VPN网关支持BGP(Border Gateway Protocol)动态路由功能,云上云下建立IPsec-VPN连接后,可以通过BGP动态路由协议自动学习对方路由实现资源互通,降低网络维护成本和网络配置风险。
支持BGP动态路由功能的地域
区域 | 地域 |
亚太 | 华东1(杭州)、华东2(上海)、华北1(青岛)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)、华南1(深圳)、中国香港、日本(东京)、新加坡、马来西亚(吉隆坡)、印度尼西亚(雅加达) |
欧洲与美洲 | 德国(法兰克福)、英国(伦敦)、美国(弗吉尼亚)、美国(硅谷) |
中东 | 阿联酋(迪拜) |
BGP动态路由宣告原则
VPN网关和本地数据中心BGP动态路由配置完成后,BGP路由宣告原则如下:
云下到云上方向
本地数据中心在BGP路由协议中宣告本地的路由后,本地数据中心路由将通过BGP动态路由协议被自动传播至云上VPN网关。如果云上VPN网关开启了BGP路由自动传播功能,则云上VPN网关会将学习到的BGP路由自动传播到VPC的系统路由表中,而不会传播到VPC的自定义路由表中。
云上到云下方向
云上VPN网关通过BGP路由协议自动学习VPC系统路由表中的系统路由条目,并自动传播给本地数据中心,而不会学习VPC自定义路由表中的系统路由条目。
BGP动态路由使用限制
单个VPN网关的BGP路由表默认支持的路由条目数为50条。如需提升配额,请提交工单。
VPN网关不接收BGP邻居发布过来的目标网段为0.0.0.0/0的路由条目。
请勿通过BGP动态路由协议向VPN网关传播100.64.0.0/10网段、100.64.0.0/10网段下的子网段或者包含100.64.0.0/10网段的路由,该类路由条目会导致VPN网关管理控制台无法显示IPsec连接的状态或者导致IPsec连接协商失败。
同一个VPN网关实例中多个IPsec连接同时启用BGP动态路由功能后,多个IPsec连接的本端自治系统号(ASN)需相同。
如果同一个VPN网关与不同本地数据中心建立IPsec-VPN连接,禁止将不同IPsec-VPN连接的路由互导。
如果一个VPC关联了多个VPN网关,则VPN网关之间不支持建立BGP邻居关系,且禁止将不同VPN网关的路由互导。
在一个VPC关联多个VPN网关,多个VPN网关均启用BGP动态路由功能的场景下,如果多个VPN网关关联的用户网关相同,则VPN网关下IPsec连接的本端自治系统号需相同,否则可能会产生环路。
如果您使用物理专线和VPN网关以主备的方式将本地数据中心接入VPC,为避免本地数据中心网络路由震荡,请确保边界路由器和VPN网关配置的本地数据中心的自治系统号一致。
VPN网关启用BGP动态路由功能后,如果VPN网关关联的VPC加入了云企业网,则云企业网需开启路由重叠功能。
说明2019年03月01日后创建的云企业网实例,默认开启重叠路由功能。具体开启步骤,请参见开启重叠路由功能。
如果有多个VPC加载到同一云企业网,为避免云上网络路由震荡,请确保VPC关联的VPN网关未使用BGP路由协议建立连接。
对于一个VPN网关下存在多个双隧道模式IPsec-VPN连接的场景,如果为多个IPsec-VPN连接同时配置了BGP动态路由,则VPN网关侧通过多条IPsec-VPN连接学习到的路由条目的目标网段之间不能冲突,否则会影响路由生效。
BGP动态路由配置建议
IPsec连接的路由模式推荐使用目的路由模式。
为双隧道模式的IPsec连接配置BGP动态路由时,两条隧道的本端自治系统号需保持相同,两条隧道对端的BGP AS号可以不相同,但建议保持相同。
BGP动态路由配置步骤
在用户网关实例下指定本地数据中心的自治系统号。具体操作,请参见创建和管理用户网关。
如果创建用户网关时,您未指定本地数据中心的自治系统号,需删除用户网关重新创建。
用户网关创建完成后不支持修改,如果您需要修改本地数据中心的自治系统号,请删除用户网关重新创建。
为IPsec连接开启BGP功能,并添加BGP动态路由配置。具体操作,请参见创建和管理IPsec连接(双隧道模式)。
下表仅列举BGP动态路由强相关的内容。
说明为双隧道模式的IPsec连接开启BGP功能时,配置项顺序和下表会有所不同,您需要分别为主备隧道选择用户网关并添加BGP配置,请以控制台为准。
配置BGP动态路由时如果系统提示当前VPN网关版本不支持,请先升级VPN网关实例版本,具体操作,请参见升级VPN网关。
配置项
说明
用户网关
选择包含本地数据中心自治系统号的用户网关实例。
启用BGP
选择开启BGP功能。
本端自治系统号
输入隧道本端的自治系统号。默认值:45104。自治系统号取值范围:1~4294967295。
隧道网段
输入隧道的网段。
隧道网段需要是在169.254.0.0/16内的子网掩码为30的网段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。
说明一个VPN网关实例下,每个隧道的网段需保持唯一。
本端BGP地址
输入隧道本端的BGP IP地址。
该地址为隧道网段内的一个IP地址。
为VPN网关实例开启BGP路由自动传播。
VPN网关开启BGP路由自动传播功能后,才会将学习到的BGP路由自动传播到VPC的系统路由表。
登录VPN网关管理控制台。
在左侧导航栏选择
。在VPN网关页面,找到目标VPN网关实例,在路由自动传播列开启路由自动传播功能。