实现不同VPC与IDC之间的独立互通

本文将介绍如何配置中转路由器实现不同VPC分别与同一个IDC互通，且VPC之间相互隔离的组网需求。

场景介绍

中转路由器配合VPN连接或专线连接服务使用，能够灵活实现不同VPC与本地数据中心之间的互通与隔离。
本文以跨地域场景为例，为您介绍如何通过中转路由器实现不同VPC与跨地域IDC之间的独立互通，具体组网如下图所示。

数据规划

进行配置前，您需要提前规划组网图中各网络资源的网段、路由等数据信息，如下图所示。

• 私有网络

  所属地域	私有网络	VPC网段	子网信息			云服务器私网IP
  			子网名称	所属可用区	子网网段
  华南1（广州）	vpc01	192.168.0.0/20	subnet01	可用区A	192.168.0.0/24	192.168.0.10
  	vpc02	192.168.16.0/20	subnet01	可用区A	192.168.16.0/24	192.168.16.10

• VPN连接

  所属地域	IPsec连接	用户网关信息		本端网段	对端网段	预共享密钥
  		名称	IP地址
  华北2（北京）	ipsec01	cgw01	12.XX.XX.10 该IP地址为本地IDC中服务器的公网IP地址。	192.168.0.0/24 192.168.16.0/24 该网段配置为私有网络的子网网段。	172.16.0.0/24 该网段配置为本地IDC的子网网段。	test@123

• 专线连接

  所属地域	专线网关	物理专线	虚拟接口名称	本/对端网关互联IP	路由信息
  					类型	BGP ASN	BGP密钥
  华北2（北京）	dcg01	DAS123_port308_conn	vif01	本端：10.0.0.1/30 对端：10.0.0.2/30	BGP	49600	E0g5****8go1

• 中转路由器
  路由规划如上图所示，详细规划说明请参见TR路由配置规划。

• 本地IDC

  所属地域	子网段	服务器信息
  		名称	私网IP地址	公网IP地址
  华北2（北京）	172.16.0.0/24	server01	172.16.0.10	12.XX.XX.10

前提条件

• 已完成所需VPC及子网的创建，详细步骤请参见创建私有网络。
• 已完成各VPC中云服务器实例的创建，详细步骤请参见购买云服务器实例。
• 已根据连通本地IDC的服务类型完成以下资源配置，配置数据请参考数据规划。
  • VPN连接：请参考创建IPsec连接、创建用户网关完成本场景所需的IPsec连接ipsec01及用户网关cgw01的创建。
  • 专线连接：请参考配置专线连接中的前3步完成物理专线、专线网关及虚拟接口的创建，并参考配置本地路由完成本地IDC侧的私网路由配置。
• 已获取本地IDC中服务器的IP地址，并确保服务器正常可用。

配置步骤

步骤一：配置华南1（广州）地域中的TR实例

本步骤中，您需要创建 1 个TR实例、1 个TR自定义路由表和 2 条网络实例连接。详细配置步骤请参考配置华南1（广州）地域中的TR实例。

1. 创建TR实例。
   在华南1（广州）地域创建一个TR实例tr01，作为华南1（广州）地域中转路由器的运行载体。

   说明

   创建TR实例时系统自动为其创建了一个系统路由表，用于转发本地域中来自vpc01、vpc02的访问流量。本文中，tr01系统路由表名称以tr01-rtb-sys为例进行介绍。

2. 创建TR自定义路由表。
   为tr01创建一个自定义路由表tr01-rtb-set，用于转发来自跨地域连接的访问流量。
3. 创建网络实例连接并配置路由。
   为tr01创建2条网络实例连接attach-vpc01、attach-vpc02，分别连接2个同地域VPC实例vpc01、vpc02。

本步骤配置完成后，TR路由表和VPC路由表中的路由条目如下：

• TR路由表tr01-rtb-sys中暂无路由条目，TR路由表tr01-rtb-set中的路由条目如下图所示。
  
• 由于vpc01和vpc02路由表自动同步TR路由表tr01-rtb-sys中的路由条目，因此vpc01和vpc02路由表中的路由条目无变化。

步骤二：配置华北2（北京）地域中的TR实例

1. 创建TR实例。
   在华北2（北京）地域创建一个TR实例tr02，详细步骤请参见创建TR实例。

   说明

   创建TR实例时系统为其自动创建了一个系统路由表。本文中，tr02系统路由表名称以tr02-rtb-sys为例进行介绍。

2. 创建网络实例连接。
   请根据连接云下IDC的资源类型，创建适当的网络实例连接，用于连接云下IDC。详细步骤请参见创建VPN类型网络实例连接或创建专线网关类型网络实例连接。

   • VPN类型

     • 基础配置
       

       参数		说明	取值示例
       名称		待创建网络实例连接的名称。	attach-vpn
       网络实例类型		选择待创建网络实例连接的类型。	VPN
       IPsec连接 （创建新的IPsec连接）	IPsec名称	输入待创建IPsec连接的名称。	ipsec01
       	用户网关	选择已创建的用户网关。	cgw01
       	路由模式	选择路由模式。	感兴趣流
       	本端网段	本文中配置为VPC子网段。	192.168.0.0/24，192.168.16.0/24
       	对端网段	本文中配置为IDC子网段。	172.16.0.0/24
       	立即发起协商	选择IPsec连接配置完成后是否立即生效。	是
       	预共享密钥	输入用于双方VPN设备IKE协商的密钥。	test@123
       	确认密钥	请再次输入预共享密钥。	test@123
       	项目	选择待创建TR实例所属的项目。	default
       可用区		选择用于提供VPN网关服务的可用区。	可用区A

