配置BGP动态路由

VPN网关支持BGP(Border Gateway Protocol)动态路由功能,云上云下建立IPsec-VPN连接后,可以通过BGP动态路由协议自动学习对方路由实现资源互通,降低网络维护成本和网络配置风险。

支持BGP动态路由功能的地域

区域

地域

亚太

华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华南1(深圳)、中国香港、日本(东京)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达)

欧洲与美洲

德国(法兰克福)、英国(伦敦)、美国(弗吉尼亚)、美国(硅谷)

中东

阿联酋(迪拜)

BGP动态路由宣告原则

VPN网关和本地数据中心BGP动态路由配置完成后,BGP路由宣告原则如下:

  • 云下到云上方向

    本地数据中心在BGP路由协议中宣告本地的路由后,本地数据中心路由将通过BGP动态路由协议被自动传播至云上VPN网关。如果云上VPN网关开启了BGP路由自动传播功能,则云上VPN网关会将学习到的BGP路由自动传播到VPC的系统路由表中,而不会传播到VPC的自定义路由表中。

  • 云上到云下方向

    云上VPN网关通过BGP路由协议自动学习VPC系统路由表中的系统路由条目,并自动传播给本地数据中心,而不会学习VPC自定义路由表中的系统路由条目。

BGP动态路由使用限制

  • 单个VPN网关的BGP路由表默认支持的路由条目数为50条。如需提升配额,请提交工单

  • VPN网关不接收BGP邻居发布过来的目标网段为0.0.0.0/0的路由条目。

  • 请勿通过BGP动态路由协议向VPN网关传播100.64.0.0/10网段、100.64.0.0/10网段下的子网段或者包含100.64.0.0/10网段的路由,该类路由条目会导致VPN网关管理控制台无法显示IPsec连接的状态或者导致IPsec连接协商失败。

  • 同一个VPN网关实例中多个IPsec连接同时启用BGP动态路由功能后,多个IPsec连接的本端自治系统号(ASN)需相同。

  • 如果同一个VPN网关与不同本地数据中心建立IPsec-VPN连接,禁止将不同IPsec-VPN连接的路由互导。

  • 如果一个VPC关联了多个VPN网关,则VPN网关之间不支持建立BGP邻居关系,且禁止将不同VPN网关的路由互导。

  • 在一个VPC关联多个VPN网关,多个VPN网关均启用BGP动态路由功能的场景下,如果多个VPN网关关联的用户网关相同,则VPN网关下IPsec连接的本端自治系统号需相同,否则可能会产生环路。

  • 如果您使用物理专线和VPN网关以主备的方式将本地数据中心接入VPC,为避免本地数据中心网络路由震荡,请确保边界路由器和VPN网关配置的本地数据中心的自治系统号一致。

  • VPN网关启用BGP动态路由功能后,如果VPN网关关联的VPC加入了云企业网,则云企业网需开启路由重叠功能。

    说明

    2019年03月01日后创建的云企业网实例,默认开启重叠路由功能。具体开启步骤,请参见开启重叠路由功能

  • 如果有多个VPC加载到同一云企业网,为避免云上网络路由震荡,请确保VPC关联的VPN网关未使用BGP路由协议建立连接。

  • 对于一个VPN网关下存在多个双隧道模式IPsec-VPN连接的场景,如果为多个IPsec-VPN连接同时配置了BGP动态路由,则VPN网关侧通过多条IPsec-VPN连接学习到的路由条目的目标网段之间不能冲突,否则会影响路由生效。

BGP动态路由配置建议

  • IPsec连接的路由模式推荐使用目的路由模式

  • 为双隧道模式的IPsec连接配置BGP动态路由时,两条隧道的本端自治系统号需保持相同,两条隧道对端的BGP AS号可以不相同,但建议保持相同。

BGP动态路由配置步骤

  1. 在用户网关实例下指定本地数据中心的自治系统号。具体操作,请参见创建和管理用户网关

    • 如果创建用户网关时,您未指定本地数据中心的自治系统号,需删除用户网关重新创建。

    • 用户网关创建完成后不支持修改,如果您需要修改本地数据中心的自治系统号,请删除用户网关重新创建。

  2. 为IPsec连接开启BGP功能,并添加BGP动态路由配置。具体操作,请参见创建和管理IPsec连接(双隧道模式)

    下表仅列举BGP动态路由强相关的内容。

    说明
    • 为双隧道模式的IPsec连接开启BGP功能时,配置项顺序和下表会有所不同,您需要分别为主备隧道选择用户网关并添加BGP配置,请以控制台为准。

    • 配置BGP动态路由时如果系统提示当前VPN网关版本不支持,请先升级VPN网关实例版本,具体操作,请参见升级VPN网关

    配置项

    说明

    用户网关

    选择包含本地数据中心自治系统号的用户网关实例。

    启用BGP

    选择开启BGP功能。

    本端自治系统号

    输入隧道本端的自治系统号。默认值:45104。自治系统号取值范围:1~4294967295

    隧道网段

    输入隧道的网段。

    隧道网段需要是在169.254.0.0/16内的子网掩码为30的网段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。

    说明

    一个VPN网关实例下,每个隧道的网段需保持唯一。

    本端BGP地址

    输入隧道本端的BGP IP地址。

    该地址为隧道网段内的一个IP地址。

  3. 为VPN网关实例开启BGP路由自动传播。

    VPN网关开启BGP路由自动传播功能后,才会将学习到的BGP路由自动传播到VPC的系统路由表。

    1. 登录VPN网关管理控制台

    2. 在左侧导航栏选择网间互联 > VPN > VPN网关

    3. VPN网关页面,找到目标VPN网关实例,在路由自动传播列开启路由自动传播功能。路由自动传播

BGP动态路由使用教程

建立VPC到本地数据中心的连接(双隧道模式和BGP路由)