You need to enable JavaScript to run this app.
导航
VPN连接
  • 文档首页
    • /VPN连接/用户指南/路由管理/路由概述
路由概述
最近更新时间:2024.09.06 08:00:02首次发布时间:2021.08.31 10:37:07
我的收藏

IPsec连接创建完成后,您需要在IPsec连接绑定的VPN网关下,配置IPsec连接对端(本地数据中心或其他VPC)的路由,以提高路由的快速收敛和网络通信的质量。

说明

仅IPsec VPN需要配置VPN网关路由,SSL VPN无需配置VPN网关路由。

路由类型说明

IPsec VPN连接支持静态路由和动态路由两种路由传播模式,您可根据实际情况选择适合的路由传播模式。

路由传播类型使用场景路由变更成本对端设备要求推荐路由类型
静态路由适用于IPsec连接对端路由数量不多、路由不经常变更的场景。较高。IPsec连接对端路由发生变化,需要手动在VPN网关、VPC路由表中同步更新路由配置。无限制目的路由、感兴趣流均可,根据实际使用场景选择。
动态路由适用于IPsec连接对端路由数量较多、路由频繁变更的场景。低。动态路由使用BGP动态路由协议,如果IPsec连接对端路由发生变化,VPN网关侧会自动学习并同步发送到VPC侧,无需手动配置。对端网关设备需支持BGP动态路由协议推荐使用目的路由。如果IPsec连接的“路由模式”为“感兴趣流”并开启动态路由传播,仅在感兴趣流网段内的动态路由生效,不在感兴趣流网段内的动态路由不生效。

说明

VPN连接动态路由传播功能为邀测功能,仅开通后可使用,如需试用请联系客户经理。

路由优先级说明

VPN网关在转发流量时路由优先级遵循如下原则:

  • 最长掩码匹配原则。
    若流量匹配路由表时,流量的目的IP地址在多条路由条目的目标网段范围内,系统会根据路由最长掩码匹配原则(掩码越长,优先级越高)匹配掩码最长的路由条目。
  • 静态路由优先级高于动态路由匹配原则。
  • 最短AS_PATH匹配原则。
    相同目的网段的动态路由,AS_PATH长度越短,路由的优先级越高。

动态路由配置建议和使用限制

配置建议

  • 动态路由传播模式下,推荐使用目的路由。如果IPsec连接的“路由模式”为“感兴趣流”并开启动态路由传播,仅在感兴趣流网段内的动态路由生效,不在感兴趣流网段内的动态路由不生效。
  • 在使用同一个VPN网关创建多条IPsec连接的场景下,建议该VPN网关下的所有IPsec连接使用相同的路由传播模式,即全部IPsec连接均使用静态路由或均使用动态路由。
  • 请勿发送以下类型的路由,相关路由会占用VPN网关路由条目配额,而且可能会被VPC侧会拒收。
    • 目标网段为0.0.0.0/n的动态路由条目,包括0.0.0.0/0
    • 与VPN网关所在VPC的子网网段相同的动态路由条目。

使用限制

  • 禁止发送AS_PATH含有VPN网关ASN的环路路由。
  • VPN网关侧仅支持动态ECMP(等价多路径路由)路由,不支持静态ECMP路由。
  • 单个中转路由器实例、单个VPN网关,最多可支持16个IPsec连接的ECMP路由。
  • VPN网关侧可接收路由AS_PATH长度最长为29,VPN网关侧可发送路由AS_PATH长度最长为30。
  • 单个VPN网关路由表中最多可添加200(默认)条路由条目,超出的路由条目将会被丢弃。如果默认配额无法满足您的需求,请前往火山引擎配额中心提升相应配额,具体操作请参见管理配额
  • 发送大量动态路由可能会导致BGP连接中断。当通过VPN-IPsec发送动态路由超过1000条或通过TR-IPsec发送动态路由超过5000条时,BGP会直接断连并且在撤销多余路由后也无法连接。如果您需要发送大量动态路由,请提交工单

路由传递及配置要求

路由传播类型流量方向VPC侧本端VPN网关侧对端IDC或VPC侧

静态路由

下云方向

  • 如果VPC只有系统路由表,无需手动配置路由。在VPN网关路由配置成功后会自动向VPN网关所属VPC的系统路由表同步发布该条路由,将VPC中的流量路由到VPN网关。
  • 如果VPC除系统路由表外还有自定义路由表,并且该自定义路由表关联的子网需要通过VPN连接访问对端,需要手动在VPC的自定义路由表中添加路由。新添加的路由条目,目的网段为对端IDC或VPC网段、下一跳类型为“VPN网关”,具体操作,请参见添加路由条目

需要在VPN网关中添加去往对端IDC或VPC的路由。具体操作请参见添加VPN网关路由

  • VPN网关路由条目的目标网段,如果与私有网络系统路由表中路由条目的目标网段重叠,流量将按照掩码最大的路由条目进行转发。
  • VPN网关上的路由条目和私有网络系统路由表中对应的路由条目,都不允许修改。
  • 删除VPN网关路由后,会同步删除所有私有网络路由表中系统自动添加的、对应下一跳为该VPN网关的路由条目,路由表中手动添加的路由条目不会被删除。
  • 删除VPN网关后,会同步删除所有路由表中系统自动添加的、对应下一跳为该VPN网关的路由条目,路由表中手动添加的路由条目不会被删除。

无需配置

上云方向无需配置无需配置在对端IDC或VPC侧配置本地网关路由。具体操作可参考本地网关路由概述

动态路由

下云方向

无需配置

无需配置。

  • BGP连接建立成功后,VPN网关学习对端网关宣告的BGP路由,并同步到VPN网关所属VPC的所有路由表(系统路由表和自定义路由表)的系统路由中。
  • BGP连接建立成功后,VPN网关会学习所属VPC下对应系统路由的子网网段,并同步到对端网关。VPN网关不会学习VPC路由表中CEN同步的路由和自定义路由。

无需配置

  • BGP连接建立成功后,对端网关可自动向VPN网关传播本地路由。
  • BGP连接建立成功后,对端网关自动学习VPN网关侧传递的VPC的路由。
上云方向无需配置

查看路由信息

您可以在VPN网关、VPC路由表中分别查看对应的路由信息。

  • VPN网关中的路由信息,用于实现VPN网关到本地数据中心或其他私有网络的网络互通。

  • VPC路由表中的路由信息,用于实现本端私有网络到VPN网关之间的网络互通,更多介绍请参考路由表概述