华为云用户手册

应用场景 云专线（Direct Connect，DC）用于搭建线下IDC和云上虚拟私有云（Virtual Private Cloud，VPC）之间高速、低时延、稳定安全的专属连接通道，您可以通过企业路由器和云专线的全域接入网关，构建满足企业通信的大规模混合云组网。 为了助力企业客户实现混合云组网的高可靠性，并且控制成本费用，通过企业路由器，可以实现专线的动态选路和切换，多个专线链路之间形成主备冗余，当主链路故障后，可自动切换至备链路，降低了单链路故障导致的业务中断风险。 接下来，将主要为您介绍如何通过企业路由器和全域接入网关，构建DC双链路主备混合云组网。

方案架构 在方案二中，业务VPC之间通过对等连接通信，业务VPC和线下IDC通过ER通信，组网架构图如图1所示。 在业务VPC-A和中转VPC-Transit、业务VPC-B和中转VPC-Transit之间各创建一个VPC对等连接，通过VPC-Transit和对等连接转发VPC-A和VPC-B之间的流量。 将VPC-Transit接入企业路由器中，VPC-A和VPC-B访问线下IDC的流量通过中转VPC转发至ER，再通过ER和DC抵达线下IDC。 图1 中转VPC接入企业路由器组网架构图（方案二）

应用场景 您可以通过企业路由器构建中心辐射型组网，简化网络架构。当前为您提供两种典型组网方案，方案一是将业务VPC直接接入企业路由器，方案二是使用中转VPC，结合VPC对等连接和企业路由器共同构建组网。相比方案一，方案二可以降低成本，并且免去一些限制，详细说明如下： 相比方案一，使用方案二可以降低流量费用和连接费用，详细说明如下： 业务VPC之间的流量通过VPC对等连接转发，而不再需要经过ER转发，省去部分流量费用。 您只需要将一个中转VPC接入ER，相比接入多个业务VPC，省去部分连接费用。 当前将业务VPC直接接入ER，针对业务VPC有部分使用限制。由于方案二中您只需要将中转VPC接入ER，则可以解决以下针对业务VPC的限制： 当业务VPC下存在共享型弹性负载均衡、 VPC终端节点 、 私网NAT网关 、分布式缓存服务时，请提交工单联系华为云客服，确认服务的兼容性，并优先考虑使用中转VPC组网方案。 若您在弹性负载均衡、VPC终端节点以及分布式缓存服务场景下，直接将业务VPC接入ER，则当ER处于容灾切换、弹性扩缩容、升级等业务可靠性保障过程中，可能造成长连接会话闪断，请您确保业务客户端具有重连机制，在闪断情况下可以自动重连。 当接入ER的VPC存在以下情况时，则不建议您在VPC路由表中将下一跳为ER的路由配置成默认路由0.0.0.0/0，那样会导致部分业务流量无法转发至ER。 VPC内的E CS 绑定了EIP。 VPC被ELB（独享型或者共享型）、NAT网关、VPCEP、DCS服务占用。 当接入ER的VPC关联NAT网关，并配置SNAT或者DNAT规则的“使用场景”选择“云专线/云连接”，则网络不通。

企业路由器和全域接入网关混合云组网构建流程 本文档介绍如何通过企业路由器和DC的全域接入网关构建线下IDC和云上VPC互通的混合云组网，流程如图1所示。 图1 企业路由器和全域接入网关混合云组网构建流程图 表1 企业路由器和全域接入网关混合云组网构建流程说明 步骤 说明 步骤一：创建云服务资源 创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 创建业务VPC和子网，本示例中创建2个VPC和子网。 在业务VPC子网内，创建ECS，本示例中创建2个ECS。 步骤二：在企业路由器中添加并配置VPC连接 在企业路由器中添加“虚拟私有云（VPC）”连接：分别将2个业务VPC接入企业路由器中。 在VPC路由表中配置路由：分别在两个VPC的路由表中配置到企业路由器的路由信息，目的地址为IDC侧网段。 步骤三：在企业路由器中添加并配置DGW连接 创建1个物理连接：物理连接是线下IDC侧和华为云的专属通道，需要运营商进行施工，搭建物理专线链路连接线下和云上。 创建1个全域接入网关：创建1个全域接入网关。 创建1个虚拟接口：虚拟接口用来连接全域接入网关和物理连接。 将全域接入网关接入企业路由器：接入后，在企业路由器的连接列表中可以查看“全域接入网关（DGW）”连接。 配置IDC侧路由：在线下IDC侧路由设备配置网络参数。 步骤四：验证网络通信情况 登录ECS，执行ping命令，验证VPC和DC链路通信情况。 父主题： 通过企业路由器和云专线构建混合云组网（全域接入网关DGW）

