什么是路由策略_云企业网(CEN)-阿里云帮助中心

转发路由器TR（Transit Router）支持路由策略功能。路由策略支持过滤路由、修改路由属性，帮助您自定义云上网络互通能力。

工作原理

转发路由器是各个地域内路由表和路由策略的载体。路由策略通过关联至转发路由器的路由表对路由进行过滤，转发路由器分为基础版和企业版：

基础版转发路由器只包含一张默认路由表，路由策略创建后，自动关联至默认路由表。
企业版转发路由器除包含一张默认路由表外，支持创建自定义路由表。在添加路由策略时，您可以选择将路由策略关联至默认路由表或自定义路由表，路由策略只影响所关联路由表的路由传播。
关于转发路由器基础版和企业版说明及其功能介绍，请参见转发路由器工作原理。

路由策略支持在转发路由器的入地域网关（RegionIn）和出地域网关（RegionOut）两个方向分别配置路由策略，每条路由策略均是条件语句和执行语句的集合。路由策略按照优先级进行排列，优先级数字越小，优先级越高。执行路由策略时，路由从优先级最高的路由策略开始匹配条件语句，对于符合全部匹配条件的路由，路由策略将按照策略行为允许路由通过或拒绝路由通过，允许通过的路由支持修改路由的优先级、AS Path属性、Community属性；对于不符合全部匹配条件的路由，系统默认允许路由通过。

路由策略-2022年08月

组成部分

路由策略包含策略基本信息、匹配条件和策略值三个组成部分，各个组成部分包含的元素信息如下表所示。

说明

仅策略行为设置为允许时才支持设置策略值和关联策略优先级。

表 1.策略基本信息

元素	说明
策略优先级	路由策略的优先级。取值范围：1~100。优先级数字越小，优先级越高。同地域、同生效方向的路由策略优先级唯一。执行路由策略时，系统从优先级最高的路由策略开始匹配条件语句，因此在指定路由策略优先级时，要注意符合期望的匹配顺序。
描述	路由策略的描述信息。
地域	路由策略应用的地域。说明仅基础版转发路由器显示该项，路由策略创建完成后，将会对该地域基础版转发路由器路由表内的路由生效。
关联路由表	路由策略要关联的路由表ID。说明仅企业版转发路由器支持配置该项。路由策略仅对关联的企业版转发路由器路由表内的路由生效。
生效方向	路由策略应用的方向。入地域网关：路由传入本地域转发路由器的方向。例如：路由从本地域网络实例发布到本地域转发路由器，或其他地域的路由发布到本地域转发路由器。出地域网关：路由传出本地域转发路由器的方向。例如：路由从本地域转发路由器发布到本地域下其他网络实例，或发布到其他地域转发路由器。
策略行为	所有条件都匹配通过后的策略行为。支持以下行为：允许：允许被匹配的路由通过。拒绝：拒绝被匹配的路由通过。
关联策略优先级	关联的下一条路由策略的优先级。仅策略行为是允许时，才支持设置关联策略优先级，且被允许通过的路由才会继续匹配关联优先级的路由策略。要关联的下一条路由策略必须和当前路由策略配置相同的地域和生效方向。关联的下一条路由策略的优先级必须低于（数字大于）当前路由策略的优先级。

