华为云用户手册

应用场景 云专线（Direct Connect，DC）用于搭建线下IDC和云上虚拟私有云（Virtual Private Cloud，VPC）之间高速、低时延、稳定安全的专属连接通道，您可以通过企业路由器和云专线的全域接入网关，构建满足企业通信的大规模混合云组网。 通过企业路由器，可以实现专线的动态选路和切换，多个专线链路之间形成负载均衡，有效扩展网络带宽，增加吞吐量，提升网络性能的同时保证高可靠性。 接下来，将主要为您介绍如何通过企业路由器和全域接入网关实现云上VPC和线下IDC网络互通。

操作步骤 将2个VPC分别接入企业路由器中。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“虚拟私有云（VPC）”连接后，以下均为系统自动配置： 在默认路由表中创建关联 在默认路由表中创建传播，并自动学习VPC网段路由信息。 在VPC路由表中配置ER的路由信息。 配置路由信息，具体方法请参见在VPC路由表中配置路由。

在企业路由器中配置VPC连接 在企业路由器中配置“虚拟私有云（VPC）”连接，即将VPC接入企业路由器中，资源规划详情请参见表5。 在区域A内，在企业路由器ER-A中添加“虚拟私有云（VPC）”连接。 将VPC接入企业路由器中。 本示例添加“虚拟私有云（VPC）”连接时开启“配置连接侧路由”，免去手工在VPC路由表中配置路由。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“虚拟私有云（VPC）”连接后，以下均为系统自动配置： 在默认路由表中创建关联 在默认路由表中创建传播，并自动学习VPC网段路由信息。 （可选）在VPC路由表中配置ER的路由信息。 如果您添加“虚拟私有云（VPC）”连接时开启“配置连接侧路由”，则无需执行该操作，系统会自动在VPC路由表中添加路由，路由详情请参见表3。 配置路由信息，具体方法请参见在VPC路由表中配置路由。 在区域B内，参考1，在企业路由器ER-B中添加“虚拟私有云（VPC）”连接。 在区域C内，参考1，在企业路由器ER-C中添加“虚拟私有云（VPC）”连接。 父主题： 通过中心网络构建跨区域VPC互通组网步骤

DC双链路负载混合云组网构建流程 本章节介绍通过企业路由器构建DC双链路负载混合云组网总体流程，流程说明如表1所示。 表1 构建DC双链路负载混合云组网流程说明 步骤 说明 步骤一：创建云服务资源 创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 创建业务VPC和子网，本示例中创建1个VPC和子网。 在业务VPC子网内，创建E CS ，本示例中创建1个ECS。 步骤二：在企业路由器中添加并配置VPC连接 在企业路由器中添加“虚拟私有云（VPC）”连接：将1个业务VPC接入企业路由器中。 在VPC路由表中配置路由：在VPC路由表中配置到企业路由器的路由信息，目的地址为IDC侧网段。 步骤三：在企业路由器中添加并配置VGW连接 搭建第一条专线链路并验证网络通信情况。 创建1个物理连接：物理连接是线下IDC侧和华为云的专属通道，需要运营商进行施工，搭建物理专线链路连接线下和云上。 创建1个虚拟网关：创建关联企业路由器的虚拟网关，企业路由器中会自动添加“虚拟网关（VGW）”连接。 创建1个虚拟接口：虚拟接口用来连接虚拟网关和物理连接。 配置IDC侧路由：在线下IDC侧路由设备配置网络参数。 登录ECS，执行ping命令，验证DC链路通信情况。 参考1，搭建第二条专线链路并验证网络通信情况。 步骤四：在ER侧和IDC侧分别配置等价路由 在ER路由表中，检查ER通过VGW连接学习的BGP路由是否形成负载均衡。 如果形成负载均衡，则无需配置路由策略。 如果未形成负载均衡，则需要配置路由策略，执行2，在ER侧配置等价路由。 （可选）在ER侧配置等价路由，即创建路由策略并绑定至VGW连接的传播上。 配置路由策略，替换路由的AS_Path，可能会导致网络环路，配置前请检查网络规划，谨慎配置。 创建1个路由策略：路由策略中包含两个策略节点。 为VGW连接的传播绑定路由策略：分别将路由策略绑定至两个VGW连接上，将ER通过VGW连接学习的BGP路由形成等价路由。 登录IDC侧网络设备，配置IDC侧的等价路由。 父主题： 通过企业路由器构建DC双链路负载混合云组网（虚拟网关VGW）

规划组网 企业路由器和全域接入网关混合云组网规划如图1所示，将2个VPC和1个DGW网关接入ER中，组网规划说明如表2所示。 图1 企业路由器和全域接入网关混合云组网规划 表1 网络流量路径说明 路径 说明 请求路径：VPC-A→线下IDC 在VPC-A路由表中，通过下一跳为ER的路由将流量转送到ER。 在ER路由表中，通过下一跳为DGW连接的路由将流量转送到全域接入网关。 全域接入网关连接虚拟接口，通过虚拟接口将流量从远端网关转送到物理专线。 通过物理专线将流量送达线下IDC。 响应路径：线下IDC→VPC-A 通过物理专线将流量转送到虚拟接口。 虚拟接口连接全域接入网关，通过虚拟接口将流量从本端网关转送到全域接入网关。 通过全域接入网关将流量转送到ER。 在ER路由表中，通过下一跳为VPC-A连接的路由将流量送达VPC-A。 表2 企业路由器和全域接入网关混合云组网规划说明 资源 说明 VPC 业务VPC，实际运行客户业务的VPC，具体说明如下： VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC网段与客户IDC侧网段不能重复。 VPC有一个默认路由表。 VPC默认路由表中的路由信息如表3所示。 固定网段：10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三个固定网段是添加VPC连接时，开启“配置连接侧路由”选项，系统自动在VPC路由表配置的静态路由。如果ER内同时接入多个VPC连接，则这些路由可以将当前VPC访问其他VPC的路由转发至ER，再通过ER将流量转发至下一跳网络实例。 线下IDC侧网段：除了系统自动添加的3个VPC固定网段，您还需要在VPC路由表中添加目的地址为IDC侧网段，下一跳指向ER的路由，本示例为10.1.123.0/24，该路由可以将VPC访问线下IDC侧的流量转发至ER，再通过ER将流量转发至下一跳网络实例。 须知： 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 DC 1个物理连接：需要运营商施工搭建连通华为云和线下IDC的物理专线。 1个全域接入网关：将全域接入网关接入ER中，即表示将“全域接入网关（DGW）”连接添加到ER。 1个虚拟接口：连接全域接入网关和物理连接。 ER 开启“默认路由表关联”和“默认路由表传播”功能，添加完“全域接入网关（DGW）”连接和“虚拟私有云（VPC）”连接，系统会自动执行以下配置： DC： 将1个“全域接入网关（DGW）”连接关联至ER默认路由表。 在默认路由表中创建“全域接入网关（DGW）”连接的传播，路由自动学习DC侧的所有路由信息，包括本端网关和远端网关、IDC侧网段等信息，路由信息如表4所示。 VPC： 将2个“虚拟私有云（VPC）”连接关联至ER默认路由表。 在默认路由表中创建“虚拟私有云（VPC）”连接的传播，路由自动学习VPC网段，路由信息如表4所示。 ECS 2个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通网络。 表3 VPC路由表 目的地址 下一跳 路由类型 固定网段：10.0.0.0/8 企业路由器 静态路由：自定义 固定网段：172.16.0.0/12 企业路由器 静态路由：自定义 固定网段：192.168.0.0/16 企业路由器 静态路由：自定义 线下IDC侧网段：10.1.123.0/24 企业路由器 静态路由：自定义 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 除了系统自动添加的3个VPC固定网段，您还需要在VPC路由表中添加目的地址为IDC侧网段，下一跳指向ER的路由。 表4 ER路由表 目的地址 下一跳 路由类型 VPC-A网段：192.168.0.0/16 VPC-A连接：er-attach-vpc-A 传播路由 VPC-B网段：172.16.0.0/16 VPC-B连接：er-attach-vpc-B 传播路由 本端网关和远端网关：10.0.0.0/30 DGW连接：er-attach-dgw 传播路由 IDC侧网段：10.1.123.0/24 DGW连接：er-attach-dgw 传播路由