资源规划说明 企业路由器ER、云专线DC、 虚拟私有云VPC 、弹性 云服务器ECS 只要位于同一个区域内即可，可用区可以任意选择，不用保持一致。 以下资源规划详情仅为示例，您可以根据需要自行修改。 表5 DC双链路负载混合云组网资源规划总体说明(全域接入网关DGW） 资源类型 资源数量 说明 VPC 1 业务VPC，实际运行客户业务的VPC，需要接入ER中。 VPC名称：请根据实际情况填写，本示例为vpc-A。 IPv4网段：VPC网段与客户IDC侧网段不能重复，请根据实际情况填写，本示例为192.168.0.0/16。 子网名称：请根据实际情况填写，本示例为subnet-A01。 子网IPv4网段：VPC子网网段与客户IDC侧子网网段不能重复，请根据实际情况填写，本示例为192.168.0.0/24。 ER 1 名称：请根据实际情况填写，本示例为er-X。 ASN：企业路由器不能和线下IDC的AS号一样，且建议企业路由器和全域接入网关的AS号也不一样，由于64512是全域接入网关的系统预留AS号，因此本示例企业路由器的AS号为64513。 默认路由表关联：开启 默认路由表传播：开启 自动接受共享连接：请根据实际情况选择，本示例选择“开启”。 连接，本示例需要在企业路由器中添加3个连接： VPC-A连接：er-attach-vpc-A DGW-A连接：er-attach-dgw-A DGW-B连接：er-attach-dgw-B 路由策略 1 如果ER通过两个DGW连接学习的IDC侧的BGP路由不是等价路由，无法自动形成负载均衡，则需要配置路由策略，为DGW-A连接和DGW-B连接分别绑定路由策略。 路由策略中需要添加两个路由策略节点，本示例如下： 策略节点1：优先级高，对于BGP路由，替换路由的AS_Path，将ER通过两个DGW连接学习到的路由配置成等价路由。 节点号：节点号取值小的策略节点优先执行，因此策略节点1的节点号取值必须小于策略节点2，此处填写10。 匹配模式：此处设置成“允许”。 匹配条件：此处设置成“路由类型”、“BGP路由”。 策略值1：此处设置成“AS_Path”。 执行动作：此处设置成“替换”，替换值和全域接入网关的BGP ASN保持一致，请根据实际填写，本示例为“64512”。 策略节点2：优先级低，匹配所有路由，此条节点是确保其他非BGP路由正常通信。 节点号：策略节点2的节点号取值必须大于策略节点1，此处填写20。 匹配模式：此处设置成“允许”。 其他参数不填写，为空即可，表示未匹配上策略节点1的其他路由均可以匹配上策略节点2，确保路由策略可放行所有路由。 DC 2 物理连接：请根据实际需求创建。 本示例中，两个物理连接分别为dc-A和dc-B。 全域接入网关，请根据实际需求创建，本示例说明如下： 名称：请根据实际情况填写，本示例为dgw-A和dgw-B。 BGP ASN：建议全域接入网关和企业路由器的AS号不一样，本示例中全域接入网关的AS号为64512。 地址类型：请根据实际情况选择，本示例为IPv4。 虚拟接口，请根据实际需求创建，本示例说明如下： 名称：本示例两个虚拟接口分别为vif-A和vif-B。 虚拟接口优先级：此处两个虚拟接口均选择“优先”，表示形成负载均衡。 物理连接：本示例中虚拟接口vif-A关联的物理连接为dc-A，vif-B关联dc-B。 全域接入网关：本示例中虚拟接口vif-A关联的全域接入网关为dgw-A，vif-B关联dgw-B。 本端网关：本示例vif-A为10.0.0.1/30，vif-B为10.1.0.1/30。 远端网关：本示例vif-A为10.0.0.2/30，vif-B为10.1.0.2/30。 远端子网：此处为IDC侧子网网段，本示例为172.16.1.0/24。 路由模式：请选择“BGP”。 BGP邻居AS号：此处为线下IDC侧的AS号，不能和云上全域接入网关、ER等服务的AS号一样，本示例为64555。 ECS 1 ECS主要用来验证网络通信情况，本示例如下： 名称：根据实际情况填写，本示例为ecs-A。 镜像：请根据实际情况选择，本示例为公共镜像（CentOS 8.2 64bit）。 网络： 虚拟私有云：选择业务VPC，本示例为vpc-A。 子网：选择和线下IDC通信的子网，本示例为subnet-A01。 安全组：请根据实际情况选择，本示例安全组模板选择“通用Web服务器”，名称为sg-demo。 私有IP地址：192.168.0.137 DC两条链路属于负载均衡模式，因此为了防止网络环路以及形成等价路由，DC两个全域接入网关的AS号必须保持一致，本示例为64512。 企业路由器不能和线下IDC的AS号一样，且建议企业路由器和全域接入网关的AS号也不一样，由于64512是全域接入网关的系统预留AS号，因此本示例ER为64513。 线下IDC侧的AS号，不能和云上服务的AS号一样，请根据客户的实际情况填写，本示例为64555。

网络规划说明 DC双链路负载混合云组网规划如图1所示，将VPC、DC分别接入ER中，组网规划说明如表2所示。 图1 DC双链路负载混合云组网规划(全域接入网关DGW） 两条DC网络链路形成负载均衡，云上VPC和线下IDC通信时，两条链路同时处于工作状态，表1为您详细介绍网络流量路径。 表1 网络流量路径说明(全域接入网关DGW） 路径 说明 请求路径：VPC-A→线下IDC 在VPC-A路由表中，通过下一跳为ER的路由将流量转送到ER。 在ER路由表中，通过下一跳为DGW-A连接的路由将流量转送到全域接入网关DGW-A。 下一跳为DGW-A的路由，其中172.16.1.0/24为线下IDC子网网段地址，10.0.0.0/30为虚拟接口VIF-A的网关地址。 目的地址为172.16.1.0/24的路由，下一跳对应DGW-A和DGW-B，两条路由为等价路由，形成负载均衡。流量根据哈希算法，选择一条网络链路，此处以选择DGW-A，即DC-A为例。 全域接入网关DGW-A连接虚拟接口VIF-A，通过虚拟接口将流量从远端网关转送到物理连接。 通过物理连接DC-A将流量送达线下IDC。 响应路径：线下IDC→VPC-A 根据线下IDC网络的路由配置，通过物理连接DC-B将流量转送到虚拟接口VIF-B。 线下IDC内网络中，指向云上的路由也配置成等价路由，形成负载均衡。返回云上VPC的流量，根据哈希算法选择一条网络链路，此处以选择DC-B为例。 虚拟接口VIF-B连接全域接入网关DGW-B，通过虚拟接口将流量从本端网关转送到全域接入网关。 通过全域接入网关DGW-B将流量转送到ER。 在ER路由表中，通过下一跳为VPC-A连接的路由将流量送达VPC-A。 表2 DC双链路负载混合云组网规划说明(全域接入网关DGW） 资源 说明 VPC 业务VPC，实际运行客户业务的VPC，具体说明如下： VPC网段与客户IDC侧网段不能重复。 VPC有一个默认路由表。 VPC默认路由表中的路由信息如表3所示。 固定网段：10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三个固定网段是添加VPC连接时，开启“配置连接侧路由”选项，系统自动在VPC路由表配置的静态路由。如果ER内同时接入多个VPC连接，则这些路由可以将当前VPC访问其他VPC的流量转发至ER，再通过ER将流量转发至下一跳网络实例。 线下IDC侧网段：除了系统自动添加的3个VPC固定网段，您还需要在VPC路由表中添加目的地址为IDC侧网段，下一跳指向ER的路由，本示例为172.16.1.0/24，该路由可以将VPC访问线下IDC侧的流量转发至ER，再通过ER将流量转发至下一跳网络实例。 须知： 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 DC 两个DC需要构建负载均衡网络链路，具体如下： 2个物理连接：需要运营商施工搭建连通华为云和线下IDC的物理专线。 2个全域接入网关：将两个全域接入网关分别接入ER中，即表示将“全域接入网关（DGW）”连接添加到ER。 2个虚拟接口：分别连接两个全域接入网关和物理连接，两个虚拟接口之间形成负载分担。 ER 开启“默认路由表关联”和“默认路由表传播”功能，添加完连接后，系统会自动执行以下配置： VPC： 将1个“虚拟私有云（VPC）”连接关联至ER默认路由表。 在默认路由表中创建“虚拟私有云（VPC）”连接的传播，路由自动学习VPC网段，路由信息如表4所示。 DC： 将2个“全域接入网关（DGW）”连接关联至ER默认路由表。 在默认路由表中创建“全域接入网关（DGW）”连接的传播，路由自动学习IDC侧的所有BGP路由信息，路由信息如表4所示。 路由策略 如果ER通过两个DGW连接学习的IDC侧的BGP路由是等价路由，自动形成负载均衡，则您无需创建路由策略。 本示例的表4中，目的地址为172.16.1.0/24，下一跳为DGW-A连接和DGW-B连接的两条路由是等价路由。 如果ER通过两个DGW连接学习的IDC侧的BGP路由不是等价路由，无法自动形成负载均衡。则您需要在两个DGW连接的传播上，分别绑定路由策略。通过替换路由的AS_Path，将ER通过DGW连接去往IDC侧的路由形成等价路由。 您需要创建一个路由策略，添加两个节点： 策略节点1：优先级高，匹配BGP路由，对于匹配成功的路由，将路由的AS_Path值替换成全域接入网关的BGP ASN值。 策略节点2：优先级低，匹配所有路由，此条节点是确保其他非BGP路由正常通信。 关于路由策略的详细说明，请您参见路由策略概述。 须知： 配置路由策略，替换路由的AS_Path值，可能会导致网络环路，因此配置前请检查网络规划，根据实际情况谨慎配置。 ECS 1个ECS位于业务VPC内，本示例用该ECS来验证云上和线下IDC的网络通信情况。 如果您有多台ECS，并且这些ECS位于不同的安全组，需要在安全组中添加规则放通网络。 IDC侧 需要根据线下IDC侧网络的实际规划，将IDC侧去往云上ER的路由配置成等价路由，形成负载均衡。 表3 VPC路由表 目的地址 下一跳 路由类型 固定网段：10.0.0.0/8 企业路由器 静态路由：自定义 固定网段：172.16.0.0/12 企业路由器 静态路由：自定义 固定网段：192.168.0.0/16 企业路由器 静态路由：自定义 线下IDC侧网段：172.16.1.0/24 企业路由器 静态路由：自定义 表4 ER路由表 目的地址 下一跳 路由类型 VPC-A网段：192.168.0.0/16 VPC-A连接：er-attach-vpc-A 传播路由 VIF-A网关：10.0.0.0/30 DGW-A连接：er-attach-dgw-A 传播路由 VIF-B网关：10.1.0.0/30 DGW-B连接：er-attach-dgw-B 传播路由 IDC侧网段：172.16.1.0/24 该路由为等价路由，两个连接属于负载均衡模式。 DGW-A连接：er-attach-dgw-A DGW-B连接：er-attach-dgw-B 传播路由

