建立策略路由後,VPN網關執行個體將基於流量的源IP地址和目的IP地址匹配策略路由,然後根據流量匹配到的策略路由轉寄流量。
前提條件
配置策略路由前,VPN網關執行個體下需已建立了IPsec串連。具體操作,請參見建立和管理IPsec串連(單隧道模式)或建立和管理IPsec串連(雙隧道模式)。
使用限制
不支援添加目標網段為0.0.0.0/0的策略路由。
請勿添加目標網段為100.64.0.0/10、100.64.0.0/10下的子網段或者包含100.64.0.0/10網段的策略路由,該類策略路由會導致控制台無法顯示IPsec串連的狀態或者導致IPsec串連協商失敗。
策略路由的優先順序高於目的路由以及BGP路由。
策略路由匹配規則(包含策略優先順序)
目前,僅新建立的VPN網關執行個體支援為策略路由配置策略優先順序。如果您的VPN網關執行個體不支援為策略路由配置策略優先順序,關於策略路由的匹配規則請參見策略路由匹配規則(不包含策略優先順序)。
VPN網關在轉寄流量時,按照以下規則為流量匹配策略路由:
系統預設按照策略路由的策略優先順序從高到低(策略優先順序數字越小,優先順序越高)逐條匹配策略路由,然後按照匹配到策略路由轉寄流量。
如果VPN網關執行個體配置了主備策略路由,僅生效的策略路由參與匹配過程,不生效的策略路由不會參與匹配過程。主備策略路由生效規則說明如下:
如果系統檢測到主策略路由關聯的IPsec串連是連通的(IPsec串連協商成功且健全狀態檢查正常),則主策略路由生效,備策略路由不生效。
如果系統檢測到主策略路由關聯的IPsec串連不通(IPsec串連協商失敗或者IPsec串連協商成功但健全狀態檢查異常)但備策略路由關聯的IPsec串連是連通的,則備策略路由生效,主策略路由不生效。
如果系統檢測到主策略路由和備策略路由關聯的IPsec串連均不通,則系統預設主策略路由生效,備策略路由不生效。
如果流量匹配到了多條策略優先順序相同的策略路由,則系統會按照策略路由的順序逐條匹配路由,一旦能夠匹配到策略路由,立即按照當前策略路由轉寄流量。
策略路由的順序由策略路由被下發至系統的時間決定。通常是先配置的策略路由被優先下發至系統,但當前情況無法完全保證,因此有可能存在後配置的策略路由被優先下發至系統,造成後配置的策略路由的優先順序高於先配置的策略路由的優先順序。
策略路由配置建議
為確保流量按照您期望的路徑進行轉寄,在配置策略路由時,建議您為每條策略路由配置不同的策略優先順序以保證流量僅可匹配到一條策略路由。
如果VPN網關執行個體需要配置主備策略路由,則主備策略路由建議配置相同的策略優先順序。
策略路由匹配規則樣本
如上圖所示,本地IDC_1通過IPsec串連1和VPC_1互連,本地IDC_2通過IPsec串連2和VPC_1互連。本地IDC_1待互連網段為192.168.1.0/24和192.168.2.0/24,本地IDC_2待互連網段為192.168.5.0/24,VPC_1待互連網段為172.16.0.0/16。
在配置策略路由時,您首先配置了VPC_1去往本地IDC_2的路由,然後將VPC_1去往本地IDC_1的路由的目標網段彙總為192.168.0.0/21進行配置,兩條策略路由的策略優先順序相同。配置完成後,策略路由並未按照您的配置順序被下發至系統,導致策略路由表各策略路由條目的順序發生了變化,如下表所示。
策略路由順序 | 策略路由的策略優先順序 | 策略路由被下發至系統的時間 | 目標網段 | 源網段 | 下一跳 |
1 | 10 | 2022-12-01:12:01:01 | 192.168.0.0/21 | 172.16.0.0/16 | IPsec串連1 |
2 | 10 | 2022-12-01:12:01:02 | 192.168.5.0/24 | 172.16.0.0/16 | IPsec串連2 |
上表中“策略路由被下發至系統的時間”由系統後台自動記錄,在VPN網關管理主控台並不顯示,此處僅作樣本使用。
由於兩條策略路由的策略優先順序相同,VPN網關在轉寄VPC_1去往本地IDC_2的流量時,會按照策略路由的順序逐條匹配路由,經系統分析VPC_1去往本地IDC_2的流量可以匹配上順序為1的策略路由,則VPC_1去往本地IDC_2的流量會通過IPsec串連1被轉寄至本地IDC_1中。
在上述情境中策略路由被下發至系統的時間不可控,導致策略路由未按照期望的順序進行排列,進而導致流量未按照期望的路徑進行轉寄。為了避免上述現象,在配置策略路由時,建議您為策略路由配置不同的策略優先順序,以確保流量僅可匹配到一條策略路由,不受策略路由順序的影響。
