- 最新动态
- 功能总览
- 产品介绍
- 计费说明
- 快速入门
- 用户指南
-
最佳实践
- 企业路由器最佳实践汇总
- 通过企业路由器和云连接中心网络实现跨区域VPC互通
- 通过企业路由器实现同区域VPC隔离
- 通过企业路由器和第三方防火墙实现多VPC互访流量清洗
- 通过企业路由器和中转VPC构建组网
- 通过企业路由器和云专线构建混合云组网(全域接入网关DGW)
- 通过企业路由器构建DC双链路负载混合云组网(全域接入网关DGW)
- 通过企业路由器构建DC双链路主备混合云组网(全域接入网关DGW)
- 通过企业路由器构建DC/VPN双链路主备混合云组网(全域接入网关DGW)
- 通过企业路由器和云专线实现线下IDC和云上VPC互通(虚拟网关VGW)
- 通过企业路由器构建DC双链路负载混合云组网(虚拟网关VGW)
- 通过企业路由器构建DC/VPN双链路主备混合云组网(虚拟网关VGW)
- 通过企业路由器和NAT网关实现多个VPC共享SNAT访问公网
- 将VPC对等连接组网迁移至企业路由器
- 将DC直连VPC组网迁移至企业路由器(全域接入网关DGW)
- 将云连接实例直连VPC组网迁移至中心网络和企业路由器
- API参考
- 常见问题
- 文档下载
- 通用参考
链接复制成功!
通过企业路由器和中转VPC构建组网实施步骤
步骤一:创建云服务资源
本步骤指导您创建业务VPC、ECS以及ER服务资源,云服务资源的总体规划说明,请参见表5。
- 创建1个企业路由器。
企业路由器的“默认路由表传播”功能需要关闭,更多资源详情请参见表9。
创建企业路由器,具体方法请参见创建企业路由器。
- 创建业务VPC和中转VPC。
创建VPC及子网,具体方法请参见创建虚拟私有云和子网。
- 创建ECS。
本示例中ECS主要用于验证网络通信使用,数量和配置仅供参考,请您根据实际需要创建ECS。
创建ECS,具体方法请参见自定义购买ECS。
步骤二:创建对等连接并配置路由
- 创建业务VPC和中转VPC之间的对等连接。
- 创建对等连接Peer-A-T,连通VPC-A和VPC-Transit。
- 创建对等连接Peer-B-T,连通VPC-B和VPC-Transit。
VPC对等连接的资源详情规划请参见表7。
- 如果业务VPC和中转VPC位于同一个账户下,创建方法请参见:创建相同账户下的对等连接。
- 如果业务VPC和中转VPC位于不同的账户下,创建方法请参见:创建不同账户下的对等连接。
- 在VPC-A、VPC-B和VPC-Transit的路由表中,依次添加下一跳为对等连接的路由。
配置路由信息,具体方法请参见在VPC路由表中配置路由。
本示例中添加表3中下一跳为对等连接的路由。
- 在VPC-A的路由表中,添加172.17.0.0/16和10.10.0.0/16两条路由。
- 在VPC-B的路由表中,添加172.16.0.0/16和10.10.0.0/16两条路由。
- 在VPC-Transit的路由表中,添加172.17.0.0/16和172.16.0.0/16两条路由。
- 在弹性云服务器的远程登录窗口,执行以下步骤,验证VPC-A和VPC-B的网络通信情况。
弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。
本示例是通过管理控制台远程登录(VNC方式)。- 登录ECS-A,验证VPC-A与VPC-B是否可以通过对等连接通信。
命令示例:
ping 172.17.1.113
回显类似如下信息,表示VPC-A与VPC-B通信正常。[root@ECS-A ~]# ping 172.17.1.113 PING 172.17.1.113 (172.17.1.113) 56(84) bytes of data. 64 bytes from 172.17.1.113: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.17.1.113: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.17.1.113: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.17.1.113: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.17.1.113 ping statistics ---
- 登录ECS-B,验证VPC-B与VPC-A是否可以通过对等连接通信。
命令示例:
ping 172.16.1.25
回显类似如下信息,表示VPC-B与VPC-A通信正常。[root@ECS-B ~]# ping 172.16.1.25 PING 172.16.1.25 (172.16.1.25) 56(84) bytes of data. 64 bytes from 172.16.1.25: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.16.1.25: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.16.1.25: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.16.1.25: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.16.1.25 ping statistics ---
- 登录ECS-A,验证VPC-A与VPC-B是否可以通过对等连接通信。
步骤三:在企业路由器中添加并配置VPC连接
- 将中转VPC接入企业路由器中。
添加连接时,不开启“配置连接侧路由”功能,更多资源详情请参见表9。
须知:
开启该功能后,会在VPC路由表中自动添加指向ER的路由,目的地址固定为10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。本示例需要添加业务VPC的网段地址作为路由目的地址,因此需要手动添加。
添加“虚拟私有云(VPC)”连接,具体方法请参见在企业路由器中添加VPC连接。
- 在中转VPC路由表中,添加下一跳为ER的路由。
配置路由信息,具体方法请参见在VPC路由表中配置路由。
本示例中,在VPC-Transit的路由表中,添加表3中下一跳为ER,目的地址为10.10.0.0/16的路由。
- 在ER路由表中,添加下一跳为VPC连接的静态路由。
创建静态路由,具体方法请参见创建静态路由。
本示例中,在er-demo的路由表中,添加表4中下一跳为VPC-T连接,目的地址分别为172.16.0.0/16和172.17.0.0/16的路由。
步骤四:在企业路由器中添加并配置VGW连接
本示例中,云专线DC资源的总体规划说明,请参见表8。
- 创建物理连接。
创建方法,具体请参见物理连接接入。