表 2.匹配条件

元素	说明
源地域	匹配所有产生于指定地域的路由。
目的地域	匹配所有发布到指定地域的路由。说明仅路由策略的生效方向为出地域网关方向，且目的地域ID非当前地域ID时，本选项才会生效。
源实例ID列表	匹配所有产生于指定网络实例ID的路由。支持输入以下类型的实例ID：专有网络VPC（Virtual Private Cloud）实例ID 专线网关ECR（Express Connect Router）实例ID IPsec连接ID 边界路由器VBR（Virtual Border Router）实例ID 云连接网CCN（Cloud Connect Network）实例ID 智能接入网关SAG（Smart Access Gateway）实例ID 源实例ID列表支持排除匹配模式，即被匹配路由的源实例ID不在匹配条件中的源实例ID列表范围内表示匹配成功，否则匹配失败。
目的实例ID列表	匹配所有发布到指定网络实例ID的路由。支持输入以下类型的实例ID： VPC实例ID ECR实例ID IPsec连接ID VBR实例ID CCN实例ID SAG实例ID 目的实例ID列表支持排除匹配模式，即被匹配路由的目的实例ID不在匹配条件中的目的实例ID列表范围内表示匹配成功，否则匹配失败。说明仅路由策略的生效方向为出地域网关方向，且目的实例ID为本地域下的实例ID时，目的实例ID列表才会生效。
目的路由表	匹配所有发布到指定路由表ID的路由。说明仅路由策略的生效方向为出地域网关方向，且目的路由表ID为本地域下网络实例的路由表ID时，目的路由表ID列表才会生效。
源实例类型	匹配所有产生于指定网络实例类型的路由。支持以下网络实例类型： VPC：专有网络实例。 ECR：专线网关实例。 VPN：VPN网关实例或IPsec连接。如果IPsec连接或SSL服务端绑定了VPN网关实例，则VPN表示为VPN网关实例，且仅当VPN网关实例关联的VPC连接至转发路由器实例，VPN网关实例运行BGP动态路由协议时本选项才生效。如果IPsec连接直接绑定了转发路由器实例，则VPN表示IPsec连接，本选项生效。 VBR：边界路由器实例。 CCN：云连接网实例。
目的实例类型	匹配所有发布到指定网络实例类型的路由。支持以下网络实例类型： VPC：专有网络实例。 ECR：专线网关实例。 VPN：IPsec连接。说明在您指定目的实例类型为VPN的情况下，如果IPsec连接或者SSL服务端绑定了VPN网关实例，并通过VPN网关实例关联的VPC连接至了转发路由器实例，则本选项不生效。本选项仅当IPsec连接直接绑定转发路由器实例时才生效。仅路由策略的生效方向为出地域网关，且目的实例类型为本地域下的实例类型时，目的实例类型列表才会生效。 VBR：边界路由器实例。 CCN：云连接网实例。
IP地址类型	匹配指定IP地址类型的路由。支持以下IP地址类型： IPv4：表示仅匹配IPv4路由。 IPv6：表示仅匹配IPv6路由。如果不指定本匹配条件，则同时匹配IPv4路由和IPv6路由。
路由类型	匹配路由的路由类型。支持匹配以下路由类型：系统（System）：VPC实例路由表下的系统路由。自定义（Custom）：网络实例路由表下的自定义路由。例如VPC实例路由表下的自定义路由，VBR实例路由表下的自定义路由等。说明自定义（Custom）不支持匹配企业版转发路由器路由表下路由类型为静态配置的路由。 BGP：通过BGP路由协议传播的路由。
路由前缀	匹配路由前缀。支持以下匹配模式：模糊匹配：匹配条件中的路由前缀包含被匹配路由的路由前缀即判定为匹配成功。例如：定义10.10.0.0/16的策略可以模糊匹配到10.10.10.0/24的路由。精确匹配：匹配条件中的路由前缀必须与被匹配路由的路由前缀一致，才判定为匹配成功。例如：定义10.10.0.0/16的策略仅可以精确匹配到10.10.0.0/16的路由。
AS Path	匹配路由的AS Path。支持以下匹配模式：模糊匹配：匹配条件中的AS Path与被匹配路由的AS Path有重叠即判定为匹配成功。例如：匹配条件为`65001，65002`的AS Path规则可以模糊匹配到AS Path为`65501，65001`的路由，因为两者的AS Path有重叠`65001`。精确匹配：匹配条件中的AS Path必须与被匹配路由的AS Path一致，才判定为匹配成功。例如：匹配条件为`65501，65001，60011`的AS Path规则仅可以精确匹配到AS Path为`65501，65001，60011`的路由。说明 AS Path是公认强制属性，描述了一条BGP路由在传递过程中所经过的AS的号码。
Community	匹配路由的Community。支持以下匹配模式：模糊匹配：匹配条件中的Community与被匹配路由的Community有重叠即判定为匹配成功。例如：匹配条件为`65001:1000，65002:2000`的Community规则可以模糊匹配到Community为`65501:1000，65001:1000`的路由。因为两者的Community有重叠`65001:1000`。精确匹配：匹配条件中的Community必须与被匹配路由的Community一致，才判定为匹配成功。例如：匹配条件为`65001:65001，65002:65005，65003:65001`的Community规则仅可以精确匹配到Community为`65001:65001，65002:65005，65003:65001`的路由。说明 Community是可选传递属性，可以针对特定的路由设置特定的Community属性值，下游路由器在执行路由策略时，可以通过Community属性值来匹配目标路由。

