IPsec-VPN联合物理专线实现主备链路上云(绑定转发路由器)
本文为您介绍如何组合使用IPsec-VPN连接(其中IPsec连接绑定转发路由器)和物理专线,实现本地数据中心IDC(Internet Data Center)通过主备链路上云并和云上专有网络VPC(Virtual Private Cloud)互通。
场景示例
本文以下图场景为例,为您介绍IPsec-VPN连接(其中IPsec连接绑定转发路由器)联合物理专线实现主备链路上云方案。某企业在上海拥有一个本地IDC,且企业已经在阿里云华东1(杭州)地域部署了业务VPC,VPC中通过云服务器ECS(Elastic Compute Service)等云产品部署了应用业务和数据分析服务,用于后续业务交互和数据分析。企业现在需要部署上云的主备链路,以实现云下IDC和云上VPC的高可靠连接。
网络规划
网络功能规划
在本文场景中使用的网络功能如下:
本地IDC同时通过物理专线和IPsec-VPN连接接入阿里云。
在物理专线和IPsec-VPN连接都正常的情况下,本地IDC与VPC之间的所有流量默认只通过物理专线进行转发;当物理专线异常时,本地IDC与VPC之间的所有流量将自动切换至IPsec-VPN连接进行转发。
建立IPsec-VPN连接时,IPsec连接的网关类型为公网,IPsec连接绑定的资源类型为云企业网。
本地IDC、边界路由器VBR(Virtual border router)实例和IPsec连接均使用BGP动态路由协议,实现路由的自动分发和学习,简化路由配置。
目前仅部分地域的IPsec连接支持BGP动态路由协议。关于地域的详细信息, 请参见支持BGP动态路由功能的地域。
重要本场景流量传输说明如下:
在物理专线、IPsec-VPN连接、BGP动态路由协议均正常运行的情况下,VPC实例可以通过物理专线和IPsec-VPN连接同时学习到本地IDC的网段,本地IDC也可以通过物理专线和IPsec-VPN连接同时学习到VPC实例的路由。系统默认通过物理专线学习到的路由的优先级高于通过IPsec-VPN连接学习到的路由,因此VPC实例和本地IDC之间的流量默认通过物理专线传输。
当物理专线异常时,系统会自动撤销通过物理专线学习到的路由,通过IPsec-VPN连接学习到的路由会自动生效,VPC实例和本地IDC之间的流量会通过IPsec-VPN连接进行传输;当物理专线恢复后,VPC实例和本地IDC之间的流量会重新通过物理专线进行传输,IPsec-VPN连接会重新成为备用链路。
网段规划
在您规划网段时,请确保本地IDC和VPC之间要互通的网段没有重叠。
资源 | 网段及IP地址 |
VPC | 主网段:172.16.0.0/16
|
IPsec连接 | BGP配置:隧道网段为169.254.10.0/30,本端BGP地址为169.254.10.1,本端自治系统号使用默认值45104 |
VBR | VBR的配置:
|
本地网关设备 | 本地网关设备的公网IP地址:211.XX.XX.68 |
本地网关设备BGP配置:隧道网段为169.254.10.0/30,本端BGP地址为169.254.10.2,本端自治系统号为65530 | |
本地IDC | 待和VPC互通的网段:
|
准备工作
在开始配置前,请确保您已完成以下操作:
您已经在阿里云华东1(杭州)地域创建了一个VPC实例,并使用ECS部署了相关业务。具体操作,请参见搭建IPv4专有网络。
您已经创建了云企业网实例,并在华东1(杭州)和华东2(上海)地域分别创建了企业版转发路由器。具体操作,请参见创建云企业网实例和创建转发路由器实例。
重要创建转发路由器实例时,需为转发路由器实例配置转发路由器地址段,否则IPsec连接无法成功绑定转发路由器实例。
如果您已经创建了转发路由器实例,您可以单独为转发路由器实例添加转发路由器地址段。具体操作,请参见添加转发路由器地址段。
