华为云用户手册

操作步骤 进入企业路由器列表页面。 通过名称过滤，快速找到待创建路由表的企业路由器。 您可以通过以下两种操作入口，进入企业路由器的“路由表”页签。 在企业路由器右上角区域，单击“管理路由表”。 单击企业路由器名称，并选择“路由表”页签。 在“路由表”页签下，单击“创建路由表”。 弹出“创建路由表”对话框。 根据界面提示，配置路由表的基本信息，如表1所示。 表1 创建路由表-参数说明 参数名称 参数说明 取值样例 名称 必选参数。 输入路由表的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。 er-rtb-01 描述 可选参数。 你可以根据需要在文本框中输入对该路由表的描述信息。 - 标签 可选参数。 您可以在创建路由表的时候为路由表绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 关于标签更详细的说明，请参见标签概述。 说明： 如您的组织已经设定路由表的相关标签策略，则需按照标签策略规则为路由表添加标签。标签如果不符合标签策略的规则，则可能会导致路由表创建失败，请联系组织管理员了解标签策略详情。关于标签策略的详细说明，请参见标签策略概述。 “标签键”：test “标签值”：01 基本信息设置完成后，单击“确定”。 返回路由表列表页面。 在路由表列表页面，查看路由表状态。 待状态由“创建中”变为“正常”，表示路由表创建完成。

约束与限制 当路由表为默认关联路由表或者默认传播路由表时，不支持删除。 路由表的基本信息中“默认路由关联”为“是”，说明该路由表是默认关联路由表。 路由表的基本信息中“默认路由传播”为“是”，说明该路由表是默认传播路由表。 如果需要删除默认关联路由表，需要更改企业路由器的“默认路由关联”和“默认路由传播”配置，具体请参见修改企业路由器配置。 当路由表中有关联、传播关系时，不支持删除。 删除关联，请参见删除路由表中关联的连接。 删除传播，请参见删除路由表中连接的传播。 当路由表中只有静态路由时，支持删除。因此删除前请确保该路由已不再使用。

相关操作 企业路由器创建完成后，需要为网络实例创建连接，将网络实例接入企业路由器中，并配置路由信息，常见组网的配置流程请参见企业路由器快速入门。 如果创建企业路由器时，未开启“默认路由表关联”和“默认路由表传播”功能，则连接创建完成后，需要手动执行以下操作： 在企业路由器中创建自定义路由表，具体请参见创建路由表。 在路由表中为指定连接创建关联，具体请参见创建关联将连接关联至路由表中。 在路由表中配置连接的路由信息，以下两个方法二选一： 在路由表中创建传播，具体请参见在路由表中创建连接的传播。 创建传播之后，企业路由器可以自动学习连接的路由信息，不用手动配置路由。 在路由表中创建静态路由，具体请参见创建静态路由。