规划资源 企业路由器ER、云专线DC、 虚拟私有云VPC 、弹性 云服务器ECS 只要位于同一个区域内即可，可用区可以任意选择，不用保持一致。 以下资源规划详情仅为示例，您可以根据需要自行修改。 表5 DC双链路负载混合云组网资源规划总体说明 资源类型 资源数量 说明 VPC 2 业务VPC，实际运行客户业务的VPC，需要接入ER中。 VPC名称：请根据实际情况填写，本示例为vpc-A和vpc-B。 IPv4网段：VPC网段与客户IDC侧网段不能重复，请根据实际情况填写，本示例vpc-A为192.168.0.0/16，vpc-B为172.16.0.0/16。 子网名称：请根据实际情况填写，本示例为subnet-A01和subnet-B01。 子网IPv4网段：VPC子网网段与客户IDC侧子网网段不能重复，请根据实际情况填写，本示例subnet-A01为192.168.0.0/24，subnet-B01为172.16.0.0/24。 ER 1 名称：请根据实际情况填写，本示例为er-X。 ASN：企业路由器不能和线下IDC的AS号一样，且建议企业路由器和全域接入网关的AS号也不一样，由于64512是全域接入网关的系统预留AS号，因此本示例企业路由器的AS号为64513。 默认路由表关联：开启 默认路由表传播：开启 自动接受共享连接：请根据实际情况选择，本示例选择“开启”。 连接，本示例需要在企业路由器中添加3个连接： VPC-A连接：er-attach-vpc-A VPC-B连接：er-attach-vpc-B DGW连接：er-attach-dgw DC 1 物理连接：请根据实际需求创建。 本示例中，1个物理连接为dc-X。 全域接入网关，请根据实际需求创建，本示例说明如下： 名称：请根据实际情况填写，本示例为dgw-X。 BGP ASN：建议全域接入网关和企业路由器的AS号不一样，本示例中全域接入网关的AS号为64512。 地址类型：请根据实际情况选择，本示例为IPv4。 虚拟接口，请根据实际需求创建，本示例说明如下： 名称：本示例虚拟接口为vif-X。 虚拟接口优先级：此处请选择“优先”。 物理连接：本示例中虚拟接口vif-X关联的物理连接为dc-X。 全域接入网关：本示例中虚拟接口vif-X关联的全域接入网关为dgw-X。 本端网关：本示例为10.0.0.1/30。 远端网关：本示例为10.0.0.2/30。 远端子网：此处为IDC侧子网网段，本示例为10.1.123.0/24。 路由模式：请选择“BGP”。 BGP邻居AS号：此处为线下IDC侧的AS号，不能和云上全域接入网关、ER等服务的AS号一样，本示例为64515。 关联实例，即将全域接入网关加入到企业路由器中，请根据实际需求创建，本示例说明如下： 实例类型：此处请选择“连接”。 连接名称：请根据实际情况填写，本示例为er-attach-dgw。 连接类型：此处请选择“企业路由器”。 连接资源：选择您的企业路由器，本示例为er-X。 ECS 2 ECS主要用来验证网络通信情况，本示例如下： 名称：根据实际情况填写，本示例分别为ecs-A和ecs-B。 镜像：请根据实际情况选择，本示例为公共镜像（CentOS 8.2 64bit）。 网络： 虚拟私有云：选择业务VPC，本示例为ecs-A选择vpc-A，ecs-B选择vpc-B。 子网：选择和线下IDC通信的子网，本示例为ecs-A选择subnet-A01，ecs-B选择subnet-B01。 安全组：请根据实际情况选择，本示例安全组模板选择“通用Web服务器”，名称为sg-demo。 私有IP地址：本示例中，ecs-A为192.168.1.99，ecs-B为172.16.1.137。

资源规划说明 企业路由器ER、虚拟私有云VPC、弹性云服务器ECS只要位于同一个区域内即可，可用区可以任意选择，不用保持一致。 以下资源规划详情仅为示例，实际情况请根据您的业务需求规划。 表5 跨区域VPC互通组网资源规划总体说明 资源类型 资源数量 说明 VPC 3 业务VPC，实际运行客户业务的VPC，需要接入ER，本示例中需要在3个不同区域内各创建一个VPC。 VPC名称：请根据实际情况填写，本示例如下。 区域A：VPC-A 区域B：VPC-B 区域C：VPC-C IPv4网段：建议不同的VPC网段不能重复，请根据实际情况填写，本示例如下。 VPC-A：172.16.0.0/16 VPC-B：192.168.0.0/16 VPC-C：10.0.0.0/16 子网名称和IPv4网段：需要互通的VPC子网网段不能重复，否则无法通信。请根据实际情况规划，本示例如下。 subnet-A01：172.16.0.0/24 subnet-B01：192.168.0.0/24 subnet-C01：10.0.0.0/24 ER 3 本示例中需要在3个不同区域内各创建一个ER，并接入“对等连接（Peering）”连接和“虚拟私有云（VPC）”连接。 名称：请根据实际情况填写， 区域A：ER-A 区域B：ER-B 区域C：ER-C ASN：此处建议不同区域企业路由器的AS号不同，本示例如下。 ER-A：64512 ER-B：64513 ER-C：64514 默认路由表关联：开启 默认路由表传播：开启 自动接受共享连接：请根据实际情况选择，本示例选择“开启”。 连接：本示例需要在不同区域的企业路由器中分别添加3个连接，本示例如下。 ER-A： VPC连接：连通VPC-A和ER-A之间的网络，名称为er-attach-VPC-A Peering连接：连通ER-A和ER-B之间的网络，名称为region-A-region-B Peering连接：连通ER-A和ER-C之间的网络，名称为region-A-region-C ER-B： VPC连接：连通VPC-B和ER-B之间的网络，名称为er-attach-VPC-B Peering连接：连通ER-B和ER-A之间的网络，名称为region-B-region-A Peering连接：连通ER-B和ER-C之间的网络，名称为region-B-region-C ER-C： VPC连接：连通VPC-C和ER-C之间的网络，名称为er-attach-VPC-C Peering连接：连通ER-C和ER-A之间的网络，名称为region-C-region-A Peering连接：连通ER-C和ER-B之间的网络，名称为region-C-region-B 须知： 当使用中心网络连通ER时，必须开启ER的“默认路由表关联”和“默认路由表传播”功能。 CC中心网络 1 本示例中，需要创建一个中心网络，并在中心网络中加入需要网络互通的ER。 名称：请根据实际情况填写，本示例为gcn-A-B-C。 策略： 区域：区域A；企业路由器：ER-A 区域：区域B；企业路由器：ER-B 区域：区域C；企业路由器：ER-C 跨地域连接带宽： 区域A-区域B：10 Mbit/s 区域A-区域C：5 Mbit/s 区域B-区域C：20 Mbit/s 全域互联带宽 3 本示例中，需要创建3个全域互联带宽，用来连通不同区域的云内骨干网络。 名称：请根据实际情况填写，本示例如下。 连通区域A和区域B：bandwidth-A-B。 连通区域A和区域C：bandwidth-A-C。 连通区域B和区域C：bandwidth-B-C。 带宽类型：请根据组网实际情况选择，本示例中区域A、区域B以及区域C位于同一个大区，因此选择“大区带宽”。 互联大区：请根据组网实际情况选择，本示例中区域A、区域B以及区域C均位于中国大陆，因此选择“中国大陆”。 指定互通区域：请根据组网实际情况选择。 ECS 3 本示例中需要在3个不同区域内各创建一个ECS，主要用来验证网络互通情况。 名称：根据实际情况填写，本示例如下。 区域A：ECS-A 区域B：ECS-B 区域C：ECS-C 镜像：请根据实际情况选择，本示例为公共镜像（CentOS 8.2 64bit）。 网络：请根据实际情况选择虚拟私有云和子网，本示例如下。 ECS-A：VPC-A、subnet-A01 ECS-B：VPC-B、subnet-B01 ECS-C：VPC-C、subnet-C01 安全组：请根据实际情况选择，本示例安全组模板选择“通用Web服务器”，名称为sg-demo。 私有IP地址： ECS-A：172.16.0.91 ECS-B：192.168.0.5 ECS-C：10.0.0.29

