通过物理专线实现本地IDC与云上VPC互通

场景示例

本文以下图为例，某企业在杭州拥有一个IDC机房，并且该企业在阿里云华东1（杭州）地域部署了专有云网络VPC，因业务发展需要，该企业需要自主申请一条物理专线，实现本地IDC和云上VPC资源互通。

前提条件

• 您已经在阿里云华东1（杭州）地域创建了VPC实例。具体操作，请参见搭建IPv4专有网络。

  说明

  使用企业版转发路由器创建VPC连接前，请确保VPC实例在企业版转发路由器支持的可用区拥有至少一个交换机实例，且该交换机实例拥有至少一个空闲的IP地址。本文创建的转发路由器实例在华东1（杭州）地域，支持的可用区为杭州可用区H和杭州可用区I。

• 您已经确定物理专线接入点、完成运营商工勘等准备工作。具体操作，请参见独享专线连接前准备。

• 您已经了解独享物理专线的计费规则。更多信息，请参见计费概述。

• 您已经创建了云企业网。具体操作，请参见创建云企业网实例。

• 您已经在VPC实例所在地域创建了企业版转发路由器实例。具体操作，请参见创建转发路由器实例。

配置流程

步骤一：申请物理专线端口并完成专线接入

1. 登录高速通道管理控制台。

2. 在顶部菜单栏，选择目标地域。

3. 申请物理端口。

   1. 在物理端口页面，单击申请物理端口。

   2. 您需要开通出方向流量费后，才可以创建物理专线连接。如果您没有开通出方向流量费，请参考以下操作开通；如果已开通出方向流量费，请跳过此步骤。

      1. 在请签署协议对话框，查阅并选中出方向流量费收费细则，然后单击继续。

      2. 在开通出方向流量费页面，查阅并选中服务协议，然后单击立即开通。

      3. 返回高速通道控制台，在物理端口页面，单击申请物理端口。

   3. 配置物理专线端口接入信息，然后单击确定。

      说明

      物理专线施工完成并且支付成功后，物理专线端口的端口连接状态才是真实状态，未支付前的端口连接状态均为Down。

      配置	说明
      地域	选择物理专线接入地域。 本示例选择华东1（杭州）。
      物理专线运营商	选择为您提供专线服务的运营商，不同运营商可选择的接入点是不同的。 本示例选择中国移动。 重要 中国联通、中国电信和中国移动只能使用自己的专线，不允许使用其他运营商提供的专线。 中国联通、中国电信和中国移动只支持供应商链路接入，不支持裸光纤接入。
      接入点	选择距离您本地数据中心IDC最近的一个接入点。本示例选择杭州-萧山-D。 接入点是阿里云在各个地域的物理数据中心，不同接入点对应不同的物理线路接入位置和接入能力。每个地域下会有一个或者多个接入点，更多信息，请参见接入点地址。
      端口类型	选择端口类型，支持选择以下类型。 100GE单模光口 40GE单模光口 千兆单模光口 万兆单模光口 不同的端口类型占用费价格不同，请按实际需求申请。本示例选择千兆单模光口。
      资源组	在下拉列表中选择实例所属的资源组。 您可以单击管理资源组前往资源管理控制台创建或修改资源组。更多操作，请参见创建资源组。
      标签
      标签键	输入完整的标签键。 最多支持输入20个标签键。一个标签键最多支持128个字符，不能以aliyun和acs:开头，不能包含http://或者https://。
      标签值	输入完整的标签值。 最多支持输入20个标签值。一个标签值最多支持128个字符，不能以aliyun和acs:开头，不能包含http://或者https://。
      冗余专线 ID	选择同一地域的另一条物理专线和该物理专线形成ECMP冗余链路。 本示例选择None。

4. 申请物理专线施工。

   说明

   • 如果需要提前获取机房位置、设备端口等信息，请提交工单。

   • 物理专线端口开通成功后，系统自动进入分配资源状态。资源分配后，您才可以申请LOA。

   1. 返回物理端口页面，找到目标物理专线接口实例，然后在目标实例的操作列，单击申请LOA。

   2. 在申请LOA（专线施工授权函）面板，输入专线施工信息，添加施工工程师身份信息，然后单击确定。

   3. 在重要提示对话框，查阅提示信息，然后单击确定。

      申请LOA后，物理专线实例的状态为LOA申请中，阿里云审核人员一般会在2个工作日内对您的LOA申请进行审核。审核通过后，物理专线实例的状态为LOA已批准，此时您可以在控制台下载LOA文件。