在本樣本中,建議您配置如下表所示的策略路由,雖然順序為1的策略路由被先下發至系統,但是順序為1的策略路由的策略優先順序較低,VPN網關在轉寄VPC_1去往本地IDC_2的流量時,流量會優先匹配到順序為2的策略路由,流量會按照期望的路徑被轉寄至本地IDC_2。
策略路由順序 | 策略路由的策略優先順序 | 策略路由被下發至系統的時間 | 目標網段 | 源網段 | 下一跳 |
1 | 20 | 2022-12-01:12:01:01 | 192.168.0.0/21 | 172.16.0.0/16 | IPsec串連1 |
2 | 10 | 2022-12-01:12:01:02 | 192.168.5.0/24 | 172.16.0.0/16 | IPsec串連2 |
策略路由匹配規則(不包含策略優先順序)
目前,僅新建立的VPN網關執行個體支援為策略路由配置策略優先順序。如果您的VPN網關執行個體不支援為策略路由配置策略優先順序,關於策略路由的匹配規則請參見本部分內容。
您可以對VPN網關執行個體進行升級,升級後的VPN網關執行個體預設支援為策略路由配置策略優先順序。具體操作,請參見升級VPN網關。
在VPN網關轉寄流量時,不按照最長掩碼匹配規則匹配策略路由,VPN網關會按照策略路由的順序逐條匹配路由,一旦能夠匹配到策略路由,立即按照當前策略路由轉寄流量。
策略路由的順序由策略路由被下發至系統的時間決定。通常是先配置的策略路由被優先下發至系統,但當前情況無法完全保證,因此有可能存在後配置的策略路由被優先下發至系統,造成後配置的策略路由的優先順序高於先配置的策略路由的優先順序。
如果VPN網關執行個體配置了主備策略路由,僅生效的策略路由參與匹配過程,不生效的策略路由不會參與匹配過程。主備策略路由生效規則說明如下:
如果系統檢測到主策略路由關聯的IPsec串連是連通的(IPsec串連協商成功且健全狀態檢查正常),則主策略路由生效,備策略路由不生效。
如果系統檢測到主策略路由關聯的IPsec串連不通(IPsec串連協商失敗或者IPsec串連協商成功但健全狀態檢查異常)但備策略路由關聯的IPsec串連是連通的,則備策略路由生效,主策略路由不生效。
如果系統檢測到主策略路由和備策略路由關聯的IPsec串連均不通,則系統預設主策略路由生效,備策略路由不生效。
策略路由配置建議
為確保流量按照您期望的路徑進行轉寄,在您配置策略路由時,請盡量添加精確的策略路由以保證流量僅可匹配到一條策略路由。
策略路由匹配規則樣本
如上圖所示,本地IDC_1通過IPsec串連1和VPC_1互連,本地IDC_2通過IPsec串連2和VPC_1互連。本地IDC_1待互連網段為192.168.1.0/24和192.168.2.0/24,本地IDC_2待互連網段為192.168.5.0/24,VPC_1待互連網段為172.16.0.0/16。
在配置策略路由時,您首先配置了VPC_1去往本地IDC_2的路由,然後將VPC_1去往本地IDC_1的路由的目標網段彙總為192.168.0.0/21進行配置,配置完成後,策略路由並未按照您的配置順序被下發至系統,導致策略路由表各策略路由條目的順序發生了變化,如下表所示。
策略路由順序 | 策略路由被下發至系統的時間 | 目標網段 | 源網段 | 下一跳 |
1 | 2022-12-01:12:01:01 | 192.168.0.0/21 | 172.16.0.0/16 | IPsec串連1 |
2 | 2022-12-01:12:01:02 | 192.168.5.0/24 | 172.16.0.0/16 | IPsec串連2 |
VPN網關在轉寄VPC_1去往本地IDC_2的流量時,會按照策略路由的順序逐條匹配路由,經系統分析VPC_1去往本地IDC_2的流量可以匹配上順序為1的策略路由,則VPC_1去往本地IDC_2的流量會通過IPsec串連1被轉寄至本地IDC_1中。
在上述情境中由於策略路由被下發至系統的時間不可控,導致策略路由未按照期望的順序進行排列,進而導致流量未按照期望的路徑進行轉寄。為了避免上述現象,在配置策略路由時,建議您盡量配置精確的策略路由,以確保流量僅可匹配到一條策略路由,不受策略路由順序的影響。
在本樣本中,建議您配置如下表所示的策略路由,VPN網關在轉寄VPC_1去往本地IDC_2的流量時,流量僅會匹配到順序為2的策略路由,流量會按照期望的路徑被轉寄至本地IDC_2。
策略路由順序 | 策略路由被下發至系統的時間 | 目標網段 | 源網段 | 下一跳 |
1 | 2022-12-01:12:01:01 | 192.168.1.0/24 | 172.16.0.0/16 | IPsec串連1 |
2 | 2022-12-01:12:01:02 | 192.168.5.0/24 | 172.16.0.0/16 | IPsec串連2 |