您已经了解VPC中ECS实例所应用的安全组规则,并确保安全组规则允许本地IDC和ECS实例互相通信。具体操作,请参见查询安全组规则和添加安全组规则。
配置流程
步骤一:部署物理专线
您需要部署物理专线将本地IDC连接至阿里云。
创建独享物理专线。
本文使用独享专线方式在华东2(上海)地域自主创建1条物理专线连接,命名为物理专线。具体操作,请参见创建和管理独享专线连接。
创建VBR实例。
- 登录高速通道管理控制台。
- 在左侧导航栏,单击边界路由器(VBR)。
在顶部状态栏,选择待创建VBR实例的地域。
本文选择华东2(上海)地域。
- 在边界路由器(VBR)页面,单击创建边界路由器。
在创建边界路由器面板,根据以下信息进行配置,然后单击确定。
下表仅列举本文强相关的配置项,其余配置项保持默认值。如果您需要了解更多信息,请参见创建和管理边界路由器。
配置项
说明
VBR
账号类型
选择VBR实例的账号类型。
本文选择当前账号。
名称
输入VBR实例的名称。
本文输入VBR。
物理专线接口
选择VBR实例需要绑定的物理专线接口。
VLAN ID
输入VBR实例的VLAN ID。
说明请确保VBR实例的VLAN ID与本地网关设备接口(物理专线连接的接口)划分的VLAN ID一致。
本文输入201。
设置VBR带宽值
选择VBR实例的带宽峰值。
请依据您的实际需求选择适合的带宽峰值。
阿里云侧IPv4互联IP
输入VPC通往本地IDC的路由网关IPv4地址。
本文输入10.0.0.2。
客户侧IPv4互联IP
输入本地IDC通往VPC的路由网关IPv4地址。
本文输入10.0.0.1。
IPv4子网掩码
输入阿里云侧和客户侧IPv4地址的子网掩码。
本文输入255.255.255.252。
为VBR实例配置BGP组。
- 在边界路由器(VBR)页面,单击目标VBR实例ID。
- 在边界路由器实例详情页面,单击BGP组页签。
在BGP组页签下,单击创建BGP组,并根据以下信息进行BGP组配置,然后单击确定。
下表仅列举本文强相关的配置项,其余配置项保持默认值。如果您想要了解更多信息,请参见创建BGP组。
配置项
说明
VBR
名称
输入BGP组的名称。
本文输入VBR-BGP。
Peer AS号
输入本地网关设备的自治系统号。
本文输入本地网关设备的自治系统号65530。
为VBR实例配置BGP邻居。
- 在边界路由器实例详情页面,单击BGP邻居页签。
- 在BGP邻居页签下,单击创建BGP邻居。
在创建BGP邻居面板,配置BGP邻居信息,然后单击确定。
下表仅列举本文强相关的配置项,其余配置项保持默认值。如果您想要了解更多信息,请参见创建BGP邻居。
配置项
说明
VBR
BGP组
选择要加入的BGP组。
本文选择VBR-BGP。
BGP邻居IP
输入BGP邻居的IP地址。
本文输入本地网关设备连接物理专线的接口的IP地址10.0.0.1。
为本地网关设备配置BGP路由协议。
为本地网关设备配置BGP路由协议后,本地网关设备和VBR实例之间可以建立BGP邻居关系,实现路由的自动学习和传播。以下配置示例仅供参考,不同厂商的设备配置命令可能会有所不同。具体命令,请咨询相关设备厂商。
router bgp 65530 //开启BGP路由协议,并配置本地IDC的自治系统号。本文为65530。 bgp router-id 10.0.0.1 //BGP路由器ID,本文设置为10.0.0.1。 bgp log-neighbor-changes neighbor 10.0.0.2 remote-as 45104 //和VBR实例建立BGP邻居关系。 ! address-family ipv4 network 192.168.0.0 mask 255.255.255.0 //宣告本地IDC的网段。 network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 neighbor 10.0.0.2 activate //激活BGP邻居。 exit-address-family !
