前言

转发路由器 Transit Router

转发路由器 Transit Router（简称“TR”）是地域范围内企业级核心转发网元，可为用户转发同地域或不同地域的网络实例间的流量，并支持在地域内定义灵活的互通、隔离、引流策略，帮助用户打造一张灵活、可靠、大规模的企业级互联网络。

产品地址：https://www.aliyun.com/product/network/ntr?spm=a2c6h.12883283.J_4VYgf18xNlTAyFFbOuOQe.11.3c244307cWe6cQ

产品优势：

• 超大规模：统一连接云上上千VPC和云下网络，满足企业长期业务发展。

• 灵活组网：多路由表及带宽保障隔离、管控敏感流量与日常数据，复杂组网诉求。

• 云原生组播：云原生支持组播流量复制和转发，帮助金融、媒体等组播应用迁移上云。

• 高可靠高质量：高性能NFV平台，原生提供AZ内、跨AZ容灾倒换，保证业务可靠性。

产品功能：

中心化连接网络实例 : TR作为云上Region级核心路由器，大规模的连接多种类型的网络实例

• 连接海量VPC:一个地域内的多个VPC可以通过连接到同一个TR实现互通，每个TR最大支持连接1000个VPC。

• 通过VPN连接云下网络:云下网络可以建立和TR的VPN连接，实现云下和云上的网络互通。TR的VPN连接支持EMCP来支持更大的带宽需求。

• 通过专线连接云下网络:VBR到TR的连接能够实现云下数据中心通过专线连接到云上网络。

• 连接其他地域的TR:同一个云企业网内的不同地域TR能够两两互联， 实现全球统一的客户专用网络。

灵活的路由管理能力 : TR具有灵活的路由管理能力，能够满足企业复杂的网络互通、隔离诉求

• 多路由表:TR上可以配置多张路由表，每个网络实例与不同路由表关联，实现复杂的隔离和引流策略。

• 路由自动学习:TR能够自动学习和分发网络实例的路由，路由自动收敛，无需手工维护。

• 关联PrefixList:关联前缀列表系统将在TR路由表中自动添加前缀列表下所有网段的路由，简化配置过程。

精细化带宽管理能力 : 支持跨地域、混合云带宽的精细化分析和管理

• 跨地域带宽保障:在两个地域TR之间的跨地域连接配置多个队列承载不同业务，不同队列之间带宽相互隔离，避免业务之间带宽抢占。

• 跨地域Flowlog:捕获TR跨地域流量信息来分析带宽使用情况、排查网络故障以及优化流量使用成本。

• 混合云Flowlog:捕获TR到VBR的流量信息来分析带宽使用情况、排查网络故障以及优化流量使用成本。

云原生组播:TR支持同地域和跨地域组播流量的复制和分发

• 灵活定义组播源/成员：精细控制多播流量的生产方和接收方

  ---

转发路由器工作原理

企业版转发路由器工作原理

连接网络实例

网络实例连接到企业版转发路由器后可实现网络互通。企业版转发路由器支持连接以下网络实例：

• 一个或多个专有网络VPC（Virtual Private Cloud）实例
  连接VPC实例时，VPC实例需在企业版转发路由器支持的可用区中拥有至少一个交换机实例，该交换机实例需要拥有至少一个空闲的IP地址。在创建VPC连接过程中，企业版转发路由器将在VPC实例的交换机中创建一个弹性网卡ENI（Elastic Network Interface）（该ENI将占用交换机下的一个IP地址），作为VPC实例与企业版转发路由器流量互通的接口。

• 一个或多个边界路由器VBR（Virtual Border Router）实例

• 一个或多个IPsec连接

• 一个或多个转发路由器实例

• 连接其他地域的转发路由器实例前，您需要购买带宽包，以便为跨地域连接分配跨地域带宽。

管控路由

路由表

• 企业版转发路由器连接网络实例后，通过路由表存储网络实例的路由。企业版转发路由器通过查询路由表中的路由条目信息转发网络实例的流量。

• 每个企业版转发路由器默认携带一个默认路由表，您可以为企业版转发路由器创建自定义路由表。默认路由表和自定义路由表之间互不相通，可以帮助您实现访问隔离。

路由学习

• 路由学习功能控制网络实例的路由传播。网络实例连接与企业版转发路由器路由表建立路由学习关系后，网络实例的路由才被允许传播至企业版转发路由器路由表中。

• 您可以将网络实例连接与一个或者多个企业版转发路由器路由表建立路由学习关系。与网络实例连接建立路由学习关系的路由表均能够学习到该网络实例的路由。

关联转发

• 关联转发功能控制网络实例的流量转发。网络实例连接与企业版转发路由器路由表建立关联转发关系后，企业版转发路由器将通过查询该路由表中的路由条目信息转发网络实例的流量。

• 一个网络实例连接只支持与一个企业版转发路由器路由表建立关联转发关系。

自定义路由条目

企业版转发路由器路由表支持添加自定义路由条目。您可以通过在企业版转发路由器路由表中添加自定义路由条目辅助控制网络实例流量的转发。

前缀列表

企业版转发路由器路由表支持绑定VPC的前缀列表。绑定前缀列表后，系统将在企业版转发路由器路由表中自动添加VPC前缀列表下所有网段的路由，减少您的运维工作。

路由策略

• 路由策略功能控制企业版转发路由器路由表的路由传播。您可以通过路由策略决定是否将企业版转发路由器路由表中的路由传播给网络实例或者其他地域的转发路由器，您也可以通过路由策略修改企业版转发路由器路由表中路由的属性。

