配置IPsec連接路由
IPsec連接綁定轉(zhuǎn)發(fā)路由器后,您還需要為IPsec連接配置本地數(shù)據(jù)中心的路由,來自轉(zhuǎn)發(fā)路由器的流量進入IPsec連接后,IPsec連接將會通過查詢路由信息向本地數(shù)據(jù)中心轉(zhuǎn)發(fā)流量,以實現(xiàn)本地數(shù)據(jù)中心和轉(zhuǎn)發(fā)路由器之間的流量互通。
背景信息
本地數(shù)據(jù)中心通過IPsec-VPN連接接入轉(zhuǎn)發(fā)路由器時,您需要在轉(zhuǎn)發(fā)路由器側(cè)、IPsec連接側(cè)、本地數(shù)據(jù)中心側(cè)分別添加路由以實現(xiàn)本地數(shù)據(jù)中心和轉(zhuǎn)發(fā)路由器之間流量互通。
配置路由時支持配置靜態(tài)路由或通過BGP(Border Gateway Protocol)動態(tài)路由協(xié)議自動學(xué)習(xí)路由。下表為不同配置方式下的路由配置清單。
路由配置方式 | 流量方向 | 轉(zhuǎn)發(fā)路由器 | IPsec連接 | 本地數(shù)據(jù)中心 |
靜態(tài)路由 | 去往本地數(shù)據(jù)中心 | 需為IPsec連接創(chuàng)建路由學(xué)習(xí)關(guān)系。 轉(zhuǎn)發(fā)路由器路由表與IPsec連接建立路由學(xué)習(xí)關(guān)系后,系統(tǒng)會將IPsec連接目的路由表中的路由自動傳播至轉(zhuǎn)發(fā)路由器路由表中。更多信息,請參見路由學(xué)習(xí)。 | 需要添加本地數(shù)據(jù)中心的路由。 具體操作,請參見配置目的路由。 | 無需配置 |
去往轉(zhuǎn)發(fā)路由器 | 需為IPsec連接創(chuàng)建關(guān)聯(lián)轉(zhuǎn)發(fā)關(guān)系。 轉(zhuǎn)發(fā)路由器路由表與IPsec連接建立關(guān)聯(lián)轉(zhuǎn)發(fā)關(guān)系后,系統(tǒng)會通過查詢轉(zhuǎn)發(fā)路由器路由表中的路由信息轉(zhuǎn)發(fā)來自IPsec連接的流量。更多信息,請參見關(guān)聯(lián)轉(zhuǎn)發(fā)。 | 無需配置 IPsec連接默認將來自本地數(shù)據(jù)中心的流量轉(zhuǎn)發(fā)至轉(zhuǎn)發(fā)路由器中。 | 需要添加轉(zhuǎn)發(fā)路由器側(cè)的路由,下一跳指向IPsec-VPN連接。 | |
BGP動態(tài)路由 | 去往本地數(shù)據(jù)中心 | 需為IPsec連接創(chuàng)建路由學(xué)習(xí)關(guān)系。 轉(zhuǎn)發(fā)路由器路由表與IPsec連接建立路由學(xué)習(xí)關(guān)系后,系統(tǒng)會將IPsec連接BGP路由表中的路由自動傳播至轉(zhuǎn)發(fā)路由器路由表中。更多信息,請參見路由學(xué)習(xí)。 | 需要配置BGP動態(tài)路由協(xié)議。 BGP動態(tài)路由協(xié)議配置完成后,IPsec連接會自動學(xué)習(xí)到本地數(shù)據(jù)中心的路由,同時也會自動向本地數(shù)據(jù)中心傳播轉(zhuǎn)發(fā)路由器側(cè)的路由。更多信息,請參見配置BGP動態(tài)路由。 | 需要配置BGP動態(tài)路由協(xié)議。 BGP動態(tài)路由協(xié)議配置完成后,本地數(shù)據(jù)中心可以向IPsec連接傳播本地數(shù)據(jù)中心的路由,同時也可以自動學(xué)習(xí)到轉(zhuǎn)發(fā)路由器側(cè)的路由。 |
去往轉(zhuǎn)發(fā)路由器 |
|
如何選擇路由配置方式
確定IPsec連接所屬地域是否支持BGP動態(tài)路由協(xié)議。如果IPsec連接所屬地域不支持BGP動態(tài)路由協(xié)議,則需要選擇靜態(tài)路由方式。
區(qū)域
地域
亞太
華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華南1(深圳)、中國香港、日本(東京)、新加坡、澳大利亞(悉尼)關(guān)停中、馬來西亞(吉隆坡)、印度尼西亞(雅加達)
歐洲與美洲
德國(法蘭克福)、英國(倫敦)、美國(弗吉尼亞)、美國(硅谷)
中東
阿聯(lián)酋(迪拜)
