本文介绍本地IDC(Internet Data Center)如何通过高速通道连接阿里云,打通云上专有网络VPC(Virtual Private Cloud)和本地IDC的网络,并通过本地IDC的一台服务器访问云上VPC的一台云服务器ECS(Elastic Compute Service)。

场景示例

本文以下图的VPC和IDC配置为例,假设您在华东2(上海)地域有一个VPC(私网网段:172.16.0.0/16)和本地IDC机房(私网网段:172.17.1.0/24),需要自主申请一条物理专线使本地IDC服务器(IP地址:172.17.1.2)和VPC中的ECS服务器(IP地址:172.16.0.1)互通。

本地IDC通过专线访问云服务器ECS
配置项地址段
云上VPC网段172.16.0.0/16
云上交换机网段172.16.0.0/24
云上ECS的IP地址172.16.0.1
本地IDC网段172.17.1.0/24
互联IP
  • 云端边界路由器VBR(Virtual border router)地址:10.0.0.1/30
  • 本地IDC端:10.0.0.2/30
本地服务器IP地址172.17.1.2
健康检查
  • 源IP:172.16.0.2
  • 目的IP:10.0.0.2

前提条件

  • 您已经在阿里云华东2(上海)地域创建了一个VPC,且VPC中使用云服务器ECS(Elastic Compute Service)等云资源部署了相关业务。具体操作,请参见搭建IPv4专有网络
    说明 使用企业版转发路由器创建VPC连接前,请确保VPC实例在企业版转发路由器支持的可用区拥有至少一个交换机实例,且该交换机实例拥有至少一个空闲的IP地址。本文创建的转发路由器实例在华东2(上海)地域,支持的可用区为上海可用区F和上海可用区G。
  • 您已经了解VPC中ECS实例所应用的安全组规则,并确保安全组规则允许本地IDC与云上ECS实例互相访问。具体操作,请参见查询安全组规则添加安全组规则
  • 您已经创建了云企业网。具体操作,请参见创建云企业网实例
  • 您已经在VPC实例所在地域创建了企业版转发路由器实例。具体操作,请参见创建转发路由器实例

步骤一:创建物理专线

您可以通过高速通道控制台自主创建物理专线(独享端口方式)或通过合作伙伴共享专线方式创建物理专线。具体操作,请参见创建和管理独享专线连接共享专线连接概述

本文中,与物理专线连接的云上网关设备VBR的配置如下表所示。

VBR配置项配置详情
VLAN ID0
阿里云侧IPv4互联IP10.0.0.1
客户侧IPv4互联IP10.0.0.2
IPv4子网掩码255.255.255.252

步骤二:创建VBR

  1. 登录高速通道管理控制台
  2. 在顶部菜单栏,选择目标地域。
  3. 物理端口页面,单击要创建VBR且状态为已开通的物理专线接口实例ID。
  4. 在目标物理端口详情页面,单击创建边界路由器
  5. 创建边界路由器面板,配置以下参数信息,然后单击确定
    配置说明
    账号类型创建VBR的账号类型。

    本示例选择当前账号

    名称设置VBR的名称。
    物理专线接口选择独享专线,然后选择VBR绑定的施工完成且状态正常的物理专线接口。
    VLAN ID输入VBR的VLAN ID。

    本示例输入0

    设置VBR带宽值设置VBR的带宽。

    本文设置为200Mb

    阿里云侧IPv4互联IP输入VPC到本地IDC的路由网关IPv4地址。

    本示例输入10.0.0.1

    客户侧IPv4互联IP输入本地IDC到VPC的路由网关IPv4地址。

    本示例输入10.0.0.2

    IPv4子网掩码阿里云侧和客户侧IPv4地址的子网掩码。

    本示例输入255.255.255.252

步骤三:连接VPC实例和VBR实例

您需要在华东2(上海)地域的转发路由器中创建与物理专线关联的VBR连接和需要互通的VPC连接,实现本地IDC和VPC的私网互通。

  1. 登录云企业网管理控制台
  2. 云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
  3. 基本信息 > 转发路由器页签,找到目标地域的转发路由器实例,在操作列单击创建网络实例连接
  4. 连接网络实例页面,配置以下参数信息创建VPC连接,然后单击确定创建
    说明 在初次执行此操作时,系统会自动为您创建一个名称为AliyunServiceRoleForCEN的服务关联角色。该角色允许转发路由器实例在VPC的交换机上创建ENI。更多信息,请参见AliyunServiceRoleForCEN
    参数配置
    实例类型选择待连接的网络实例类型。

    本文选择专有网络(VPC)

    地域选择待连接的网络实例所在的地域。

    本文选择华东2(上海)

    转发路由器系统自动显示当前地域下已创建的转发路由器实例。
    资源归属UID选择待连接的网络实例所属的账号类型。

    本文选择同账号

    付费方式转发路由器的计费模式默认为按量付费

    按量付费的计费规则,请参见计费说明

    连接名称输入VPC连接的名称。

    本文输入VPC-test

    网络实例选择待连接的VPC实例ID。

    本文选择已创建的VPC。

    交换机在转发路由器支持的可用区选择一个交换机实例。

    本文选择对应可用区的交换机。

    高级配置系统默认为您选中三种高级功能,即自动关联至转发路由器的默认路由表自动传播系统路由至转发路由器的默认路由表自动为VPC的所有路由表配置指向转发路由器的路由

    本文保持默认配置。

  5. 连接网络实例页面,单击继续创建连接
  6. 连接网络实例页面,配置以下参数信息创建VBR1连接,然后单击确定创建
    参数配置
    实例类型本文选择边界路由器(VBR)
    地域选择待连接的网络实例所在的地域。

