配置VPN网关路由

更新时间: 2024-11-28 17:56:43

创建IPsec连接后,您需要在IPsec连接关联的VPN网关实例下配置本地数据中心的路由。VPC实例去往本地数据中心的流量进入VPN网关后,VPN网关会通过查询路由信息向本地数据中心转发流量。

背景信息

本地数据中心通过IPsec-VPN连接和VPC互通时,您需要在VPC侧、VPN网关侧、本地数据中心侧分别添加路由以实现本地数据中心和VPC流量互通。

配置路由时支持配置静态路由或通过BGP(Border Gateway Protocol)动态路由协议自动学习路由。下表为不同配置方式下的路由配置清单。

路由配置方式

流量方向

VPC

VPN网关

本地数据中心

静态路由

去往本地数据中心

需要配置本地数据中心的路由。

支持手动配置和自动传播两种方式:

  • 手动配置

    在VPC路由表中添加本地数据中心的路由,下一跳指向VPN实例。具体操作,请参见创建和管理路由表

  • 自动传播

    在VPN网关实例中添加本地数据中心的路由,由VPN网关实例向VPC实例自动传播本地数据中心的路由。具体操作,请参见配置目的路由配置策略路由

需要添加本地数据中心的路由。

支持以下两种配置方式:

  • 配置目的路由

  • 配置策略路由

无需配置

去往VPC

无需配置

无需配置

VPN网关在系统后台会自动学习到关联的VPC实例的路由,无需任何操作。

需要添加VPC实例的路由,下一跳指向IPsec-VPN连接。

BGP动态路由

去往本地数据中心

无需配置

为VPN网关实例开启路由自动传播功能后,VPN网关实例会自动向VPC实例传播本地数据中心的路由。

需要配置BGP动态路由协议。

BGP动态路由协议配置完成后,VPN网关会自动学习到本地数据中心和VPC实例的路由,同时也会自动向本地数据中心传播VPC实例的路由。

需要配置BGP动态路由协议。

BGP动态路由协议配置完成后,本地数据中心可以向VPN网关传播本地数据中心侧的路由,同时也可以自动学习到VPC实例的路由。

去往VPC

无需配置

VPN网关路由配置方式介绍

重要

本文将重点介绍VPN网关侧的路由配置,VPC侧和本地数据中心侧的路由配置本文不过多描述。

静态路由

  • 目的路由

    配置目的路由时,需要指定目标网段和下一跳信息,VPN网关实例将基于流量的目的IP地址去匹配目的路由,然后根据流量匹配到的目的路由的下一跳转发流量。更多信息,请参见配置目的路由

  • 策略路由

    配置策略路由时,需要指定源网段、目标网段和下一跳信息,VPN网关实例将基于流量的源IP地址和目的IP地址匹配策略路由,然后根据流量匹配到的策略路由的下一跳转发流量。更多信息,请参见配置策略路由

BGP动态路由

BGP是一种基于TCP协议的动态路由协议,主要应用于不同自治系统间交换路由信息和网络可达信息。您需要在VPN网关侧和本地数据中心侧分别添加BGP配置,使VPN网关和本地数据中心之间建立BGP邻居关系,双方建立BGP邻居关系后,可以自动学习对方的路由,降低网络维护成本和网络配置风险。关于VPN网关BGP动态路由的更多信息,请参见配置BGP动态路由

如何选择路由配置方式

  1. 确定VPN网关实例所属地域是否支持BGP动态路由协议。如果VPN网关实例不支持BGP动态路由协议,您需要选择静态路由方式。

    单击查看支持BGP动态路由协议的地域。

    区域

    地域

    亚太

    华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华南1(深圳)、中国香港、日本(东京)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)

    欧洲与美洲

    德国(法兰克福)、英国(伦敦)、美国(弗吉尼亚)、美国(硅谷)

    中东

    阿联酋(迪拜)

  2. 确定本地数据中心网关设备的支持情况。如果本地数据中心网关设备支持BGP动态路由协议,您可以选择使用BGP动态路由方式。如果本地数据中心网关设备不支持BGP动态路由协议,则您需要选择静态路由方式。

  3. 如果您的场景同时支持静态路由和BGP动态路由方式,您可以参见以下信息选择一种路由配置方式。

    路由配置方式

    适用场景

    配置难度

    路由维护成本

    高可用模式

    静态路由

    适用于本地数据中心路由数量较少、路由变更不频繁的场景。

    使用静态路由方式您需要在VPC侧、VPN网关侧和本地数据中心侧中分别完成路由配置。如果本地数据中心侧有路由变动,您需要在VPN网关侧手动变更路由配置。

    如果云上云下通过一个VPN网关建立了多个IPsec-VPN连接,多个IPsec-VPN连接可通过静态路由形成主备链路,实现IPsec-VPN连接的高可用。

    BGP动态路由

    适用于本地数据中心路由数量相对较多、路由变更频繁的场景。

    使用BGP动态路由方式您需要在VPN网关侧和本地数据中心侧分别添加BGP配置。如果本地数据中心侧有路由变动,VPN网关侧无需操作,BGP动态路由协议会依据BGP动态路由宣告原则实现路由的自动分发和学习。

    如果云上云下通过一个VPN网关建立了多个IPsec-VPN连接,多个IPsec-VPN连接可通过BGP动态路由形成ECMP(Equal-Cost Multipath Routing)链路,在其中一个IPsec-VPN连接故障后,BGP动态路由协议会自动实现路由切换,实现IPsec-VPN连接的高可用。

路由配置建议

一个VPN网关实例下如果创建了多个IPsec-VPN连接,建议所有IPsec-VPN连接使用相同的路由配置方式,不推荐目的路由、策略路由、BGP动态路由同时使用两种或三种。

路由优先级原则

如果VPN网关路由表下或VPC路由表下存在路由冲突,各路由的优先级如下表所示。

说明

路由优先级从高到低依次为:P0>P1>P2>P3。

路由类别

VPN网关内路由优先级

VPC内路由优先级

明细路由

P0

P0

系统路由

P1

P1

静态路由

P2

说明

策略路由的优先级高于目的路由。

P2

动态路由

P3

P3

上一篇: 创建和管理IPsec连接(单隧道模式) 下一篇: 配置策略路由
阿里云首页 VPN网关 相关技术圈