开始操作前，建议您先了解加密物理专线私网流量原理。更多信息，请参见加密物理专线私网流量。

　　本文以下图场景为例。某企业在杭州拥有一个本地数据中心IDC（Internet Data Center），在阿里云华东1（杭州）地域拥有一个VPC，VPC中使用云服务器ECS（Elastic Compute Service）部署了相关服务。因业务发展本地IDC需要连接上云，基于一些安全合规要求企业需要使用物理专线和转发路由器实现本地IDC与VPC间的私网互通，同时为了降低数据泄露风险，防止企业机密数据被内部或外部人员窃取、篡改，企业希望通过物理专线传输的流量均加密后再传输至阿里云。

　　在本地IDC与VPC实现私网互通的情况下，企业可以在本地网关设备与转发路由器之间建立私网IPsec-VPN连接，私网IPsec-VPN连接可以加密经过物理专线的流量，满足企业网络安全的高要求。

　　如果您需要自行为本地IDC和相关网络实例规划网段，需确保要互通的网段之间没有重叠。

　　为实现物理专线私网流量加密传输，需要确保本地IDC和VPC之间的互访流量优先通过私网IPsec-VPN连接传输，而非通过物理专线传输。本文通过控制路由来实现该目标：

　　转发路由器可以分别通过VBR实例和私网IPsec-VPN连接学习到本地IDC的路由，根据转发路由器路由优先级，默认通过VBR实例学习到的路由更优，此机制会导致VPC去往本地IDC的流量优先通过物理专线传输，无法实现加密。

　　本文通过宣告不同子网掩码的本地IDC网段来规避该问题。本地网关设备向VBR实例宣告本地IDC网段时，需要宣告大网段（即子网掩码较短）；向私网IPsec-VPN连接宣告本地IDC网段时，需要宣告小网段（即子网掩码较长）。

　　本地IDC可以同时通过VBR实例和私网IPsec-VPN连接学习到VPC实例的路由，本文在转发路由器侧通过配置路由策略调整路由优先级来确保本地IDC去往VPC的流量优先通过私网IPsec-VPN连接传输。

　　当前路由机制也可以确保私网IPsec-VPN连接中断后，本地IDC与VPC依旧可以通过物理专线和转发路由器实现私网互通，只是流量不再被加密。

　　VPN IP地址是指本地网关设备上将与转发路由器建立私网IPsec-VPN连接的接口的IP地址。

　　您已经在阿里云华东1（杭州）地域创建了VPC并使用ECS部署了相关服务。具体操作，请参见搭建IPv4专有网络。

　　请检查本地网关设备，确保本地网关设备支持标准的IKEv1和IKEv2协议，以便和阿里云建立私网IPsec-VPN连接。关于本地网关设备是否支持标准的IKEv1和IKEv2协议，请咨询本地网关设备厂商。

　　创建物理专线（杭州）地域申请一条物理专线。具体操作，请参见申请经典模式共享专线接入流程。本文选择

　　。以下仅列举本相关的配置项，其余配置项保持默认状态。更多信息，请参见创建和管理边界路由器。

　　组页签下，单击创建BGP组，并根据以下信息进行BGP组配置，然后单击确定。以下仅列举本相关的配置项。更多信息，请参见配置和管理BGP。

　　IP：输入BGP邻居的IP地址。本文输入本地网关设备连接物理专线的接口的IP地址10.0.0.1。

　　9.19.1）作为配置示例。不同软件版本的配置命令可能会有所差异，操作时请根据您的实际环境查询对应文档或咨询相关厂商。更多本地网关设备配置示例，请参见本地网关设备配置示例。以下内容包含的第三方产品信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响，不做任何暗示或其他形式的承诺。

　　实例宣告本地IDC网段时，建议宣告大网段，以确保后续转发路由器通过私网IPsec-VPN连接学习的本地IDC网段比当前宣告的网段更明细，路由优先级更高。

　　通过物理专线连接至阿里云后，开始配置转发路由器，通过转发路由器实现本地IDC与VPC间的私网互通。创建云企业网实例。

　　，然后自定义云企业网实例名称，其余配置项保持默认状态。创建转发路由器实例。

　　转发路由器页签，找到华东1（杭州）地域的转发路由器实例，在操作列单击创建网络实例连接。在

　　，将VPC实例连接至转发路由器。以下仅列举本相关的配置项，其余配置项保持默认状态。更多信息，请参见使用企业版转发路由器创建VPC

　　和交换机3。在支持多可用区的地域，需在至少2个可用区中各选择一个交换机实例。推荐使用未承载业务的交换机创建VPC连接。

　　，将VBR实例连接至转发路由器。以下仅列举本相关的配置项，其余配置项保持默认状态。更多信息，请参见使用企业版转发路由器创建VBR连接。

　　中的ECS实例所应用的安全组规则以及本地IDC中客户端所应用的访问控制规则，并确保ECS实例的安全组规则以及本地IDC客户端的访问控制规则允许本地IDC客户端与VPC中的ECS实例互通。具体操作，请参见查询安全组规则添加安全组规则。本步骤中本地IDC

