华为云用户手册

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

计费示例（站点入云经典版VPN） 假设您在2024/03/08 15:50:04购买了一个包年/包月经典版VPN网关（VPN连接数：20，带宽大小：20），计费资源包括VPN连接、带宽。购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2024/03/08 15:50:04 ~ 2024/04/08 23:59:59 第二个计费周期为：2024/04/08 23:59:59 ~ 2024/05/08 23:59:59 您需要为每个计费周期预先付费，各项VPN资源单独计费，计费公式如表1所示。 表1 计费公式 资源类型 计费公式 资源单价 VPN连接 元/月·10个 请以 虚拟专用网络 价格详情中的价格为准。 带宽 元/月·M 请以弹性公网IP价格详情中的价格为准。

计费示例 假设您在2024/08/08 15:50:04购买了一个包年/包月终端入云VPN网关（规格：专业型1，VPN连接数：20，带宽大小：20），计费资源包括VPN网关、VPN连接。购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2024/08/08 15:50:04 ~ 2024/09/08 23:59:59 第二个计费周期为：2024/09/08 23:59:59 ~ 2024/10/08 23:59:59 您需要为每个计费周期预先付费，各项VPN资源单独计费，计费公式如表 计费公式所示。 表2 计费公式 资源类型 计费公式 资源单价 VPN网关 元/月·个 请以虚拟专用网络价格详情中的价格为准。 VPN连接数 元/月·1个 请以虚拟专用网络价格详情中的价格为准。

计费说明 VPN的计费项由VPN网关、VPN连接组成。具体内容如表 虚拟专用网络计费项所示。 如您需要快速了解VPN服务的具体价格，请参见VPN价格详情。 表 终端入云VPN计费项标 * 的计费项为必选计费项。 表1 终端入云VPN计费项 计费项 计费项说明 适用的计费模式 计费公式 * VPN网关 不同规格的网关实例单价不同。 包年/包月 网关规格单价 * 购买时长 * VPN连接 默认支持10个免费的VPN连接，超出10个部分您需要额外购买。 包年/包月 连接单价 * 购买时长

计费示例（终端入云VPN） 假设您在2024/08/08 15:50:04购买了一个包年/包月终端入云VPN网关（规格：专业型1，VPN连接数：20，带宽大小：20），计费资源包括VPN网关、VPN连接。购买时长为一个月，并在到期前手动续费1个月，则： 第一个计费周期为：2024/08/08 15:50:04 ~ 2024/09/08 23:59:59 第二个计费周期为：2024/09/08 23:59:59 ~ 2024/10/08 23:59:59 您需要为每个计费周期预先付费，各项VPN资源单独计费，计费公式如表 计费公式所示。 表1 计费公式 资源类型 计费公式 资源单价 VPN网关 元/月·个 请以虚拟专用网络价格详情中的价格为准。 VPN连接数 元/月·1个 请以虚拟专用网络价格详情中的价格为准。

变更配置后对计费的影响 当前包年/包月VPN资源的规格不满足您的业务需要时，您可以在管理控制台发起变更规格操作，变更时系统将按照如下规则为您计算变更费用： 包年/包月计费模式下，终端入云VPN支持变更规格配置。 资源升配： 升高EIP带宽大小：升配后，新带宽将在当前计费周期内立即生效。您需要按照与原带宽的价格差，结合计费周期内的剩余天数，补齐差价。 增加VPN连接数：升配后，新连接数将在原来已有的时间周期内立即生效，您需补交新老配置的差价。 变更VPN网关规格：升配后，非固定IP接入特性将在原来已有的时间周期内立即生效，您需要补交新老配置的差价。 资源降配：新配置价格低于老配置价格，此时华为云会将新老配置的差价退给您。 降低EIP带宽大小：降配后，新带宽在当前计费周期不生效。您需要选择续费时长并根据新的带宽大小进行续费，续费成功后，新带宽将在当前计费周期结束后，从下一个计费周期开始生效。 减少VPN连接数：降配后，新连接数将在原来已有的时间周期内立即生效，系统将会为您退还新老配置的差价。 这里以资源升配且无任何优惠的场景为例，假设您在2024/04/08购买了一个终端入云VPN网关（规格：专业型1，VPN连接数：20，带宽大小：20），购买时长为1个月，计划在2024/04/18变更配置（规格：专业型1，VPN连接数：30，带宽大小：30）。旧配置价格为4400 元/月，新配置价格为6520 元/月。计算公式如下： 升配费用=新配置价格*剩余周期-旧配置价格*剩余周期 公式中的剩余周期为每个自然月的剩余天数/对应自然月的最大天数。本示例中，剩余周期=12（4月份剩余天数）/ 30（4月份最大天数）+ 8（5月份剩余天数）/ 31（5月份最大天数）=0.6581，代入公式可得升配费用=6520*0.6581-4400*0.6581=1395.17（元） 更多信息请参见变更资源规格费用说明。