规划组网 企业路由器和全域接入网关混合云组网规划如图1所示，将2个VPC和1个DGW网关接入ER中，组网规划说明如表2所示。 图1 企业路由器和全域接入网关混合云组网规划 表1 网络流量路径说明 路径 说明 请求路径：VPC-A→线下IDC 在VPC-A路由表中，通过下一跳为ER的路由将流量转送到ER。 在ER路由表中，通过下一跳为DGW连接的路由将流量转送到全域接入网关。 全域接入网关连接虚拟接口，通过虚拟接口将流量从远端网关转送到物理专线。 通过物理专线将流量送达线下IDC。 响应路径：线下IDC→VPC-A 通过物理专线将流量转送到虚拟接口。 虚拟接口连接全域接入网关，通过虚拟接口将流量从本端网关转送到全域接入网关。 通过全域接入网关将流量转送到ER。 在ER路由表中，通过下一跳为VPC-A连接的路由将流量送达VPC-A。 表2 企业路由器和全域接入网关混合云组网规划说明 资源 说明 VPC 业务VPC，实际运行客户业务的VPC，具体说明如下： VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC网段与客户IDC侧网段不能重复。 VPC有一个默认路由表。 VPC默认路由表中的路由信息如表3所示。 固定网段：10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三个固定网段是添加VPC连接时，开启“配置连接侧路由”选项，系统自动在VPC路由表配置的静态路由。如果ER内同时接入多个VPC连接，则这些路由可以将当前VPC访问其他VPC的路由转发至ER，再通过ER将流量转发至下一跳网络实例。 线下IDC侧网段：除了系统自动添加的3个VPC固定网段，您还需要在VPC路由表中添加目的地址为IDC侧网段，下一跳指向ER的路由，本示例为10.1.123.0/24，该路由可以将VPC访问线下IDC侧的流量转发至ER，再通过ER将流量转发至下一跳网络实例。 须知： 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 DC 1个物理连接：需要运营商施工搭建连通华为云和线下IDC的物理专线。 1个全域接入网关：将全域接入网关接入ER中，即表示将“全域接入网关（DGW）”连接添加到ER。 1个虚拟接口：连接全域接入网关和物理连接。 ER 开启“默认路由表关联”和“默认路由表传播”功能，添加完“全域接入网关（DGW）”连接和“虚拟私有云（VPC）”连接，系统会自动执行以下配置： DC： 将1个“全域接入网关（DGW）”连接关联至ER默认路由表。 在默认路由表中创建“全域接入网关（DGW）”连接的传播，路由自动学习DC侧的所有路由信息，包括本端网关和远端网关、IDC侧网段等信息，路由信息如表4所示。 VPC： 将2个“虚拟私有云（VPC）”连接关联至ER默认路由表。 在默认路由表中创建“虚拟私有云（VPC）”连接的传播，路由自动学习VPC网段，路由信息如表4所示。 ECS 2个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通网络。 表3 VPC路由表 目的地址 下一跳 路由类型 固定网段：10.0.0.0/8 企业路由器 静态路由：自定义 固定网段：172.16.0.0/12 企业路由器 静态路由：自定义 固定网段：192.168.0.0/16 企业路由器 静态路由：自定义 线下IDC侧网段：10.1.123.0/24 企业路由器 静态路由：自定义 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 除了系统自动添加的3个VPC固定网段，您还需要在VPC路由表中添加目的地址为IDC侧网段，下一跳指向ER的路由。 表4 ER路由表 目的地址 下一跳 路由类型 VPC-A网段：192.168.0.0/16 VPC-A连接：er-attach-vpc-A 传播路由 VPC-B网段：172.16.0.0/16 VPC-B连接：er-attach-vpc-B 传播路由 本端网关和远端网关：10.0.0.0/30 DGW连接：er-attach-dgw 传播路由 IDC侧网段：10.1.123.0/24 DGW连接：er-attach-dgw 传播路由

