监控指标 通过 云监控服务 ，您可以监控企业交换机实例的网络情况。 企业交换机实例支持的监控指标 表1 企业交换机实例支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象（维度） 监控周期（原始指标） up_bandwidth 出网带宽 该指标用于统计企业交换机实例出云平台的网络速度。 ≥ 0 bit/s 1024（IEC） 企业交换机实例 1分钟 down_bandwidth 入网带宽 该指标用于统计企业交换机实例入云平台的网络速度。 ≥ 0 bit/s 1024（IEC） 企业交换机实例 1分钟 up_stream 出网流量 该指标用于统计企业交换机实例出云平台的网络流量。 ≥ 0 byte 1024（IEC） 企业交换机实例 1分钟 down_stream 入网流量 该指标用于统计企业交换机实例入云平台的网络流量。 ≥ 0 byte 1024（IEC） 企业交换机实例 1分钟 up_pps 出网pps 该指标用于统计企业交换机实例出云平台，每秒接收的数据包数。 ≥ 0 pps 不涉及 企业交换机实例 1分钟 down_pps 入网pps 该指标用于统计企业交换机实例入云平台，每秒发送的数据包数。 ≥ 0 pps 不涉及 企业交换机实例 1分钟

操作步骤 进入购买企业交换机页面。 根据界面提示，配置企业交换机的基本信息，配置参数请参见表1。 表1 参数说明 参数 参数说明 取值样例 计费模式 必选参数 支持包年/包月、按需付费两种计费方式。 购买包年/包月企业交换机时，需要一次性支付选定周期内企业交换机实例的费用。 按需计费，属于后付费。按秒计费，按小时结算，不足一小时以实际使用时长为准。 按需计费 区域 必选参数。 不同区域的云服务产品之间内网互不相通，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 华北-北京四 主可用区 必选参数。 企业交换机实例部署采用主备模式，此处选择主节点所在的可用区。 主可用区是当前承载流量的可用区，推荐与需要通信的云服务器部署在同一个可用区，从而实现更优访问性能。 可用区1 备可用区 必选参数。 企业交换机实例部署采用主备模式，此处选择备节点所在的可用区。 备可用区用于容灾备份，建议与主可用区不同。 可用区2 规格 必选参数。 当前支持的企业交换机规格如下： 小型 最大带宽：3 Gbit/s 最大发包数：500000 pps 连接子网数：1 中型 最大带宽：5 Gbit/s 最大发包数：1000000 pps 连接子网数：3 大型 最大带宽：10 Gbit/s 最大发包数：2000000 pps 连接子网数：6 企业交换机创建完成后，不支持修改规格。 大型 虚拟私有云 必选参数。 企业交换机所属VPC。 当“隧道连接方式”选择“云专线”或者“VPN”时，此处默认选择云专线虚拟网关或VPN网关所在的VPC。 vpc-01 隧道子网 必选参数。 企业交换机所属VPC的子网，为本端隧道子网，该子网需要与远端隧道子网建立三层网络通信。 隧道子网基于云专线或者VPN实现三层网络通信，包括本端隧道子网和远端隧道子网。企业交换机需要基于隧道子网之间的三层网络，为需要互通的云上和云下子网提供二层连接通道。 subnet-01 本端隧道IP 必选参数。 此处为本端隧道IP，即云上VPC侧的隧道IP，当前支持自动分配或手动分配IP地址。 企业交换机需要和云下IDC建立VXLAN隧道实现二层网络通信，VXLAN隧道两端各需要一个隧道IP，包括本端隧道IP和远端隧道IP，两个IP地址不能冲突。 自动分配 名称 必选参数。 输入企业交换机的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。 esw-01 描述 可选参数。 您可以根据需要在文本框中输入对该企业交换机的描述信息。 - 购买时长 包年包月场景需要选择，购买企业交换机的时长。 2个月 自动续费 选择包年包月计费模式时，可以选择开启自动续费。自动续费周期根据用户指定的购买时长确定。 按月购买：自动续费周期为一个月。 按年购买：自动续费周期为一年。 - 单击“下一步”。 在产品配置信息确认页面，再次核对企业交换机信息，确认无误后，阅读并勾选《企业交换机服务声明》，然后单击“提交”，开始创建企业交换机。 企业交换机的创建过程一般需要3~6分钟，当企业交换机的状态为“运行中”时，表示创建成功。