到期后影响 图1描述了包年/包月VPN资源各个阶段的状态。购买后，在计费周期内资源正常运行，此阶段为有效期；资源到期而未续费时，将陆续进入宽限期和保留期。 图1 包年/包月VPN资源生命周期 到期预警 包年/包月VPN资源在到期前第7天内，系统将向用户推送到期预警消息。预警消息将通过邮件、短信和站内信的方式通知到华为云账号的创建者。 到期后影响 当您的包年/包月VPN资源到期未续费，首先会进入宽限期，资源状态变为“已过期”。宽限期内您可以正常访问VPN资源，但以下操作将受到限制： 变更VPN连接数 修改带宽大小 变更VPN网关规格 如果您在宽限期内仍未续费包年/包月VPN资源，那么就会进入保留期，资源状态变为“已冻结”，您将无法对处于保留期的包年/包月资源执行任何操作。 保留期到期后，若包年/包月VPN资源仍未续费，那么VPN网关、VPN连接和弹性公网IP都将被释放，数据无法恢复。 华为云根据客户等级定义了不同客户的宽限期和保留期时长。 关于续费的详细介绍请参见续费概述。

适用场景 包年/包月计费模式需要用户预先支付一定时长的费用，适用于长期、稳定的业务需求。以下是一些适用于包年/包月计费模式的业务场景： 稳定业务需求：对于长期运行且资源需求相对稳定的业务，如企业官网、在线商城、博客等，包年/包月计费模式能提供较高的成本效益。 长期项目：对于周期较长的项目，如科研项目、大型活动策划等，包年/包月计费模式可以确保在整个项目周期内资源的稳定使用。 业务高峰预测：如果能预测到业务高峰期，如电商促销季、节假日等，可提前购买包年/包月资源以应对高峰期的需求，避免资源紧张。 数据安全要求高：对于对数据安全性要求较高的业务，包年/包月计费模式可确保资源的持续使用，降低因资源欠费而导致的数据安全风险。

VPN计费模式概述 终端入云VPN只支持包年/包月的计费方式。 包年/包月：一种预付费模式，即先付费再使用，按照订单的购买周期进行结算。购买周期越长，享受的折扣越大。一般适用于长期稳定的成熟业务。 表1 终端入云VPN计费模式 计费模式 仅支持包年/包月 付费方式 预付费 按照订单的购买周期结算。 计费周期 按订单的购买周期计费。 适用计费项 VPN网关费用：当前支持专业型1，最大吞吐率300Mbps，每个网关默认包含10个连接，如需要超过10个连接，需要单独购买VPN连接。 VPN连接费用：连接按照阶梯计费，共有1-10，11-50，51-100，101-500四个阶梯。 变更计费模式 不支持变更计费模式。 变更规格 支持升高/降低EIP带宽大小。 支持增加/减少VPN连接数。 不支持变更VPN网关规格。 适用场景 可预估资源使用周期。 长期使用。 父主题： 计费模式

