结合VPN连接或专线连接实现不同VPC与IDC之间的独立互通

场景介绍

中转路由器配合VPN连接或专线连接服务使用，能够灵活实现不同VPC与本地数据中心之间的互通与隔离。
本文以跨地域场景为例，为您介绍如何通过中转路由器实现不同VPC与跨地域IDC之间的独立互通，具体组网如下图所示。

数据规划

进行配置前，您需要提前规划组网图中各网络资源的网段、路由等数据信息，如下图所示。

• 私有网络

  所属地域	私有网络	VPC网段	子网信息			云服务器私网IP
  			子网名称	所属可用区	子网网段
  华南1（广州）	vpc01	192.168.0.0/20	subnet01	可用区A	192.168.0.0/24	192.168.0.10
  	vpc02	192.168.16.0/20	subnet01	可用区A	192.168.16.0/24	192.168.16.10

• VPN连接

  所属地域	IPsec连接	用户网关信息		本端网段	对端网段	预共享密钥
  		名称	IP地址
  华北2（北京）	ipsec01	cgw01	12.XX.XX.10 该IP地址为本地IDC中服务器的公网IP地址。	192.168.0.0/24 192.168.16.0/24 该网段配置为私有网络的子网网段。	172.16.0.0/24 该网段配置为本地IDC的子网网段。	test@123

• 专线连接

  所属地域	专线网关	物理专线	虚拟接口名称	本/对端网关互联IP	路由信息
  					类型	BGP ASN	BGP密钥
  华北2（北京）	dcg01	DAS123_port308_conn	vif01	本端：10.0.0.1/30 对端：10.0.0.2/30	BGP	49600	E0g5****8go1

• 中转路由器
  路由规划如上图所示，详细规划说明请参见TR路由配置规划。

• 本地IDC

  所属地域	子网段	服务器信息
  		名称	私网IP地址	公网IP地址
  华北2（北京）	172.16.0.0/24	server01	172.16.0.10	12.XX.XX.10

前提条件

• 已完成所需VPC及子网的创建，详细步骤请参见创建私有网络。
• 已完成各VPC中云服务器实例的创建，详细步骤请参见购买云服务器实例。
• 已根据连通本地IDC的服务类型完成以下资源配置，配置数据请参考数据规划。
  • VPN连接：请参考创建IPsec连接、创建用户网关完成本场景所需的IPsec连接ipsec01及用户网关cgw01的创建。
  • 专线连接：请参考配置专线连接中的前3步完成物理专线、专线网关及虚拟接口的创建，并参考配置本地路由完成本地IDC侧的私网路由配置。
• 已获取本地IDC中服务器的IP地址，并确保服务器正常可用。

配置步骤

步骤一：配置两个地域中的TR实例

配置华南1（广州）地域中的TR实例

本步骤中，您需要创建 1 个TR实例、1 个TR自定义路由表和 2 条网络实例连接。

• TR实例作为华南1（广州）地域中中转路由器服务运行的载体。本文中示例名称为tr01，系统自动创建的TR系统路由表为tr01-rtb-sys。
• TR自定义路由表与TR系统路由表tr01-rtb-sys一起作为该中转路由器转发流量的依据。本文中示例名称为：tr01-rtb-set。
  • TR系统路由表tr01-rtb-sys用于转发本地域中来自vpc01、vpc02的访问流量。
  • TR自定义路由表tr01-rtb-set用于转发来自跨地域网络实例的访问流量。
• 网络实例连接用于连接该TR实例和同地域中的 2 个VPC实例vpc01和vpc02。本文中示例名称分别为：attach-vpc01、attach-vpc02。

详细配置步骤请参考配置华南1（广州）地域中的TR实例。

本步骤配置完成后，TR路由表tr01-rtb-sys中暂无路由条目，TR路由表tr01-rtb-set中的路由条目如下图所示。

配置华北2（北京）地域中的TR实例

一、创建TR实例

1. 返回TR实例列表页面，在顶部导航栏选择目标项目和地域。
2. 单击“创建中转路由器”按钮，进入创建中转路由器页面，参考下表配置TR实例相关参数。
   

   参数	说明	取值示例
   地域	选择待创建TR实例所属的地域。	华北2（北京）
   名称	输入待创建TR实例的名称。	tr02
   项目	选择待创建TR实例所属的项目。	default
   协议	勾选“我已阅读并同意《产品和服务协议》《中转路由器服务条款》《中转路由器服务等级协议》”。	勾选