规划资源 企业路由器ER、云专线DC、虚拟私有云VPC、弹性云服务器ECS只要位于同一个区域内即可，可用区可以任意选择，不用保持一致。 以下资源规划详情仅为示例，您可以根据需要自行修改。 表5 DC双链路负载混合云组网资源规划总体说明 资源类型 资源数量 说明 VPC 2 业务VPC，实际运行客户业务的VPC，需要接入ER中。 VPC名称：请根据实际情况填写，本示例为vpc-A和vpc-B。 IPv4网段：VPC网段与客户IDC侧网段不能重复，请根据实际情况填写，本示例vpc-A为192.168.0.0/16，vpc-B为172.16.0.0/16。 子网名称：请根据实际情况填写，本示例为subnet-A01和subnet-B01。 子网IPv4网段：VPC子网网段与客户IDC侧子网网段不能重复，请根据实际情况填写，本示例subnet-A01为192.168.0.0/24，subnet-B01为172.16.0.0/24。 ER 1 名称：请根据实际情况填写，本示例为er-X。 ASN：企业路由器不能和线下IDC的AS号一样，且建议企业路由器和全域接入网关的AS号也不一样，由于64512是全域接入网关的系统预留AS号，因此本示例企业路由器的AS号为64513。 默认路由表关联：开启 默认路由表传播：开启 自动接受共享连接：请根据实际情况选择，本示例选择“开启”。 连接，本示例需要在企业路由器中添加3个连接： VPC-A连接：er-attach-vpc-A VPC-B连接：er-attach-vpc-B DGW连接：er-attach-dgw DC 1 物理连接：请根据实际需求创建。 本示例中，1个物理连接为dc-X。 全域接入网关，请根据实际需求创建，本示例说明如下： 名称：请根据实际情况填写，本示例为dgw-X。 BGP ASN：建议全域接入网关和企业路由器的AS号不一样，本示例中全域接入网关的AS号为64512。 地址类型：请根据实际情况选择，本示例为IPv4。 虚拟接口，请根据实际需求创建，本示例说明如下： 名称：本示例虚拟接口为vif-X。 虚拟接口优先级：此处请选择“优先”。 物理连接：本示例中虚拟接口vif-X关联的物理连接为dc-X。 全域接入网关：本示例中虚拟接口vif-X关联的全域接入网关为dgw-X。 本端网关：本示例为10.0.0.1/30。 远端网关：本示例为10.0.0.2/30。 远端子网：此处为IDC侧子网网段，本示例为10.1.123.0/24。 路由模式：请选择“BGP”。 BGP邻居AS号：此处为线下IDC侧的AS号，不能和云上全域接入网关、ER等服务的AS号一样，本示例为64515。 关联实例，即将全域接入网关加入到企业路由器中，请根据实际需求创建，本示例说明如下： 实例类型：此处请选择“连接”。 连接名称：请根据实际情况填写，本示例为er-attach-dgw。 连接类型：此处请选择“企业路由器”。 连接资源：选择您的企业路由器，本示例为er-X。 ECS 2 ECS主要用来验证网络通信情况，本示例如下： 名称：根据实际情况填写，本示例分别为ecs-A和ecs-B。 镜像：请根据实际情况选择，本示例为公共镜像（CentOS 8.2 64bit）。 网络： 虚拟私有云：选择业务VPC，本示例为ecs-A选择vpc-A，ecs-B选择vpc-B。 子网：选择和线下IDC通信的子网，本示例为ecs-A选择subnet-A01，ecs-B选择subnet-B01。 安全组：请根据实际情况选择，本示例安全组模板选择“通用Web服务器”，名称为sg-demo。 私有IP地址：本示例中，ecs-A为192.168.1.99，ecs-B为172.16.1.137。

DC双链路负载混合云组网构建流程 本章节介绍通过企业路由器构建DC双链路负载混合云组网总体流程，流程说明如表1所示。 表1 构建DC双链路负载混合云组网流程说明(全域接入网关DGW） 步骤 说明 步骤一：创建云服务资源 创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 创建业务VPC和子网，本示例中创建1个VPC和子网。 在业务VPC子网内，创建ECS，本示例中创建1个ECS。 步骤二：在企业路由器中添加并配置VPC连接 在企业路由器中添加“虚拟私有云（VPC）”连接：将1个业务VPC接入企业路由器中。 在VPC路由表中配置路由：在VPC路由表中配置到企业路由器的路由信息，目的地址为IDC侧网段。 步骤三：在企业路由器中添加并配置DGW连接 搭建第一条专线链路并验证网络通信情况。 创建1个物理连接：物理连接是线下IDC侧和华为云的专属通道，需要运营商进行施工，搭建物理专线链路连接线下和云上。 创建1个全域接入网关：创建1个全域接入网关。 创建1个虚拟接口：虚拟接口用来连接全域接入网关和物理连接。 将全域接入网关接入企业路由器：接入后，在企业路由器的连接列表中可以查看“全域接入网关（DGW）”连接。 配置IDC侧路由：在线下IDC侧路由设备配置网络参数。 登录ECS，执行ping命令，验证DC链路通信情况。 参考1，搭建第二条专线链路并验证网络通信情况。 步骤四：在ER侧和IDC侧分别配置等价路由 在ER路由表中，检查ER通过DGW连接学习的BGP路由是否形成负载均衡。 如果形成负载均衡，则无需配置路由策略。 如果未形成负载均衡，则需要配置路由策略，执行2，在ER侧配置等价路由。 （可选）在ER侧配置等价路由，即创建路由策略并绑定至DGW连接的传播上。 配置路由策略，替换路由的AS_Path，可能会导致网络环路，配置前请检查网络规划，谨慎配置。 创建1个路由策略：路由策略中包含两个策略节点。 为DGW连接的传播绑定路由策略：分别将路由策略绑定至两个DGW连接上，将ER通过DGW连接学习的BGP路由形成等价路由。 登录IDC侧网络设备，配置IDC侧的等价路由。 父主题： 通过企业路由器构建DC双链路负载混合云组网（全域接入网关DGW）

应用场景 云专线（Direct Connect，DC）用于搭建线下IDC和云上虚拟私有云（Virtual Private Cloud，VPC）之间高速、低时延、稳定安全的专属连接通道，您可以通过企业路由器和云专线的全域接入网关，构建满足企业通信的大规模混合云组网。 通过企业路由器，可以实现专线的动态选路和切换，多个专线链路之间形成负载均衡，有效扩展网络带宽，增加吞吐量，提升网络性能的同时保证高可靠性。 接下来，将主要为您介绍如何通过企业路由器和全域接入网关实现云上VPC和线下IDC网络互通。