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 VPC1：192.168.0.0/24 VPC2：192.168.1.0/24 ER 关联VPC1和VPC2的企业路由器。 E CS 3个ECS分别位于不同的VPC内，VPC中的ECS如果位于不同的安全组，需要在安全组中添加规则放通对端安全组的网络。 VPN网关1 接入子网 用于VPN网关和VPC通信，请确保选择的接入子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关1默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 “连接1配置”中的Tunnel接口地址 用于VPN网关1和对端网关1建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.70.1/30 对端隧道接口地址：169.254.70.2/30 用于VPN网关1和对端网关2建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.71.1/30 对端隧道接口地址：169.254.71.2/30 “连接2配置”中的Tunnel接口地址 用于VPN网关1和对端网关1建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.72.1/30 对端隧道接口地址：169.254.72.2/30 用于VPN网关1和对端网关2建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.73.1/30 对端隧道接口地址：169.254.73.2/30 VPN网关2 接入子网 用于VPN网关和VPC通信，请确保选择的接入子网存在4个及以上可分配的IP地址。 192.168.3.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关2默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：3.3.3.3 主EIP2：4.4.4.4 “连接1配置”中的Tunnel接口地址 用于VPN网关2和对端网关1建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.74.1/30 对端隧道接口地址：169.254.74.2/30 用于VPN网关2和对端网关2建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.75.1/30 对端隧道接口地址：169.254.75.2/30 “连接2配置”中的Tunnel接口地址 用于VPN网关2和对端网关1建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.76.1/30 对端隧道接口地址：169.254.76.2/30 用于VPN网关2和对端网关2建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.77.1/30 对端隧道接口地址：169.254.77.2/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关1 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 对端网关2 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 2.2.2.1 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

前提条件 云侧 请确认 虚拟私有云VPC 已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见安全组规则。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 用户数据中心 待互通子网 172.16.0.0/16 对端网关 标识 选择FQDN类型，命名为“cgw-fqdn”。 策略模板 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128-GCM-16 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128-GCM-16 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见安全组规则。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 主备 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 备EIP：2.2.2.2 VPN连接 “连接1配置”中的Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.70.1/30 对端隧道接口地址：169.254.70.2/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.1/30 对端隧道接口地址：169.254.71.2/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 2.2.2.1 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见安全组规则。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见企业路由器ER相关资料。 数据中心侧 用户数据中心1和2的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。 用户数据中心1的VPN设备对端网络中需要包含华为云VPC的本端子网和用户数据中心2的待互通子网；用户数据中心2的VPN设备对端网络中需要包含华为云VPC的本端子网和用户数据中心1的待互通子网。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 用户数据中心1 待互通子网 172.16.0.0/16 用户数据中心1对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 用户数据中心1VPN连接 “连接1配置”中的Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.70.1/30 对端隧道接口地址：169.254.70.2/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.1/30 对端隧道接口地址：169.254.71.2/30 用户数据中心2 待互通子网 10.10.0.0/16 用户数据中心2对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 2.2.2.1 用户数据中心2VPN连接 “连接1配置”中的Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.72.1/30 对端隧道接口地址：169.254.72.2/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.73.1/30 对端隧道接口地址：169.254.73.2/30 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 版本：v2 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见安全组规则。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 双活 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 主EIP2：2.2.2.2 VPN连接 “连接1配置”中的Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.70.1/30 对端隧道接口地址：169.254.70.2/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.1/30 对端隧道接口地址：169.254.71.2/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 1.1.1.1 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

前提条件 云侧 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC，请参见创建虚拟私有云和子网。 请确认虚拟私有云VPC的安全组规则已经配置，ECS通信正常。如何配置安全组规则，请参见安全组规则。 如果通过企业路由器ER关联VPN网关，请确认企业路由器ER已经创建完成。如何创建企业路由器ER，请参见企业路由器ER相关资料。 数据中心侧 用户数据中心的VPN设备已经完成IPsec连接相关配置。相关操作步骤请参见管理员指南。

数据规划 表1 规划数据 类别 规划项 规划值 用户数据中心 待互通业务子网 VPN对端网关IP所在子网。 172.16.0.0/16 接入子网 专线对端网关IP所在子网。接入子网可以和业务子网相同。本示例以接入子网和业务子网相同为例。 172.16.0.0/16 业务子网所在虚拟私有云 虚拟私有云名称 tenant_vpc 专线虚拟网关 虚拟私有云 需要和VPN网关的接入虚拟私有云保持一致。 tenant_vpc 本端子网 需要和VPN网关的接入子网保持一致。 192.168.2.0/24 专线虚拟接口 本端网关IP地址 用于专线虚拟网关和远端网关建立通信，配置时两边需要互为镜像。 1.1.1.1/30 远端网关IP地址 2.2.2.2/30 远端子网 专线对端网关所在的接入子网信息。 172.16.0.0/16 VPN网关 虚拟私有云 即业务子网所在虚拟私有云。 tenant_vpc 互联子网 用于VPN网关和虚拟私有云通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 本端子网 虚拟私有云用于和用户数据中心通信的子网。 192.168.0.0/24 192.168.1.0/24 HA模式 双活 接入虚拟私有云 可以和虚拟私有云相同，也可以和虚拟私有云不同。 本示例中以接入虚拟私有云和虚拟私有云相同为例。 tenant_vpc 接入子网 如果接入虚拟私有云和虚拟私有云相同，且接入子网和互联子网相同，请确保选择的互联子网存在4个及以上可分配的IP地址。本示例以该场景为例。 192.168.2.0/24 如果接入虚拟私有云和虚拟私有云相同，且接入子网和互联子网不同，请确保选择的接入子网存在2个及以上可分配的IP地址。 如果接入虚拟私有云和虚拟私有云不同，请确保选择的接入子网存在2个及以上可分配的IP地址。 接入IP 手动指定网关IP地址。 私网IP地址1：192.168.2.100 私网IP地址2：192.168.2.101 VPN连接 “连接1配置”中的Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.70.1/30 对端隧道接口地址：169.254.70.2/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.1/30 对端隧道接口地址：169.254.71.2/30 VPN对端网关 网关IP IP地址由用户数据中心管理员规划配置。 172.16.0.111 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 版本：v2 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