网络规划说明 跨区域VPC互通组网规划如图1所示，将3个不同区域的ER接入云连接中心网络中，组网规划说明如表2所示。 本示例中，每个区域内创建一个VPC接入企业路由器ER内，仅供您参考配置，实际网络规划请以您的业务需求为准。 图1 跨区域VPC互通组网规划 表1 网络流量路径说明 路径 说明 请求路径：VPC-A→VPC-B 在VPC-A路由表中，通过下一跳为ER-A的路由将流量转送到ER-A。 在ER-A路由表中，通过云连接中心网络和下一跳为Peering连接，目的地址为192.168.0.0/16的路由将流量转送到ER-B。 在ER-B路由表中，通过下一跳为VPC连接的路由将流量送达VPC-B。 响应路径：VPC-B→VPC-A 在VPC-B路由表中，通过下一跳为ER-B的路由将流量转送到ER-B。 在ER-B路由表中，通过云连接中心网络和下一跳为Peering连接，目的地址为172.16.0.0/16的路由将流量转送到ER-A。 在ER-A路由表中，通过下一跳为VPC连接的路由将流量送达VPC-A。 表2 跨区域VPC互通组网规划说明 资源 说明 VPC VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量路由至ER，本示例中系统自动在VPC路由表中增加三个VPC的网段10.0.0.0/8、172.16.0.0/12、192.168.0.0/16，路由信息如表3所示。 中心网络 将不同区域的ER添加在云连接中心网络中。 购买全域互联带宽，配置连通不同区域的全域互联带宽值。 ER 区域A、区域B和区域C下的ER组网配置相同，路由信息如表4所示。 当使用中心网络连通ER时，必须开启ER的“默认路由表关联”和“默认路由表传播”功能，那么在ER中添加连接时，系统会自动添加ER指向连接的路由，无需手动添加。 ECS ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通其他安全组的网络。 表3 VPC路由表 目的地址 下一跳 路由类型 10.0.0.0/8 企业路由器 静态路由：自定义 172.16.0.0/12 企业路由器 静态路由：自定义 192.168.0.0/16 企业路由器 静态路由：自定义 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0，如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于ER路由，此时会导致流量转发至EIP，无法抵达ER。 表4 ER路由表 企业路由器 目的地址 下一跳 路由类型 区域A：ER-A VPC-A网段：172.16.0.0/16 VPC连接：er-attach-VPC-A 传播路由 VPC-B网段：192.168.0.0/16 Peering连接：region-A-region-B 传播路由 VPC-C网段：10.0.0.0/16 Peering连接：region-A-region-C 传播路由 区域B：ER-B VPC-B网段：192.168.0.0/16 VPC-B连接：er-attach-VPC-B 传播路由 VPC-A网段：172.16.0.0/16 Peering连接：region-B-region-A 传播路由 VPC-C网段：10.0.0.0/16 Peering连接：region-B-region-C 传播路由 区域C：ER-C VPC-C网段：10.0.0.0/16 VPC-C连接：er-attach-VPC-C 传播路由 VPC-A网段：172.16.0.0/16 Peering连接：region-C-region-A 传播路由 VPC-B网段：192.168.0.0/16 Peering连接：region-C-region-B 传播路由

在中心网络内为跨区域连接配置带宽 为中心网络内的跨区域连接配置带宽，根据业务的实际需要配置，确保带宽满足业务需求，跨地域连接带宽的详细规划请参见表5。 云连接服务默认为您在各个区域之间分配了10kbps的域间带宽，用来支撑连通性测试。“对等连接（Peering）”连接添加完成后，您就可以验证网络连通性，具体方法请参见验证跨区域网络的通信情况。 为了业务正常使用，您需要继续执行以下操作购买全域互联带宽，并为跨区域连接配置带宽。 为连通区域A和区域B的连接配置带宽。 基于购买的全域互联带宽为两个互通的区域配置带宽，具体方法请参见配置跨地域连接带宽。 为连通区域A和区域C的连接配置带宽。 为连通区域B和区域C的连接配置带宽。 父主题： 通过中心网络构建跨区域VPC互通组网步骤

通过中心网络构建跨区域VPC互通组网流程 本章节介绍通过企业路由器和云连接中心网络构建跨区域VPC互通组网，流程如表1所示。 表1 构建跨区域VPC组网流程说明 序号 步骤 说明 1 创建云服务资源 创建3个企业路由器，每个区域内需要1个企业路由器。 创建业务VPC和其子网，本示例中在每个区域下各创建1个VPC和1子网。 在每个业务VPC子网内创建ECS，本示例中共创建3个ECS。 创建1个云连接中心网络，创建中心网络时需要配置策略，此时需要将不同区域的企业路由器添加到策略中。 创建全域互联带宽，本示例中创建3个全域互联带宽连通不同区域网络。 2 在企业路由器中配置VPC连接 针对每个区域的企业路由器，分别在企业路由器中添加“虚拟私有云（VPC）”连接，即将VPC接入企业路由器中。 3 在中心网络内为跨区域网络链路配置带宽 为中心网络内的跨区域连接配置带宽，根据业务的实际需要配置，确保带宽满足业务需求。 4 验证跨区域网络的通信情况 分别登录不同区域的ECS，执行ping命令，验证网络互通情况。 父主题： 通过企业路由器和云连接中心网络实现跨区域VPC互通

步骤四：验证网络通信情况 登录弹性云服务器。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 在弹性云服务器的远程登录窗口，执行以下命令，验证网络互通情况。 执行以下命令，验证VPC之间的网络互通情况。 ping 弹性云服务器IP地址 以登录ecs-A，验证vpc-A与vpc-B的网络互通情况为例： ping 172.16.1.137 回显类似如下信息，表示vpc-A与vpc-B可以通过ER通信。 [root@ecs-A ~]# ping 172.16.1.137PING 172.16.1.137 (172.16.1.137) 56(84) bytes of data.64 bytes from 172.16.1.137: icmp_seq=1 ttl=64 time=0.849 ms64 bytes from 172.16.1.137: icmp_seq=2 ttl=64 time=0.455 ms64 bytes from 172.16.1.137: icmp_seq=3 ttl=64 time=0.385 ms64 bytes from 172.16.1.137: icmp_seq=4 ttl=64 time=0.372 ms...--- 172.16.1.137 ping statistics --- 执行以下命令，验证VPC和DC网络互通情况。 ping 本端网关（华为云侧）地址 ping 远端网关（IDC侧）地址 ping IDC侧IP地址 以登录ecs-A，验证vpc-A与本端网关（华为云侧）的网络互通情况为例： ping 10.0.0.1 回显如下信息，表示VPC与本端网关（华为云侧）的网络已通。 [root@ecs-A ~]# ping 10.0.0.1PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=0.849 ms64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=0.455 ms64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=0.385 ms64 bytes from 10.0.0.1: icmp_seq=4 ttl=64 time=0.372 ms...--- 10.0.0.1 ping statistics --- 重复执行1~2，验证其他VPC和DC之间的网络互通情况。

