组合使用静态和BGP动态路由实现物理专线私网流量加密传输

本文介绍在边界路由器VBR（Virtual border router）使用静态路由、私网IPsec-VPN连接使用BGP动态路由的场景下如何实现物理专线私网流量加密传输。

背景信息

开始操作前，建议您先了解加密物理专线私网流量原理。更多信息，请参见加密物理专线私网流量。
如果本地网关设备支持BGP动态路由协议，推荐VBR实例和私网IPsec-VPN连接均使用BGP动态路由协议实现物理专线私网流量加密传输。相关教程，请参见使用BGP动态路由方式实现物理专线私网流量加密传输。

场景示例

本文以下图场景为例。某企业在杭州拥有一个本地数据中心IDC（Internet Data Center），在阿里云华东1（杭州）地域拥有一个VPC，VPC中使用云服务器ECS（Elastic Compute Service）部署了相关服务。因业务发展本地IDC需要连接上云，基于一些安全合规要求企业需要使用物理专线和转发路由器实现本地IDC与VPC间的私网互通，同时为了降低数据泄露风险，防止企业机密数据被内部或外部人员窃取、篡改，企业希望通过物理专线传输的流量均加密后再传输至阿里云。

在本地IDC与VPC实现私网互通的情况下，企业可以在本地网关设备与转发路由器之间建立私网IPsec-VPN连接，私网IPsec-VPN连接可以加密经过物理专线的流量，满足企业网络安全的高要求。

网络规划

重要

如果您需要自行为本地IDC和相关网络实例规划网段，需确保要互通的网段之间没有重叠。

路由机制说明

为实现物理专线私网流量加密传输，需要确保本地IDC和VPC之间的互访流量优先通过私网IPsec-VPN连接传输，而非通过物理专线传输。本文通过控制路由来实现该目标：

流量从VPC去往本地IDC：
转发路由器可以分别通过VBR实例和私网IPsec-VPN连接学习到本地IDC的路由，根据转发路由器路由优先级，默认通过VBR实例学习到的路由更优，此机制会导致VPC去往本地IDC的流量优先通过物理专线传输，无法实现加密。
本文通过添加不同子网掩码的本地IDC网段来规避该问题。在VBR实例中添加本地IDC网段时需要添加大网段（即子网掩码较短）；本地网关设备向私网IPsec-VPN连接宣告本地IDC网段时，需要宣告小网段（即子网掩码较长）。
例如本地IDC的网段为192.168.0.0/16，本地IDC中与VPC互通的客户端网段为192.168.20.0/24，则在VBR实例中添加本地IDC网段192.168.0.0/16，本地网关设备向私网IPsec-VPN连接宣告具体的客户端网段192.168.20.0/24。这样可以确保在转发路由器中通过私网IPsec-VPN连接学习到路由更优，VPC访问客户端的流量优先通过私网IPsec-VPN连接加密传输。
流量从本地IDC去往VPC：
本地IDC通过私网IPsec-VPN连接可以自动学习到VPC实例的路由。同时，在本地IDC中添加VPC实例的静态路由，下一跳指向物理专线，并降低静态路由的优先级，确保通过私网IPsec-VPN连接学习到的VPC实例的路由更优，使本地IDC去往VPC的流量优先通过私网IPsec-VPN连接加密传输。

说明

当前路由机制也可以确保私网IPsec-VPN连接中断后，本地IDC与VPC依旧可以通过物理专线和转发路由器实现私网互通，只是流量不再被加密。

基础网段规划

配置目标	网段规划	IP地址
VPC	主网段：172.16.0.0/16 交换机1，位于可用区H：172.16.10.0/24 交换机2，位于可用区H：：172.16.20.0/24 交换机3，位于可用区J：172.16.30.0/24	ECS1：172.16.10.225 ECS2：172.16.10.226
VBR	10.0.0.0/30	VLAN ID：0 阿里云侧IPv4互联IP：10.0.0.1/30 客户侧IPv4互联IP：10.0.0.2/30 本文中客户侧指本地网关设备。
本地IDC	客户端网段：192.168.20.0/24	客户端地址：192.168.20.6
本地IDC	本地网关设备网段： 10.0.0.0/30 192.168.10.0/24 192.168.40.0/24	VPN IP地址1：192.168.10.136 VPN IP地址2：192.168.40.159 VPN IP地址是指本地网关设备上将与转发路由器建立私网IPsec-VPN连接的接口的IP地址。与物理专线连接的接口IP地址：10.0.0.2/30 自治系统号：65530

