IPsec串連綁定轉寄路由器後,您還需要為IPsec串連配置本機資料中心的路由,來自轉寄路由器的流量進入IPsec串連後,IPsec串連將會通過查詢路由資訊向本機資料中心轉寄流量,以實現本機資料中心和轉寄路由器之間的流量互連。
背景資訊
本機資料中心通過IPsec-VPN串連接入轉寄路由器時,需要在轉寄路由器側、IPsec串連側、本機資料中心側分別添加路由以實現本機資料中心和轉寄路由器之間流量互連。
本文將重點介紹IPsec串連側的路由配置,轉寄路由器側和本機資料中心側的路由配置本文不過多描述。IPsec串連支援配置靜態路由或通過BGP(Border Gateway Protocol)動態路由協議自動學習路由。
如何選擇路由配置方式
確定IPsec串連所屬地區是否支援BGP動態路由協議。如果IPsec串連所屬地區不支援BGP動態路由協議,則需要選擇靜態路由方式。
重要在不支援BGP動態路由協議的地區,如果您之前在該地區建立了單隧道模式的IPsec-VPN串連,則單隧道模式的IPsec-VPN串連依舊不支援BGP動態路由協議。如果在該地區您建立了IPsec-VPN串連,則建立的IPsec-VPN串連預設為雙隧道模式且支援BGP動態路由功能。
確定本機資料中心網關裝置的支援情況。如果本機資料中心網關裝置支援BGP動態路由協議,您可以選擇使用BGP動態路由方式。如果本機資料中心網關裝置不支援BGP動態路由協議,則需要選擇靜態路由方式。
如果您的情境同時支援靜態路由和BGP動態路由方式,請參見以下資訊選擇一種路由配置方式。
路由配置方式
適用情境
配置難度
路由維護成本
靜態路由
適用於本機資料中心路由數量較少、路由變更不頻繁的情境。
易
中
如果本機資料中心側有路由變動,您需要在VPN網關側手動變更路由配置。
BGP動態路由
適用於本機資料中心路由數量相對較多、路由變更頻繁的情境。
易
低
如果本機資料中心側有路由變動,VPN網關側無需操作,BGP動態路由協議會依據BGP動態路由宣告原則實現路由的自動分發和學習。
路由配置建議
一個IPsec串連建議使用一種路由配置方式,不建議同時使用目的路由或BGP動態路由。
在使用雙隧道模式的IPsec-VPN串連時,推薦使用BGP動態路由方式。如果需要使用靜態路由方式,請確保本地網關裝置支援配置靜態ECMP路由,否則本機資料中心去往阿里雲的流量無法通過ECMP路徑進行傳輸,雲上的流量卻能通過ECMP路徑傳輸至本機資料中心,可能會導致流量的傳輸路徑不符合您的期望。
在使用雙隧道模式的IPsec-VPN串連時,推薦您按照以下原則為IPsec-VPN串連添加路由配置,以提高IPsec-VPN串連的穩定性:
對於一個IPsec-VPN串連下的兩條隧道,建議配置相同的路由協議,即僅為IPsec-VPN串連配置靜態路由或為兩條隧道同時配置BGP動態路由。
在IPsec-VPN串連配置BGP動態路由協議的情況下,兩條隧道的本端自治系統號需保持相同,兩條隧道對端的BGP AS號可以不相同,但建議保持相同。
路由匹配原則
IPsec串連在向本機資料中心轉寄流量時,預設按照最長掩碼匹配原則為流量匹配目的路由或BGP動態路由。
如果多個IPsec串連同時向轉寄路由器傳播了目的路由和BGP動態路由,路由的目標網段相同時,轉寄路由器預設BGP動態路由優先順序更高。相關內容,請參見轉寄路由器路由優先順序。
配置路由
配置目的路由
配置目的路由時,需要指定目標網段和下一跳資訊,IPsec串連將基於流量的目的IP地址去匹配目的路由,然後根據流量匹配到的目的路由轉寄流量。
前提條件
IPsec串連需已綁定轉寄路由器執行個體。支援以下兩種方式建立綁定關係:
可在建立IPsec串連時直接綁定轉寄路由器執行個體。具體操作,請參見建立和管理IPsec串連(雙隧道模式)。
如果您已經建立了未綁定任何資源的IPsec串連,可在雲企業網管理主控台建立IPsec串連和轉寄路由器的綁定關係。具體操作,請參見建立VPN串連。
說明如果IPsec串連已綁定VPN網關執行個體,則不再支援綁定轉寄路由器執行個體。
使用限制
不支援添加目標網段為0.0.0.0/0的目的路由。
