行個體ID。
      串連名稱	輸入跨地區串連的名稱。 本文輸入跨地區串連。
      對端地區	選擇要互連的對端地區。 本文選擇華東2（上海）。
      轉寄路由器	系統自動顯示當前地區下轉寄路由器的執行個體ID。
      頻寬分配方式	跨地區串連支援以下頻寬分配方式： 從頻寬包分配：從已經購買的頻寬包中分配頻寬。 按流量付費：按照跨地區串連實際使用的流量計費。 本文選擇按流量付費。
      頻寬	輸入跨地區串連的頻寬值。單位：Mbps。
      預設鏈路類型	使用預設鏈路類型。
      進階配置	保持預設配置，即選中全部進階配置選項。

步驟三：部署IPsec-VPN串連

完成上述步驟後，本地IDC和VPC之間可以通過物理專線實現互連。您可以開始部署IPsec-VPN串連。

1. 登入VPN網關管理主控台。

2. 建立使用者網關。

   在建立IPsec-VPN串連前，您需要先建立使用者網關，將本地網關裝置的資訊註冊至阿里雲上。

   1. 在左側導覽列，選擇網間互聯 > VPN > 使用者網關。

   2. 在頂部功能表列，選擇使用者網關的地區。

      VPN網關產品不支援建立跨境的IPsec-VPN串連，因此在您選擇使用者網關所屬的地區時，需遵循就近原則，即選擇離您本地IDC最近的阿里雲地區。本文中選擇華東2（上海）。

      關於跨境串連和非跨境串連的更多資訊，請參見非跨境串連。

   3. 在使用者網關頁面，單擊建立使用者網關。

   4. 在建立使用者網關面板，根據以下資訊進行配置，然後單擊確定。

      下表僅列舉本文強相關的配置項，其餘配置項保持預設狀態。如果您想要瞭解更多資訊，請參見建立和系統管理使用者網關。

      配置項	配置項說明	使用者網關
      名稱	輸入使用者網關的名稱。	本文輸入Customer-Gateway。
      IP地址	輸入阿里雲側待串連的本地網關裝置的公網IP地址。	本文輸入本地網關裝置的公網IP地址211.XX.XX.68。
      自治系統號	輸入本地網關裝置使用的BGP AS號。	本文輸入65530。

3. 建立IPsec串連。

   建立使用者網關後，您需要在阿里雲側建立IPsec串連，阿里雲側將通過IPsec串連與本地IDC之間建立IPsec-VPN串連。

   1. 在左側導覽列，選擇網間互聯 > VPN > IPsec串連。

   2. 在頂部功能表列，選擇IPsec串連的地區。

      IPsec串連的地區需和使用者網關的地區一致。本文選擇華東2（上海）。

   3. 在IPsec串連頁面，單擊建立IPsec串連。

   4. 在建立IPsec串連頁面，根據以下資訊配置IPsec串連，然後單擊確定。

      建立IPsec串連會產生計費，關於IPsec串連的計費說明，請參見計費說明。

      配置項	配置項說明	IPsec串連
      名稱	輸入IPsec串連的名稱。	本文輸入IPsec串連。
      綁定資源	選擇IPsec串連綁定的資源類型。	本文選擇Cloud Enterprise Network。
      網關類型	選擇IPsec串連的網路類型。	本文選擇公網。
      CEN執行個體ID	選擇雲企業網執行個體。	本文選擇在準備工作中已建立的雲企業網執行個體。
      轉寄路由器	選擇IPsec串連待綁定的轉寄路由器執行個體。	系統根據IPsec串連所在的地區自動選擇當前地區下的轉寄路由器執行個體。
      可用性區域	在轉寄路由器支援的可用性區域中選擇部署IPsec串連的可用性區域。	本文選擇上海 可用性區域F。
      路由模式	選擇路由模式。	本文選擇目的路由模式。
      立即生效	選擇IPsec串連的配置是否立即生效。取值： 是：配置完成後立即進行協商。 否：當有流量進入時進行協商。	本文選擇是。
      使用者網關	選擇IPsec串連關聯的使用者網關。	本文選擇Customer-Gateway。
      預先共用金鑰	輸入IPsec串連的認證密鑰，用於本地網關裝置和IPsec串連之間的身份認證。 密鑰長度為1~100個字元，支援數字、大小寫英文字母及右側字元~`!@#$%^&*()_-+={}[]\|;:',.<>/?，不能包含空格。 若您未指定預先共用金鑰，系統會隨機產生一個16位的字串作為預先共用金鑰。建立IPsec串連後，您可以通過編輯按鈕查看系統產生的預先共用金鑰。具體操作，請參見修改IPsec串連。 重要 IPsec串連及其對端網關裝置配置的預先共用金鑰需一致，否則系統無法正常建立IPsec-VPN串連。	本文輸入fddsFF123****。
      啟用BGP	選擇是否開啟BGP功能。BGP功能預設為關閉狀態。	本文開啟BGP功能。
      本端自治系統號	輸入IPsec串連的自治系統號。	本文輸入45104。
      加密配置	添加IKE配置、IPsec配置等加密配置。	除以下參數外，其餘配置項保持預設值。更多資訊，請參見建立和管理IPsec串連（單隧道模式）。 IKE配置的DH分組選擇group14。 IPsec配置的DH分組選擇group14。 說明 您需要根據本地網關裝置的支援情況選擇加密配置參數，確保IPsec串連和本地網關裝置的加密配置保持一致。
      BGP配置
      隧道網段	輸入建立加密隧道時使用的網段。 隧道網段需要是在169.254.0.0/16內的子網路遮罩為30的網段，且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。	本文輸入169.254.10.0/30。
      本端BGP地址	輸入IPsec串連的BGP IP地址。 該地址為隧道網段內的一個IP地址。	本文輸入169.254.10.1。
      進階配置	選擇是否啟用進階配置，實現IPsec連線路由的自動分發和學習。系統預設啟用進階配置。	本文保持預設值，即開啟所有進階配置。