BGP网段规划

BGP隧道网段需要是在169.254.0.0/16内的子网掩码为30的网段，且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。一个IPsec连接下两条隧道的隧道网段不能相同。

资源	隧道	BGP隧道网段	BGP IP地址	BGP AS号（本端自治系统号）
IPsec连接实例	隧道1	169.254.10.0/30	169.254.10.1	65534
IPsec连接实例	隧道2	169.254.20.0/30	169.254.20.1	65534
本地网关设备	隧道1	169.254.10.0/30	169.254.10.2	65530
本地网关设备	隧道2	169.254.20.0/30	169.254.20.2	65530

准备工作

您已经在阿里云华东1（杭州）地域创建了VPC并使用ECS部署了相关服务。具体操作，请参见搭建IPv4专有网络。
请检查本地网关设备，确保本地网关设备支持标准的IKEv1和IKEv2协议，以便和阿里云建立私网IPsec-VPN连接。关于本地网关设备是否支持标准的IKEv1和IKEv2协议，请咨询本地网关设备厂商。

操作步骤

步骤一：通过物理专线和转发路由器实现IDC与VPC私网互通

第1步：部署物理专线

部署物理专线将本地IDC连接至阿里云。

创建物理专线。
在华东1（杭州）地域申请一条物理专线。具体操作，请参见申请经典模式或共享专线接入流程。本文选择创建独享专线连接。

创建VBR实例。

登录高速通道管理控制台。
在左侧导航栏，单击边界路由器（VBR）。
在顶部菜单栏，选择华东1（杭州）地域。
VBR实例的地域需和物理专线所属地域相同。
在边界路由器（VBR）页面，单击创建边界路由器。

在创建边界路由器面板，根据以下信息进行配置，然后单击确定。

以下仅列举本文强相关的配置项，其余配置项保持默认状态。更多信息，请参见创建和管理边界路由器。

配置项	说明
名称	本文输入`VBR`。
物理专线接口	本文选择独享专线类型，然后选择已创建的物理专线接口。
VLAN ID	本文输入`0`。
阿里云侧IPv4互联IP	本文输入`10.0.0.1`。
客户侧IPv4互联IP	本文输入`10.0.0.2`。
IPv4子网掩码	本文输入`255.255.255.252`。

在VBR实例中添加去往本地IDC的路由。
1. 在边界路由器（VBR）页面，单击VBR实例ID。
2. 单击路由条目页签，在自定义路由条目页签下单击添加路由条目。
3. 在添加路由条目面板，根据以下信息进行配置，然后单击确定。
  配置项
  路由条目
  下一跳类型
  选择物理专线。
  目标网段
  输入本地IDC的网段192.168.0.0/16。
  下一跳
  选择已创建的物理专线。
  重要
  在VBR实例中添加本地IDC路由时，建议添加大网段，以确保后续转发路由器通过私网IPsec-VPN连接学习的本地IDC路由比当前路由更明细，路由优先级更高。

在本地网关设备中添加去往VPC的路由。

说明

本文以思科防火墙ASA（软件版本9.19.1）作为配置示例。不同软件版本的配置命令可能会有所差异，操作时请根据您的实际环境查询对应文档或咨询相关厂商。更多本地网关设备配置示例，请参见本地网关设备配置示例。

以下内容包含的第三方产品信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响，不做任何暗示或其他形式的承诺。

ciscoasa> enable
Password: ********             #输入进入enable模式的密码。
ciscoasa# configure terminal   #进入配置模式。
ciscoasa(config)#   