請勿添加目標網段為100.64.0.0/10、100.64.0.0/10下的子網段或者包含100.64.0.0/10網段的目的路由,該類路由條目會導致控制台無法顯示IPsec串連的狀態或者導致IPsec串連協商失敗。
建立雙隧道模式的IPsec-VPN串連時,添加目的路由後,僅在隧道的串連狀態為第二階段協商成功時,系統才會把目的路由傳播至轉寄路由器路由表中。
配置步驟
添加目的路由
登入VPN網關管理主控台。
- 在頂部功能表列,選擇IPsec串連的地區。
在IPsec串連頁面,找到目標IPsec串連,單擊IPsec串連ID。
在目的路由表頁簽,單擊添加路由條目。
在添加路由條目面板,根據以下資訊配置目的路由,然後單擊確定。
配置
說明
目標網段
輸入本機資料中心側的網段。
下一跳類型
選擇IPsec串連。
下一跳
選擇IPsec串連執行個體。
刪除目的路由
登入VPN網關管理主控台。
- 在頂部功能表列,選擇IPsec串連的地區。
在IPsec串連頁面,找到目標IPsec串連,單擊IPsec串連ID。
在目的路由表頁簽,找到目的路由,在操作列單擊刪除。
在刪除路由條目對話方塊,單擊確定。
相關文檔
配置BGP動態路由
BGP是一種基於TCP協議的動態路由協議,主要應用於不同自治系統間交換路由資訊和網路可達資訊。您需要在IPsec串連側和本機資料中心側分別添加BGP配置,使IPsec串連和本機資料中心之間建立BGP鄰居關係,雙方建立BGP鄰居關係後,可以自動學習對方的路由,降低網路維護成本和網路設定風險。
BGP動態路由宣告原則
IPsec串連和本機資料中心BGP動態路由配置完成後,BGP路由宣告原則如下:
雲下到雲上方向
本機資料中心在BGP路由協議中宣告本地的路由後,本機資料中心路由將通過BGP動態路由協議被自動傳播至雲上IPsec串連。在IPsec串連和轉寄路由器路由表建立路由學習關係後,系統會自動將IPsec串連BGP路由表下的路由傳播至轉寄路由器路由表中。
雲上到雲下方向
在轉寄路由器側為IPsec串連開啟路由同步功能後,系統會將轉寄路由器路由表下的路由傳播至IPsec串連BGP路由表中,IPsec串連會自動將BGP路由表下的路由傳播至本機資料中心。
BGP使用限制
對於雙隧道模式的IPsec-VPN串連,一個IPsec串連的BGP路由表支援從對端接收的路由條目數量為2000條,每條隧道為1000條,不支援調整。
對於單隧道模式的IPsec-VPN串連,一個IPsec串連的BGP路由表支援從對端接收的路由條目數量為50條。如需提升配額,請提交工單,最多支援調整至200條。
IPsec串連綁定轉寄路由器執行個體後,本地網關裝置和轉寄路由器執行個體之間支援通過BGP動態路由傳播目標網段為0.0.0.0/0的路由條目。
如果您使用物理專線和IPsec串連以主備的方式將本機資料中心接入轉寄路由器,為避免本機資料中心網路路由震蕩,請確保邊界路由器和IPsec串連配置的本機資料中心的自治系統號一致。
BGP動態路由配置步驟
在使用者網關執行個體下指定本機資料中心的自治系統號。具體操作,請參見建立和系統管理使用者網關。
如果建立使用者網關時,您未指定本機資料中心的自治系統號,需刪除使用者網關重新建立。
使用者網關建立完成後不支援修改,如果您需要修改本機資料中心的自治系統號,請刪除使用者網關重新建立。
為IPsec串連開啟BGP功能,並添加BGP動態路由配置。具體操作,請參見建立和管理IPsec串連(雙隧道模式)。
下表僅列舉BGP動態路由強相關的內容。
重要IPsec串連的路由模式推薦使用目的路由模式。
配置項
說明
使用者網關
選擇包含本機資料中心自治系統號的使用者網關執行個體。
啟用BGP
選擇開啟BGP功能。
本端自治系統號
輸入隧道本端的自治系統號。預設值:45104。自治系統號取值範圍:1~4294967295。
隧道網段
輸入隧道的網段。
隧道網段需要是在169.254.0.0/16內的子網路遮罩為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。
說明一個IPsec串連下兩個隧道的隧道網段不能相同。
本端BGP地址
輸入隧道本端的BGP IP地址。
該地址為隧道網段內的一個IP地址。