全部產品
Search

搜尋本產品

    VPN Gateway:配置目的路由

    文件中心

    VPN Gateway:配置目的路由

    更新時間:Jun 30, 2024

    建立目的路由後,VPN網關執行個體將基於流量的目的IP地址匹配目的路由,然後根據流量匹配到的目的路由轉寄流量。

    前提條件

    配置目的路由前,VPN網關執行個體下需已建立了IPsec串連。具體操作,請參見建立和管理IPsec串連(單隧道模式)建立和管理IPsec串連(雙隧道模式)

    使用限制

    • 不支援添加目標網段為0.0.0.0/0的目的路由。

    • 請勿添加目標網段為100.64.0.0/10、100.64.0.0/10下的子網段或者包含100.64.0.0/10網段的目的路由,該類路由條目會導致控制台無法顯示IPsec串連的狀態或者導致IPsec串連協商失敗。

    目的路由匹配原則

    VPN網關在轉寄流量時,預設按照最長掩碼匹配原則為流量匹配目的路由。

    如果VPN網關執行個體配置了主備目的路由,僅生效的目的路由參與匹配過程,不生效的目的路由不會參與匹配過程。主備目的路由生效規則說明如下:

    • 如果系統檢測到主目的路由關聯的IPsec串連是連通的(IPsec串連協商成功且健全狀態檢查正常),則主目的路由生效,備目的路由不生效。

    • 如果系統檢測到主目的路由關聯的IPsec串連不通(IPsec串連協商失敗或者IPsec串連協商成功但健全狀態檢查異常)但備目的路由關聯的IPsec串連是連通的,則備目的路由生效,主目的路由不生效。

    • 如果系統檢測到主目的路由和備目的路由關聯的IPsec串連均不通,則系統預設主目的路由生效,備目的路由不生效。

    例如VPN網關執行個體目的路由表下存在以下兩條目的路由,VPN網關接收到資料包後,將根據資料包的目的IP地址匹配目的路由,假設資料包的目的IP地址為10.10.10.0/24,則該資料包可以同時匹配以下兩條目的路由,但是路由條目2的子網路遮罩位元為16,路由條目的子網路遮罩位元為8,根據最長掩碼匹配原則,VPN網關將依據路由條目2轉寄該資料包。

    路由條目名稱

    目標網段

    下一跳

    權重

    路由條目1

    10.0.0.0/8

    IPsec串連1

    100

    路由條目2

    10.10.0.0/16

    IPsec串連2

    100

    添加目的路由

    1. 登入VPN網關管理主控台

    2. 在頂部功能表列,選擇VPN網關執行個體的地區。

    3. VPN網關頁面,單擊目標VPN網關執行個體ID。

    4. 目的路由表頁簽,單擊添加路由條目

    5. 添加路由條目面板,根據以下資訊配置目的路由,然後單擊確定

      配置

      說明

      目標網段

      輸入要訪問的本機資料中心的私網網段。

      下一跳類型

      選擇IPsec串連。

      下一跳

      選擇需要建立IPsec-VPN串連的IPsec串連。

      發布到 VPC

      選擇是否將新添加的路由發布到VPC的系統路由表。

      • (推薦):將新添加的路由發布到VPC的系統路由表。

      • :不發布新添加的路由到VPC系統路由表。

        如果您選擇,添加目的路由後,您還需在目的路由表中發布路由。具體操作,請參見發布目的路由

      重要

      如果您在策略路由表和目的路由表建立了目標網段相同的路由條目,並且這兩條路由條目被發布到同一個到VPC中,當您在目的路由表下撤銷發布該路由條目時,策略路由表下的該路由條目也會被同時撤銷發布。

      權重

      選擇目的路由的權重值。

      在您使用同一個VPN網關執行個體搭建主備IPsec-VPN串連的情境中,您可以通過配置目的路由的權重值來指定主鏈路和備鏈路,權重值為100的目的路由預設為主鏈路,權重值為0的目的路由預設為備鏈路。

      您可以通過為IPsec串連配置健全狀態檢查來自動探測鏈路的連通性,在主鏈路不通的情況下,系統自動將流量切換至備鏈路進行傳輸,實現上雲鏈路的高可用。關於IPsec串連健全狀態檢查的更多資訊,請參見健全狀態檢查

      • 100(主)(預設值):表示當前目的路由關聯的IPsec串連為主鏈路。

      • 0(備):表示當前目的路由關聯的IPsec串連為備鏈路。

      說明

      • 指定主備鏈路時,主目的路由和備目的路由的目標網段需相同,下一跳需不同,權重值也需不同。

      • 指定主備鏈路後,如果您需要修改主鏈路的權重值,需先將備鏈路刪除,待主鏈路修改完成後,再重新設定備鏈路。如果您需要修改備鏈路的權重值,也需先刪除主鏈路,待備鏈路修改完成後再重新設定主鏈路。

      添加目的路由時,如果系統提示路由衝突,請參見在VPN網關執行個體下添加路由時系統提示路由重複等報錯時怎麼辦?

    發布目的路由

    1. 登入VPN網關管理主控台

    2. 在頂部功能表列,選擇VPN網關執行個體的地區。

    3. VPN網關頁面,單擊目標VPN網關執行個體ID。

    4. 目的路由表頁簽,找到目標路由條目,在操作列單擊發布

    5. 發布路由對話方塊,單擊確定

      目標路由發布後,您可以單擊撤銷發布,撤銷已經發布的路由。

      重要

      如果您在策略路由表和目的路由表建立了目標網段相同的路由條目,並且這兩條路由條目被發布到同一個到VPC中,當您在目的路由表下撤銷發布該路由條目時,策略路由表下的該路由條目也會被同時撤銷發布。

    編輯目的路由

    添加目的路由後,您可以修改目的路由的權重值。

    1. 登入VPN網關管理主控台

    2. 在頂部功能表列,選擇VPN網關執行個體的地區。

    3. VPN網關頁面,單擊目標VPN網關執行個體ID。

    4. 目的路由表頁簽,找到目標路由條目,在操作列單擊編輯

    5. 在編輯面板,修改目的路由的權重值,然後單擊確定

    刪除目的路由

    1. 登入VPN網關管理主控台

    2. 在頂部功能表列,選擇VPN網關執行個體的地區。

    3. VPN網關頁面,單擊目標VPN網關執行個體ID。

    4. 目的路由表頁簽,找到目標路由條目,在操作列單擊刪除

    5. 刪除路由條目對話方塊,單擊確定

    通過調用API配置目的路由

    支援通過阿里雲 SDK(推薦)阿里雲 CLITerraformResource Orchestration Service等工具調用API配置和管理目的路由。相關API說明,請參見: