华为云用户手册

约束与限制 如果您对等连接下的VPC属于不同的账号，那么迁移的时候，您可以使用企业路由器的共享功能，将不同账号下的VPC迁移至同一个企业路由器中构建组网。 由于网络组网的复杂程度不同，将VPC对等连接迁移至企业路由器时，可能会造成业务中断，请您提交工单联系华为云客服，评估迁移方案。以下列举部分会导致业务中断的组网情况： 当业务VPC下存在资源绑定虚拟IP的场景，不能将业务VPC直接接入ER。 当业务VPC下存在共享型弹性负载均衡、VPC终端节点、私网NAT网关、分布式缓存服务、混合云DNS解析时，不建议直接将业务VPC接入ER。 了解企业路由器的约束与限制详细信息，请参见企业路由器约束与限制。

规划资源 企业路由器ER、云专线DC、虚拟私有云VPC、弹性云服务器ECS只要位于同一个区域内即可，可用区可以任意选择，不用保持一致。 以下资源规划详情仅为示例，您可以根据需要自行修改。 企业路由器ER：1个，资源规划详情如表5所示。 表5 ER资源规划详情 ER名称 AS号 默认路由表关联 默认路由表传播 关联路由表 传播路由表 连接 er-test-01 64512 开启 开启 默认路由表 默认路由表 er-attach-01 er-attach-02 云专线DC：资源规划详情如表6所示。 表6 DC资源规划详情 虚拟网关 虚拟接口 本端网关（华为云侧） 远端网关（用户侧） 远端子网 路由模式及BGP邻居AS号 vgw-demo vif-demo 10.0.0.1/30 10.0.0.2/30 10.1.123.0/24 路由模式：BGP BGP邻居AS号：64510 虚拟私有云VPC：2个，VPC的网段不能重复，资源规划详情如表7所示。 表7 VPC资源规划详情 VPC名称 VPC网段 子网名称 子网网段 关联路由表 vpc-demo-01 192.168.0.0/16 subnet-demo-01 192.168.1.0/24 默认路由表 vpc-demo-02 172.16.0.0/16 subnet-demo-02 172.16.1.0/24 默认路由表 弹性云服务器ECS：2个，分别接入2个不同的VPC，资源规划详情如表8所示。 表8 ECS资源规划详情 ECS名称 镜像 VPC名称 子网名称 安全组 私有IP地址 ecs-demo-01 公共镜像： EulerOS 2.5 64bit vpc-demo-01 subnet-demo-01 sg-demo： 通用We b服务器 192.168.1.99 ecs-demo-02 vpc-demo-02 subnet-demo-02 172.16.1.137

规划组网 线下IDC和云上VPC互通组网规划如图1所示，将2个VPC和1个VGW网关接入ER中，组网规划说明如表2所示。 图1 线下IDC和云上VPC互通组网规划 表1 网络流量路径说明 路径 说明 请求路径：VPC1→线下IDC 在VPC1路由表中，通过下一跳为ER的路由将流量转送到ER。 在ER路由表中，通过下一跳为VGW连接的路由将流量转送到虚拟网关。 虚拟网关连接虚拟接口，通过虚拟接口将流量从远端网关转送到物理专线。 通过物理专线将流量送达线下IDC。 响应路径：线下IDC→VPC1 通过物理专线将流量转送到虚拟接口。 虚拟接口连接虚拟网关，通过虚拟接口将流量从本端网关转送到虚拟网关。 通过虚拟网关将流量转送到ER。 在ER路由表中，通过下一跳为VPC1连接的路由将流量送达VPC1。 表2 线下IDC和云上VPC互通组网规划说明 资源 说明 VPC VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC网段与客户IDC侧网段不能重复。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量路由至ER，为了减少路由数量，此处建议使用默认网段0.0.0.0/0，路由信息如表3所示。 DC 1个物理连接：需要运营商施工搭建连通华为云和线下IDC的物理专线。 1个虚拟网关：将虚拟网关接入ER中，即表示将“虚拟网关（VGW）”连接添加到ER。 1个虚拟接口：连接虚拟网关和物理连接。 ER 开启“默认路由表关联”和“默认路由表传播”功能，添加完“虚拟网关（VGW）”连接和“虚拟私有云（VPC）”连接，系统会自动执行以下配置： DC： 将1个“虚拟网关（VGW）”连接关联至ER默认路由表。 在默认路由表中创建“虚拟网关（VGW）”连接的传播，路由自动学习DC侧的所有路由信息，包括本端网关和远端网关、IDC侧网段等信息，路由信息如表4所示。 VPC： 将2个“虚拟私有云（VPC）”连接关联至ER默认路由表。 在默认路由表中创建“虚拟私有云（VPC）”连接的传播，路由自动学习VPC网段，路由信息如表4所示。 ECS 2个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通网络。 表3 VPC路由表 目的地址 下一跳 路由类型 0.0.0.0/0 企业路由器 静态路由：自定义 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 除了系统自动添加的3个VPC固定网段，您还需要在VPC路由表中添加目的地址为IDC侧网段，下一跳指向ER的路由。 为了减少路由数量，建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0，但是VPC内的ECS将不能绑定EIP。如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于ER路由，此时会导致流量转发至EIP，无法抵达ER。 表4 ER路由表 目的地址 下一跳 路由类型 VPC1网段：192.168.0.0/16 VPC1连接：er-attach-01 传播路由 VPC2网段：172.16.0.0/16 VPC2连接：er-attach-02 传播路由 本端网关和远端网关：10.0.0.0/30 VGW连接：vgw-demo 传播路由 IDC侧网段：10.1.123.0/24 VGW连接：vgw-demo 传播路由

操作流程 本文档介绍如何通过企业路由器构建同区域VPC共享SNAT组网，流程如图2所示。 图2 构建同区域VPC共享SNAT组网流程图 表1 构建同区域VPC共享SNAT组网流程说明 序号 步骤 说明 1 规划组网和资源 规划组网和资源，包括资源数量及网段信息等。 2 创建资源 创建企业路由器：创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 创建VPC和ECS：创建4个虚拟私有云VPC和3个弹性云服务器ECS，其中一个VPC用来创建NAT网关实例。 创建EIP和公网NAT网关：创建弹性公网IP，基于一个独立的VPC创建公网NAT网关。 3 配置网络 在企业路由器中配置VPC连接： 在企业路由器中添加“虚拟私有云（VPC）”连接：将4个VPC分别接入企业路由器中。 在VPC路由表中配置路由：在VPC路由表中配置到企业路由器的路由信息。 在NAT网关中配置SNAT规则：在NAT网关中添加VPC的SNAT规则。 4 验证网络互通情况 登录ECS，执行ping命令，验证网络互通情况。

操作步骤 登录弹性云服务器。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 在弹性云服务器的远程登录窗口，执行以下命令，验证网络互通情况。 执行以下命令，验证VPC网络互通情况。 ping 弹性云服务器IP地址 以登录ecs-demo-01，验证vpc-demo-01与vpc-demo-02的网络互通情况为例： ping 172.16.1.137 回显如下信息，表示网络已通。 执行以下命令，验证VPC和DC网络互通情况。 ping 本端网关（华为云侧）地址 ping 远端网关（IDC侧）地址 ping IDC侧IP地址 以登录ecs-demo-01，验证vpc-demo-01与本端网关（华为云侧）的网络互通情况为例： ping 10.0.0.1 回显如下信息，表示VPC与本端网关（华为云侧）的网络已通。 重复执行1~2，验证其他VPC和DC之间的网络互通情况。