数据规划 表1 规划数据 类别 规划项 规划值 VPC 待互通子网 192.168.0.0/24 192.168.1.0/24 VPN网关 互联子网 用于VPN网关和VPC通信，请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 HA模式 主备 EIP地址 EIP地址在购买EIP时由系统自动生成，VPN网关默认使用2个EIP。本示例假设EIP地址生成如下： 主EIP：1.1.1.2 备EIP：2.2.2.2 VPN连接 “连接1配置”中的Tunnel接口地址 用于VPN网关和对端网关建立IPsec隧道，配置时两边需要互为镜像。 本端隧道接口地址：169.254.70.1/30 对端隧道接口地址：169.254.70.2/30 “连接2配置”中的Tunnel接口地址 本端隧道接口地址：169.254.71.1/30 对端隧道接口地址：169.254.71.2/30 用户数据中心 待互通子网 172.16.0.0/16 对端网关 公网IP地址 公网IP地址由运营商统一分配。本示例假设公网IP地址如下： 公网IP1：1.1.1.1 公网IP2：2.2.2.1 IKE/IPsec策略 预共享密钥 Test@123 IKE策略 认证算法：SHA2-256 加密算法：AES-128 DH算法：Group 15 版本：v2 生命周期（秒）：86400 本端标识：IP Address 对端标识：IP Address IPsec策略 认证算法：SHA2-256 加密算法：AES-128 PFS：DH Group15 传输协议：ESP 生命周期（秒）：3600

资源和成本规划 该解决方案主要部署如下资源，每月花费如表1所示，具体请参见华为云官网价格详情，实际收费以账单为准： 表1 资源和成本规划 产品 配置示例 成本预估/月 虚拟专用网络 按需计费：VPN网关带宽费用20.075元/小时+VPN连接费用0.36元/小时，更多计费详情请参见价格详情。 区域：中国-香港 计费模式：按需计费 计费方式：按带宽计费 带宽大小：100 Mbit/s 14713.2元 云连接 按月计费：86000元/月，更多计费详情请参见价格详情。 计费模式：包年/包月 计费方式：按带宽计费 互通类型：跨大区互通 互通大区：中国大陆 - 亚太 带宽：100 Mbit/s 86000元 合计 — 100713.2元 父主题： 通过VPN和云连接构建跨境网络连接

配置验证 本环境中在用户数据中心、VPC1、VPC2中分别存在三台ECS，IP地址分别为192.168.1.151、192.168.11.84和192.168.22.170的三台主机，初始情况下ECS1（192.168.1.151）可以和ECS2（192.168.11.84）互联互通（通过VPN访问），ECS3（192.168.22.170）无法和其它主机互通，在建立VPC-peering后，ECS3可以和ECS2互通，但无法和ECS1互通。 经过步骤2的配置调整后，可以实现ECS1、ECS2和ECS3之间互联互通，结果验证如下。 IDC1 ECS1访问VPN连接VPC1子网下的ECS2：结果OK。 ECS1访问VPC2子网下的ECS3：结果OK。 IDC2 ECS1访问VPN连接VPC1子网下的ECS2：结果OK。 ECS1访问VPC2子网下的ECS3：结果OK。 华为云端VPC1 VPC1子网下的ECS2访问用户数据中心子网下的ECS1：结果OK VPC1子网下的ECS2访问VPC2子网下的ECS3：结果OK 华为云端VPC2 VPC2子网下的ECS3访问VPC1子网下的ECS2：结果OK。 VPC2子网下的ECS3访问用户数据中心子网下的ECS1：结果OK。

