《企业运维之云上网络原理与实践》——第五章 云上网络互连——云上网络互连(中)(上) https://developer.aliyun.com/article/1230395?groupCode=supportservice
3. 关联转发&路由学习
通过两个示例来详细解释关联转发路径和路由学习。
1) 示例一
在这个示例中有两个VPC,杭州VPC1和杭州VPC2,两个路由表A&B。
• 杭州VPC1经VPC Attachment关联转发到路由表A,在路由表中通过路由学习将下一跳指定为杭州VPC2,因此杭州VPC1的流量就转入杭州VPC2;
• 杭州VPC2流量通过关联转发到路由表B,路由表通过路由学习选择下一跳到杭州VPC1,因此杭州VPC2流量回转到杭州VPC1。
2) 示例二
在这个示例中只有一个默认路由表,2个VPC(杭州VPC1&VPC2),1个本地IDC(杭州),1个杭州TR和1个跨地域TR(新加坡转发路由器)。
• 在杭州VPC1和杭州TR之间引入路由策略,其目的是阻止路由表学习VPC1的10.1.4.0/24网段路由,因此在路由表目标网段中没有这个网段列表,这一网段与云企业网不连接;
• 也可以通过关闭自动学习,自定义设置学习网段的方式来实现这一目的。
4. TR的路由传播过程
TR路由表传播到其他节点(VPC/VBR/CCN/跨地域TR)时,应用以下规则:
• TR任何路由表都不传播到VPC中,VPC路由表需要用户自行配置;
• 只有Attachment所关联的路由表才能被传播;
• 从一个Attachment学来的路由不会被发布给这个Attachment。
TR路由表从其他节点(VPC/VBR/CCN/跨地域TR)学习路由时:
• 只有配置了路由学习条目的路由表才会学习对应Attachment的路由;
• 所有路由按照最长匹配原则进行路由匹配。
5. 应用场景
与前面介绍的办公局点架构(下图左)对比,云企业网的典型企业级层级网络架构(下图右),可以实现更复杂的企业组网。
在右图典型企业级层级网络中,下层可信区的VPC_B和VPC_C,是两个互不连接的可用区,如果希望将它们通过一个防火墙设备进行互通,可以通过以下方式实现:
• 首先,在TR上生成2个路由表,将VPC_B和VPC_C Attach到不可信流量路由表,VPC_A Attach到可信流量路由;
• VPC_B和VPC_C的流量通过Attachment关联转发到TR的不可信路由表,指向下一跳到VPC_A;
• VPC_A的子网路由表指向下一跳是ECS(安全管控),流量通过交换机转入ECS;
• ECS路由表指向下一跳为TR转发路由器,流量转入TR的可信流量路由,再根据指向路径返回VPC_B和VPC_C;
• 至此,实现VPC_B和VPC_C通过安全管控设备互通。