步骤二:配置云企业网
部署物理专线后,本地IDC可以通过物理专线接入阿里云,但本地IDC和VPC之间还无法通信,您需要将VBR实例和VPC实例连接至云企业网,通过云企业网实现本地IDC和VPC之间的相互通信。
创建VPC连接。
登录云企业网管理控制台。
在云企业网实例页面,找到在准备工作中创建的云企业网实例,单击云企业网实例ID。
在页签,找到华东1(杭州)地域的转发路由器实例,在操作列单击创建网络实例连接。
在连接网络实例页面,根据以下信息进行配置,然后单击确定创建。
配置项
配置项说明
VPC连接
实例类型
选择网络实例类型。
本文选择专有网络(VPC)。
地域
选择网络实例所属的地域。
本文选择华东1(杭州)。
转发路由器
系统自动显示当前地域已创建的转发路由器实例ID。
资源归属UID
选择网络实例所属的阿里云账号和当前登录的账号是否为同一个账号。
本文选择同账号。
付费方式
VPC连接的付费方式。默认值为按量付费。关于转发路由器的计费规则,请参见计费说明。
连接名称
输入VPC连接的名称。
本文输入VPC-test。
网络实例
选择网络实例。
本文选择已创建的VPC实例。
交换机
在转发路由器支持的可用区选择交换机实例。
- 如果转发路由器在当前地域仅支持一个可用区,则您需要在当前可用区选择一个交换机实例。
- 如果转发路由器在当前地域支持多个可用区,则您需要在至少2个可用区中各选择一个交换机实例。在VPC和转发路由器流量互通的过程中,这2个交换机实例可以实现可用区级别的容灾。
推荐您在每个可用区中都选择一个交换机实例,以减少流量绕行,体验更低传输时延以及更高性能。
请确保选择的每个交换机实例下拥有一个空闲的IP地址。如果VPC实例在转发路由器支持的可用区中并没有交换机实例或者交换机实例下没有空闲的IP地址,您需要新建一个交换机实例。 具体操作,请参见创建和管理交换机。
更多信息,请参见创建VPC连接。
本文在可用区H下选择交换机1、在可用区I选择交换机2。
高级配置
选择是否开启所有高级配置选项。系统默认选择开启所有高级配置选项。
保持默认配置,即开启所有高级配置选项。
创建VBR连接。
返回页签,找到华东2(上海)地域的转发路由器实例,在操作列单击创建网络实例连接。
在连接网络实例页面,根据以下信息进行配置,然后单击确定创建。
配置项
配置项说明
VBR
实例类型
选择网络实例类型。
本文选择边界路由器(VBR)。
地域
选择网络实例所属的地域。
本文选择华东2(上海)。
转发路由器
系统自动显示当前地域已创建的转发路由器实例。
资源归属UID
选择网络实例所属的阿里云账号和当前登录的账号是否为同一个账号。
本文选择同账号。
连接名称
输入网络实例连接的名称。
本文输入VBR-test。
网络实例
选择网络实例。
本文选择VBR。
高级配置
选择是否开启所有高级配置选项。系统默认选择开启所有高级配置选项。
保持默认配置,即开启所有高级配置选项。
购买带宽包。
由于VBR实例绑定的转发路由器实例和VPC实例绑定的转发路由器实例位于不同的地域,VBR实例和VPC实例之间默认无法通信。您需要在华东1(杭州)和华东2(上海)地域的转发路由器实例之间创建跨地域连接,实现VBR实例和VPC实例之间的跨地域互通。
在创建跨地域连接前,您需要先购买带宽包,以便为跨地域连接分配跨地域带宽。
- 在云企业网实例页面,找到目标云企业网实例,单击云企业网实例ID。
- 在云企业网实例详情页面,选择,单击购买带宽包(预付费)。
- 在购买页面,根据以下信息配置带宽包,然后单击立即购买并完成支付。
配置项 说明 商品类型 选择带宽包的商品类型。 - 非跨境:指互通区域为中国内地与中国内地的带宽包或者互通区域为非中国内地与非中国内地的带宽包。例如:亚太与北美。
- 跨境:指互通区域为中国内地与非中国内地的带宽包。例如:中国内地与北美。
云企业网 选择需购买带宽包的云企业网实例。 完成支付后,带宽包自动绑定至该云企业网实例。
本文选择已创建的云企业网实例。
区域-A 选择参与互通的网络实例所在的区域。 本文选择中国内地。
说明- 带宽包创建后,不支持修改互通区域。
- 带宽包支持的区域及地域信息,请参见使用带宽包。