前提条件 前置资源 用户在华为云上多个区域内购买了VPC，且某个区域中存在多个VPC。 每个区域都通过VPN和不同的用户数据中心连接。 云上VPC和用户的数据中心的子网不冲突，ECS服务正常。 连接拓扑 图1 VPN hub连接拓扑 配置思路： 通过云连接将VPC1、VPC2和VPC3进行连接，并配置云连接路由，实际网络配置需要购买带宽包。 分别创建IDC1-VPC1、IDC2-VPC2、IDC3-VPC3的VPN网络。 更新每一段VPN的本地子网和远端子网。 局点配置说明 表1 配置说明 节点 标识 VPN本端网关 VPN本地子网 VPN远端网关 VPN远端子网 CC网络实例 IDC1 VPN A 1.1.1.1 192.168.11.0/24 2.2.2.2 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.55.0/24 192.168.66.0/24 - VPC1 2.2.2.2 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.55.0/24 192.168.66.0/24 1.1.1.1 192.168.11.0/24 192.168.22.0/24 192.168.11.0/24 IDC2 VPN B 4.4.4.4 192.168.44.0/24 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.55.0/24 192.168.66.0/24 - VPC2 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.55.0/24 192.168.66.0/24 4.4.4.4 192.168.44.0/24 192.168.33.0/24 192.168.44.0/24 IDC3 VPN C 5.5.5.5 192.168.55.0/24 3.3.3.3 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.66.0/24 - VPC3 6.6.6.6 192.168.11.0/24 192.168.22.0/24 192.168.33.0/24 192.168.44.0/24 192.168.66.0/24 5.5.5.5 192.168.55.0/24 192.168.55.0/24 192.168.66.0/24 云连接网络实例可在任一局点配置，通过查看路由信息验证网络实例配置。 用户侧VPN网关IP与VPC互为镜像，VPN连接创建的资源信息与华为云一致。

配置步骤 创建云连接 登录管理控制台，选择VPC所在的区域，然后在服务列表中选择网络下的“云连接”，根据图2输入相关创建信息后，单击“确定”创建云连接。 图2 创建云连接 选择已创建的云连接，单击名称添加网络实例。 图3 加载网络实例 在新页签中选择“加载网络实例”，添加云连接所连接的VPC网络，VPC子网可直接进行选择，通过VPN连接的客户网络需要手动添加在自定义网段中，单击“确定”。 图4 加载网络实例 另一侧VPC2配置信息和VPC1的相同，请不要忘记添加VPN连接的客户网络，如果忘记添加可通过选择云连接中的VPC，单击右侧“更新VPC CIDRs”进行添加。 图5 更新VPC CIDRs 云连接配置完成后， 网络实例连接示意图如下所示。 图6 更新VPC CIDRs 通过查看路由信息验证路由配置 图7 验证路由配置 更新VPN网络配置 修改思路： 用户侧：本端子网不变，远端子网添加VPC2的子网。 VPC侧：本端子网添加VPC2的子网，远端子网不变。 选择华为云端的虚拟专线网络配置，在已创建的VPN连接中修改本端子网配置。 图8 创建对等连接 更改本端子网类型为网段，添加云连接所连接的VPC1的网络实例和本端VPC子网，远端网络信息不变 VPC1的VPN连接信息配置如下图所示。 图9 修改VPN连接 VPC2的VPN连接信息配置如下图所示。 图10 修改VPN连接

配置验证 本环境中在用户数据中心、VPC1、VPC2中分别存三台ECS，IP地址分别为172.16.1.1、192.168.1.1和192.168.2.1的三台主机，初始情况下ECS1（172.16.1.1）可以和ECS2（192.168.1.1）互联互通（通过VPN访问），ECS3（192.168.2.1）无法和其它主机互通，在建立VPC-peering后，ECS3可以和ECS2互通，但无法和ECS1互通。 经过步骤3的配置调整后，可以实现ECS1、ECS2和ECS3之间互联互通，结果验证如下。 用户数据中心 ECS1访问VPN连接VPC1子网下的ECS2：结果OK。 ECS1访问VPC2子网下的ECS3：结果OK 华为云端VPC1 VPC1子网下的ECS2访问用户数据中心子网下的ECS1：结果OK。 VPC1子网下的ECS2访问VPC2子网下的ECS3：结果OK。 华为云端VPC2 VPC2子网下的ECS3访问VPC1子网下的ECS2：结果OK。 VPC2子网下的ECS3访问用户数据中心子网下的ECS1：结果OK。

