全部產品
Search

搜尋本產品

    VPN Gateway:配置BGP動態路由

    文件中心

    VPN Gateway:配置BGP動態路由

    更新時間:Jul 20, 2024

    VPN網關支援BGP(Border Gateway Protocol)動態路由功能,雲上雲下建立IPsec-VPN串連後,可以通過BGP動態路由協議自動學習對方路由實現資源互連,降低網路維護成本和網路設定風險。

    支援BGP動態路由功能的地區

    地區

    地區

    亞太地區

    華東1(杭州)、華東2(上海)、華北1(青島)、華北2(北京)、華北3(張家口)、華北5(呼和浩特)、華南1(深圳)、中國香港、日本(東京)、新加坡、澳大利亞(雪梨)、馬來西亞(吉隆坡)、印尼(雅加達)、印度(孟買)關停中

    歐美地區

    德國(法蘭克福)、英國(倫敦)、美國(維吉尼亞)、美國(矽谷)

    中東與印度

    阿聯酋(杜拜)

    BGP動態路由宣告原則

    VPN網關和本機資料中心BGP動態路由配置完成後,BGP路由宣告原則如下:

    • 雲下到雲上方向

      本機資料中心在BGP路由協議中宣告本地的路由後,本機資料中心路由將通過BGP動態路由協議被自動傳播至雲上VPN網關。如果雲上VPN網關開啟了BGP路由自動傳播功能,則雲上VPN網關會將學習到的BGP路由自動傳播到VPC的系統路由表中,而不會傳播到VPC的自訂路由表中。

    • 雲上到雲下方向

      雲上VPN網關通過BGP路由協議自動學習VPC系統路由表中的系統路由條目和自訂路由條目,並自動傳播給本機資料中心,而不會學習VPC自訂路由表中的系統路由條目和自訂路由條目。

    BGP動態路由使用限制

    • 單個VPN網關的BGP路由表預設支援的路由條目數為50條。如需提升配額,請提交工單

    • VPN網關不接收BGP鄰居發布過來的目標網段為0.0.0.0/0的路由條目。

    • 請勿通過BGP動態路由協議向VPN網關傳播100.64.0.0/10網段、100.64.0.0/10網段下的子網段或者包含100.64.0.0/10網段的路由,該類路由條目會導致VPN網關管理主控台無法顯示IPsec串連的狀態或者導致IPsec串連協商失敗。

    • 同一個VPN網關執行個體中多個IPsec串連同時啟用BGP動態路由功能後,多個IPsec串連的本端自治系統號(ASN)需相同。

    • 如果同一個VPN網關與不同本機資料中心建立IPsec-VPN串連,禁止將不同IPsec-VPN串連的路由互導。

    • 如果一個VPC關聯了多個VPN網關,則VPN網關之間不支援建立BGP鄰居關係,且禁止將不同VPN網關的路由互導。

    • 在一個VPC關聯多個VPN網關,多個VPN網關均啟用BGP動態路由功能的情境下,如果多個VPN網關關聯的使用者網關相同,則VPN網關下IPsec串連的本端自治系統號需相同,否則可能會產生環路。

    • 如果您使用物理專線和VPN網關以主備的方式將本機資料中心接入VPC,為避免本機資料中心網路路由震蕩,請確保邊界路由器和VPN網關配置的本機資料中心的自治系統號一致。

    • VPN網關啟用BGP動態路由功能後,如果VPN網關關聯的VPC加入了雲企業網,則雲企業網需開啟路由重疊功能。

      說明

      2019年03月01日後建立的雲企業網執行個體,預設開啟重疊路由功能。具體開啟步驟,請參見開啟重疊路由功能

    • 如果有多個VPC載入到同一雲企業網,為避免雲上網路路由震蕩,請確保VPC關聯的VPN網關未使用BGP路由協議建立串連。

    • 對於一個VPN網關下存在多個雙隧道模式IPsec-VPN串連的情境,如果為多個IPsec-VPN串連同時配置了BGP動態路由,則VPN網關側通過多條IPsec-VPN串連學習到的路由條目的目標網段之間不能衝突,否則會影響路由生效。

    BGP動態路由配置建議

    • IPsec串連的路由模式推薦使用目的路由模式

    • 為雙隧道模式的IPsec串連配置BGP動態路由時,兩條隧道的本端自治系統號需保持相同,兩條隧道對端的BGP AS號可以不相同,但建議保持相同。

    BGP動態路由配置步驟

    1. 在使用者網關執行個體下指定本機資料中心的自治系統號。具體操作,請參見建立和系統管理使用者網關

      • 如果建立使用者網關時,您未指定本機資料中心的自治系統號,需刪除使用者網關重新建立。

      • 使用者網關建立完成後不支援修改,如果您需要修改本機資料中心的自治系統號,請刪除使用者網關重新建立。

    2. 為IPsec串連開啟BGP功能,並添加BGP動態路由配置。具體操作,請參見建立和管理IPsec串連(雙隧道模式)建立和管理IPsec串連(單隧道模式)

      下表僅列舉BGP動態路由強相關的內容。

      說明

      • 為雙隧道模式的IPsec串連開啟BGP功能時,配置項順序和下表會有所不同,您需要分別為主備隧道選擇使用者網關並添加BGP配置,請以控制台為準。

      • 配置BGP動態路由時如果系統提示當前VPN網關版本不支援,請先升級VPN網關執行個體版本,具體操作,請參見升級VPN網關

      配置項

      說明

      使用者網關

      選擇包含本機資料中心自治系統號的使用者網關執行個體。

      啟用BGP

      選擇開啟BGP功能。

      本端自治系統號

      輸入隧道本端的自治系統號。預設值:45104。自治系統號取值範圍:1~4294967295

      隧道網段

      輸入隧道的網段。

      隧道網段需要是在169.254.0.0/16內的子網路遮罩為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。

      說明

      一個VPN網關執行個體下,每個隧道的網段需保持唯一。

      本端BGP地址

      輸入隧道本端的BGP IP地址。

      該地址為隧道網段內的一個IP地址。

    3. 為VPN網關執行個體開啟BGP路由自動傳播。

      VPN網關開啟BGP路由自動傳播功能後,才會將學習到的BGP路由自動傳播到VPC的系統路由表。

      1. 登入VPN網關管理主控台

      2. 在左側導覽列選擇網間互聯 > VPN > VPN網關

      3. VPN網關頁面,找到目標VPN網關執行個體,在操作列選擇開啟路由自動傳播

      4. 開啟路由自動傳播對話方塊單擊確定

    BGP動態路由使用教程