方案架构 在方案二中，业务VPC之间通过对等连接通信，业务VPC和线下IDC通过ER通信，组网架构图如图1所示。 在业务VPC-A和中转VPC-Transit、业务VPC-B和中转VPC-Transit之间各创建一个VPC对等连接，通过VPC-Transit和对等连接转发VPC-A和VPC-B之间的流量。 将VPC-Transit接入企业路由器中，VPC-A和VPC-B访问线下IDC的流量通过中转VPC转发至ER，再通过ER和DC抵达线下IDC。 图1 中转VPC接入企业路由器组网架构图（方案二）

应用场景 您可以通过企业路由器构建中心辐射型组网，简化网络架构。当前为您提供两种典型组网方案，方案一是将业务VPC直接接入企业路由器，方案二是使用中转VPC，结合VPC对等连接和企业路由器共同构建组网。相比方案一，方案二可以降低成本，并且免去一些限制，详细说明如下： 相比方案一，使用方案二可以降低流量费用和连接费用，详细说明如下； 业务VPC之间的流量通过VPC对等连接转发，而不再需要经过ER转发，省去部分流量费用。 您只需要将一个中转VPC接入ER，相比接入多个业务VPC，省去部分连接费用。 当前将业务VPC直接接入ER，针对业务VPC有部分使用限制。由于方案二中您只需要将中转VPC接入ER，则可以解决以下针对业务VPC的限制： 当业务VPC下存在共享型弹性负载均衡、VPC终端节点、私网NAT网关、分布式缓存服务时，请提交工单联系华为云客服，确认服务的兼容性，并优先考虑使用中转VPC组网方案。 若您在弹性负载均衡、VPC终端节点以及分布式缓存服务场景下，直接将业务VPC接入ER，则当ER处于容灾切换、弹性扩缩容、升级等业务可靠性保障过程中，可能造成长连接会话闪断，请您确保业务客户端具有重连机制，在闪断情况下可以自动重连。 当接入ER的VPC存在以下情况时，则不建议您在VPC路由表中将下一跳为ER的路由配置成默认路由0.0.0.0/0，那样会导致部分业务流量无法转发至ER。 VPC内的ECS绑定了EIP。 VPC被ELB（独享型或者共享型）、NAT网关、VPCEP、DCS服务占用。 当接入ER的VPC关联NAT网关，并配置SNAT或者DNAT规则的“使用场景”选择“云专线/云连接”，则网络不通。

步骤五：验证VPC和IDC的通信情况 登录弹性云服务器，执行以下步骤，验证业务VPC与IDC通信情况。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 登录ECS-A，执行以下命令，验证VPC-A与IDC是否可以通过ER通信。 ping IDC侧任意一个IP地址 命令示例： ping 10.10.0.27 回显类似如下信息，表示VPC-A与IDC可以通过ER通信。 [root@ECS-A ~]# ping 10.10.0.27 PING 10.10.0.27 (10.10.0.27) 56(84) bytes of data. 64 bytes from 10.10.0.27: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 10.10.0.27: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 10.10.0.27: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 10.10.0.27: icmp_seq=4 ttl=64 time=0.372 ms ... --- 10.10.0.27 ping statistics --- 登录ECS-B，执行以下命令，验证VPC-B与IDC是否可以通过ER通信。 ping IDC侧任意一个IP地址 命令示例： ping 10.10.0.30 回显类似如下信息，表示VPC-B与IDC可以通过ER通信。 [root@ECS-B ~]# ping 10.10.0.30 PING 10.10.0.30 (10.10.0.30) 56(84) bytes of data. 64 bytes from 10.10.0.30: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 10.10.0.30: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 10.10.0.30: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 10.10.0.30: icmp_seq=4 ttl=64 time=0.372 ms ... --- 10.10.0.30 ping statistics --- 登录弹性云服务器，执行以下步骤，验证业务VPC之间的通信情况。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 登录ECS-A，验证VPC-A与VPC-B是否可以通过对等连接通信。 ping ECS-B的私有IP地址 命令示例： ping 172.17.1.113 回显类似如下信息，表示VPC-A与VPC-B通信正常。 [root@ECS-A ~]# ping 172.17.1.113 PING 172.17.1.113 (172.17.1.113) 56(84) bytes of data. 64 bytes from 172.17.1.113: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.17.1.113: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.17.1.113: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.17.1.113: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.17.1.113 ping statistics --- 登录ECS-B，验证VPC-B与VPC-A是否可以通过对等连接通信。 ping ECS-A的私有IP地址 命令示例： ping 172.16.1.25 回显类似如下信息，表示VPC-B与VPC-A通信正常。 [root@ECS-B ~]# ping 172.16.1.25 PING 172.16.1.25 (172.16.1.25) 56(84) bytes of data. 64 bytes from 172.16.1.25: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.16.1.25: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.16.1.25: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.16.1.25: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.16.1.25 ping statistics ---

步骤四：在企业路由器中添加并配置VGW连接 本示例中，云专线DC资源的总体规划说明，请参见表8。 创建物理连接。 创建方法，具体请参见物理连接接入。 创建虚拟网关，即在企业路由器中添加“虚拟网关（VGW）”连接。 在云专线管理控制台，创建虚拟网关。 具体方法请参见步骤2：创建虚拟网关。 在企业路由器控制台，查看“虚拟网关（VGW）”连接的添加情况。 具体方法请参见查看连接。 “虚拟网关（VGW）”连接的状态“正常”，表示已成功接入企业路由器中。 由于本示例创建ER时，开启“默认路由表关联”，未开启“默认路由表传播”，因此添加完“虚拟网关（VGW）”连接后： 系统自动在ER默认路由表中创建关联，无需手动创建。 需要继续执行3，手动创建传播。 在ER路由表中，为“虚拟网关（VGW）”连接创建传播，自动学习IDC的路由信息。 创建传播，具体方法请参见创建传播。 需要执行以下步骤连通DC后，才可以在ER路由表中查看到IDC侧的路由信息。 创建虚拟接口。 创建虚拟接口用来连接虚拟网关和线下IDC，具体方法请参见步骤3：创建虚拟接口。 配置IDC侧路由到华为云的路由。 以华为网络设备为例，配置BGP路由： bgp 65525 peer 10.0.0.1 as-number 64512 peer 10.0.0.1 password simple 12345678 network 10.10.0.0 255.255.0.0 表1 BGP路由 命令 命令说明 bgp 65525 启动BGP，其中： 65525：IDC侧AS号。 peer 10.0.0.1 as-number 64512 创建BGP的对等体(EBGP)，其中： 10.0.0.1：华为云侧网关。 64512：华为云侧AS号，固定为64512。 peer 10.0.0.1 password simple 12345678 BGP对等体建立TCP连接时对BGP消息进行MD5认证，其中： 12345678：BGP MD5认证密码。 network 10.10.0.0 255.255.0.0 将IP路由表中已存在的路由添加到BGP路由表中，其中： 10.10.0.0：IDC侧子网。 255.255.0.0：IDC侧子网掩码。

步骤三：在企业路由器中添加并配置VPC连接 将中转VPC接入企业路由器中。 添加连接时，不开启“配置连接侧路由”功能，更多资源详情请参见表9。 开启该功能后，会自动VPC路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。本示例需要添加业务VPC的网段地址作为路由目的地址，因此需要手动添加。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 在中转VPC路由表中，添加下一跳为ER的路由。 配置路由信息，具体方法请参见在VPC路由表中配置路由。 本示例中，在VPC-Transit的路由表中，添加表3中下一跳为ER，目的地址为10.10.0.0/16的路由。 在ER路由表中，添加下一跳为VPC连接的静态路由。 创建静态路由，具体方法请参见创建静态路由。 本示例中，在er-demo的路由表中，添加表4中下一跳为VPC-T连接，目的地址分别为172.16.0.0/16和172.17.0.0/16的路由。

