骐迹Ryan_个人页

1. 如果采用自定义源IP的方式, 假设系统自动生成的源IP是100.96.1.2, 请问需要在客户侧的出口路由器/网关设备上配置到这个地址的回程路由吗? 如果需要, 应该怎么配置? 如果不需要, 为什么不需要?(当云侧以100.96.1.2为源地址探测客户侧的VBR互联地址10.0.0.2时, 客户侧的网关设备能够恢复报文吗?)---这里您指的应该是自动生成源ip的方式吧。

如何配置：需要在IDC的出口设备上新增一条静态路由，目的地址是100.96.1.2。专线健康检查主要是为了实现由云上控制器来实现主备专线路由的切换动作，最终实现高可靠。故无论是静态路由还是BGP动态路由，都建议配置上健康检查。

1. 如果采用自定义源IP的方式, 仍然是这个问题: 是否需要在客户侧的出口路由器/网关设备上配置到这个地址的回程路由?---参考第一条答案，目的地址为您创建的VPC subnet即可。
2. 源IP究竟位于哪里? 在VBR上还是在vRouter上或者VPC里面?---自动生成源ip是在阿里云一个保留ip地址池100.96.0.0/12里头，这个您可以理解为一个阿里云上公共VPC，自定义源ip其实就是用户自己创建的VPC内部的某个私网地址。
3. 既然VBR实例在客户侧与阿里云侧都有同网段的互联IP(本案例中是10.0.0.1、10.0.0.2), 为什么不用这个互联IP来执行健康检查呢?---健康检查的目的是实现IDC和云上VPC全链路端到端的互通性检查，最终也代表业务是否可通。如果仅仅是专线两端的检测，那只能代表从IDC到阿里云接入端口这一段线路是否联通，但阿里云接入端口到云上VPC内的ecs这一段是没有检查的，所以意义不大。

打开控制台，是名称+目标网段+下一跳类型+对应实例

您的问题可以分为如下两个场景分开来看：

1、如果SAG是旁挂在出口路由器的组网方式，那么需要在出口路由器上面在SNAT规则里新增SAG的互联地址，即让SAG wan口能上internet ，SAG才会和阿里云SDWAN中心控制器去建联；

2、如果SAG直挂场景作为出口设备设备，则SAG自己本身就支持SNAT 来实现WAN口可以访问internet，最终与阿里云SDWAN中心控制器去建联。

综上所述，无论是直挂还是旁挂组网，SAG wan口能访问internet 为大前提，才能与阿里云SDWAN中心控制器去建联。

阿里云发往SAG的流量目的IP地址是哪个地址? --这个问题是当SAG与SDWAN中心控制器去建联后，SAG wan口和CCN的接入网关则会自动建立ipsec VPN隧道，那么当前云上访问线下的时候，访问的目的地址其实是基于ipsec VPN隧道SAG 的wan口私网地址。

您好，阿里云侧VPN网关是高可用设计（跨AZ容灾），但从链路高可用角度来看，建议您在线下/对端部署两个VPN，同时与阿里云侧VPN网关建立两条ipsec VPN隧道来实现链路高可用，以防止线下网关单点故障。具体最佳实践可以参考文档：https://help.aliyun.com/document_detail/110820.html