方案架构 为了实现业务的就近接入，XX企业在华为云区域A、区域B以及区域C内均部署了业务，承载业务的不同VPC之间需要网络互通。 在三个区域中，分别创建三个企业路由器ER，包括区域A的ER-A、区域B的ER-B以及区域C的ER-C。 创建云连接中心网络，并在云连接中心网络中加入ER-A、ER-B以及ER-C，连通不同区域的企业路由器。 在区域A内，将VPC-A01和VPC-A02接入ER内，实现同区域内VPC互通。在区域B和区域C进行同样的操作。最终，通过中心网络和企业路由器，实现不同区域的VPC网络互通。 图1 跨区域VPC互通组网 您可以使用企业路由器的共享功能，将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。

步骤一：创建云服务资源（业务VPC、ECS、ER） 本步骤指导您创建业务VPC、ECS以及ER服务资源，云服务资源的总体规划说明，请参见表5。 创建企业路由器。 创建企业路由器，具体方法请参见创建企业路由器。 创建业务VPC。 创建VPC及子网，具体方法请参见创建虚拟私有云和子网。 创建业务ECS。 本示例中2个业务ECS主要用于验证云上VPC和线下IDC通信使用，数量和配置仅供参考，请您根据实际需要创建业务ECS。 创建ECS，具体方法请参见自定义购买ECS。

步骤三：在企业路由器中添加并配置DGW连接 本示例中，云专线DC资源的总体规划说明，请参见表5。 创建物理连接。 创建方法，具体请参见物理连接接入。 在企业路由器中添加“全域接入网关（DGW）”连接。 在云专线管理控制台，执行以下操作： 创建全域接入网关。 创建虚拟接口。 将全域接入网关接入企业路由器，即添加“全域接入网关（DGW）”连接。 具体方法请参见创建全域接入网关。 在企业路由器控制台，查看“全域接入网关（DGW）”连接的添加情况。 具体方法请参见查看连接。 “全域接入网关（DGW）”连接的状态“正常”，表示已成功接入企业路由器中。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“全域接入网关（DGW）”连接后，以下均为系统自动配置： 在ER默认路由表中创建关联。 在ER默认路由表中创建传播，并自动学习IDC侧的路由信息。 需要执行以下步骤连通DC后，才可以在ER路由表中查看到IDC侧的路由信息。 配置IDC侧路由到华为云的路由。 以华为网络设备为例，配置BGP路由： bgp 64515 peer 10.0.0.1 as-number 64512 peer 10.0.0.1 password simple Qaz12345678 network 10.1.123.0 255.255.255.0 表1 BGP路由 命令 命令说明 bgp 64515 启动BGP，其中： 64515：IDC侧AS号。 peer 10.0.0.1 as-number 64512 创建BGP的对等体(EBGP)，其中： 10.0.0.1：华为云侧网关。 64512：全域接入网关的BGP ASN。 peer 10.0.0.1 password simple Qaz12345678 BGP对等体建立TCP连接时对BGP消息进行MD5认证，其中： Qaz12345678：BGP MD5认证密码。 network 10.1.123.0 255.255.255.0 将IP路由表中已存在的路由添加到BGP路由表中，其中： 10.1.123.0：IDC侧子网。 255.255.255.0：IDC侧子网掩码。

步骤二：在企业路由器中添加并配置VPC连接 分别将2个业务VPC接入企业路由器中。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 检查ER路由表中指向VPC连接的路由。 本示例中，ER开启了“默认路由表关联”和“默认路由表传播”功能，那么在ER中添加“虚拟私有云（VPC）”连接时，系统会自动添加ER指向VPC的路由，无需手动添加，只需要检查即可。 ER路由规划详情，请参见表2和表4，本示例中两条路由的下一跳分别为VPC-A连接和VPC-B连接。 查看ER路由，具体方法请参见查看路由。 在2个业务VPC的路由表中，分别添加指向ER，目的地址为线下IDC网段的路由。 VPC路由规划详情，请参见表3，本示例添加目的地址为10.1.123.0/24的路由。 配置路由信息，具体方法请参见在VPC路由表中配置路由。

方案架构 为了提升混合云组网的网络性能以及可靠性，XX企业同时部署了两条专线DC链路，均可以连通云上VPC和线下IDC的网络。两条DC链路形成负载均衡，当两条DC链路网络均正常，同时工作可提升网络传输能力。当其中一条DC链路故障时，另外一条DC链路可确保整个混合云组网的正常运行，避免了单点故障带来的业务中断。 将VPC1、VPC2以及DC接入企业路由器中，VPC1和VPC2网络互通，并且均可以通过两条DC和线下IDC通信。 当其中一条DC链路故障时，VPC1和VPC2可以通过另外一条DC链路和线下IDC通信。 图1 DC双链路负载混合云组网

操作步骤 创建虚拟网关，即在企业路由器中添加“虚拟网关（VGW）”连接。 在云专线管理控制台，创建虚拟网关。 具体方法请参见步骤2：创建虚拟网关。 在企业路由器控制台，查看“虚拟网关（VGW）”连接的添加情况。 具体方法请参见查看连接。 “虚拟网关（VGW）”连接的状态“正常”，表示已成功接入企业路由器中。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“虚拟网关（VGW）”连接后，以下均为系统自动配置： 在ER默认路由表中创建关联 在ER默认路由表中创建传播，并自动学习IDC侧的路由信息。 需要执行2创建虚拟接口后，才可以在ER路由表中查看到IDC侧的路由信息。 创建虚拟接口。 创建虚拟接口用来连接虚拟网关和线下IDC，具体方法请参见步骤3：创建虚拟接口。 本示例中的虚拟接口的资源规划详情请参见表6。 配置IDC侧路由到华为云的路由。 以华为网络设备为例，配置BGP路由： bgp 64510 peer 10.0.0.1 as-number 64512 peer 10.0.0.1 password simple Qaz12345678 network 10.1.123.0 255.255.255.0 表1 BGP路由 命令 命令说明 bgp 64510 启动BGP，其中： 64510：IDC侧AS号。 peer 10.0.0.1 as-number 64512 创建BGP的对等体(EBGP)，其中： 10.0.0.1：华为云的网关。 64512：华为云侧AS号，固定为64512。 peer 10.0.0.1 password simple Qaz12345678 BGP对等体建立TCP连接时对BGP消息进行MD5认证，其中： Qaz12345678：BGP MD5认证密码。 network 10.1.123.0 255.255.255.0 将IP路由表中已存在的路由添加到BGP路由表中，其中： 10.1.123.0：IDC侧子网。 255.255.255.0：IDC侧子网掩码。