    本文选择华东2(上海)地域。

    转发路由器系统自动显示当前地域已创建的转发路由器实例。
    资源归属UID选择待连接的网络实例所属的账号类型。

    本文使用默认值同账号

    连接名称输入VBR实例连接名称。

    本文输入VBR-test

    网络实例选择待连接的VBR实例ID。

    本文选择已创建的VBR1实例。

    高级配置系统默认为您选中三种高级功能,即自动关联至转发路由器的默认路由表自动传播系统路由至转发路由器的默认路由表自动为VPC的所有路由表配置指向转发路由器的路由

    本文保持默认配置。

    网络连接创建完成后,您可以在地域内连接管理页签查看VPC连接和VBR连接的信息。具体操作,请参见查看和删除网络实例连接

步骤四:配置VBR路由

您需要在VBR上分别配置指向本地IDC和物理专线的路由。本文以在VBR上配置指向物理专线的路由为示例。

  1. 登录高速通道管理控制台
  2. 在顶部菜单栏,选择目标地域,然后在左侧导航栏,单击边界路由器(VBR)
  3. 边界路由器(VBR)页面,单击目标VBR的实例ID。
  4. 在VBR详情页面,单击路由条目页签,然后单击添加路由条目
  5. 添加路由条目面板,根据以下信息配置路由条目,然后单击确定
    配置说明
    下一跳类型本文选择物理专线接口
    目标网段输入本地IDC的网段。

    本文输入172.17.1.0/24

    下一跳选择物理专线接口。

    本文选择已申请的物理专线。

    描述输入路由条目的描述信息。
    说明 默认情况下,阿里云上的ECS实例无法ping通VBR的IP地址。如需进行ping测试,您需要添加指向物理专线接口的路由,其中使用VBR的互联IP地址段10.0.0.1/30作为本地IDC的网段。

步骤五:配置健康检查

您可以通过云企业网的健康检查功能监测本地IDC的网络状况。

  1. 登录云企业网管理控制台
  2. 在左侧导航栏,单击健康检查
  3. 健康检查页面,选择VBR实例所在的地域(本文选择华东2(上海)),然后单击设置健康检查
  4. 设置健康检查对话框,配置以下参数,然后单击确定
    配置说明
    云企业网实例选择已加载VBR实例的云企业网实例。
    边界路由器(VBR)

    选择要监控的VBR实例。

    本文选择VBR1。

    源IP选择自定义源IP,输入所连接的VPC中交换机下的一个空闲IP,例如172.16.0.2。
    目标IP输入本地IDC网络设备的接口IP地址,例如10.0.0.2。
    发包时间间隔(秒)设置发包时间间隔为2秒。
    探测报文个数(个)设置探测报文个数为8个。
    切换路由是否开启健康检查的路由切换功能。

    系统默认选择,即开启健康检查的路由切换功能。健康检查探测到物理专线连接故障时,如果云企业网实例中存在冗余的路由,健康检查则会立刻触发路由切换使用可用链路。

    若您取消选中,则表示不开启健康检查的路由切换功能,健康检查仅执行链路探测功能。若健康检查探测到物理专线连接故障,则不会触发路由切换。
    警告 若您选择关闭本功能,请确保您有其他方式保证链路的冗余性,否则当物理专线连接故障后,会导致网络中断。
    说明 健康检查会以您指定的发包时间间隔发送探测报文,当连续发送的所有探测报文(即您指定的探测报文个数)都丢包时,则判断健康检查失败。如果健康检查失败,请检查您的专线链路是否正常。具体操作,请参见故障排查

步骤六:配置本地IDC的路由

至此,已完成阿里云上的路由配置,您还需要在专线接入设备上配置指向VPC的路由。您可以选择配置静态路由或配置BGP路由将本地IDC的数据转发至VBR。

  1. 本地网关设备配置到云上VPC的路由,您可以选择配置静态路由或配置BGP动态路由。
    • 配置静态路由的示例如下。
      说明 静态路由示例仅供参考,不同厂商的不同设备可能会不同。
      ip route 172.16.0.0 255.255.0.0 10.0.0.1
    • 配置BGP动态路由。具体操作,请参见配置和管理BGP

      宣告网段为需要和本地IDC通信的VPC的网段(本文中VPC网段为172.16.0.0/16)。

  2. 本地网关设备ping云上VBR,测试连通性。
    执行ping命令,ping 10.0.0.1,如果能收到回复报文,表示本地网关到云上的专线连接成功。
  3. 执行如下命令,在本地IDC的服务器添加默认路由指向本地网关。
    route add default gw 172.17.1.1

步骤七:测试专线连通性

您可以通过ping云上VBR实例的IP地址,测试本地IDC到云上专线的通信是否正常。

  1. 打开本地IDC服务器的命令行窗口。
  2. 执行ping命令,ping云上VBR10.0.0.1
    如果能收到回复报文,表示本地服务器到云上的专线连接成功。
说明 ECS无法ping通VBR互联地址。

步骤八:测试ECS连通性

您可以通过ping云上ECS实例的IP地址,测试云上和本地IDC的通信是否正常。因为ECS的IP地址是动态分配的,请以实际ECS实例的私网IP进行配置,本文中ECS实例的私网IP为172.16.0.1。

说明 在您执行以下步骤前,请您先了解您VPC中的ECS实例所应用的安全组规则,确保安全组规则允许本地IDC访问VPC中的ECS实例。具体操作,请参见查询安全组规则
  1. 打开本地IDC的服务器的命令行窗口,执行ping命令,ping阿里云ECS实例的私网IP。
    ping 172.16.0.1
  2. 登录阿里云ECS实例并打开命令行窗口。
  3. 执行ping命令,ping本地IDC服务器的IP地址。如果能ping通,表示通过高速通道云下服务器到云上ECS已经连接成功。
    ping 172.17.1.2