通过云企业网和企业版转发路由器实现同地域云上云下网络互通

本地IDC（Internet Data Center）通过物理专线和边界路由器VBR（Virtual Border Router）连接至阿里云后，您可以将VBR实例和VPC实例连接至转发路由器中，实现本地IDC与同地域专有网络 VPC（Virtual Private Cloud）实例网络互通、同地域VPC实例之间网络互通。

场景示例

某企业在杭州拥有一个本地IDC，已通过物理专线和VBR实例连接至阿里云；同时，企业在阿里云华东1（杭州）地域创建了VPC1和VPC2，2个VPC使用云服务器ECS（Elastic Compute Service）分别部署了应用服务，本地IDC与VPC、VPC与VPC之间互不相通。现在因业务发展需要，企业需要本地IDC与VPC、VPC与VPC之间可以互相通信，资源互访。

企业可以使用云企业网产品，将2个VPC和1个VBR连接至华东1（杭州）地域的转发路由器实例，快速实现同地域下本地IDC与VPC、VPC与VPC之间的资源互访。

企业版-同地域互通架构图

前提条件

您已经通过物理专线和VBR将本地IDC接入了阿里云。具体操作，请参见通过物理专线实现本地IDC与云上VPC互通。

您已经在阿里云华东1（杭州）地域创建了2个VPC，2个VPC均使用ECS部署了应用服务。具体操作，请参见搭建IPv4专有网络。

请确保每个VPC在企业版转发路由器支持的可用区中拥有足够的交换机实例，且每个交换机实例拥有至少一个空闲的IP地址。

对于企业版转发路由器仅支持一个可用区的地域（例如华东5（南京-本地地域）地域），VPC实例需在当前可用区下拥有至少一个交换机实例。
对于企业版转发路由器支持多个可用区的地域（例如华东2（上海）地域），VPC实例需在这些可用区中拥有至少2个交换机实例，2个交换机实例需位于不同的可用区。

更多信息，请参见VPC连接原理。

单击查看企业版转发路由器支持的地域和可用区

区域	地域	可用区
中国内地	华东1（杭州）	B、H、I、J、K
	华东2（上海）	B、E、F、G、L、M、N
	华东5（南京-本地地域）关停中	A
	华东6（福州-本地地域）关停中	A
	华中1（武汉-本地地域）	A
	华南1（深圳）	A（停止新用户新购）、 C、D、E、F
	华南2（河源）	A、B
	华南3（广州）	A、B
	华北1（青岛）	B、C
	华北2（北京）	C、F、G、H、I、J、K、L
	华北3（张家口）	A、B、C
	华北5（呼和浩特）	A、B
	华北6（乌兰察布）	A、B、C
	西南1（成都）	A、B
亚太	新加坡	A、B、C
	中国香港	B、C、D
	马来西亚（吉隆坡）	A、B、C
	印度尼西亚（雅加达）	A、B、C
	菲律宾（马尼拉）	A
	日本（东京）	A、B、C
	韩国（首尔）	A、B
	泰国（曼谷）	A、B
欧洲	德国（法兰克福）	A、B、C
欧洲	英国（伦敦）	A、B
北美	美国（弗吉尼亚）	A、B
	美国（硅谷）	A、B
	墨西哥	A

本示例2个VPC、1个VBR和本地IDC网络规划如下表所示，在您规划网络时请确保要互通的网段没有重叠。

属性	VPC1	VPC2	VBR	本地IDC
网络实例所属地域	华东1（杭州）	华东1（杭州）	华东1（杭州）	杭州
网络实例的网段规划	VPC网段：192.168.0.0/16 交换机1网段：192.168.20.0/24 交换机2网段：192.168.21.0/24	VPC网段：10.0.0.0/16 交换机1网段：10.0.0.0/24 交换机2网段：10.0.1.0/24	VLAN ID：0 阿里云侧IPv4互联IP：172.16.1.2，子网掩码为255.255.255.252 客户侧IPv4互联IP：172.16.1.1，子网掩码为255.255.255.252	本地网络网段：172.16.0.0/16
网络实例交换机的可用区	交换机1位于可用区H 交换机2位于可用区I	交换机1位于可用区H 交换机2位于可用区I	不涉及	不涉及
服务器IP地址	ECS1 IP地址：192.168.20.161	ECS2 IP地址：10.0.0.33	不涉及	本地服务器IP地址：172.16.0.89

