创建IPsec连接后,您可以为IPsec连接添加策略路由。策略路由会基于流量的源IP和目的IP进行更精确的路由转发。本文为您介绍如何添加、发布、修改、删除策略路由。
前提条件
您已经创建了IPsec连接。具体操作,请参见创建IPsec连接。
使用限制
- 不支持添加目标网段为0.0.0.0/0的策略路由。
- 请勿添加目标网段为100.64.0.0/10(包含该网段下的子网段),下一跳指向IPsec连接的策略路由,该类策略路由会导致控制台无法显示IPsec连接的状态或者导致IPsec连接协商失败。
策略路由匹配规则
在VPN网关转发流量时,不按照最长掩码匹配原则匹配策略路由,VPN网关会按照策略路由的顺序逐条匹配路由,一旦能够匹配到策略路由,立即按照当前策略路由转发流量。
策略路由的顺序由策略路由被下发至系统的时间决定。通常是先配置的策略路由被优先下发至系统,但当前情况无法完全保证,因此有可能存在后配置的策略路由被优先下发至系统,造成后配置的策略路由的优先级高于先配置的策略路由的优先级。
策略路由配置建议
为确保流量按照您期望的路径进行转发,在您配置策略路由时,请尽量添加精确的策略路由以保证流量仅可匹配到一条策略路由。
策略路由匹配规则示例
如上图所示,本地IDC_1通过IPsec连接1和VPC_1互通,本地IDC_2通过IPsec连接2和VPC_1互通。本地IDC_1待互通网段为192.168.1.0/24和192.168.2.0/24,本地IDC_2待互通网段为192.168.5.0/24,VPC_1待互通网段为172.16.0.0/16。
在配置策略路由时,您首先配置了VPC_1去往本地IDC_2的路由,然后将VPC_1去往本地IDC_1的路由的目标网段聚合为192.168.0.0/21进行配置,配置完成后,策略路由并未按照您的配置顺序被下发至系统,导致策略路由表各策略路由条目的顺序发生了变化,如下表所示。
| 策略路由顺序 | 目标网段 | 源网段 | 下一跳 |
|---|---|---|---|
| 1 | 192.168.0.0/21 | 172.16.0.0/16 | IPsec连接1 |
| 2 | 192.168.5.0/24 | 172.16.0.0/16 | IPsec连接2 |
VPN网关在转发VPC_1去往本地IDC_2的流量时,会按照策略路由的顺序逐条匹配路由,经系统分析VPC_1去往本地IDC_2的流量可以匹配上顺序为1的策略路由,则VPC_1去往本地IDC_2的流量会通过IPsec连接1被转发至本地IDC_1中。
在上述场景中由于策略路由被下发至系统的时间不可控,导致策略路由未按照期望的顺序进行排列,进而导致流量未按照期望的路径进行转发。为了避免上述现象,在配置策略路由时,建议您尽量配置精确的策略路由,以确保流量仅可匹配到一条策略路由,不受策略路由顺序的影响。
在本示例中,建议您配置如下表所示的策略路由,VPN网关在转发VPC_1去往本地IDC_2的流量时,流量仅会匹配到顺序为2的策略路由,流量会按照期望的路径被转发至本地IDC_2。
| 策略路由顺序 | 目标网段 | 源网段 | 下一跳 |
|---|---|---|---|
| 1 | 192.168.1.0/24 | 172.16.0.0/16 | IPsec连接1 |
| 2 | 192.168.5.0/24 | 172.16.0.0/16 | IPsec连接2 |
| 3 | 192.168.2.0/24 | 172.16.0.0/16 | IPsec连接1 |
添加策略路由
发布策略路由
在您创建IPsec连接时,您可以选择路由模式。如果您选择了感兴趣流模式,在IPsec连接创建完成后,系统会自动为您的VPN网关创建策略路由,路由是未发布状态。您可以执行本操作,将路由发布到VPC路由表中。
编辑策略路由
添加策略路由后,您可以修改策略路由的权重值。
- 登录VPN网关管理控制台。
- 在顶部菜单栏,选择VPN网关实例的地域。
- 在VPN网关页面,单击目标VPN网关实例ID。
- 单击策略路由表页签,找到目标路由条目,在操作列单击编辑。
- 在编辑面板,修改策略路由的权重值,然后单击确定。
删除策略路由
- 登录VPN网关管理控制台。
- 在顶部菜单栏,选择VPN网关实例的地域。
- 在VPN网关页面,单击目标VPN网关实例ID。
- 单击策略路由表页签,找到目标路由条目,在操作列单击删除。
- 在删除路由条目对话框,单击确定。