IPsec連接綁定轉發路由器后,您還需要為IPsec連接配置本地數據中心的路由,來自轉發路由器的流量進入IPsec連接后,IPsec連接將會通過查詢路由信息向本地數據中心轉發流量,以實現本地數據中心和轉發路由器之間的流量互通。
背景信息
本地數據中心通過IPsec-VPN連接接入轉發路由器時,您需要在轉發路由器側、IPsec連接側、本地數據中心側分別添加路由以實現本地數據中心和轉發路由器之間流量互通。
配置路由時支持配置靜態路由或通過BGP(Border Gateway Protocol)動態路由協議自動學習路由。下表為不同配置方式下的路由配置清單。
路由配置方式 | 流量方向 | 轉發路由器 | IPsec連接 | 本地數據中心 |
靜態路由 | 去往本地數據中心 | 需為IPsec連接創建路由學習關系。 轉發路由器路由表與IPsec連接建立路由學習關系后,系統會將IPsec連接目的路由表中的路由自動傳播至轉發路由器路由表中。更多信息,請參見路由學習。 | 需要添加本地數據中心的路由。 具體操作,請參見配置目的路由。 | 無需配置 |
去往轉發路由器 | 需為IPsec連接創建關聯轉發關系。 轉發路由器路由表與IPsec連接建立關聯轉發關系后,系統會通過查詢轉發路由器路由表中的路由信息轉發來自IPsec連接的流量。更多信息,請參見關聯轉發。 | 無需配置 IPsec連接默認將來自本地數據中心的流量轉發至轉發路由器中。 | 需要添加轉發路由器側的路由,下一跳指向IPsec-VPN連接。 | |
BGP動態路由 | 去往本地數據中心 | 需為IPsec連接創建路由學習關系。 轉發路由器路由表與IPsec連接建立路由學習關系后,系統會將IPsec連接BGP路由表中的路由自動傳播至轉發路由器路由表中。更多信息,請參見路由學習。 | 需要配置BGP動態路由協議。 BGP動態路由協議配置完成后,IPsec連接會自動學習到本地數據中心的路由,同時也會自動向本地數據中心傳播轉發路由器側的路由。更多信息,請參見配置BGP動態路由。 | 需要配置BGP動態路由協議。 BGP動態路由協議配置完成后,本地數據中心可以向IPsec連接傳播本地數據中心的路由,同時也可以自動學習到轉發路由器側的路由。 |
去往轉發路由器 |
如何選擇路由配置方式
確定IPsec連接所屬地域是否支持BGP動態路由協議。如果IPsec連接所屬地域不支持BGP動態路由協議,則需要選擇靜態路由方式。
說明對于不支持BGP動態路由協議的地域,如果該地域已經支持雙隧道模式的IPsec-VPN連接,則雙隧道模式IPsec-VPN連接默認支持使用BGP動態路由功能。如果您之前已經在該地域創建了單隧道模式的IPsec-VPN連接,則單隧道模式的IPsec-VPN連接依舊不支持BGP動態路由協議。
區域
地域
亞太
華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華南1(深圳)、中國香港、日本(東京)、新加坡、馬來西亞(吉隆坡)、印度尼西亞(雅加達)
歐洲與美洲
德國(法蘭克福)、英國(倫敦)、美國(弗吉尼亞)、美國(硅谷)
中東
阿聯酋(迪拜)
確定本地數據中心網關設備的支持情況。如果本地數據中心網關設備支持BGP動態路由協議,您可以選擇使用BGP動態路由方式。如果本地數據中心網關設備不支持BGP動態路由協議,則需要選擇靜態路由方式。
如果您的場景同時支持靜態路由和BGP動態路由方式,請參見以下信息選擇一種路由配置方式。
路由配置方式 | 適用場景 | 配置難度 | 路由維護成本 |
靜態路由 | 適用于本地數據中心路由數量較少、路由變更不頻繁的場景。 | 易 | 中 如果本地數據中心側有路由變動,您需要在VPN網關側手動變更路由配置。 |
BGP動態路由 | 適用于本地數據中心路由數量相對較多、路由變更頻繁的場景。 | 易 | 低 如果本地數據中心側有路由變動,VPN網關側無需操作,BGP動態路由協議會依據BGP動態路由宣告原則實現路由的自動分發和學習。 |
路由配置建議
一個IPsec連接建議使用一種路由配置方式,不建議同時使用目的路由或BGP動態路由。
在使用雙隧道模式的IPsec-VPN連接時,推薦使用BGP動態路由方式。如果需要使用靜態路由方式,請確保本地網關設備支持配置靜態ECMP路由,否則本地數據中心去往阿里云的流量無法通過ECMP路徑進行傳輸,云上的流量卻能通過ECMP路徑傳輸至本地數據中心,可能會導致流量的傳輸路徑不符合您的期望。
在使用雙隧道模式的IPsec-VPN連接時,推薦您按照以下原則為IPsec-VPN連接添加路由配置,以提高IPsec-VPN連接的穩定性:
對于一個IPsec-VPN連接下的兩條隧道,建議配置相同的路由協議,即僅為IPsec-VPN連接配置靜態路由協議或為兩條隧道同時配置BGP動態路由協議。
在IPsec-VPN連接配置BGP動態路由協議的情況下,兩條隧道的本端自治系統號需保持相同,兩條隧道對端的BGP AS號可以不相同,但建議保持相同
路由優先級原則
如果IPsec連接路由表下存在路由沖突,各路由的優先級如下表所示。
路由優先級從高到低依次為:P0>P1>P2>P3。
路由類別 | IPsec連接路由優先級 |
明細路由 | P0 |
系統路由 | P1 |
動態路由(BGP路由) | P2 |