您已经了解2个VPC中ECS实例所应用的安全组规则及本地IDC服务器所应用的访问控制规则，并确保ECS实例的安全组规则以及本地IDC服务器的访问控制规则允许VPC之间资源互访、VPC与本地IDC之间资源互访。具体操作，请参见查询安全组规则和添加安全组规则。

配置流程

快速入门-企业版-云上云下互通-配置流程

步骤一：创建云企业网实例

云企业网实例是创建和管理一体化网络的基础资源，在实现网络互通前，需要先创建一个云企业网实例。

登录云企业网管理控制台。
在云企业网实例页面，单击创建云企业网实例。
在创建云企业网实例对话框，根据以下信息进行配置，然后单击确认。
- 名称：输入云企业网实例的名称。
- 描述：输入云企业网实例的描述信息。
- 资源组：选择云企业网实例所属的资源组。
  本文不选择，云企业网实例创建完成后将归属于默认资源组。
- 标签：输入云企业网实例的标签。本文保持为空值。

步骤二：创建转发路由器实例

在连接网络实例前，需要在网络实例所属地域创建转发路由器实例。

登录云企业网管理控制台。
在云企业网实例页面，选择在步骤一中创建的云企业网实例，单击云企业网实例ID。
在基本信息 > 转发路由器页签，单击创建转发路由器。

在创建转发路由器对话框，配置转发路由器实例信息，然后单击确认。

配置项	说明	配置
地域	选择转发路由器实例所属的地域。	本文选择华东1（杭州）地域。
版本	转发路由器实例的版本。	系统自动判断并显示当前地域下转发路由器实例的版本。
开启组播	选择是否打开转发路由器实例的组播功能。	本文保持默认值，即不打开组播功能。
名称	输入转发路由器实例的名称。	请自定义转发路由器实例的名称。
描述	输入转发路由器实例的描述信息。	请自定义转发路由器实例的描述信息。
标签	输入转发路由器实例的标签。	本文保持为空值。
TR地址段	输入转发路由器地址段。更多信息，请参见转发路由器地址段。	本文无需配置转发路由器地址段。

步骤三：连接VPC实例

将VPC1、VPC2连接至华东1（杭州）地域的转发路由器实例。

在云企业网实例页面，单击步骤一创建的云企业网实例ID。
在基本信息 > 转发路由器页签，找到目标地域的转发路由器实例，在操作列单击创建网络实例连接。

在连接网络实例页面，根据以下信息进行配置，然后单击确定创建。

下表罗列了各个配置项的说明以及VPC1、VPC2对应的参数值，请依据下表中的数据，分别将VPC1和VPC2连接至转发路由器实例。

说明

在执行此操作时，系统会自动为您创建一个服务关联角色，角色名称为AliyunServiceRoleForCEN。该角色将允许转发路由器实例在VPC的交换机上创建ENI。更多信息，请参见AliyunServiceRoleForCEN。

配置项	配置项说明	VPC1	VPC2
实例类型	选择待连接的网络实例类型。	专有网络（VPC）	专有网络（VPC）
地域	选择待连接的网络实例所在的地域。	华东1（杭州）	华东1（杭州）
转发路由器	系统自动显示该地域下已创建的转发路由器实例ID。
资源归属UID	选择待连接的网络实例所属的账号类型。	同账号	同账号
付费方式	默认值按量付费。按量计费规则，请参见计费说明。
连接名称	输入网络实例连接的名称。	`VPC1-test`	`VPC2-test`
标签	为网络实例连接添加标签。	本文保持为空值。	本文保持为空值。
网络实例	选择待连接的网络实例。	选择VPC1	选择VPC2
交换机	在转发路由器支持的可用区选择一个交换机实例。如果您在转发路由器支持的多个可用区均拥有交换机实例，您可以同时选择多个可用区并在每个可用区下选择一个交换机实例以实现可用区级别的容灾。	杭州可用区H：选择交换机1 杭州可用区I：选择交换机2	杭州可用区H：选择交换机1 杭州可用区I：选择交换机2
高级配置	系统默认帮您选中以下三种高级功能。您可以依据实际需求取消选中一个或多个配置项。 VPC1和VPC2均保持默认配置，即选中全部高级配置项。自动关联至转发路由器的默认路由表开启本功能后，VPC连接会自动关联至转发路由器的默认路由表，转发路由器通过查询默认路由表转发VPC实例的流量。自动传播系统路由至转发路由器的默认路由表开启本功能后，VPC实例会将自身的系统路由传播至转发路由器的默认路由表中，用于网络实例的互通。自动为VPC的所有路由表配置指向转发路由器的路由开启本功能后，系统将在VPC实例的所有路由表内自动配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条路由条目，其下一跳均指向VPC连接，用于引导VPC实例的流量进入转发路由器。转发路由器默认不向VPC实例传播路由。重要如果VPC实例需要实现IPv6网络通信，创建VPC连接后，您需要为VPC连接开启路由同步功能或者在VPC实例的路由表中手动添加指向VPC连接的IPv6路由条目，VPC实例的IPv6流量才能进入转发路由器。

