华为云用户手册

计费示例 假设您在2024/03/08 15:50:04购买了一个包年/包月经典版VPN网关（VPN连接数：20，带宽大小：20），计费资源包括VPN连接、带宽。购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2024/03/08 15:50:04 ~ 2024/04/08 23:59:59 第二个计费周期为：2024/04/08 23:59:59 ~ 2024/05/08 23:59:59 您需要为每个计费周期预先付费，各项VPN资源单独计费，计费公式如表2所示。 表2 计费公式 资源类型 计费公式 资源单价 VPN连接 元/月·10个 请以 虚拟专用网络 价格详情中的价格为准。 带宽 元/月·M 请以弹性公网IP价格详情中的价格为准。

计费示例（按流量计费） 经典版VPN（按流量计费）不支持关联ER，按连接数而不是连接组数计费。 假设您在2024/04/18 9:59:30购买了一台按需计费的站点入云经典版VPN网关（规格：专业型1，VPN连接数：20），计费资源包括VPN网关、VPN连接以及EIP，然后在2024/04/18 10:45:46将其删除，则： 第一个计费周期为9:00:00 ~ 10:00:00，在9:59:30 ~ 10:00:00间产生费用，该计费周期内的计费时长为30秒。 第二个计费周期为10:00:00 ~ 11:00:00，在10:00:00 ~ 10:45:46间产生费用，该计费周期内的计费时长为2746秒。 您需要为每个计费周期付费，各项VPN资源单独计费，计费公式如表 计费公式所示。产品价格详情中标出了资源的每小时价格，您需要将每小时价格除以3600，得到每秒价格。 表3 计费公式 资源类型 计费公式 资源单价 VPN网关 VPN网关规格单价 * 计费时长 请以虚拟专用网络价格详情中的价格为准。 VPN连接 VPN连接数单价 * 计费时长 请虚拟专用网络价格详情中的价格为准。

计费示例（按带宽计费） 经典版VPN（按带宽计费）不支持关联ER，按连接数而不是连接组数计费。 假设您在2024/04/18 9:59:30购买了一个按需计费的经典版VPN网关（规格：专业型1，VPN连接数：20，带宽大小：20），计费资源包括VPN网关、VPN连接以及EIP，然后在2024/04/18 10:45:46将其删除，则： 第一个计费周期为9:00:00 ~ 10:00:00，在9:59:30 ~ 10:00:00间产生费用，该计费周期内的计费时长为30秒。 第二个计费周期为10:00:00 ~ 11:00:00，在10:00:00 ~ 10:45:46间产生费用，该计费周期内的计费时长为2746秒。 您需要为每个计费周期付费，各项VPN资源单独计费，计费公式如表2所示。产品价格详情中标出了资源的每小时价格，您需要将每小时价格除以3600，得到每秒价格。 表2 计费公式 资源类型 计费公式 资源单价 VPN网关 VPN网关规格单价 * 计费时长 请以虚拟专用网络价格详情中的价格为准。 VPN连接 VPN连接数单价 * 计费时长 请以虚拟专用网络价格详情中的价格为准。

适用计费项 按需计费的VPN分为按需计费（按带宽计费）、按需计费（按流量计费）。不同计费模式有不同的计费主体，如表 站点入云VPN经典版适用计费项所示。 表1 站点入云VPN经典版适用计费项 计费模式 计费项 说明 按需计费（按带宽计费） VPN网关实例费用=VPN连接费用+带宽费用 VPN网关默认支持10个免费的VPN连接，超出10个部分您需要额外购买。 按需计费（按流量计费） VPN网关实例费用=VPN连接费用+流量费用 VPN网关默认支持10个免费的VPN连接，超出10个部分您需要额外购买。

到期后影响 图1描述了包年/包月VPN资源各个阶段的状态。购买后，在计费周期内资源正常运行，此阶段为有效期；资源到期而未续费时，将陆续进入宽限期和保留期。 图1 包年/包月VPN资源生命周期 到期预警 包年/包月VPN资源在到期前第7天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为云账号的创建者。 到期后影响 当您的包年/包月VPN资源到期未续费，首先会进入宽限期，资源状态变为“已过期”。宽限期内您可以正常访问VPN资源，但以下操作将受到限制： 变更VPN连接组数 修改带宽大小 变更VPN网关规格 如果您在宽限期内仍未续费包年/包月VPN资源，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的包年/包月资源执行任何操作。 保留期到期后，若包年/包月VPN资源仍未续费，那么VPN网关、VPN连接和弹性公网IP都将被释放，数据无法恢复。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 关于续费的详细介绍请参见续费概述。

