VPN網關支援BGP(Border Gateway Protocol)動態路由功能,雲上雲下建立IPsec-VPN串連後,可以通過BGP動態路由協議自動學習對方路由實現資源互連,降低網路維護成本和網路設定風險。
BGP動態路由功能支援狀態
新建立的支援雙隧道模式IPsec-VPN串連的VPN網關執行個體,預設支援BGP動態路由功能。對於一些存量的VPN網關執行個體,可能由於地區限制或VPN網關執行個體版本過舊導致不支援BGP動態路由功能,您可以通過調用DescribeVpnGateway或DescribeVpnGateways介面查詢存量VPN網關執行個體是否支援BGP動態路由功能。如果Tag欄位VpnEnableBgp參數的傳回值為true,則證明該VPN網關執行個體支援BGP動態路由功能。
如果查詢出VPN網關執行個體不支援BGP動態路由功能,可通過相關升級操作解決問題:
存量的支援雙隧道模式IPsec-VPN串連的VPN網關執行個體,可通過升級VPN網關解決問題。
存量的支援單隧道模式IPsec-VPN串連的VPN網關執行個體,可通過升級IPsec-VPN串連為雙隧道模式解決問題。
BGP動態路由宣告原則
VPN網關和本機資料中心BGP動態路由配置完成後,BGP路由宣告原則如下:
雲下到雲上方向
本機資料中心在BGP路由協議中宣告本地的路由後,本機資料中心路由將通過BGP動態路由協議被自動傳播至雲上VPN網關。如果VPN網關開啟了路由自動傳播功能,則VPN網關會將學習到的本機資料中心路由自動傳播到VPC的系統路由表中,而不會傳播到VPC的自訂路由表中。
雲上到雲下方向
VPN網關執行個體開啟路由自動傳播功能後,會自動學習VPC系統路由表中的系統路由條目,然後通過BGP動態路由協議傳播給本機資料中心。
BGP動態路由使用限制
每個VPN網關的BGP路由表支援從對端接收的路由條目數量為50條。如需提升配額,請提交工單,最多支援調整至200條。
VPN網關不接收BGP鄰居發布過來的目標網段為0.0.0.0/0的路由條目。
對於支援單隧道模式IPsec-VPN串連的VPN網關執行個體,請勿通過BGP動態路由協議向VPN網關執行個體傳播100.64.0.0/10網段、100.64.0.0/10網段下的子網段或者包含100.64.0.0/10網段的路由,該類路由條目會導致VPN網關管理主控台無法顯示IPsec串連的狀態或者導致IPsec串連協商失敗。可通過升級IPsec-VPN串連為雙隧道模式規避該問題。
同一個VPN網關執行個體中多個IPsec串連同時啟用BGP動態路由功能後,多個IPsec串連的本端自治系統號(ASN)需相同。
如果同一個VPN網關與不同本機資料中心建立IPsec-VPN串連,禁止將不同IPsec-VPN串連的路由互導。
如果一個VPC關聯了多個VPN網關,則VPN網關之間不支援建立BGP鄰居關係,且禁止將不同VPN網關的路由互導。
在一個VPC關聯多個VPN網關,多個VPN網關均啟用BGP動態路由功能的情境下,如果多個VPN網關關聯的使用者網關相同,則VPN網關下IPsec串連的本端自治系統號需相同,否則可能會產生環路。
如果您使用物理專線和VPN網關以主備的方式將本機資料中心接入VPC,為避免本機資料中心網路路由震蕩,請確保邊界路由器和VPN網關配置的本機資料中心的自治系統號一致。
VPN網關啟用BGP動態路由功能後,如果VPN網關關聯的VPC加入了雲企業網,則雲企業網需開啟路由重疊功能。
說明2019年03月01日後建立的雲企業網執行個體,預設開啟重疊路由功能。
如果有多個VPC載入到同一雲企業網,為避免雲上網路路由震蕩,請確保VPC關聯的VPN網關未使用BGP路由協議建立串連。
對於一個VPN網關下存在多個雙隧道模式IPsec-VPN串連的情境,如果為多個IPsec-VPN串連同時配置了BGP動態路由,則VPN網關側通過多條IPsec-VPN串連學習到的路由條目的目標網段之間不能衝突,否則會影響路由生效。
BGP動態路由配置建議
IPsec串連的路由模式推薦使用目的路由模式。
為雙隧道模式的IPsec串連配置BGP動態路由時,兩條隧道的本端自治系統號需保持相同,兩條隧道對端的BGP AS號可以不相同,但建議保持相同。
BGP動態路由配置步驟
在使用者網關執行個體下指定本機資料中心的自治系統號。具體操作,請參見建立和系統管理使用者網關。
如果建立使用者網關時,您未指定本機資料中心的自治系統號,需刪除使用者網關重新建立。
使用者網關建立完成後不支援修改,如果您需要修改本機資料中心的自治系統號,請刪除使用者網關重新建立。
為IPsec串連開啟BGP功能,並添加BGP動態路由配置。具體操作,請參見建立和管理IPsec串連(雙隧道模式)或單獨為隧道開啟BGP功能。
下表僅列舉BGP動態路由強相關的內容。
說明為雙隧道模式的IPsec串連開啟BGP功能時,配置項順序和下表會有所不同,您需要分別為主、備隧道選擇使用者網關並添加BGP配置,請以控制台為準。
配置BGP動態路由時如果系統提示當前VPN網關版本不支援,請參見BGP動態路由功能支援狀態執行對應的升級操作。
配置項
說明
使用者網關
選擇包含本機資料中心自治系統號的使用者網關執行個體。
啟用BGP
選擇開啟BGP功能。
本端自治系統號
輸入隧道本端的自治系統號。預設值:45104。自治系統號取值範圍:1~4294967295。
隧道網段
輸入隧道的網段。
隧道網段需要是在169.254.0.0/16內的子網路遮罩為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。
說明一個VPN網關執行個體下,每個隧道的網段需保持唯一。
本端BGP地址
輸入隧道本端的BGP IP地址。
該地址為隧道網段內的一個IP地址。
為VPN網關執行個體開啟路由自動傳播。
VPN網關開啟路由自動傳播功能後,VPN網關執行個體會自動學習到VPC執行個體的系統路由,並將通過BGP路由協議學習到的本機資料中心路由自動傳播到VPC的系統路由表。
登入VPN網關管理主控台。
在左側導覽列選擇。
在VPN網關頁面,找到目標VPN網關執行個體,在路由自動傳播列開啟路由自動傳播功能。
如果您的環境不再需要BGP動態路由功能,支援關閉BGP動態路由功能和路由自動傳播功能,VPN網關執行個體已學習的VPC執行個體路由和本機資料中心路由也會被撤銷。
查看BGP路由條目
BGP動態路由配置完成後,您可以在VPN網關執行個體BGP路由表中查看已學習的本機資料中心路由和VPC執行個體路由,在VPC執行個體系統路由表中查看已學習的本機資料中心路由。
VPN網關BGP路由表
“CLOUD”:表示雲上路由。
“VPN_BGP”:表示通過BGP動態路由協議學習的路由。例如本機資料中心路由。
VPC系統路由表-動態路由