#思科防火墙已完成了接口配置，并已开启接口。以下为本文的接口配置示例。
ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/0                #连接VBR的接口。
 nameif VBR                                 #GigabitEthernet0/0接口名称。
 security-level 0
 ip address 10.0.0.1 255.255.255.252        #GigabitEthernet0/0接口配置的IP地址。
!
interface GigabitEthernet0/2                #连接本地IDC的接口。
 nameif private                             #GigabitEthernet0/2接口名称。
 security-level 100                         #指定连接本地IDC的接口的security-level低于对接阿里云的接口。
 ip address 192.168.50.215 255.255.255.0    #GigabitEthernet0/2接口配置的IP地址。
!
interface GigabitEthernet0/3                #对接私网IPsec-VPN隧道1的接口
 nameif VPN-IP1                             #GigabitEthernet0/3接口名称。
 security-level 0
 ip address 192.168.10.136 255.255.255.0    #GigabitEthernet0/3接口配置的私网IP地址。
!
interface GigabitEthernet0/4                #对接私网IPsec-VPN隧道2的接口
 nameif VPN-IP2                             #GigabitEthernet0/4接口名称。
 security-level 0
 ip address 192.168.40.159  255.255.255.0   #GigabitEthernet0/4接口配置的私网IP地址。
!

#配置去往阿里云VPC（172.16.0.0/16）的静态路由。
route VBR 172.16.0.0 255.255.0.0 10.0.0.2     
   
#配置去往本地IDC客户端的路由。
route private 192.168.0.0 255.255.0.0 192.168.50.216

第2步：配置转发路由器

本地IDC通过物理专线连接至阿里云后，开始配置转发路由器，通过转发路由器实现本地IDC与VPC间的私网互通。

创建云企业网实例。
在创建云企业网实例对话框选择单独创建，然后自定义云企业网实例名称，其余配置项保持默认状态。
创建转发路由器实例。
在华东1（杭州）地域创建一个转发路由器实例，用于连接VBR实例和VPC实例。其余配置项保持默认状态。

创建VPC连接。

在云企业网实例详情页面的基本信息 > 转发路由器页签，找到华东1（杭州）地域的转发路由器实例，在操作列单击创建网络实例连接。

在连接网络实例页面，根据以下信息进行配置，然后单击确定创建，将VPC实例连接至转发路由器。

以下仅列举本文强相关的配置项，其余配置项保持默认状态。更多信息，请参见使用企业版转发路由器创建VPC连接。

配置项	说明
实例类型	选择专有网络（VPC）。
地域	选择华东1（杭州）。
连接名称	自定义名称为`VPC-Attachment`。
网络实例	选择VPC。
交换机	在转发路由器支持的可用区选择交换机实例。本文选择交换机2和交换机3。在支持多可用区的地域，需在至少2个可用区中各选择一个交换机实例。推荐使用未承载业务的交换机创建VPC连接。
高级配置	使用默认路由配置，即开启三种高级配置。

单击继续创建连接，返回连接网络实例页面。

创建VBR连接。

在连接网络实例页面，根据以下信息进行配置，然后单击确定创建，将VBR实例连接至转发路由器。以下仅列举本文强相关的配置项，其余配置项保持默认状态。更多信息，请参见使用企业版转发路由器创建VBR连接。

配置项	配置项说明
实例类型	选择边界路由器（VBR）。
地域	选择华东1（杭州）。
连接名称	自定义名称为`VBR-Attachment`。
网络实例	选择VBR。
高级配置	使用默认路由配置，即开启三种高级配置。

第3步：测试私网连通性

完成上述配置后，本地IDC与VPC间已经实现私网互通，您可以通过以下步骤测试私网连通性。

说明

请确保您已经了解VPC中的ECS实例所应用的安全组规则以及本地IDC中客户端所应用的访问控制规则，并确保ECS实例的安全组规则以及本地IDC客户端的访问控制规则允许本地IDC客户端与VPC中的ECS实例互通。具体操作，请参见查询安全组规则和添加安全组规则。

