建立目的路由後,VPN網關執行個體將基於流量的目的IP地址匹配目的路由,然後根據流量匹配到的目的路由轉寄流量。
前提條件
配置目的路由前,VPN網關執行個體下需已建立了IPsec串連。具體操作,請參見建立和管理IPsec串連(單隧道模式)或建立和管理IPsec串連(雙隧道模式)。
使用限制
不支援添加目標網段為0.0.0.0/0的目的路由。
請勿添加目標網段為100.64.0.0/10、100.64.0.0/10下的子網段或者包含100.64.0.0/10網段的目的路由,該類路由條目會導致控制台無法顯示IPsec串連的狀態或者導致IPsec串連協商失敗。
目的路由匹配原則
VPN網關在轉寄流量時,預設按照最長掩碼匹配原則為流量匹配目的路由。
如果VPN網關執行個體配置了主備目的路由,僅生效的目的路由參與匹配過程,不生效的目的路由不會參與匹配過程。主備目的路由生效規則說明如下:
如果系統檢測到主目的路由關聯的IPsec串連是連通的(IPsec串連協商成功且健全狀態檢查正常),則主目的路由生效,備目的路由不生效。
如果系統檢測到主目的路由關聯的IPsec串連不通(IPsec串連協商失敗或者IPsec串連協商成功但健全狀態檢查異常)但備目的路由關聯的IPsec串連是連通的,則備目的路由生效,主目的路由不生效。
如果系統檢測到主目的路由和備目的路由關聯的IPsec串連均不通,則系統預設主目的路由生效,備目的路由不生效。
例如VPN網關執行個體目的路由表下存在以下兩條目的路由,VPN網關接收到資料包後,將根據資料包的目的IP地址匹配目的路由,假設資料包的目的IP地址為10.10.10.0/24,則該資料包可以同時匹配以下兩條目的路由,但是路由條目2的子網路遮罩位元為16,路由條目的子網路遮罩位元為8,根據最長掩碼匹配原則,VPN網關將依據路由條目2轉寄該資料包。
路由條目名稱 | 目標網段 | 下一跳 | 權重 |
路由條目1 | 10.0.0.0/8 | IPsec串連1 | 100 |
路由條目2 | 10.10.0.0/16 | IPsec串連2 | 100 |
添加目的路由
登入VPN網關管理主控台。
- 在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,單擊目標VPN網關執行個體ID。
在目的路由表頁簽,單擊添加路由條目。
在添加路由條目面板,根據以下資訊配置目的路由,然後單擊確定。
配置
說明
目標網段
輸入要訪問的本機資料中心的網段。
下一跳類型
選擇IPsec串連。
下一跳
選擇需要建立IPsec-VPN串連的IPsec串連。
發布到 VPC
選擇是否將新添加的路由發布到VPC中。
是(推薦):將新添加的路由自動發布到VPC中。系統僅會將路由發布至VPC系統路由表中,而不會發布至VPC自訂路由表中。
如果VPC自訂路由表中需要包含該路由,請您手動添加。具體操作,請參見添加自訂路由條目到自訂路由表。
否:不發布新添加的路由到VPC中。
選擇否後,您需要手動在VPC系統路由表和自訂路由表中添加本機資料中心的網段,下一跳指向VPN網關執行個體,否則VPC將無法通過IPsec-VPN串連訪問該網段下的資源。
重要如果您在策略路由表和目的路由表建立了目標網段相同的路由條目,並且這兩條路由條目被發布到同一個到VPC中,當您在目的路由表下撤銷發布該路由條目時,策略路由表下的該路由條目也會被同時撤銷發布。
權重
選擇目的路由的權重值。
在您使用同一個VPN網關執行個體搭建主備IPsec-VPN串連的情境中,您可以通過配置目的路由的權重值來指定主鏈路和備鏈路,權重值為100的目的路由預設為主鏈路,權重值為0的目的路由預設為備鏈路。
您可以通過為IPsec串連配置健全狀態檢查來自動探測鏈路的連通性,在主鏈路不通的情況下,系統自動將流量切換至備鏈路進行傳輸,實現上雲鏈路的高可用。關於IPsec串連健全狀態檢查的更多資訊,請參見健全狀態檢查。
100(主)(預設值):表示當前目的路由關聯的IPsec串連為主鏈路。
0(備):表示當前目的路由關聯的IPsec串連為備鏈路。
說明指定主備鏈路時,主目的路由和備目的路由的目標網段需相同,下一跳需不同,權重值也需不同。
指定主備鏈路後,如果您需要修改主鏈路的權重值,需先將備鏈路刪除,待主鏈路修改完成後,再重新設定備鏈路。如果您需要修改備鏈路的權重值,也需先刪除主鏈路,待備鏈路修改完成後再重新設定主鏈路。
添加目的路由時,如果系統提示路由衝突,請參見在VPN網關執行個體下添加路由時系統提示路由重複等報錯時怎麼辦?。
發布目的路由
建立目的路由時,如果您未選擇將目的路由發布至VPC中,您可以通過本操作重新將目的路由發布至VPC中。系統僅會將路由發布至VPC系統路由表中,而不會發布至VPC自訂路由表中。
如果VPC自訂路由表中需要包含該路由,請您手動添加。具體操作,請參見添加自訂路由條目到自訂路由表。
登入VPN網關管理主控台。
- 在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,單擊目標VPN網關執行個體ID。
在目的路由表頁簽,找到目標路由條目,在操作列單擊發布。
在發布路由對話方塊,單擊確定。
目標路由發布後,您可以單擊撤銷發布,撤銷已經發布的路由。
重要如果您在策略路由表和目的路由表建立了目標網段相同的路由條目,並且這兩條路由條目被發布到同一個到VPC中,當您在目的路由表下撤銷發布該路由條目時,策略路由表下的該路由條目也會被同時撤銷發布。
編輯目的路由
添加目的路由後,您可以修改目的路由的權重值。
登入VPN網關管理主控台。
- 在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,單擊目標VPN網關執行個體ID。
在目的路由表頁簽,找到目標路由條目,在操作列單擊編輯。
在編輯面板,修改目的路由的權重值,然後單擊確定。
刪除目的路由
登入VPN網關管理主控台。
- 在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,單擊目標VPN網關執行個體ID。
在目的路由表頁簽,找到目標路由條目,在操作列單擊刪除。
在刪除路由條目對話方塊,單擊確定。
通過調用API配置目的路由
支援通過阿里雲 SDK(推薦)、阿里雲 CLI、Terraform、Resource Orchestration Service等工具調用API配置和管理目的路由。相關API說明,請參見: