阿里云侧健康检查的源IP地址

1. 如果采用自定义源IP的方式, 假设系统自动生成的源IP是100.96.1.2, 请问需要在客户侧的出口路由器/网关设备上配置到这个地址的回程路由吗? 如果需要, 应该怎么配置? 如果不需要, 为什么不需要?(当云侧以100.96.1.2为源地址探测客户侧的VBR互联地址10.0.0.2时, 客户侧的网关设备能够恢复报文吗?)---这里您指的应该是自动生成源ip的方式吧。

如何配置：需要在IDC的出口设备上新增一条静态路由，目的地址是100.96.1.2。专线健康检查主要是为了实现由云上控制器来实现主备专线路由的切换动作，最终实现高可靠。故无论是静态路由还是BGP动态路由，都建议配置上健康检查。

1. 如果采用自定义源IP的方式, 仍然是这个问题: 是否需要在客户侧的出口路由器/网关设备上配置到这个地址的回程路由?---参考第一条答案，目的地址为您创建的VPC subnet即可。
2. 源IP究竟位于哪里? 在VBR上还是在vRouter上或者VPC里面?---自动生成源ip是在阿里云一个保留ip地址池100.96.0.0/12里头，这个您可以理解为一个阿里云上公共VPC，自定义源ip其实就是用户自己创建的VPC内部的某个私网地址。
3. 既然VBR实例在客户侧与阿里云侧都有同网段的互联IP(本案例中是10.0.0.1、10.0.0.2), 为什么不用这个互联IP来执行健康检查呢?---健康检查的目的是实现IDC和云上VPC全链路端到端的互通性检查，最终也代表业务是否可通。如果仅仅是专线两端的检测，那只能代表从IDC到阿里云接入端口这一段线路是否联通，但阿里云接入端口到云上VPC内的ecs这一段是没有检查的，所以意义不大。

针对问题1.2，需要在客户侧的出口路由器/网关设备上配置到这个地址的回程路由吗?  ---- 需要依据VBR实例使用的路由类型做判断，如果VBR实例使用的是静态路由，那么需要在出口路由器/网关设备上配置回程路由。如果VBR实例使用的是BGP路由，那么不需要在出口路由器/网关设备上手动添加路由配置，CEN会自动下发源IP地址的路由给VBR实例，然后VBR实例可以通过BGP路由协议自动将源IP地址的路由发布到给客户的出口路由器/网关设备上。 回程路由配置方式的话，根据客户出口路由器/网关设备所属的厂商不一样，配置命令也可能不一样。CEN的文档里有给一个示例。

VBR上连健康检查配置请参考：https://help.aliyun.com/document_detail/96993.html

通过VBR上连静态路由的方式

通过VBR上连静态路由方式配置健康检查时，您需要在VBR侧配置健康检查源地址的掩码为/32位的路由指向下一跳VPC，同时需要在IDC侧手动配置健康检查源地址的掩码为/32位的路由指向对应的物理专线，否则健康检查探测ping报文无法正常从被探测专线原路返回，导致阿里云侧误判链路不可用。

通过VBR上连BGP路由的方式

通过VBR上连BGP路由的方式配置健康检查时，您需要在VBR侧配置健康检查源地址的掩码为/32位的路由指向下一跳VPC，配置完成后您需要在VBR侧宣告BGP网段中配置指向下一跳VPC的该健康检查源地址掩码为/32位的路由。

VBR加入CEN/TR健康检查配置请参考：https://help.aliyun.com/document_detail/181694.html

如果您的VBR实例使用的是边界路由协议BGP（Border Gateway Protocol）协议，配置健康检查后阿里云侧默认会将健康检查源地址通过掩码为32位路由方式宣告给本地数据中心，您无需再在本地数据中心侧配置健康检查探测报文的回程路由。

如果您的VBR实例使用的是静态路由，您必须在本地数据中心手动配置目标网段为健康检查源地址，子网掩码为32位，下一跳指向对应物理专线的路由条目，否则健康检查探测ping报文无法正常从被探测物理专线原路返回，会导致阿里云误判物理专线链路不可用。

问题3：源IP位于专线网关

问题4：源地址在专线网关上，所以不能使用VBR阿里云侧互联IP