本步骤中本地IDC的访问控制规则需放行ICMP协议以及VPC网段，ECS实例安全组规则需放行ICMP协议以及本地IDC网段。

登录VPC中的ECS1实例。具体操作，请参见ECS远程连接操作指南。
执行ping命令，访问本地IDC网段下的任意一台客户端。
```
ping <本地IDC客户端IP地址>
```
如上图所示，如果ECS1可以收到响应报文，则表示本地IDC与VPC间已实现私网互通。

步骤二：加密物理专线私网流量

本地IDC与VPC实现私网互通后，您可以在本地网关设备与转发路由器间建立私网网络类型的IPsec-VPN连接，然后通过路由配置，引导本地IDC与VPC之间的流量通过私网IPsec-VPN连接进行传输，实现加密物理专线私网流量。

第1步：建立私网IPsec-VPN连接

为转发路由器添加转发路由器地址段10.10.10.0/24。具体操作，请参见创建转发路由器后添加地址段。
转发路由器地址段用于为IPsec连接分配网关IP地址，以便建立私网IPsec-VPN连接。转发路由器地址段不能与本地IDC、VPC中要参与网络互通的网段冲突。
创建2个用户网关，将本地网关设备的2个VPN IP地址和BGP AS号注册至阿里云。
1. 登录VPN网关管理控制台。
2. 在左侧导航栏，选择网间互联 > VPN > 用户网关。
3. 在用户网关页面，单击创建用户网关。
4. 在创建用户网关面板，根据以下信息进行配置，然后单击确定。
  以下仅列举本文强相关的配置项，其余配置项保持默认状态。更多信息，请参见创建和管理用户网关。
  - 用户网关1
    - 名称：定义用户网关名称为Customer-Gateway1。
    - IP地址：输入本地网关设备的VPN IP地址1192.168.10.136。
    - 自治系统号：输入本地网关设备的BGP AS号65530。
  - 用户网关2
    - 名称：定义用户网关名称为Customer-Gateway2。
    - IP地址：输入本地网关设备的VPN IP地址2192.168.40.159。
    - 自治系统号：输入本地网关设备的BGP AS号65530。

创建IPsec连接。

在左侧导航栏，选择网间互联 > VPN > IPsec连接。
在IPsec连接页面，单击绑定云企业网。

在创建IPsec连接(CEN)页面，根据以下信息配置IPsec连接，然后单击确定。

以下内容仅列举本文强相关的配置项，其余配置项保持默认状态。更多信息，请参见创建和管理IPsec连接（双隧道模式）。

配置项	IPsec连接
IPsec连接名称	定义为`IPsec连接`。
地域	选择待绑定的转发路由器所属的地域。 IPsec连接创建完成后所属地域与转发路由器地域相同。
网关类型	选择私网。
绑定云企业网	选择本账号绑定。
云企业网实例ID	选择已创建的云企业网实例。系统将会一并展示云企业网实例在该地域创建的转发路由器实例ID和转发路由器地址段，IPsec连接将会被绑定至该转发路由器。
路由模式	本文使用目的路由模式，后续通过路由控制传输的流量。
启用BGP	开启BGP功能。
本端自治系统号	输入IPsec连接的BGP AS号`65534`。
Tunnel 1
用户网关	关联`Customer-Gateway1`。
预共享密钥	`fddsFF111****`。重要 IPsec连接及其对端网关设备配置的预共享密钥需一致，否则系统无法正常建立IPsec-VPN连接。
加密配置	除以下参数外，其余配置项保持默认值。 IKE配置的DH分组选择group14。 IPsec配置的DH分组选择group14。说明您需要根据本地网关设备的支持情况选择加密配置参数，确保IPsec连接和本地网关设备的加密配置保持一致。
BGP配置	隧道网段：输入`169.254.10.0/30`。本端BGP地址：输入`169.254.10.1`。
Tunnel 2
用户网关	关联`Customer-Gateway2`。
预共享密钥	`fddsFF222****`。
加密配置	除以下参数外，其余配置项保持默认值。 IKE配置的DH分组选择group14。 IPsec配置的DH分组选择group14。说明您需要根据本地网关设备的支持情况选择加密配置参数，确保IPsec连接和本地网关设备的加密配置保持一致。
BGP配置	隧道网段：输入`169.254.20.0/30`。本端BGP地址：输入`169.254.20.1`。
高级配置	使用默认路由配置，即开启所有高级配置选项。