步骤二：创建对等连接并配置路由 创建业务VPC和中转VPC之间的对等连接。 创建对等连接Peer-A-T，连通VPC-A和VPC-Transit。 创建对等连接Peer-B-T，连通VPC-B和VPC-Transit。 VPC对等连接的资源详情规划请参见表7。 如果业务VPC和中转VPC位于同一个账户下，创建方法请参见：创建相同账户下的对等连接。 如果业务VPC和中转VPC位于不同的账户下，创建方法请参见：创建不同账户下的对等连接。 在VPC-A、VPC-B和VPC-Transit的路由表中，依次添加下一跳为对等连接的路由。 配置路由信息，具体方法请参见在VPC路由表中配置路由。 本示例中添加表3中下一跳为对等连接的路由。 在VPC-A的路由表中，添加172.17.0.0/16和10.10.0.0/16两条路由。 在VPC-B的路由表中，添加172.16.0.0/16和10.10.0.0/16两条路由。 在VPC-Transit的路由表中，添加172.17.0.0/16和172.16.0.0/16两条路由。 在弹性云服务器的远程登录窗口，执行以下步骤，验证VPC-A和VPC-B的网络通信情况。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 登录ECS-A，验证VPC-A与VPC-B是否可以通过对等连接通信。 ping ECS-B的私有IP地址 命令示例： ping 172.17.1.113 回显类似如下信息，表示VPC-A与VPC-B通信正常。 [root@ECS-A ~]# ping 172.17.1.113 PING 172.17.1.113 (172.17.1.113) 56(84) bytes of data. 64 bytes from 172.17.1.113: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.17.1.113: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.17.1.113: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.17.1.113: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.17.1.113 ping statistics --- 登录ECS-B，验证VPC-B与VPC-A是否可以通过对等连接通信。 ping ECS-A的私有IP地址 命令示例： ping 172.16.1.25 回显类似如下信息，表示VPC-B与VPC-A通信正常。 [root@ECS-B ~]# ping 172.16.1.25 PING 172.16.1.25 (172.16.1.25) 56(84) bytes of data. 64 bytes from 172.16.1.25: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.16.1.25: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.16.1.25: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.16.1.25: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.16.1.25 ping statistics ---

步骤一：创建云服务资源 本步骤指导您创建业务VPC、ECS以及ER服务资源，云服务资源的总体规划说明，请参见表5。 创建1个企业路由器。 企业路由器的“默认路由表传播”功能需要关闭，更多资源详情请参见表9。 创建企业路由器，具体方法请参见创建企业路由器。 创建业务VPC和中转VPC。 创建VPC及子网，具体方法请参见创建虚拟私有云和子网。 创建ECS。 本示例中ECS主要用于验证网络通信使用，数量和配置仅供参考，请您根据实际需要创建ECS。 创建ECS，具体方法请参见购买方式概述。

DC/VPN双链路互备混合云组网构建流程 本章节介绍通过企业路由器构建DC/VPN双链路主备混合云组网总体流程，流程说明如表1所示。 表1 构建DC/VPN双链路主备混合云组网流程说明 步骤 说明 步骤一：创建云服务资源 创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 创建业务VPC和子网，本示例中创建1个VPC和子网。 在业务VPC子网内，创建ECS，本示例中创建1个ECS。 步骤二：在企业路由器中添加并配置VGW连接 创建物理连接，物理连接是线下IDC侧和华为云的专属通道，需要运营商进行施工，搭建物理专线链路连接线下和云上。 创建虚拟网关：创建1个关联企业路由器的虚拟网关，企业路由器中会自动添加“虚拟网关（VGW）”连接。 创建虚拟接口：创建关联虚拟网关的虚拟接口，连接虚拟网关和物理连接。 配置IDC侧路由：在线下IDC侧路由设备配置网络参数。 步骤三：在企业路由器中添加并配置VPC连接 在企业路由器中添加“虚拟私有云（VPC）”连接：将1个业务VPC接入企业路由器中。 在VPC路由表中配置路由：在VPC路由表中配置到企业路由器的路由信息，目的地址为IDC侧网段。 步骤四：验证DC链路的通信情况 登录ECS，执行ping命令，验证DC链路的网络互通情况。 步骤五：在企业路由器中添加并配置VPN连接 创建VPN网关：创建1个关联企业路由器的VPN网关，企业路由器中会自动添加“VPN网关（VPN）”连接。 创建对端网关：创建1个用户IDC侧的对端网关。 创建2条VPN连接：VPN连接用来连通VPN网关和对端网关，两条VPN连接互为主备链路。 配置IDC侧路由：在线下IDC侧路由设备配置网络参数。 步骤六：验证VPN链路的通信情况 登录ECS，执行ping命令，验证VPN链路的网络互通情况。 由于VPN链路为备选，如果您需要验证VPN链路通信情况，需要先构造DC主链路故障，然后验证备VPN链路的通信情况。 父主题： 通过企业路由器构建DC/VPN双链路主备混合云组网（虚拟网关VGW）

背景信息 XX企业在华为云区域A内部署了4个虚拟私有云VPC，业务A、业务B、业务C分别部署在VPC1、VPC2、VPC3，公共业务部署在VPC4中，网络要求如下： 业务A、业务B以及业务C所在的3个VPC需要隔离，不互通。 业务A、业务B以及业务C都需要和公共业务所在的VPC4互通。 图1 同区域VPC隔离 您可以使用企业路由器的共享功能，将不同账号下的虚拟私有云添加至同一个企业路由器中构建组网。

操作流程 本文档介绍如何通过企业路由器构建同区域VPC隔离组网，流程如图2所示。 图2 构建同区域VPC隔离组网流程图 表1 构建同区域VPC隔离组网流程说明 序号 路径 说明 1 规划组网和资源 规划组网和资源，包括资源数量及网段信息等。 2 创建资源 创建企业路由器：创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 创建VPC和ECS：创建4个虚拟私有云VPC和4个弹性云服务器ECS。 3 配置网络 在企业路由器中配置VPC连接： 在企业路由器中添加“虚拟私有云（VPC）”连接：将4个VPC分别接入企业路由器中。 在企业路由器中创建路由表；创建2个自定义路由表。 在路由表中创建关联和传播：根据网络规划，在两个路由表中分别创建“虚拟私有云（VPC）”连接的关联和传播。 在VPC路由表中配置路由：在VPC路由表中配置到企业路由器的路由信息。 4 验证网络互通情况 登录ECS，执行ping命令，验证网络互通情况。

步骤二：在企业路由器中添加并配置VPC连接 将业务VPC接入企业路由器中，即在ER中添加VPC连接。 添加连接时，开启“配置连接侧路由”功能。 开启该功能后，会自动VPC路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 检查ER路由表中指向VPC的路由。 本示例中，ER开启了“默认路由表关联”和“默认路由表传播”功能，那么在ER中添加“虚拟私有云（VPC）”连接时，系统会自动添加ER指向VPC的路由，无需手动添加，只需要检查即可。 ER路由规划详情，请参见表2和表4。 本示例中，目的地址为192.168.0.0/16，下一跳为VPC-A连接的路由已自动添加。 查看ER路由，具体方法请参见查看路由。 在业务VPC的路由表中，添加指向ER的路由。 VPC路由规划详情，请参见表3。 本示例中添加目的地址为线下IDC侧网段172.16.1.0/24的路由。 配置路由信息，具体方法请参见在VPC路由表中配置路由。