　　的访问控制规则需放行ICMP协议以及VPC网段，ECS实例安全组规则需放行ICMP协议以及本地IDC网段。

　　与VPC实现私网互通后，您可以在本地网关设备与转发路由器间建立私网网络类型的IPsec-VPN连接，然后通过路由配置，引导本地IDC与VPC之间的流量通过私网IPsec-VPN连接进行传输，实现加密物理专线私网流量。第

　　连接分配网关IP地址，以便建立私网IPsec-VPN连接。转发路由器地址段不能与本地IDC、VPC中要参与网络互通的网段冲突。创建

　　个用户网关，将本地网关设备的2个VPN IP地址和BGP AS号注册至阿里云。登录

　　。以下仅列举本相关的配置项，其余配置项保持默认状态。更多信息，请参见用户网关。

　　IPsec连接(CEN)页面，根据以下信息配置IPsec连接，然后单击确定。以下内容仅列举本相关的配置项，其余配置项保持默认状态。更多信息，请参见创建和管理IPsec

　　连接页面，找到创建的IPsec连接，在操作列单击生成对端配置。对端配置是指需要在IPsec

　　连接对端添加的VPN配置。本文场景中您需要将这些配置添加在本地网关设备上。在

　　连接配置对话框，复制配置并保存在您的本地，用于后续配置本地网关设备。配置本地网关设备。

　　连接后，您需要在本地网关设备上添加VPN配置，使本地网关设备与阿里云之间成功建立私网IPsec-VPN连接。单击查看本地网关设备配置。

　　IKE阶段认证算法、加密算法、DH分组和SA生存周期，需和阿里云侧保持一致。

　　连接时，IKE配置阶段的加密算法、认证算法和DH分组均只支持指定一个值，不支持指定多个值。建议在思科防火墙中IKE配置阶段的加密算法、认证算法和DH分组也均只指定一个值，该值需与阿里云侧保持一致。

　　和profile，指定思科防火墙侧的IPsec阶段加密算法、认证算法、DH分组和SA生存周期，需和阿里云侧保持一致。

　　连接时，IPsec配置阶段的加密算法、认证算法和DH分组均只支持指定一个值，不支持指定多个值。建议在思科防火墙中IPsec配置阶段的加密算法、认证算法和DH分组也均只指定一个值，该值需与阿里云侧保持一致。

　　连接创建完成后，本地IDC与VPC之间的流量依旧是通过物理专线传输，还未进行加密。需要添加相关路由使本地IDC与VPC之间的流量通过私网IPsec-VPN连接进行传输。在本地网关设备上添加

　　连接宣告本地IDC网段时，需确保该网段比对VBR实例宣告的本地IDC网段更明细，以确保转发路由器通过私网IPsec-VPN连接学习到的本地IDC的路由更优。

　　连接会中断，需要在转发路由器路由表中添加去往本地网关设备VPN IP地址的明细路由，下一跳指向VBR实例，重新建立私网IPsec-VPN连接。保持在

　　将通过VBR实例和私网IPsec-VPN连接同时学习到VPC的网段，为确保云下去往云上的流量优先通过私网IPsec-VPN连接进入VPC，您需要在转发路由器中配置路由策略，使VBR实例向本地IDC发布的VPC的网段的优先级低于私网IPsec-VPN连接向本地IDC发布的VPC网段的优先级。登录云企业网管理控制台。

　　。根据以下信息配置路由策略，然后单击确定。以下内容仅列举本相关的配置项，其余配置项保持默认状态。更多信息，请参见路由策略。

　　个路由策略，拒绝私网IPsec-VPN连接向本地IDC传播本地网关设备VPN IP地址的路由，防止路由环路。

　　连接详情页面查看到流量传输监控数据，则证明物理专线的私网流量已经过加密处理。登录

　　中的ECS1实例。执行ping命令，持续访问本地IDC网段下的任意一台客户端。ping 本地

　　连接页面，找到已创建的IPsec连接，单击IPsec连接ID。在IPsec