IPsec连接创建完成后，您可以在IPsec连接详情页面查看IPsec连接的网关IP地址，IPsec连接将使用这2个网关IP地址与本地网关设备建立私网IPsec-VPN连接。 IPsec-BGP

返回IPsec连接页面，找到创建的IPsec连接，在操作列单击生成对端配置。
对端配置是指需要在IPsec连接对端添加的VPN配置。本文场景中您需要将这些配置添加在本地网关设备上。
在IPsec连接配置对话框，复制配置并保存在您的本地，用于后续配置本地网关设备。

配置本地网关设备。

创建IPsec连接后，您需要在本地网关设备上添加VPN配置，使本地网关设备与阿里云之间成功建立私网IPsec-VPN连接。

单击查看本地网关设备配置。

登录思科防火墙的命令行窗口并进入配置模式。

ciscoasa> enable
Password: ********             #输入进入enable模式的密码。
ciscoasa# configure terminal   #进入配置模式。
ciscoasa(config)#

查看接口配置和路由配置。

思科防火墙已完成了接口配置，并已开启接口。以下为本文的接口配置示例。

ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/3               #对接私网IPsec-VPN隧道1的接口
 nameif VPN-IP1                            #GigabitEthernet0/3接口名称。
 security-level 0
 ip address 192.168.10.136 255.255.255.0   #GigabitEthernet0/3接口配置的私网IP地址。
!
interface GigabitEthernet0/4               #对接私网IPsec-VPN隧道2的接口
 nameif VPN-IP2                            #GigabitEthernet0/4接口名称。
 security-level 0
 ip address 192.168.40.159  255.255.255.0  #GigabitEthernet0/4接口配置的私网IP地址。
!

#配置访问转发路由器地址段（IPsec连接网关IP地址）的路由，以便建立私网IPsec-VPN连接。
route VBR 10.10.10.49 255.255.255.255 10.0.0.2   #配置访问阿里云侧隧道1私网IP地址的路由
route VBR 10.10.10.50 255.255.255.255 10.0.0.2   #配置访问阿里云侧隧道2私网IP地址的路由

为接口开启IKEv2功能。

crypto ikev2 enable VPN-IP1
crypto ikev2 enable VPN-IP2

创建IKEv2 Policy，指定IKE阶段认证算法、加密算法、DH分组和SA生存周期，需和阿里云侧保持一致。
重要
阿里云侧配置IPsec连接时，IKE配置阶段的加密算法、认证算法和DH分组均只支持指定一个值，不支持指定多个值。建议在思科防火墙中IKE配置阶段的加密算法、认证算法和DH分组也均只指定一个值，该值需与阿里云侧保持一致。
```
crypto ikev2 policy 10     
 encryption aes             #指定加密算法。
 integrity sha              #指定认证算法。
 group 14                   #指定DH分组。
 prf sha                    #prf和integrity保持一致，阿里云侧prf与认证算法默认保持一致。
 lifetime seconds 86400     #指定SA生存周期。
```