操作步骤 进入企业路由器列表页面。 单击页面右上角的“创建企业路由器”。 进入“创建企业路由器”页面。 图1 创建企业路由器 根据界面提示，配置企业路由器的基本信息，如表1所示。 表1 创建企业路由器-参数说明 参数名称 参数说明 取值样例 区域 必选参数。 不同区域的云服务产品之间内网互不相通，请就近选择靠近您业务的区域，可减少网络时延，提高访问速度。 华北-北京一 可用区 必选参数。 可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。一个区域内有多个可用区，一个可用区发生故障后不会影响同一区域内下的其它可用区。 此处建议您同时选择两个可用区，表示企业路由器将同时部署在这两个可用区内，属于双活模式，为业务容灾提供可靠保障。 两个可用区均部署企业路由器时，可用区内流量遵循本地优先原则，即优先访问同一个可用区内的企业路由器，减少时延，提升访问速率。 可用区1 可用区2 名称 必选参数。 输入企业路由器的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。 er-test-01 ASN 必选参数。 自治系统（AS）是一个实体管辖下拥有相同选路策略的IP网络。在边界网关协议（BGP）网络中，每个AS都被分配一个唯一的自治系统编号 (ASN)，用于区分不同的AS。 您可以在64512-65534或4200000000-4294967294范围内指定专用ASN。 对于同一个区域内的组网，您可以将其视为一个自治系统，企业路由器的ASN在指定范围内选择任意一个即可。 通过云专线和企业路由器连接线下IDC构建混合云组网时，建议企业路由器的ASN和云专线虚拟网关的BGP ASN不能一样。如果您在企业路由器内同时接入多条云专线，且云专线之间不组建负载均衡或者主备模式，则这些云专线虚拟网关的BGP ASN也不能一样。 通过云连接中心网络加载不同区域的企业路由器来构建跨区域组网时，建议不同区域的企业路由器使用不同的ASN。 64800 默认路由表关联 可选参数。 默认开启。 为了简化您后续的网络配置，此处建议您开启“默认路由表关联”功能，开启之后： 创建企业路由器时，系统会自动创建名称为“defaultRouteTable”的路由表，将其作为默认关联路由表。 默认关联路由表支持修改，企业路由器创建完成后，您可以创建新的路由表，并将新的路由表设置为默认关联路由表，具体请参见修改企业路由器配置。 设置完默认关联路由表后，在企业路由器中新创建连接时（比如连接A），会自动为连接A在默认关联路由表中创建关联。 创建关联后，会有以下作用： 创建关联后，来自连接A的报文根据它关联的路由表进行转发。 如果连接A的类型是“对等连接（Peering）”、“虚拟网关（VGW）”或者“VPN网关（VPN）”等，那么连接A会自动学习企业路由器的路由信息。 查看更多支持路由学习的连接类型，请参见企业路由器工作原理 如果连接A的类型是“虚拟私有云（VPC）”，不支持路由学习，需要在虚拟私有云的路由表中配置企业路由器的路由信息。 开启 默认路由表传播 可选参数。 默认开启。 为了简化您后续的网络配置流程，此处建议您开启“默认路由表传播”功能，开启之后： 创建企业路由器时，系统会自动创建名称为“defaultRouteTable”的路由表，将其作为默认传播路由表。 同时开启“默认路由表关联”和“默认路由表传播”功能，则默认关联路由表和默认传播路由表为同一个路由表，均为系统创建的名称为“defaultRouteTable”的路由表。 默认传播路由表支持修改，企业路由器创建完成后，您可以创建新的路由表，并将新的路由表设置为默认传播路由表，具体请参见修改企业路由器配置。 设置完默认传播路由表后，在企业路由器中新创建连接时（比如连接A），会自动为连接A在默认传播路由表中创建传播。 创建传播后，会有以下作用： 如果连接A的类型是“对等连接（Peering）”、“虚拟网关（VGW）”或者“VPN网关（VPN）”等，那么企业路由器可以自动学习连接A的全部路由信息。 查看更多类型连接的路由学习信息，请参见企业路由器工作原理 如果连接A的类型是“虚拟私有云（VPC）”，那么企业路由器只能学习VPC的网段。 开启 自动接受共享连接 可选参数。 作为企业路由器的所有者，您可以将企业路由器共享给其他账号的接受者，接受者可以在共享企业路由器中创建连接。 关闭该选项，接受者创建的连接需要所有者审批，所有者接受后才会创建。 开启该选项，接受者创建的连接会被自动接受，无需所有者审批。 关于共享更详细的说明，请参见共享概述。 关闭 企业项目 必选参数。 创建企业路由器时，需要将企业路由器加入已有的企业项目内。 企业项目管理提供了一种按企业项目管理云资源的方式，帮助您实现以企业项目为基本单元的资源及人员的统一管理，默认项目为default。 default 标签 可选参数。 您可以在创建企业路由器的时候为企业路由器绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 关于标签更详细的说明，请参见标签概述。 说明： 如您的组织已经设定企业路由器的相关标签策略，则需按照标签策略规则为企业路由器添加标签。标签如果不符合标签策略的规则，则可能会导致企业路由器创建失败，请联系组织管理员了解标签策略详情。关于标签策略的详细说明，请参见标签策略概述。 “标签键”：test “标签值”：01 描述 可选参数。 您可以根据需要在文本框中输入对该企业路由器的描述信息。 - 基本信息设置完成后，单击“立即创建”。 在产品配置信息确认页面，再次核对企业路由器信息，确认无误后，单击“提交”。 返回企业路由器列表页面。 在企业路由器列表页面，查看企业路由器状态。 待状态由“创建中”变为“正常”，表示企业路由器创建完成。

操作步骤 进入企业路由器列表页面。 通过名称过滤，快速找到待创建路由的企业路由器。 您可以通过以下两种操作入口，进入企业路由器的“路由表”页签。 在企业路由器右上角区域，单击“管理路由表”。 单击企业路由器名称，并选择“路由表”页签。 在路由表列表中选择目标路由表，并在“路由”页签下，单击左侧区域的“创建路由”。 弹出“创建路由”对话框。 根据界面提示，配置路由的基本信息，如表1所示。 表1 配置路由-参数说明 参数名称 参数说明 取值样例 目的地址 必选参数。 目的地址一般为网络实例的地址，以“虚拟私有云（VPC）”连接为例，可以是虚拟私有云网段、子网网段。 192.168.2.0/24 黑洞路由 可选参数。 开启黑洞路由，则无需配置路由的“连接类型”和“下一跳”。如果路由匹配上黑洞路由的目的地址，则该路由的报文会被丢弃。 - 连接类型 如果不开启黑洞路由，则该项是必选参数。 如果开启黑洞路由，则该项无需填写。 选择连接类型，支持静态路由的连接类型如下： 虚拟私有云（VPC）：表示接入的网络实例是虚拟私有云。 对等连接（Peering）：表示接入的网络实例是企业路由器的对等体，即跨区域的另外一个企业路由器。 云防火墙（CFW）连接：表示接入的网络实例是云防火墙。 关于连接更多信息，请参见连接概述。 虚拟私有云（VPC） 下一跳 如果不开启黑洞路由，则该项是必选参数。 如果开启黑洞路由，则该项无需填写。 在下拉列表中，选择目标连接。 er-attach-01 基本信息设置完成后，单击“确定”。 返回路由列表页面，等待2~3 s，单击刷新路由列表，可以看到创建的静态路由。

