本文介紹邊界路由器VBR(Virtual Border Router)加載到云企業(yè)網(wǎng)CEN(Cloud Enterprise Network)時可能出現(xiàn)的BGP路由環(huán)路造成路由震蕩風(fēng)險和產(chǎn)生風(fēng)險的原因。
問題描述
當(dāng)您將本地數(shù)據(jù)中心IDC(Internet Data Center)通過云企業(yè)網(wǎng)接入阿里云時,因物理專線的接入設(shè)備支持的功能不同,部分阿里云側(cè)物理專線接入設(shè)備上的VBR加載到云企業(yè)網(wǎng)后無法向客戶數(shù)據(jù)中心IDC通過BGP傳遞原始AS-PATH。
上述行為導(dǎo)致BGP路由環(huán)路造成路由震蕩風(fēng)險的場景為:當(dāng)有兩條物理專線將IDC接入阿里云時,VBR1或VPNGW(IPsec連接綁定了VPN網(wǎng)關(guān)實(shí)例)通過邊界路由協(xié)議BGP(Border Gateway Protocol)學(xué)習(xí)到的IDC路由,通過云企業(yè)網(wǎng)將這些路由從VBR2發(fā)布給IDC2時,由于VBR2不具備攜帶原始路由AS-PATH發(fā)布給IDC2的能力,IDC2收到這些路由將缺失VBR1或VPNGW發(fā)布給阿里云側(cè)時的原始AS-PATH,從而存在導(dǎo)致BGP路由環(huán)路造成路由震蕩或其它風(fēng)險。
具體場景及解決方案
場景一:多IDC專線接入阿里云
若您將多個數(shù)據(jù)中心同時接入阿里云,本文以兩個數(shù)據(jù)中心同時接入阿里云為例。
若數(shù)據(jù)中心1和數(shù)據(jù)中心2,存在通過阿里云作為中間轉(zhuǎn)發(fā)的角色,并且數(shù)據(jù)中心1和數(shù)據(jù)中心2之間有BGP。在該場景下VBR1學(xué)到數(shù)據(jù)中心1 AS 65000的路由,通過VBR2發(fā)布給數(shù)據(jù)中心2 AS 65001,此時如果VBR2不具備傳遞原始AS-APTH能力,數(shù)據(jù)中心2收到的BGP路由將不攜帶AS 65000,只有AS 45104,此時如果數(shù)據(jù)中心2將該路由發(fā)布給數(shù)據(jù)中心1并且導(dǎo)致數(shù)據(jù)中心1優(yōu)選了該路由,數(shù)據(jù)中心1將撤銷發(fā)給VBR1的原始路由,從而觸發(fā)云企業(yè)網(wǎng)撤銷VBR2發(fā)給數(shù)據(jù)中心2的路由,數(shù)據(jù)中心2也會撤銷發(fā)個數(shù)據(jù)中心1的路由,這時數(shù)據(jù)中心1又會優(yōu)選本地路由并且發(fā)布給VBR1,如此環(huán)路的路由將會持續(xù)震蕩。
因此這種場景下不建議用戶使用BGP路由,建議使用靜態(tài)路由,使用明細(xì)路由的方式來控制路徑。若用戶確認(rèn)能在本地路由器上人為的控制路由傳播,譬如控制路由發(fā)布范圍、控制路由優(yōu)先級等,也可以通過BGP路由的方式將VBR加入云企業(yè)網(wǎng)。
場景二:組網(wǎng)中僅使用靜態(tài)路由與IDC對接
因?yàn)槲锢韺>€接入設(shè)備功能影響的是AS-PATH的傳遞,所以您的VBR與IDC之間互聯(lián)使用的靜態(tài)路由,不使用BGP路由,這種情況下的組網(wǎng)可以將VBR加入云企業(yè)網(wǎng),不存在BGP路由環(huán)路造成的路由震蕩風(fēng)險。
場景三:單一IDC雙專線接入阿里云
- 生效方向:出地域網(wǎng)關(guān)。
- 策略行為:拒絕。
- 匹配條件:源實(shí)例類型,包括虛擬專用網(wǎng)(VPN),邊界路由器(VBR),云連接網(wǎng)CCN(Cloud Connect Network)。
場景四:單一IDC專線通過IPsec-VPN BGP方式接入阿里云
- 生效方向:出地域網(wǎng)關(guān)。
- 策略行為:拒絕。
- 匹配條件:源實(shí)例類型,包括虛擬專用網(wǎng)(VPN),邊界路由器(VBR),云連接網(wǎng)CCN(Cloud Connect Network)。