   IPsec串連建立成功後，系統將自動為IPsec串連分配一個公網IP地址，用於IPsec串連和本地IDC之間建立IPsec-VPN串連。您可以在IPsec串連詳情頁面查看網關IP地址，如下圖所示。

   說明

   IPsec串連只有綁定轉寄路由器執行個體後系統才會為其分配網關IP地址。如果在您建立IPsec串連時，IPsec串連的綁定資源類型為不綁定或者為VPN網關，則系統並不會為其分配網關IP地址。

4. 下載IPsec串連對端的配置。

   返回到IPsec串連頁面，找到剛剛建立的IPsec串連，在操作列單擊產生對端配置。

5. 在本地網關裝置中添加VPN配置和BGP配置。

   建立IPsec串連後，請根據已下載的IPsec串連對端配置資訊以及下述步驟，在本地網關裝置中添加VPN配置和BGP配置，以便本地IDC和阿里雲之間建立IPsec-VPN串連。

   說明

   本文以思科防火牆ASA（軟體版本9.19.1）作為配置樣本。不同軟體版本的配置命令可能會有所差異，操作時請根據您的實際環境查詢對應文檔或諮詢相關廠商。更多本地網關裝置配置樣本，請參見本地網關裝置配置樣本。

   以下內容包含的第三方產品資訊僅供參考。阿里雲對第三方產品的效能、可靠性以及操作可能帶來的潛在影響，不做任何暗示或其他形式的承諾。

   1. 登入思科防火牆的命令列視窗並進入配置模式。

      ciscoasa> enable
      Password: ********             #輸入進入enable模式的密碼。
      ciscoasa# configure terminal   #進入配置模式。
      ciscoasa(config)#     

   2. 查看介面配置和路由配置。

      思科防火牆已完成了介面配置，並已開啟介面。以下為本文的介面配置樣本。

      ciscoasa(config)# show running-config interface 
      !
      interface GigabitEthernet0/0
       nameif outside1                            #GigabitEthernet0/0介面名稱。
       security-level 0
       ip address 211.XX.XX.68 255.255.255.255    #GigabitEthernet0/0介面配置的公網IP地址。
      !
      interface GigabitEthernet0/2                #串連本機資料中心的介面。
       nameif private                             #GigabitEthernet0/2介面名稱。
       security-level 100                         #指定串連本機資料中心介面的security-level低於串連公網的介面。
       ip address 192.168.2.215 255.255.255.0     #GigabitEthernet0/2介面配置的私網IP地址。
      !
      
      route outside1 47.XX.XX.213 255.255.255.255 192.XX.XX.172   #配置訪問阿里雲側IPsec串連公網IP地址的路由，下一跳為公網地址。
      route private 192.168.0.0 255.255.0.0 192.168.2.216         #配置去往本機資料中心的路由。

   3. 為串連公網的介面開啟IKEv2功能。

      crypto ikev2 enable outside1
      crypto ikev2 enable outside2

   4. 建立IKEv2 Policy，指定IKE階段認證演算法、密碼編譯演算法、DH分組和SA生存周期，需和阿里雲側保持一致。

      重要

      阿里雲側配置IPsec串連時，IKE配置階段的密碼編譯演算法、認證演算法和DH分組均只支援指定一個值，不支援指定多個值。建議在思科防火牆中IKE設定階段的密碼編譯演算法、認證演算法和DH分組也均只指定一個值，該值需與阿里雲側保持一致。

      crypto ikev2 policy 10     
       encryption aes             #指定密碼編譯演算法。
       integrity sha              #指定認證演算法。
       group 14                   #指定DH分組。
       prf sha                    #prf和integrity保持一致，阿里雲側prf與認證演算法預設保持一致。
       lifetime seconds 86400     #指定SA生存周期。

   5. 建立IPsec proposal和profile，指定思科防火牆側的IPsec階段密碼編譯演算法、認證演算法、DH分組和SA生存周期，需和阿里雲側保持一致。