后续操作 如果创建企业路由器时，未开启“默认路由表关联”和“默认路由表传播”功能，则连接创建完成后，需要手动执行以下操作： 在企业路由器中创建自定义路由表，具体请参见创建路由表。 在路由表中为指定连接创建关联，具体请参见创建关联将连接关联至路由表中。 在路由表中配置连接的路由信息，以下两个方法二选一： 在路由表中创建传播，具体请参见在路由表中创建连接的传播。 创建传播之后，企业路由器可以自动学习连接的路由信息，不用手动配置路由。 在路由表中创建静态路由，具体请参见创建静态路由。

操作步骤 进入企业路由器列表页面。 通过名称过滤，快速找到待添加连接的企业路由器。 您可以通过以下两种操作入口，进入企业路由器的“连接”页签。 在企业路由器右上角区域，单击“管理连接”。 单击企业路由器名称，并选择“连接”页签。 在“连接”页签下，单击“添加连接”。 弹出“添加连接”对话框。 根据界面提示，配置连接的基本信息，如表1所示。 表1 添加“虚拟私有云（VPC）”连接-参数说明 参数名称 参数说明 取值样例 名称 必选参数。 输入连接的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。 er-attach-01 连接类型 必选参数。 此处选择“虚拟私有云（VPC）”，表示接入企业路由器的实例为虚拟私有云。 其他类型连接的添加方式不同，具体请参见连接概述。 虚拟私有云（VPC） 连接资源 必选参数。 选择虚拟私有云：在下拉列表中选择待接入企业路由器的虚拟私有云，你可以输入名称快速找到目标虚拟私有云。 选择子网：在下拉列表中选择虚拟私有云的子网，你可以输入名称快速找到目标子网。 您可以任意选择一个子网，由于同一个虚拟私有云内的所有子网默认互通，因此选择任意一个子网，企业路由器均可以连通整个VPC。 建议您在VPC内单独规划一个连接企业路由器的子网，为了确保子网内预留足够的系统占用IP、企业路由器占用IP，子网的掩码值范围需要小于等于28，比如192.168.25.0/28。 虚拟私有云：vpc-A 子网：subnet-A01 配置连接侧路由 可选参数。 开启：在虚拟私有云的所有路由表中自动添加指向企业路由器的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16 关闭：如果虚拟私有云路由表中的路由与这三个网段冲突，则会添加失败。此时建议您不要开启该选项，并在企业路由器创建完成后，手动在VPC路由表配置路由。 说明： 该参数只能在创建VPC连接时开启，创建完成后不支持开启。 开启 描述 可选参数。 您可以根据需要在文本框中输入对该连接的描述信息。 - 标签 可选参数。 您可以在创建连接的时候为连接绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 关于标签更详细的说明，请参见标签概述。 说明： 如您的组织已经设定连接的相关标签策略，则需按照标签策略规则为连接添加标签。标签如果不符合标签策略的规则，则可能会导致连接创建失败，请联系组织管理员了解标签策略详情。关于标签策略的详细说明，请参见标签策略概述。 “标签键”：test “标签值”：01 基本信息设置完成后，单击“立即创建”。 返回连接列表页面。 在连接列表页面，查看连接状态。 待状态由“创建中”变为“正常”，表示连接创建成功。

所有者创建共享 进入企业路由器列表页面。 通过名称过滤，快速找到目标企业路由器。 您可以通过以下两种操作入口，进入企业路由器的“共享”页签。 在企业路由器右上角区域，单击“管理共享”。 单击企业路由器名称，并选择“共享”页签。 在“共享”页签下，单击“创建共享”。 弹出“创建共享”对话框。 根据界面提示，配置共享的基本信息，如表1所示。 表1 创建共享-参数说明 参数名称 参数说明 取值样例 共享名称 必选参数。 输入共享的名称。要求如下： 长度范围为1~64位。 名称由中文、英文字母、数字、下划线（_）、中划线（-）、点（.）组成。 ershare-ab 接受者账号ID 必选参数。 共享企业路由器接受者的账号ID，单击此处查看获取账号ID的方法。 2364e06b8XXXXXXdfeb 基本信息设置完成后，单击“确定”。 返回共享列表页面，可以看到创建的共享信息。