变更配置后对计费的影响 当前包年/包月VPN资源的规格不满足您的业务需要时，您可以在管理控制台发起变更规格操作，变更时系统将按照如下规则为您计算变更费用： 即时升配： 升高EIP带宽大小：升配后，新带宽将在当前计费周期内立即生效。您需要按照与原带宽的价格差，结合计费周期内的剩余天数，补齐差价。 增加VPN连接数：升配后，新连接数将在原来已有的时间周期内立即生效，您需补交新老配置的差价。 续费降配：新配置价格低于老配置价格，此时华为云会将新老配置的差价退给您。 降低EIP带宽大小：降配后，新带宽在当前计费周期不生效。您需要选择续费时长并根据新的带宽大小进行续费，续费成功后，新带宽将在当前计费周期结束后，从下一个计费周期开始生效。

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

计费示例（站点入云经典版VPN） 假设您在2024/03/08 15:50:04购买了一个包年/包月经典版VPN网关（VPN连接数：20，带宽大小：20），计费资源包括VPN连接、带宽。购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2024/03/08 15:50:04 ~ 2024/04/08 23:59:59 第二个计费周期为：2024/04/08 23:59:59 ~ 2024/05/08 23:59:59 您需要为每个计费周期预先付费，各项VPN资源单独计费，计费公式如表1所示。 表1 计费公式 资源类型 计费公式 资源单价 VPN连接 元/月·10个 请以虚拟专用网络价格详情中的价格为准。 带宽 元/月·M 请以弹性公网IP价格详情中的价格为准。

计费示例 假设您在2024/08/08 15:50:04购买了一个包年/包月终端入云VPN网关（规格：专业型1，VPN连接数：20，带宽大小：20），计费资源包括VPN网关、VPN连接。购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2024/08/08 15:50:04 ~ 2024/09/08 23:59:59 第二个计费周期为：2024/09/08 23:59:59 ~ 2024/10/08 23:59:59 您需要为每个计费周期预先付费，各项VPN资源单独计费，计费公式如表 计费公式所示。 表2 计费公式 资源类型 计费公式 资源单价 VPN网关 元/月·个 请以虚拟专用网络价格详情中的价格为准。 VPN连接数 元/月·1个 请以虚拟专用网络价格详情中的价格为准。

计费说明 VPN的计费项由VPN网关、VPN连接组成。具体内容如表 虚拟专用网络计费项所示。 如您需要快速了解VPN服务的具体价格，请参见VPN价格详情。 表 终端入云VPN计费项标 * 的计费项为必选计费项。 表1 终端入云VPN计费项 计费项 计费项说明 适用的计费模式 计费公式 * VPN网关 不同规格的网关实例单价不同。 包年/包月 网关规格单价 * 购买时长 * VPN连接 默认支持10个免费的VPN连接，超出10个部分您需要额外购买。 包年/包月 连接单价 * 购买时长

到期后影响 图1描述了包年/包月VPN资源各个阶段的状态。购买后，在计费周期内资源正常运行，此阶段为有效期；资源到期而未续费时，将陆续进入宽限期和保留期。 图1 包年/包月VPN资源生命周期 到期预警 包年/包月VPN资源在到期前第7天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为云账号的创建者。 到期后影响 当您的包年/包月VPN资源到期未续费，首先会进入宽限期，资源状态变为“已过期”。宽限期内您可以正常访问VPN资源，但以下操作将受到限制： 变更VPN连接数 修改带宽大小 变更VPN网关规格 如果您在宽限期内仍未续费包年/包月VPN资源，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的包年/包月资源执行任何操作。 保留期到期后，若包年/包月VPN资源仍未续费，那么VPN网关、VPN连接和弹性公网IP都将被释放，数据无法恢复。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 关于续费的详细介绍请参见续费概述。

计费示例（终端入云VPN） 假设您在2024/08/08 15:50:04购买了一个包年/包月终端入云VPN网关（规格：专业型1，VPN连接数：20，带宽大小：20），计费资源包括VPN网关、VPN连接。购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2024/08/08 15:50:04 ~ 2024/09/08 23:59:59 第二个计费周期为：2024/09/08 23:59:59 ~ 2024/10/08 23:59:59 您需要为每个计费周期预先付费，各项VPN资源单独计费，计费公式如表 计费公式所示。 表1 计费公式 资源类型 计费公式 资源单价 VPN网关 元/月·个 请以虚拟专用网络价格详情中的价格为准。 VPN连接数 元/月·1个 请以虚拟专用网络价格详情中的价格为准。

