場景示例

本文以下圖場景為例。某企業在阿里云華東2（上海）地域已經部署了一個專有網絡VPC（Virtual Private Cloud）和交換機，交換機中創建了多臺ECS實例。該企業云下總部已通過物理專線和邊界路由器VBR（Virtual Border Router）接入阿里云。云上的VPC與總部已經通過云企業網CEN（Cloud Enterprise Network）互通。然而，企業要求VPC與總部互訪時的私網IP地址固定。

前提條件

• 您已經在華東2（上海）地域創建了名稱為VPC1的專有網絡，并在VPC1創建了名稱為VSW1和VSW2的交換機。VSW1位于可用區F，VSW2位于可用區G。具體操作，請參見創建和管理專有網絡。

  說明

  使用企業版轉發路由器創建VPC連接前，請確保VPC實例在企業版轉發路由器支持的可用區擁有至少一個交換機實例，且該交換機實例擁有至少一個空閑的IP地址。本文創建的轉發路由器實例在華東2（上海）地域，支持的可用區為上海可用區F和上海可用區G。

• 您已經在VPC1中創建了名稱為NATVSW的中轉交換機，位于可用區H。

• 您已經在VSW1和VSW2中分別創建名稱為ECS1和ECS2的ECS實例并部署了應用服務。具體操作，請參見自定義購買實例。

• 您已在華東2（上海）地域創建了物理專線和邊界路由器VBR（Virtual Private Cloud）。具體操作，請參見創建和管理獨享專線連接和創建和管理邊界路由器。

• 您已經創建了云企業網CEN實例。具體操作，請參見創建云企業網實例。

• 您已經在VPC實例所在地域創建了企業版轉發路由器實例。具體操作，請參見轉發路由器實例。

配置步驟

步驟一：連接VPC實例和VBR實例

您需要在華東2（上海）地域的轉發路由器中創建與物理專線關聯的VBR連接和需要互通的VPC連接，實現本地IDC和VPC的私網互通。

1. 登錄云企業網管理控制臺。
2. 在云企業網實例頁面，找到目標云企業網實例，單擊目標實例ID。

3. 在基本信息 > 轉發路由器頁簽，找到目標地域的轉發路由器實例，在操作列單擊創建網絡實例連接。

4. 在連接網絡實例頁面，配置以下參數信息創建VPC連接，然后單擊確定創建。

   說明

   在初次執行此操作時，系統會自動為您創建一個名稱為AliyunServiceRoleForCEN的服務關聯角色。該角色允許轉發路由器實例在VPC的交換機上創建ENI。更多信息，請參見AliyunServiceRoleForCEN。

   參數	配置
   實例類型	選擇待連接的網絡實例類型。 本文選擇專有網絡（VPC）。
   地域	選擇待連接的網絡實例所在的地域。 本文選擇華東2（上海）。
   轉發路由器	系統自動顯示當前地域下已創建的轉發路由器實例。
   資源歸屬UID	選擇待連接的網絡實例所屬的賬號類型。 本文選擇同賬號。
   付費方式	轉發路由器的計費模式默認為按量付費。 按量付費的計費規則，請參見計費說明。
   網絡實例	選擇待連接的VPC實例ID。 本文選擇已創建的VPC。
   交換機	在轉發路由器支持的可用區選擇至少2個交換機實例。
   高級配置	系統默認為您選中三種高級功能，即自動關聯至轉發路由器的默認路由表、自動傳播系統路由至轉發路由器的默認路由表和自動為VPC的所有路由表配置指向轉發路由器的路由。 本文保持默認配置。

5. 在連接網絡實例頁面，單擊繼續創建連接。

6. 在連接網絡實例頁面，配置以下參數信息創建VBR1連接，然后單擊確定創建。

   參數	配置
   實例類型	本文選擇邊界路由器（VBR）。
   地域	選擇待連接的網絡實例所在的地域。 本文選擇華東2（上海）地域。
   轉發路由器	系統自動顯示當前地域已創建的轉發路由器實例。
   資源歸屬UID	選擇待連接的網絡實例所屬的賬號類型。 本文使用默認值同賬號。
   網絡實例	選擇待連接的VBR實例ID。 本文選擇已創建的VBR1實例。
   高級配置	系統默認為您選中三種高級功能，即自動關聯至轉發路由器的默認路由表、自動傳播系統路由至轉發路由器的默認路由表和自動發布路由到VBR。 本文保持默認配置。