应用场景 云专线（Direct Connect，DC）用于搭建线下IDC和云上虚拟私有云（Virtual Private Cloud，VPC）之间高速、低时延、稳定安全的专属连接通道，您可以通过企业路由器和云专线的全域接入网关，构建满足企业通信的大规模混合云组网。 通过企业路由器，可以实现专线的动态选路和切换，多个专线链路之间形成负载均衡，有效扩展网络带宽，增加吞吐量，提升网络性能的同时保证高可靠性。 接下来，将主要为您介绍如何通过企业路由器和全域接入网关，构建DC双链路负载混合云组网。

方案架构 为了提升混合云组网的网络性能以及可靠性，XX企业同时部署了两条专线DC链路，均可以连通云上VPC和线下IDC的网络。两条DC链路形成负载均衡，当两条DC链路网络均正常，同时工作可提升网络传输能力。当其中一条DC链路故障时，另外一条DC链路可确保整个混合云组网的正常运行，避免了单点故障带来的业务中断。 将VPC1、VPC2以及DC接入企业路由器中，VPC1和VPC2网络互通，并且均可以通过两条DC和线下IDC通信。 当其中一条DC链路故障时，VPC1和VPC2可以通过另外一条DC链路和线下IDC通信。 图1 DC双链路负载混合云组网(全域接入网关DGW）

背景信息 XX企业在华为云区域A内部署了2个虚拟私有云VPC，这2个VPC需要互相访问，并且共享同一条云专线DC访问客户线下的IDC。 在区域A内创建一个企业路由器ER，将VPC和DC的虚拟网关接入ER内，ER可以在接入的VPC和虚拟网关之间转发流量，实现2个VPC共享DC。 图1 线下IDC和云上VPC互通组网 您可以使用企业路由器的共享功能，将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。 如果您需要连通云上VPC和线下IDC构建混合云组网，则推荐您使用企业路由器和云专线的全域接入网关DGW，具体请参见通过企业路由器和云专线构建混合云组网（全域接入网关DGW）。 从2024年5月份开始，通过企业路由器和云专线的虚拟网关VGW构建混合云组网的功能不再支持新增组网，只针对存量组网进行维护。

操作流程 本文档介绍如何通过企业路由器构建线下IDC和云上VPC互通组网，流程如图2所示。 图2 构建线下IDC和云上VPC互通组网流程图 表1 构建线下IDC和云上VPC互通组网流程说明 序号 步骤 说明 1 规划组网和资源 规划组网和资源，包括资源数量及网段信息等。 2 创建资源 创建企业路由器：创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 创建VPC和ECS：创建VPC和ECS资源，创建2个虚拟私有云VPC和2个弹性云服务器ECS。 创建云专线的物理连接：物理连接是线下IDC侧和华为云的专属通道，需要运营商进行施工，搭建物理专线链路连接线下和云上。 3 配置网络 在企业路由器中配置VPC连接： 在企业路由器中添加“虚拟私有云（VPC）”连接：将2个VPC分别接入企业路由器中。 在VPC路由表中配置路由：在VPC路由表中配置到企业路由器的路由信息。 在企业路由器中配置VGW连接： 创建虚拟网关：创建1个关联企业路由器的虚拟网关，企业路由器中会自动添加“虚拟网关（VGW）”连接。 创建虚拟接口：创建关联虚拟网关的虚拟接口，连接虚拟网关和物理连接。 配置IDC侧路由：在线下IDC侧路由设备配置路由信息。 4 验证网络互通情况 登录ECS，执行ping命令，验证网络互通情况。

应用场景 云专线（Direct Connect，DC）用于搭建线下IDC和云上虚拟私有云（Virtual Private Cloud，VPC）之间高速、低时延、稳定安全的专属连接通道，您可以通过企业路由器和云专线构建满足企业通信的大规模混合云组网。 虚拟专用网络 （Virtual Private Network，VPN）用于在线下IDC和华为云上VPC之间建立一条安全加密的公网通信隧道。相比通过DC构建混合云，使用VPN更加快速，成本更低。 为了助力企业客户实现混合云组网的高可靠性，并且控制成本费用，推荐您在企业路由器中同时接入DC和VPN两条网络链路，构建主备双链路的混合云组网。当主链路故障后，可自动切换至备链路，降低了单链路故障导致的业务中断风险。 您可以使用企业路由器的共享功能，将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。 如果您需要连通云上VPC和线下IDC构建混合云组网，则推荐您使用企业路由器和云专线的全域接入网关DGW，具体请参见通过企业路由器构建DC/VPN双链路主备混合云组网（全域接入网关DGW）。 从2024年5月份开始，通过企业路由器和云专线的虚拟网关VGW构建混合云组网的功能不再支持新增组网，只针对存量组网进行维护。

方案架构 为了提升混合云组网的可靠性，XX企业同时部署了DC和VPN两条网络链路，均可以连通云上VPC和线下IDC的网络。DC和VPN两条网络链路互为主备，主链路为DC，备链路为VPN，当DC链路故障时，可自动切换到VPN链路，降低网络中断对业务造成的影响。 将VPC1、VPC2以及DC接入企业路由器中，VPC1和VPC2网络互通，并且均可以通过DC和线下IDC通信。 将VPN接入企业路由器中，当主链路DC故障时，VPC1和VPC2可以通过备链路VPN和线下IDC通信。 图1 DC/VPN双链路主备混合云组网