步骤四：在ER侧和IDC侧分别配置等价路由 在ER路由表中，检查ER通过VGW连接学习的BGP路由是否形成负载均衡。 查看ER路由，具体方法请参见查看路由。 如果形成负载均衡，则无需配置路由策略。 如果未形成负载均衡，则需要配置路由策略，执行2，在ER侧配置等价路由。 当路由172.16.1.0/24的下一跳显示两个VGW连接时，则表示形成负载均衡模式。 （可选）在ER侧配置等价路由，即创建路由策略并绑定至VGW连接的传播上。 创建路由策略，路由策略中包含两个策略节点。 本示例中，路由策略的总体规划说明，请参见表5。 创建路由策略，具体方法请参见创建路由策略。 分别将路由策略绑定至两个VGW连接上，将ER通过VGW连接学习的BGP路由形成等价路由。 为VGW连接的传播绑定路由策略，具体方法请参见将路由策略绑定至ER连接的传播。 再次执行1，检查路由是否形成负载均衡。 配置路由策略，替换路由的AS_Path值，可能会导致网络环路，因此配置前请检查网络规划，根据实际情况谨慎配置。 登录线下IDC侧网络设备，需要根据网络的实际规划，将IDC侧去往云上ER的路由配置成等价路由，形成负载均衡。

步骤三：在企业路由器中添加并配置VGW连接 本示例中，云专线DC资源的总体规划说明，请参见表5。 执行以下步骤，搭建第一条专线链路并验证网络通信情况。 创建物理连接。 创建方法，具体请参见物理连接接入。 创建虚拟网关，即在企业路由器中添加“虚拟网关（VGW）”连接。 在云专线管理控制台，创建虚拟网关。 具体方法请参见步骤2：创建虚拟网关。 在企业路由器控制台，查看“虚拟网关（VGW）”连接的添加情况。 具体方法请参见查看连接。 “虚拟网关（VGW）”连接的状态“正常”，表示已成功接入企业路由器中。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“虚拟网关（VGW）”连接后，以下均为系统自动配置： 在ER默认路由表中创建关联。 在ER默认路由表中创建传播，并自动学习IDC侧的路由信息。 需要执行以下步骤连通DC后，才可以在ER路由表中查看到IDC侧的路由信息。 创建虚拟接口。 创建虚拟接口用来连接虚拟网关和线下IDC，具体方法请参见步骤3：创建虚拟接口。 配置IDC侧路由到华为云的路由。 以华为网络设备为例，配置BGP路由： bgp 64555 peer 10.0.0.1 as-number 64512 peer 10.0.0.1 password simple 12345678 network 172.16.1.0 255.255.255.0 表1 BGP路由 命令 命令说明 bgp 64555 启动BGP，其中： 64555：IDC侧AS号。 peer 10.0.0.1 as-number 64512 创建BGP的对等体(EBGP)，其中： 10.0.0.1：华为云侧网关。 64512：华为云侧AS号，固定为64512。 peer 10.0.0.1 password simple 12345678 BGP对等体建立TCP连接时对BGP消息进行MD5认证，其中： 12345678：BGP MD5认证密码。 network 172.16.1.0 255.255.255.0 将IP路由表中已存在的路由添加到BGP路由表中，其中： 172.16.1.0：IDC侧子网。 255.255.255.0：IDC侧子网掩码。 登录弹性云服务器ecs-A。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 执行以下命令，验证第一条专线链路的通信情况。 ping IDC侧任意一个IP地址 命令示例： ping 172.16.1.10 回显类似如下信息，表示vpc-A与IDC可以通过第一条专线链路通信。 [root@ecs-A ~]# ping 172.16.1.10 PING 172.16.1.10 (172.16.1.10) 56(84) bytes of data. 64 bytes from 172.16.1.10: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.16.1.10: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.16.1.10: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.16.1.10: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.16.1.10 ping statistics --- 执行以下步骤，搭建第二条专线链路并验证网络通信情况。 参考1.a~1.d，搭建第二条专线链路。 构造第一条专线链路的故障，确保业务VPC已无法通过该链路和IDC通信。 请您务必在没有业务的情况下，构造专线链路故障，以免对业务造成影响。 参考1.e~1.f，验证第二条专线链路的通信情况。

步骤一：创建云服务资源（业务VPC、ECS、ER） 本步骤指导您创建业务VPC、ECS以及ER服务资源，云服务资源的总体规划说明，请参见表5。 创建企业路由器。 创建企业路由器，具体方法请参见创建企业路由器。 创建业务VPC。 创建VPC及子网，具体方法请参见创建虚拟私有云和子网。 创建业务ECS。 本示例中1个业务ECS主要用于验证云上VPC和线下IDC通信使用，数量和配置仅供参考，请您根据实际需要创建业务ECS。 创建ECS，具体方法请参见购买方式概述。

操作步骤 登录弹性云服务器。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 本示例是通过管理控制台远程登录（VNC方式）。 在弹性云服务器的远程登录窗口，执行以下步骤，验证网络情况。 执行以下命令，验证VPC网络互通情况。 ping 弹性云服务器IP地址 以登录ecs-business-01，验证vpc-business-01与vpc-business-02、vpc-business-03的网络互通情况为例： ping 10.2.0.215 ping 10.3.0.14 回显如下信息，表示网络互通配置成功。 执行以下命令，验证VPC访问公网情况。 ping 公网IP地址或者域名 以登录ecs-isolation-01，验证vpc-business-01与公网网络互通情况为例： ping support.huaweicloud.com 回显如下信息，表示网络互通。 重复执行1~2，验证其他VPC之间的网络互通情况。

规划资源 企业路由器ER、NAT网关、弹性公网IP、虚拟私有云VPC、弹性云服务器ECS只要位于同一个区域内即可，可用区可以任意选择，不用保持一致。 以下资源规划详情仅为示例，您可以根据需要自行修改。 企业路由器ER：1个，资源规划详情如表6所示。 表6 ER资源规划详情 ER名称 AS号 默认路由表关联 默认路由表传播 关联路由表 传播路由表 连接 er-test-01 64512 开启 开启 默认路由表 默认路由表 er-attach-business-01 er-attach-business-02 er-attach-business-03 er-attach-nat 弹性公网IP：1个，线路和带宽参数请根据实际需求创建，本示例IP地址为123.60.73.78。 公网NAT网关：1个，资源规划详情如表7所示。 表7 公网NAT网关资源规划详情 公网NAT网关名称 VPC名称 子网名称 SNAT使用场景 SNAT子网 nat-demo vpc-nat subnet-nat 虚拟私有云 自定义：0.0.0.0/0 虚拟私有云VPC：4个，VPC的网段不能重复，资源规划详情如表8所示。 表8 VPC资源规划详情 VPC名称 VPC网段 子网名称 子网网段 关联路由表 vpc-business-01 10.1.0.0/16 subnet-business-01 10.1.0.0/24 默认路由表 vpc-business-02 10.2.0.0/16 subnet-business-02 10.2.0.0/24 默认路由表 vpc-business-03 10.3.0.0/16 subnet-business-03 10.3.0.0/24 默认路由表 vpc-nat 192.168.0.0/16 subnet-nat 192.168.0.0/24 默认路由表 弹性云服务器ECS：3个，分别接入3个不同的VPC，资源规划详情如表9所示。 表9 ECS资源规划详情 ECS名称 镜像 VPC名称 子网名称 安全组 私有IP地址 ecs-business-01 公共镜像： CentOS 7.5 64bit vpc-business-01 subnet-business-01 sg-demo： 通用Web服务器 10.1.0.134 ecs-business-02 vpc-business-02 subnet-business-02 10.2.0.215 ecs-business-03 vpc-business-03 subnet-business-03 10.3.0.14