区域-B 选择参与互通的网络实例所在的区域。 本文选择中国内地。
计费方式 显示带宽包的计费方式。默认为按带宽计费。 带宽包计费说明,请参见计费说明。
带宽值 请根据实际业务需求选择带宽包的带宽值。单位:Mbps。 带宽包名称 输入带宽包的名称。 购买时长 选择带宽包的购买时长。 选中到期自动续费可开启带宽包自动续费功能。
资源组 选择带宽包所属的资源组。 仅购买非跨境的带宽包时,支持配置该项。
创建跨地域连接。
- 在云企业网实例页面,找到目标云企业网实例,单击云企业网实例ID。
- 在页签,单击设置跨地域带宽。
- 在连接网络实例页面,根据以下信息配置跨地域连接,然后单击确定创建。
配置项 说明 实例类型 选择跨地域连接。 地域 选择要互通的地域。 本文选择华东1(杭州)。
转发路由器 系统自动显示当前地域下转发路由器的实例ID。 连接名称 输入跨地域连接的名称。 本文输入Cross-Region-test。
对端地域 选择要互通的对端地域。 本文选择华东2(上海)。
转发路由器 系统自动显示当前地域下转发路由器的实例ID。 带宽分配方式 跨地域连接支持以下带宽分配方式: - 从带宽包分配:从已经购买的带宽包中分配带宽。
- 使用测试带宽:测试带宽默认为1 Kbps,仅供测试跨地域网络(IPv4)的连通性。
本文选择从带宽包分配。
带宽包实例 选择云企业网实例已绑定的带宽包实例。 带宽 输入跨地域连接的带宽值。单位:Mbps。 高级配置 保持默认配置,即选中全部高级配置选项。
步骤三:部署IPsec-VPN连接
完成上述步骤后,本地IDC和VPC之间可以通过物理专线实现互通。您可以开始部署IPsec-VPN连接。
- 登录VPN网关管理控制台。
创建用户网关。
在建立IPsec-VPN连接前,您需要先创建用户网关,将本地网关设备的信息注册至阿里云上。
- 在左侧导航栏,选择。
在顶部菜单栏,选择用户网关的地域。
VPN网关产品不支持建立跨境的IPsec-VPN连接,因此在您选择用户网关所属的地域时,需遵循就近原则,即选择离您本地IDC最近的阿里云地域。本文中选择华东2(上海)。
关于跨境连接的更多信息,请参见什么是跨境连接和非跨境连接?。
- 在用户网关页面,单击创建用户网关。
在创建用户网关面板,根据以下信息进行配置,然后单击确定。
配置项
配置项说明
用户网关
名称
输入用户网关的名称。
本文输入Customer-Gateway。
IP地址
输入阿里云侧待连接的本地网关设备的公网IP地址。
本文输入本地网关设备的公网IP地址211.XX.XX.68。
自治系统号
输入本地网关设备使用的BGP AS号。
本文输入65530。
创建IPsec连接。
创建用户网关后,您需要在阿里云侧创建IPsec连接,阿里云侧将通过IPsec连接与本地IDC之间建立IPsec-VPN连接。
- 在左侧导航栏,选择。
在顶部菜单栏,选择IPsec连接的地域。
IPsec连接的地域需和用户网关的地域一致。本文选择华东2(上海)。
- 在IPsec连接页面,单击创建IPsec连接。
在创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定。
创建IPsec连接会产生计费,关于IPsec连接的计费说明,请参见计费说明。
配置项
配置项说明
IPsec连接
名称
输入IPsec连接的名称。
本文输入IPsec连接。
绑定资源
选择IPsec连接绑定的资源类型。
本文选择云企业网。
网关类型
选择IPsec连接的网络类型。
本文选择公网。
CEN实例ID
选择云企业网实例。
本文选择在准备工作中已创建的云企业网实例。
转发路由器
选择IPsec连接待绑定的转发路由器实例。
系统根据IPsec连接所在的地域自动选择当前地域下的转发路由器实例。
可用区
在转发路由器支持的可用区中选择部署IPsec连接的可用区。
本文选择上海 可用区F。
用户网关
选择IPsec连接关联的用户网关。
本文选择Customer-Gateway。
路由模式
选择路由模式。
本文选择目的路由模式。
立即生效
选择IPsec连接的配置是否立即生效。取值:
- 是:配置完成后立即进行协商。
- 否:当有流量进入时进行协商。