修订记录 发布日期 修订记录 2024-04-25 第三次正式发布。 本次变更说明如下： 根据控制台风格变化修改全文截图。 2024-01-30 第二次正式发布。 本次变更说明如下： 新增资源信息修改以及导出操作。 修改路由策略信息 导出路由策略中的策略节点 修改IP地址前缀列表名称 导出IP地址前缀列表中的IP地址前缀规则 修改AS_Path列表名称 导出AS_Path列表中的AS_Path规则 2023-03-09 第一次正式发布。

路由策略匹配规则 一个路由策略中可以创建多个路由策略节点，路由策略节点中包含路由的匹配条件和路由策略值。路由策略的匹配规则如图1所示，待过滤路由按照节点号从小到大的顺序匹配路由策略节点： 当匹配上策略节点中的所有过滤条件，则执行以下操作： 如果该策略节点的匹配模式是允许，则这条路由被允许通过。 当匹配模式是允许时，如果路由策略中设置了策略值，则对已匹配路由的策略值执行指定的动作，包含修改、替换、删除。 如果该策略节点的匹配模式是拒绝，则这条路由被拒绝通过。 当遍历了路由策略中的所有策略节点，均没有匹配上，那么这条路由就被拒绝通过。 图1 路由策略匹配规则 路由策略过滤路由的原则可以总结为：顺序匹配、唯一匹配、默认拒绝。 顺序匹配：按节点号从小到大按顺序进行匹配。同一个路由策略中的多个路由策略节点设置不同的节点号，可能会有不同的过滤结果，实际配置时需要注意。 唯一匹配：待过滤路由只要与一个路由策略节点匹配，就不会再去尝试匹配其他路由策略节点。 默认拒绝：默认所有未与任何一个路由策略节点匹配的路由，均为未通过路由策略的过滤。因此在一个路由策略中创建了一个或多个拒绝模式的路由策略节点后，需要创建一个路由策略节点来允许所有其他路由通过。

路由策略功能说明 路由策略中可以包含一个或多个路由策略节点，路由策略节点由过滤路由的匹配条件和路由策略值组成，可看做是一个路由过滤器。 匹配条件：设置路由的过滤条件，匹配上的路由，根据匹配原则，被允许通过或拒绝，具体请参见表1。 路由策略值：根据匹配条件，可匹配的路由，依据路由策略设定修改策略值，具体请参见表2。 表1 路由匹配条件说明 路由匹配条件 说明 路由类型 静态路由：用户手动配置的路由。 在ER场景下，位于ER路由表中的自定义路由和“虚拟私有云（VPC）”连接对应的传播路由属于静态路由。 BGP路由：通过BGP协议学习的路由。 在ER场景下，以云专线DC为例，DC的虚拟网关和ER在云上通信使用BGP协议，那么在ER路由表中，“虚拟网关（VGW）”连接学习来的传播路由，属于BGP路由。 “对等连接（Peering）”和“VPN网关（VPN）”类型的连接同理。 IP地址前缀列表 IP地址前缀列表是一种包含一组路由信息过滤规则的过滤器，用户可以在规则中定义IP地址前缀和掩码长度范围，用于匹配路由信息的目的网段地址或下一跳地址。 地址前缀列表可以应用在各种动态路由协议中，对路由协议发布和接收的路由信息进行过滤。更多详细信息，请参见IP地址前缀列表概述。 AS_Path列表 AS_Path列表是一组针对BGP路由的AS_Path属性进行过滤的规则。在BGP的路由信息中，包含有AS_Path属性，AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号，因此基于AS_Path属性定义一些过滤规则，就可以实现对BGP路由信息的过滤。 由于AS_Path属性是BGP协议的私有属性，因此AS路径过滤器也仅应用于BGP协议。更多详细信息，请参见AS_Path列表概述。 表2 路由策略值说明 路由属策略值 说明 PrefVal 华为规定的路由特有属性，代表路由的优先级。PrefVal值越大，路由优先级越高。 通过在路由策略中设置PrefVal值，可以修改路由的PrefVal值。 企业路由器中不同类型连接的默认值如下： 虚拟网关（VGW）：100 对等连接（Peering）：60 VPN网关（VPN）：80 须知： 修改路由的PrefVal值，会影响不同类型连接路由的选路策略。如果您修改不当，可能会对业务造成影响，请您提交工单联系华为云客服，评估修改方案。 AS_Path 在BGP的路由信息中，包含有AS_Path属性，AS_Path属性按矢量顺序记录了BGP路由从本地到目的地址所要经过的所有AS编号。 通过在路由策略中设置AS_Path，可以为路由执行以下动作: 追加：在AS_Path的左侧位置中追加策略中设置的值。 替换：替换路由原有的AS_Path为路由策略中设置的值。 删除：删除路由原有AS_Path中的指定值。

