为IPsec连接配置路由实现流量转发 - VPN网关

IPsec连接绑定转发路由器后，您还需要为IPsec连接配置本地数据中心的路由，来自转发路由器的流量进入IPsec连接后，IPsec连接将会通过查询路由信息向本地数据中心转发流量，以实现本地数据中心和转发路由器之间的流量互通。

背景信息

本地数据中心通过IPsec-VPN连接接入转发路由器时，您需要在转发路由器侧、IPsec连接侧、本地数据中心侧分别添加路由以实现本地数据中心和转发路由器之间流量互通。

配置路由时支持配置静态路由或通过BGP（Border Gateway Protocol）动态路由协议自动学习路由。下表为不同配置方式下的路由配置清单。

路由配置方式	流量方向	转发路由器	IPsec连接	本地数据中心
静态路由	去往本地数据中心	需为IPsec连接创建路由学习关系。转发路由器路由表与IPsec连接建立路由学习关系后，系统会将IPsec连接目的路由表中的路由自动传播至转发路由器路由表中。更多信息，请参见路由学习。	需要添加本地数据中心的路由。具体操作，请参见配置目的路由。	无需配置
静态路由	去往转发路由器	需为IPsec连接创建关联转发关系。转发路由器路由表与IPsec连接建立关联转发关系后，系统会通过查询转发路由器路由表中的路由信息转发来自IPsec连接的流量。更多信息，请参见关联转发。	无需配置 IPsec连接默认将来自本地数据中心的流量转发至转发路由器中。	需要添加转发路由器侧的路由，下一跳指向IPsec-VPN连接。
BGP动态路由	去往本地数据中心	需为IPsec连接创建路由学习关系。转发路由器路由表与IPsec连接建立路由学习关系后，系统会将IPsec连接BGP路由表中的路由自动传播至转发路由器路由表中。更多信息，请参见路由学习。	需要配置BGP动态路由协议。 BGP动态路由协议配置完成后，IPsec连接会自动学习到本地数据中心的路由，同时也会自动向本地数据中心传播转发路由器侧的路由。更多信息，请参见配置BGP动态路由。	需要配置BGP动态路由协议。 BGP动态路由协议配置完成后，本地数据中心可以向IPsec连接传播本地数据中心的路由，同时也可以自动学习到转发路由器侧的路由。
BGP动态路由	去往转发路由器	需为IPsec连接创建关联转发关系。转发路由器路由表与IPsec连接建立关联转发关系后，系统会通过查询转发路由器路由表中的路由信息转发来自IPsec连接的流量。更多信息，请参见关联转发。需要为IPsec连接开启路由同步功能。为IPsec连接开启路由同步功能后，系统会自动向IPsec连接的BGP路由表中同步转发路由器路由表中的路由。更多信息，请参见路由同步。

如何选择路由配置方式

确定IPsec连接所属地域是否支持BGP动态路由协议。如果IPsec连接所属地域不支持BGP动态路由协议，则需要选择静态路由方式。

说明

对于不支持BGP动态路由协议的地域，如果该地域已经支持双隧道模式的IPsec-VPN连接，则双隧道模式IPsec-VPN连接默认支持使用BGP动态路由功能。如果您之前已经在该地域创建了单隧道模式的IPsec-VPN连接，则单隧道模式的IPsec-VPN连接依旧不支持BGP动态路由协议。

单击查看支持BGP动态路由协议的地域。

区域	地域
亚太	华东1（杭州）、华东2（上海）、华北1（青岛）、华北2（北京）、华北3（张家口）、华北5（呼和浩特）、华南1（深圳）、中国香港、日本（东京）、新加坡、澳大利亚（悉尼）关停中、马来西亚（吉隆坡）、印度尼西亚（雅加达）
欧洲与美洲	德国（法兰克福）、英国（伦敦）、美国（弗吉尼亚）、美国（硅谷）
中东	阿联酋（迪拜）