前提条件 前置资源 用户已购买了VPN连接，完成了用户端数据中心网络和云端VPC的VPN连接； 用户购买了多个VPC，且每个VPC下的子网不冲突，云端多个VPC下的ECS服务正常； 连接拓扑 图1 VPN与VPC peering配合使用 用户数据中心本地子网：172.16.1.0/24，VPN网关IP：1.1.1.1 VPC1子网：192.168.1.0/24，VPN网关IP：11.11.11.11 VPC2子网：192.168.2.0/24 配置概述 表1 局点配置说明 配置说明 用户数据中心 VPC1 VPC2 VPN连接子网配置 本端网关：1.1.1.1 本地子网：172.16.1.0/24 远端子网：192.168.1.0/24 192.168.2.0/24 远端网关：11.11.11.11 说明： 网关IP与VPC1互为镜像。 VPN资源与VPC1相同。 本端网关：11.11.11.11 本端子网：192.168.1.0/24； 192.168.2.0/24 远端网关：1.1.1.1 远端子网：172.16.1.0/24 - VPC对等连接路由配置 - VPC1目的地址：192.168.2.0/24 VPC2目的地址： 172.16.1.0/24；192.168.1.0/24 备注 本示例在创建VPC-peering时指定VPC1为本端，VPC2为远端。 云连接网络实例可在任一局点配置，通过查看路由信息验证网络实例配置。 配置思路 通过VPC-peering将VPC1和VPC2进行连接。 用户数据中心VPN连接的本地子网不变，远端子网变为192.168.1.0/24和192.168.2.0/24。 VPC1的VPN连接的本地子网变更为192.168.1.0/24和192.168.2.0/24，远端子网不变。 VPC1的VPC-peering本端路由仅包含目标网段为VPC2子网192.168.2.0/24的路由。 VPC2的VPC-peering远端路由包含目标网段为VPC1子网192.168.1.0/24和客户子网172.16.1.0/24。

配置步骤 创建VPC-peering 登录管理控制台，选择VPC所在的区域，然后在服务列表中选择“虚拟私有云VPC”，在页面左侧页签中选择“对等连接”，单击页面右上方“创建对等连接”，在弹出页面中选择本端的VPC和对端VPC信息，单击“确定”进行创建。 图2 创建对等连接 本端VPC和对端VPC是在创建VPC对等连接时选择的，请按照VPC子网网段确认是否匹配，VPC-peering创建后无法变更VPC信息，只能修改VPC-peering的名称和VPC对端连接本端路由和远端路由。 图3 修改VPC信息 VPC-peering创建完成后可查询对等连接的相关信息，同时VPC的对等连接会提示本端连接的VPC网络和对端连接的VPC网络，两端网络互通需要添加路由信息。 图4 VPC信息 本示例中选择VPN连接侧的VPC1为本端，VPC2为远端。 添加VPC-peering路由 普通的VPC-peering连接只需要添加两侧VPC的子网网络路由，本示例中本端VPC分别通过VPN连接了用户数据中心网络，因此再添加网络路由时需要将客户的网络也进行添加。在对等连接页面单击要编辑的VPC对等连接的名称，进入如下图添加路由页面。 图5 创建对等连接 添加本端路由：选择关联路由图示左侧“+”或单击下侧“本端路由”，单击“添加本端路由”。 在弹出页面填写目的地址网络信息，多条路由可逐条添加；对端路由添加方式与添加本端路由相同。 本端路由：即从本端出发，目标地址为VPC2侧子网的路由，即192.168.2.0/24 对端路由：即从对端出发，目标地址为VPC1侧子网的路由，即192.168.1.0/24和172.16.1.0/24 图6 添加本端路由 VPC1通过VPN连接的用户数据中心网络，对于VPC2来讲，是通过VPC-peering连接的，所以对端路由除去往本端子网的路由外，还需要包含去往用户数据中心子网的路由。 添加路由的下一跳地址由VPN对端连接自动生成，配置页面无需修改，添加多条路由选择“增加一条路由”进行逐条添加，页面中可以显示对端VPC的子网信息，但不包含对端VPC连接的网络，如添加对端路由时查看本端VPC子网不显示通过VPN连接的用户数据中心网络。 图7 添加本端路由 修改VPN配置 VPC1和VPC2通过VPC-peering连接后，用户数据中心网络和VPC1之间的VPN子网也随即发生了变化，从VPN连接的角度看，VPC1的本地子网应该包含自身的子网和通过VPC-peering连接的VPC2的子网，同理，客户端VPN的远端子网也需要做相应的调整。 客户侧：本端子网不变，远端子网添加VPC2的子网，本示例为192.168.2.0/24。 VPC1侧：本端子网添加VPC2的子网，本示例为192.168.2.0/24，远端子网不变。 选择“虚拟专用网络 ＞ 经典版 ”，在“VPN连接”界面找到VPC1创建的VPN连接，选择“修改”。 在修改VPN连接页面将本端子网变更为“网段”，并输入VPC1的子网和VPC2的子网，两个网段之间使用英文逗号隔开，远端子网和其它信息保持不变。 用户侧的VPN配置需要修改远端子网，请将华为云端的VPC1子网、VPC2子网添加至VPN连接的远端子网配置中。 图8 修改VPN连接