3. 单击“确定”按钮，完成TR实例的创建。

   说明

   TR实例创建成功后，系统自动创建了系统路由表，请记录该系统路由表的名称。下文以tr02-rtb-sys为例进行介绍。

二、创建网络实例连接

1. 返回中转路由器控制台，单击目标TR实例的名称，进入实例详情页面。

2. 在“基本信息”下方区域，选择“同地域网络实例连接”页签。

3. 单击“创建网络实例连接”按钮，进入创建网络实例连接页面，参考下表配置网络实例连接的相关信息。

   • VPN类型
     

     参数		说明	取值示例
     基本信息
     中转路由器		默认为您选定的中转路由器实例，无需手动配置。	tr02
     地域		默认与中转路由器实例的地域相同，无需手动配置。	华北2（北京）
     名称		待创建网络实例连接的名称。	attach-vpn
     网络实例
     网络实例类型		选择待创建网络实例连接的类型。	VPN
     IPsec连接 （创建新的IPsec连接）	地域	默认与中转路由器实例的地域相同，无需手动配置。	华北2（北京）
     	IPsec名称	输入待创建IPsec连接的名称。	ipsec01
     	用户网关	选择已创建的用户网关。	cgw01
     	路由模式	选择路由模式。	感兴趣流
     	本端网段	本文中配置为VPC子网段。	192.168.0.0/24，192.168.16.0/24
     	对端网段	本文中配置为IDC子网段。	172.16.0.0/24
     	立即发起协商	选择IPsec连接配置完成后是否立即生效。	是
     	预共享密钥	输入用于双方VPN设备IKE协商的密钥。	test@123
     	确认密钥	请再次输入预共享密钥。	test@123
     	项目	选择待创建TR实例所属的项目。	default
     可用区		选择用于提供VPN网关服务的可用区。	可用区A
     路由配置
     关联转发		开启关联转发表示来自网络实例的流量将根据TR路由表tr02-rtb-sys进行转发。 由于VPN类型网络实例连接不支持路由学习，因此后续还需要通过静态路由为TR路由表配置目标网段。	开启，tr02-rtb-sys

   • 专线网关类型
     

     参数	说明	取值示例
     基本信息
     中转路由器	默认为您选定的中转路由器实例，无需手动配置。	tr02
     地域	默认与中转路由器实例的地域相同，无需手动配置。	华北2（北京）
     名称	待创建网络实例连接的名称。	attach-专线
     网络实例
     网络实例类型	选择待创建网络实例连接的类型。	专线网关
     专线网关	选择待连接的专线网关实例。	dcg01
     路由配置
     关联转发	开启关联转发表示来自网络实例的流量将根据TR路由表tr02-rtb-sys进行转发。 后续还需要通过路由学习或静态路由为TR路由表配置目标网段。	开启，tr02-rtb-sys
     路由学习	开启路由学习表示该TR路由表会自动学习已选择网络实例的路由条目，在TR路由表tr02-rtb-sys中自动生成目标网段为IDC子网段，下一跳为该网络实例连接（attach-专线）的路由条目。	开启，tr02-rtb-sys

4. 单击“确定”按钮，完成操作。

   说明

   VPN类型的网络实例连接创建成功后，请完成本地IDC中服务器的VPN配置，配置数据请与IPsec连接保持一致，可参考数据规划。

本步骤配置完成后，根据连通IDC的网络资源类型，TR路由表tr02-rtb-sys中的路由条目有所不同。

• 如通过VPN连接连通IDC，则TR路由表tr02-rtb-sys中暂无路由条目。
• 如通过专线网关连通IDC，则TR路由表tr02-rtb-sys中的路由条目如下图所示。
  

步骤二：配置跨地域带宽

一、创建带宽包
本步骤中，您需要创建一个带宽包，用于为跨地域连接提供带宽资源。本文中示例名称为：trbp01。详细操作步骤请参见创建带宽包。

二、创建跨地域连接
本步骤中，您需要创建一个跨地域连接，用于将华南1（广州）地域的TR实例和华北2（北京）地域的TR实例连接起来。详细操作步骤请参见创建跨地域连接。
本文中示例值如下：