约束与限制 一个二层连接可以连通一对本端和远端二层连接子网，一个企业交换机最多支持建立6个二层连接，即同时连接6对二层连接子网。 基于同一个企业交换机建立二层连接时，这些二层连接可以共用隧道IP，但是隧道号不能相同，隧道号是隧道的标识。 通过二层连接连通本端二层连接子网和企业交换机时，需要占用本端二层连接子网中的两个IP地址，用作主接口IP与备接口IP。这两个IP地址不能被本端资源占用，也不能与远端二层连接子网内的其他IP地址冲突。

操作步骤 进入购买企业交换机页面。 根据界面提示，配置企业交换机的基本信息，配置参数请参见表1。 表1 参数说明 参数 参数说明 取值样例 计费模式 必选参数 支持包年/包月、按需付费两种计费方式。 购买包年/包月企业交换机时，需要一次性支付选定周期内企业交换机实例的费用。 按需计费，属于后付费。按秒计费，按小时结算，不足一小时以实际使用时长为准。 按需计费 区域 必选参数。 不同区域的云服务产品之间内网互不相通，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 华北-北京四 主可用区 必选参数。 企业交换机实例部署采用主备模式，此处选择主节点所在的可用区。 主可用区是当前承载流量的可用区，推荐与需要通信的云服务器部署在同一个可用区，从而实现更优访问性能。 可用区1 备可用区 必选参数。 企业交换机实例部署采用主备模式，此处选择备节点所在的可用区。 备可用区用于容灾备份，建议与主可用区不同。 可用区2 规格 必选参数。 当前支持的企业交换机规格如下： 小型 最大带宽：3 Gbit/s 最大发包数：500000 pps 连接子网数：1 中型 最大带宽：5 Gbit/s 最大发包数：1000000 pps 连接子网数：3 大型 最大带宽：10 Gbit/s 最大发包数：2000000 pps 连接子网数：6 企业交换机创建完成后，不支持修改规格。 大型 虚拟私有云 必选参数。 企业交换机所属VPC。 当“隧道连接方式”选择“云专线”或者“VPN”时，此处默认选择云专线虚拟网关或VPN网关所在的VPC。 vpc-01 隧道子网 必选参数。 企业交换机所属VPC的子网，为本端隧道子网，该子网需要与远端隧道子网建立三层网络通信。 隧道子网基于云专线或者VPN实现三层网络通信，包括本端隧道子网和远端隧道子网。企业交换机需要基于隧道子网之间的三层网络，为需要互通的云上和云下子网提供二层连接通道。 subnet-01 本端隧道IP 必选参数。 此处为本端隧道IP，即云上VPC侧的隧道IP，当前支持自动分配或手动分配IP地址。 企业交换机需要和云下IDC建立VXLAN隧道实现二层网络通信，VXLAN隧道两端各需要一个隧道IP，包括本端隧道IP和远端隧道IP，两个IP地址不能冲突。 自动分配 名称 必选参数。 输入企业交换机的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。 esw-01 描述 可选参数。 您可以根据需要在文本框中输入对该企业交换机的描述信息。 - 购买时长 包年包月场景需要选择，购买企业交换机的时长。 2个月 自动续费 选择包年包月计费模式时，可以选择开启自动续费。自动续费周期根据用户指定的购买时长确定。 按月购买：自动续费周期为一个月。 按年购买：自动续费周期为一年。 - 单击“下一步”。 在产品配置信息确认页面，再次核对企业交换机信息，确认无误后，阅读并勾选《企业交换机服务声明》，然后单击“提交”，开始创建企业交换机。 企业交换机的创建过程一般需要3~6分钟，当企业交换机的状态为“运行中”时，表示创建成功。

约束与限制 一个二层连接可以连通一对本端和远端二层连接子网，一个企业交换机最多支持建立6个二层连接，即同时连接6对二层连接子网。 基于同一个企业交换机建立二层连接时，这些二层连接可以共用隧道IP，但是隧道号不能相同，隧道号是隧道的标识。 通过二层连接连通本端二层连接子网和企业交换机时，需要占用本端二层连接子网中的两个IP地址，用作主接口IP与备接口IP。这两个IP地址不能被本端资源占用，也不能与远端二层连接子网内的其他IP地址冲突。

示例流程 图1 给用户授予ESW权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予VPC只读权限“VPC ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限。 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择企业交换机，进入ESW主界面，单击右上角“购买”，尝试购买企业交换机，如果无法购买企业交换机（假设当前权限仅包含VPC ReadOnlyAccess），表示“VPC ReadOnlyAccess”已生效。 在“服务列表”中选择弹性云服务器（假设当前策略仅包含VPC ReadOnlyAccess），如果提示权限不足，表示“VPC ReadOnlyAccess”已生效。