创建IPsec proposal和profile，指定思科防火墙侧的IPsec阶段加密算法、认证算法、DH分组和SA生存周期，需和阿里云侧保持一致。

重要

阿里云侧配置IPsec连接时，IPsec配置阶段的加密算法、认证算法和DH分组均只支持指定一个值，不支持指定多个值。建议在思科防火墙中IPsec配置阶段的加密算法、认证算法和DH分组也均只指定一个值，该值需与阿里云侧保持一致。

crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    #创建ipsec proposal。
 protocol esp encryption aes                         #指定加密算法，协议使用ESP，阿里云侧固定使用ESP协议。
 protocol esp integrity sha-1                        #指定认证算法，协议使用ESP，阿里云侧固定使用ESP协议。
crypto ipsec profile ALIYUN-PROFILE                  
 set ikev2 ipsec-proposal ALIYUN-PROPOSAL            #创建ipsec profile并应用已创建的proposal。 
 set ikev2 local-identity address                    #指定本端ID使用IP地址格式，与阿里云侧RemoteId格式保持一致。
 set pfs group14                                     #指定pfs和DH分组。
 set security-association lifetime seconds 86400     #指定基于时间的SA生存周期。
 set security-association lifetime kilobytes unlimited #关闭基于流量的SA生存周期。

创建tunnel group，指定隧道的预共享密钥，需和阿里云侧保持一致。

tunnel-group 10.10.10.49 type ipsec-l2l                    #指定隧道1的封装模式为l2l。
tunnel-group 10.10.10.49 ipsec-attributes             
 ikev2 remote-authentication pre-shared-key fddsFF111****  #指定隧道1对端的预共享密钥，即阿里云侧的预共享密钥。
 ikev2 local-authentication pre-shared-key fddsFF111****   #指定隧道1本段的预共享密钥，需和阿里云侧的保持一致。
!
tunnel-group 10.10.10.50 type ipsec-l2l                    #指定隧道2的封装模式为l2l。
tunnel-group 10.10.10.50 ipsec-attributes
 ikev2 remote-authentication pre-shared-key fddsFF222****  #指定隧道2对端的预共享密钥，即阿里云侧的预共享密钥。
 ikev2 local-authentication pre-shared-key fddsFF222****   #指定隧道2本段的预共享密钥，需和阿里云侧的保持一致。
!

创建tunnel接口。

interface Tunnel1                                  #创建隧道1的接口。
 nameif ALIYUN1
 ip address 169.254.10.2 255.255.255.252           #指定接口的IP地址。
 tunnel source interface VPN-IP1                   #指定隧道1源地址为接口GigabitEthernet0/3。
 tunnel destination 10.10.10.49                    #指定隧道1目的地址为阿里云侧隧道1的私网IP地址。
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ALIYUN-PROFILE    #指定隧道1应用ipsec profile ALIYUN-PROFILE。
 no shutdown                                       #开启隧道1接口。
!
interface Tunnel2                                  #创建隧道2的接口。
 nameif ALIYUN2                
 ip address 169.254.20.2 255.255.255.252           #指定接口的IP地址。
 tunnel source interface VPN-IP2                   #指定隧道2源地址为接口GigabitEthernet0/4。
 tunnel destination 10.10.10.50                    #指定隧道2目的地址为阿里云侧隧道2的私网IP地址。
 tunnel mode ipsec ipv4                            
 tunnel protection ipsec profile ALIYUN-PROFILE    #指定隧道2应用ipsec profile ALIYUN-PROFILE。
 no shutdown                                       #开启隧道2接口。
!

完成上述配置后，本地网关设备已经可以与阿里云成功建立私网IPsec-VPN连接，但BGP邻居尚未建立成功。您可以在阿里云IPsec连接实例详情页面查看私网IPsec-VPN连接状态。如果您的环境中未成功建立私网IPsec-VPN连接，请尝试自助排查问题。具体操作，请参见IPsec-VPN自助诊断。仅IPsec-VPN

第2步：配置路由

私网IPsec-VPN连接创建完成后，本地IDC与VPC之间的流量依旧是通过物理专线传输，还未进行加密。需要添加相关路由使本地IDC与VPC之间的流量通过私网IPsec-VPN连接进行传输。