確定本地數(shù)據(jù)中心網(wǎng)關(guān)設(shè)備的支持情況。如果本地數(shù)據(jù)中心網(wǎng)關(guān)設(shè)備支持BGP動態(tài)路由協(xié)議,您可以選擇使用BGP動態(tài)路由方式。如果本地數(shù)據(jù)中心網(wǎng)關(guān)設(shè)備不支持BGP動態(tài)路由協(xié)議,則需要選擇靜態(tài)路由方式。
如果您的場景同時支持靜態(tài)路由和BGP動態(tài)路由方式,請參見以下信息選擇一種路由配置方式。
路由配置方式 | 適用場景 | 配置難度 | 路由維護成本 |
靜態(tài)路由 | 適用于本地數(shù)據(jù)中心路由數(shù)量較少、路由變更不頻繁的場景。 | 易 | 中 如果本地數(shù)據(jù)中心側(cè)有路由變動,您需要在VPN網(wǎng)關(guān)側(cè)手動變更路由配置。 |
BGP動態(tài)路由 | 適用于本地數(shù)據(jù)中心路由數(shù)量相對較多、路由變更頻繁的場景。 | 易 | 低 如果本地數(shù)據(jù)中心側(cè)有路由變動,VPN網(wǎng)關(guān)側(cè)無需操作,BGP動態(tài)路由協(xié)議會依據(jù)BGP動態(tài)路由宣告原則實現(xiàn)路由的自動分發(fā)和學(xué)習(xí)。 |
路由配置建議
一個IPsec連接建議使用一種路由配置方式,不建議同時使用目的路由或BGP動態(tài)路由。
路由優(yōu)先級原則
如果IPsec連接路由表下存在路由沖突,各路由的優(yōu)先級如下表所示。
路由優(yōu)先級從高到低依次為:P0>P1>P2>P3。
路由類別 | IPsec連接路由優(yōu)先級 |
明細路由 | P0 |
系統(tǒng)路由 | P1 |
靜態(tài)路由 | P2 |
動態(tài)路由 | P3 |
配置路由
配置目的路由
配置目的路由時,需要指定目標網(wǎng)段和下一跳信息,IPsec連接將基于流量的目的IP地址去匹配目的路由,然后根據(jù)流量匹配到的目的路由轉(zhuǎn)發(fā)流量。
前提條件
IPsec連接需已綁定轉(zhuǎn)發(fā)路由器實例。支持以下兩種方式創(chuàng)建綁定關(guān)系:
可在創(chuàng)建IPsec連接時直接綁定轉(zhuǎn)發(fā)路由器實例。具體操作,請參見創(chuàng)建和管理IPsec連接(綁定轉(zhuǎn)發(fā)路由器)。
如果您已經(jīng)創(chuàng)建了未綁定任何資源的IPsec連接,可在云企業(yè)網(wǎng)管理控制臺建立IPsec連接和轉(zhuǎn)發(fā)路由器的綁定關(guān)系。具體操作,請參見創(chuàng)建VPN連接。
說明如果IPsec連接已綁定VPN網(wǎng)關(guān)實例,則不再支持綁定轉(zhuǎn)發(fā)路由器實例。
使用限制
不支持添加目標網(wǎng)段為0.0.0.0/0的目的路由。
請勿添加目標網(wǎng)段為100.64.0.0/10、100.64.0.0/10下的子網(wǎng)段或者包含100.64.0.0/10網(wǎng)段的目的路由,該類路由條目會導(dǎo)致控制臺無法顯示IPsec連接的狀態(tài)或者導(dǎo)致IPsec連接協(xié)商失敗。
目的路由匹配原則
IPsec連接在轉(zhuǎn)發(fā)流量時,默認按照最長掩碼匹配原則為流量匹配目的路由。
配置步驟
添加目的路由
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。
在目的路由表頁簽,單擊添加路由條目。
在添加路由條目面板,根據(jù)以下信息配置目的路由,然后單擊確定。
配置
說明
目標網(wǎng)段
輸入本地數(shù)據(jù)中心側(cè)的網(wǎng)段。
下一跳類型
選擇IPsec連接。
下一跳
選擇IPsec連接實例。
權(quán)重
路由條目的權(quán)重值默認為100。
刪除目的路由
- 在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。
在目的路由表頁簽,找到目的路由,在操作列單擊刪除。
在刪除路由條目對話框,單擊確定。
配置BGP動態(tài)路由