本文选择是。
预共享密钥
输入IPsec连接的认证密钥,用于本地网关设备和IPsec连接之间的身份认证。
- 密钥长度为1~100个字符,支持数字、大小写英文字母及右侧字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?。 - 若您未指定预共享密钥,系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后,您可以通过编辑按钮查看系统生成的预共享密钥。具体操作,请参见修改IPsec连接。
重要 IPsec连接及其对端网关设备配置的预共享密钥需一致,否则系统无法正常建立IPsec-VPN连接。本文输入fddsFF123****。
加密配置
添加IKE配置、IPsec配置等加密配置。
本文IKE配置的版本选择ikev2,其余配置项保持默认配置。更多信息,请参见创建和管理IPsec连接(单隧道模式)。
BGP配置
选择是否开启BGP功能。BGP功能默认为关闭状态。
本文开启BGP功能。
隧道网段
输入建立加密隧道时使用的网段。
该网段需是一个在169.254.0.0/16网段内,掩码长度为30的网段。
本文输入169.254.10.0/30。
本端BGP地址
输入IPsec连接的BGP IP地址。
该地址为隧道网段内的一个IP地址。
本文输入169.254.10.1。
本端自治系统号
输入IPsec连接的自治系统号。
本文输入45104。
健康检查
选择是否开启健康检查功能。健康检查功能默认为关闭状态。
本文保持默认值,即不开启健康检查功能。
IPsec连接创建成功后,系统将自动为IPsec连接分配一个公网IP地址,用于IPsec连接和本地IDC之间建立IPsec-VPN连接。您可以在IPsec连接详情页面查看网关IP地址,如下图所示。
说明 IPsec连接只有绑定转发路由器实例后系统才会为其分配网关IP地址。如果在您创建IPsec连接时,IPsec连接的绑定资源类型为不绑定或者为VPN网关,则系统并不会为其分配网关IP地址。下载IPsec连接对端的配置。
返回到IPsec连接页面,找到刚刚创建的IPsec连接,在操作列单击下载对端配置。
在本地网关设备中添加VPN配置和BGP配置。
创建IPsec连接后,请根据已下载的IPsec连接对端配置信息以及下述步骤,在本地网关设备中添加VPN配置和BGP配置,以便本地IDC和阿里云之间建立IPsec-VPN连接。
以下配置示例仅供参考,不同厂商的设备配置命令可能会有所不同。具体命令,请咨询相关设备厂商。
登录本地网关设备的命令行配置界面。
执行以下命令,配置ikev2 proposal和policy。
crypto ikev2 proposal alicloud encryption aes-cbc-128 //配置加密算法,本文为aes-cbc-128。 integrity sha1 //配置认证算法,本文为sha1。 group 2 //配置DH分组,本文为group2。 exit ! crypto ikev2 policy Pureport_Pol_ikev2 proposal alicloud exit !执行以下命令,配置ikev2 keyring。
crypto ikev2 keyring alicloud peer alicloud address 47.XX.XX.213 //配置云上IPsec连接的公网IP地址,本文为47.XX.XX.213。 pre-shared-key fddsFF123**** //配置预共享密钥,本文为fddsFF123****。 exit !执行以下命令,配置ikev2 profile。
crypto ikev2 profile alicloud match identity remote address 47.XX.XX.213 255.255.255.255 //匹配云上IPsec连接的公网IP地址,本文为47.XX.XX.213。 identity local address 211.XX.XX.68 //本地网关设备的公网IP地址,本文为211.XX.XX.68。 authentication remote pre-share //认证对端的方式为PSK(预共享密钥的方式)。 authentication local pre-share //认证本端的方式为PSK。 keyring local alicloud //调用密钥串。 exit !执行以下命令,配置transform。
