ECS（Elastic Compute Service）等云产品部署了应用业务和数据分析服务，用于后续业务交互和数据分析。企业现在需要部署上云的主备链路，以实现云下

　　在物理专线和IPsec-VPN连接都正常的情况下，本地IDC与VPC之间的所有流量优先通过物理专线进行传输；当物理专线异常时，本地IDC与VPC之间的所有流量可以自动切换至IPsec-VPN连接进行传输。

　　建立IPsec-VPN连接时，IPsec连接的网关类型为公网，IPsec连接绑定的资源类型为云企业网。

　　本地IDC、边界路由器VBR（Virtual border router）实例和IPsec连接均使用BGP动态路由协议，实现路由的自动分发和学习，简化路由配置。

　　目前仅部分地域的IPsec连接支持BGP动态路由协议。关于地域的详细信息， 请参见配置IPsec连接路由。

　　在物理专线、IPsec-VPN连接、BGP动态路由协议均正常运行的情况下，云企业网可以通过物理专线和IPsec-VPN连接同时学习到本地IDC的网段，本地IDC也可以通过物理专线和IPsec-VPN连接同时学习到云企业网传播的VPC实例的路由。云企业网默认通过物理专线学习到的路由的优先级高于通过IPsec-VPN连接学习到的路由，因此VPC实例和本地IDC之间的流量优先通过物理专线传输。

　　当本地IDC和VBR实例之间的BGP邻居中断时，云企业网会自动撤销通过物理专线学习到的路由，通过IPsec-VPN连接学习到的路由会自动生效，VPC实例和本地IDC之间的流量将会自动通过IPsec-VPN连接进行传输；当本地IDC和VBR实例之间的BGP邻居恢复正常后，VPC实例和本地IDC之间的流量会重新通过物理专线进行传输，IPsec-VPN连接会重新成为备用链路。

　　您已经在阿里云华东1（杭州）地域创建了一个VPC实例，并使用ECS部署了相关业务。具体操作，请参见搭建IPv4专有网络。

　　您已经创建了云企业网实例，并在华东1（杭州）和华东2（上海）地域分别创建了企业版转发路由器。具体操作，请参见创建云企业网实例创建转发路由器实例。

　　创建转发路由器实例时，需为转发路由器实例配置转发路由器地址段，否则IPsec连接无法成功绑定转发路由器实例。

　　如果您已经创建了转发路由器实例，您可以单独为转发路由器实例添加转发路由器地址段。具体操作，请参见添加转发路由器地址段。

　　本文使用独享专线（上海）地域自主创建1条物理专线连接，命名为物理专线。具体操作，请参见创建和管理独享专线连接。

　　VBR实例的VLAN ID与本地网关设备接口（物理专线连接的接口）划分的VLAN ID一致。

　　BGP路由协议后，本地网关设备和VBR实例之间可以建立BGP邻居关系，实现路由的自动学习和传播。

　　ASA（软件版本9.19.1）作为配置示例。不同软件版本的配置命令可能会有所差异，操作时请根据您的实际环境查询对应文档或咨询相关厂商。更多本地网关设备配置示例，请参见本地网关设备配置示例。以下内容包含的第三方产品信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响，不做任何暗示或其他形式的承诺。

　　IDC可以通过物理专线接入阿里云，但本地IDC和VPC之间还无法通信，您需要将VBR实例和VPC实例连接至云企业网，通过云企业网实现本地IDC和VPC之间的相互通信。

　　基本信息转发路由器页签，找到华东1（杭州）地域的转发路由器实例，在操作列单击创建网络实例连接。

　　连接网络实例页面，根据以下信息进行配置，然后单击确定创建。下表仅列举本文强相关的配置项，其余配置项保持默认状态。如果您想要了解更多信息，请参见创建

　　2个可用区中各选择一个交换机实例。在VPC和转发路由器流量互通的过程中，这2个交换机实例可以实现可用区级别的容灾。推荐您在每个可用区中都选择一个交换机实例，以减少流量绕行，体验更低传输时延以及更高性能。

　　IP地址。如果VPC实例在转发路由器支持的可用区中并没有交换机实例或者交换机实例下没有空闲的IP地址，您需要新建一个交换机实例。 具体操作，请参见创建和管理交换机。

　　基本信息转发路由器页签，找到华东2（上海）地域的转发路由器实例，在操作列单击创建网络实例连接。

　　VBR实例绑定的转发路由器实例和VPC实例绑定的转发路由器实例位于不同的地域，VBR实例和VPC实例之间默认无法通信。您需要在华东1（杭州）和华东2（上海）地域的转发路由器实例之间创建跨地域连接，实现VBR实例和VPC实例之间的跨地域互通。