操作步骤（锐捷RG-S6250交换机） 远端隧道网关的配置方法：在VXLAN交换机和企业交换机之间建立VXLAN隧道，以便将云下主机发送的二层报文封装为IP报文后发到企业交换机。VXLAN交换机的下行二层子接口配置VXLAN与VLAN封装规则，用来识别用户网络中的报文所属的VXLAN。 配置前进入全局配置模式。 配置示例： Ruijie#configure 创建VXLAN。 配置示 Ruijie(config)#vxlan 5010 本步骤VXLAN ID 5010，必须和表1创建二层连接时，远端接入信息的隧道号保持一致。 进入loopback接口视图，配置隧道IP。 配置示例： Ruijie(config)#interface loopback 0 Ruijie(config-if-Loopback 0)#ip address 2.2.2.2 255.255.255.255 Ruijie(config-if-Loopback 0)# exi 对于新规划的远端地址，即VXLAN交换机的接口IP地址（包括Loopback接口IP地址），要确认下其到企业交换机隧道子网路由是否可达，如果不通，需要在VXLAN交换机上配置路由。此处VXLAN交换机可以是汇聚交换机或者核心交换机，请根据网络实际规划选择。 创建VXLAN隧道。 创建OverlayTunnel1接口，该接口用于静态创建Overlay隧道。 配置示例： Ruijie(config)#interface overlayTunnel 1 指定Overlay隧道的源IP，即为用于建隧道的loopback口IP地址。 配置示例： Ruijie(config-if-OverlayTunnel 1)#tunnel source 2.2.2.2 指定Overlay隧道的目的IP，即为企业交换机隧道子网IP。 配置示例： Ruijie(config-if-OverlayTunnel 1)#tunnel destination 10.0.6.3 Ruijie(config-if-OverlayTunnel 1)#exit 配置VXLAN实例关联OverlayTunnel接口。 配置示例： Ruijie(config)#vxlan 5010 Ruijie(config-vxlan)#tunnel-interface OverlayTunnel 1 Ruijie(config-vxlan)#exit 同一企业交换机上创建多个（最多6个）二层连接场景，需和此企业交换机建多条VXLAN，可以创建多个VXLAN实例和同一个OverlayTunnel接口关联。如：OverlayTunnel1。 同一VXLAN交换机和多个企业交换机连接场景，此场景比较少用，可以创建多个OverlayTunnel接口与同一个VXLAN关联。如：OverlayTunnel1、OverlayTunnel2。 由于芯片限制，S6250产品VXLAN不支持多条隧道出口为同一个物理出口，并且还需要封装出不同的DMAC+VID信息。详情可咨询锐捷交换机技术支持。 创建二层子接口配置VXLAN与vlan封装规则。 在链路聚合口AggregatePort1创建AggregatePort 1.100子接口，接收vlan为100的数据报文，并封装为VXLAN 5010通过隧道转发。 配置示例： Ruijie(config)#interface AggregatePort 1.100 Ruijie(config-subif-AggregatePort 1.100)#encapsulation dot1q s-vid 100 Ruijie(config-subif-AggregatePort 1.100)#encapsulation vxlan 5010 Ruijie(config-subif-AggregatePort 1.100)#exit 在交换机物理以太接口上创建以太网服务实例，方法类似。 在系统视图下，执行如下命令查看VXLAN的配置状态。 show vxlan 5010 VXLAN配置状态 VXLAN 5010Symmetric property : FALSERouter Interface : -Extend VLAN : -VTEP Adjacency Count: 1VTEP Adjacency List :Interface Source IP Destination IP Type---------------------- --------------- --------------- -------OverlayTunnel 1 2.2.2.2 10.0.6.3 static

操作场景 本指导用户在云下IDC侧的VXLAN隧道交换机上配置隧道网关，建立远端二层连接子网在IDC侧的VXLAN隧道。 本文针对用户IDC的常见组网场景提供配置参考，以华为CE6850交换机、锐捷RG-S6250交换机、H3C S6520交换机为例，如需更多配置排查，相关命令可参考实际交换机型号的产品文档。 操作步骤（华为CE6850交换机） 操作步骤（锐捷RG-S6250交换机） 操作步骤（H3C S6520交换机）