      说明

      非中国境内接入点，阿里云审核人员会在3个工作日内完成审核。

5. 实施物理专线施工。

   1. 在物理端口页面，找到目标物理专线接口实例，然后在目标实例的操作列，单击查看LOA。

   2. 在查看LOA面板，单击下载，下载LOA文件。

   3. 根据LOA信息，联系专线施工方按照物理专线工勘时确认的接入方案，将专线接入阿里机房包间外的接入设备。

      说明

      • 进入阿里云机房包间前，请提交阿里云出具的LOA，并联系工单或者商务经理获取机房入室申请表格，至少提前一天提交机房入室申请，并交付给阿里云的驻场工程师。

      • 专线施工方完成施工后，请要求专线施工方向您提供专线线路的检查报告，确保到运营商网络的连接是正常的。

      • 中国境内机房，阿里云工程师会协助专线施工方完成专线接入到阿里云机房包间。您在控制台单击完工报竣后，工程师会完成尾纤铺设，并接入到专线端口。

      • 中国境外机房，专线施工方完成专线接入到阿里云机房包间外的接入设备（ODF或Patch Pannel等）。您在控制台单击完工报竣后，工程师会完成尾纤铺设，并接入到专线端口。

      • 专线施工方完成施工后，如果需要二次进入阿里云机房包间，请联系您的客户经理申请入室流程。

   4. 施工方完成施工后，联系施工的运营商人员获取运营商专线ID和楼内线缆标签或配线架端口信息，然后在物理端口页面，单击完工报竣。

   5. 在完工报竣页面，输入获取的线路信息，然后单击确定。

      此时，物理专线接口实例的状态为等待阿里尾纤施工。一般2个工作日内，阿里云驻场工程师会根据客户信息将专线插入指定阿里云接入点机房的专线端口。端口接入成功后，物理专线接口实例的状态变为等待用户支付。

      说明

      非中国境内接入点，阿里云驻场工程师会在3个工作日内完成阿里云侧的尾纤施工。

6. 支付资源占用费。

   1. 在物理端口页面，找到目标物理专线接口实例，然后在目标实例的操作列，单击支付资源占用费。

   2. 选择购买时长和续费方式，然后单击立即购买并完成支付。

   支付完成后，物理专线实例的状态变为已开通，表示物理专线开通成功。

步骤二：创建VBR并配置路由

物理专线接入后，您需要创建一个VBR实例作为物理专线端口和本地IDC的转发桥梁。

1. 登录高速通道管理控制台。

2. 在顶部菜单栏，选择目标地域，然后在左侧导航栏，单击边界路由器（VBR）。

3. 创建VBR实例。

   1. 在边界路由器（VBR）页面，单击创建边界路由器。

   2. 在创建边界路由器面板，配置以下参数信息，然后单击确定。

      配置	说明
      账号类型	默认选择当前账号。
      名称	输入VBR的名称。
      物理专线接口	本示例选择独享专线，然后选择步骤一：申请物理专线端口并完成专线接入中创建的物理专线。
      VLAN ID	输入VBR的VLAN ID。本示例输入0。
      设置VBR带宽值	设置VBR的带宽。
      阿里云侧IPv4互联IP	输入VPC到本地IDC的路由网关IPv4地址。本示例输入10.0.0.1/30。
      客户侧IPv4互联IP	输入本地IDC到VPC的路由网关IPv4地址。本示例输入10.0.0.2/30。
      IPv4子网掩码	阿里云侧和客户侧IPv4地址的子网掩码。本示例输入255.255.255.252。