- 创建虚拟网关,即在企业路由器中添加“虚拟网关(VGW)”连接。
- 在云专线管理控制台,创建虚拟网关。
具体方法请参见步骤2:创建虚拟网关。
- 在企业路由器控制台,查看“虚拟网关(VGW)”连接的添加情况。
具体方法请参见查看连接。
“虚拟网关(VGW)”连接的状态“正常”,表示已成功接入企业路由器中。
- 在云专线管理控制台,创建虚拟网关。
- 在ER路由表中,为“虚拟网关(VGW)”连接创建传播,自动学习IDC的路由信息。
创建传播,具体方法请参见创建传播。
需要执行以下步骤连通DC后,才可以在ER路由表中查看到IDC侧的路由信息。
- 创建虚拟接口。
创建虚拟接口用来连接虚拟网关和线下IDC,具体方法请参见步骤3:创建虚拟接口。
- 配置IDC侧路由到华为云的路由。
以华为网络设备为例,配置BGP路由:
bgp 65525
peer 10.0.0.1 as-number 64512
peer 10.0.0.1 password simple Qaz12345678
network 10.10.0.0 255.255.0.0
表1 BGP路由 命令
命令说明
bgp 65525
启动BGP,其中:
65525:IDC侧AS号。
peer 10.0.0.1 as-number 64512
创建BGP的对等体(EBGP),其中:- 10.0.0.1:华为云侧网关。
- 64512:华为云侧AS号,固定为64512。
peer 10.0.0.1 password simple Qaz12345678
BGP对等体建立TCP连接时对BGP消息进行MD5认证,其中:
Qaz12345678:BGP MD5认证密码。
network 10.10.0.0 255.255.0.0
将IP路由表中已存在的路由添加到BGP路由表中,其中:
- 10.10.0.0:IDC侧子网。
- 255.255.0.0:IDC侧子网掩码。
步骤五:验证VPC和IDC的通信情况
- 登录弹性云服务器,执行以下步骤,验证业务VPC与IDC通信情况。
弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。
本示例是通过管理控制台远程登录(VNC方式)。
- 登录ECS-A,执行以下命令,验证VPC-A与IDC是否可以通过ER通信。
命令示例:
ping 10.10.0.27
回显类似如下信息,表示VPC-A与IDC可以通过ER通信。[root@ECS-A ~]# ping 10.10.0.27 PING 10.10.0.27 (10.10.0.27) 56(84) bytes of data. 64 bytes from 10.10.0.27: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 10.10.0.27: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 10.10.0.27: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 10.10.0.27: icmp_seq=4 ttl=64 time=0.372 ms ... --- 10.10.0.27 ping statistics ---
- 登录ECS-B,执行以下命令,验证VPC-B与IDC是否可以通过ER通信。
命令示例:
ping 10.10.0.30
回显类似如下信息,表示VPC-B与IDC可以通过ER通信。[root@ECS-B ~]# ping 10.10.0.30 PING 10.10.0.30 (10.10.0.30) 56(84) bytes of data. 64 bytes from 10.10.0.30: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 10.10.0.30: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 10.10.0.30: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 10.10.0.30: icmp_seq=4 ttl=64 time=0.372 ms ... --- 10.10.0.30 ping statistics ---
- 登录ECS-A,执行以下命令,验证VPC-A与IDC是否可以通过ER通信。
- 登录弹性云服务器,执行以下步骤,验证业务VPC之间的通信情况。
弹性云服务器有多种登录方法,具体请参见登录弹性云服务器。
本示例是通过管理控制台远程登录(VNC方式)。- 登录ECS-A,验证VPC-A与VPC-B是否可以通过对等连接通信。
命令示例:
ping 172.17.1.113
回显类似如下信息,表示VPC-A与VPC-B通信正常。[root@ECS-A ~]# ping 172.17.1.113 PING 172.17.1.113 (172.17.1.113) 56(84) bytes of data. 64 bytes from 172.17.1.113: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.17.1.113: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.17.1.113: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.17.1.113: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.17.1.113 ping statistics ---
- 登录ECS-B,验证VPC-B与VPC-A是否可以通过对等连接通信。
命令示例:
ping 172.16.1.25
回显类似如下信息,表示VPC-B与VPC-A通信正常。[root@ECS-B ~]# ping 172.16.1.25 PING 172.16.1.25 (172.16.1.25) 56(84) bytes of data. 64 bytes from 172.16.1.25: icmp_seq=1 ttl=64 time=0.849 ms 64 bytes from 172.16.1.25: icmp_seq=2 ttl=64 time=0.455 ms 64 bytes from 172.16.1.25: icmp_seq=3 ttl=64 time=0.385 ms 64 bytes from 172.16.1.25: icmp_seq=4 ttl=64 time=0.372 ms ... --- 172.16.1.25 ping statistics ---
- 登录ECS-A,验证VPC-A与VPC-B是否可以通过对等连接通信。