靜態路由(目的路由) | P3 |
配置路由
配置目的路由
配置目的路由時,需要指定目標網段和下一跳信息,IPsec連接將基于流量的目的IP地址去匹配目的路由,然后根據流量匹配到的目的路由轉發流量。
前提條件
IPsec連接需已綁定轉發路由器實例。支持以下兩種方式創建綁定關系:
可在創建IPsec連接時直接綁定轉發路由器實例。具體操作,請參見創建和管理IPsec連接(單隧道模式)。
如果您已經創建了未綁定任何資源的IPsec連接,可在云企業網管理控制臺建立IPsec連接和轉發路由器的綁定關系。具體操作,請參見創建VPN連接。
說明如果IPsec連接已綁定VPN網關實例,則不再支持綁定轉發路由器實例。
使用限制
不支持添加目標網段為0.0.0.0/0的目的路由。
請勿添加目標網段為100.64.0.0/10、100.64.0.0/10下的子網段或者包含100.64.0.0/10網段的目的路由,該類路由條目會導致控制臺無法顯示IPsec連接的狀態或者導致IPsec連接協商失敗。
創建雙隧道模式的IPsec-VPN連接時,添加目的路由后,僅在隧道的連接狀態為第二階段協商成功時,系統才會把目的路由傳播至轉發路由器路由表中。
目的路由匹配原則
IPsec連接在轉發流量時,默認按照最長掩碼匹配原則為流量匹配目的路由。
配置步驟
添加目的路由
登錄VPN網關管理控制臺。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。
在目的路由表頁簽,單擊添加路由條目。
在添加路由條目面板,根據以下信息配置目的路由,然后單擊確定。
配置
說明
目標網段
輸入本地數據中心側的網段。
下一跳類型
選擇IPsec連接。
下一跳
選擇IPsec連接實例。
刪除目的路由
登錄VPN網關管理控制臺。
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。
在目的路由表頁簽,找到目的路由,在操作列單擊刪除。
在刪除路由條目對話框,單擊確定。
配置BGP動態路由
BGP是一種基于TCP協議的動態路由協議,主要應用于不同自治系統間交換路由信息和網絡可達信息。您需要在IPsec連接側和本地數據中心側分別添加BGP配置,使IPsec連接和本地數據中心之間建立BGP鄰居關系,雙方建立BGP鄰居關系后,可以自動學習對方的路由,降低網絡維護成本和網絡配置風險。
BGP動態路由宣告原則
IPsec連接和本地數據中心BGP動態路由配置完成后,BGP路由宣告原則如下:
云下到云上方向
本地數據中心在BGP路由協議中宣告本地的路由后,本地數據中心路由將通過BGP動態路由協議被自動傳播至云上IPsec連接。在IPsec連接和轉發路由器路由表建立路由學習關系后,系統會自動將IPsec連接BGP路由表下的路由傳播至轉發路由器路由表中。
云上到云下方向
在轉發路由器側為IPsec連接開啟路由同步功能后,系統會將轉發路由器路由表下的路由傳播至IPsec連接BGP路由表中,IPsec連接會自動將BGP路由表下的路由傳播至本地數據中心。
BGP使用限制
單個IPsec連接的BGP路由表默認支持的路由條目數為50條。如需提升配額,請提交工單。
請勿通過BGP動態路由協議向IPsec連接傳播100.64.0.0/10網段、100.64.0.0/10網段下的子網段或者包含100.64.0.0/10網段的路由,該類路由條目會導致VPN網關管理控制臺無法顯示IPsec連接的狀態或者導致IPsec連接協商失敗。
IPsec連接綁定轉發路由器實例后,本地網關設備和轉發路由器實例之間支持通過BGP動態路由傳播目標網段為0.0.0.0/0的路由條目。
如果您使用物理專線和IPsec連接以主備的方式將本地數據中心接入轉發路由器,為避免本地數據中心網絡路由震蕩,請確保邊界路由器和IPsec連接配置的本地數據中心的自治系統號一致。
BGP動態路由配置步驟
在用戶網關實例下指定本地數據中心的自治系統號。具體操作,請參見創建和管理用戶網關。
如果創建用戶網關時,您未指定本地數據中心的自治系統號,需刪除用戶網關重新創建。
用戶網關創建完成后不支持修改,如果您需要修改本地數據中心的自治系統號,請刪除用戶網關重新創建。
為IPsec連接開啟BGP功能,并添加BGP動態路由配置。具體操作,請參見創建和管理IPsec連接(單隧道模式)。
下表僅列舉BGP動態路由強相關的內容。
重要IPsec連接的路由模式推薦使用目的路由模式。
配置項
說明
用戶網關
選擇包含本地數據中心自治系統號的用戶網關實例。
啟用BGP
選擇開啟BGP功能。
本端自治系統號
輸入隧道本端的自治系統號。默認值:45104。自治系統號取值范圍:1~4294967295。
支持按照兩段位的格式進行輸入,即:前16位比特.后16位比特。每個段位使用十進制輸入。
例如輸入123.456,則表示自治系統號:123*65536+456=8061384。
隧道網段
輸入隧道的網段。
隧道網段需要是在169.254.0.0/16內的子網掩碼為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。
說明一個IPsec連接下兩個隧道的隧道網段不能相同。
本端BGP地址
輸入隧道本端的BGP IP地址。
該地址為隧道網段內的一個IP地址。