4. 在VBR上配置指向本地IDC的路由。

   1. 在边界路由器（VBR）页面，单击目标VBR实例ID。

   2. 在VBR详情页面，单击路由条目页签，然后单击添加路由条目。

   3. 在添加路由条目面板，配置以下参数信息，然后单击确定。

      配置	说明
      下一跳类型	本示例选择物理专线接口。
      目标网段	输入本地IDC的网段。本示例输入172.30.0.0/24。
      下一跳	选择物理专线。本示例选择步骤一：申请物理专线端口并完成专线接入中创建的物理专线。

步骤三：加入云企业网

您可以将VPC和VBR连接至云企业网的转发路由器实例，之后云企业网自动完成路由的分发和学习以实现VPC与本地IDC之间的相互通信。

1. 登录云企业网管理控制台。
2. 在云企业网实例页面，找到目标云企业网实例，单击目标实例ID。
3. 在基本信息 > 转发路由器页签，找到目标地域的转发路由器实例，在操作列单击创建网络实例连接。

4. 在连接网络实例页面，配置以下参数信息创建VPC连接，然后单击确定创建。

   说明

   在初次执行此操作时，系统会自动为您创建一个名称为AliyunServiceRoleForCEN服务关联角色。该角色允许转发路由器实例在VPC的交换机上创建ENI。更多信息，请参见AliyunServiceRoleForCEN。

   参数	配置
   实例类型	选择待连接的网络实例类型。 本示例选择专有网络（VPC）。
   地域	选择待连接的网络实例所在的地域。 本示例选择华东1（杭州）。
   转发路由器	系统自动显示当前地域下已创建的转发路由器实例。
   资源归属UID	选择待连接的网络实例所属的账号类型。 本示例选择同账号。
   付费方式	转发路由器的计费模式默认为按量付费。 按量付费的计费规则，请参见计费说明。
   连接名称	输入VPC连接的名称。 本示例输入VPC-test。
   网络实例	选择待连接的VPC实例ID。 本示例选择已创建的VPC。
   交换机	在转发路由器支持的可用区选择一个交换机实例。 本示例选择对应可用区的交换机。
   高级配置	系统默认为您选中三种高级功能，即自动关联至转发路由器的默认路由表、自动传播系统路由至转发路由器的默认路由表和自动为VPC的所有路由表配置指向转发路由器的路由。 本示例保持默认配置。

5. 在连接网络实例页面，单击继续创建连接。

6. 在连接网络实例页面，配置以下参数信息创建VBR连接，然后单击确定创建。

   参数	配置
   实例类型	本示例选择边界路由器（VBR）。
   地域	选择待连接的网络实例所在的地域。 本示例选择华东1（杭州）地域。
   转发路由器	系统自动显示当前地域已创建的转发路由器实例。
   资源归属UID	选择待连接的网络实例所属的账号类型。 本示例使用默认值同账号。
   连接名称	输入VBR实例连接名称。 本示例输入VBR-test。
   网络实例	选择待连接的VBR实例ID。 本示例选择已创建的VBR实例。
   高级配置	系统默认为您选中三种高级功能，即自动关联至转发路由器的默认路由表、自动传播系统路由至转发路由器的默认路由表和自动发布路由到Vbr。 本示例保持默认配置。

   网络连接创建完成后，您可以在地域内连接管理页签查看VPC连接和VBR连接的信息。具体操作，请参见查看网络实例连接。

步骤四：配置阿里云侧健康检查

阿里云默认每隔2秒从每个健康检查源IP地址向本地IDC中的健康检查目的IP地址发送一个ping报文，如果某条物理专线上连续8个ping报文都无响应，则说明该物理专线链路故障。