DC/VPN双链路互备混合云组网构建流程 本章节介绍通过企业路由器构建DC/VPN双链路主备混合云组网总体流程，流程说明如表1所示。 表1 构建DC/VPN双链路主备混合云组网流程说明(全域接入网关DGW） 步骤 说明 步骤一：创建云服务资源 创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 创建业务VPC和子网，本示例中创建1个VPC和子网。 在业务VPC子网内，创建ECS，本示例中创建1个ECS。 步骤二：在企业路由器中添加并配置DGW连接 创建物理连接，物理连接是线下IDC侧和华为云的专属通道，需要运营商进行施工，搭建物理专线链路连接线下和云上。 创建全域接入网关：创建1个全域接入网关。 创建虚拟接口：创建1个虚拟接口，虚拟接口用来连接全域接入网关和物理连接。 将全域接入网关接入企业路由器：接入后，在企业路由器的连接列表中可以查看“全域接入网关（DGW）”连接。 配置IDC侧路由：在线下IDC侧路由设备配置网络参数。 步骤三：在企业路由器中添加并配置VPC连接 在企业路由器中添加“虚拟私有云（VPC）”连接：将1个业务VPC接入企业路由器中。 在VPC路由表中配置路由：在VPC路由表中配置到企业路由器的路由信息，目的地址为IDC侧网段。 步骤四：验证DC链路的通信情况 登录ECS，执行ping命令，验证DC链路的网络互通情况。 步骤五：在企业路由器中添加并配置VPN连接 创建VPN网关：创建1个关联企业路由器的VPN网关，企业路由器中会自动添加“VPN网关（VPN）”连接。 创建对端网关：创建1个用户IDC侧的对端网关。 创建2条VPN连接：VPN连接用来连通VPN网关和对端网关，两条VPN连接互为主备链路。 配置IDC侧路由：在线下IDC侧路由设备配置网络参数。 步骤六：验证VPN链路的通信情况 登录ECS，执行ping命令，验证VPN链路的网络互通情况。 由于VPN链路为备选，如果您需要验证VPN链路通信情况，需要先构造DC主链路故障，然后验证备VPN链路的通信情况。 父主题： 通过企业路由器构建DC/VPN双链路主备混合云组网（全域接入网关DGW）

按需计费 按需计费的企业路由器实例本身不收取费用，当您在企业路由器中添加连接时，会收取连接费用、以及流量费用。如您需要快速了解企业路由器的具体价格，请参见ER价格详情。 表1 企业路由器计费项说明 计费项 收取该项费用的连接类型 计费说明 计费示例 连接费用 “虚拟私有云（VPC）”连接 “虚拟网关（VGW）”连接 “VPN网关（VPN）”连接 “对等连接（Peering）”连接 “全域接入网关（DGW）”连接 当您将连接添加到企业路由器中时，会收取连接费用，连接添加成功后开始计费，连接删除后停止计费。 对于共享企业路由器内的连接，接受者创建的连接只有被企业路由器的所有者接受后，才会开始计费。 计费示例（连接费用和下行流量费用） 流量费用（下行流量） “虚拟私有云（VPC）”连接 “虚拟网关（VGW）”连接 “VPN网关（VPN）”连接 “全域接入网关（DGW）”连接 当您将连接添加到企业路由器中时，会根据实际流经连接的流量收取费用，统计从连接流入企业路由器的流量（以下称为下行流量），单位GB。 计费示例（连接费用和下行流量费用）

计费周期 连接费用：连接按小时计费，整点结算，不足一小时以一小时计算。以“虚拟私有云（VPC）”连接为例，计费时长示例如下： 场景一：2022年7月6日12:36，您在企业路由器中添加了一个“虚拟私有云（VPC）”连接，并于2022年7月6日12:57删除了该连接，此时按照一小时进行结算。 场景二：2022年7月6日12:59，您在企业路由器中添加了一个“虚拟私有云（VPC）”连接，并于2022年7月6日13:01分删除了该连接，由于实际使用时间跨整点，因此按照两个小时进行结算。 下行流量费用：根据实际流经连接的流量收取费用，统计从连接流入企业路由器的流量，单位GB。

适用计费项 按需计费的企业路由器实例本身不收取费用，当您在企业路由器中添加连接时，会收取连接费用、以及流量费用。如您需要快速了解企业路由器的具体价格，请参见ER价格详情。 表1 企业路由器计费项说明 计费项 收取该项费用的连接类型 计费说明 计费示例 连接费用 “虚拟私有云（VPC）”连接 “虚拟网关（VGW）”连接 “VPN网关（VPN）”连接 “对等连接（Peering）”连接 “全域接入网关（DGW）”连接 当您将连接添加到企业路由器中时，会收取连接费用，连接添加成功后开始计费，连接删除后停止计费。 对于共享企业路由器内的连接，接受者创建的连接只有被企业路由器的所有者接受后，才会开始计费。 计费示例（连接费用和下行流量费用） 流量费用（下行流量） “虚拟私有云（VPC）”连接 “虚拟网关（VGW）”连接 “VPN网关（VPN）”连接 “全域接入网关（DGW）”连接 当您将连接添加到企业路由器中时，会根据实际流经连接的流量收取费用，统计从连接流入企业路由器的流量（以下称为下行流量），单位GB。 计费示例（连接费用和下行流量费用） “对等连接（Peering）”连接收取连接费用，不收取下行流量费用，下行流量费用包含在您的全域互联带宽中，全域互联带宽的计费详情请参见中心网络计费项。 “ 云防火墙 （CFW）”连接不收取连接费用和下行流量费用。 “企业连接网（ECN）”连接处于公测期间，不收取连接费用和下行流量费用。

计费示例（连接费用和下行流量费用） 假设您在2023/07/06 12:25:30创建了一个按需计费的企业路由器，并添加如下两个连接： 2023/07/06 12:36:00 在企业路由器中添加1个“虚拟私有云（VPC）”连接，并在2023/07/07 18:50:00删除该连接，连接的使用过程中共产生下行流量532GB。 2023/07/06 13:01:00在企业路由器中添加1个“虚拟网关（VGW）”连接，并在2023/07/07 18:55:00删除该连接，连接的使用过程中共产生下行流量1300GB。 按需计费的企业路由器实例本身不收取费用，当您在企业路由器中添加连接时，会收取连接费用、以及流经连接的下行流量费用。 本示例中连接费用为0.40元/小时，下行流量费用为0.13元/GB，图1给出了上述示例配置的费用计算过程，产生费用的详细说明如表2所示。 图1 企业路由器计费示例（连接费用和下行流量费用） 表2 企业路由器费用明细（连接费用和下行流量费用） 连接类型 产生费用时间段 费用明细 费用总和 “虚拟私有云（VPC）”连接 2023/07/06 12:36:30~2023/07/07 18:50:00 实际使用时长共30小时14分钟，企业路由器采用整点计费，不足一小时采用一小时计费，本次计费时长为31小时，详细计算如下： 2023/07/06 12:36:00~2023/07/06 13:00:00 1小时 2023/07/06 13:00:00~2023/07/07 18:00:00 29小时 2023/07/07 18:00:00~2023/07/07 18:50:00 1小时 连接费用：0.40×31=12.4元 下行流量费用：0.13×532=69.16元 12.4+69.16=81.56元 “虚拟网关（VGW）”连接 2023/07/06 13:01:00~2023/07/07 18:55:00 计费时长共29小时54分钟，企业路由器采用整点计费，不足一小时采用一小时计费，本次计费时长为30小时，详细计算如下： 2023/07/06 13:01:00~2023/07/06 14:00:00 1小时 2023/07/06 14:00:00~2023/07/07 18:00:00 28小时 2023/07/07 18:00:00~2023/07/07 18:55:00 1小时 连接费用：0.40×30=12元 下行流量费用：0.13×1300=169元 12+169=181元 文档中的价格示例仅供参考，实际费用计算请以企业路由器价格详情中的价格为准。