规划组网 同区域VPC共享SNAT组网规划如图1所示，将4个VPC接入ER中，组网规划说明如表2所示。 图1 同区域VPC共享SNAT组网规划 表1 网络流量路径说明 路径 说明 请求路径：VPC1→Internet 在VPC1路由表中，通过下一跳为ER的路由将流量转送到ER。 在ER路由表中，通过下一跳为VPC4连接的静态路由将流量转送到VPC4。 在VPC4路由表中，通过下一跳为NAT的路由将流量转送到NAT网关。 在NAT网关中，通过SNAT规则绑定的弹性IP将流量送达公网目的地址。 响应路径：Internet→VPC1 公网目的地址通过SNAT规则绑定的弹性IP将流量转送到NAT网关。 在NAT网关中，通过SNAT规则将流量转送到VPC4。 在VPC4路由表中，通过下一跳为ER的路由将流量转送到ER。 在ER路由表中，通过下一跳为VPC1连接的传播路由将流量送达VPC1。 表2 同区域VPC共享SNAT组网规划说明 资源 说明 VPC VPC网段（CIDR）不能重叠。 本示例中，ER路由表使用的是“虚拟私有云（VPC）”连接的传播路由，由ER自动学习VPC网段作为目的地址，不支持修改，因此重叠的VPC网段会导致路由冲突。 如果您已有的VPC存在网段重叠，则不建议您使用传播路由，请在ER路由表中手动添加静态路由，目的地址可以为VPC子网网段或者范围更小的网段。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： local：表示VPC本地IPV4的默认路由条目，用于VPC内子网通信，系统自动配置。 ER：表示将VPC子网流量路由至ER，自定义路由。 为了减少路由数量，此处建议VPC1、VPC2和VPC3使用默认网段0.0.0.0/0，路由信息如表3所示。 在VPC4中，会自动添加下一跳为NAT网关，网段为0.0.0.0/0的路由，为了不和NAT网关的路由冲突，此处到ER路由的目的地址需要配置成VPC的实际网段，路由信息如表4所示。 NAT：表示将VPC子网流量路由至NAT网关，创建NAT网关时系统自动配置。 NAT 基于VPC4创建公网NAT网关，并关联EIP配置SNAT规则。 ER 开启“默认路由表关联”和“默认路由表传播”功能，添加完“虚拟私有云（VPC）”连接，系统会自动执行以下配置： 将4个“虚拟私有云（VPC）”连接关联至ER默认路由表。 在默认路由表中创建“虚拟私有云（VPC）”连接的传播，路由自动学习VPC网段，路由信息如表5所示。 在ER路由表中，添加静态路由，网段为0.0.0.0/0，表示将访问公网的流量路由至VPC4。 ECS 3个ECS分别位于3个不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。 表3 VPC1/VPC2/VPC3路由表 目的地址 下一跳 路由类型 0.0.0.0/0 企业路由器 静态路由：自定义 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 除了系统自动添加的3个VPC固定网段，您还需要在VPC路由表中添加目的地址为公网侧网段，下一跳指向ER的路由。 为了减少路由数量，建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0，但是VPC内的ECS将不能绑定EIP。如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于ER路由，此时会导致流量转发至EIP，无法抵达ER。 表4 VPC4路由表 目的地址 下一跳 路由类型 VPC1网段：10.1.0.0/16 企业路由器 静态路由：自定义 VPC2网段：10.2.0.0/16 企业路由器 静态路由：自定义 VPC3网段：10.3.0.0/16 企业路由器 静态路由：自定义 0.0.0.0/0 NAT网关 静态路由：自定义 建议您添加连接时，不要开启“配置连接侧路由”选项，并在企业路由器创建完成后，在VPC路由表中手动添加路由。 VPC内的ECS不能绑定EIP，如果ECS绑定了EIP，会在ECS内增加默认网段0.0.0.0/0的策略路由，并且优先级高于NAT网关路由，因此会导致流量转发至EIP，无法抵达NAT网关，流量中断。 表5 ER路由表 目的地址 下一跳 路由类型 VPC1网段：10.1.0.0/16 VPC1连接：er-attach-business-01 传播路由 VPC2网段：10.2.0.0/16 VPC2连接：er-attach-business-02 传播路由 VPC3网段：10.3.0.0/16 VPC3连接：er-attach-business-03 传播路由 0.0.0.0/0 VPC4连接：er-attach-nat 静态路由

在企业路由器中配置VPC连接 在企业路由器中配置“虚拟私有云（VPC）”连接，即将VPC接入企业路由器中，资源规划详情请参见表5。 在区域A内，在企业路由器ER-A中添加“虚拟私有云（VPC）”连接。 将VPC接入企业路由器中。 本示例添加“虚拟私有云（VPC）”连接时开启“配置连接侧路由”，免去手工在VPC路由表中配置路由。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“虚拟私有云（VPC）”连接后，以下均为系统自动配置： 在默认路由表中创建关联 在默认路由表中创建传播，并自动学习VPC网段路由信息。 （可选）在VPC路由表中配置ER的路由信息。 如果您添加“虚拟私有云（VPC）”连接时开启“配置连接侧路由”，则无需执行该操作，系统会自动在VPC路由表中添加路由，路由详情请参见表3。 配置路由信息，具体方法请参见在VPC路由表中配置路由。 在区域B内，参考1，在企业路由器ER-B中添加“虚拟私有云（VPC）”连接。 在区域C内，参考1，在企业路由器ER-C中添加“虚拟私有云（VPC）”连接。 父主题： 通过中心网络构建跨区域VPC互通组网步骤

操作流程 本文档介绍如何通过企业路由器构建同区域VPC流量清洗组网，流程如图2所示。 图2 构建同区域VPC流量清洗组网流程图 表1 构建同区域VPC流量清洗组网流程说明 序号 步骤 说明 1 规划组网和资源 规划组网和资源，包括资源数量及网段信息等。 2 创建资源 创建企业路由器：创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 创建VPC和ECS：创建3个虚拟私有云VPC和3个弹性云服务器ECS。 3 配置网络 在企业路由器中配置VPC连接： 在企业路由器中添加“虚拟私有云（VPC）”连接：将3个VPC分别接入企业路由器中。 在企业路由器中创建路由表；创建2个自定义路由表。 在路由表中创建关联和传播：根据网络规划，在两个路由表中分别创建“虚拟私有云（VPC）”连接的关联和传播。 在VPC路由表中配置路由：在VPC路由表中配置到企业路由器的路由信息。 在ECS中配置内核参数及路由：安装防火墙的ECS3具有双网卡，需要配置内核参数并添加路由，确保eth0和eth1之间的流量转发路径可达。 4 验证网络互通情况 登录ECS，执行ping命令，验证网络互通情况。

操作步骤 将2个VPC分别接入企业路由器中。 添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此添加完“虚拟私有云（VPC）”连接后，以下均为系统自动配置： 在默认路由表中创建关联 在默认路由表中创建传播，并自动学习VPC网段路由信息。 在VPC路由表中配置ER的路由信息。 配置路由信息，具体方法请参见在VPC路由表中配置路由。

