VPN网关支持BGP动态路由公告
VPN网关支持BGP(Border Gateway Protocol)动态路由功能,云上云下通过VPN网关建立连接,并通过BGP动态路由协议自动学习路由实现资源互通,降低网络维护成本和网络配置风险。
如果您的VPN网关是最新版本,您可以直接使用BGP动态路由功能;如果您的VPN网关不是最新版本,默认您无法使用BGP动态路由功能。
您可以在升级按钮处查看VPN网关是否是最新版本,如果不是最新版本,您可以通过升级按钮进行升级。具体操作,请参见升级VPN网关。
支持BGP动态路由功能的地域
区域 | 地域 |
亚太 | 华东1(杭州)、华东2(上海)、华东6(福州-本地地域)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华南1(深圳)、中国香港、日本(东京)、新加坡、澳大利亚(悉尼)、马来西亚(吉隆坡)、印度尼西亚(雅加达)、印度(孟买) |
欧洲与美洲 | 德国(法兰克福)、英国(伦敦)、美国(弗吉尼亚)、美国(硅谷) |
中东与印度 | 阿联酋(迪拜) |
BGP动态路由简介
BGP是一种基于TCP协议的动态路由协议,主要应用于不同自治系统间交换路由信息和网络可达信息。
VPN网关的BGP动态路由功能是在IPsec-VPN连接的基础上增加的子功能。BGP动态路由集成CEN动态路由收发能力,帮助您更高效、灵活且可靠的建立IPsec-VPN连接,实现云上和云下网络的互通。
BGP动态路由具有以下能力:
自动宣告云上和云下的动态路由,并具备自动处理路由冲突机制。
同时支持静态路由和动态路由,实现自定义指定流量出口。
同一VPN网关与同一本地数据中心创建多隧道连接,支持等值多路径路由协议ECMP(Equal-Cost Multipath Routing),实现高可用容灾。
使用BGP动态路由建立IPsec-VPN连接前,您必须了解以下注意事项:
如果您使用物理专线和VPN网关以主备的方式将云下本地数据中心接入云上VPC,为避免本地数据中心网络路由震荡,请确保边界路由器和VPN网关配置的本地数据中心的自治系统号(ASN)一致。
如果您有多个VPC加载到同一云企业网,为避免云上网络路由震荡,请确保VPC关联的VPN网关未使用BGP路由协议建立连接。
如果您使用同一云上VPN网关与不同本地数据中心建立IPsec-VPN连接,禁止将不同IPsec-VPN连接的路由互导。
如果一个VPC创建了多个VPN网关,禁止将不同VPN网关的路由互导。
BGP动态路由宣告原则
使用VPN网关建立IPsec-VPN连接后,BGP动态路由宣告原则如下:
云下到云上方向
云下VPN网关通过BGP动态路由协议自动学习云下数据中心网段路由,并自动宣告给云上VPN网关。如果云上VPN网关开启了BGP路由自动传播功能,则云上VPN网关会将学习到的BGP路由自动传播到VPC的系统路由表中,而不会传播到VPC的自定义路由表中。
云上到云下方向
云上VPN网关通过BGP路由协议自动学习VPC系统路由表中的系统路由条目和自定义路由条目,并自动宣告给云下数据中心侧VPN网关,而不会学习VPC自定义路由表中的系统路由条目和自定义路由条目。
BGP动态路由和静态路由的关系
在使用VPN网关时,您可以通过BGP动态路由方式或者静态路由(目的路由或者策略路由)方式建立云上云下的IPsec-VPN连接。
路由方式由云下网关设备的支持情况决定,如果云下网关设备支持BGP动态路由协议,您可以选择使用BGP动态路由方式。如果云下网关设备不支持BGP动态路由协议,则您需要选择静态路由方式。
选择BGP动态路由方式后,您无需在VPN网关中配置静态路由,BGP动态路由协议会依据BGP动态路由宣告原则实现路由的自动分发和学习。您只需要在云下网关设备和云上资源中完成路由配置即可实现云上云下网络互通。
在云上云下通过一个VPN网关建立多个IPsec-VPN连接的场景中,BGP动态路由协议支持ECMP,在其中一个IPsec-VPN连接故障后,BGP动态路由协议会自动实现路由切换,实现IPsec-VPN连接的高可用。
选择静态路由方式后,您需要在云下网关设备、云上资源和VPN网关中分别完成路由配置,以实现云上云下网络互通。
如果云上云下通过一个VPN网关建立了多个IPsec-VPN连接,您可以通过健康检查功能实现IPsec-VPN连接的高可用。
路由优先级原则
如果VPN网关路由表或VPC路由表中存在路由冲突,各路由的优先级如下表所示。
路由优先级从高到底依次为:P0>P1>P2>P3。
路由类别 | VPN网关内路由优先级 | VPC内路由优先级 |
明细路由 | P0 | P0 |
系统路由 | P1 | P1 |
静态路由 | P2 | P2 |
动态路由 | P3 | P3 |
使用限制
单个VPN网关的BGP路由表默认支持的路由条目数为50条。如需提升配额,请提交工单。
启用BGP动态路由功能后,隧道网段需要是在169.254.0.0/16内的子网掩码为30的网段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。
IPsec连接绑定VPN网关后,VPN网关不支持接收BGP邻居发布过来的目标网段为0.0.0.0/0的路由条目。IPsec连接绑定转发路由器实例后,本地网关设备和转发路由器实例之间支持通过BGP动态路由功能传播目标网段为0.0.0.0/0的路由条目。
请勿通过BGP动态路由协议向VPN网关传播100.64.0.0/10网段、100.64.0.0/10网段下的子网段或者包含100.64.0.0/10网段的路由,该类路由条目会导致VPN控制台无法显示IPsec连接的状态或者导致IPsec连接协商失败。
同一个VPN网关实例中多个IPsec连接启用BGP动态路由功能后,IPsec连接的本端自治系统号需相同。
VPN网关启用BGP动态路由功能后,如果VPN网关关联的VPC加入了云企业网,则云企业网需开启路由重叠功能。
说明2019年03月01日后创建的云企业网实例,默认开启重叠路由功能。关于如何开启路由重叠功能,请参见开启重叠路由功能。
如果一个VPC下关联了多个VPN网关,则VPN网关之间不支持建立BGP邻居关系。
在一个VPC关联多个VPN网关,多个VPN网关均启用BGP动态路由功能的场景下,如果多个VPN网关关联的用户网关相同,则VPN网关下IPsec连接的本端自治系统号需相同,否则可能会产生环路。
使用建议
在您使用BGP动态路由功能前,请了解以下配置建议:
IPsec连接的路由模式推荐使用目的路由模式。
创建用户网关后,不支持修改用户网关的IP地址和自治系统号,建议您提前规划。