计费示例（连接费用和下行流量费用） 假设您在2023/07/06 12:25:30创建了一个按需计费的企业路由器，并添加如下两个连接： 2023/07/06 12:36:00 在企业路由器中添加1个“虚拟私有云（VPC）”连接，并在2023/07/07 18:50:00删除该连接，连接的使用过程中共产生下行流量532GB。 2023/07/06 13:01:00在企业路由器中添加1个“虚拟网关（VGW）”连接，并在2023/07/07 18:55:00删除该连接，连接的使用过程中共产生下行流量1300GB。 按需计费的企业路由器实例本身不收取费用，当您在企业路由器中添加连接时，会收取连接费用、以及流经连接的下行流量费用。 本示例中连接费用为0.40元/小时，下行流量费用为0.13元/GB，图1给出了上述示例配置的费用计算过程，产生费用的详细说明如表1所示。 图1 企业路由器计费示例（连接费用和下行流量费用） 表1 企业路由器费用明细（连接费用和下行流量费用） 连接类型 产生费用时间段 费用明细 费用总和 “虚拟私有云（VPC）”连接 2023/07/06 12:36:30~2023/07/07 18:50:00 实际使用时长共30小时14分钟，企业路由器采用整点计费，不足一小时采用一小时计费，本次计费时长为31小时，详细计算如下： 2023/07/06 12:36:00~2023/07/06 13:00:00 1小时 2023/07/06 13:00:00~2023/07/07 18:00:00 29小时 2023/07/07 18:00:00~2023/07/07 18:50:00 1小时 连接费用：0.40×31=12.4元 下行流量费用：0.13×532=69.16元 12.4+69.16=81.56元 “虚拟网关（VGW）”连接 2023/07/06 13:01:00~2023/07/07 18:55:00 计费时长共29小时54分钟，企业路由器采用整点计费，不足一小时采用一小时计费，本次计费时长为30小时，详细计算如下： 2023/07/06 13:01:00~2023/07/06 14:00:00 1小时 2023/07/06 14:00:00~2023/07/07 18:00:00 28小时 2023/07/07 18:00:00~2023/07/07 18:55:00 1小时 连接费用：0.40×30=12元 下行流量费用：0.13×1300=169元 12+169=181元 文档中的价格示例仅供参考，实际费用计算请以企业路由器价格详情中的价格为准。

操作影响 对数据量大的Topic进行分区平衡，会占用大量的网络和存储带宽，业务可能会出现请求超时或者时延增大，建议在业务低峰期时操作。对Topic进行分区平衡前，根据Kafka实例规格对比当前实例负载情况，评估是否可以进行分区平衡，建议预留足够的带宽进行分区平衡，CPU使用率在90%以上时，不建议进行分区平衡。Topic的数据量和CPU使用率可以通过监控页面的“队列数据容量”和“CPU使用率”查看，具体步骤请参考查看Kafka监控数据。 带宽限制是指设定Topic进行副本同步的带宽上限，确保不会对该实例上的其他Topic造成流量冲击。但需要注意，带宽限制不会区分是正常的生产消息造成的副本同步还是分区平衡造成的副本同步，如果带宽限制设定过小，可能会影响正常的生产消息，且可能会造成分区平衡一直无法结束。如果分区平衡一直无法结束，请联系客服处理。 分区平衡任务启动后，不能删除正在进行分区平衡的Topic，否则会导致分区平衡任务无法结束。 分区平衡任务启动后，无法修改Topic的分区数。 分区平衡任务启动后，无法手动停止任务，需要等到任务完成。 已设置了一个定时分区平衡任务，在此任务未执行前，无法对本实例内的任何Topic执行其他分区平衡任务。 分区平衡后Topic的metadata会改变，如果生产者不支持重试机制，会有少量的请求失败，导致部分消息生产失败。 数据量大的Topic进行分区平衡的时间会比较长，建议根据Topic的消费情况，适当调小Topic老化时间，使得Topic的部分历史数据被及时清理，加快迁移速度。Topic的数据量可以通过监控页面的“队列数据容量”查看，具体步骤请参考查看Kafka监控数据。

修改定时分区平衡任务 在“后台任务管理”页面的“定时任务”页签中，单击页面左上角下拉框，选择时间段，在搜索对话框中输入待修改定时分区平衡任务的Topic名称，按“Enter”，实现快速查找定时分区平衡任务。 图5 查找定时分区平衡任务 在待修改的定时分区平衡任务后，单击“修改”。 在弹出的“修改定时任务”对话框中，您可以修改定时分区平衡任务的时间，还可以取消定时分区平衡任务，具体操作如下。 修改定时分区平衡任务的时间：修改时间，单击“确定”。 取消定时分区平衡任务：选择“取消”，如图6所示，单击“确定”。 图6 取消定时分区平衡任务

带宽限制值估算方法 带宽限制值受分区平衡任务执行时间、分区副本Leader/Follower分布情况以及消息生产速率等因素影响，具体分析如下。 带宽限制值作用范围为整个Broker，对该Broker内所有副本同步的分区进行带宽限流。 带宽限制会将分区平衡后新增的副本视为Follower副本限流，分区平衡前的Leader副本视为Leader副本限流，Leader副本的限流和Follower副本限流分开计算。 带宽限制不会区分是正常的生产消息造成的副本同步还是分区平衡造成的副本同步，因此两者的流量都会被限流统计。 假设分区平衡任务需要在200s内完成，每个副本的数据量为100MB，在以下几种场景中，估算带宽限制值。 场景一：Topic1有2分区2副本，Topic2有1分区1副本，所有Leader副本在同一个Broker上，如表4所示，Topic1和Topic2分别需要新增1个副本，如表5所示。 表4 分区平衡前Topic分区的副本分布 Topic名称 分区名称 Leader副本所在Broker Follower副本所在Broker Topic1 0 0 0，1 Topic1 1 0 0，2 Topic2 0 0 0 表5 分区平衡后Topic分区的副本分布 Topic名称 分区名称 Leader副本所在Broker Follower副本所在Broker Topic1 0 0 0，1，2 Topic1 1 0 0，1，2 Topic2 0 0 0，2 图7 场景一分区平衡图 如图7所示，有3个副本需要从Broker 0拉取数据，Broker 0中每个副本的数据量为100MB，Broker 0中只有Leader副本，Broker 1和Broker 2中只有Follower副本，由此得出以下数据： Broker 0在200s内完成分区平衡所需的带宽限制值=（100+100+100）/200=1.5MB/s Broker 1在200s内完成分区平衡所需的带宽限制值=100/200=0.5MB/s Broker 2在200s内完成分区平衡所需的带宽限制值=（100+100）/200=1MB/s 综上所述，若想要在200s内完成分区平衡任务，带宽限制值应设为大于等于1.5MB/s。由于控制台的带宽限制只能是整数，因此带宽限制值应设为大于等于2MB/s。 场景二：Topic1有2分区1副本，Topic2有2分区1副本，Leader副本分布在不同Broker上，如表6所示，Topic1和Topic2分别需要新增1个副本，如表7所示。 表6 分区平衡前Topic分区的副本分布 Topic名称 分区名称 Leader副本所在Broker Follower副本所在Broker Topic1 0 0 0 Topic1 1 1 1 Topic2 0 1 1 Topic2 1 2 2 表7 分区平衡后Topic分区的副本分布 Topic名称 分区名称 Leader副本所在Broker Follower副本所在Broker Topic1 0 0 0，2 Topic1 1 1 1，2 Topic2 0 1 1，2 Topic2 1 2 2，0 图8 场景二分区平衡图