在本地网关设备上添加BGP配置，使本地网关设备与IPsec连接成功建立BGP邻居关系，本地IDC和VPC可通过BGP动态路由协议自动学习对方的路由。

#添加BGP配置，使本地网关设备与IPsec连接建立BGP邻居关系
router bgp 65530
 address-family ipv4 unicast
  neighbor 169.254.10.1 remote-as 65534       #指定BGP邻居，即阿里云侧隧道1的IP地址。
  neighbor 169.254.10.1 activate              #激活BGP邻居。
  neighbor 169.254.20.1 remote-as 65534       #指定BGP邻居，即阿里云侧隧道2的IP地址。
  neighbor 169.254.20.1 activate              #激活BGP邻居。
  network 192.168.10.0 mask 255.255.255.0     #宣告本地IDC的网段，该网段需比在VBR实例中添加的本地IDC网段更明细。
  network 192.168.20.0 mask 255.255.255.0
  network 192.168.40.0 mask 255.255.255.0 
  maximum-paths 5                             #提升BGP ECMP等价路由条目数量。
 exit-address-family
 
#修改去往阿里云VPC（172.16.0.0/16）的静态路由的优先级，使静态路由的优先级低于BGP路由，BGP路由的metric值默认是20。
route VBR 172.16.0.0 255.255.0.0 10.0.0.2 30

为转发路由器添加自定义路由条目。

上述路由配置完成后，私网IPsec-VPN连接会中断，需要在转发路由器路由表中添加去往本地网关设备VPN IP地址的明细路由，下一跳指向VBR实例，重新建立私网IPsec-VPN连接。

保持在转发路由器路由表页签，单击路由条目页签，然后单击创建路由条目。

在添加路由条目对话框，配置路由条目信息，然后单击确定。

配置项	网段1	网段2
目的地址CIDR	输入本地网关设备VPN IP地址1`192.168.10.136/32`。	输入本地网关设备VPN IP地址2`192.168.40.159/32`。
是否为黑洞路由	选择否。
下一跳连接	选择VBR-Attachment。

在转发路由器路由表下添加路由策略，拒绝私网IPsec-VPN连接向本地IDC传播本地网关设备VPN IP地址的路由，防止路由环路。
1. 登录云企业网管理控制台。
2. 在云企业网实例页面，找到已创建的云企业网实例，单击目标实例ID。
3. 在云企业网实例详情页面，单击华东1（杭州）地域的转发路由器ID。
4. 在转发路由器详情页面，单击转发路由器路由表页签，然后单击路由策略。
5. 在路由策略页签，单击添加路由策略。根据以下信息配置路由策略，然后单击确定。
  以下内容仅列举本文强相关的配置项，其余配置项保持默认状态。更多信息，请参见路由策略。
  - 策略优先级：本文输入40。
  - 关联路由表：保持默认值。
  - 生效方向：选择出地域网关。
  - 匹配条件：
    - 目的实例ID列表：IPsec连接实例ID。
    - 路由前缀：选择精确匹配，输入本地网关设备VPN IP地址192.168.10.136/32、192.168.40.159/32。
  - 策略行为：选择拒绝。

步骤三：验证加密效果

完成上述配置后，如果您可以在IPsec连接详情页面查看到流量传输监控数据，则证明物理专线的私网流量已经过加密处理。

登录VPC中的ECS1实例。执行ping命令，持续访问本地IDC网段下的任意一台客户端。
```
ping <本地IDC客户端IP地址> -s 1000 -c 10000
```
- -s 1000：指定发送1000字节的数据包。
- -c 10000：持续发送10000个请求包。
登录VPN网关管理控制台。
在顶部状态栏处，选择华东1（杭州）地域。
在左侧导航栏，选择网间互联 > VPN > IPsec连接。
在IPsec连接页面，找到已创建的IPsec连接，单击IPsec连接ID。
在IPsec连接详情页面查看流量传输监控数据。

配置项	路由条目
下一跳类型	选择物理专线。
目标网段	输入本地IDC的网段`192.168.0.0/16`。
下一跳	选择已创建的物理专线。