资源规划说明 企业路由器ER、云专线DC、虚拟私有云VPC、弹性云服务器ECS只要位于同一个区域内即可，可用区可以任意选择，不用保持一致。 以下资源规划详情仅为示例，您可以根据需要自行修改。 表5 企业路由器和中转VPC组网资源规划总体说明 资源类型 说明 虚拟私有云VPC 本示例中共创建3个VPC，资源规划示例如表6所示。 业务VPC：2个，实际运行客户业务的VPC。业务VPC只需要和中转VPC建立对等连接，不需要接入ER中。 中转VPC：1个，用于转发业务VPC之间、以及业务VPC和线下IDC之间的流量，该VPC下不建议运行任何业务。中转VPC需要接入ER中。 须知： 业务VPC和中转VPC的网段与客户IDC侧网段不能重复。 通过对等连接连通的VPC子网网段不能重叠，因此业务VPC和中转VPC的子网网段不允许重叠。 由于中转VPC需要接入企业路由器，关于接入企业路由器的约束，更多详细请参见约束与限制。 VPC对等连接 本示例中共创建2个对等连接，用于连通VPC-A、VPC-B和VPC-Transit之间的网络，资源规划示例如表7所示。 云专线DC 本示例中的DC包含1个物理连接，1个虚拟网关以及1个虚拟接口，资源规划示例如表8所示。 企业路由器ER 本示例中创建1个ER，并在ER中添加2个连接，资源规划示例如表9所示。 弹性云服务器ECS 本示例共创建2个ECS，每个业务VPC内各有1个ECS，资源规划示例如表10所示。

网络规划说明 企业路由器和中转VPC组网规划如图1所示，业务VPC之间通过对等连接通信，将中转VPC和DC分别接入ER中，组网规划说明如表2所示。 图1 企业路由器和中转VPC组网规划 使用企业路由器和中转VPC组网方案，可以实现业务VPC之间的云上网络通过对等连接连通，云上和云下之间的网络通过ER和DC连通。 云上VPC通信时，通过业务VPC和中转VPC之间的对等连接实现通信，本示例的网络流量路径说明请参见表1中的“路径一”。 云上VPC和线下IDC通信时，通过ER和DC实现通信，本示例的网络流量路径说明请参见表1中的“路径二”。 表1 网络流量路径说明 序号 路径 说明 路径一 请求路径：VPC-A→线下IDC 在VPC-A路由表中，通过下一跳为Peer-A-T的路由将流量转送到VPC-Transit。 在VPC-Transit路由中，通过下一跳为ER的路由将流量转送到ER。 在ER路由表中，通过下一跳为VGW连接的路由将流量转送到虚拟网关。 虚拟网关连接虚拟接口，通过虚拟接口将流量从远端网关转送到物理专线。 通过物理专线将流量送达线下IDC。 响应路径：线下IDC→VPC-A 通过物理专线将流量转送到虚拟接口。 虚拟接口连接虚拟网关，通过虚拟接口将流量从本端网关转送到虚拟网关。 通过虚拟网关将流量转送到ER。 在ER路由表中，通过下一跳为VPC-T连接的路由将流量转送到VPC-Transit。 在VPC-Transit路由中，通过下一跳为Peer-A-T的路由将流量送达VPC-A。 路径二 请求路径：VPC-B→VPC-A 在VPC-B路由表中，通过下一跳为Peer-B-T的路由将流量转送到VPC-Transit。 在VPC-Transit路由表中，通过下一跳为Peer-A-T的路由将流量送达VPC-A。 响应路径：VPC-A→VPC-B 在VPC-A路由表中，通过下一跳为Peer-A-T的路由将流量转送到VPC-Transit。 在VPC-Transit路由表中，通过下一跳为Peer-B-T的路由将流量送达VPC-B。 表2 企业路由器和中转VPC组网规划说明 资源 说明 VPC 业务VPC，实际运行客户业务的VPC，本示例中为VPC-A和VPC-B，具体说明如下： 业务VPC的网段，不能与客户IDC侧网段重复。 通过对等连接连通的VPC子网网段不能重叠，本示例中业务VPC-A、业务VPC-B以及中转VPC-Transit的网段均不相同。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下： VPC-A：表示通过VPC-A和VPC-Transit之间的对等连接Peer-A-T，将VPC子网流量转发至中转VPC，此处配置两条路由，目的地址分别为VPC-B的网段和线下IDC的子网网段，路由信息如表3所示。 VPC-B：表示通过VPC-B和VPC-Transit之间的对等连接Peer-B-T，将VPC子网流量转发至中转VPC，此处配置两条路由，目的地址分别为VPC-A的网段和线下IDC的子网网段，路由信息如表3所示。 中转VPC，接入ER的VPC，本示例中为VPC-Transit，具体说明如下： 中转VPC用于中转业务VPC之间、以及业务VPC和线下IDC之间的流量，该VPC下不建议运行任何业务。 中转VPC的网段，不能与客户IDC侧网段重复。 通过对等连接连通的VPC子网网段不能重叠，本示例中业务VPC-A、业务VPC-B以及中转VPC-Transit的网段均不相同。 VPC有一个默认路由表。 VPC默认路由表中的路由说明如下，详细路由信息请参见表3。 下一跳为对等连接：表示通过Peer-A-T和Peer-B-T，转发业务VPC-A和VPC-B之间的流量，此处目的地址分别配置为VPC-A和VPC-B的网段。 下一跳为企业路由器：表示通过ER，将业务VPC-A和VPC-B的流量转发至DC的虚拟网关，再经过虚拟网关送达线下IDC，此处目的地址配置为线下IDC网段。 DC 1个物理连接：需要运营商施工搭建连通华为云和线下IDC的物理专线。 1个虚拟网关：将虚拟网关接入ER中，即表示将“虚拟网关（VGW）”连接添加到ER。 1个虚拟接口：连接虚拟网关和物理连接。 ER 在企业路由器中添加以下连接，并配置路由信息： VPC： 将1个“虚拟私有云（VPC）”连接关联至ER默认路由表，不开启“配置连接侧路由”，手动在VPC路由表中添加路由。 在默认路由表中添加“虚拟私有云（VPC）”连接的路由，此处不使用传播自动学习路由，需要手动在ER路由表添加静态路由，路由信息如表4所示。 DC： 将1个“虚拟网关（VGW）”连接关联至ER默认路由表。 在默认路由表中创建“虚拟网关（VGW）”连接的传播，路由自动学习DC侧的所有路由信息，路由信息如表4所示。 ECS 每个业务VPC内各有1个ECS，本示例用该ECS来验证云上业务VPC之间、以及业务VPC和线下IDC的网络通信情况。 如果您有多台ECS，并且这些ECS位于不同的安全组，需要在安全组中添加规则放通网络。 表3 VPC路由表 VPC名称 目的地址 下一跳 路由类型 VPC-A 172.17.0.0/16 对等连接：Peer-A-T 静态路由：自定义 10.10.0.0/16 对等连接：Peer-A-T 静态路由：自定义 VPC-B 172.16.0.0/16 对等连接：Peer-B-T 静态路由：自定义 10.10.0.0/16 对等连接：Peer-B-T 静态路由：自定义 VPC-Transit 172.17.0.0/16 对等连接：Peer-B-T 静态路由：自定义 172.16.0.0/16 对等连接：Peer-A-T 静态路由：自定义 10.10.0.0/16 企业路由器：ER 静态路由：自定义 在ER中添加VPC连接时，不开启“配置连接侧路由”选项，需要手动在VPC-Transit路由表中配置路由。 表4 ER路由表 目的地址 下一跳 路由类型 VPC-A网段：172.16.0.0/16 VPC-T连接：er-attach-VPCtransit 静态路由 VPC-B网段：172.17.0.0/16 VPC-T连接：er-attach-VPCtransit 静态路由 本端网关和远端网关：10.0.0.0/30 VGW连接：vgw-demo 传播路由 IDC侧网段：10.10.0.0/16 VGW连接：vgw-demo 传播路由