     • 路由配置
       

       参数		说明	取值示例
       关联转发		开启关联转发表示来自网络实例的流量将根据TR路由表tr02-rtb-sys进行转发。 由于VPN类型网络实例连接不支持路由学习，因此后续还需要通过静态路由为TR路由表配置目标网段。	开启，tr02-rtb-sys

       说明

       VPN类型网络实例连接创建成功后，请完成本地IDC中服务器的VPN配置，配置数据请与IPsec连接保持一致，可参考数据规划。

   • 专线网关类型
     参考下表分别配置网络实例连接的基本信息、网络实例和路由信息。
     

     参数	说明	取值示例
     基本信息
     中转路由器	默认为您选定的中转路由器实例，无需手动配置。	tr02
     地域	默认与中转路由器实例的地域相同，无需手动配置。	华北2（北京）
     名称	待创建网络实例连接的名称。	attach-专线
     网络实例
     网络实例类型	选择待创建网络实例连接的类型。	专线网关
     专线网关	选择待连接的专线网关实例。	dcg01
     路由配置
     关联转发	开启关联转发表示来自网络实例的流量将根据TR路由表tr02-rtb-sys进行转发。	开启，tr02-rtb-sys
     路由学习	开启路由学习表示该TR路由表会自动学习已选择网络实例的路由条目，在TR路由表tr02-rtb-sys中自动生成目标网段为IDC子网段，下一跳为该网络实例连接（attach-专线）的路由条目。	开启，tr02-rtb-sys

本步骤配置完成后，根据连通IDC的网络资源类型，TR路由表tr02-rtb-sys中的路由条目有所不同。

• 如通过VPN连接连通IDC，则TR路由表tr02-rtb-sys中暂无路由条目。
• 如通过专线网关连通IDC，则TR路由表tr02-rtb-sys中的路由条目如下图所示。
  

步骤三：配置跨地域带宽

1. 创建带宽包。
   创建一个带宽包trbp01，用于为跨地域连接提供带宽资源。详细操作步骤请参见创建带宽包。
   

2. 创建跨地域连接。
   创建一个跨地域连接，用于连接华南1（广州）地域的TR实例和华北2（北京）地域的TR实例。详细操作步骤请参见创建跨地域连接。
   本文以华南1（广州）地域的TR实例tr01作为本端TR创建跨地域连接，具体配置数据如下表所示。
   

   参数	说明	取值示例
   名称	输入跨地域连接的名称。	attach-跨地域
   带宽包	加入已创建的带宽包trbp01，并分配带宽。	勾选，trbp01，2Mbps
   本端TR关联转发	开启关联转发，使本端TR实例tr01根据TR路由表tr01-rtb-set转发来自跨地域连接的访问流量。	开启，tr01-rtb-set
   对端TR关联转发	开启关联转发，使对端TR实例tr02根据TR路由表tr02-rtb-sys转发来自跨地域连接的访问流量。	开启，tr02-rtb-sys
   本端TR路由学习	开启路由学习，使TR路由表tr01-rtb-sys自动学习对端TR关联转发的路由表tr02-rtb-sys中的路由。	开启，tr01-rtb-sys
   对端TR路由学习	开启路由学习，使指定的TR路由表tr02-rtb-sys自动学习本端TR关联转发的TR路由表tr01-rtb-set中的路由。	开启，tr02-rtb-sys

   说明

跨地域连接支持路由学习的功能正在邀测中，如需使用，请联系客户经理申请。
:::

3. 配置跨地域流量去往VPN的路由。如果您使用专线连接打通云上VPC与云下IDC，请跳过本步骤。
   在TR路由表tr02-rtb-sys中添加去往VPN的静态路由，具体路由条目如下表所示。详细步骤请参见创建静态路由。

   序号	路由名称	目标网段	黑洞路由	下一跳类型	下一跳
   1	访问本地IDC子网段的流量转发策略	172.16.0.0/24	否	同地域连接	attach-vpn

本步骤配置完成后，TR路由表和VPC路由表中的路由条目如下：

• TR路由表tr01-rtb-sys和tr01-rtb-set中的路由条目如下图所示。
  
• 根据连通IDC的网络资源类型，TR路由表tr02-rtb-sys中的路由条目有所不同。如下图所示。
  
• 由于vpc01和vpc02路由表自动同步TR路由表tr01-rtb-sys中的路由条目，因此vpc01和vpc02路由表中的路由条目如下图所示。
  

结果验证

1. 登录vpc01中的云服务器实例，详情请参见登录Linux实例或登录Windows实例。
2. 执行命令ping分别连接vpc02和本地IDC中的服务器，验证vpc01与IDC互通、与vpc02不通。
3. 同理，登录vpc02中的云服务器实例，验证vpc02与本地IDC中的服务器互通。