ECS（Elastic Compute Service）等云产品部署了应用业务和数据分析服务，用于后续业务交互和数据分析。企业现在需要部署上云的主备链路，以实现云下

　　创建VPN网关作为第二条链路，VPN网关关联至一个独立的VPC（VPC2），VPC2中不部署任何业务，仅作为中转VPC为本地IDC和云上搭建IPsec-VPN链路，本地IDC通过IPsec-VPN连接和转发路由器连接VPC1。

　　在物理专线和IPsec-VPN连接均正常运行的情况下，转发路由器可以通过物理专线和IPsec-VPN连接同时学习到本地IDC的网段，转发路由器默认通过物理专线学习到的路由的优先级高于通过IPsec-VPN连接学习到的路由，因此VPC1实例去往本地IDC的流量默认通过物理专线传输。

　　当物理专线异常时，转发路由器下会自动撤销通过物理专线学习到的路由，通过IPsec-VPN连接学习到的路由会自动生效，VPC1实例去往本地IDC的流量会通过IPsec-VPN连接进行传输；当物理专线实例去往本地IDC的流量会重新通过物理专线进行传输，IPsec-VPN连接会重新成为备用链路。

　　在VPN网关作为物理专线备份链路的场景下，VBR必须使用BGP动态路由协议，VPN网关可以使用静态路由或BGP动态路由协议。

　　您已经在阿里云华东1（杭州）地域创建了VPC1和VPC2。其中，VPC1部署有应用业务和数据分析服务；VPC2暂不部署业务，仅关联VPN网关，作为中转VPC为云下和云上搭建VPN链路。具体操作，请参见创建和管理专有网络。

　　请检查本地IDC网关设备，确保网关设备支持标准的IKEv1和IKEv2协议，以便和阿里云VPN网关建立连接。关于网关设备是否支持标准的IKEv1和IKEv2协议，请咨询网关设备厂商。

　　您已经了解VPC1中的ECS实例所应用的安全组规则，并确保安全组规则允许本地IDC访问VPC1中的ECS实例广西电网vpn远程登录 系统。具体操作，请参见查询安全组规则添加安全组规则。

　　BGP邻居IP：BGP邻居的IP地址。本示例输入本地IDC侧网关设备的端口IP地址10.1.0.2。

　　本示例将VPN网关关联到VPC2上，确保VPC2和VPN网关的地域相同。本示例选择华东1（杭州）。

　　IPsec-VPN功能开启后，系统会在两个交换机实例下各创建一个弹性网卡ENI（Elastic Network Interfaces），作为使用IPsec-VPN连接与VPC流量互通的接口。每个ENI会占用交换机下的一个IP地址。

　　创建VPN网关实例后，不支持修改VPN网关实例关联的交换机实例，您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机、交换机所属可用区以及交换机下ENI的信息。

　　IPsec-VPN： 选择开启或关闭IPsec-VPN功能，IPsec-VPN功能可以在本地IDC与VPC之间或不同VPC之间建立连接。本示例选择开启。

　　SSL-VPN： 选择开启或关闭SSL-VPN功能，SSL-VPN功能允许您从任何位置的单台计算机连接到VPC。本示例选择关闭。

　　服务关联角色：单击创建关联角色，系统自动创建服务关联角色AliyunServiceRoleForVpn。

　　更多信息，请参见AliyunServiceRoleForVpn。若本配置项显示为已创建，则表示您当前账号下已创建了该角色，无需重复创建。

　　返回VPN网关页面，查看创建的VPN网关并记录VPN网关公网IP地址，用于后续本地IDC侧路由配置。

　　刚创建好的VPN网关的状态是准备中，约1～5分钟会变成正常状态。正常状态表明VPN网关完成了初始化，可以正常使用。

　　IP地址：输入VPC2要连接的本地IDC的网关设备的公网IP。本示例输入211.XX.XX.68。

　　预共享密钥：输入共享密钥，本地IDC网关设备的预共享密钥必须与该值一致。本示例使用默认生成的随机值。

　　根据本地IDC网关设备的配置要求，将下载的配置添加到本地IDC网关设备中。具体操作，请参见本地网关设备配置示例。

　　VBR和VPN网关配置完成后，您需要将VPC1、VPC2和VBR加入到转发路由器中，转发路由器可帮您实现本地IDC和VPC1间的互连互通。

　　在基本信息转发路由器页签，找到华东1（杭州）地域的转发路由器实例，在操作单击创建网络实例连接。

　　下表罗列了各个配置项的说明以及VPC1、VPC2对应的参数值，请依据下表中的数据，分别将VPC1和VPC2连接至转发路由器实例。

　　在首次连接VPC实例时，系统会自动为您创建一个服务关联角色，角色名称为AliyunServiceRoleForCEN。该角色将允许转发路由器实例在VPC的交换机上创建ENI。更多信息，请参见AliyunServiceRoleForCEN。

　　如果转发路由器在当前地域支持多个可用区，则您需要在至少2个可用区中各选择一个交换机实例。在VPC和转发路由器流量互通的过程中，这2个交换机实例可以实现可用区级别的容灾。

　　请确保选择的每个交换机实例下拥有一个空闲的IP地址。如果VPC实例在转发路由器支持的可用区中并没有交换机实例或者交换机实例下没有空闲的IP地址，您需要新建一个交换机实例。 具体操作，请参见创建和管理交换机。

　　在基本信息转发路由器页签，找到华东1（杭州）地域的转发路由器实例，在操作单击创建网络实例连接。

　　您在VPN网关中将本地IDC路由发布到VPC2中后，VPC2中本地IDC的路由默认是未发布状态。您需要手动将VPC2中的本地IDC路由发布到云企业网中，以便转发路由器也能从VPC2学习到本地IDC的路由。

　　在网络实例路由信息页签下，选择查看VPC2网络实例的路由条目，找到本地IDC的路由，在发布状态列单击发布。

　　以下配置示例仅供参考。不同厂商的设备，配置命令可能会有所不同。具体命令，请咨询相关设备厂商。

　　执行ping命令，访问云上VPC1 192.168.0.0/16网段下的ECS实例IP地址，如果接收到回复报文，则表示本地IDC和VPC1连接成功。

　　在本地IDC网关设备上，关闭连接物理专线的端口，切断物理专线连接。在客户端再次执行ping命令，测试本地IDC和VPC1的连通性，如果接收到回复报文，则表示备份VPN链路可用。