如何为IPsec连接配置路由_VPN网关-阿里云帮助中心

创建IPsec连接后，您还需要为IPsec连接配置路由。通过路由配置向阿里云侧传播本地数据中心的网段，以便实现本地数据中心和专有网络VPC（Virtual Private Cloud）的私网连接。

配置概述

依据IPsec连接绑定的资源不同，创建IPsec连接后支持的路由配置和默认的路由行为也不相同，具体内容如下表所示。

IPsec连接绑定的资源	支持的路由协议	路由配置方式	默认的路由行为
绑定转发路由器实例	静态路由：目的路由 BGP动态路由协议	静态路由在IPsec连接下手动添加目的路由条目。具体操作，请参见为IPsec连接配置目的路由。 BGP动态路由协议在IPsec连接和本地网关设备分别添加BGP配置，成功建立BGP邻居关系后，IPsec连接和本地网关设备可以自动学习对方的路由。更多信息，请参见VPN网关支持BGP动态路由公告和BGP配置。	如果为IPsec连接配置静态路由，则系统会自动将静态路由传播至转发路由器实例的路由表中。如果为IPsec连接配置BGP动态路由，则系统自动将IPsec连接从本地网关设备学习到的路由传播至转发路由器实例的路由表中。转发路由器实例是否将从其他实例学习到的路由传播至IPsec连接，可在转发路由器实例侧控制。具体操作，请参见创建VPN连接。说明如果在创建IPsec连接时，您直接将IPsec连接绑定了同账号的转发路由器实例，则创建IPsec连接后： IPsec连接默认被关联至转发路由器实例的默认路由表，转发路由器实例将通过查询默认路由表转发来自IPsec连接的流量。您为IPsec连接添加的目的路由或者IPsec连接通过BGP动态路由协议学习到的路由，均会被传播至转发路由器实例的默认路由表。您可以修改IPsec连接关联的路由表以及传播路由的路由表。具体操作，请参见路由学习和关联转发。
绑定VPN网关实例	静态路由：目的路由策略路由 BGP动态路由协议	静态路由在VPN网关实例下手动添加目的路由条目或者策略路由条目。具体操作，请参见网关路由概述。 BGP动态路由协议在VPN网关实例、IPsec连接、本地网关设备分别添加BGP配置，成功建立BGP邻居关系后，IPsec连接和本地网关设备可以自动学习对方的路由。更多信息，请参见VPN网关支持BGP动态路由公告和建立VPC到本地数据中心的连接（单隧道模式和BGP路由）。	如果为IPsec连接配置静态路由，则系统依据您的配置决定是否将路由发布至VPN网关实例关联的VPC实例的系统路由表中。如果为IPsec连接配置BGP动态路由，则IPsec连接将自动学习到本地数据中心和VPC实例系统路由表中的路由，且IPsec连接会自动将VPC实例系统路由表中的路由自动传播至本地数据中心。如果为VPN网关实例开启路由自动传播功能，则IPsec连接会将本地数据中心的路由传播至VPC实例的系统路由表中。

为IPsec连接配置目的路由

依据IPsec连接绑定的资源类型不同，为IPsec连接配置目的路由的操作也不相同：

在IPsec连接绑定转发路由器实例的情况下，您需要在IPsec连接下配置目的路由，具体操作，请参见本部分以下内容。
在IPsec连接绑定VPN网关实例的情况下，您需要在VPN网关实例下配置目的路由，具体操作，请参见添加目的路由。

在为IPsec连接配置目的路由前，请先了解以下信息：

不支持添加目标网段为0.0.0.0/0的目的路由。
请勿添加目标网段为100.64.0.0/10、100.64.0.0/10下的子网段或者包含100.64.0.0/10网段的目的路由，该类路由条目会导致控制台无法显示IPsec连接的状态或者导致IPsec连接协商失败。

登录VPN网关管理控制台。
在顶部菜单栏，选择IPsec连接的地域。
在IPsec连接页面，找到目标IPsec连接，单击IPsec连接ID。
在目的路由表页签，单击添加路由条目。

在添加路由条目面板，根据以下信息配置目的路由，然后单击确定。

配置	说明
目标网段	输入本地数据中心侧待和VPC互通的网段。
下一跳类型	选择IPsec连接。
下一跳	选择IPsec连接实例。
权重	选择路由条目的权重值： 100：表示路由条目的优先级高。 0：表示路由条目的优先级低。说明如果目的路由表中存在多条目标网段相同、权重值不同的路由条目，则系统优先选择权重值高的路由条目转发流量。如果目的路由表中存在多条目标网段、权重值均相同的路由条目，则系统将随机选择一条路由条目转发流量。