当你的企业开始将业务迁移到云上,或者采用混合云架构(一部分系统在本地机房,一部分在云上),本地 IDC 和云上 VPC 之间必然需要频繁、大量地交换数据。
最简单的方式是走公共互联网:数据先出本地出口,经过互联网,再进入云平台。但这会带来一系列严重问题 ——
专线就是为了彻底绕开公共互联网,用一条只属于你的私有物理链路,直连本地 IDC 和云平台,从根本上消灭这些问题。
① 延迟需求 <20ms 且不能抖动 | ② 带宽需求 ≥500Mbps | ③ 数据合规不能走公网 | ④ 需要 99.99% 以上的 SLA 保障
互联网数据包需要经过十几跳路由器,且受网络拥塞影响时延波动可达 50~300ms。专线路径固定,物理距离可控,时延稳定在 <10ms,无抖动。
公网带宽是"共享资源",高峰期极易拥堵,实际可用带宽无法保证。专线带宽独享,从 10Mbps 到 100Gbps 按需申请,分配多少用多少。
数据在互联网上传输,即使加密,也面临中间人攻击、流量分析、DDoS 等风险。专线数据在物理上隔离的私有链路中传输,没有任何公网节点接触。
金融(等保三级+)、医疗(HIPAA/卫健委规定)、政务(安全保密)等行业明确要求核心数据不得经过公共网络,VPN 走公网也无法满足。专线是"不经公网"的唯一方案。
互联网会发生运营商故障、BGP 劫持、DDoS 攻击等,可用性无法保证。专线通常由电信运营商提供 SLA 99.95%~99.99%,故障可快速响应修复。
| 对比维度 | 🔒 IPSec VPN | 🔌 专线 Direct Connect |
|---|---|---|
| 网络路径 | 走公共互联网(加密隧道) | 物理私有链路,完全不走公网 |
| 延迟 | 高,50~300ms,波动大 | 极低,<10ms,非常稳定 |
| 带宽上限 | 通常 <1Gbps,受公网影响 | 可达 100Gbps,独享保障 |
| 安全性 | 加密但仍走公网,存在被分析风险 | 物理隔离,最高安全等级 |
| 合规满足度 | 仅满足等保二级 | 满足等保三级及以上 |
| SLA 保障 | 依赖公网,无 SLA | 运营商级 99.95%~99.99% |
| 建设周期 | 小时级,自助在线配置 | 数周~数月,需运营商施工 |
| 费用 | 低(网关费 + 流量费),灵活 | 高(专线月租 + 端口费),长期 |
| 适合场景 | 开发测试、非核心业务、临时连接、预算受限 | 生产核心、数据库同步、媒体传输、合规系统 |
| 推荐组合 | 💡 生产环境最佳实践:专线作主链路 + VPN 作备用链路,专线故障时自动切换 VPN,兼顾性能与冗余 | |
🔒 VPN 典型成本(示意)
🔌 专线典型成本(示意)
搭设专线需要运营商 + 云服务商 + 企业IT团队三方协作,整体分为五个阶段:
接入物理专线 — 向运营商申请光纤
这是整个专线搭设的物理基础,需要你联系运营商(中国电信、联通、移动)或云服务商官方申请,从你的 IDC 机房拉一根光纤到云的最近接入点(PoP 点)。
- 选择接入带宽:根据业务评估,如 100Mbps / 1Gbps / 10Gbps,带宽越大月租费越高
- 确定接入点:云服务商会提供各城市的 PoP 点列表,选距你 IDC 最近的
- 运营商施工:提交申请后运营商上门勘查、布线,周期 2~8 周
- 本地设备准备:你的 IDC 机房需要一台路由器(支持 BGP),接收专线光纤,配置接入侧 IP
创建专线网关 — 在云控制台操作
专线网关是云侧的接收端,相当于在 VPC 里挂一个"专线专用路由器"。物理专线必须有对应的专线网关才能接入 VPC。
- 登录云控制台 → 专线 → 专线网关 → 新建
- 选择要接入的 VPC(专线网关和 VPC 绑定)
- 选择接入网络类型:直连 VPC 或绑定到云企业网(CEN)
- 配置 BGP AS 号(若使用 BGP 动态路由)
创建虚拟接口 — 将专线与网关"连线"