      重要

      阿里雲側配置IPsec串連時，IPsec配置階段的密碼編譯演算法、認證演算法和DH分組均只支援指定一個值，不支援指定多個值。建議在思科防火牆中IPsec設定階段的密碼編譯演算法、認證演算法和DH分組也均只指定一個值，該值需與阿里雲側保持一致。

      crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    #建立ipsec proposal。
       protocol esp encryption aes                         #指定密碼編譯演算法，協議使用ESP，阿里雲側固定使用ESP協議。
       protocol esp integrity sha-1                        #指定認證演算法，協議使用ESP，阿里雲側固定使用ESP協議。
      crypto ipsec profile ALIYUN-PROFILE                  
       set ikev2 ipsec-proposal ALIYUN-PROPOSAL            #建立ipsec profile並應用已建立的proposal。 
       set ikev2 local-identity address                    #指定本端ID使用IP地址格式，與阿里雲側RemoteId格式保持一致。
       set pfs group14                                     #指定pfs和DH分組。
       set security-association lifetime seconds 86400     #指定基於時間的SA生存周期。
       set security-association lifetime kilobytes unlimited #關閉基於流量的SA生存周期。

   6. 建立tunnel group，指定隧道的預先共用金鑰，需和阿里雲側保持一致。

      tunnel-group 47.XX.XX.213  type ipsec-l2l                  #指定隧道的封裝模式為l2l。
      tunnel-group 47.XX.XX.213  ipsec-attributes             
       ikev2 remote-authentication pre-shared-key fddsFF123****  #指定隧道對端的預先共用金鑰，即阿里雲側的預先共用金鑰。
       ikev2 local-authentication pre-shared-key fddsFF123****   #指定隧道本端的預先共用金鑰，需和阿里雲側的保持一致。
      !

   7. 建立tunnel介面。

      interface Tunnel1                                  #建立隧道介面。
       nameif ALIYUN1
       ip address 169.254.10.2 255.255.255.252           #指定介面的IP地址。
       tunnel source interface outside1                  #指定隧道源地址為外網介面GigabitEthernet0/0。
       tunnel destination 47.XX.XX.213                   #指定隧道目的地址為阿里雲側IPsec串連的公網IP地址。
       tunnel mode ipsec ipv4
       tunnel protection ipsec profile ALIYUN-PROFILE    #指定隧道應用ipsec profile ALIYUN-PROFILE。
       no shutdown                                       #開啟隧道介面。
      !

   8. 添加BGP配置，使本地網關裝置與IPsec串連建立BGP鄰居關係。

      router bgp 65530
       address-family ipv4 unicast
        neighbor 169.254.10.1 remote-as 45104       #指定BGP鄰居，即阿里雲側隧道的IP地址。
        neighbor 169.254.10.1 ebgp-multihop 255
        neighbor 169.254.10.1 activate              #啟用BGP鄰居。
        neighbor 169.254.10.1 weight 500            #指定通過IPsec-VPN學習到的路由的權重值為500，這些路由的權重值小於通過物理專線學習到的路由的權重值，確保本地IDC去往VPC的流量優先通過物理專線傳輸。
       exit-address-family

步驟四：驗證測試

完成上述步驟，本地IDC可通過物理專線或IPsec-VPN串連與VPC互連。在物理專線和IPsec-VPN串連都正常的情況下，本地IDC與VPC之間的所有流量預設只通過物理專線進行轉寄；當物理專線異常時，本地IDC與VPC之間的所有流量將自動切換至IPsec-VPN串連進行轉寄。以下內容介紹如何測試網路連通性以及如何驗證物理專線和IPsec-VPN串連已實現主備鏈路冗餘。

1. 網路連通性測試。

   1. 登入VPC執行個體下的ECS執行個體。具體操作，請參見ECS遠端連線操作指南。

   2. 在ECS執行個體中執行ping命令，嘗試訪問本地IDC中的用戶端。

      ping <本地IDC用戶端的IP地址>

      如果可以收到響應報文，則表示本地IDC和VPC執行個體之間的網路已連通，可以實現資源互訪。

2. 驗證物理專線和IPsec-VPN串連已實現主備鏈路冗餘。

   1. 在本地IDC的多個用戶端中持續向ECS執行個體發送訪問請求。

      ping <ECS執行個體 IP地址> -c 10000

   2. 登入雲企業網管理主控台，查看VBR串連流量監控資料。具體操作，請參見監控雲企業網資源。

      正常情況下，流量預設通過物理專線進行傳輸，您可以在VBR串連監控頁簽查看到流量監控資料。

   3. 中斷物理專線串連。

      例如，您可以在本地網關裝置上關閉串連物理專線的介面來中斷物理專線串連。

   4. 重新登入阿里雲管理主控台，查看VPN串連（IPsec串連）流量監控資料。具體操作，請參見監控雲企業網資源。

      正常情況下，物理專線中斷後，流量將自動切換至IPsec-VPN串連進行轉寄，您可以在VPN串連的監控頁簽查看到流量監控資料。

路由說明

在本文中，建立IPsec串連、建立VPC串連、建立VBR串連、建立跨地區串連時均採用預設路由配置，預設路由配置下雲企業網會自動完成路由的分發和學習以實現本地IDC和VPC執行個體之間的相互連信。預設路由配置說明如下。