分区平衡前的准备工作 在不影响业务的前提下，适当调小Topic老化时间并等待消息老化，减少迁移数据，加快迁移速度，分区平衡任务结束后可重新调整为初始值。修改Topic老化时间的步骤，请参考修改Kafka消息老化时间。 确保分区平衡的目标Broker磁盘容量充足，在磁盘存储统计中查看每个Broker的可用磁盘容量。如果目标Broker磁盘剩余容量接近分区平衡迁移到该Broker上的数据量，为了给目标Broker上的消息生产预留存储空间，应先进行磁盘扩容，再进行分区平衡。

场景三：专线+VPN双链路主备 图3 专线+VPN双链路主备 表3 场景三说明 客户场景 企业客户的业务同时部署在公有云和线下IDC中，云上业务访问IDC使用单专线不满足可靠性要求。 客户痛点 为了控制成本，客户无法采用双专线方案。 企业路由器价值 此处部署了一条专线链路和一条VPN链路，通过企业路由器构建专线+VPN主备双链路的混合云组网，当专线链路故障时，可自动切换到VPN链路，降低网络中断对业务造成的影响。 最佳实践 通过企业路由器构建DC/VPN双链路主备混合云组网（全域接入网关DGW）

场景四：跨区域、跨云高可靠骨干网络 图4 跨区域、跨云高可靠骨干网络 图4中友商云对应的ER、CC、DC、VPC名称仅为示意，实际云服务名称请以友商为准。 表4 场景四说明 客户场景 为了提升业务容灾能力，企业客户业务同时部署在多个公有云上。并且为了业务就近接入，每一个公有云上又横跨多个区域。客户没有自建骨干网，使用公有云的骨干网实现多云多区域网络互通。 比如公司A，其业务涉及多个地区，因此部署在华为云，以及友商云的多个区域内。不同公有云之间通过DC专线链路（不同运营商）互通，同一个公有云不同区域之间通过公有云提供的骨干网（云连接CC的中心网络）互通。 客户痛点 多云多区域的VPC实现互通，需要配置管理大量路由条目，维护成本高。 专线链路和云连接链路无法联动做负载分担或者主备。 企业路由器价值 在客户的跨云组网中，不同公有云通过专线链路连通，同一个公有云内通过云连接中心网络连通不同区域。 企业路由器可以在接入的所有网络实例之间转发流量，精简网络拓扑。同时支持路由学习，网络变化时可以自动收敛，降低维护管理难度。 企业路由器可以实现专线和云连接之间的链路联动，用作负载分担或者主备。VPC在不同云之间转发流量，业务优先走运营商专线链路，专线链路故障后，能够动态切换到备份的云连接链路和其他专线链路。 假如华为云-区域C和友商云-区域C之间的专线链路通信故障，则流量可以先由华为云-区域C经过云连接链路转发至华为云-区域B，再经过专线链路转发至友商云-区域B，最后经过云连接链路抵达友商云-区域C，保障了业务的连续性。 最佳实践 通过企业路由器和云连接中心网络实现跨区域VPC互通 通过企业路由器和云专线实现线下IDC和云上VPC互通

场景五：构建VPC间的边界防火墙 图5 构建VPC间的边界防火墙 表5 场景五说明 客户场景 企业客户的业务A部署在VPC1内，业务B部署在VPC2内，出于安全考虑，业务A和业务B互访的流量需要经过防火墙过滤清洗。 客户痛点 希望快速搭建满足安全要求的云上组网。 企业路由器价值 客户在组网中部署云防火墙，通过将VPC和云防火墙关联至企业路由器中不同的路由表，控制VPC1和VPC2互访流量经过防火墙。 最佳实践 通过企业路由器和云防火墙构建组网

场景一：多个VPC灵活互通和隔离，共享专线 图1 多个VPC灵活互通和隔离，共享专线 表1 场景一说明 客户场景 企业客户业务上云，多个业务网络之间需要互相访问或者隔离，并且业务网络需要和线下IDC互通。比如X企业的业务部署在公有云内，业务A、业务B、业务C相互独立，因此三个业务所在的VPC网络隔离。同时，业务A、业务B、业务C均需要访问VPC4内的公共业务以及线下IDC。 客户痛点 VPC之间的网络互通和隔离，通过VPC对等连接来实现。点对点的连接导致网络拓扑复杂，路由配置繁多，管理难度大。 公共服务VPC和每个业务VPC互通，需要配置大量的对等连接和路由，对服务规格要求高。VPC对等连接的规格不适用大规模组网，具体如下： 一个租户在一个区域最多可以配置50个对等连接数量。 VPC的一个路由表最多支持200条路由。 VPC访问线下IDC，通过云专线DC，需要为每个VPC都需要配置专线，成本高。 企业路由器价值 通过将VPC关联至企业路由器中不同的路由表，灵活实现VPC之间的互通和隔离，网络拓扑简洁，配置简单易管理。 企业路由器可以在所有VPC之间路由流量，无需配置大量对等连接，同时企业路由器支持大规格路由条目，适合企业复杂组网场景，具体如下： 每个企业路由器的路由表最大支持2000条路由。 多个VPC可以共享专线访问线下IDC，免去多条专线配置，降低成本。 最佳实践 通过企业路由器实现同区域VPC隔离