   網絡連接創建完成后，您可以在地域內連接管理頁簽查看VPC連接和VBR連接的信息。具體操作，請參見查看網絡實例連接。

步驟二：配置VBR路由

在VBR上配置指向本地IDC的路由。

1. 登錄高速通道管理控制臺。

2. 在頂部菜單欄，選擇目標地域，然后在左側導航欄，單擊邊界路由器（VBR）。

3. 在邊界路由器（VBR）頁面，單擊目標VBR實例ID。

4. 在邊界路由器詳情頁面，單擊路由條目頁簽，然后單擊添加路由條目。

5. 在添加路由條目面板，配置以下參數信息，然后單擊確定。

   參數	說明
   下一跳類型	選擇路由條目的下一跳類型。本文選擇物理專線接口。
   目標網段	本文輸入本地IDC中服務器的IP地址：172.16.10.137。
   下一跳	選擇物理專線接口。

步驟三：創建VPC NAT網關

1. 登錄NAT網關管理控制臺。
2. 在左側導航欄，選擇NAT網關 > VPC NAT網關。
3. 在VPC NAT網關頁面，單擊創建VPC NAT網關。

4. 在VPC NAT網關（按量付費）頁面，配置以下參數信息，然后單擊立即購買。

   參數	說明
   地域	選擇需要創建VPC NAT網關實例的地域。本文選擇華東2（上海）。
   VPC ID	選擇VPC NAT網關實例所屬的VPC。創建VPC NAT網關實例后，不能修改其所屬的VPC。本文選擇VPC1。
   可用區	選擇VPC NAT網關實例所屬的可用區。本文選擇NATVSW的可用區，即可用區H。
   交換機ID	選擇VPC NAT網關實例所屬的交換機。本文選擇NATVSW。
   實例名稱	設置VPC NAT網關實例的名稱。 名稱長度為1~128個字符。本文設置為VPC_NATGW。
   服務關聯角色	顯示是否已有VPC NAT網關的服務關聯角色。 初次使用NAT網關（包含公網NAT網關和VPC NAT網關），需要單擊創建服務關聯角色完成創建。

5. 在確認訂單頁面，確認參數的配置信息并選中服務協議，然后單擊立即開通。

   當出現恭喜，開通成功！的提示后，說明您創建成功。

步驟四：為VPC1的系統路由表添加路由條目

為VPC1的系統路由表添加指向VPC NAT網關的路由條目。

1. 登錄專有網絡管理控制臺。

2. 在專有網絡，找到VPC1，然后單擊VPC的ID。

3. 在VPC詳情頁面，單擊資源管理頁簽，單擊路由表下方的鏈接。

4. 在路由表頁面，找到路由表類型為系統的路由表，單擊其ID。

5. 在路由表詳情頁面，選擇路由條目列表 > 自定義路由條目頁簽，然后單擊添加路由條目。

6. 在添加路由條目面板，配置以下參數，然后單擊確定。

   參數	說明
   名稱	輸入路由條目的名稱。本文輸入VPCENTRY。
   目標網段	輸入要轉發到的目標網段。本文輸入本地IDC中服務器的IP地址：172.16.10.137。
   下一跳類型	選擇下一跳的類型。本文選擇NAT網關。
   NAT網關	選擇具體的NAT網關實例。本文選擇VPC NAT網關。

步驟五：創建自定義路由表并添加路由條目

為NATVSW交換機創建自定義路由表并添加指向轉發路由器的路由條目。

關于支持創建自定義路由表的地域信息，請參見自定義路由表發布及地域支持情況。

1. 登錄專有網絡管理控制臺。
2. 在左側導航欄，單擊路由表。
3. 在頂部菜單欄，選擇路由表所屬的地域。

4. 執行以下步驟，創建自定義路由表并綁定交換機。

   1. 在路由表頁面，單擊創建路由表。

   2. 在創建路由表頁面，配置以下參數信息，然后單擊確定。

      參數	說明
      資源組	選擇路由表所屬的資源組。本文選擇全部。
      專有網絡	選擇路由表所屬的VPC。本文選擇VPC1。
      名稱	輸入路由表的名稱。本文輸入NATVTB。
      描述	輸入路由表的描述。本文輸入VPCNAT的自定義路由表。。