源规划说明 迁移过程中，除了创建企业路由器，还需要创建一些迁移所需要的临时资源，迁移完成可以释放资源，VPC对等连接迁移资源规划总体说明请参见表4。 以下资源规划详情仅为示例，供您参考，您需要根据实际业务情况规划资源。 表4 VPC对等连接迁移资源规划总体说明 资源 说明 虚拟私有云VPC VPC的资源规划详情如表5所示。 迁移前，原有3个VPC，每个VPC各有一个子网，关联至VPC默认路由表。 迁移中，在原有VPC下，各新增一个迁移验证子网，该子网网络不能被业务占用。迁移验证子网无法通过对等连接通信，用来验证VPC和ER之间的网络通信情况。 迁移完成后，删除迁移验证子网，释放资源。 VPC对等连接 VPC对等连接的资源规划详情如表6所示。 迁移完成后，删除VPC对等连接，释放资源。 弹性云服务器ECS ECS的资源规划详情如表7所示。 迁移前，原有3个云服务器，运行实际业务。 迁移中，在VPC迁移验证子网内，各创建一个云服务器，因此用来验证VPC和ER之间的网络通信情况。 迁移完成后，删除迁移验证子网内的ECS，释放资源。 企业路由器ER ER和待迁移的VPC对等连接位于同一个区域，资源规划详情如表8所示。 迁移中，创建ER，并添加3个“虚拟私有云（VPC）”连接，连接的资源规划详情如表9所示。 创建ER时，开启“默认路由表关联”和“默认路由表传播”功能，可以免去手动添加路由。 注意： 如果VPC对等连接两端的VPC网段存在重叠，则不能开启企业路由器的“默认路由表传播”功能。由于该功能是将整个VPC网段学习到ER路由表中用作目的地址，那么VPC网段重叠时，会导致ER路由表内路由冲突。此时，您需要手动在ER路由表中添加指向VPC连接的路由。 在ER中添加3个“虚拟私有云（VPC）”连接，不开启“配置连接侧路由”功能。 开启该功能后，会自动VPC路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。迁移时，需要手动在VPC路由表中添加规划的大网段路由，不能使用自动添加的路由。 表5 VPC资源规划详情 VPC名称 VPC网段 子网名称 子网网段 关联路由表 子网作用 存在阶段 vpc-A 172.16.0.0/16 subnet-A01 172.16.0.0/24 默认路由表 业务子网 迁移前/迁移完成 subnet-A02 172.16.253.0/29 默认路由表 迁移验证子网，验证VPC和ER之间的网络通信 迁移中 vpc-B 172.17.0.0/16 subnet-B01 172.17.0.0/24 默认路由表 业务子网 迁移前/迁移完成 subnet-B02 172.17.253.0/29 默认路由表 迁移验证子网，验证VPC和ER之间的网络通信 迁移中 vpc-C 172.18.0.0/16 subnet-C01 172.18.0.0/24 默认路由表 业务子网 迁移前/迁移完成 subnet-C02 172.18.253.0/29 默认路由表 迁移验证子网，验证VPC和ER之间的网络通信 迁移中 表6 VPC对等连接资源规划详情 VPC对等连接名称 本端VPC 对端VPC 对等连接作用 存在阶段 peer-AB vpc-A vpc-B 连通vpc-A的子网subnet-A01和vpc-B的子网subnet-B01网络 迁移前/迁移中 peer-AC vpc-A vpc-C 连通vpc-A的子网subnet-A01和vpc-C的子网subnet-C01网络 迁移前/迁移中 peer-BC vpc-B vpc-C 连通vpc-B的子网subnet-B01和vpc-C的子网subnet-C01网络 迁移前/迁移中 表7 ECS资源规划详情 ECS名称 VPC名称 子网名称 私有IP地址 镜像 安全组 ECS作用 存在阶段 ecs-A01 vpc-A subnet-A01 172.16.0.139 公共镜像： CentOS 8.2 64bit sg-demo： 通用Web服务器 运行业务的云服务器 迁移前/迁移中/迁移完成 ecs-A02 vpc-A subnet-A02 172.16.253.3 迁移验证子网内的ECS，验证VPC和ER之间网络通信 迁移中 ecs-B01 vpc-B subnet-B01 172.17.0.93 运行业务的云服务器 迁移前/迁移中/迁移完成 ecs-B02 vpc-B subnet-B02 172.17.253.4 迁移验证子网内的ECS，验证VPC和ER之间网络通信 迁移中 ecs-C01 vpc-C subnet-C01 172.18.0.220 运行业务的云服务器 迁移前/迁移中/迁移完成 ecs-C02 vpc-C subnet-C02 172.18.253.5 迁移验证子网内的ECS，验证VPC和ER之间网络通信 迁移中 表8 ER资源规划详情 ER名称 AS号 默认路由表关联 默认路由表传播 自动接受共享连接 关联/传播路由表 连接 存在阶段 er-ABC 64512 开启 本示例选择“开启”。 如果您的VPC网段存在重叠，则不能开启。 本示例不“开启”。 如果您要将不同账号下的VPC接入ER构建组网，则您可以开启该功能，具体请参见企业路由器的共享功能。 默认路由表 er-attach-A 迁移中/迁移完成 er-attach-B er-attach-C 表9 “虚拟私有云（VPC）”连接资源规划详情 连接名称 连接类型 虚拟私有云 子网 配置连接侧路由 存在阶段 er-attach-A 虚拟私有云（VPC） vpc-A subnet-A01 不开启 迁移中/迁移完成 er-attach-B vpc-B subnet-B01 er-attach-C vpc-C subnet-C01

