建立IPsec串連後,您需要在IPsec串連關聯的VPN網關執行個體下配置本機資料中心的路由。VPC執行個體去往本機資料中心的流量進入VPN網關後,VPN網關會通過查詢路由資訊向本機資料中心轉寄流量。
背景資訊
本機資料中心通過IPsec-VPN串連和VPC互連時,您需要在VPC側、VPN網關側、本機資料中心側分別添加路由以實現本機資料中心和VPC流量互連。
配置路由時支援配置靜態路由或通過BGP(Border Gateway Protocol)動態路由協議自動學習路由。
VPN網關路由配置方式介紹
本文將重點介紹VPN網關側的路由配置,VPC側和本機資料中心側的路由配置本文不過多描述。
靜態路由
目的路由
配置目的路由時,需要指定目標網段和下一跳資訊,VPN網關執行個體將基於流量的目的IP地址去匹配目的路由,然後向流量匹配到的目的路由的下一跳轉寄流量。更多資訊,請參見配置目的路由。
策略路由
配置策略路由時,需要指定源網段、目標網段和下一跳資訊,VPN網關執行個體將基於流量的源IP地址和目的IP地址匹配策略路由,然後向流量匹配到的策略路由的下一跳轉寄流量。更多資訊,請參見配置策略路由。
BGP動態路由
BGP是一種基於TCP協議的動態路由協議,主要應用於不同自治系統間交換路由資訊和網路可達資訊。您需要在VPN網關側和本機資料中心側分別添加BGP配置,使VPN網關和本機資料中心之間建立BGP鄰居關係,雙方建立BGP鄰居關係後,可以自動學習對方的路由,降低網路維護成本和網路設定風險。關於VPN網關BGP動態路由的更多資訊,請參見配置BGP動態路由。
如何選擇路由配置方式
確定VPN網關執行個體是否支援BGP動態路由協議。如果VPN網關執行個體不支援BGP動態路由協議,您需要選擇靜態路由方式。
新建立的支援雙隧道模式IPsec-VPN串連的VPN網關執行個體,預設支援BGP動態路由功能。對於一些存量的VPN網關執行個體,可能由於地區限制或VPN網關執行個體版本過舊導致不支援BGP動態路由功能,您可以通過調用DescribeVpnGateway或DescribeVpnGateways介面查詢存量VPN網關執行個體是否支援BGP動態路由功能。如果Tag欄位VpnEnableBgp參數的傳回值為true,則證明該VPN網關執行個體支援BGP動態路由功能。
如果查詢出VPN網關執行個體不支援BGP動態路由功能,可通過相關升級操作解決問題:
存量的支援雙隧道模式IPsec-VPN串連的VPN網關執行個體,可通過升級VPN網關解決問題。
存量的支援單隧道模式IPsec-VPN串連的VPN網關執行個體,可通過升級IPsec-VPN串連為雙隧道模式解決問題。
確定本機資料中心網關裝置的支援情況。如果本機資料中心網關裝置支援BGP動態路由協議,您可以選擇使用BGP動態路由方式。如果本機資料中心網關裝置不支援BGP動態路由協議,則需要選擇靜態路由方式。
如果您的情境同時支援靜態路由和BGP動態路由方式,您可以參見以下資訊選擇一種路由配置方式。
路由配置方式
適用情境
配置難度
路由維護成本
靜態路由
適用於本機資料中心路由數量較少、路由變更不頻繁的情境。
易
中
使用靜態路由方式您需要在VPC側、VPN網關側和本機資料中心側中分別完成路由配置。如果本機資料中心側有路由變動,您需要在VPN網關側手動變更路由配置。
BGP動態路由
適用於本機資料中心路由數量相對較多、路由變更頻繁的情境。
易
低
使用BGP動態路由方式您需要在VPN網關側和本機資料中心側分別添加BGP配置。如果本機資料中心側有路由變動,VPN網關側無需操作,BGP動態路由協議會依據BGP動態路由宣告原則實現路由的自動分發和學習。
路由配置建議
一個VPN網關執行個體下如果建立了多個IPsec-VPN串連,建議所有IPsec-VPN串連使用相同的路由配置方式,不推薦目的路由、策略路由、BGP動態路由同時使用兩種或三種。
路由優先順序原則
如果VPN網關路由表下或VPC路由表下存在路由衝突,各路由的優先順序如下表所示。
路由優先順序從高到低依次為:P0>P1>P2>P3。
路由類別 | VPN網關內路由優先順序 | VPC內路由優先順序 |
明細路由 | P0 | P0 |
系統路由 | P1 | P1 |
靜態路由 | P2 說明 策略路由的優先順序高於目的路由。 | P2 |
動態路由 | P3 | P3 |