   3. 單擊已綁定交換機頁簽，然后單擊綁定交換機。

   4. 在綁定交換機對話框，選擇要綁定的交換機，然后單擊確定。

      本文選擇NATVSW交換機。

5. 執行以下步驟，為自定義路由表添加路由條目。

   1. 在路由表，找到已創建的自定義路由表，單擊路由表的ID。

   2. 選擇路由條目列表 > 自定義路由條目頁簽，單擊添加路由條目。

   3. 在添加路由條目面板，配置以下參數信息，然后單擊確定。

      參數	說明
      名稱	輸入路由條目的名稱。本文輸入VPCNATENTRY。
      目標網段	輸入要轉發到的目標網段。本文輸入本地IDC中服務器的IP地址：172.16.10.137。
      下一跳類型	選擇下一跳的類型。本文選擇轉發路由器。
      轉發路由器	選擇具體的轉發路由器實例。本文選擇加入至轉發路由器的VPC1連接。

步驟六：使用默認NAT IP創建SNAT條目和DNAT條目

創建SNAT條目，使得云上ECS實例可以訪問本地IDC。創建DNAT條目，使得云上ECS實例可以被本地IDC訪問。

1. 登錄NAT網關管理控制臺。
2. 在左側導航欄，選擇NAT網關 > VPC NAT網關。
3. 在頂部菜單欄，選擇公網NAT網關的地域。

4. 執行以下步驟，創建SNAT條目。

   1. 在VPC NAT網關頁面，找到目標VPC NAT網關實例，然后在操作列單擊SNAT管理。
   2. 在SNAT管理頁簽，單擊創建SNAT條目。

   3. 在創建SNAT條目頁面，配置以下參數信息，然后單擊確定創建。

      參數	說明
      SNAT條目粒度	選擇SNAT條目的粒度。本文選擇交換機粒度，然后在選擇交換機列表中選擇云上ECS實例所在交換機。本文選擇VSW1。交換機網段處會顯示VSW1的網段。
      選擇NAT IP地址	在下拉列表中選擇用來訪問外部私有網絡的NAT IP地址。本文選擇默認NAT IP地址。
      條目名稱	SNAT條目的名稱。

5. 返回VPC NAT網關頁面，然后執行以下操作，創建DNAT條目。

   1. 在VPC NAT網關頁面，找到目標VPC NAT網關實例，然后在操作列單擊DNAT管理。
   2. 在DNAT管理頁簽，單擊創建DNAT條目。

   3. 在創建DNAT條目頁面，配置以下參數信息，然后單擊確定創建。

      參數	說明
      選擇NAT IP地址	選擇供外部私有網絡訪問的NAT IP地址。 本文選擇默認NAT IP地址。
      選擇私網IP地址	選擇要通過DNAT規則進行通信的私網IP地址。本文以通過ECS或彈性網卡進行選擇方式，選擇云上ECS1的私網IP地址。
      端口設置	選擇DNAT映射的方式。本文選擇端口映射方式。選擇具體端口，然后輸入前端端口22、后端端口為22，選擇協議類型為TCP。
      條目名稱	輸入DNAT條目的名稱。

步驟七：配置本地IDC路由

上述步驟已完成阿里云上的配置，您還需要在物理專線接入設備上配置指向VPC的路由。

ip route 192.168.0.0 255.255.0.0 10.0.0.2

步驟八：測試連通性

測試云上ECS實例是否與本地IDC互訪。

1. 登錄VSW1的ECS1。具體操作，請參見ECS連接方式概述。

2. 執行ping本地IDC內服務器IP地址命令，測試ECS1是否能訪問本地IDC內的服務器。

   本文執行以下命令。

   ping 172.16.10.137

   如果能接收到回復報文，表示連接成功。

3. 登錄本地IDC內的服務器，執行ssh root@NAT IP命令，此處的NAT IP為VPC NAT網關的默認NAT IP地址，然后輸入ECS1的登錄密碼，測試本地IDC內的服務器是否可以遠程連接到ECS1。

   本文執行以下命令。

   ssh 192.168.3.132

   如果能接收到回復報文，表示連接成功。