crypto ipsec transform-set TSET esp-aes esp-sha-hmac mode tunnel exit !执行以下命令,配置IPsec Profile,并调用transform、pfs和ikev2 profile。
crypto ipsec profile alicloud set transform-set TSET set pfs group2 set ikev2-profile alicloud exit !执行以下命令,配置IPsec隧道。
interface Tunnel100 ip address 169.254.10.2 255.255.255.252 //配置本地网关设备的隧道地址,本文为169.254.10.2。 tunnel source GigabitEthernet1 tunnel mode ipsec ipv4 tunnel destination 47.XX.XX.213 //配置隧道对端的云上IPsec连接的公网IP地址,本文为47.XX.XX.213。 tunnel protection ipsec profile alicloud no shutdown exit ! interface GigabitEthernet1 //配置与阿里云建立IPsec-VPN连接的接口IP地址。 ip address 211.XX.XX.68 255.255.255.0 negotiation auto !执行以下命令,配置BGP路由协议。
//在本地网关设备中添加如下配置 router bgp 65530 neighbor 169.254.10.1 remote-as 45104 //配置BGP邻居的AS号,本文为云上IPsec连接的BGP AS号45104。 neighbor 169.254.10.1 ebgp-multihop 10 //配置EBGP跳数为10。 ! address-family ipv4 neighbor 169.254.10.1 activate //激活BGP邻居。 exit-address-family !
步骤四:验证测试
完成上述步骤,本地IDC可通过物理专线或IPsec-VPN连接与VPC互通。在物理专线和IPsec-VPN连接都正常的情况下,本地IDC与VPC之间的所有流量默认只通过物理专线进行转发;当物理专线异常时,本地IDC与VPC之间的所有流量将自动切换至IPsec-VPN连接进行转发。以下内容介绍如何测试网络连通性以及如何验证物理专线和IPsec-VPN连接已实现主备链路冗余。
网络连通性测试。
- 登录VPC实例下的ECS实例。具体操作,请参见ECS远程连接操作指南。
- 在ECS实例中执行ping命令,尝试访问本地IDC中的客户端。
ping <本地IDC客户端的IP地址>如果可以收到响应报文,则表示本地IDC和VPC实例之间的网络已连通,可以实现资源互访。
验证物理专线和IPsec-VPN连接已实现主备链路冗余。
在本地IDC的多个客户端中持续向ECS实例发送访问请求或者在客户端中使用iPerf3工具持续向ECS实例发送访问请求。关于如何安装、使用iPerf3工具,请参见物理专线网络性能测试方法。
登录阿里云管理控制台,在IPsec连接的详情页面查看流量监控数据。
正常情况下,IPsec连接详情页面下不存在流量监控数据,流量默认通过物理专线进行转发。
您可以通过以下步骤进入IPsec连接详情页面:
登录VPN网关管理控制台。
在顶部状态栏处,选择IPsec连接所属的地域。
在左侧导航栏,选择。
在IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。
进入IPsec连接详情页面在监控页签下查看流量监控数据。
中断物理专线连接。
