本文将介绍如何实现相同账号相同地域的多个云上VPC与云下数据中心之间的相互访问。

场景介绍

一般情况下，不同私有网络之间、私有网络和专线连接之间网络隔离，不能相互访问。通过云企业网，可以实现私有网络和专线连接之间的网络互通，进而实现云上网络与专线连接连通的云下数据中心之间的互通。
本文介绍如何通过云企业网实现如下图所示的云上多VPC与云下多数据中心之间的互通。

图中标注的是各服务的示例信息，实际操作时请根据网络规划修改相关信息。

上图中所有资源均属于华北2（北京）地域，图中其他数据说明如下：

• 私有网络vpc-1：子网网段为192.168.1.0/24，云服务器ecs-1的私网IP地址为192.168.1.10
• 私有网络vpc-2：子网网段为192.168.2.0/24，云服务器ecs-2的私网IP地址为192.168.2.10
• 专线网关dcgw-1：IP地址为10.0.0.1
• 专线网关dcgw-2：IP地址为172.16.4.1
• 本地数据中心IDC1：本地网关IP为10.0.0.2，子网网段为172.16.1.0/24，服务器IP地址为172.16.1.10
• 本地数据中心IDC2：本地网关IP为172.16.4.2，子网网段为172.16.2.0/24，服务器IP地址为172.16.2.10

前提条件

• 已完成火山引擎账号注册、实名认证和账号充值，并确认您的火山引擎账号余额（即现金余额）和代金券的总值大于等于100元人民币，否则可能无法购买相关云资源。
• 已创建所需的私有网络及其子网，详细步骤请参见创建私有网络。

  说明

  各个私有网络的子网网段不能重叠或冲突。已存的所有路由条目不能与加入专线连接后的子网路由冲突。

• 已创建各私有网络下的云服务器实例且已添加安全组入方向规则允许本地IDC网段访问，详细步骤请参见购买云服务器和添加安全组访问规则。
• 已获取场景介绍中的网络规划数据。

配置步骤

步骤一：配置专线连接

1. 参见接入物理专线开通2条物理专线，分别为DAS236_port131_conn和DAS237_port131_conn。
2. 创建专线网关。
   按照以下步骤依次创建2个专线网关，分别为dcgw-1和dcgw-2。
   1. 登录专线网关控制台。
   2. 在顶部导航栏，选择服务地域为华北2（北京）。
   3. 单击“创建专线网关”按钮。
   4. 参考下表，配置相关参数。

      参数	取值（专线网关一）	取值（专线网关二）
      地域	华北2（北京）	华北2（北京）
      名称	dcgw-1	dcgw-2
      协议	请根据控制台指引查阅并确认相关协议	请根据控制台指引查阅并确认相关协议

   5. 单击“确定”按钮，完成创建。
3. 创建虚拟接口。

   1. 登录虚拟接口控制台。

   2. 单击“创建虚拟接口”按钮。

   3. 参考下表，配置相关参数。

      参数	取值（虚拟接口一）	取值（虚拟接口二）
      基本信息
      地域	华北2（北京）	华北2（北京）
      名称	vif-1	vif-2
      物理专线	DAS236_port131_conn	DAS237_port131_conn
      专线网关	dcgw-1	dcgw-2
      互联信息
      IPv4互联IP	本端网关互联IP：10.0.0.1/30 对端网关互联IP：10.0.0.2/30	本端网关互联IP：172.16.4.1/30 对端网关互联IP：172.16.4.2/30
      VLAN ID	10	20
      路由信息
      路由类型	静态路由	静态路由

   4. 单击“确定”按钮，完成配置。

4. 添加静态路由。
   按照以下步骤分别为专线网关dcgw-1和dcgw-2添加静态路由。
   1. 返回专线网关控制台，在专线网关列表中，单击目标专线网关名称。
   2. 在详情页的“路由信息”页签，单击“添加静态路由条目”按钮，配置路由条目。

