云企业网支持路由策略功能。通过路由策略功能,您不仅可以过滤路由信息,还可以修改路由属性,帮助您自定义云上网络互通能力。

功能简介

一个云企业网实例会在每个地域创建一个转发路由器TR(Transit Router),通过转发路由器连接当前地域的网络实例,作为与同地域或跨地域网络实例互通的桥梁。转发路由器也是各个地域内路由表和路由策略功能的载体,路由策略通过关联至转发路由器的路由表进行路由过滤。路由策略支持在转发路由器的入地域网关(RegionIn)和出地域网关(RegionOut)两个方向进行路由过滤,过滤后的路由被各地域内的转发路由器传递给同地域或跨地域的网络实例。

转发路由器分为基础版和企业版。基础版只包含一张默认路由表;企业版除包含一张默认路由表外,支持创建自定义路由表。路由策略创建后默认关联到基础版和企业版的默认路由表上,不支持关联到企业版的自定义路由表中。关于转发路由器基础版和企业版说明及其功能介绍,请参见转发路由器介绍

路由策略

您可以在云企业网的各个地域的转发路由器中配置路由策略,每个转发路由器支持在入地域网关和出地域网关两个方向分别配置路由策略,每条路由策略是条件语句和执行语句的集合。路由策略按照优先级进行排列,优先级数字越小,优先级越高。执行路由策略时,路由优先从优先级最高的路由策略开始匹配条件语句。路由策略按照匹配规则允许被匹配的路由通过或拒绝被匹配的路由通过,允许通过的路由支持修改路由属性。

策略组成元素

路由策略由策略基本信息、匹配条件和策略值组成。
说明 仅策略行为设置为允许才支持设置策略值和关联策略优先级,策略行为设置为拒绝不支持设置策略值和关联策略优先级。
  • 策略基本信息由以下元素组成。
    元素 说明
    策略优先级 路由策略的优先级。优先级数字越小,优先级越高。 取值范围:1~100。

    同地域、同策略应用方向的路由策略优先级唯一。执行路由策略时,系统从优先级数字最小的路由策略开始匹配条件语句,因此在指定路由策略优先级时,要注意符合期望的匹配顺序。

    描述 路由策略的描述信息。
    地域 路由策略应用的地域。
    应用方向 路由策略应用的方向。
    • 入地域网关方向:路由传入本地域转发路由器的方向。例如:路由从本地域网络实例发布到本地域转发路由器,或其他地域的路由发布到本地域转发路由器。
    • 出地域网关方向:路由传出本地域转发路由器的方向。例如:路由从本地域转发路由器发布到本地域下其他网络实例,或发布到其他地域转发路由器。
    策略行为 所有匹配条件通过后的策略行为。支持以下行为:
    • 允许:允许通过被匹配的路由。
    • 拒绝:拒绝通过被匹配的路由。
    关联策略优先级 关联的下一条路由策略的优先级,为可选项,取值:1~100。
    • 当不配置关联策略优先级时,路由策略无关联的下一条路由策略。
    • 当取值为1时,路由策略关联当前路由策略的下一条路由策略。
    • 当取值非1时,路由策略关联优先级必须小于(数字大于)当前路由策略的优先级。
    说明 仅策略行为是允许时,才支持设置关联策略优先级,且匹配通过的路由才会继续匹配关联优先级的路由策略。
  • 匹配条件由以下元素组成。
    元素 说明
    源地域 匹配所有产生于指定地域的路由。

    匹配条件仅支持匹配路由的源地域,不支持匹配路由的目的地域。

    源实例ID列表 匹配所有产生于指定网络实例ID的路由,支持输入专有网络VPC(VirtualPrivate Cloud)ID、边界路由器VBR(Virtual Border Router)实例ID、云连接网CCN(CloudConnect Network)ID、智能接入网关(Smart Access Gateway)实例ID。

    源实例ID列表支持排除匹配模式,即被匹配路由的源实例ID不在匹配条件中的源实例ID列表范围内表示匹配成功,否则匹配失败。

    目的实例ID列表 匹配所有发布到指定网络实例ID的路由,支持输入专有网络VPC(VirtualPrivate Cloud)ID、边界路由器VBR(Virtual Border Router)实例ID、云连接网CCN(CloudConnect Network)ID、智能接入网关(Smart Access Gateway)实例ID。

    目的实例ID列表支持排除匹配模式,即被匹配路由的目的实例ID不在匹配条件中的目的实例ID列表范围内表示匹配成功,否则匹配失败。

    说明 目的实例ID列表仅策略应用方向为出地域网关方向且目的实例ID为本地域下实例ID时有效。
    目的路由表 匹配所有发布到指定路由表ID的路由。
    说明 目的路由表仅策略应用方向为出地域网关方向且目的路由表为本地域下路由表时有效。
    源实例类型 匹配所有产生于指定网络实例类型的路由。源实例类型支持选择VPC、VBR或CCN。
    目的实例类型 匹配所有发布到指定网络实例类型的路由。目的实例类型支持选择VPC、VBR或CCN。
    说明 目的实例类型仅策略应用方向为出地域网关方向且目的实例类型为本地域下实例类型时有效。
    路由类型 匹配路由的路由类型。支持匹配以下路由类型:
    • 系统(System)路由:系统自动生成的路由。
    • 用户(Custom)路由:用户手动添加的自定义路由。
    • BGP路由:通告至BGP中的路由。
    路由前缀 匹配路由前缀。支持以下匹配模式:
    • 模糊匹配:匹配条件中的路由前缀包含被匹配路由的路由前缀即判定为匹配成功。