路由策略简介 路由策略（Routing Policy）作用于路由，主要具备路由过滤和路由策略值设置等功能，它通过改变路由策略值来改变网络流量所经过的路径。 当前路由策略可应用于企业路由器以下类型的连接： 虚拟网关（VGW） 对等连接（Peering） VPN网关（VPN） 企业路由器在发送、接收和学习路由信息时，根据实际组网需要实施一些路由策略，以便对路由信息进行过滤和改变路由信息的属性，具体如下： 控制路由的发送：只发送满足条件的路由信息。 控制路由的接收：只接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 过滤和控制学习的路由：一种路由协议在学习其它路由协议发现的路由信息丰富自己的路由知识时，只引入一部分满足条件的路由信息，并对所引入的路由信息的某些属性进行设置，以使其满足本协议的要求。 设置特定路由的策略值：修改通过路由策略过滤的路由的策略值，满足自身需要。

操作场景 本章节指导用户将路由策略绑定至ER，路由策略可以控制ER发送或接收的路由流量路径，详细说明和操作指导请参见表1。 表1 路由策略控制ER路由详细说明 流量走向 说明 ER发送的路由： ER-A→DC/VPN/ER-B 控制ER发送出去的路由，即从ER发送到DC/VPN/其他ER的路由，这些路由位于ER路由表中，包括静态路由和BGP路由。 您需要在ER“关联”页签中，将路由策略绑定至ER连接对应的关联，具体请参见将路由策略绑定至ER连接的关联。 ER接收的路由： DC/VPN/ER-B→ER-A 控制ER接收的路由，即从ER接收到DC/VPN/其他ER的路由，均为BGP路由。 您需要在ER“传播”页签中，将路由策略绑定至ER连接对应的传播，具体请参见将路由策略绑定至ER连接的传播。

排查思路 您可以按照以下原因进行排查，如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 排查思路 表1 排查思路 可能原因 处理措施 本地网络配置异常 需要确保本地网络配置无异常，如：防火墙、网卡等配置。解决方法请参考本地网络配置异常。 弹性公网IP连接异常 弹性公网IP问题排查，请参见EIP连接出现问题时，如何排查？。 安全组存在限制 安全组限制了云服务器出方向的流量，导致无法访问外网，解决方法请参考安全组存在限制。 网络ACL存在限制 网络ACL限制了云服务器所在子网出方向的流量，导致无法访问外网，解决方法请参考网络ACL存在限制。

为什么无法删除安全组？ 系统创建的默认安全组不支持删除，默认安全组名称为default。 图1 默认安全组 当安全组已关联至其他服务实例时，比如云服务器、云容器、云数据库等，此安全组无法删除。请您将实例从安全组中移出后，重新尝试删除安全组。 查看安全组关联的实例，具体操作请参见如何查看安全组关联了哪些实例？。 当安全组作为“源地址”或者“目的地址”，被添加在其他安全组的规则中时，此安全组无法删除。 需要删除该条规则或者修改规则，然后重新尝试删除安全组。 比如，安全组sg-B中有一条安全组规则的“源地址”设置为安全组sg-A，则需要删除或者更改sg-B中的该条规则，才可以删除sg-A。 父主题： 安全类

原因说明 在费用中心中，当“产品类型”为“虚拟私有云VPC”时，其下存在的计费资源如表1所示，请您查看是否存在以下资源产生计费。查看方法请参见如何查看虚拟私有云VPC的费用账单？。 表1 虚拟私有云VPC计费产品说明 产品类型 产品 虚拟私有云VPC 弹性公网IP 固定带宽 带宽加油包 VPCEP终端节点 由于存在计费延迟情况，按需计费的资源删除后，并不会立刻对之前的消费进行扣款结算。在结算周期结束之后，才会生成账单并执行扣款。

网络配置错误 检查需要通信的云服务器的安全组规则是否配置正确，具体方法请参见查看安全组。 如果您需要通信的云服务器位于同一个安全组内，则此项无需检查。 如果您需要连通的云服务器位于不同的安全组内，那么您需要在安全组的入方向规则中，添加放通对端安全组的规则，具体方法请参见不同安全组内的云主机弹性云服务器内网互通 检查云服务器网卡的防火墙配置。 需要确认防火墙不会拦截流量，否则需要放通防火墙规则。 检查对等连接连通的子网网络ACL规则是否配置正确。 确认对等连接涉及的子网流量未被网络ACL拦截，否则需要放通对等连接涉及的网络ACL规则。 对于多网卡的云服务器，检查云服务器内部的策略路由配置，确保源IP不同的报文匹配各自的路由，从各自所在的网卡发出。 假设云服务器有两个网卡为eth0和eth1： eth0的IP地址为192.168.1.10，所在子网的网关为192.168.1.1 eth1的IP地址为192.168.2.10，所在子网的网关为192.168.2.1 分别执行以下命令： ping -I eth0的IP地址 eth0所在子网的网关地址 ping -I eth1的IP地址 eth1所在子网的网关地址 命令示例： ping -I 192.168.1.10 192.168.1.1 ping -I 192.168.2.10 192.168.2.1 如果网络通信情况正常，说明服务的多个网卡路由配置正常。 否则需要为配置了多网卡的云服务器配置策略路由，具体请参见如何为配置了多网卡的弹性云服务器配置策略路由？