操作步骤（华为CE6850交换机） 远端隧道网关的配置方法：配置IDC隧道交换机，将二层子网VLAN的流量引流到隧道。 目前大部分CE交换机不支持三层子接口转发已经封装的VXLAN报文，因此VXLAN上行（对接线上企业交换机）不能使用三层子接口，可使用VLANIF接口替代。 登录隧道交换机，执行命令system-view，进入系统视图。 进入loopback 0接口视图，配置隧道IP。 配置示例： interface loopback 0 ip address 2.2.2.2 255.255.255.255 执行命令quit，退出接口视图，返回到系统视图。 执行命令bridge-domain，进入BD视图，配置BD所对应VXLAN的VNI。 配置示例： bridge-domain 10 vxlan vni 5010 执行命令quit，退出BD视图，返回到系统视图。 创建二层子接口，通过子接口将二层网络指定的VLAN引流到隧道。 配置示例： interface 10ge 1/0/2.1 mode l2 encapsulation dot1q vid 100 bridge-domain 10 执行命令interface nve，创建NVE接口，并进入NVE接口视图，配置VXLAN隧道源端VTEP的IP地址：2.2.2.2。 配置示例： interface nve1 source 2.2.2.2 在NVE接口视图下，执行命令vni，配置VNI的头端复制列表。 配置示例： vni 5010 head-end peer-list 10.0.6.3 在系统视图下，执行如下命令查看VXLAN的配置状态。 display vxlan vni 5010 verbose 图2 VXLAN配置状态 up表示隧道状态正常。

约束与限制 如果您的IDC需要与华为云企业交换机对接来建立云下和云上二层网络通信，那么IDC侧的交换机需要支持VXLAN功能，建议您新购VXLAN交换机与ESW对接。如果有高可靠性要求，建议VXLAN交换机组进行容灾部署。 以下为您列举部分支持VXLAN功能的交换机，仅供参考。 华为交换机：Huawei CE58、CE68、CE78、CE88系列支持VXLAN，例如CE6870、CE6875、CE6881、CE6863、CE12800。 其他厂商交换机：例如Cisco Nexus 9300、 锐捷RG-S6250、 H3C S6520。

入门指引 企业交换机基于VPN或者云专线网络，在云下IDC和云上VPC之间建立二层网络。企业交换机的配置流程如图1所示。 图1 企业交换机配置流程图 表1 构建同区域VPC互通组网流程说明 序号 步骤 说明 1 步骤一：使用云专线或VPN连通三层网络 企业交换机建立二层通信网络时，依赖云下IDC和云上VPC之间的三层网络。本章节指导用户使用云专线或者VPN，建立本端隧道子网和远端隧道子网之间的三层网络通信。 2 步骤二：购买企业交换机 本章节指导用户购买企业交换机，企业交换机可以基于VPN或者云专线网络，在云下IDC和云上VPC之间建立二层网络通信。 3 步骤三：创建二层连接 企业交换机购买完成后，您还需要创建二层连接，建立本端二层连接子网和远端VXLAN交换机之间的二层网络通信。本章节指导用户创建二层连接。 4 步骤四：配置远端隧道网关 本指导用户在云下IDC侧的VXLAN隧道交换机上配置隧道网关，建立远端二层连接子网在IDC侧的VXLAN隧道。

云下和云上二层网络的优势 为了应对当前上云的种种痛点，推荐您使用企业交换机，建立云下IDC和云上VPC二层网络，实现轻松上云。企业交换机优势请参见表2。 图2 云下和云上二层网络组网 表2 云下和云上二层网络说明 网络说明 企业交换机基于VPN或者云专线网络，在云下IDC和云上VPC之间建立二层网络。 企业交换机优势 云下IDC子网和云上VPC子网网段可以重叠。 如果客户IDC子网和VPC子网网段存在重叠，使用企业交换机后，上云不用修改IDC侧IP地址，减少业务对环境感知，加快上云进度。 网络迁移粒度由“子网”变为“虚拟机”，同时支持同一个子网跨云上和云下互通。 按照“虚拟机”粒度迁移上云，支持业务系统灰度上云，应对核心业务分批上云，避免业务在迁移过程中受损，减少上云风险。

云下和云上三层网络的约束 通过VPN或者云专线建立云下IDC和云上VPC之间的三层网络，组网示意请参见图1，客户痛点请参见表1。 图1 云下和云上三层网络组网 表1 云下和云上三层网络说明 网络说明 云下IDC和云上VPC通过VPN或者云专线建立三层网络，通过路由通信。 客户痛点 云下IDC子网和云上VPC子网网段不能重叠。 云下IDC侧的业务网络互访很多是通过IP地址而非 域名 ，如果IDC子网和VPC子网网段存在重叠，上云前需要改造IDC侧网络，会导致上云周期延长、迁移期间业务中断，并且网络改造往往增加运维成本。 网络迁移最小的粒度是“子网”，并且同一个子网无法实现跨云上和云下通信。 云下IDC侧的每个子网通常承载几十种不同的业务，如果按照子网粒度进行迁移，几十种业务一次性上云存在较大风险，无法满足业务连续性需求。