变更配置后对计费的影响 当前包年/包月VPN资源的规格不满足您的业务需要时，您可以在管理控制台发起变更规格操作，变更时系统将按照如下规则为您计算变更费用： 包年/包月计费模式下，终端入云VPN支持变更规格配置。 资源升配： 升高EIP带宽大小：升配后，新带宽将在当前计费周期内立即生效。您需要按照与原带宽的价格差，结合计费周期内的剩余天数，补齐差价。 增加VPN连接数：升配后，新连接数将在原来已有的时间周期内立即生效，您需补交新老配置的差价。 变更VPN网关规格：升配后，非固定IP接入特性将在原来已有的时间周期内立即生效，您需要补交新老配置的差价。 资源降配：新配置价格低于老配置价格，此时华为云会将新老配置的差价退给您。 降低EIP带宽大小：降配后，新带宽在当前计费周期不生效。您需要选择续费时长并根据新的带宽大小进行续费，续费成功后，新带宽将在当前计费周期结束后，从下一个计费周期开始生效。 减少VPN连接数：降配后，新连接数将在原来已有的时间周期内立即生效，系统将会为您退还新老配置的差价。 这里以资源升配且无任何优惠的场景为例，假设您在2024/04/08购买了一个终端入云VPN网关（规格：专业型1，VPN连接数：20，带宽大小：20），购买时长为1个月，计划在2024/04/18变更配置（规格：专业型1，VPN连接数：30，带宽大小：30）。旧配置价格为4400 元/月，新配置价格为6520 元/月。计算公式如下： 升配费用=新配置价格*剩余周期-旧配置价格*剩余周期 公式中的剩余周期为每个自然月的剩余天数/对应自然月的最大天数。本示例中，剩余周期=12（4月份剩余天数）/ 30（4月份最大天数）+ 8（5月份剩余天数）/ 31（5月份最大天数）=0.6581，代入公式可得升配费用=6520*0.6581-4400*0.6581=1395.17（元） 更多信息请参见变更资源规格费用说明。

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

VPN计费模式概述 终端入云VPN只支持包年/包月的计费方式。 包年/包月：一种预付费模式，即先付费再使用，按照订单的购买周期进行结算。购买周期越长，享受的折扣越大。一般适用于长期稳定的成熟业务。 表1 终端入云VPN计费模式 计费模式 仅支持包年/包月 付费方式 预付费 按照订单的购买周期结算。 计费周期 按订单的购买周期计费。 适用计费项 VPN网关费用：当前支持专业型1，最大吞吐率300Mbps，每个网关默认包含10个连接，如需要超过10个连接，需要单独购买VPN连接。 VPN连接费用：连接按照阶梯计费，共有1-10，11-50，51-100，101-500四个阶梯。 变更计费模式 不支持变更计费模式。 变更规格 支持升高/降低EIP带宽大小。 支持增加/减少VPN连接数。 不支持变更VPN网关规格。 适用场景 可预估资源使用周期。 长期使用。 父主题： 计费模式

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 VPC1：192.168.0.0/24 VPC2：192.168.1.0/24 ER 关联VPC1和VPC2的企业路由器。 E CS 3个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。 VPN网关1 接入子网 用于VPN网关和VPC通信，请确保选择的接入子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关1默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 “连接1配置”中的Tunnel接口地址 用于VPN网关1和对端网关1建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.70.1/30 对端隧道接口地址：169.254.70.2/30 用于VPN网关1和对端网关2建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.71.1/30 对端隧道接口地址：169.254.71.2/30 “连接2配置”中的Tunnel接口地址 用于VPN网关1和对端网关1建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.72.1/30 对端隧道接口地址：169.254.72.2/30 用于VPN网关1和对端网关2建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.73.1/30 对端隧道接口地址：169.254.73.2/30 VPN网关2 接入子网 用于VPN网关和VPC通信，请确保选择的接入子网存在4个及以上可分配的IP地址。 192.168.3.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关2默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：3.3.3.3 主EIP2：4.4.4.4 “连接1配置”中的Tunnel接口地址 用于VPN网关2和对端网关1建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.74.1/30 对端隧道接口地址：169.254.74.2/30 用于VPN网关2和对端网关2建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.75.1/30 对端隧道接口地址：169.254.75.2/30 “连接2配置”中的Tunnel接口地址 用于VPN网关2和对端网关1建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.76.1/30 对端隧道接口地址：169.254.76.2/30 用于VPN网关2和对端网关2建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.77.1/30 对端隧道接口地址：169.254.77.2/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关1 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 对端网关2 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 2.2.2.1 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