对等连接路由配置错误 对等连接创建完成后，请参考查看对等连接路由，在本端VPC和对端VPC的路由表中检查路由添加情况，检查项目如表4。 表4 对等连接路由配置检查项 路由配置检查项 处理方法 在本端VPC和对端VPC的路由表中，检查是否添加路由。 如果您未添加路由，请参考以下章节中的添加路由步骤： 创建相同账户下的对等连接 创建不同账户下的对等连接 检查对等连接路由地址配置是否正确。 在本端VPC内，检查路由的目的地址是否为对端VPC的网段，子网网段或者相关的私有IP地址。 在对端VPC内，检查路由的目的地址是否为本端VPC的网段，子网网段或者相关的私有IP地址。 如果路由目的地址配置错误，请参考修改对等连接路由修改路由地址。 对于云上和云下互通的组网，检查对等连接路由是否和云专线、VPN路由的目的地址重叠。 查看对等连接两端的VPC下是否有VPN/云专线资源，排查路由规则的下一跳目的地址是否有重叠。 如果路由目的地址重叠，该对等连接不生效，请重新规划网络连接方案。

弹性云服务器基本网络功能异常 登录云服务器。 弹性云服务器有多种登录方法，具体请参见登录弹性云服务器。 检查弹性云服务器网卡是否已经正确分配到IP地址。 Linux云服务器：执行命令ifconfig或ip address查看网卡的IP信息。 Windows云服务器：在搜索区域输入cmd并按Enter，打开命令输入框，执行命令ipconfig查看。 若未能分配到IP地址，处理方法请参见弹性云服务器IP获取不到时，如何排查？。 检查云服务器所在子网的网关是否可以ping通，即确认基本通信功能是否正常。 在弹性云服务器列表中，单击云服务器名称超链接。 进入云服务器详情页。 在云服务器详情页，单击虚拟有云超链接。 进入虚拟私有云列表。 在虚拟私有云列表，单击虚拟私有云对应的“子网个数”超链接。 进入子网列表。 在子网列表，单击子网名称超链接。 进入子网详情页。 选择“IP地址管理”页签，查看子网的网关地址。 图4 查看子网网关 执行以下命令，检查网关通信是否正常。 ping 子网网关地址 命令示例：ping 172.17.0.1 如果无法ping通子网网关，则需首先排查二三层网络问题，具体请参见二三层通信出现问题时，如何排查？。

排查思路 问题排查思路请参见表1，以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 表1 排查思路-对等连接不通 序号 可能原因 处理措施 1 对等连接中本端VPC和对端VPC网段重叠 VPC网段重叠，且全部子网重叠。 VPC网段重叠，且部分子网重叠。 当对等连接中本端VPC和对端VPC网段重叠时，对等连接可能不生效，处理方法请参见对等连接中本端VPC和对端VPC网段重叠。 2 对等连接路由配置错误 没有在本端VPC和对端VPC内配置对等连接路由。 对等连接路由地址配置错误。 对于云上和云下互通的组网，检查对等连接路由是否和云专线、VPN路由的目的地址重叠。 当对等连接的路由配置错误时，会导致对等连接的网络流量无法正确送到目的地址，处理方法请参见对等连接路由配置错误。 3 网络配置错误 检查需要通信的ECS安全组规则是否配置正确。 检查弹性云服务器网卡的防火墙配置。 检查对等连接连通的子网网络ACL规则是否配置正确。 对于多网卡的弹性云服务器，检查弹性云服务器内部的策略路由配置。 请参见网络配置错误。 4 弹性云服务器基本网络功能异常 请参见弹性云服务器基本网络功能异常。 如果上述方法均不能解决您的疑问，请提交工单寻求更多帮助。

