创建IPsec连接后,您可以为IPsec连接添加策略路由。策略路由会基于流量的源IP和目的IP进行更精确的路由转发。本文为您介绍如何添加、发布、修改、删除策略路由。

前提条件

您已经创建了IPsec连接。具体操作,请参见创建IPsec连接

使用限制

  • 不支持添加目标网段为0.0.0.0/0的策略路由。
  • 请勿添加目标网段为100.64.0.0/10(包含该网段下的子网段),下一跳指向IPsec连接的策略路由,该类策略路由会导致控制台无法显示IPsec连接的状态或者导致IPsec连接协商失败。

策略路由匹配规则

在VPN网关转发流量时,不按照最长掩码匹配原则匹配策略路由,VPN网关会按照策略路由的顺序逐条匹配路由,一旦能够匹配到策略路由,立即按照当前策略路由转发流量。

策略路由的顺序由策略路由被下发至系统的时间决定。通常是先配置的策略路由被优先下发至系统,但当前情况无法完全保证,因此有可能存在后配置的策略路由被优先下发至系统,造成后配置的策略路由的优先级高于先配置的策略路由的优先级。

策略路由配置建议

为确保流量按照您期望的路径进行转发,在您配置策略路由时,请尽量添加精确的策略路由以保证流量仅可匹配到一条策略路由。

策略路由匹配规则示例

策略路由匹配规则

如上图所示,本地IDC_1通过IPsec连接1和VPC_1互通,本地IDC_2通过IPsec连接2和VPC_1互通。本地IDC_1待互通网段为192.168.1.0/24和192.168.2.0/24,本地IDC_2待互通网段为192.168.5.0/24,VPC_1待互通网段为172.16.0.0/16。

在配置策略路由时,您首先配置了VPC_1去往本地IDC_2的路由,然后将VPC_1去往本地IDC_1的路由的目标网段聚合为192.168.0.0/21进行配置,配置完成后,策略路由并未按照您的配置顺序被下发至系统,导致策略路由表各策略路由条目的顺序发生了变化,如下表所示。

策略路由顺序 目标网段 源网段 下一跳
1 192.168.0.0/21 172.16.0.0/16 IPsec连接1
2 192.168.5.0/24 172.16.0.0/16 IPsec连接2

VPN网关在转发VPC_1去往本地IDC_2的流量时,会按照策略路由的顺序逐条匹配路由,经系统分析VPC_1去往本地IDC_2的流量可以匹配上顺序为1的策略路由,则VPC_1去往本地IDC_2的流量会通过IPsec连接1被转发至本地IDC_1中。

在上述场景中由于策略路由被下发至系统的时间不可控,导致策略路由未按照期望的顺序进行排列,进而导致流量未按照期望的路径进行转发。为了避免上述现象,在配置策略路由时,建议您尽量配置精确的策略路由,以确保流量仅可匹配到一条策略路由,不受策略路由顺序的影响。

在本示例中,建议您配置如下表所示的策略路由,VPN网关在转发VPC_1去往本地IDC_2的流量时,流量仅会匹配到顺序为2的策略路由,流量会按照期望的路径被转发至本地IDC_2。

策略路由顺序 目标网段 源网段 下一跳
1 192.168.1.0/24 172.16.0.0/16 IPsec连接1
2 192.168.5.0/24 172.16.0.0/16 IPsec连接2
3 192.168.2.0/24 172.16.0.0/16 IPsec连接1

添加策略路由

  1. 登录VPN网关管理控制台
  2. 在顶部菜单栏,选择VPN网关实例的地域。
  3. VPN网关页面,单击目标VPN网关实例ID。
  4. 单击策略路由表页签,然后单击添加路由条目
  5. 添加路由条目面板,根据以下信息配置策略路由,然后单击确定
    配置 说明
    目标网段 输入要访问的私网网段。
    源网段 输入VPC侧的私网网段。
    下一跳类型 选择IPsec连接。
    下一跳 选择需要建立VPN连接的IPsec连接实例。
    发布到VPC 选择是否将新添加的路由发布到VPC路由表。
    • (推荐):将新添加的路由发布到VPC路由表。
    • :不发布新添加的路由到VPC路由表。
    说明 如果您选择,添加策略路由后,您还需在策略路由表中发布路由。
    权重 选择权重值:
    • 100(默认值):高优先级。
    • 0:低优先级。
    说明 如果策略路由表中存在多条源网段、目标网段、权重值均相同的路由条目,则系统将随机选择一条路由条目转发流量。

发布策略路由

在您创建IPsec连接时,您可以选择路由模式。如果您选择了感兴趣流模式,在IPsec连接创建完成后,系统会自动为您的VPN网关创建策略路由,路由是未发布状态。您可以执行本操作,将路由发布到VPC路由表中。

  1. 登录VPN网关管理控制台
  2. 在顶部菜单栏,选择VPN网关实例的地域。
  3. VPN网关页面,单击目标VPN网关实例ID。
  4. 单击策略路由表页签,找到目标路由条目,在操作列单击发布
  5. 发布路由对话框,单击确定
    目标路由发布后,您可以单击撤销发布,撤销已经发布的路由。

编辑策略路由

添加策略路由后,您可以修改策略路由的权重值。

  1. 登录VPN网关管理控制台
  2. 在顶部菜单栏,选择VPN网关实例的地域。
  3. VPN网关页面,单击目标VPN网关实例ID。
  4. 单击策略路由表页签,找到目标路由条目,在操作列单击编辑
  5. 在编辑面板,修改策略路由的权重值,然后单击确定

删除策略路由

  1. 登录VPN网关管理控制台
  2. 在顶部菜单栏,选择VPN网关实例的地域。
  3. VPN网关页面,单击目标VPN网关实例ID。
  4. 单击策略路由表页签,找到目标路由条目,在操作列单击删除
  5. 删除路由条目对话框,单击确定