应用场景 云专线（Direct Connect，DC）用于搭建线下IDC和云上虚拟私有云（Virtual Private Cloud，VPC）之间高速、低时延、稳定安全的专属连接通道，您可以通过企业路由器和云专线构建满足企业通信的大规模混合云组网。 通过企业路由器，可以实现专线的动态选路和切换，多个专线链路之间形成负载均衡，有效扩展网络带宽，增加吞吐量，提升网络性能的同时保证高可靠性。 接下来，将主要为您介绍如何通过企业路由器构建DC双链路负载混合云组网。 您可以使用企业路由器的共享功能，将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。 如果您需要连通云上VPC和线下IDC构建混合云组网，则推荐您使用企业路由器和云专线的全域接入网关DGW，具体请参见通过企业路由器构建DC双链路负载混合云组网（全域接入网关DGW）。 从2024年5月份开始，通过企业路由器和云专线的虚拟网关VGW构建混合云组网的功能不再支持新增组网，只针对存量组网进行维护。

资源规划说明 企业路由器ER、云专线DC、虚拟私有云VPC、弹性云服务器ECS只要位于同一个区域内即可，可用区可以任意选择，不用保持一致。 以下资源规划详情仅为示例，您可以根据需要自行修改。 表5 DC双链路负载混合云组网资源规划总体说明(全域接入网关DGW） 资源类型 资源数量 说明 VPC 1 业务VPC，实际运行客户业务的VPC，需要接入ER中。 VPC名称：请根据实际情况填写，本示例为vpc-A。 IPv4网段：VPC网段与客户IDC侧网段不能重复，请根据实际情况填写，本示例为192.168.0.0/16。 子网名称：请根据实际情况填写，本示例为subnet-A01。 子网IPv4网段：VPC子网网段与客户IDC侧子网网段不能重复，请根据实际情况填写，本示例为192.168.0.0/24。 ER 1 名称：请根据实际情况填写，本示例为er-X。 ASN：企业路由器不能和线下IDC的AS号一样，且建议企业路由器和全域接入网关的AS号也不一样，由于64512是全域接入网关的系统预留AS号，因此本示例企业路由器的AS号为64513。 默认路由表关联：开启 默认路由表传播：开启 自动接受共享连接：请根据实际情况选择，本示例选择“开启”。 连接，本示例需要在企业路由器中添加3个连接： VPC-A连接：er-attach-vpc-A DGW-A连接：er-attach-dgw-A DGW-B连接：er-attach-dgw-B 路由策略 1 如果ER通过两个DGW连接学习的IDC侧的BGP路由不是等价路由，无法自动形成负载均衡，则需要配置路由策略，为DGW-A连接和DGW-B连接分别绑定路由策略。 路由策略中需要添加两个路由策略节点，本示例如下： 策略节点1：优先级高，对于BGP路由，替换路由的AS_Path，将ER通过两个DGW连接学习到的路由配置成等价路由。 节点号：节点号取值小的策略节点优先执行，因此策略节点1的节点号取值必须小于策略节点2，此处填写10。 匹配模式：此处设置成“允许”。 匹配条件：此处设置成“路由类型”、“BGP路由”。 策略值1：此处设置成“AS_Path”。 执行动作：此处设置成“替换”，替换值和全域接入网关的BGP ASN保持一致，请根据实际填写，本示例为“64512”。 策略节点2：优先级低，匹配所有路由，此条节点是确保其他非BGP路由正常通信。 节点号：策略节点2的节点号取值必须大于策略节点1，此处填写20。 匹配模式：此处设置成“允许”。 其他参数不填写，为空即可，表示未匹配上策略节点1的其他路由均可以匹配上策略节点2，确保路由策略可放行所有路由。 DC 2 物理连接：请根据实际需求创建。 本示例中，两个物理连接分别为dc-A和dc-B。 全域接入网关，请根据实际需求创建，本示例说明如下： 名称：请根据实际情况填写，本示例为dgw-A和dgw-B。 BGP ASN：建议全域接入网关和企业路由器的AS号不一样，本示例中全域接入网关的AS号为64512。 地址类型：请根据实际情况选择，本示例为IPv4。 虚拟接口，请根据实际需求创建，本示例说明如下： 名称：本示例两个虚拟接口分别为vif-A和vif-B。 虚拟接口优先级：此处两个虚拟接口均选择“优先”，表示形成负载均衡。 物理连接：本示例中虚拟接口vif-A关联的物理连接为dc-A，vif-B关联dc-B。 全域接入网关：本示例中虚拟接口vif-A关联的全域接入网关为dgw-A，vif-B关联dgw-B。 本端网关：本示例vif-A为10.0.0.1/30，vif-B为10.1.0.1/30。 远端网关：本示例vif-A为10.0.0.2/30，vif-B为10.1.0.2/30。 远端子网：此处为IDC侧子网网段，本示例为172.16.1.0/24。 路由模式：请选择“BGP”。 BGP邻居AS号：此处为线下IDC侧的AS号，不能和云上全域接入网关、ER等服务的AS号一样，本示例为64555。 ECS 1 ECS主要用来验证网络通信情况，本示例如下： 名称：根据实际情况填写，本示例为ecs-A。 镜像：请根据实际情况选择，本示例为公共镜像（CentOS 8.2 64bit）。 网络： 虚拟私有云：选择业务VPC，本示例为vpc-A。 子网：选择和线下IDC通信的子网，本示例为subnet-A01。 安全组：请根据实际情况选择，本示例安全组模板选择“通用Web服务器”，名称为sg-demo。 私有IP地址：192.168.0.137 DC两条链路属于负载均衡模式，因此为了防止网络环路以及形成等价路由，DC两个全域接入网关的AS号必须保持一致，本示例为64512。 企业路由器不能和线下IDC的AS号一样，且建议企业路由器和全域接入网关的AS号也不一样，由于64512是全域接入网关的系统预留AS号，因此本示例ER为64513。 线下IDC侧的AS号，不能和云上服务的AS号一样，请根据客户的实际情况填写，本示例为64555。