对等连接中本端VPC和对端VPC网段重叠 VPC网段重叠的情况下，容易因为路由冲突导致对等连接不生效，具体如表2所示。 表2 对等连接中本端VPC和对端VPC网段重叠 场景说明 场景示例 解决方法 VPC网段重叠，且全部子网重叠 组网图如图1所示，VPC-A和VPC-B网段重叠，且全部子网重叠。 VPC-A和VPC-B的网段重叠，均为10.0.0.0/16。 VPC-A中的子网Subnet-A01和VPC-B中的子网Subnet-B01网段重叠，均为10.0.0.0/24。 VPC-A中的子网Subnet-A02和VPC-B中的子网Subnet-B02网段重叠，均为10.0.1.0/24。 不支持使用VPC对等连接。 本示例中，VPC-A和VPC-B无法使用对等连接连通，请重新规划网络。 VPC网段重叠，且部分子网重叠 组网图如图2所示，VPC-A和VPC-B网段重叠，且部分子网重叠。 VPC-A和VPC-B的网段重叠，均为10.0.0.0/16。 VPC-A中的子网Subnet-A01和VPC-B中的子网Subnet-B01网段重叠，均为10.0.0.0/24。 VPC-A中的子网Subnet-A02和VPC-B中的子网Subnet-B02网段不重叠。 无法创建指向整个VPC网段的对等连接。 本示例中，对等连接无法连通VPC-A和VPC-B之间的全部网络。 可以创建指向子网的对等连接，对等连接两端的子网网段不能包含重叠子网。本示例中，对等连接可以连通子网Subnet-A02和Subnet-B02之间的网络，详细的配置方法请参见图3。 图1 VPC网段重叠，且全部子网重叠(IPv4) 图2 VPC网段重叠，且部分子网重叠(IPv4) 当VPC网段重叠，且部分子网重叠，您可以在网段不重叠的子网之间建立对等连接。本示例为创建Subnet-A02和Subnet-B02之间的对等连接，组网图如图3所示，路由添加方法请参见表3。 图3 VPC网段重叠，部分子网重叠(IPv4)-正确配置 表3 Subnet-A02和Subnet-B02之间的对等连接 路由表 目的地址 下一跳 路由说明 VPC-A的路由表 10.0.2.0/24 Peering-AB 在VPC-A的路由表中，添加目的地址为Subnet-B02子网网段，下一跳指向Peering-AB的路由。 VPC-B的路由表 10.0.1.0/24 Peering-AB 在VPC-B的路由表中，添加目的地址为Subnet-A02子网网段，下一跳指向Peering-AB的路由。 由于网段重叠导致对等连接不生效的详细原理说明，请参见无效的VPC对等连接配置。 该限制同样适用于IPv6场景，即使您只需要使用对等连接实现不同VPC之间的IPv6通信，此时如果对等连接两端VPC的IPv4网段和子网重叠，那么您创建的对等连接也不会生效。

步骤二：查看弹性云服务器内部网络配置是否正确 确认弹性云服务器网卡已经正确分配到IP地址。 登录弹性云服务器内部，使用命令ifconfig或ip address查看网卡的IP信息。 如果弹性云服务器配置了扩展网卡，且主网卡和扩展网卡均绑定了EIP，则需检查是否配置了策略路由。如未配置策略路由，请参考为多网卡Linux云服务器配置策略路由 (IPv4/IPv6)。 注：Windows弹性云服务器可以在命令行中执行ipconfig查看。 确认虚拟IP地址已经正确配置在网卡上。 当您使用了虚拟IP，需要确认虚拟IP是否正确配置在网卡上。 登录弹性云服务器内部，使用命令ifconfig或ip address查看网卡的IP信息。如果没有虚拟IP地址，可以使用命令ip addr add 虚拟IP地址 eth0给弹性云服务器添加正确的配置。 图4 查看网卡的虚拟IP地址 查看是否有默认路由信息，如果没有，则可以通过ip route add添加路由。 图5 查看默认路由

排查思路 排查EIP问题 查看EIP是否被封堵，EIP封堵及解封的详细内容请参见EIP出现封堵后，如何处理？ 查看EIP是否被冻结，EIP冻结及解除被冻结的详细内容请参见EIP资源在什么情况下会被冻结，如何解除被冻结的EIP资源？ 排查EIP连接问题 弹性云服务器通过EIP访问Internet的流程如图1所示： 图1 EIP网络示意图 本问题请按照以下思路进行排查处理。 图2 排查思路 查看弹性云服务器运行是否正常 查看弹性云服务器内部网络配置是否正确 查看EIP是否创建并绑定弹性云服务器 查看EIP是否绑定弹性云服务器主网卡 查看是否放通针对连接的安全组 查看弹性云服务器子网是否设置拦截

提交工单 如果按照以上步骤执行后，仍然无法正常使用EIP，请提交工单进行解决。 您需要向技术支持人员提供如下表格中的信息： Item 如何使用 注释 您的值 VPC CIDR 块 用于客户网关配置 示例：10.0.0.0/16 - VPC ID信息 - 示例：120b71c7-94ac-45b8-8ed6-30aafc8fbdba - 1 号子网 CIDR 块（可与 VPC 的 CIDR 块相同） - 示例：10.0.1.0/24 - 弹性云服务器ID信息 - - - 弹性云服务器IP信息 - 示例：192.168.1.192/24 - 弹性云服务器路由信息 - - - EIP地址 用于客户弹性云服务器访问Internet 示例：10.154.55.175 - EIP地址的带宽 用于客户弹性云服务器访问Internet的最大线速 示例：1M - EIP ID信息 - 示例：b556c80e-6345-4003-b512-4e6086abbd48 -

