本文为您介绍如何组合使用IPsec-VPN和物理专线，实现本地数据中心IDC（Internet Data Center）通过主备链路上云并和云上专有网络VPC（Virtual Private Cloud）互通。

您需要为本地IDC和网络实例规划网段，请确保网段之间没有重叠。本文网段规划如下。

配置目标

网段规划

IP地址

VPC1

192.168.0.0/16

云服务器地址：192.168.20.161

VPC2

10.0.0.0/16

不涉及

VBR

10.1.0.0/30

VLAN ID：0

阿里云侧IPv4互联IP：10.1.0.1/30

客户侧IPv4互联IP：10.1.0.2/30

本文中客户侧指本地IDC的网关设备

本地IDC

172.16.0.0/16

客户端地址：172.16.1.188

本地IDC的网关设备

10.1.0.0/30

公网IP地址：211.XX.XX.68

与物理专线连接的端口IP地址：10.1.0.2/30

BGP AS号：65530

您已经在阿里云华东1（杭州）地域创建了VPC1和VPC2。其中，VPC1部署有应用业务和数据分析服务；VPC2暂不部署业务，仅关联VPN网关，作为中转VPC为云下和云上搭建VPN链路。具体操作，请参见创建和管理专有网络。

请检查本地IDC网关设备，确保网关设备支持标准的IKEv1和IKEv2协议，以便和阿里云VPN网关建立连接。关于网关设备是否支持标准的IKEv1和IKEv2协议，请咨询网关设备厂商。

