通过企业路由器和中转VPC构建组网实施步骤

步骤一：创建云服务资源

本步骤指导您创建业务VPC、ECS以及ER服务资源，云服务资源的总体规划说明，请参见表5。

1. 创建1个企业路由器。

   企业路由器的“默认路由表传播”功能需要关闭，更多资源详情请参见表9。

   创建企业路由器，具体方法请参见创建企业路由器。

2. 创建业务VPC和中转VPC。

   创建VPC及子网，具体方法请参见创建虚拟私有云和子网。

3. 创建ECS。

   本示例中ECS主要用于验证网络通信使用，数量和配置仅供参考，请您根据实际需要创建ECS。

   创建ECS，具体方法请参见购买方式概述。

步骤二：创建对等连接并配置路由

1. 创建业务VPC和中转VPC之间的对等连接。
   1. 创建对等连接Peer-A-T，连通VPC-A和VPC-Transit。
   2. 创建对等连接Peer-B-T，连通VPC-B和VPC-Transit。

   VPC对等连接的资源详情规划请参见表7。

   • 如果业务VPC和中转VPC位于同一个账户下，创建方法请参见：创建相同账户下的对等连接。
   • 如果业务VPC和中转VPC位于不同的账户下，创建方法请参见：创建不同账户下的对等连接。

2. 在VPC-A、VPC-B和VPC-Transit的路由表中，依次添加下一跳为对等连接的路由。

   配置路由信息，具体方法请参见在VPC路由表中配置路由。

   本示例中添加表3中下一跳为对等连接的路由。

   • 在VPC-A的路由表中，添加172.17.0.0/16和10.10.0.0/16两条路由。
   • 在VPC-B的路由表中，添加172.16.0.0/16和10.10.0.0/16两条路由。
   • 在VPC-Transit的路由表中，添加172.17.0.0/16和172.16.0.0/16两条路由。

3. 在弹性云服务器的远程登录窗口，执行以下步骤，验证VPC-A和VPC-B的网络通信情况。

   弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。

   本示例是通过管理控制台远程登录（VNC方式）。

   1. 登录ECS-A，验证VPC-A与VPC-B是否可以通过对等连接通信。

      ping ECS-B的私有IP地址

      命令示例：

      ping 172.17.1.113

      回显类似如下信息，表示VPC-A与VPC-B通信正常。

      [root@ECS-A ~]# ping 172.17.1.113
      PING 172.17.1.113 (172.17.1.113) 56(84) bytes of data.
      64 bytes from 172.17.1.113: icmp_seq=1 ttl=64 time=0.849 ms
      64 bytes from 172.17.1.113: icmp_seq=2 ttl=64 time=0.455 ms
      64 bytes from 172.17.1.113: icmp_seq=3 ttl=64 time=0.385 ms
      64 bytes from 172.17.1.113: icmp_seq=4 ttl=64 time=0.372 ms
      ...
      --- 172.17.1.113 ping statistics ---

   2. 登录ECS-B，验证VPC-B与VPC-A是否可以通过对等连接通信。

      ping ECS-A的私有IP地址

      命令示例：

      ping 172.16.1.25

      回显类似如下信息，表示VPC-B与VPC-A通信正常。

      [root@ECS-B ~]# ping 172.16.1.25
      PING 172.16.1.25 (172.16.1.25) 56(84) bytes of data.
      64 bytes from 172.16.1.25: icmp_seq=1 ttl=64 time=0.849 ms
      64 bytes from 172.16.1.25: icmp_seq=2 ttl=64 time=0.455 ms
      64 bytes from 172.16.1.25: icmp_seq=3 ttl=64 time=0.385 ms
      64 bytes from 172.16.1.25: icmp_seq=4 ttl=64 time=0.372 ms
      ...
      --- 172.16.1.25 ping statistics ---

步骤三：在企业路由器中添加并配置VPC连接

1. 将中转VPC接入企业路由器中。

   添加连接时，不开启“配置连接侧路由”功能，更多资源详情请参见表9。

   

   开启该功能后，会自动VPC路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。本示例需要添加业务VPC的网段地址作为路由目的地址，因此需要手动添加。

