本文介紹邊界路由器VBR(Virtual Border Router)載入到雲企業網CEN(Cloud Enterprise Network)時可能出現的BGP路由環路造成路由震蕩風險和產生風險的原因。
問題描述
當您將本機資料中心IDC(Internet Data Center)通過雲企業網接入阿里雲時,因物理專線的接入裝置支援的功能不同,部分阿里雲側物理專線接入裝置上的VBR載入到雲企業網後無法向客戶資料中心IDC通過BGP傳遞原始AS-PATH。
上述行為導致BGP路由環路造成路由震蕩風險的情境為:當有兩條物理專線將IDC接入阿里雲時,VBR1或VPNGW(IPsec串連綁定了VPN網關執行個體)通過邊界路由協議BGP(Border Gateway Protocol)學習到的IDC路由,通過雲企業網將這些路由從VBR2發布給IDC2時,由於VBR2不具備攜帶原始路由AS-PATH發布給IDC2的能力,IDC2收到這些路由將缺失VBR1或VPNGW發布給阿里雲側時的原始AS-PATH,從而存在導致BGP路由環路造成路由震蕩或其它風險。
具體情境及解決方案
情境一:多IDC專線接入阿里雲
若您將多個資料中心同時接入阿里雲,本文以兩個資料中心同時接入阿里雲為例。
若資料中心1和資料中心2,存在通過阿里雲作為中間轉寄的角色,並且資料中心1和資料中心2之間有BGP。在該情境下VBR1學到資料中心1 AS 65000的路由,通過VBR2發布給資料中心2 AS 65001,此時如果VBR2不具備傳遞原始AS-APTH能力,資料中心2收到的BGP路由將不攜帶AS 65000,只有AS 45104,此時如果資料中心2將該路由發布給資料中心1並且導致資料中心1優選了該路由,資料中心1將撤銷發給VBR1的原始路由,從而觸發雲企業網撤銷VBR2發給資料中心2的路由,資料中心2也會撤銷發個資料中心1的路由,這時資料中心1又會優選本地路由並且發布給VBR1,如此環路的路由將會持續震蕩。
因此這種情境下不建議使用者使用BGP路由,建議使用靜態路由,使用明細路由的方式來控制路徑。若使用者確認能在本地路由器上人為的控制路由傳播,譬如控制路由發布範圍、控制路由優先順序等,也可以通過BGP路由的方式將VBR加入雲企業網。
情境二:組網中僅使用靜態路由與IDC對接
因為物理專線接入裝置功能影響的是AS-PATH的傳遞,所以您的VBR與IDC之間互聯使用的靜態路由,不使用BGP路由,這種情況下的組網可以將VBR加入雲企業網,不存在BGP路由環路造成的路由震蕩風險。
情境三:單一IDC雙專線接入阿里雲
- 生效方向:出地區網關。
- 策略行為:拒絕。
- 匹配條件:源執行個體類型,包括虛擬私人網路(VPN),邊界路由器(VBR),雲串連網CCN(Cloud Connect Network)。
情境四:單一IDC專線通過IPsec-VPN BGP方式接入阿里雲
- 生效方向:出地區網關。
- 策略行為:拒絕。
- 匹配條件:源執行個體類型,包括虛擬私人網路(VPN),邊界路由器(VBR),雲串連網CCN(Cloud Connect Network)。