与其他服务的关系 企业交换机与华为云上多个云服务之间存在交互关系，如图1所示。 图1 企业交换机与其他服务的关系 表1 企业交换机与其他服务的关系 服务名称 交互功能 虚拟私有云（Virtual Private Cloud, VPC） 您通过企业交换机可以建立云下IDC和云上VPC之间的二层网络。 云专线（Direct Connect, DC） 通过VPN或云专线在云下IDC和云上VPC之间实现三层网络通信，基于三层网络，企业交换机建立云下和云上之间的二层网络。 虚拟专用网络 （Virtual Private Network, VPN） 统一身份认证 服务（Identity and Access Management, IAM） 针对位于华为云上的企业交换机资源，您可以通过IAM进行权限管理，即为不同的用户设置不同的使用权限，权限管理有助于实现资源的安全管控。

使用限制 ESW不支持IPv6报文，且不支持云下往云上转发未知单播、广播、组播（除VRRP协议外）的IP报文。 不支持云下服务器访问云上的高级网络功能，如VPC对等连接、VPC路由表、ELB以及NAT网关等。 对于使用云专线（DC）对接企业交换机的场景，请您先提交工单给云专线服务，确认您的云专线是否支持和企业交换机进行对接，如果不支持，需要联系客服开通云专线的对接企业交换机能力。 对于使用虚拟专用网络（VPN）对接企业交换机的场景，请您先提交工单给虚拟专用网络服务，确认您的虚拟专用网络是否支持和企业交换机进行VXLAN对接，如果不支持，需要联系客服开通虚拟专用网络的对接企业交换机能力。 ESW支持对接VPN场景是指经典型VPN，不支持对接专业版VPN和共享型VPN。 云上和云下二层网络互通后，云下子网网关地址要和云上子网网关地址保持一致，否则可能导致云下子网网关地址和云上虚拟机的IP地址冲突，引发通信异常。 每个企业交换机最多支持10000个IP二层互通（即包含通过该企业交换机打通的所有二层网段IP），且最多同时支持连接1000个云下二层网段IP。 使用企业交换机建立云上与云下之间的二层网络时，客户侧负责建设IDC机房的VXLAN网络，包括VXLAN交换机准备、物理网络连通、对接云专线或者虚拟专用网络等。 ESW支持MAC Proxy转发能力，通过ARP报文代理，使云上和云下主机相互不可见对端的实际MAC地址。在业务报文转发时，云上主机收到的云下报文源MAC是二层连接主接口的MAC，云下主机收到的云上报文源MAC是实例隧道口的MAC。如果您的业务场景需要感知实际主机MAC或者有基于MAC的安全策略等，不支持使用ESW。 通常，服务器端会通过ARP学习确定回复报文的目的MAC地址，但是某些主机或硬件设备（如F5负载均衡器）配置了原路径返回能力，回复报文的目的MAC地址取自请求报文的源MAC地址，当通过ESW实现云上云下三层访问场景时，可能会出现网络不通问题，请提前排查。 例如，先通过ESW打通云上和云下192.168.3.0/24网段，当云上主机192.168.2.2/24需要跨网段访问云下主机192.168.3.3/24时，云上请求报文会先通过VPC路由，再经过ESW送往云下主机，云下对应回复报文走路由发回云上，可以经过云专线/VPN。如果云下主机配置了原路径返回，云下回复报文的目的MAC地址不是192.168.3.0/24的网关MAC地址，是取对应请求报文的源MAC地址，即ESW的MAC地址。这样云下回复报文的目的MAC地址错误，导致网络不通。 ESW使用VXLAN协议时，VXLAN协议头占用50个字节，报文长度会增加。请您确保VXLAN报文经过的线下网络设备支持大帧（Jumbo Frames，即MTU大于1500字节的以太网帧）通过，否则会导致大包不通。 不同设备厂商处理大帧的方式不同，其中部分厂商默认大帧放通，例如华为。部分厂商默认大帧不放通，例如思科。 如果您的IDC需要与华为云企业交换机对接来建立云下和云上二层网络通信，那么IDC侧的交换机需要支持VXLAN功能。以下为您列举部分支持VXLAN功能的交换机，仅供参考。 华为交换机：Huawei CE58、CE68、CE78、CE88系列支持VXLAN，例如CE6870、CE6875、CE6881、CE6863、CE12800。 其他厂商交换机：例如Cisco Nexus 9300、 锐捷RG-S6250、 H3C S6520。