边界网关最常见的问题,并非 BGP 会话建立不起来,而是会话建立正常,却携带了重叠前缀。如果您的 VPC 和对端都使用 10.10.0.0/16,BGP 会从两侧广播,流量将进入错误的目的地。在配置对等关系之前,请梳理两端的地址空间,确认不存在重叠。事后重新编址非常痛苦。
"所有子网"方便但危险。一个为无关内部服务新增的子网,一旦存在就会立即对您的 BGP 对等方可见。请从手动广播前缀列表开始,仅覆盖对等方需要访问的子网。当您确实想暴露新子网时再更新列表 — 这个审查过程本身就是设计目的,而非额外负担。
区域模式将配置错误的影响半径限制在单个区域内。全局模式会将学习到的路由 — 包括错误路由 — 传播至 VPC 所覆盖的每个区域。在有明确理由之前(单个对等必须服务所有区域、集中化本地网络连接等),请保持区域模式。从区域模式切换到全局模式只是一次开关操作;反向操作则复杂得多。
在 BGP 会话两侧使用相同的 ASN 需要额外配置(allowas-in 或类似方案),并且在接入第三方时更容易产生路由环路。即使平台允许,也请选择不同的 ASN — 其中一个仍可以是私有范围 ASN。默认情况下,不同 ASN 更简洁。
当 BGP 会话建立、断开或广播前缀集发生变化时,VPC 路由表会更新。在将生产流量路由至该会话之前,请始终验证路由表的状态是否符合预期。导航至 VPC → 路由表,选择对应路由表,查找来自网关的动态路由。
全局模式网关学习到的每个前缀都会传播至每个区域的路由表。从 Hub 式对等关系学习到的大量前缀,会在骨干网及每个 VPC 路由表中成倍增加状态量。请尽量保持对端广播集的精简,避免对只有单一区域需要的宽泛路由表使用全局模式。
BGP 告诉您的 VPC 如何发送流量至某个前缀。它不告诉目标实例是否应该接受该流量。边界网关本身没有安全组 — 访问控制必须位于工作负载侧:操作系统级防火墙、应用层认证,或路径内设备。不要因为存在动态路由就认为访问已获授权。
路由模式变更或广播前缀的重大调整会触发重新收敛。受影响范围内的每个区域的路由表都将被重建,现有连接在此期间可能短暂中断。除紧急情况外,请在流量低谷时进行此类变更。
当双方都有 ASN、广播前缀、VLAN、密码及预期路由范围的书面约定时,BGP 故障排查会快得多。出现问题时,记录的预期是对照排查的基准。
BGP 会话无法建立。 先检查基本问题:双方是否能在对等 IP 上互相访问(ping 或在 179 端口使用 tcpdump)?确认对端 ASN 与您配置的一致。如果传输层是专线或互联链路,确认其正常运行且未出现抖动。大多数"BGP 无法建立"的问题实际上是传输层问题。
会话建立,但未学习到任何前缀。 确认对端确实在广播前缀,可查看对端的路由输出。同时确认边界网关处于您预期的路由模式。
前缀已学习,但流量不通。 检查 VPC 路由表 — 动态路由应已安装,且下一跳为边界网关。如果已安装,请检查数据包到达工作负载实例后发生了什么:操作系统防火墙、应用层规则,或在到达学习到的路由之前已被更具体的策略路由捕获的流量。
流量单向通,另一方向不通。 广播不对称。您的一侧广播了对端需要的内容,但对端未广播您一侧所需的内容(或反之)。逐一验证两端的广播前缀列表。
路由抖动。 通常由传输层不稳定引起 — BGP 跟随会话存活状态变化。稳定底层连接后,抖动通常随之消失。如果传输层稳定但会话仍在抖动,检查两端的对端 ASN、密码及链路设置。
全局模式路由在其他区域不可见。 确认网关的模式确实是全局模式(而非区域模式),以及 VPC 在您正在检查的区域确实有子网。全局模式只传播至 VPC 有子网的区域 — 如果 VPC 在某区域不存在,该区域自然没有路由表。
删除边界网关被拒绝。 仍有资源引用该网关 — BGP 邻居、已广播的路由集,或将其作为下一跳的策略路由。移除这些引用后,重试删除操作。
最后更新于