      例如:定义1.1.0.0/16的策略可以模糊匹配到1.1.1.0/24的路由。

    • 精确匹配:匹配条件中的路由前缀必须与被匹配路由的路由前缀一致,才判定为匹配成功。

      例如:定义1.1.0.0/16的策略仅可以精确匹配到1.1.0.0/16的路由。

    AS Path 匹配路由的AS Path。支持以下匹配模式:
    • 模糊匹配:匹配条件中的AS Path与被匹配路由的AS Path有重叠即判定为匹配成功。

      例如:匹配条件为[65001,65002]的AS Path规则可以模糊匹配到AS Path为[65501,65001]的路由。

    • 精确匹配:匹配条件中的AS Path必须与被匹配路由的AS Path一致,才判定为匹配成功。

      例如:匹配条件为[65501,65001,60011]的AS Path规则仅可以精确匹配到AS Path为[65501,65001,60011]的路由。

    说明 AS Path是公认强制属性,描述了一条BGP路由在传递过程中所经过的AS的号码。
    Community 匹配路由的Community。支持以下匹配模式:
    • 模糊匹配:匹配条件中的Community与被匹配路由的Community有重叠即判定为匹配成功。

      例如:匹配条件为[65001:1000,65002:2000]的Community规则可以模糊匹配到Community为[65501:1000,65001:1000]的路由。

    • 精确匹配:匹配条件中的Community必须与被匹配路由的Community一致,才判定为匹配成功。

      例如:匹配条件为[65001:65001,65002:65005,65003:65001]的Community规则仅可以精确匹配到Community为[65001:65001,65002:65005,65003:65001]的路由。

    说明 Community是可选传递属性,可以针对特定的路由设置特定的Community属性值,下游路由器在执行路由策略时,可以通过Community属性值来匹配目标路由。
  • 策略值由以下元素组成。
    元素 说明
    路由优先级 设置允许通过的路由的优先级。

    取值范围为1~100,路由默认优先级50,取值越小优先级越高。

    Community 设置Community属性值。支持以下设置模式:
    • 添加。
    • 替换。
    追加AS Path 转发路由器接收或发布路由时附加AS Path。
    路由策略应用方向不同,配置追加AS Path的要求也不同,具体如下:
    • 入地域网关方向配置追加AS Path时,匹配条件中必须配置源实例ID列表和源地域,且源地域必须与路由策略应用的地域一致。
    • 出地域网关方向配置追加AS Path时,匹配条件中必须配置目的实例ID列表。

策略匹配流程

路由策略采用match-action模式,即先匹配条件后执行动作。执行路由策略时,从优先级数字最小的路由策略开始匹配条件语句。

  • 如果被匹配的路由满足路由策略中的所有匹配条件,则判断策略行为。
    • 策略行为是允许:执行该路由策略中的执行语句并允许通过被匹配的路由。被匹配的路由默认不会再继续匹配下一条路由策略,但如果配置了关联优先级,被匹配的路由则需要继续匹配关联优先级的路由策略,如果未配置关联优先级,则匹配过程直接结束。
    • 策略行为是拒绝:拒绝通过被匹配的路由,被匹配的路由默认不会再继续匹配下一条路由策略,匹配过程立即结束。
  • 如果被匹配的路由与路由策略中任意一个匹配条件不匹配,则当前路由策略匹配过程直接结束,被匹配的路由继续匹配下一条路由策略。
  • 如果被匹配的路由满足下一条路由策略中的所有匹配条件,则判断策略行为。
    • 策略行为是允许:执行该路由策略中的执行语句并允许通过被匹配的路由。被匹配的路由默认不会再继续匹配下一条路由策略,但如果配置了关联优先级,被匹配的路由则需要继续匹配关联优先级的路由策略,如果未配置关联优先级,则匹配过程直接结束。
    • 策略行为是拒绝:拒绝通过被匹配的路由,被匹配的路由默认不会再继续匹配下一条路由策略,匹配过程立即结束。
  • 如果被匹配的路由与下一条路由策略中任意一个匹配条件不匹配,则当前路由策略匹配过程直接结束,被匹配的路由继续匹配再下一条路由策略。以此类推。
  • 如果被匹配的路由匹配至最后一条路由策略,仍与该路由策略中的其中一个匹配条件不匹配 ,则允许通过被匹配的路由。
匹配流程

使用场景

路由策略具有如下使用场景。
  • 管控VPC与VPC/VBR/CCN间的互通能力
    默认情况下,云企业网采取VPC与VPC/VBR/CCN间互通的策略,但在特定场景下,您可能需要阻断VPC与VPC/VBR/CCN间的互通能力,如下图。 路由策略-VPC

    您可以使用路由策略功能阻断VPC1与VPC2间的互通能力,但VPC1与CCN1/VBR1正常互通,VPC2与CCN1/VBR1也正常互通。

  • 管控VBR与VPC/VBR/CCN间的互通能力
    默认情况下,加载到云企业网中的VBR与其它加载到云企业网中的CCN/VBR不互通,但在特定场景下,您可能需要允许VBR与CCN/VBR间互通,如下图。 路由策略-VBR互通

    您可以使用路由策略功能允许VBR1与VBR2间互通,但VBR1与CCN1不能互通,VBR2与CCN1也不能互通。

  • 管控CCN与VPC/VBR/CCN间的互通能力
    默认情况下,加载到云企业网中的CCN与其它加载到云企业网中的CCN/VBR不互通,但在特定场景下,您可能需要允许CCN与CCN/VBR间互通,如下图。 路由策略-CCN互通

    您可以使用路由策略功能允许CCN1与CCN2间互通,但CCN1与VBR1不能互通,CCN2与VBR1也不能互通。

相关文档

添加路由策略

修改路由策略

删除路由策略

路由策略API