AI 助理
备案控制台
文档
输入文档关键字查找
首页 VPN网关 IPsec-VPN 操作指南 绑定VPN网关 配置VPN网关路由 配置目的路由

配置目的路由

更新时间:
产品详情
相关技术圈
我的收藏

创建目的路由后,VPN网关实例将基于流量的目的IP地址匹配目的路由,然后根据流量匹配到的目的路由转发流量。

前提条件

配置目的路由前,VPN网关实例下需已创建了IPsec连接。具体操作,请参见创建和管理IPsec连接(单隧道模式)创建和管理IPsec连接(双隧道模式)

使用限制

  • 不支持添加目标网段为0.0.0.0/0的目的路由。

  • 请勿添加目标网段为100.64.0.0/10、100.64.0.0/10下的子网段或者包含100.64.0.0/10网段的目的路由,该类路由条目会导致控制台无法显示IPsec连接的状态或者导致IPsec连接协商失败。

目的路由匹配原则

VPN网关在转发流量时,默认按照最长掩码匹配原则为流量匹配目的路由。

如果VPN网关实例配置了主备目的路由,仅生效的目的路由参与匹配过程,不生效的目的路由不会参与匹配过程。主备目的路由生效规则说明如下:

  • 如果系统检测到主目的路由关联的IPsec连接是连通的(IPsec连接协商成功且健康检查正常),则主目的路由生效,备目的路由不生效。

  • 如果系统检测到主目的路由关联的IPsec连接不通(IPsec连接协商失败或者IPsec连接协商成功但健康检查异常)但备目的路由关联的IPsec连接是连通的,则备目的路由生效,主目的路由不生效。

  • 如果系统检测到主目的路由和备目的路由关联的IPsec连接均不通,则系统默认主目的路由生效,备目的路由不生效。

例如VPN网关实例目的路由表下存在以下两条目的路由,VPN网关接收到数据包后,将根据数据包的目的IP地址匹配目的路由,假设数据包的目的IP地址为10.10.10.0/24,则该数据包可以同时匹配以下两条目的路由,但是路由条目2的子网掩码位数为16,路由条目的子网掩码位数为8,根据最长掩码匹配原则,VPN网关将依据路由条目2转发该数据包。

路由条目名称

目标网段

下一跳

权重

路由条目1

10.0.0.0/8

IPsec连接1

100

路由条目2

10.10.0.0/16

IPsec连接2

100

添加目的路由

  1. 登录VPN网关管理控制台

  2. 在顶部菜单栏,选择VPN网关实例的地域。

  3. VPN网关页面,单击目标VPN网关实例ID。

  4. 目的路由表页签,单击添加路由条目

  5. 添加路由条目面板,根据以下信息配置目的路由,然后单击确定

    配置

    说明

    目标网段

    输入要访问的本地数据中心的网段。

    下一跳类型

    选择IPsec连接。

    下一跳

    选择需要建立IPsec-VPN连接的IPsec连接。

    发布到 VPC

    选择是否将新添加的路由发布到VPC中。

    • (推荐):将新添加的路由自动发布到VPC中。系统仅会将路由发布至VPC系统路由表中,而不会发布至VPC自定义路由表中。

      如果VPC自定义路由表中需要包含该路由,请您手动添加。具体操作,请参见添加自定义路由条目到自定义路由表

    • :不发布新添加的路由到VPC中。

      选择后,您需要手动在VPC系统路由表和自定义路由表中添加本地数据中心的网段,下一跳指向VPN网关实例,否则VPC将无法通过IPsec-VPN连接访问该网段下的资源。

    重要

    如果您在策略路由表和目的路由表创建了目标网段相同的路由条目,并且这两条路由条目被发布到同一个到VPC中,当您在目的路由表下撤销发布该路由条目时,策略路由表下的该路由条目也会被同时撤销发布。

    权重

    选择目的路由的权重值。

    在您使用同一个VPN网关实例搭建主备IPsec-VPN连接的场景中,您可以通过配置目的路由的权重值来指定主链路和备链路,权重值为100的目的路由默认为主链路,权重值为0的目的路由默认为备链路。

    您可以通过为IPsec连接配置健康检查来自动探测链路的连通性,在主链路不通的情况下,系统自动将流量切换至备链路进行传输,实现上云链路的高可用。关于IPsec连接健康检查的更多信息,请参见健康检查

    • 100(主)(默认值):表示当前目的路由关联的IPsec连接为主链路。

    • 0(备):表示当前目的路由关联的IPsec连接为备链路。

    说明

    • 指定主备链路时,主目的路由和备目的路由的目标网段需相同,下一跳需不同,权重值也需不同。

    • 指定主备链路后,如果您需要修改主链路的权重值,需先将备链路删除,待主链路修改完成后,再重新配置备链路。如果您需要修改备链路的权重值,也需先删除主链路,待备链路修改完成后再重新配置主链路。

    添加目的路由时,如果系统提示路由冲突,请参见在VPN网关实例下添加路由时系统提示路由重复等报错时怎么办?

发布目的路由

创建目的路由时,如果您未选择将目的路由发布至VPC中,您可以通过本操作重新将目的路由发布至VPC中。系统仅会将路由发布至VPC系统路由表中,而不会发布至VPC自定义路由表中。

如果VPC自定义路由表中需要包含该路由,请您手动添加。具体操作,请参见添加自定义路由条目到自定义路由表

  1. 登录VPN网关管理控制台

  2. 在顶部菜单栏,选择VPN网关实例的地域。

  3. VPN网关页面,单击目标VPN网关实例ID。

  4. 目的路由表页签,找到目标路由条目,在操作列单击发布

  5. 发布路由对话框,单击确定

    目标路由发布后,您可以单击撤销发布,撤销已经发布的路由。

    重要

    如果您在策略路由表和目的路由表创建了目标网段相同的路由条目,并且这两条路由条目被发布到同一个到VPC中,当您在目的路由表下撤销发布该路由条目时,策略路由表下的该路由条目也会被同时撤销发布。

编辑目的路由

添加目的路由后,您可以修改目的路由的权重值。

  1. 登录VPN网关管理控制台

  2. 在顶部菜单栏,选择VPN网关实例的地域。

  3. VPN网关页面,单击目标VPN网关实例ID。

  4. 目的路由表页签,找到目标路由条目,在操作列单击编辑

  5. 在编辑面板,修改目的路由的权重值,然后单击确定

删除目的路由

  1. 登录VPN网关管理控制台

  2. 在顶部菜单栏,选择VPN网关实例的地域。

  3. VPN网关页面,单击目标VPN网关实例ID。

  4. 目的路由表页签,找到目标路由条目,在操作列单击删除

  5. 删除路由条目对话框,单击确定

通过调用API配置目的路由

支持通过阿里云 SDK(推荐)阿里云 CLITerraform资源编排等工具调用API配置和管理目的路由。相关API说明,请参见:

上一篇:配置策略路由下一篇:配置BGP动态路由
文档推荐