BGP是一種基于TCP協(xié)議的動態(tài)路由協(xié)議,主要應(yīng)用于不同自治系統(tǒng)間交換路由信息和網(wǎng)絡(luò)可達信息。您需要在IPsec連接側(cè)和本地數(shù)據(jù)中心側(cè)分別添加BGP配置,使IPsec連接和本地數(shù)據(jù)中心之間建立BGP鄰居關(guān)系,雙方建立BGP鄰居關(guān)系后,可以自動學(xué)習(xí)對方的路由,降低網(wǎng)絡(luò)維護成本和網(wǎng)絡(luò)配置風(fēng)險。
BGP動態(tài)路由宣告原則
IPsec連接和本地數(shù)據(jù)中心BGP動態(tài)路由配置完成后,BGP路由宣告原則如下:
云下到云上方向
本地數(shù)據(jù)中心在BGP路由協(xié)議中宣告本地的路由后,本地數(shù)據(jù)中心路由將通過BGP動態(tài)路由協(xié)議被自動傳播至云上IPsec連接。在IPsec連接和轉(zhuǎn)發(fā)路由器路由表建立路由學(xué)習(xí)關(guān)系后,系統(tǒng)會自動將IPsec連接BGP路由表下的路由傳播至轉(zhuǎn)發(fā)路由器路由表中。
云上到云下方向
在轉(zhuǎn)發(fā)路由器側(cè)為IPsec連接開啟路由同步功能后,系統(tǒng)會將轉(zhuǎn)發(fā)路由器路由表下的路由傳播至IPsec連接BGP路由表中,IPsec連接會自動將BGP路由表下的路由傳播至本地數(shù)據(jù)中心。
BGP使用限制
單個IPsec連接的BGP路由表默認支持的路由條目數(shù)為50條。如需提升配額,請提交工單。
請勿通過BGP動態(tài)路由協(xié)議向IPsec連接傳播100.64.0.0/10網(wǎng)段、100.64.0.0/10網(wǎng)段下的子網(wǎng)段或者包含100.64.0.0/10網(wǎng)段的路由,該類路由條目會導(dǎo)致VPN網(wǎng)關(guān)管理控制臺無法顯示IPsec連接的狀態(tài)或者導(dǎo)致IPsec連接協(xié)商失敗。
IPsec連接綁定轉(zhuǎn)發(fā)路由器實例后,本地網(wǎng)關(guān)設(shè)備和轉(zhuǎn)發(fā)路由器實例之間支持通過BGP動態(tài)路由傳播目標網(wǎng)段為0.0.0.0/0的路由條目。
如果您使用物理專線和IPsec連接以主備的方式將本地數(shù)據(jù)中心接入轉(zhuǎn)發(fā)路由器,為避免本地數(shù)據(jù)中心網(wǎng)絡(luò)路由震蕩,請確保邊界路由器和IPsec連接配置的本地數(shù)據(jù)中心的自治系統(tǒng)號一致。
BGP動態(tài)路由配置步驟
在用戶網(wǎng)關(guān)實例下指定本地數(shù)據(jù)中心的自治系統(tǒng)號。具體操作,請參見創(chuàng)建和管理用戶網(wǎng)關(guān)。
如果創(chuàng)建用戶網(wǎng)關(guān)時,您未指定本地數(shù)據(jù)中心的自治系統(tǒng)號,需刪除用戶網(wǎng)關(guān)重新創(chuàng)建。
用戶網(wǎng)關(guān)創(chuàng)建完成后不支持修改,如果您需要修改本地數(shù)據(jù)中心的自治系統(tǒng)號,請刪除用戶網(wǎng)關(guān)重新創(chuàng)建。
為IPsec連接開啟BGP功能,并添加BGP動態(tài)路由配置。具體操作,請參見創(chuàng)建和管理IPsec連接(綁定轉(zhuǎn)發(fā)路由器)。
下表僅列舉BGP動態(tài)路由強相關(guān)的內(nèi)容。
重要IPsec連接的路由模式推薦使用目的路由模式。
配置項
說明
用戶網(wǎng)關(guān)
選擇包含本地數(shù)據(jù)中心自治系統(tǒng)號的用戶網(wǎng)關(guān)實例。
啟用BGP
選擇開啟BGP功能。
本端自治系統(tǒng)號
輸入隧道本端的自治系統(tǒng)號。默認值:45104。自治系統(tǒng)號取值范圍:1~4294967295。
支持按照兩段位的格式進行輸入,即:前16位比特.后16位比特。每個段位使用十進制輸入。
例如輸入123.456,則表示自治系統(tǒng)號:123*65536+456=8061384。
隧道網(wǎng)段
輸入隧道的網(wǎng)段。
隧道網(wǎng)段需要是在169.254.0.0/16內(nèi)的子網(wǎng)掩碼為30的網(wǎng)段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。
說明每個隧道的網(wǎng)段需保持唯一。
本端BGP地址
輸入隧道本端的BGP IP地址。
該地址為隧道網(wǎng)段內(nèi)的一個IP地址。