网络规划说明 DC双链路负载混合云组网规划如图1所示，将VPC、DC分别接入ER中，组网规划说明如表2所示。 图1 DC双链路负载混合云组网规划(全域接入网关DGW） 两条DC网络链路形成负载均衡，云上VPC和线下IDC通信时，两条链路同时处于工作状态，表1为您详细介绍网络流量路径。 表1 网络流量路径说明(全域接入网关DGW） 路径 说明 请求路径：VPC-A→线下IDC 在VPC-A路由表中，通过下一跳为ER的路由将流量转送到ER。 在ER路由表中，通过下一跳为DGW-A连接的路由将流量转送到全域接入网关DGW-A。 下一跳为DGW-A的路由，其中172.16.1.0/24为线下IDC子网网段地址，10.0.0.0/30为虚拟接口VIF-A的网关地址。 目的地址为172.16.1.0/24的路由，下一跳对应DGW-A和DGW-B，两条路由为等价路由，形成负载均衡。流量根据哈希算法，选择一条网络链路，此处以选择DGW-A，即DC-A为例。 全域接入网关DGW-A连接虚拟接口VIF-A，通过虚拟接口将流量从远端网关转送到物理连接。 通过物理连接DC-A将流量送达线下IDC。 响应路径：线下IDC→VPC-A 根据线下IDC网络的路由配置，通过物理连接DC-B将流量转送到虚拟接口VIF-B。 线下IDC内网络中，指向云上的路由也配置成等价路由，形成负载均衡。返回云上VPC的流量，根据哈希算法选择一条网络链路，此处以选择DC-B为例。 虚拟接口VIF-B连接全域接入网关DGW-B，通过虚拟接口将流量从本端网关转送到全域接入网关。 通过全域接入网关DGW-B将流量转送到ER。 在ER路由表中，通过下一跳为VPC-A连接的路由将流量送达VPC-A。 表2 DC双链路负载混合云组网规划说明(全域接入网关DGW） 资源 说明 VPC 业务VPC，实际运行客户业务的VPC，具体说明如下： VPC网段与客户IDC侧网段不能重复。 VPC有一个默认路由表。 VPC默认路由表中的路由信息如表3所示。 固定网段：10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三个固定网段是添加VPC连接时，开启“配置连接侧路由”选项，系统自动在VPC路由表配置的静态路由。如果ER内同时接入多个VPC连接，则这些路由可以将当前VPC访问其他VPC的流量转发至ER，再通过ER将流量转发至下一跳网络实例。 线下IDC侧网段：除了系统自动添加的3个VPC固定网段，您还需要在VPC路由表中添加目的地址为IDC侧网段，下一跳指向ER的路由，本示例为172.16.1.0/24，该路由可以将VPC访问线下IDC侧的流量转发至ER，再通过ER将流量转发至下一跳网络实例。 须知： 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 DC 两个DC需要构建负载均衡网络链路，具体如下： 2个物理连接：需要运营商施工搭建连通华为云和线下IDC的物理专线。 2个全域接入网关：将两个全域接入网关分别接入ER中，即表示将“全域接入网关（DGW）”连接添加到ER。 2个虚拟接口：分别连接两个全域接入网关和物理连接，两个虚拟接口之间形成负载分担。 ER 开启“默认路由表关联”和“默认路由表传播”功能，添加完连接后，系统会自动执行以下配置： VPC： 将1个“虚拟私有云（VPC）”连接关联至ER默认路由表。 在默认路由表中创建“虚拟私有云（VPC）”连接的传播，路由自动学习VPC网段，路由信息如表4所示。 DC： 将2个“全域接入网关（DGW）”连接关联至ER默认路由表。 在默认路由表中创建“全域接入网关（DGW）”连接的传播，路由自动学习IDC侧的所有BGP路由信息，路由信息如表4所示。 路由策略 如果ER通过两个DGW连接学习的IDC侧的BGP路由是等价路由，自动形成负载均衡，则您无需创建路由策略。 本示例的表4中，目的地址为172.16.1.0/24，下一跳为DGW-A连接和DGW-B连接的两条路由是等价路由。 如果ER通过两个DGW连接学习的IDC侧的BGP路由不是等价路由，无法自动形成负载均衡。则您需要在两个DGW连接的传播上，分别绑定路由策略。通过替换路由的AS_Path，将ER通过DGW连接去往IDC侧的路由形成等价路由。 您需要创建一个路由策略，添加两个节点： 策略节点1：优先级高，匹配BGP路由，对于匹配成功的路由，将路由的AS_Path值替换成全域接入网关的BGP ASN值。 策略节点2：优先级低，匹配所有路由，此条节点是确保其他非BGP路由正常通信。 关于路由策略的详细说明，请您参见路由策略概述。 须知： 配置路由策略，替换路由的AS_Path值，可能会导致网络环路，因此配置前请检查网络规划，根据实际情况谨慎配置。 ECS 1个ECS位于业务VPC内，本示例用该ECS来验证云上和线下IDC的网络通信情况。 如果您有多台ECS，并且这些ECS位于不同的安全组，需要在安全组中添加规则放通网络。 IDC侧 需要根据线下IDC侧网络的实际规划，将IDC侧去往云上ER的路由配置成等价路由，形成负载均衡。 表3 VPC路由表 目的地址 下一跳 路由类型 固定网段：10.0.0.0/8 企业路由器 静态路由：自定义 固定网段：172.16.0.0/12 企业路由器 静态路由：自定义 固定网段：192.168.0.0/16 企业路由器 静态路由：自定义 线下IDC侧网段：172.16.1.0/24 企业路由器 静态路由：自定义 表4 ER路由表 目的地址 下一跳 路由类型 VPC-A网段：192.168.0.0/16 VPC-A连接：er-attach-vpc-A 传播路由 VIF-A网关：10.0.0.0/30 DGW-A连接：er-attach-dgw-A 传播路由 VIF-B网关：10.1.0.0/30 DGW-B连接：er-attach-dgw-B 传播路由 IDC侧网段：172.16.1.0/24 该路由为等价路由，两个连接属于负载均衡模式。 DGW-A连接：er-attach-dgw-A DGW-B连接：er-attach-dgw-B 传播路由

VPC对等连接组网迁移流程 本章节介绍VPC对等连接迁移至企业路由器ER的总体流程，流程说明如表1所示。 表1 迁移VPC对等连接至ER流程说明 步骤 说明 步骤一：创建云服务资源 创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 在每个VPC内，各创建1个迁移验证子网，该子网无法通过VPC对等连接互通，但是可以通过ER互通，用来验证迁移过程中VPC和ER之间的网络通信情况。 在每个迁移验证子网内，各创建一个ECS，登录ECS执行ping命令验证VPC和ER之间的网络通信情况。 步骤二：在企业路由器中添加VPC连接及路由 在企业路由器中添加“虚拟私有云（VPC）”连接，即将3个VPC分别接入企业路由器中。 迁移时，需要手动在VPC路由表中添加规划的大网段路由，不开启“配置连接侧路由”功能。 检查ER路由表中的路由。 本示例中，ER开启了“默认路由表关联”和“默认路由表传播”功能，那么在ER中添加“虚拟私有云（VPC）”连接时，系统会自动添加ER指向VPC的路由，无需手动添加，只需要检查即可。 步骤三：验证VPC和ER之间的网络通信情况 在VPC路由表中，添加指向ER的迁移验证路由，用于验证VPC和ER的通信情况。 登录迁移验证ECS，执行ping命令，验证VPC和ER之间的网络通信情况。 验证完成后，删除迁移验证相关的路由、ECS和子网。 步骤四：在VPC路由表中添加路由 在VPC路由表中，添加指向VPC对等连接的临时通信路由，确保迁移过程中，删除原有VPC对等连接路由时流量不中断。 在VPC路由表中，添加指向ER的大网段路由，用作VPC和ER的通信。 步骤五：执行迁移操作 在VPC路由表中，删除原有指向VPC对等连接的路由。 迁移过程中需要实时关注业务流量，如果出现流量中断，请立即添加回已删除的路由。 步骤六：删除原有VPC对等连接 对等连接路由删除完成，且业务正常时，建议您再观察一段时间，确保没有问题后，再删除VPC对等连接，本操作会同步删除VPC路由表中关联的临时通信路由。 父主题： 将VPC对等连接组网迁移至企业路由器

步骤三：验证VPC通过ER和线下IDC之间的网络通信情况 在VPC路由表中，添加指向线下IDC侧任意一台服务器的路由，用于验证VPC和线下IDC之间的网络通信情况。 VPC路由规划详情，请参见表2。 本示例中添加目的地址为172.16.0.12/32，下一跳为企业路由器的路由。 配置路由信息，具体方法请参见在VPC路由表中配置路由。 在需要和线下IDC通信的VPC子网内，创建1个ECS。 本示例中需要创建1个ECS，资源详情请参见表4。 创建ECS，具体方法请参见自定义购买ECS。 在弹性云服务器的远程登录窗口，执行以下步骤，验证网络通信情况。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 ping 线下IDC侧云服务器地址 本示例中的云服务器地址务必执行1添加到VPC路由表中，命令示例如下： ping 172.16.0.12 回显类似如下信息，表示vpc-X与线下IDC侧可以通过ER通信。 [root@ecs-X ~]# ping 172.16.0.12PING 172.16.0.12 (172.16.0.12) 56(84) bytes of data.64 bytes from 172.16.0.12: icmp_seq=1 ttl=64 time=0.849 ms64 bytes from 172.16.0.12: icmp_seq=2 ttl=64 time=0.455 ms64 bytes from 172.16.0.12: icmp_seq=3 ttl=64 time=0.385 ms64 bytes from 172.16.0.12: icmp_seq=4 ttl=64 time=0.372 ms...--- 172.16.0.12 ping statistics --- 验证完成后，删除迁移验证相关的路由和ECS资源。 在VPC路由表中，删除迁移验证路由。 删除VPC路由，具体方法请参见删除路由。 删除验证的ECS。 删除ECS，具体方法请参见如何删除、重启弹性云服务器？。