确定本地数据中心网关设备的支持情况。如果本地数据中心网关设备支持BGP动态路由协议，您可以选择使用BGP动态路由方式。如果本地数据中心网关设备不支持BGP动态路由协议，则需要选择静态路由方式。
如果您的场景同时支持静态路由和BGP动态路由方式，请参见以下信息选择一种路由配置方式。

路由配置方式

适用场景

配置难度

路由维护成本

静态路由

适用于本地数据中心路由数量较少、路由变更不频繁的场景。

易

中

如果本地数据中心侧有路由变动，您需要在VPN网关侧手动变更路由配置。

BGP动态路由

适用于本地数据中心路由数量相对较多、路由变更频繁的场景。

易

低

如果本地数据中心侧有路由变动，VPN网关侧无需操作，BGP动态路由协议会依据BGP动态路由宣告原则实现路由的自动分发和学习。

路由配置建议

一个IPsec连接建议使用一种路由配置方式，不建议同时使用目的路由或BGP动态路由。
在使用双隧道模式的IPsec-VPN连接时，推荐使用BGP动态路由方式。如果需要使用静态路由方式，请确保本地网关设备支持配置静态ECMP路由，否则本地数据中心去往阿里云的流量无法通过ECMP路径进行传输，云上的流量却能通过ECMP路径传输至本地数据中心，可能会导致流量的传输路径不符合您的期望。
在使用双隧道模式的IPsec-VPN连接时，推荐您按照以下原则为IPsec-VPN连接添加路由配置，以提高IPsec-VPN连接的稳定性：
- 对于一个IPsec-VPN连接下的两条隧道，建议配置相同的路由协议，即仅为IPsec-VPN连接配置静态路由协议或为两条隧道同时配置BGP动态路由协议。
- 在IPsec-VPN连接配置BGP动态路由协议的情况下，两条隧道的本端自治系统号需保持相同，两条隧道对端的BGP AS号可以不相同，但建议保持相同

路由优先级原则

如果IPsec连接路由表下存在路由冲突，各路由的优先级如下表所示。

说明

路由优先级从高到低依次为：P0>P1>P2>P3。

路由类别	IPsec连接路由优先级
明细路由	P0
系统路由	P1
动态路由（BGP路由）	P2
静态路由（目的路由）	P3

配置路由

配置目的路由

配置目的路由时，需要指定目标网段和下一跳信息，IPsec连接将基于流量的目的IP地址去匹配目的路由，然后根据流量匹配到的目的路由转发流量。

前提条件

IPsec连接需已绑定转发路由器实例。支持以下两种方式创建绑定关系：

可在创建IPsec连接时直接绑定转发路由器实例。具体操作，请参见创建和管理IPsec连接（单隧道模式）。
如果您已经创建了未绑定任何资源的IPsec连接，可在云企业网管理控制台建立IPsec连接和转发路由器的绑定关系。具体操作，请参见创建VPN连接。
说明
如果IPsec连接已绑定VPN网关实例，则不再支持绑定转发路由器实例。

使用限制

不支持添加目标网段为0.0.0.0/0的目的路由。
请勿添加目标网段为100.64.0.0/10、100.64.0.0/10下的子网段或者包含100.64.0.0/10网段的目的路由，该类路由条目会导致控制台无法显示IPsec连接的状态或者导致IPsec连接协商失败。
创建双隧道模式的IPsec-VPN连接时，添加目的路由后，仅在隧道的连接状态为第二阶段协商成功时，系统才会把目的路由传播至转发路由器路由表中。

目的路由匹配原则

IPsec连接在转发流量时，默认按照最长掩码匹配原则为流量匹配目的路由。

配置步骤

添加目的路由

登录VPN网关管理控制台。
在顶部菜单栏，选择IPsec连接的地域。
在IPsec连接页面，找到目标IPsec连接，单击IPsec连接ID。
在目的路由表页签，单击添加路由条目。
在添加路由条目面板，根据以下信息配置目的路由，然后单击确定。
配置
说明
目标网段
输入本地数据中心侧的网段。
下一跳类型
选择IPsec连接。
下一跳
选择IPsec连接实例。