您已经为本地IDC网关设备配置了静态公网IP。

您已经了解VPC1中的ECS实例所应用的安全组规则，并确保安全组规则允许本地IDC访问VPC1中的ECS实例。具体操作，请参见查询安全组规则和添加安全组规则。

配置流程

步骤一：部署物理专线

创建物理专线。

创建VBR。

登录高速通道管理控制台。

在左侧导航栏，单击边界路由器（VBR）。

在顶部状态栏，选择要创建的VBR的地域。

在边界路由器（VBR）页面，单击创建边界路由器。

在创建边界路由器面板，根据以下信息进行配置，然后单击确定。

配置BGP组。

在边界路由器（VBR）页面，单击VBR实例ID。

在边界路由器实例详情页面，单击BGP组页签。

单击创建BGP组，根据以下信息配置BGP组，然后单击确定。

配置BGP邻居。

在边界路由器实例详情页面，单击BGP邻居页签。

在BGP邻居页签下，单击创建BGP邻居。

在创建BGP邻居面板，配置BGP邻居信息，然后单击确定。

步骤二：部署VPN网关

创建VPN网关。

登录VPN网关管理控制台。

在顶部菜单栏，选择华东1（杭州）地域。

在VPN网关页面，单击创建VPN网关。

在购买页面，根据以下信息配置VPN网关，然后单击立即购买并完成支付。

虚拟交换机2：从VPC实例中选择第二个交换机实例。

IPsec-VPN连接的隧道模式为单隧道时，无需配置该项。

带宽峰值：选择VPN网关的带宽规格，带宽规格是VPN网关所具备的公网带宽。

流量：VPN网关默认按使用流量计费。更多信息，请参见计费说明。

IPsec-VPN： 选择开启或关闭IPsec-VPN功能，IPsec-VPN功能可以在本地IDC与VPC之间或不同VPC之间建立连接。本示例选择开启。

SSL-VPN： 选择开启或关闭SSL-VPN功能，SSL-VPN功能允许您从任何位置的单台计算机连接到VPC。本示例选择关闭。

购买时长：VPN网关默认按小时计费。

服务关联角色：单击创建关联角色，系统自动创建服务关联角色AliyunServiceRoleForVpn。

更多信息，请参见AliyunServiceRoleForVpn。若本配置项显示为已创建，则表示您当前账号下已创建了该角色，无需重复创建。

返回VPN网关页面，查看创建的VPN网关并记录VPN网关公网IP地址，用于后续本地IDC侧路由配置。

创建用户网关。

在左侧导航栏，选择网间互联 > VPN > 用户网关。

在用户网关页面，单击创建用户网关。

在创建用户网关面板，根据以下信息配置用户网关，然后单击确定。

创建IPsec连接。

在左侧导航栏，tp官网下载最新版本安装选择网间互联 > VPN > IPsec连接。

在IPsec连接页面， tpwallet钱包下载单击绑定VPN网关。

在创建IPsec连接(VPN)页面，根据以下信息配置IPsec连接，然后单击确定。

配置VPN网关路由。

IPsec连接创建成功后，在创建成功对话框，单击确定，去往VPN网关实例中进行路由发布。

在左侧导航栏，选择网间互联 > VPN > VPN网关。

在VPN网关页面，找到目标VPN网关，单击目标实例ID。

在目的路由表页签，单击添加路由条目。

在添加路由条目面板，根据以下信息配置目的路由，然后单击确定。

在本地IDC网关设备中加载VPN配置。

在左侧导航栏，选择网间互联 > VPN > IPsec连接。

在IPsec连接页面，找到目标IPsec连接，然后在操作列单击生成对端配置。

根据本地IDC网关设备的配置要求，将下载的配置添加到本地IDC网关设备中。具体操作，请参见本地网关设备配置示例。

步骤三：配置云企业网

VBR和VPN网关配置完成后，您需要将VPC1、VPC2和VBR加入到云企业网中，云企业网可帮您实现本地IDC和VPC1间的互连互通。

创建云企业网实例。

登录云企业网管理控制台。

在云企业网实例页面，单击创建云企业网实例。

在创建云企业网实例对话框，根据以下信息配置云企业网实例，然后单击确认。

创建转发路由器实例。

在云企业网实例页面，找到目标云企业网实例，单击目标实例ID。

在基本信息 > 转发路由器页签，单击创建转发路由器。

在创建转发路由器对话框，配置转发路由器实例信息，然后单击确认。

在云企业网实例中加载VPC1和VPC2。

在云企业网实例页面，找到目标云企业网实例，单击目标实例ID。

在基本信息 > 转发路由器页签，找到华东1（杭州）地域的转发路由器实例，在操作单击创建网络实例连接。

在连接网络实例页面，根据以下信息进行配置，然后单击确定创建。

配置项

配置项说明

VPC1

VPC2

实例类型

选择待连接的网络实例类型。

专有网络（VPC）

专有网络（VPC）

地域

选择待连接的网络实例所在的地域。

华东1（杭州）

华东1（杭州）

转发路由器

系统自动显示该地域下已创建的转发路由器实例ID。

资源归属UID

选择待连接的网络实例所属的账号类型。

同账号

同账号

付费方式

默认值按量付费。

按量计费规则，请参见计费说明。

连接名称

输入网络实例连接的名称。

VPC1-test

VPC2-test

网络实例

选择待连接的网络实例。

选择VPC1

选择VPC2

交换机

在转发路由器支持的可用区选择交换机实例。

如果转发路由器在当前地域仅支持一个可用区，则您需要在当前可用区选择一个交换机实例。

如果转发路由器在当前地域支持多个可用区，则您需要在至少2个可用区中各选择一个交换机实例。在VPC和转发路由器流量互通的过程中，这2个交换机实例可以实现可用区级别的容灾。

推荐您在每个可用区中都选择一个交换机实例，以减少流量绕行，体验更低传输时延以及更高性能。

请确保选择的每个交换机实例下拥有一个空闲的IP地址。如果VPC实例在转发路由器支持的可用区中并没有交换机实例或者交换机实例下没有空闲的IP地址，您需要新建一个交换机实例。 具体操作，请参见创建和管理交换机。

更多信息，请参见创建VPC连接。

在华东1（杭州）可用区H和可用I各选择一个交换机实例。

在华东1（杭州）可用区H和可用I各选择一个交换机实例。

高级配置

系统默认帮您选中以下三种高级功能。您可以依据实际需求取消选中一个或多个配置项。

VPC1和VPC2均保持默认配置，即选中全部高级配置项。

自动关联至转发路由器的默认路由表

开启本功能后，VPC连接会自动关联至转发路由器的默认路由表，转发路由器通过查询默认路由表转发VPC实例的流量。

自动传播系统路由至转发路由器的默认路由表

开启本功能后，VPC实例会将自身的系统路由传播至转发路由器的默认路由表中，用于网络实例的互通。

自动为VPC的所有路由表配置指向转发路由器的路由

开启本功能后，系统将在VPC实例的所有路由表内自动配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条路由条目，其下一跳均指向VPC连接，用于引导VPC实例的IPv4流量进入转发路由器。转发路由器默认不向VPC实例传播路由。

在云企业网实例中加载VBR实例。

在云企业网实例页面，找到目标云企业网实例，单击目标实例ID。

在基本信息 > 转发路由器页签，找到华东1（杭州）地域的转发路由器实例，在操作单击创建网络实例连接。

在连接网络实例页面，根据以下信息进行配置，然后单击确定创建。

发布VPC2中的本地IDC路由至云企业网。

登录云企业网管理控制台。

在云企业网实例页面，找到目标云企业网实例，单击实例ID。

在云企业网实例详情页面，找到华东1（杭州）地域的转发路由器实例，单击实例ID。

在转发路由器实例详情页面，单击网络实例路由信息页签。

在网络实例路由信息页签下，选择查看VPC2网络实例的路由条目，找到本地IDC的路由，在发布状态列单击发布。

在发布路由对话框，单击确认。

为物理专线配置健康检查。

登录云企业网管理控制台。

在左侧导航栏，单击健康检查。

在健康检查页面，选择VBR的地域，然后单击设置健康检查。

在设置健康检查对话框，根据以下信息配置健康检查，然后单击确认。

步骤四：配置本地IDC网关设备

以下配置示例仅供参考。不同厂商的设备，配置命令可能会有所不同。具体命令，请咨询相关设备厂商。

#配置BGP动态路由协议，与VBR建立BGP邻居关系，同时宣告本地IDC私网网段至云上
interface GigabitEthernet 0/12          #该端口为本地IDC网关设备与物理专线连接的端口
no switchport
ip address 10.1.0.2 255.255.255.252     #端口的IP地址，需和VBR客户侧IPv4互联IP地址一致

router bgp 65530
bgp router-id 10.1.0.2                  
network 172.16.0.0 mask 255.255.0.0     #宣告本地IDC私网网段
neighbor 10.1.0.1 remote-as 45104       #和VBR建立BGP邻居关系
exit

#配置通过VPN网关去往VPC1的静态路由，使其优先级低于BGP路由
ip route 192.168.0.0 255.255.0.0 <VPN网关公网IP地址> preference 255
      
#配置健康检查探测报文的回程路由
ip route <健康检查源IP地址> 255.255.255.255 10.1.0.1  
            

步骤五：测试连通性

在本地IDC下，打开客户端的命令行窗口。

执行ping命令，访问云上VPC1 192.168.0.0/16网段下的ECS实例IP地址，如果接收到回复报文，则表示本地IDC和VPC1连接成功。

在本地IDC网关设备上，关闭连接物理专线的端口，切断物理专线连接。在客户端再次执行ping命令，测试本地IDC和VPC1的连通性，如果接收到回复报文，则表示备份VPN链路可用。