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 排查思路 表1 排查思路 可能原因 详细说明 处理措施 系统资源被占用 当系统资源被占用可能会导致CPU或带宽利用率过高，从而使系统出现卡顿或网络断开的情况。 解决方法请参考系统资源被占用。 云监控告警设置异常 云监控设置EIP带宽超限告警时，告警策略设置不合理，系统将发送异常的带宽超限告警信息。 解决方法请参考云监控告警设置异常。 EIP连接异常 弹性云服务器已绑定EIP，但是无法连接到Internet。 解决方法请参考EIP连接出现问题时，如何排查？。

用户安全组配置 用户配置安全组69端口，同时将TFTP使用的数据通道端口范围配置在安全组上；（RFC1350定义了FTP协议，TFTP协议定义了数据通道的端口范围(0，65535)）；一般不同应用的TFTP守护程序实际上不会使用整个(0，65535)端口来做数据通道协商端口，由TFTP守护程序确定，推荐用户TFTP守护程序使用较小端口范围。 如果用户使用的数据通道端口范围为60001-60100，则安全组规则如下所示。 图1 安全组规则

典型拓扑 此场景下对网络拓扑有如下要求： 弹性云服务器在同一子网内。如图中VPC子网网段为192.168.0.0/24，弹性云服务器的IP地址为192.168.0.2和192.168.0.3。 容器网段与VPC子网不在一个网段，同一台弹性云服务器内的容器在同一个网段，不同弹性云服务器内容器的网段不同。如图中ECS1中容器网段为10.0.2.0/24，ECS2中容器网段为10.0.3.0/24。 发送给容器的数据包下一跳为容器所在弹性云服务器。如图中发送给10.0.2.0/24网段的数据包下一跳为192.168.0.2，发送给10.0.3.0/24网段的数据包下一跳为192.168.0.3。 图1 网络拓扑

配置步骤 创建VPC及VPC网段。 具体操作请参见创建虚拟私有云和子网。 创建弹性云服务器。 具体操作请参见创建弹性云服务器。 创建完成后在弹性云服务器网卡上取消源地址校验，如图2所示。 图2 取消源地址校验 在弹性云服务器上部署容器。 您可以使用Docker CE完成容器的部署，详细操作步骤，请参考第三方软件的帮助文档，本文不做详细说明。 同一台ECS内的容器需要在同一个网段，且不同ECS内容器网段不能重叠。 添加VPC路由表信息。 在VPC路由表中添加路由信息。让发送给10.0.2.0/24网段的数据包下一跳为192.168.0.2，发送给10.0.3.0/24网段的数据包下一跳为192.168.0.3，也就是让发送给容器的数据包下一跳都为容器所在ECS。 单个VPC中内默认支持50个不同网段的容器部署，如须扩大需要申请扩大VPC路由表数目。 容器迁移到其他弹性云服务器后，需要在VPC路由表中添加新的路由信息。 添加安全组规则。 为了能够通过traceroute命令和ping命令测试容器网络是否连通，为弹性云服务器的安全组添加如表1所示规则，开放ICMP和UDP规则。 具体操作请参见添加安全组规则。 表1 安全组规则 方向 协议/应用 端口 源地址 入方向 ICMP 全部 0.0.0.0/0 入方向 UDP 全部 0.0.0.0/0

网络拓扑 数据规划如下： 表1 数据规划 序号 产品 数量 规格 1 虚拟私有云（VPC） 1 192.168.0.0/16 子网（subnet） 1 192.168.0.0/24 2 弹性云服务器（ECS） 2 1vCPUs 1GB CentOS 7.4 64bit 子网IP（subnet IP） 2 ecs-HA1：192.168.0.10 ecs-HA2：192.168.0.20 3 弹性公网IP（EIP） 1 122.xx.xx.189 虚拟IP（VIP） 1 192.168.0.100 实现方式如下： 将2台同子网的弹性云服务器配置Keepalived，一台为主服务器，一台为备份服务器。 将这2台弹性云服务器绑定同一个虚拟IP。 将虚拟IP与弹性公网IP绑定，从互联网可以访问绑定了该虚拟IP地址的主备云服务器。 图1 组网图

验证结果 执行reboot分别重启ecs-HA1和ecs-HA2。 通过管理控制台远程登录到ecs-HA1。 执行以下命令，查看虚拟IP是否有绑定到ecs-HA1的eth0网卡上。 ip addr show 如图5，表示虚拟IP已经绑定到ecs-HA1的eth0网卡上。 图5 查看ecs-HA1的虚拟IP 通过浏览器访问弹性公网IP，验证是否可以访问到ecs-HA1节点上的Web页面。 如图6所示，表示访问正常。 图6 访问验证ecs-HA1 执行以下命令，停止ecs-HA1上的keepalived服务。 systemctl stop keepalived.service 执行以下命令，查看服务器ecs-HA2是否有接管虚拟IP。 ip addr show 图7 查看ecs-HA2的虚拟IP 通过浏览器访问弹性公网IP，验证是否可以访问到ecs-HA2节点上的Web页面。 如图8所示，表示访问正常。 图8 访问验证ecs-HA2