• 本端TR：华南1（广州）地域的TR实例，名称为tr01，关联转发的路由表为tr01-rtb-set。
• 对端TR：华北2（北京）地域的TR实例，名称为tr02，关联转发的路由表为tr02-rtb-sys。
• 跨地域连接：名称为attach-跨地域。

步骤三：配置TR跨地域路由

为华南1（广州）地域的TR路由表添加路由条目

1. 在本端TR实例详情页面的“基本信息”下方区域，选择“路由表”页签。
2. 单击路由表名称tr01-rtb-sys，进入TR路由表详情页面。
3. 单击“创建静态路由”按钮，配置以下路由条目。

   序号	路由名称	目标网段	黑洞路由	下一跳类型	下一跳
   1	访问华北2（北京）地域本地IDC网段的流量转发策略	172.16.0.0/24	否	跨地域连接	attach-跨地域

4. 单击“确定”按钮，完成本端TR的静态路由添加。

本步骤配置完成后TR路由表tr01-rtb-sys中的路由条目如下图所示。

为华北2（北京）地域的TR路由表添加路由条目

1. 返回TR实例列表页面，在顶部导航栏选择目标TR实例的项目和地域，此处项目以default为例，地域以华北2（北京）为例。

2. 单击TR实例名称tr02，进入TR实例详情页面。

3. 在“基本信息”下方区域，选择“路由表”页签。

4. 单击系统路由表名称tr02-rtb-sys，进入TR路由表详情页面。

5. 单击“创建静态路由”按钮，配置以下路由条目。

   • VPN类型配置以下静态路由：

     序号	路由名称	目标网段	黑洞路由	下一跳类型	下一跳
     1	访问vpc01子网段的流量转发策略	192.168.0.0/24	否	跨地域连接	attach-跨地域
     2	访问vpc02子网段的流量转发策略	192.168.16.0/24	否	跨地域连接	attach-跨地域
     3	访问本地IDC子网段的流量转发策略	172.16.0.0/24	否	同地域连接	attach-vpn

   • 专线网关类型参考下表依次配置访问vpc01、vpc02子网段的流量转发策略。

     序号	路由名称	目标网段	黑洞路由	下一跳类型	下一跳
     1	访问vpc01子网段的流量转发策略	192.168.0.0/24	否	跨地域连接	attach-跨地域
     2	访问vpc02子网段的流量转发策略	192.168.16.0/24	否	跨地域连接	attach-跨地域

6. 单击“确定”按钮，完成对端TR的路由配置。

本步骤配置完成后，根据连通IDC的网络资源类型，TR路由表tr02-rtb-sys中的路由条目有所不同。

• 如通过VPN连接连通IDC，则TR路由表tr02-rtb-sys中的路由条目如下图所示。
  
• 如通过专线网关连通IDC，则TR路由表tr02-rtb-sys中的路由条目如下图所示。
  

步骤四：配置VPC自定义路由

参考以下步骤分别为vpc01和vpc02的系统路由表中配置自定义路由条目，指定访问本地IDC网段流量的转发策略。

1. 登录路由表控制台。

2. 在顶部导航栏，选择目标VPC所属的项目和地域。

3. 在路由表列表中，通过目标VPC的ID搜索路由表。

4. 单击目标路由表名称，进入路由表详情页面。

5. 在“路由条目”页签，选择“自定义路由”。

6. 单击“添加路由条目”按钮，按照提示配置自定义路由条目。

   参数	说明	取值示例
   目标网段	指定为本地IDC的网段。	172.16.0.0/24
   下一跳类型	选择路由条目的下一跳资源类型，将访问目标网段的流量转发到指定的资源。	中转路由器
   下一跳	指定具体的下一跳资源。	tr01

7. 单击“确定”按钮，完成路由配置。

本步骤配置完成后，VPC路由表中的自定义路由条目如下图所示。

结果验证

1. 登录vpc01中的云服务器实例，详情请参见登录Linux实例或登录Windows实例。
2. 执行命令ping分别连接vpc02和本地IDC中的服务器，验证vpc01与IDC互通、与vpc02不通。
3. 同理，登录云vpc02中的云服务器实例，验证vpc02与本地IDC中的服务器互通。