虚拟接口(Virtual Interface)是一条物理专线上划分的逻辑通道。可以在一条物理专线上创建多个虚拟接口,接入不同的专线网关/VPC,实现资源复用。
- VLAN ID:给这条虚拟接口分配一个 VLAN 编号(如 100),用于二层隔离
- 互联 IP:配置专线两端的 IP 地址,例如云侧 192.168.0.1/30,IDC 侧 192.168.0.2/30
- BGP 配置(推荐):填写本地 BGP ASN(你公司的)和对端 ASN(云平台的),填写 BGP 鉴权 Key
- 静态路由(备选):若不用 BGP,可手动填写 IDC 侧路由 CIDR 让云端学习
- 将该虚拟接口绑定到第 2 步创建的专线网关
加载网络实例 — 打通云内网络
将 VPC(或云企业网)加载到专线网关,让专线网关知道"云侧我要去哪些 VPC",并将 VPC 的路由信息通过专线网关传递给 IDC 侧。
- 进入专线网关 → 绑定网络实例 → 选择 VPC
- 配置 IDC 发布路由(把 IDC 的 IP 段告知云端,如 172.16.0.0/16)
- 配置 VPC 发布路由(把 VPC 的 IP 段告知 IDC 端,如 10.0.0.0/16)
- 检查 VPC 路由表:确认已有去往 IDC IP 段的路由,下一跳为专线网关
配置本地路由 & 测试连通性
回到IDC 侧的路由器,配置指向云 VPC 网段的路由,让 IDC 的机器知道"去云上 VPC 的流量应该走专线接口",然后全面联调验证。
- 本地路由器配置(BGP 模式):启动 BGP Peer,等待与云侧建立 ESTABLISHED 状态,云端路由会自动学习过来
- 本地路由器配置(静态模式):
ip route 10.0.0.0/16 [专线接口],手动写静态路由 - 连通性测试:从 IDC 机器 ping VPC 内的云服务器私网 IP,确认双向可达
- 性能测试:用 iperf3 测试实际带宽和延迟,是否达到申请的专线指标
- 安全策略:配置 IDC 侧防火墙,只允许必要的端口/IP 通过专线,最小化攻击面
搭设完成后的完整链路图
💡 生产建议:双专线冗余,避免单点故障
对照下面的清单,勾选你的业务情况:
-
业务延迟要求严苛(<20ms)——如实时交易、工业控制指令下发、在线游戏后台
→ 必须专线,公网延迟不可控 -
数据量大(持续 ≥500Mbps 或突发 ≥5Gbps)——如大数据同步、视频传输、数据库备份
→ 必须专线,公网带宽不够且费用极高 -
行业合规要求数据不经公网——金融(等保三级+)、医疗、政务、军工
→ 必须专线,VPN 走公网不合规 -
业务 SLA 要求 ≥99.95%——核心生产系统不能容忍网络中断
→ 强烈建议专线,公网无法保证 SLA -
长期稳定连接(合同期 ≥1年)且流量大——持续高流量场景下专线总成本可能比公网流量费更低
→ 建议做专线 vs VPN 的 TCO 测算 -
仅开发测试、偶发使用、带宽小、非合规敏感
→ VPN 即可,成本低、部署快
联系云服务商和运营商,提供 IDC 地址和带宽需求,启动专线申请流程。建设周期 2~8 周,做好时间规划。
用 VPN 快速上线,随着业务增长再评估是否升级专线。也可以 VPN 先用、专线同步申请、上线后切换。
📋 动手搭设前的准备清单
- 确认 IDC 机房位置,找到距离最近的云专线接入点(PoP)
- 评估所需带宽:分析峰值流量,按 1.5~2x 冗余系数申请
- 准备接入设备:IDC 侧路由器需支持 BGP,有空余光口
- 规划 IP 地址:IDC 侧网段和 VPC 网段不能重叠,预留互联 IP(/30 子网)
- 申请 BGP ASN:向 APNIC 申请私有 ASN(64512-65534范围),或使用运营商提供的
- 协调三方排期:运营商施工窗口、云控制台操作、IDC 侧网管协同
- 准备验收方案:连通性测试脚本、带宽测试工具(iperf3)、监控告警配置