1. 登录云企业网管理控制台。

2. 在左侧导航栏，单击健康检查。

3. 在健康检查页面，选择VBR所属的地域，然后单击设置健康检查。

   本示例中，VBR所属的地域为华东1（杭州）。

4. 在设置健康检查对话框，配置以下参数信息，然后单击确认。

   配置	说明
   云企业网实例	选择已连接VBR实例的云企业网实例。
   边界路由器（VBR）	选择待监控的VBR实例。
   源IP	源IP地址可通过以下两种方式进行配置： 自动生成源IP（推荐）：系统自动为您分配100.96.0.0/16网段内的IP地址。 自定义源IP：源IP地址可以是10.0.0.0/8、192.168.0.0/16、172.16.0.0/12三个网段内任意一个没有被使用的IP地址，但不能与云企业网中要互通的IP地址冲突，也不能和VBR实例的阿里云侧、客户侧IP地址冲突。 说明 对于自动生成源IP的方式： 在以下地域下，每个地域最多支持为16个VBR实例自动分配源IP地址。 单击查看地域信息美国（硅谷）、中国（香港）、美国（弗吉尼亚）、华北2（北京）、华东2（上海）、华南1（深圳）、新加坡、华东1（杭州）、华南2（河源）、西南1（成都）、华北3（张家口）、德国（法兰克福）、马来西亚（吉隆坡）、英国（伦敦）、华北1（青岛）、印度尼西亚（雅加达）、华北5（呼和浩特） 、印度（孟买）、华南3（广州）、华北6（乌兰察布）、华东5（南京-本地地域）、日本（东京）、澳大利亚（悉尼） 在菲律宾（马尼拉）、韩国（首尔）、华东6（福州-本地地域）、泰国（曼谷）地域下每个地域最多支持为8个VBR实例自动分配源IP地址。 无论您选择哪种配置方式，健康检查配置完成后，云企业网均会向VBR实例传播一条目标网段为源IP地址，子网掩码为32位的路由条目。 如果VBR实例和本地数据中心之间运行BGP动态路由协议，则当前路由条目会通过BGP动态路由协议被传播至本地数据中心。
   目标IP	目标IP地址为VBR实例客户侧IP地址。
   发包时间间隔（秒）	指定健康检查发送连续探测报文的时间间隔。单位：秒。 取值范围：2~3。默认值：2。
   探测报文个数（个）	指定健康检查发送连续探测报文的个数。单位：个。 取值范围：3~8。默认值：8。
   切换路由	是否开启健康检查的路由切换功能。 系统默认选择开启本功能。健康检查探测到物理专线链路故障时，如果云企业网实例中存在冗余的路由，健康检查则会立刻触发路由切换使用可用链路。 若您关闭本功能，健康检查仅执行链路探测功能。若健康检查探测到物理专线链路故障，则不会触发路由切换。 警告 若您选择关闭本功能，请确保您有其他方式保证链路的冗余性，否则当物理专线链路故障后，会导致网络中断。

步骤五：配置本地IDC侧路由及健康检查

您需要在本地IDC侧完成配置路由、健康检查以及健康检查和路由联动，实现冗余专线接入。

1. 配置本地IDC路由。

   以下示例仅供参考，不同厂商的不同设备可能会不同。

   ip route 192.168.0.0 255.255.0.0 10.0.0.1

2. 配置本地IDC健康检查。

   您可以通过双向转发检测BFD（Bidirectional Forwarding Detection）或者网络质量分析NQA（Network Quality Analyzer）方式检测本地IDC到VBR的路由，具体配置命令，请咨询设备厂商。推荐使用BFD方式，支持毫秒级检测。

3. 配置健康检查和路由联动。

   不同厂商的不同设备可能会有所不同，请咨询设备厂商，根据实际进行配置。

   路由配置完成后，本地IDC与VPC之间的私网通信链路（ 本地IDC→物理专线→边界路由器→专有网络）搭建完成。

步骤六：测试连通性

您可以通过ping命令，测试本地IDC到云上VBR和VPC的通信是否正常。

1. 在本地IDC中的一台服务器上打开命令行窗口。

2. 执行ping 10.0.0.1命令，检查本地IDC与云上VBR实例是否连通。

   如果能接收到回复报文，表示本地IDC与云上VBR连接成功。

3. 执行ping 192.168.0.10命令，检查本地IDC与VPC是否连通。

   如果能接收到回复报文，表示本地IDC与VPC连接成功。

相关文档

• 本地IDC与VPC无法连通时的故障排查方法，请参见故障排查。

• 网络互通后，您可以测试物理专线速率，以确保满足业务需求。具体操作，请参见物理专线网络性能测试方法。

• 物理专线施工常见问题的解决方法，请参见专线施工类。

• 物理专线连接常见问题的解决方法，请参见专线连接类。