      参数	取值（dcgw-1）	取值（dcgw-2）
      目标网段	172.16.1.0/24	172.16.2.0/24
      下一跳类型	虚拟接口	虚拟接口
      下一跳	vif-1	vif-2

   3. 单击“确定”按钮，完成配置。

步骤二：创建云企业网实例

1. 登录云企业网控制台。

2. 单击“创建云企业网”按钮。

3. 参考下表，配置相关参数。

   参数	取值
   名称	cen-test
   加载网络实例	打开
   地域	华北2（北京）
   实例类型	私有网络
   网络实例	vpc-1

4. 单击“确定“按钮，完成创建。

步骤三：加载网络实例

按照以下步骤分别将私有网络vpc-2，专线网关dcgw-1和dcgw-2加载到云企业网实例中。

1. 单击目标云企业网实例名称，进入云企业网详情页。

2. 选择“网络实例”页签，单击“加载网络实例”按钮，弹出加载网络实例窗口。

3. 配置需要加载的网络实例的相关信息，下表以私有网络vpc-2为例。

   参数	取值
   账号	本账号
   地域	华北2（北京）
   实例类型	私有网络
   网络实例	vpc-2

4. 单击“确定”按钮，完成加载。

步骤四：配置云服务器安全组

按照以下步骤分别为云服务器ecs-1和ecs-2关联的安全组配置安全组规则。

1. 登录云服务器控制台。
2. 在顶部导航栏选择地域为华北2（北京）。
3. 在左侧导航树单击“实例”，在实例页面的搜索栏选择“私网IP地址”，并输入目标ECS实例的IP地址，搜索出目标ECS。
4. 单击目标ECS名称，进入详情页面，然后单击“安全组”进入安全组页签。
5. 单击安全组名称后的“配置规则”按钮，进入访问规则页面。
6. 在“入方向规则”页签下单击“添加规则”按钮，参考下图为目标ECS实例配置允许IDC1和IDC2网段访问的入方向规则。
   

步骤五：配置本地数据中心路由

在本地数据中心配置IDC到所有需要互通的云上VPC之间的路由，即目的地址为云上VPC、下一跳为虚拟接口中本端网关互联IP的路由条目。

以下配置以IDC1为例（IDC2配置类似）：

1. 登录IDC1网关（网关IP为10.0.0.2），参考以下命令配置IDC1到云上VPC以及云下IDC2的路由。

   ip route 192.168.1.0 255.255.255.0 10.0.0.1
   ip route 192.168.2.0 255.255.255.0 10.0.0.1
   ip route 172.16.2.0 255.255.255.0 10.0.0.1
   

   说明

   不同厂商的网关设备，路由配置命令可能不同，具体配置可咨询设备厂商。

2. （可选）如果IDC中的服务器与IDC网关部署在不同设备，则执行以下命令，配置IDC网关与服务器之间互通的路由。
   route add default gw 10.0.0.2
3. 登录IDC中的服务器（IP地址为172.16.1.10），执行以下命令添加默认路由指向IDC网关。

   route add default gw 10.0.0.2
   

4. 执行命令ping 10.0.0.1，测试专线网关与本地网关的连通性。
   命令执行后有数据返回，说明云上专线网关与本地网关互通。

步骤六：测试连通性

1. 登录私有网络“vpc-1”中的云服务器实例“ecs-1”，详细步骤参见登录Linux实例或登录Windows实例。
2. 依次执行ping命令，测试ecs-1与ecs-2、IDC1、IDC2的连通性。
   能够ping通则表明ecs-1与ecs-2、IDC1、IDC2分别互通。
3. 登录私有网络“vpc-2”中的云服务器实例“ecs-2”，详细步骤参见登录Linux实例或登录Windows实例。
4. 依次执行ping命令，测试ecs-2与IDC1、IDC2的连通性。
   能够ping通则表明ecs-2与IDC1、IDC2分别互通。
5. 通过IP地址登录云下数据中心IDC1中的服务器。
6. 执行ping命令，测试IDC1与IDC2的连通性。
   能够ping通则表明IDC1与IDC2互通。