前提条件 云侧 请确认 虚拟私有云VPC 已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见安全组规则。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 用户数据中心 待互通子网 172.16.0.0/16 对端网关 标识 选择FQDN类型，命名为“cgw-fqdn”。 策略模板 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128-GCM-16 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128-GCM-16 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见安全组规则。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 主备 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 备EIP：2.2.2.2 VPN连接 “连接1配置”中的Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.70.1/30 对端隧道接口地址：169.254.70.2/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.1/30 对端隧道接口地址：169.254.71.2/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 2.2.2.1 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见安全组规则。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见企业路由器ER相关资料。 数据中心侧 用户数据中心1和2的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。 用户数据中心1的VPN设备对端网络中需要包含华为云VPC的本端子网和用户数据中心2的待互通子网；用户数据中心2的VPN设备对端网络中需要包含华为云VPC的本端子网和用户数据中心1的待互通子网。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 用户数据中心1 待互通子网 172.16.0.0/16 用户数据中心1对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 用户数据中心1VPN连接 “连接1配置”中的Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.70.1/30 对端隧道接口地址：169.254.70.2/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.1/30 对端隧道接口地址：169.254.71.2/30 用户数据中心2 待互通子网 10.10.0.0/16 用户数据中心2对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 2.2.2.1 用户数据中心2VPN连接 “连接1配置”中的Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.72.1/30 对端隧道接口地址：169.254.72.2/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.73.1/30 对端隧道接口地址：169.254.73.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 版本：v2 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见安全组规则。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 VPN连接 “连接1配置”中的Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.70.1/30 对端隧道接口地址：169.254.70.2/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.1/30 对端隧道接口地址：169.254.71.2/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见安全组规则。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。

数据规划 表1 规划数据 类别 规划项 规划值 用户数据中心 待互通业务子网 VPN对端网关IP所在子网。 172.16.0.0/16 接入子网 专线对端网关IP所在子网。接入子网可以和业务子网相同。本示例以接入子网和业务子网相同为例。 172.16.0.0/16 业务子网所在虚拟私有云 虚拟私有云名称 tenant_vpc 专线虚拟网关 虚拟私有云 需要和VPN网关的接入虚拟私有云保持一致。 tenant_vpc 本端子网 需要和VPN网关的接入子网保持一致。 192.168.2.0/24 专线虚拟接口 本端网关IP地址 用于专线虚拟网关和远端网关建立通信，配置时两边需要互为镜像。 1.1.1.1/30 远端网关IP地址 2.2.2.2/30 远端子网 专线对端网关所在的接入子网信息。 172.16.0.0/16 VPN网关 虚拟私有云 即业务子网所在虚拟私有云。 tenant_vpc 互联子网 用于VPN网关和虚拟私有云通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 本端子网 虚拟私有云用于和用户数据中心通信的子网。 192.168.0.0/24 192.168.1.0/24 HA模式 双活 接入虚拟私有云 可以和虚拟私有云相同，也可以和虚拟私有云不同。 本示例中以接入虚拟私有云和虚拟私有云相同为例。 tenant_vpc 接入子网 如果接入虚拟私有云和虚拟私有云相同，且接入子网和互联子网相同，请确保选择的互联子网存在4个及以上可分配的IP地址。本示例以该场景为例。 192.168.2.0/24 如果接入虚拟私有云和虚拟私有云相同，且接入子网和互联子网不同，请确保选择的接入子网存在2个及以上可分配的IP地址。 如果接入虚拟私有云和虚拟私有云不同，请确保选择的接入子网存在2个及以上可分配的IP地址。 接入IP 手动指定网关IP地址。 私网IP地址1：192.168.2.100 私网IP地址2：192.168.2.101 VPN连接 “连接1配置”中的Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.70.1/30 对端隧道接口地址：169.254.70.2/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.1/30 对端隧道接口地址：169.254.71.2/30 VPN对端网关 网关IP IP地址由用户数据中心管理员规划配置。 172.16.0.111 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 主备 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 备EIP：2.2.2.2 VPN连接 “连接1配置”中的Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.70.1/30 对端隧道接口地址：169.254.70.2/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.1/30 对端隧道接口地址：169.254.71.2/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 公网IP1：1.1.1.1 公网IP2：2.2.2.1 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 版本：v2 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