　　页面，根据以下信息配置跨地域连接，然后单击确定创建。请根据以下信息创建跨地域连接，其余配置项保持默认状态。更多信息，请参见创建跨地域连接。

　　网关产品不支持建立跨境的IPsec-VPN连接，因此在您选择用户网关所属的地域时，需遵循就近原则，即选择离您本地IDC最近的阿里云地域。本文中选择华东2（上海）。关于跨境连接和非跨境连接的更多信息，请参见非跨境连接。

　　16位的字符串作为预共享密钥。创建IPsec连接后，您可以通过编辑按钮查看系统生成的预共享密钥。具体操作，请参见修改IPsec连接。

　　连接只有绑定转发路由器实例后系统才会为其分配网关IP地址。如果在您创建IPsec连接时，IPsec连接的绑定资源类型为不绑定或者为VPN网关，则系统并不会为其分配网关IP地址。

　　IPsec连接后，请根据已下载的IPsec连接对端配置信息以及下述步骤，在本地网关设备中添加VPN配置和BGP配置，以便本地IDC和阿里云之间建立IPsec-VPN连接。

　　ASA（软件版本9.19.1）作为配置示例。不同软件版本的配置命令可能会有所差异，操作时请根据您的实际环境查询对应文档或咨询相关厂商。更多本地网关设备配置示例，请参见本地网关设备配置示例。以下内容包含的第三方产品信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响，不做任何暗示或其他形式的承诺。

　　IKEv2 Policy，指定IKE阶段认证算法、加密算法、DH分组和SA生存周期，需和阿里云侧保持一致。

　　IPsec连接时，IKE配置阶段的加密算法、认证算法和DH分组均只支持指定一个值，不支持指定多个值。建议在思科防火墙中IKE配置阶段的加密算法、认证算法和DH分组也均只指定一个值，该值需与阿里云侧保持一致。

　　IPsec proposal和profile，指定思科防火墙侧的IPsec阶段加密算法、认证算法、DH分组和SA生存周期，需和阿里云侧保持一致。

　　IPsec连接时，IPsec配置阶段的加密算法、认证算法和DH分组均只支持指定一个值，不支持指定多个值。建议在思科防火墙中IPsec配置阶段的加密算法、认证算法和DH分组也均只指定一个值，该值需与阿里云侧保持一致。

　　IDC可通过物理专线或IPsec-VPN连接与VPC互通。在物理专线和IPsec-VPN连接都正常的情况下，本地IDC与VPC之间的所有流量默认只通过物理专线进行转发；当物理专线异常时，本地IDC与VPC之间的所有流量将自动切换至IPsec-VPN连接进行转发。以下内容介绍如何测试网络连通性以及如何验证物理专线和IPsec-VPN连接已实现主备链路冗余。

　　VPC中ECS实例所应用的安全组规则以及本地数据中心应用的访问控制策略，需确保ECS安全组规则和本地数据中心的访问控制策略允许本地IDC和ECS实例互相通信。关于ECS安全组规则的更多信息，请参见查询安全组规则添加安全组规则。

　　VBR连接流量监控数据。具体操作专线vpn代理服务器，请参见监控云企业网资源。正常情况下，流量默认通过物理专线进行传输，您可以在

　　VPN连接（IPsec连接）流量监控数据。具体操作，请参见监控云企业网资源。正常情况下，物理专线中断后，流量将自动切换至

　　IPsec连接、创建VPC连接、创建VBR连接、创建跨地域连接时均采用默认路由配置，默认路由配置下云企业网会自动完成路由的分发和学习以实现本地IDC和VPC实例之间的相互通信。默认路由配置说明如下。

　　连接默认被关联至转发路由器实例的默认路由表，转发路由器实例将通过查询默认路由表转发来自IPsec连接的流量。

　　IPsec连接添加的目的路由或者IPsec连接通过BGP动态路由协议学习到的云下路由，均会被自动传播至转发路由器实例的默认路由表。

　　VPC连接时如果采用默认路由配置（即开启所有高级配置），则系统会自动对VPC实例进行以下路由配置：

　　VPC的路由表中已经存在目标网段为10.0.0.0/8、172.16.0.0/12或192.168.0.0/16的路由条目，则系统无法再自动下发该路由条目，您需要在VPC路由表中手动添加指向VPC连接的路由条目以实现VPC和转发路由器之间的流量互通。您可以单击

　　VBR连接时如果采用默认路由配置（即开启所有高级配置），则系统会自动对VBR实例进行以下路由配置：

　　的默认路由表建立关联转发关系，两个地域的转发路由器将会通过查询默认路由表转发跨地域间的流量。

　　路由表（指与跨地域连接建立关联转发关系的路由表）下的路由自动传播至对端转发路由器的路由表（指与跨地域连接建立路由学习关系的路由表）中，用于网络实例跨地域互通。

　　VBR实例详情页面在路由条目页签下分别查看VBR实例自定义路由条目、BGP路由条目和CEN路由条目的信息。