步骤二：在企业路由器中添加DGW-B01连接 创建全域接入网关DGW-B01。 具体方法请参见创建全域接入网关。 执行以下操作，在线下IDC网络设备、管理控制台依次删除虚拟网关VGW-A上的虚拟接口VIF-A01。 登录线下IDC侧网络设备，删除虚拟接口VIF-A01的相关配置。 在控制台删除虚拟接口VIF-A01之前，务必在线下IDC侧网络设备上进行配置，确保网络流量不会通过虚拟接口VIF-A01。 删除虚拟接口VIF-A01。 具体方法请参见删除虚拟接口。 虚拟接口删除后，在VPC路由表中，指向VGW-A，目的地址为VIF-A01本端网关和远端网关的系统路由将会被同步删除，VPC路由规划详情，请参见表2。 本示例中目的地址为10.0.0.0/30，下一跳为云专线网关的路由将会自动删除。 在企业路由器中添加“全域接入网关（DGW）”连接。 在云专线管理控制台，执行以下操作： 创建虚拟接口VIF-B01。 将全域接入网关DGW-B01接入企业路由器，即添加“全域接入网关（DGW）”连接。 具体方法请参见创建全域接入网关。 在企业路由器控制台，查看“全域接入网关（DGW）”连接的添加情况。 具体方法请参见查看连接。 “全域接入网关（DGW）”连接的状态“正常”，表示已成功接入企业路由器中。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“全域接入网关（DGW）”连接后，以下均为系统自动配置： 在ER默认路由表中创建关联。 在ER默认路由表中创建传播，并自动学习IDC侧的路由信息。 需要执行以下步骤连通DC后，才可以在ER路由表中查看到IDC侧的路由信息。 （可选）在线下IDC侧网络设备上进行配置，使IDC的网络流量可以通过新的虚拟接口VIF-B01或者指定的虚拟接口访问云上资源。 如果虚拟接口VIF-B01的路由模式选择“BGP”，则完成3后，IDC网络流量已可以通过VIF-B01访问云上资源，无需执行当前步骤。 如果虚拟接口VIF-B01的路由模式选择“静态路由”，则需要执行当前步骤配置完成后，IDC网络流量才可以通过VIF-B01访问云上资源。 如果您不想IDC网络流量访问云上资源经过虚拟接口VIF-B01，则需要执行当前步骤，配置指定的虚拟接口。

步骤四：在企业路由器中添加DGW-B02连接 创建全域接入网关DGW-B02。 具体方法请参见创建全域接入网关。 执行以下操作，在线下IDC网络设备、管理控制台依次删除虚拟网关VGW-A上的虚拟接口VIF-A02。 登录线下IDC侧网络设备，删除虚拟接口VIF-A02的相关配置。 在控制台删除虚拟接口VIF-A02之前，务必在线下IDC侧网络设备上进行配置，确保网络流量不会通过虚拟接口VIF-A02。 删除虚拟接口VIF-A02。 具体方法请参见删除虚拟接口。 虚拟接口删除后，在VPC路由表中将会删除指向虚拟网关VGW-A的两条路由，VPC路由规划详情，请参见表2。 目的地址为VIF-A02本端网关和远端网关的系统路由将会被同步删除。 本示例中目的地址为10.1.0.0/30，下一跳为云专线网关的路由将会自动删除。 目的地址IDC侧子网网段的系统路由将会被同步删除。 本示例中目的地址为172.16.0.0/16，下一跳为云专线网关的路由将会自动删除。 在企业路由器中添加“全域接入网关（DGW）”连接。 在云专线管理控制台，执行以下操作： 创建虚拟接口VIF-B02。 将全域接入网关DGW-B02接入企业路由器，即添加“全域接入网关（DGW）”连接。 具体方法请参见创建全域接入网关。 在企业路由器控制台，查看“全域接入网关（DGW）”连接的添加情况。 具体方法请参见查看连接。 “全域接入网关（DGW）”连接的状态“正常”，表示已成功接入企业路由器中。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“全域接入网关（DGW）”连接后，以下均为系统自动配置： 在ER默认路由表中创建关联。 在ER默认路由表中创建传播，并自动学习IDC侧的路由信息。 需要执行以下步骤连通DC后，才可以在ER路由表中查看到IDC侧的路由信息。 （可选）在线下IDC侧网络设备上进行配置，使IDC的网络流量可以通过新的虚拟接口VIF-B02或者指定的虚拟接口访问云上资源。 如果虚拟接口VIF-B02的路由模式选择“BGP”，则完成3后，IDC网络流量已可以通过VIF-B02访问云上资源，无需执行当前步骤。 如果虚拟接口VIF-B02的路由模式选择“静态路由”，则需要执行当前步骤配置完成后，IDC网络流量才可以通过VIF-B02访问云上资源。 如果您不想IDC网络流量访问云上资源经过虚拟接口VIF-B02，则需要执行当前步骤，配置指定的虚拟接口。

步骤一：创建企业路由器并添加VPC连接 在和业务VPC相同的区域内，创建1个企业路由器ER-X。 创建企业路由器时，同时开启“默认路由表关联”和“默认路由表传播”，更多资源详情请参见表4。 创建企业路由器，具体方法请参见创建企业路由器。 在企业路由器中添加“虚拟私有云（VPC）”连接，即将业务VPC接入企业路由器中，连接名称为er-attach-VPC-X。 迁移时，需要手动在VPC路由表中添加规划的大网段路由，因此添加连接时不开启“配置连接侧路由”功能。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 检查ER路由表中的路由，查看路由表中指向VPC连接的路由。 本示例中，ER开启了“默认路由表关联”和“默认路由表传播”功能，那么在ER中添加“虚拟私有云（VPC）”连接时，系统会自动添加ER指向VPC的路由，无需手动添加，只需要检查即可。 如果您未开启“默认路由表传播”功能，则需要手动在ER路由表中添加指向VPC的路由，具体方法请参见创建静态路由。 ER路由规划详情，请参见表1和表3。 查看ER路由，具体方法请参见查看路由。 在VPC路由表中，添加指向ER的大网段路由。 VPC路由规划详情，请参见表1和表2。 本示例添加的大网段地址为172.16.0.0/15，下一跳为企业路由器。 配置路由信息，具体方法请参见在VPC路由表中配置路由。

应用场景 云专线（Direct Connect，DC）用于搭建线下IDC和云上虚拟私有云（Virtual Private Cloud，VPC）之间高速、低时延、稳定安全的专属连接通道，您可以通过企业路由器和云专线的全域接入网关，构建满足企业通信的大规模混合云组网。 为了助力企业客户实现混合云组网的高可靠性，并且控制成本费用，通过企业路由器，可以实现专线的动态选路和切换，多个专线链路之间形成主备冗余，当主链路故障后，可自动切换至备链路，降低了单链路故障导致的业务中断风险。 接下来，将主要为您介绍如何通过企业路由器和全域接入网关，构建DC双链路主备混合云组网。

