转发路由器地址段是您为转发路由器自定义的一个地址段,该地址段类似于为路由器环回口(Loopback接口)分配IP地址的地址段。转发路由器地址段被用于为IPsec连接分配地址,以便创建VPN连接。
背景信息
在您创建VPN连接时,系统将从转发路由器地址段中为IPsec连接分配地址:
如果您创建的是私网网关类型的VPN连接,则系统将自动从转发路由器地址段中为IPsec连接分配网关IP地址,用于和本地网络建立IPsec-VPN连接。
在私网网关类型的VPN连接与转发路由器路由表建立路由学习关系后,系统自动在与VPN连接建立路由学习关系的转发路由器路由表中添加1条路由条目:目标网段为转发路由器地址段的黑洞路由,其中转发路由器地址段指已为IPsec连接分配网关IP地址的地址段。该黑洞路由仅会被传播至转发路由器下VBR实例的路由表中。
说明您可以通过CreateTransitRouterCidr接口的PublishCidrRoute参数控制是否允许系统在转发路由器路由表中添加目标网段为转发路由器地址段的黑洞路由。更多信息,请参见CreateTransitRouterCidr。
私网网关类型的VPN连接与转发路由器路由表建立路由学习关系后,转发路由器将自动学习到一条去往IPsec连接的路由条目:目标网段为IPsec连接网关IP地址,下一跳指向VPN连接。
该路由条目存在于与VPN连接建立路由学习关系的转发路由器路由表中。
如果您创建的是公网网关类型的VPN连接:
单隧道模式下,系统将从阿里云地址池中为IPsec连接分配1个公网IP地址,公网IP地址用于和本地网络建立IPsec-VPN连接。同时,系统也将从转发路由器地址段中为IPsec连接分配1个IP地址,该IP地址会被用于IPsec连接内部的健康检查,对您的网络不会产生影响。
双隧道模式下,系统将从阿里云地址池中为IPsec连接分配2个公网IP地址,每个隧道占用1个公网地址,用于和本地网络建立双隧道模式的IPsec-VPN连接。同时,系统也将从转发路由器地址段中为IPsec连接分配2个IP地址,这2个IP地址会被用于IPsec连接内部的健康检查,对您的网络不会产生影响。
说明关于什么是双隧道,请参考绑定转发路由器场景双隧道IPsec-VPN连接说明。
关于转发路由器地址段地址分配规则详情,请参见转发路由器地址段地址分配规则。
使用限制
仅企业版转发路由器支持配置转发路由器地址段。
一个转发路由器最多支持配置5个地址段。每个转发路由器地址段的子网掩码位数不能少于16位,且不能超过24位。
不支持配置100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16及其子网为转发路由器地址段。
每个转发路由器地址段不能与云企业网实例下所有待互通的网段冲突。
同一个云企业网实例下,每个转发路由器地址段需确保唯一。
转发路由器地址段地址分配规则
以下内容介绍转发路由器地址段地址分配规则,帮助您规划转发路由器地址段。
为转发路由器添加地址段后,您在转发路由器下创建第一个VPN连接时,系统将自动从转发路由器地址段中划分出3个子网掩码为28位的网段作为系统保留网段,用于系统后台创建VPN连接,且系统将从转发路由器地址段剩余的网段中为IPsec连接分配IP地址。
系统在为IPsec连接分配IP地址时,会先从剩余网段中划分出一个子网掩码为28位的小网段,该小网段下将有4个IP地址为系统保留,不会进行分配,系统会从剩余的12个IP地址中为IPsec连接分配IP地址,其中每个隧道分配1个IP地址。待12个IP地址分配完毕后,系统会再从剩余的网段中划分出一个子网掩码为28位的小网段进行分配,每个子网掩码为28位的小网段下均会有4个IP地址为系统保留,不参与地址分配。
示例
例如您为转发路由器配置了10.0.0.0/24、192.168.0.0/20的地址段,假设10.0.0.0/28、10.0.0.16/28、10.0.0.32/28为系统保留网段,系统将从剩余网段中划分出一个子网掩码为28位的网段为IPsec连接分配IP地址,例如10.0.0.48/28。其中10.0.0.48/28网段下将有4个IP地址为系统保留,不参与地址分配,剩余12个IP地址可用于为IPsec连接分配IP地址。待12个IP地址分配完毕后,系统会再从剩余的网段中划分出一个子网掩码为28位的网段进行分配,每个子网掩码为28位的网段下均会有4个IP地址为系统保留,不参与地址分配。
在上述场景下:
单隧道模式
单隧道模式下,1个VPN连接包含1个隧道,每个隧道占用1个IP地址:
10.0.0.0/24网段下最多可创建VPN连接的个数:(2^8÷2^4-3)×(2^4-4)=156。
192.168.0.0/20网段下最多可创建VPN连接的个数:(2^12÷2^4)×(2^4-4)=3072。
当前转发路由器下最多可创建VPN连接的个数:156+3072=3228。
双隧道模式
双隧道模式下,1个VPN连接包含2个隧道,每个隧道占用1个IP地址:
10.0.0.0/24网段下最多可创建VPN连接的个数:(2^8÷2^4-3)×(2^4-4)÷2=78。