   添加“虚拟私有云（VPC）”连接，具体方法请参见在企业路由器中添加VPC连接。

2. 在中转VPC路由表中，添加下一跳为ER的路由。

   配置路由信息，具体方法请参见在VPC路由表中配置路由。

   本示例中，在VPC-Transit的路由表中，添加表3中下一跳为ER，目的地址为10.10.0.0/16的路由。

3. 在ER路由表中，添加下一跳为VPC连接的静态路由。

   创建静态路由，具体方法请参见创建静态路由。

   本示例中，在er-demo的路由表中，添加表4中下一跳为VPC-T连接，目的地址分别为172.16.0.0/16和172.17.0.0/16的路由。

步骤四：在企业路由器中添加并配置VGW连接

本示例中，云专线DC资源的总体规划说明，请参见表8。

1. 创建物理连接。

   创建方法，具体请参见物理连接接入。

2. 创建虚拟网关，即在企业路由器中添加“虚拟网关（VGW）”连接。
   1. 在云专线管理控制台，创建虚拟网关。

      具体方法请参见步骤2：创建虚拟网关。

   2. 在企业路由器控制台，查看“虚拟网关（VGW）”连接的添加情况。

      具体方法请参见查看连接。

      “虚拟网关（VGW）”连接的状态“正常”，表示已成功接入企业路由器中。

      由于本示例创建ER时，开启“默认路由表关联”，未开启“默认路由表传播”，因此添加完“虚拟网关（VGW）”连接后：

      • 系统自动在ER默认路由表中创建关联，无需手动创建。
      • 需要继续执行3，手动创建传播。

3. 在ER路由表中，为“虚拟网关（VGW）”连接创建传播，自动学习IDC的路由信息。

   创建传播，具体方法请参见创建传播。

   需要执行以下步骤连通DC后，才可以在ER路由表中查看到IDC侧的路由信息。

4. 创建虚拟接口。

   创建虚拟接口用来连接虚拟网关和线下IDC，具体方法请参见步骤3：创建虚拟接口。

5. 配置IDC侧路由到华为云的路由。

   以华为网络设备为例，配置BGP路由：

   bgp 65525

   peer 10.0.0.1 as-number 64512

   peer 10.0.0.1 password simple 12345678

   network 10.10.0.0 255.255.0.0

   表1 BGP路由

   命令	命令说明
   bgp 65525	启动BGP，其中： 65525：IDC侧AS号。
   peer 10.0.0.1 as-number 64512	创建BGP的对等体(EBGP)，其中： 10.0.0.1：华为云侧网关。 64512：华为云侧AS号，固定为64512。
   peer 10.0.0.1 password simple 12345678	BGP对等体建立TCP连接时对BGP消息进行MD5认证，其中： 12345678：BGP MD5认证密码。
   network 10.10.0.0 255.255.0.0	将IP路由表中已存在的路由添加到BGP路由表中，其中： 10.10.0.0：IDC侧子网。 255.255.0.0：IDC侧子网掩码。

步骤五：验证VPC和IDC的通信情况

1. 登录弹性云服务器，执行以下步骤，验证业务VPC与IDC通信情况。

   弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。

   本示例是通过管理控制台远程登录（VNC方式）。

   1. 登录ECS-A，执行以下命令，验证VPC-A与IDC是否可以通过ER通信。

      ping IDC侧任意一个IP地址

      命令示例：

      ping 10.10.0.27

      回显类似如下信息，表示VPC-A与IDC可以通过ER通信。

      [root@ECS-A ~]# ping 10.10.0.27
      PING 10.10.0.27 (10.10.0.27) 56(84) bytes of data.
      64 bytes from 10.10.0.27: icmp_seq=1 ttl=64 time=0.849 ms
      64 bytes from 10.10.0.27: icmp_seq=2 ttl=64 time=0.455 ms
      64 bytes from 10.10.0.27: icmp_seq=3 ttl=64 time=0.385 ms
      64 bytes from 10.10.0.27: icmp_seq=4 ttl=64 time=0.372 ms
      ...
      --- 10.10.0.27 ping statistics ---

   2. 登录ECS-B，执行以下命令，验证VPC-B与IDC是否可以通过ER通信。

      ping IDC侧任意一个IP地址

      命令示例：

      ping 10.10.0.30

      回显类似如下信息，表示VPC-B与IDC可以通过ER通信。

      [root@ECS-B ~]# ping 10.10.0.30
      PING 10.10.0.30 (10.10.0.30) 56(84) bytes of data.
      64 bytes from 10.10.0.30: icmp_seq=1 ttl=64 time=0.849 ms
      64 bytes from 10.10.0.30: icmp_seq=2 ttl=64 time=0.455 ms
      64 bytes from 10.10.0.30: icmp_seq=3 ttl=64 time=0.385 ms
      64 bytes from 10.10.0.30: icmp_seq=4 ttl=64 time=0.372 ms
      ...
      --- 10.10.0.30 ping statistics ---

2. 登录弹性云服务器，执行以下步骤，验证业务VPC之间的通信情况。

   弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。

   本示例是通过管理控制台远程登录（VNC方式）。

   1. 登录ECS-A，验证VPC-A与VPC-B是否可以通过对等连接通信。

      ping ECS-B的私有IP地址

      命令示例：

      ping 172.17.1.113

      回显类似如下信息，表示VPC-A与VPC-B通信正常。

      [root@ECS-A ~]# ping 172.17.1.113
      PING 172.17.1.113 (172.17.1.113) 56(84) bytes of data.
      64 bytes from 172.17.1.113: icmp_seq=1 ttl=64 time=0.849 ms
      64 bytes from 172.17.1.113: icmp_seq=2 ttl=64 time=0.455 ms
      64 bytes from 172.17.1.113: icmp_seq=3 ttl=64 time=0.385 ms
      64 bytes from 172.17.1.113: icmp_seq=4 ttl=64 time=0.372 ms
      ...
      --- 172.17.1.113 ping statistics ---

   2. 登录ECS-B，验证VPC-B与VPC-A是否可以通过对等连接通信。

      ping ECS-A的私有IP地址

      命令示例：

      ping 172.16.1.25

      回显类似如下信息，表示VPC-B与VPC-A通信正常。

      [root@ECS-B ~]# ping 172.16.1.25
      PING 172.16.1.25 (172.16.1.25) 56(84) bytes of data.
      64 bytes from 172.16.1.25: icmp_seq=1 ttl=64 time=0.849 ms
      64 bytes from 172.16.1.25: icmp_seq=2 ttl=64 time=0.455 ms
      64 bytes from 172.16.1.25: icmp_seq=3 ttl=64 time=0.385 ms
      64 bytes from 172.16.1.25: icmp_seq=4 ttl=64 time=0.372 ms
      ...
      --- 172.16.1.25 ping statistics ---