删除目的路由

登录VPN网关管理控制台。
在顶部菜单栏，选择IPsec连接的地域。
在IPsec连接页面，找到目标IPsec连接，单击IPsec连接ID。
在目的路由表页签，找到目的路由，在操作列单击删除。
在删除路由条目对话框，单击确定。

配置BGP动态路由

BGP是一种基于TCP协议的动态路由协议，主要应用于不同自治系统间交换路由信息和网络可达信息。您需要在IPsec连接侧和本地数据中心侧分别添加BGP配置，使IPsec连接和本地数据中心之间建立BGP邻居关系，双方建立BGP邻居关系后，可以自动学习对方的路由，降低网络维护成本和网络配置风险。

BGP动态路由宣告原则

IPsec连接和本地数据中心BGP动态路由配置完成后，BGP路由宣告原则如下：

云下到云上方向
本地数据中心在BGP路由协议中宣告本地的路由后，本地数据中心路由将通过BGP动态路由协议被自动传播至云上IPsec连接。在IPsec连接和转发路由器路由表建立路由学习关系后，系统会自动将IPsec连接BGP路由表下的路由传播至转发路由器路由表中。
云上到云下方向
在转发路由器侧为IPsec连接开启路由同步功能后，系统会将转发路由器路由表下的路由传播至IPsec连接BGP路由表中，IPsec连接会自动将BGP路由表下的路由传播至本地数据中心。

BGP使用限制

单个IPsec连接的BGP路由表默认支持的路由条目数为50条。如需提升配额，请提交工单。
请勿通过BGP动态路由协议向IPsec连接传播100.64.0.0/10网段、100.64.0.0/10网段下的子网段或者包含100.64.0.0/10网段的路由，该类路由条目会导致VPN网关管理控制台无法显示IPsec连接的状态或者导致IPsec连接协商失败。
IPsec连接绑定转发路由器实例后，本地网关设备和转发路由器实例之间支持通过BGP动态路由传播目标网段为0.0.0.0/0的路由条目。
如果您使用物理专线和IPsec连接以主备的方式将本地数据中心接入转发路由器，为避免本地数据中心网络路由震荡，请确保边界路由器和IPsec连接配置的本地数据中心的自治系统号一致。

BGP动态路由配置步骤

在用户网关实例下指定本地数据中心的自治系统号。具体操作，请参见创建和管理用户网关。
- 如果创建用户网关时，您未指定本地数据中心的自治系统号，需删除用户网关重新创建。
- 用户网关创建完成后不支持修改，如果您需要修改本地数据中心的自治系统号，请删除用户网关重新创建。

为IPsec连接开启BGP功能，并添加BGP动态路由配置。具体操作，请参见创建和管理IPsec连接（单隧道模式）。

下表仅列举BGP动态路由强相关的内容。

重要

IPsec连接的路由模式推荐使用目的路由模式。

配置项	说明
用户网关	选择包含本地数据中心自治系统号的用户网关实例。
启用BGP	选择开启BGP功能。
本端自治系统号	输入隧道本端的自治系统号。默认值：45104。自治系统号取值范围：1~4294967295。支持按照两段位的格式进行输入，即：前16位比特.后16位比特。每个段位使用十进制输入。例如输入123.456，则表示自治系统号：123*65536+456=8061384。
隧道网段	输入隧道的网段。隧道网段需要是在169.254.0.0/16内的子网掩码为30的网段，且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。说明一个IPsec连接下两个隧道的隧道网段不能相同。
本端BGP地址	输入隧道本端的BGP IP地址。该地址为隧道网段内的一个IP地址。

VPN网关：配置IPsec连接路由