单击返回列表，返回到云企业网实例详情页面。

步骤四：连接VBR实例

在云企业网实例页面，单击步骤一创建的云企业网实例ID。
在基本信息 > 转发路由器页签，找到目标地域的转发路由器实例，在操作列单击创建网络实例连接。
在连接网络实例页面，根据以下信息进行配置，然后单击确定创建。
- 实例类型：选择边界路由器（VBR）。
- 地域：选择待连接的网络实例所在的地域。本示例选择华东1（杭州）。
- 转发路由器：系统自动显示当前地域已创建的转发路由器实例ID。
- 资源归属UID：选择待连接的网络实例所属的账号类型。本示例使用默认值同账号。
- 连接名称：输入网络实例连接名称。本示例输入VBR。
- 标签：为网络实例连接添加标签。本示例保持为空值。
- 网络实例：选择待连接的网络实例ID。本示例选择VBR实例。
- 高级配置：系统默认帮您选中以下三种高级功能。本示例保持默认配置。
  - 自动关联至转发路由器的默认路由表
    开启本功能后，VBR连接会自动关联至转发路由器的默认路由表，转发路由器通过查询默认路由表转发VBR实例的流量。
  - 自动传播系统路由至转发路由器的默认路由表
    VBR实例会将自身的系统路由传播至转发路由器的默认路由表中，用于网络实例的互通。
  - 自动发布路由到VBR
    开启本功能后，系统自动将VBR连接关联的转发路由器路由表中的路由发布到VBR实例中。
单击返回列表，返回到云企业网实例详情页面。

步骤五：测试连通性

完成上述操作后，VPC1、VPC2、本地IDC之间已经可以互相通信，您可以通过以下操作测试VPC与VPC、VPC与本地IDC之间的连通性。

说明

操作前，请确保ECS的安全组规则已放行ICMP协议访问。具体操作，请参见查询安全组规则和添加安全组规则。

测试VPC1和VPC2之间的连通性。
1. 登录VPC1的ECS实例。具体操作，请参见ECS远程连接操作指南。
2. 在VPC1的ECS实例中执行ping命令，尝试访问VPC2的ECS实例。
```
ping <VPC2 ECS实例IP地址>
```
  收到如下所示的回复报文，则表示VPC1和VPC2之间网络已连通，可以实现资源互访。
测试VPC1和本地IDC之间的连通性。
1. 登录VPC1的ECS实例。
2. 在VPC1的ECS实例中执行ping命令，尝试访问本地IDC的服务器。
```
ping <本地IDC服务器的IP地址> 
```
  如果收到回复报文，则表示VPC1和本地IDC之间网络已连通，可以实现资源互访。
测试VPC2和本地IDC之间的连通性。
1. 登录VPC2的ECS实例。
2. 在VPC2的ECS实例中执行ping命令，尝试访问本地IDC的服务器。
```
ping <本地IDC服务器的IP地址> 
```
  如果收到回复报文，则表示VPC2和本地IDC之间网络已连通，可以实现资源互访。

路由说明

在本示例中，连接VPC1、VPC2和VBR实例时，云企业网自动完成路由的分发和学习以实现VPC与VPC、VPC与本地IDC之间的相互通信：

华东1（杭州）地域下的转发路由器实例自动学习VPC1、VPC2和VBR的路由条目信息。
VBR实例通过转发路由器实例自动学习VPC1和VPC2的路由条目信息。
云企业网自动在VPC1和VPC2的系统路由表中添加10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条自定义路由条目，下一跳均指向转发路由器实例。
2个VPC通过上述三条路由条目将流量发送至转发路由器实例，通过转发路由器实例实现VPC与VPC、VPC与本地IDC之间的相互通信。

以下内容为您展示本示例中转发路由器实例、VPC1、VPC2和VBR的路由条目信息，方便您了解本示例的路由原理。您可以在云企业网管理控制台分别查看转发路由器实例、VBR、VPC1和VPC2的路由条目信息。具体操作，请参见查看企业版转发路由器路由条目和查看网络实例路由条目。