• 在添加路由策略时，您需要选择路由策略关联的企业版转发路由器路由表，路由策略只对其关联的路由表内的路由进行过滤和修改。

• 如果一个企业版转发路由器下连接了VBR实例、CCN实例或者IPsec连接，系统默认会在企业版转发路由器路由表的出地域网关方向添加策略优先级为5000、策略行为为拒绝的路由策略，该条路由策略会限制VBR实例、CCN实例、IPsec连接与转发路由器下其它VBR实例、CCN实例、IPsec连接的互通能力。

默认行为

企业版转发路由器连接网络实例后，默认不会向网络实例传播任何路由条目，您可以通过以下两种方式在网络实例中添加路由条目，引导网络实例的流量进入企业版转发路由器。

• 开启网络实例连接的高级功能，实现路由的自动传播。更多信息，请参见本文高级功能部分。

• 通过关联转发、路由学习、自定义路由条目等功能自定义网络的连通性。

体验企业云上网络架构规划

地址：https://help.aliyun.com/document_detail/2412629.html?spm=a2c6h.28686455.J_9175035460.4.564016f78cVGQf

方案概览

对于企业从IDC搬迁到云上，前期进行整体的网络设计，需要构建基于业务逻辑的云上网络整体架构，为业务上云奠定基础。随着企业规模和业务的增长，需要优化已有的网络架构，保障业务的安全、稳定及未来发展的可持续性。企业用户往往面临以下的场景：

• 实现灵活的内网互通、隔离、引流策略，根据业务逻辑规划网络资源布局。

• 内网互访流量经过防火墙进行安全审计，提高业务安全性。

• 网络架构具备较高的可扩展性和可持续性。

方案架构

方案提供的默认设置完成部署后在阿里云上搭建的网站运行环境如下图所示。实际部署时您可以根据资源规划修改部分设置，但最终形成的运行环境与下图相似。

本方案的技术架构包括以下基础设施和云服务：

• 4个专有网络VPC：搭建可信的私有网络。

• 9个交换机：用于挂载ECS实例。

• 4台云服务器ECS：3台用于模拟业务互访，1台用于模拟防火墙。

• 1个云企业网实例：用于管理整个云上私网网络。

• 1个转发路由器实例：用于连接VPC。

其中，VPC-PRD1和VPC-PRD2互通需要经过VPC-SEC中的模拟防火墙审计，VPC-PRD3作为独立业务不允许与其他VPC互通。本方案中不涉及模拟防火墙审计的代码部分，仅涉及网络搭建。

一键部署

一键配置基于阿里云资源编排服务ROS（Resource Orchestration Service）实现，旨在帮助开发者通过IaC（Infrastructure as Code）的方式体验资源的自动化配置。

打开一键配置模板链接前往ROS控制台，系统自动跳转至创建资源栈页面，并默认进入配置模板参数向导页面。

https://ros.console.aliyun.com/cn-hangzhou/stacks/create?spm=a2c4g.2412629.0.0.5559f00c5J8eJh&templateUrl=https://ros-public-templates.oss-cn-hangzhou.aliyuncs.com/documents/solution/enterprise-cloud-network-architecture-planning.yml&isSimplified=true

资源栈名称可保持默认值。

在ECS实例配置区域，选择共享型实例，推荐使用最低规格，并设置实例密码。

在可用区配置区域，分别选择可用区J和可用区K。

单击创建。

转发路由器Transit Router体验心得

这一次体验了一下转发路由器Transit Router（TR），感觉真的还蛮不错！

首先，TR的灵活性超赞，可以自由设置同地域和跨地域的流量转发策略，想怎么搭配就怎么搭配，构建企业级互联网络简直轻松。

其次是TR的性能也很强，它用了高性能网卡和牛逼的DPDK技术，流量转发飞快可靠，网络稳定到爆炸！

此外，TR的安全性也是一等一的。它支持在同一地域内进行网络隔离，保证不同网络实例之间的完全隔离，别人碰不到你的数据，网络安全放心有保障。

总的来说，使用转发路由器Transit Router的感觉真的很爽。它给企业用户提供了灵活、高效、安全的网络转发解决方案，特别适合那些需要搭建大规模、稳定可靠的企业级互联网络的用户。TR的性能、灵活性和安全性都让我非常满意。

除此之外，这里也想给出一些建议：

• 增加更多的安全功能：随着网络威胁的不断增加，TR可以进一步加强安全性方面的功能，例如增加防火墙、入侵检测和DDoS防护等功能，保护网络免受各种攻击。

• 性能优化：虽然TR的性能已经很不错了，但是在处理大规模流量时可能会面临一些挑战，可以继续优化其数据包处理引擎，提高并发处理能力，以应对更高的网络负载。

转发路由器Transit Router（TR）目前或已经成为阿里云网络架构中不可或缺的重要组件。它提供了高效的数据转发和路由功能，帮助实现网络的可靠性和可扩展性。然而，随着技术的不断演进和应用需求的增长，也对TR未来的发展寄予了一些期望，通过持续的创新和改进，期望TR将能够满足日益增长的网络需求，提供更强大、可靠和智能的转发解决方案。