IPsec串連綁定轉寄路由器(TR)後,您需要為IPsec串連配置路由,使來自TR的流量能夠正確轉寄至本機資料中心。
選擇路由配置方式
綁定TR的IPsec串連支援靜態路由和BGP動態路由兩種方式,兩者區別請參見路由方式選擇。
配置建議:
推薦使用BGP。如需使用靜態路由,請確保本地網關裝置支援靜態ECMP路由。
一個IPsec串連建議僅使用一種路由方式,不建議同時使用靜態路由和BGP。
同一IPsec串連的兩條隧道建議配置相同的路由協議。使用BGP時,兩條隧道的本端自治系統號需相同。
路由優先順序:
在IPsec連線路由表中:按最長掩碼匹配原則為流量匹配路由。
在TR路由表中:如果多個IPsec串連同時向TR傳播了目的路由和BGP路由,目標網段相同時,BGP路由優先順序更高,詳見TR路由優先順序。
靜態路由配置
使用靜態路由時,請確保本地網關支援靜態ECMP路由。因綁定TR時雲到本地IDC的流量自動形成ECMP鏈路,若本地IDC到雲的流量不支援ECMP,會導致傳輸路徑不對稱。
全鏈路概覽
通過綁定TR的IPsec-VPN連通雲上VPC和雲下IDC時,且使用靜態路由時,需關注3張路由表:
流量方向 | TR路由表 | IPsec連線路由表 | 本機資料中心路由表 |
出雲方向 | 需開啟路由學習。 開啟後TR可自動學習到IPsec串連中的目的路由條目。 建立IPsec串連時,若保持預設勾選自動傳播系統路由至轉寄路由器的預設路由表,即已開啟路由學習。 | 需手動添加1條路由: 目標網段為IDC網段,下一跳為IPsec串連。 | 確認本地網關裝置已存在去往IDC內網網段的路由,若不存在需手動添加。 |
入雲方向 | 無需配置。 系統預設將流量轉寄至TR。 | 需手動添加2條靜態ECMP路由:目標網段都為VPC網段,下一跳分別為IPsec串連的2條隧道。 |
添加/刪除靜態路由
控制台
添加靜態路由
單擊目標IPsec串連的執行個體ID,進入IPsec串連的執行個體詳情頁。
切換到目的路由表頁簽,單擊添加路由條目:
目標網段:本地IDC的網段。
下一跳:選擇本IPsec串連。
刪除靜態路由
在目標路由條目的操作列單擊刪除。
API
調用CreateVcoRouteEntry添加靜態路由。
調用DeleteVcoRouteEntry刪除靜態路由。
使用限制
不支援目標網段為
0.0.0.0/0的路由。請勿添加包含
100.64.0.0/10(含其子網段和父網段)的路由,否則會導致IPsec串連狀態異常。雙隧道模式下,僅隧道狀態為第二階段協商成功時,目的路由才會傳播至轉寄路由器路由表。
BGP動態路由配置
BGP動態路由通過在IPsec串連和本機資料中心之間建立BGP鄰居關係,自動學習和分發路由。
全鏈路概覽
通過綁定TR的IPsec-VPN連通雲上VPC和雲下IDC,且使用BGP時,需要關注3張路由表:
流量方向 | 轉寄路由器路由表 | IPsec連線路由表 | 本機資料中心路由表 |
出雲方向 | 需開啟路由學習。 開啟後TR可自動學習到IPsec串連中的目的路由條目。 建立IPsec串連時,若保持預設勾選自動傳播系統路由至轉寄路由器的預設路由表,即已開啟路由學習。 | 需開啟BGP。 開啟後,自動將雲端網段通告給IDC,同時自動學習到本地IDC網段。 | 需開啟BGP。 開啟後,自動將本地網段通告給雲端,同時自動學習到雲上VPC網段。 |
入雲方向 |
BGP路由宣告原則
入雲方向:本機資料中心通過BGP宣告路由 → 傳播到IPsec串連的BGP路由表 → 通過TR路由學習傳播到TR路由表
出雲方向:TR路由表的路由 → 通過TR路由同步傳播到IPsec串連BGP路由表 → 通過BGP傳播給本機資料中心
配置步驟
控制台
在使用者網關中指定本機資料中心ASN
建立使用者網關時指定本機資料中心的自治系統號(ASN)。如果已建立的使用者網關未指定ASN,需重新建立。具體操作請參見使用者網關。
在IPsec串連中啟用BGP
建立或編輯IPsec串連時,配置使用者網關、啟用BGP、本端自治系統號、隧道網段、本端BGP地址。參數的具體說明及操作請參見開啟/關閉BGP(綁定TR)。
兩條隧道的本端自治系統號必須相同,對端BGP AS號建議相同。
IPsec串連的路由模式推薦選擇目的路由模式。
確認BGP路由已生效
VPN網關BGP路由表:在VPN網關執行個體詳情頁,切換到BGP路由表頁簽查看。路由來源標記為"CLOUD"(雲上路由)或"VPN_BGP"(BGP學習的路由)。
VPC系統路由表:在VPC系統路由表中查看類型為"動態路由"的條目。
API
在使用者網關中指定本機資料中心ASN
調用CreateCustomerGateway建立使用者網關,並指定本機資料中心的ASN。
在IPsec串連中啟用BGP
調用CreateVpnAttachment建立IPsec串連。
調用ModifyVpnAttachmentAttribute修改IPsec串連和隧道配置。
確認BGP路由已生效
調用DescribeVcoRouteEntries查詢BGP路由條目。
使用限制
雙隧道模式:每個IPsec串連支援接收2000條BGP路由(每條隧道1000條),不可調整。
單隧道模式:每個IPsec串連支援接收50條BGP路由(可聯絡客戶經理申請提升至200條)。
TR和本地網關裝置之間支援通過BGP傳播目標網段為
0.0.0.0/0的路由(與VPN網關情境不同)。使用物理專線和IPsec串連主備接入轉寄路由器時,邊界路由器和IPsec串連配置的本地ASN需一致。
支援的地區
僅以下地區的IPsec串連支援BGP動態路由(綁定轉寄路由器情境):
地區 | 地區 |
亞太地區 | 華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華南1(深圳)、中國香港、日本(東京)、新加坡、馬來西亞(吉隆坡)、印尼(雅加達) |
歐美地區 | 德國(法蘭克福)、英國(倫敦)、美國(維吉尼亞)、美國(矽谷) |
中東 | 阿聯酋(杜拜) |
部分地區已從不支援BGP升級為支援BGP動態路由協議。升級前建立的單隧道模式IPsec-VPN串連仍不支援BGP;升級後建立的IPsec-VPN串連預設為雙隧道模式,自動支援BGP。如需使用BGP,請重新建立IPsec-VPN串連。