例如,您可以在本地网关设备上关闭连接物理专线的接口来中断物理专线连接。关于如何关闭接口,请参见您的本地网关设备操作指南。
重新登录阿里云管理控制台,在IPsec连接的详情页面查看流量监控数据。
正常情况下,物理专线中断后,流量将自动切换至IPsec-VPN连接进行转发,您可以在IPsec连接的详情页面查看到流量的监控数据。
路由说明
在本文中,创建IPsec连接、创建VPC连接、创建VBR连接、创建跨地域连接时均采用默认路由配置,默认路由配置下云企业网会自动完成路由的分发和学习以实现本地IDC和VPC实例之间的相互通信。默认路由配置说明如下:
IPsec连接
在创建IPsec连接时如果直接绑定转发路由器实例,则系统会自动对IPsec连接进行以下路由配置:
- IPsec连接默认被关联至转发路由器实例的默认路由表,转发路由器实例将通过查询默认路由表转发来自IPsec连接的流量。
- 您为IPsec连接添加的目的路由或者IPsec连接通过BGP动态路由协议学习到的云下路由,均会被自动传播至转发路由器实例的默认路由表。
- 转发路由器实例会将默认路由表下的路由条目自动传播至IPsec连接的BGP路由表中。
- IPsec连接会将通过BGP动态路由协议学习到的云上路由自动传播至本地IDC中。
VPC实例
创建VPC连接时如果采用默认路由配置(即开启所有高级配置),则系统会自动对VPC实例进行以下路由配置:
自动关联至转发路由器的默认路由表
开启本功能后,VPC连接会自动关联至转发路由器的默认路由表,转发路由器通过查询默认路由表转发VPC实例的流量。
自动传播系统路由至转发路由器的默认路由表
开启本功能后,VPC实例会将自身的系统路由传播至转发路由器的默认路由表中,用于网络实例的互通。
自动为VPC的所有路由表配置指向转发路由器的路由
开启本功能后,系统将在VPC实例的所有路由表内自动配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条路由条目,其下一跳均指向VPC连接。
VBR实例
创建VBR连接时如果采用默认路由配置(即开启所有高级配置),则系统会自动对VBR实例进行以下路由配置:
自动关联至转发路由器的默认路由表
开启本功能后,VBR连接会自动关联至转发路由器的默认路由表,转发路由器通过默认路由表转发VBR实例的流量。
自动传播系统路由至转发路由器的默认路由表
开启本功能后,VBR实例的系统路由自动传播至转发路由器的默认路由表中。
自动发布路由到Vbr
开启本功能后,系统自动将VBR连接关联的路由表中的路由发布到VBR实例中。
跨地域连接
创建跨地域连接时如果采用默认路由配置(即开启所有高级配置),则系统会自动对跨地域连接进行以下路由配置:
- 自动关联至转发路由器的默认路由表
开启本功能后,跨地域连接会关联至转发路由器的默认路由表,转发路由器会通过默认路由表转发跨地域间的流量。
- 自动传播系统路由至转发路由器的默认路由表
开启本功能后,跨地域连接会将系统路由传播至转发路由器的默认路由表中。
- 自动发布路由到对端地域
开启本功能后,即允许跨地域连接将本端地域转发路由器的路由自动传播至对端转发路由器的路由表中,用于网络实例跨地域互通。
查看路由条目
您可以在阿里云管理控制台查看对应实例的路由条目信息:
查看转发路由器实例路由条目信息,请参见查看企业版转发路由器路由条目。
查看VPC实例路由条目信息,请参见创建和管理路由表。
查看VBR实例路由条目信息,请进入VBR实例详情页面:
登录高速通道管理控制台。
在左侧导航栏,单击边界路由器(VBR)。
在顶部状态栏,选择VBR实例的地域。
在边界路由器(VBR)页面,单击目标VBR实例ID。
进入VBR实例详情页面在路由条目页签下分别查看VBR实例自定义路由条目、BGP路由条目和CEN路由条目的信息。
查看IPsec连接的路由条目信息,请进入IPsec连接详情页面:
- 登录VPN网关管理控制台。
- 在顶部状态栏处,选择IPsec连接所属的地域。
- 在左侧导航栏,选择。
- 在IPsec连接页面,找到目标IPsec连接,单击IPsec连接ID。
进入IPsec连接详情页面在BGP路由表页签下查看IPsec连接的路由条目信息。