表 3.策略值

元素	说明
路由优先级	设置允许通过的路由的优先级。取值范围为1~100，路由默认优先级50，取值越小优先级越高。
Community	设置路由的Community属性值。支持以下设置模式：添加：为被匹配的路由添加Community属性值。替换：替换被匹配的路由的Community属性值。
追加AS Path	转发路由器接收或发布路由时为路由追加的AS Path。路由策略生效方向不同，配置追加AS Path的要求也不同，具体如下：入地域网关方向配置追加AS Path时，匹配条件中必须配置源实例ID列表和源地域，且源地域必须与路由策略应用的地域一致。出地域网关方向配置追加AS Path时，匹配条件中必须配置目的实例ID列表。

匹配流程

路由策略采用match-action模式，即先匹配条件后执行动作。执行路由策略时，从优先级最高的路由策略开始匹配条件语句。

如果被匹配的路由满足路由策略中的所有匹配条件，则判断策略行为。
- 策略行为是允许：执行该路由策略中的执行语句并允许通过被匹配的路由。被匹配的路由默认不会再继续匹配下一条路由策略，但如果配置了关联优先级，被匹配的路由则需要继续匹配关联优先级的路由策略，如果未配置关联优先级，则匹配过程直接结束。
- 策略行为是拒绝：拒绝通过被匹配的路由，被匹配的路由默认不会再继续匹配下一条路由策略，匹配过程立即结束。
如果被匹配的路由与路由策略中任意一个匹配条件不匹配，则当前路由策略匹配过程直接结束，被匹配的路由继续匹配下一条路由策略。
如果被匹配的路由满足下一条路由策略中的所有匹配条件，则判断策略行为。
- 策略行为是允许：执行该路由策略中的执行语句并允许通过被匹配的路由。被匹配的路由默认不会再继续匹配下一条路由策略，但如果配置了关联优先级，被匹配的路由则需要继续匹配关联优先级的路由策略，如果未配置关联优先级，则匹配过程直接结束。
- 策略行为是拒绝：拒绝通过被匹配的路由，被匹配的路由默认不会再继续匹配下一条路由策略，匹配过程立即结束。
如果被匹配的路由与下一条路由策略中任意一个匹配条件不匹配，则当前路由策略匹配过程直接结束，被匹配的路由继续匹配再下一条路由策略。以此类推。
如果被匹配的路由匹配至最后一条路由策略，仍与该路由策略中的其中一个匹配条件不匹配，则允许通过被匹配的路由。

路由策略-新版

默认路由策略

系统默认会在转发路由器路由表的出地域网关方向添加策略优先级为5000、策略行为为拒绝的路由策略，该条路由策略会限制ECR、IPsec连接、VBR、CCN与转发路由器下的其它ECR、IPsec、VBR、CCN连接间的互通能力。转发路由器下VPC、ECR、IPsec连接、VBR、CCN之间的默认互通能力如下：

VPC与转发路由器下的其它VPC、ECR、IPsec连接、VBR、CCN互通。
ECR与转发路由器下的其它ECR、IPsec连接、VBR、CCN不互通。
IPsec连接与转发路由器下的其它ECR、IPsec连接、VBR、CCN不互通。
VBR与转发路由器下的其它ECR、IPsec连接、VBR、CCN不互通。
CCN与转发路由器下的其它ECR、IPsec连接、VBR、CCN不互通。

使用限制

资源	默认限制	提升配额
每个转发路由器支持创建的入地域网关方向的路由策略数量	100条	无法调整
每个转发路由器支持创建的出地域网关方向的路由策略数量	100条	无法调整

使用教程

通过路由策略功能，您可以灵活地定义云上网络互通能力，以下教程供您参考。