前提条件 前置资源 用户已购买了VPN连接，完成了用户端数据中心网络和云端VPC的VPN连接。 用户购买了多个Region的VPC，且每个VPC下的子网不冲突，云端多个VPC下的ECS服务正常。 连接拓扑 图1 VPN与云连接配合使用 用户数据中心本地子网：192.168.11.0/24，VPN网关IP：1.1.1.1 VPC1子网：192.168.22.0/24，VPN网关：2.2.2.2 VPC2子网：192.168.33.0/24 配置概述 表1 配置说明 用户数据中心 VPC1（华东节点） VPC2（华南节点） VPN连接子网配置 本端网关：1.1.1.1 本地子网：192.168.11.0/24 远端子网：192.168.22.0/24 192.168.33.0/24 远端网关：2.2.2.2 网关IP与VPC1互为镜像 VPN资源与VPC1相同 VPN连接子网配置 本端网关：2.2.2.2 本端子网：192.168.22.0/24 192.168.33.0/24 远端网关：1.1.1.1 远端子网：192.168.11.0/24 云连接网络实例配置 网络实例：192.168.22.0/24 192.168.11.0/24 云连接网络实例配置 网络实例：192.168.33.0/24 云连接网络实例可在任一Region配置，通过查看路由信息验证网络实例配置。 配置思路： 通过CC将华东VPC1和华南VPC2进行连接。 用户数据中心VPN连接的本地子网不变，远端子网变为192.168.22.0/24和192.168.33.0/24。 VPC1的VPN连接的本地子网变更为192.168.22.0/24和192.168.33.0/24，远端子网不变。 VPC1的CC更新VPC CIDRs的网段信息，将192.168.11.0/24添加至VPC子网中。 VPC2的网络信息无变化。 配置域间带宽。 验证云连接路由信息。

配置验证 本环境中在用户数据中心、VPC1、VPC2中分别存三台ECS，IP地址分别为192.168.11.11、192.168.22.170和192.168.33.33的三台主机，初始情况下ECS1（192.168.11.11）可以和ECS2（192.168.22.170）互联互通（通过VPN访问），ECS3（192.168.33.33）无法和其它主机互通，在建立云连接CC后，ECS3可以和ECS2互通，但无法和ECS1互通。 经过更新VPC CIDRs和更新VPN配置的配置调整后，已实现ECS1、ECS2和ECS3之间互联互通，结果验证如下。 用户数据中心 ECS1访问VPN连接VPC1子网下的ECS2：结果OK。 ECS1访问VPC2子网下的ECS3：结果OK。 华为云云端VPC1 VPC1子网下的ECS2访问用户数据中心子网下的ECS1：结果OK。 VPC1子网下的ECS2访问VPC2子网下的ECS3：结果OK。 华为云云端VPC2 VPC2子网下的ECS3访问VPC1子网下的ECS2：结果OK。 VPC2子网下的ECS3访问用户数据中心子网下的ECS1：结果OK。