VPN

产品文档

VPN

边界网关

基本概念

边界网关(BGW,Border Gateway),是京东智联云用来承载VPC南北向流量的一种网关,主要作用是与VPC或其它环境(如企业IDC)进行内网互通。

在边界网关支持创建VPC接口功能前,边界网关一旦创建、即自动与同地域的所有VPC连通。

随着边界网关的VPC接口功能上线,新建的边界网关默认不与任何VPC连通,用户需要创建"VPC接口”用于打通指定VPC和边界网关的互联;对于已经创建的边界网关,边界网关路由表内已有到VPC的路由仍然有效可用,但是不能新建到VPC的路由、除非先创建出与VPC关联的VPC接口。

目前边界网关承载的业务是专线连接、托管连接、VPN连接、VPC接口功能。

边界网关支持客户IDC和云VPC之间通信、云托管区和云VPC之间通信、同地域多个云VPC之间通信等。

默认情况下,连接到同一边界网关的专线通道、托管通道、VPN连接之间无法通过边界网关进行通信。

通过边界网关可访问的云资源:云VPC内的全部资源,包括云主机、容器、负载均衡、云数据库、云缓存等,但是不能利用VPC内的NAT网关统一互联网出口。

边界网关路由管理

路由表分类

京东智联云内开放给用户配置路由功能的网关/三层路由设备均具备如下几张路由表:

  • 有效路由表,存放实际生效路由条目的路由表(路由表中可能包括由系统自动生成的Local路由),数据包转发时按此表中的路由条目进行转发,不支持编辑;
  • 静态路由表,存放用户手工添加的静态路由(Static Route),支持编辑;
  • 传播路由表,目前存放两种来源的路由:一种是用户配置从其他网关等资源自动传播来的路由(如创建VPC接口时,将VPC网段路由添加到边界网关的传播路由表),不支持直接编辑,可通过修改相应资源的传播配置进行传播路由变更;另一种是通过动态路由协议BGP学习到的路由,BGP路由不支持在路由表中直接编辑,可通过在路由来源侧(BGP Peer侧)编辑后同步/收敛到BGP路由表。

有效路由规则匹配顺序

边界网关进行业务数据转发时,将依据其有效路由表内的路由规则进行逐项匹配、然后按照路由规则的下一跳信息将报文转发到相应的接口或者通道。其基本路由匹配和转发规则为:

  • 最长前缀匹配,即掩码长度最长前缀的路由匹配优先;
  • 等价路由,基于每个数据报文头的五元组(TCP/UDP)、三元组(ICMP)或源/目的IP(其他协议类型)进行hash选择不同下一跳路由进行转发,当以上条件完全相同,且存在多条不同下一跳地址的路由时,数据包按ECMP的方式进行转发。

有效路由表的路由来源

  • 根据静态路由表、传播路由表中的路由及其优先级,优选生效的路由条目,并存放到有效路由表中,实际的出流量按此路由表中的路由条目进行转发。数据包转发时,路由匹配遵循上文中“有效路由规则匹配顺序”原则处理。
  • 路由条目优选原则为:目的地(Destination)不同的路由直接存放,目的地相同的路由根据下一跳类型、路由类型、Metric计算出优先级最高的路由条目并存放到有效路由表中。目的地相同的路由的优先级计算方式详见下方的“路由优先级计算因素”和“路由优先级计算规则”。

路由优先级计算因素

路由优先级的计算分为几个不同的维度,综合计算所有维度后,得出该条路由的最终优先级,涉及的计算维度包括:

  • 下一跳类型,包括VPC接口(VPC Attachment)、VPN连接(VPN Connection)、专线通道(Private Virtual Interface)、托管通道(Hosted Private Virtual Interface)等,每种下一跳类型对应的优先级详见下方表格,下一跳类型数值越小,优先级越高;
  • 路由类型(管理距离,Administrative Distance),包括静态路由(Static)、内部传播(VPC传播)、外部协议动态学习(BGP路由),取值范围:0~255,管理距离数值越小,优先级越高;
  • 路由Metric,为路由指定所需跃点数的整数值(取值范围是:0~4,294,967,295 (32-bit Integer)),它用来在路由表里的多个路由中选择与转发包中的目标地址最为匹配的路由。所选的路由具有最少的跃点数。跃点数能够反映跃点的数量、路径的速度、路径可靠性、路径吞吐量以及管理属性等,对多种属性经过计算后生成。Metric数值越小,优先级越高。

路由优先级计算规则

  • 第一步,优选下一跳类型优先级最高的路由,若可以确定唯一的路由条目,则返回该路由。若存在多条优先级相同的路由,则继续下一因素的比较;
  • 第二步,优选路由类型优先级最高(路由协议管理距离数值最小)的路由,若可以确定唯一的路由条目,则返回该路由。若存在多条优先级相同的路由,则继续下一因素的比较;
  • 第三步,优选Metric优先级最高的路由,若可以确定唯一的路由条目,则返回该路由。若存在多条优先级相同的路由,则多条路由均为有效路由,多条路由之间以ECMP的方式转发数据包。
路由下一跳类型的优先级说明
下一跳网关名称 下一跳类型优先级
VPC Attachment(VPC接口)/VPC 100
Private Virtual Interface(专线通道/托管通道) 120
VPN Connection(VPN连接) 140
  说明:下一跳类型优先级数值越小,路由优先级越高。
路由类型的优先级说明(Administrative Distance,路由协议的管理距离)
路由类型 路由协议优先级
静态 100
内部传播(VPC接口传播) 120
EBGP 150
IBGP 200
  说明:路由协议优先级数值越小,路由优先级越高。
路由Metric优先级说明
  • 路由Metric数值越小,路由优先级越高。
  • 路由Metric目前支持BGP路由协议的AS_PATH属性,AS_PATH越短、Metric数值越小。
更新时间:2020-03-20 21:50:52
文档反馈 docs feedback