192.168.0.0/20网段下最多可创建VPN连接的个数:(2^12÷2^4)×(2^4-4)÷2=1536。
当前转发路由器下最多可创建VPN连接的个数:78+1536=1614。
“^”表示次方,例如2^4=16。
创建VPN连接后,您可以在转发路由器地址段的分配详情面板查看系统保留网段和IPsec连接IP地址分配详情。具体操作,请参见查看转发路由器地址段分配详情。
添加转发路由器地址段
您可以在创建转发路由器时直接添加地址段,或者在创建转发路由器后单独为其添加地址段。
创建转发路由器时添加地址段
- 登录云企业网管理控制台。
- 在云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
在 页签,单击创建转发路由器。
在创建转发路由器对话框,配置转发路由器实例信息,然后单击确认。
配置项
说明
地域
选择转发路由器实例所属的地域。
版本
转发路由器实例的版本。
系统自动判断并显示当前地域下转发路由器实例的版本。
开通组播
选择是否开通转发路由器实例的组播功能。系统默认关闭组播功能。
说明仅部分地域的企业版转发路由器支持组播功能。更多信息,请参见组播概述。
名称
输入转发路由器实例的名称。
描述
输入转发路由器实例的描述信息。
标签
为转发路由器实例设置标签。
标签键:不允许为空字符串。最多支持64个字符,不能以
aliyun
和acs:
开头,不能包含http://
或者https://
。标签值:可以为空字符串。最多支持128个字符,不能以
aliyun
和acs:
开头,不能包含http://
或者https://
。
支持为转发路由器实例添加多个标签。关于标签的更多信息,请参见标签。
TR地址段
输入转发路由器地址段。
如果您需要输入多个地址段,您可以在输入框下面单击添加。
创建转发路由器后添加地址段
- 登录云企业网管理控制台。
- 在云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
- 在 页签,找到目标地域的转发路由器实例,单击目标实例ID。
在转发路由器实例详情页面,单击基本信息页签。在TR地址段右侧单击编辑。
在编辑TR地址段对话框,输入地址段,然后单击确认。
如果您需要输入多个地址段,您可以在输入框下面单击添加。
在结果提示对话框,单击确认。
查看转发路由器地址段分配详情
为转发路由器添加地址段后,在您创建VPN连接时,系统将从转发路由器地址段中为IPsec连接分配IP地址,您可以在转发路由器基本信息页签查看地址段的分配详情。
- 登录云企业网管理控制台。
- 在云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
- 在 页签,找到目标地域的转发路由器实例,单击目标实例ID。
在转发路由器实例详情页面,单击基本信息页签。在TR地址段右侧单击分配详情。
在分配详情面板,查看转发路由器地址段的分配详情。
修改转发路由器地址段
已经分配IP地址的转发路由器地址段不支持修改。
如果您要修改已经分配IP地址的转发路由器地址段,您需要先删除已经占用IP地址的VPN连接。具体操作,请参见删除网络实例连接。
- 登录云企业网管理控制台。
- 在云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
- 在 页签,找到目标地域的转发路由器实例,单击目标实例ID。
在转发路由器实例详情页面,单击基本信息页签。在TR地址段右侧单击编辑。
在编辑TR地址段对话框,修改转发路由器地址段,然后单击确认。
您可以对转发路由器地址段进行以下操作:
添加转发路由器地址段:在输入框下面单击添加,新增一个转发路由器地址段。
修改转发路由器地址段:直接修改已有的地址段。
删除转发路由器地址段:在输入框的右侧单击图标,删除当前转发路由器地址段。
在结果提示对话框,查看修改结果,然后单击确认。
删除转发路由器地址段
已经分配IP地址的转发路由器地址段不支持删除。
如果您要删除已经分配IP地址的转发路由器地址段,您需要先删除已经占用IP地址的VPN连接。具体操作,请参见删除网络实例连接。
- 登录云企业网管理控制台。
- 在云企业网实例页面,找到目标云企业网实例,单击目标实例ID。
- 在 页签,找到目标地域的转发路由器实例,单击目标实例ID。
在转发路由器实例详情页面,单击基本信息页签。在TR地址段右侧单击编辑。
在编辑TR地址段对话框,在目标地址段的右侧单击图标,然后单击确认。
如果目标地址段的右侧没有图标,您可以单击输入框下面单击添加。
在结果提示对话框,查看修改结果,然后单击确认。
相关文档
CreateTransitRouterCidr:创建转发路由器地址段。
ModifyTransitRouterCidr:修改转发路由器地址段。
DeleteTransitRouterCidr:删除转发路由器地址段。
ListTransitRouterCidr:查询转发路由器实例下已添加的地址段。
ListTransitRouterCidrAllocation:查询转发路由器地址段的分配详情。