规划资源 企业路由器ER、NAT网关、弹性公网IP、虚拟私有云VPC、弹性云服务器ECS只要位于同一个区域内即可，可用区可以任意选择，不用保持一致。 以下资源规划详情仅为示例，您可以根据需要自行修改。 企业路由器ER：1个，资源规划详情如表6所示。 表6 ER资源规划详情 ER名称 AS号 默认路由表关联 默认路由表传播 关联路由表 传播路由表 连接 er-test-01 64512 开启 开启 默认路由表 默认路由表 er-attach-business-01 er-attach-business-02 er-attach-business-03 er-attach-nat 弹性公网IP：1个，线路和带宽参数请根据实际需求创建，本示例IP地址为123.60.73.78。 公网NAT网关：1个，资源规划详情如表7所示。 表7 公网NAT网关资源规划详情 公网NAT网关名称 VPC名称 子网名称 SNAT使用场景 SNAT子网 nat-demo vpc-nat subnet-nat 虚拟私有云 自定义：0.0.0.0/0 虚拟私有云VPC：4个，VPC的网段不能重复，资源规划详情如表8所示。 表8 VPC资源规划详情 VPC名称 VPC网段 子网名称 子网网段 关联路由表 vpc-business-01 10.1.0.0/16 subnet-business-01 10.1.0.0/24 默认路由表 vpc-business-02 10.2.0.0/16 subnet-business-02 10.2.0.0/24 默认路由表 vpc-business-03 10.3.0.0/16 subnet-business-03 10.3.0.0/24 默认路由表 vpc-nat 192.168.0.0/16 subnet-nat 192.168.0.0/24 默认路由表 弹性云服务器ECS：3个，分别接入3个不同的VPC，资源规划详情如表9所示。 表9 ECS资源规划详情 ECS名称 镜像 VPC名称 子网名称 安全组 私有IP地址 ecs-business-01 公共镜像： CentOS 7.5 64bit vpc-business-01 subnet-business-01 sg-demo： 通用Web服务器 10.1.0.134 ecs-business-02 vpc-business-02 subnet-business-02 10.2.0.215 ecs-business-03 vpc-business-03 subnet-business-03 10.3.0.14

规划组网 同区域VPC共享SNAT组网规划如图1所示，将4个VPC接入ER中，组网规划说明如表2所示。 图1 同区域VPC共享SNAT组网规划 表1 网络流量路径说明 路径 说明 请求路径：VPC1→Internet 在VPC1路由表中，通过下一跳为ER的路由将流量转送到ER。 在ER路由表中，通过下一跳为VPC4连接的静态路由将流量转送到VPC4。 在VPC4路由表中，通过下一跳为NAT的路由将流量转送到NAT网关。 在NAT网关中，通过SNAT规则绑定的弹性IP将流量送达公网目的地址。 响应路径：Internet→VPC1 公网目的地址通过SNAT规则绑定的弹性IP将流量转送到NAT网关。 在NAT网关中，通过SNAT规则将流量转送到VPC4。 在VPC4路由表中，通过下一跳为ER的路由将流量转送到ER。 在ER路由表中，通过下一跳为VPC1连接的传播路由将流量送达VPC1。 表2 同区域VPC共享SNAT组网规划说明 资源 说明 VPC VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量路由至ER，自定义路由。 为了减少路由数量，此处建议VPC1、VPC2和VPC3使用默认网段0.0.0.0/0，路由信息如表3所示。 在VPC4中，会自动添加下一跳为NAT网关，网段为0.0.0.0/0的路由，为了不和NAT网关的路由冲突，此处到ER路由的目的地址需要配置成VPC的实际网段，路由信息如表4所示。 NAT：表示将VPC子网流量路由至NAT网关，创建NAT网关时系统自动配置。 NAT 基于VPC4创建公网NAT网关，并关联EIP配置SNAT规则。 ER 开启“默认路由表关联”和“默认路由表传播”功能，添加完“虚拟私有云（VPC）”连接，系统会自动执行以下配置： 将4个“虚拟私有云（VPC）”连接关联至ER默认路由表。 在默认路由表中创建“虚拟私有云（VPC）”连接的传播，路由自动学习VPC网段，路由信息如表5所示。 在ER路由表中，添加静态路由，网段为0.0.0.0/0，表示将访问公网的流量路由至VPC4。 ECS 3个ECS分别位于3个不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。 表3 VPC1/VPC2/VPC3路由表 目的地址 下一跳 路由类型 0.0.0.0/0 企业路由器 静态路由：自定义 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 除了系统自动添加的3个VPC固定网段，您还需要在VPC路由表中添加目的地址为公网侧网段，下一跳指向ER的路由。 为了减少路由数量，建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0，但是VPC内的ECS将不能绑定EIP。如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于ER路由，此时会导致流量转发至EIP，无法抵达ER。 表4 VPC4路由表 目的地址 下一跳 路由类型 VPC1网段：10.1.0.0/16 企业路由器 静态路由：自定义 VPC2网段：10.2.0.0/16 企业路由器 静态路由：自定义 VPC3网段：10.3.0.0/16 企业路由器 静态路由：自定义 0.0.0.0/0 NAT网关 静态路由：自定义 建议您添加连接时，不要开启“配置连接侧路由”选项，并在企业路由器创建完成后，在VPC路由表中手动添加路由。 VPC内的ECS不能绑定EIP，如果ECS绑定了EIP，会在ECS内增加默认网段0.0.0.0/0的策略路由，并且优先级高于NAT网关路由，因此会导致流量转发至EIP，无法抵达NAT网关，流量中断。 表5 ER路由表 目的地址 下一跳 路由类型 VPC1网段：10.1.0.0/16 VPC1连接：er-attach-business-01 传播路由 VPC2网段：10.2.0.0/16 VPC2连接：er-attach-business-02 传播路由 VPC3网段：10.3.0.0/16 VPC3连接：er-attach-business-03 传播路由 0.0.0.0/0 VPC4连接：er-attach-nat 静态路由

企业路由器和全域接入网关混合云组网构建流程 本文档介绍如何通过企业路由器和DC的全域接入网关构建线下IDC和云上VPC互通的混合云组网，流程如图1所示。 图1 企业路由器和全域接入网关混合云组网构建流程图 表1 企业路由器和全域接入网关混合云组网构建流程说明 步骤 说明 步骤一：创建云服务资源 创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 创建业务VPC和子网，本示例中创建2个VPC和子网。 在业务VPC子网内，创建ECS，本示例中创建2个ECS。 步骤二：在企业路由器中添加并配置VPC连接 在企业路由器中添加“虚拟私有云（VPC）”连接：分别将2个业务VPC接入企业路由器中。 在VPC路由表中配置路由：分别在两个VPC的路由表中配置到企业路由器的路由信息，目的地址为IDC侧网段。 步骤三：在企业路由器中添加并配置DGW连接 创建1个物理连接：物理连接是线下IDC侧和华为云的专属通道，需要运营商进行施工，搭建物理专线链路连接线下和云上。 创建1个全域接入网关：创建1个全域接入网关。 创建1个虚拟接口：虚拟接口用来连接全域接入网关和物理连接。 将全域接入网关接入企业路由器：接入后，在企业路由器的连接列表中可以查看“全域接入网关（DGW）”连接。 配置IDC侧路由：在线下IDC侧路由设备配置网络参数。 步骤四：验证网络通信情况 登录ECS，执行ping命令，验证VPC和DC链路通信情况。 父主题： 通过企业路由器和云专线构建混合云组网（全域接入网关DGW）

用户密码的安全策略 GaussDB 为了客户账号的安全，GaussDB对用户密码进行了以下设置： 用户密码存储在系统表pg_authid中，为防止用户密码泄露，GaussDB对用户密码进行加密存储，所采用的加密算法由配置参数password_encryption_type决定。 GaussDB数据库 用户的密码都有密码有效期，如果需要修改密码有效期，可以通过修改password_effect_time来更改。