资源和成本规划 该解决方案主要部署如下资源，每月花费如表1所示，具体请参见华为云官网价格详情，实际收费以账单为准： 表1 资源和成本规划 产品 配置示例 成本预估/月 虚拟专用网络 按需计费：VPN网关带宽费用20.075元/小时+VPN连接费用0.36元/小时，更多计费详情请参见价格详情。 区域：中国-香港 计费模式：按需计费 计费方式：按带宽计费 带宽大小：100 Mbit/s 14713.2元 云连接 按月计费：86000元/月，更多计费详情请参见价格详情。 计费模式：包年/包月 计费方式：按带宽计费 互通类型：跨大区互通 互通大区：中国大陆 - 亚太 带宽：100 Mbit/s 86000元 合计 — 100713.2元 父主题： 通过VPN和云连接构建跨境网络连接

前提条件 前置资源 用户在华为云上多个区域内购买了VPC，且某个区域中存在多个VPC。 每个区域都通过VPN和不同的用户数据中心连接。 云上VPC和用户的数据中心的子网不冲突，ECS服务正常。 连接拓扑 图1 VPN hub连接拓扑 配置思路： 通过云连接将VPC1、VPC2和VPC3进行连接，并配置云连接路由，实际网络配置需要购买带宽包。 分别创建IDC1-VPC1、IDC2-VPC2、IDC3-VPC3的VPN网络。 更新每一段VPN的本地子网和远端子网。 局点配置说明 表1 配置说明 节点 标识 VPN本端网关 VPN本地子网 VPN远端网关 VPN远端子网 CC网络实例 IDC1 VPN A 1.1.1.1 192.168.11.0/24 2.2.2.2 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.55.0/24 192.168.66.0/24 - VPC1 2.2.2.2 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.55.0/24 192.168.66.0/24 1.1.1.1 192.168.11.0/24 192.168.22.0/24 192.168.11.0/24 IDC2 VPN B 4.4.4.4 192.168.44.0/24 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.55.0/24 192.168.66.0/24 - VPC2 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.55.0/24 192.168.66.0/24 4.4.4.4 192.168.44.0/24 192.168.33.0/24 192.168.44.0/24 IDC3 VPN C 5.5.5.5 192.168.55.0/24 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.66.0/24 - VPC3 6.6.6.6 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.66.0/24 5.5.5.5 192.168.55.0/24 192.168.55.0/24 192.168.66.0/24 云连接网络实例可在任一局点配置，通过查看路由信息验证网络实例配置。 用户侧VPN网关IP与VPC互为镜像，VPN连接创建的资源信息与华为云一致。

配置步骤 创建云连接 登录管理控制台，选择VPC所在的区域，然后在服务列表中选择网络下的“云连接”，根据图2输入相关创建信息后，单击“确定”创建云连接。 图2 创建云连接 选择已创建的云连接，单击名称添加网络实例。 图3 加载网络实例 在新页签中选择“加载网络实例”，添加云连接所连接的VPC网络，VPC子网可直接进行选择，通过VPN连接的客户网络需要手动添加在自定义网段中，单击“确定”。 图4 加载网络实例 另一侧VPC2配置信息和VPC1的相同，请不要忘记添加VPN连接的客户网络，如果忘记添加可通过选择云连接中的VPC，单击右侧“更新VPC CIDRs”进行添加。 图5 更新VPC CIDRs 云连接配置完成后， 网络实例连接示意图如下所示。 图6 更新VPC CIDRs 通过查看路由信息验证路由配置 图7 验证路由配置 更新VPN网络配置 修改思路： 用户侧：本端子网不变，远端子网添加VPC2的子网。 VPC侧：本端子网添加VPC2的子网，远端子网不变。 选择华为云端的虚拟专线网络配置，在已创建的VPN连接中修改本端子网配置。 图8 创建对等连接 更改本端子网类型为网段，添加云连接所连接的VPC1的网络实例和本端VPC子网，远端网络信息不变 VPC1的VPN连接信息配置如下图所示。 图9 修改VPN连接 VPC2的VPN连接信息配置如下图所示。 图10 修改VPN连接