3 | 2022-12-01:12:01:03 | 192.168.2.0/24 | 172.16.0.0/16 | IPsec串連1 |
上表中“策略路由被下發至系統的時間”由系統後台自動記錄,在VPN網關管理主控台並不顯示,此處僅作樣本使用。
添加策略路由
登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,單擊目標VPN網關執行個體ID。
在VPN網關執行個體詳情頁面單擊策略路由表頁簽,然後單擊添加路由條目。
在添加路由條目面板,根據以下資訊配置策略路由,然後單擊確定。
配置
說明
目標網段
輸入要訪問的本機資料中心的私網網段。
源網段
輸入VPN網關執行個體關聯的VPC側的私網網段。
下一跳類型
選擇IPsec串連。
下一跳
選擇需要建立IPsec-VPN串連的IPsec串連。
發布到 VPC
選擇是否將新添加的路由發布到VPC路由表。
是(推薦):將新添加的路由發布到VPC路由表。
否:不發布新添加的路由到VPC路由表。
如果您選擇否,添加策略路由後,您還需在策略路由表中發布路由。具體操作,請參見發布策略路由。
重要如果您在策略路由表和目的路由表建立了目標網段相同的路由條目,並且這兩條路由條目被發布到同一個到VPC中,當您在策略路由表下撤銷發布該路由條目時,目的路由表下的該路由條目也會被同時撤銷發布。
權重
選擇策略路由的權重值。
在您使用同一個VPN網關執行個體搭建主備IPsec-VPN串連的情境中,您可以通過配置策略路由的權重值來指定主鏈路和備鏈路,權重值為100的策略路由預設為主鏈路,權重值為0的策略路由預設為備鏈路。
您可以通過為IPsec串連配置健全狀態檢查來自動探測鏈路的連通性,在主鏈路不通的情況下,系統自動將流量切換至備鏈路進行傳輸,實現上雲鏈路的高可用。關於IPsec串連健全狀態檢查的更多資訊,請參見健全狀態檢查。
100(主)(預設值):表示當前策略路由關聯的IPsec串連為主鏈路。
0(備):表示當前策略路由關聯的IPsec串連為備鏈路。
重要在您指定主備鏈路時,主策略路由和備策略路由的源網段和目標網段需相同。
策略優先順序
選擇策略路由的優先順序。取值範圍:1~100。預設值:10。
添加策略路由時,如果系統提示路由衝突,請參見在VPN網關執行個體下添加路由時系統提示路由重複等報錯時怎麼辦?。
發布策略路由
在您建立IPsec串連時,您可以選擇路由模式。如果您選擇了感興趣流模式,在IPsec串連建立完成後,系統會自動為您的VPN網關建立策略路由,路由是未發布狀態。您可以執行本操作,將路由發布到VPC路由表中。
登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,單擊目標VPN網關執行個體ID。
在VPN網關執行個體詳情頁面單擊策略路由表頁簽,找到目標路由條目,在操作列單擊發布。
在發布路由對話方塊,單擊確定。
目標路由發布後,您可以單擊撤銷發布,撤銷已經發布的路由。
重要如果您在策略路由表和目的路由表建立了目標網段相同的路由條目,並且這兩條路由條目被發布到同一個到VPC中,當您在策略路由表下撤銷發布該路由條目時,目的路由表下的該路由條目也會被同時撤銷發布。
編輯策略路由
添加策略路由後,您可以修改策略路由的權重值和策略優先順序。
登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,單擊目標VPN網關執行個體ID。
在VPN網關執行個體詳情頁面單擊策略路由表頁簽,找到目標路由條目,在操作列單擊編輯。
在編輯面板,修改策略路由的權重值和策略優先順序,然後單擊確定。
刪除策略路由
登入VPN網關管理主控台。
在頂部功能表列,選擇VPN網關執行個體的地區。
在VPN網關頁面,單擊目標VPN網關執行個體ID。
在VPN網關執行個體詳情頁面單擊策略路由表頁簽,找到目標路由條目,在操作列單擊刪除。
在刪除路由條目對話方塊,單擊確定。
通過調用API配置策略路由
支援通過阿里雲 SDK(推薦)、阿里雲 CLI、Terraform、Resource Orchestration Service等工具調用API配置和管理原則路由。相關API說明,請參見:
CreateVpnPbrRouteEntry:建立策略路由。
DeleteVpnPbrRouteEntry:刪除策略路由。
ModifyVpnPbrRouteEntryWeight:修改策略路由的權重值。
ModifyVpnPbrRouteEntryPriority:修改策略路由的策略優先順序。
ModifyVpnPbrRouteEntryAttribute:修改策略路由的權重值和策略優先順序。
DescribeVpnPbrRouteEntries:查詢已配置的策略路由。