网络规划说明 迁移过程中，除了添加ER和VPC之间通信的路由，还需要添加一些迁移过程中的验证路由和临时通信路由，迁移完成可以删掉不需要的路由，VPC对等连接迁移组网规划总体说明请参见表1。 不同迁移过程中组网示意图如下所示： 迁移前组网示意图 迁移中组网示意图 迁移完成后组网示意图 以下路由规划详情仅为示例，供您参考，您需要根据实际业务情况规划路由。 图1 迁移前组网示意图 图2 迁移中组网示意图 图3 迁移完成后组网示意图 表1 VPC对等连接迁移组网规划总体说明 路由表 说明 VPC路由表 VPC路由表的规划详情如表2所示。 迁移前，在VPC的路由表中，指向对等连接的路由目的地址为VPC的子网网段，未覆盖整个VPC网段，因此该对等连接不是连通整个VPC网段，而是连通VPC的子网。 迁移中，需要在VPC路由表中，添加指向VPC对等连接的临时通信路由、指向ER的大网段路由和验证路由。 指向VPC对等连接的临时通信路由，确保迁移过程中，删除原有VPC对等连接路由时流量不中断。 该路由的下一跳可以选择VPC关联的任意对等连接，目的地址不能被其他业务占用，可以选择不常用的任意路由地址。本示例中的地址为1.1.1.1/32、1.1.1.2/32、1.1.1.3/32。 指向ER的大网段路由，用作VPC和ER的通信。 该路由的目的地址即需要覆盖待迁移的所有VPC网段，又不能被其他业务占用。本示例中大网段的地址为172.16.0.0/14，覆盖172.16.0.0/16、172.17.0.0/16和172.18.0.0/16三个VPC网段。 指向ER的验证路由，用于验证VPC和ER的通信。 验证路由网段不能被VPC对等连接覆盖，无法通过对等连接通信，用来验证VPC和ER之间的网络通信情况。本示例中验证路由的地址为172.16.253.0/29、172.17.253.0/29、172.18.253.0/29。 须知： 请务必添加指向VPC对等连接的临时通信路由，由于VPC对等连接功能的限制，此路由可以确保迁移过程中，删除VPC对等连接路由时流量不中断。此处流量不中断仅针对本文的方案，您的实际迁移过程中可能会中断流量，请务必联系华为云客服评估迁移方案。 指向ER的大网段路由需要覆盖业务范围内的所有VPC网段，如果一个大网段路由不够，您可以根据实际情况规划多个大网段路由。 迁移完成后，需要在VPC路由表中删除验证路由和临时通信路由。 须知： 迁移完成后，您可以根据实际业务需要，选择继续使用大网段路由，或者添加和原有路由目的地址一致的路由后，再删除大网段路由。 ER路由表 ER路由表的规划详情如表3所示。 迁移中，在ER路由表中，增加指向VPC网段的路由，用于ER和VPC的通信。 开启ER的“默认路由表关联”和“默认路由表传播”功能，那么在ER中添加“虚拟私有云（VPC）”连接，系统会自动添加ER指向VPC的路由，无需手动添加。 注意： 如果VPC对等连接两端的VPC网段存在重叠，则不能开启企业路由器的“默认路由表传播”功能。由于该功能是将整个VPC网段学习到ER路由表中用作目的地址，那么VPC网段重叠时，会导致ER路由表内路由冲突。此时，您需要手动在ER路由表中添加指向VPC连接的路由。 表2 VPC路由表规划 VPC名称 VPC路由表名称 目的地址 下一跳类型 下一跳 路由类型 路由作用 存在阶段 vpc-A rtb-vpc-A 172.17.0.0/24 对等连接 peer-AB 自定义 目的地址指向vpc-B的子网subnet-B01 连通子网subnet-A01和subnet-B01 迁移前/迁移中 172.18.0.0/24 对等连接 peer-AC 自定义 目的地址指向vpc-C的子网subnet-C01 连通子网subnet-A01和subnet-C01 迁移前/迁移中 1.1.1.1/32 对等连接 peer-AB 自定义 目的地址指向任意未被业务占用的IP地址 确保迁移时，VPC对等连接流量不中断 迁移中 172.16.0.0/14 企业路由器 er-ABC 自定义 目的地址指向覆盖3个VPC的大网段 连通vpc-A和er-ABC 迁移中/迁移完成 172.17.253.0/29 企业路由器 er-ABC 自定义 目的地址指向vpc-B的子网subnet-B02 连通subnet-B02和er-ABC 迁移中 172.18.253.0/29 企业路由器 er-ABC 自定义 目的地址指向vpc-C的子网subnet-C02 连通subnet-C02和er-ABC 迁移中 vpc-B rtb-vpc-B 172.16.0.0/24 对等连接 peer-AB 自定义 目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-B01 迁移前/迁移中 172.18.0.0/24 对等连接 peer-BC 自定义 目的地址指向vpc-C的子网subnet-C01 连通子网subnet-B01和subnet-C01 迁移前/迁移中 1.1.1.2/32 对等连接 peer-AB 自定义 目的地址指向任意未被业务占用的IP地址 确保迁移时，VPC对等连接流量不中断 迁移中 172.16.0.0/14 企业路由器 er-ABC 自定义 目的地址指向覆盖3个VPC的大网段 连通vpc-B和er-ABC 迁移中/迁移完成 172.16.253.0/29 企业路由器 er-ABC 自定义 目的地址指向vpc-A的子网subnet-A02 连通subnet-A02和er-ABC 迁移中 172.18.253.0/29 企业路由器 er-ABC 自定义 目的地址指向vpc-C的子网subnet-C02 连通subnet-C02和er-ABC 迁移中 vpc-C rtb-vpc-C 172.16.0.0/24 对等连接 peer-AC 自定义 目的地址指向vpc-A的子网subnet-A01 连通子网subnet-A01和subnet-C01 迁移前/迁移中 172.17.0.0/24 对等连接 peer-BC 自定义 目的地址指向vpc-B的子网subnet-B01 连通子网subnet-B01和subnet-C01 迁移前/迁移中 1.1.1.3/32 对等连接 peer-AC 自定义 目的地址指向任意未被业务占用的IP地址 确保迁移时，VPC对等连接流量不中断 迁移中 172.16.0.0/14 企业路由器 er-ABC 自定义 目的地址指向覆盖3个VPC的大网段 连通vpc-C和er-ABC 迁移中/迁移完成 172.16.253.0/29 企业路由器 er-ABC 自定义 目的地址指向vpc-A的子网subnet-A02 连通subnet-A02和er-ABC 迁移中 172.17.253.0/29 企业路由器 er-ABC 自定义 目的地址指向vpc-B的子网subnet-B02 连通subnet-B02和er-ABC 迁移中 表3 ER路由表规划 ER名称 ER路由表名称 目的地址 下一跳 连接资源 路由类型 路由作用 存在阶段 er-ABC defaultRouteTable 172.16.0.0/16 er-attach-A vpc-A 传播路由 目的地址指向vpc-A 连通vpc-A和er-ABC 迁移中/迁移完成 172.17.0.0/16 er-attach-B vpc-B 传播路由 目的地址指向vpc-B 连通vpc-B和er-ABC 迁移中/迁移完成 172.18.0.0/16 er-attach-C vpc-C 传播路由 目的地址指向vpc-C 连通vpc-C和er-ABC 迁移中/迁移完成

创建云服务资源 本示例中，您需要创建企业路由器，虚拟私有云、云连接中心网络等资源，资源规划详情请参见表5。 在3个区域内，各创建1个企业路由器。 创建企业路由器，具体方法请参见创建企业路由器。 不同区域内的企业路由器，建议您使用不同的AS号。 在3个区域内，各创建1个VPC。 创建VPC及子网，具体方法请参见创建虚拟私有云和子网。 在3个区域内，各创建1个ECS。 创建ECS，具体方法请参见购买方式概述。 创建云连接中心网络，并在策略中添加需要连通的企业路由器。 创建1个云连接中心网络，并在策略中添加企业路由器。 创建云连接中心网络，具体方法请参见创建云连接中心网络。 在企业路由器控制台，查看“对等连接（Peering）”连接的添加情况。 具体方法请参见查看连接。 “对等连接（Peering）”连接的状态“正常”，表示已成功接入企业路由器中。 由于本示例创建ER时，开启“默认路由表关联”和“默认路由表传播”，因此配置策略，即添加完“对等连接（Peering）”连接后，以下均为系统自动配置： 在ER的默认路由表中创建关联 在ER默认路由表中创建传播，并自动学习对方路由表中的路由信息。 创建3个全域互联带宽，连通不同区域的网络链路。 创建全域互联带宽，具体方法请参见购买全域互联带宽。 父主题： 通过中心网络构建跨区域VPC互通组网步骤