Enkripsi koneksi pribadi antara cloud dan pusat data menggunakan perutean BGP - Express Connect

Untuk mengenkripsi koneksi pribadi antara pusat data dan virtual private cloud (VPC), Anda dapat membuat Express Connect Router (ECR) dan menggunakannya untuk menghubungkan virtual border router (VBR) dengan VPC. Selanjutnya, buat gateway VPN dan konfigurasikan perutean BGP untuk gateway VPN dan VBR.

Contoh

Sebuah perusahaan memiliki pusat data di China (Hangzhou) serta VPC yang berada di wilayah yang sama. Aplikasi ditempatkan pada instance Elastic Compute Service (ECS) di dalam VPC. Seiring pertumbuhan bisnis, perusahaan ingin menghubungkan VPC ke pusat data menggunakan sirkuit Express Connect dan ECR. Selain itu, perusahaan ingin mengenkripsi koneksi antara VPC dan pusat data demi alasan keamanan.

Setelah koneksi pribadi dibuat, perusahaan membuat gateway VPN di dalam VPC dan membangun koneksi IPsec-VPN antara gateway VPN dan perangkat gateway lokal. Kemudian, ia mengonfigurasi perutean BGP untuk VBR dan gateway VPN untuk mengenkripsi koneksi pribadi.

Persiapan

Gateway VPN pribadi berada dalam pratinjau undangan. Pastikan Anda telah mengajukan izin akses dari manajer akun Anda.

Rencanakan jaringan untuk pusat data dan instance jaringan. Pastikan blok CIDR pusat data tidak tumpang tindih dengan blok CIDR instance jaringan. Tabel berikut menjelaskan blok CIDR dalam contoh ini:

Target	Perencanaan blok CIDR	Alamat IP
VPC	Blok CIDR utama: 10.0.0.0/16 Blok CIDR vSwitch 1: 10.0.0.0/24 Blok CIDR vSwitch 2: 10.0.1.0/24	ECS1: 10.0.1.1 ECS2: 10.0.1.2
VBR	10.0.0.0/30	ID VLAN: 201 Alamat IPv4 di sisi Alibaba Cloud: 10.0.0.2/30 Alamat IPv4 di sisi pengguna: 10.0.0.1/30 Dalam contoh ini, sisi pengguna mengacu pada perangkat gateway lokal.
ECR	-	ASN: 45104
Pusat data	10.0.0.0/30 192.168.0.0/24	Alamat IP VPN: 192.168.0.251 Alamat IP VPN mengacu pada alamat IP dari interface pada perangkat gateway lokal yang akan membangun koneksi IPsec dengan gateway VPN. Alamat IP dari interface yang terhubung ke sirkuit Express Connect: 10.0.0.1 ASN: 65530

Anda telah membuat VPC di wilayah China (Hangzhou) dan menerapkan aplikasi pada instance ECS di dalamnya. Untuk informasi lebih lanjut, lihat Buat dan Kelola VPC.
Dalam skenario ini, VPC memiliki dua vSwitch. vSwitch 1 berada di Zona H dan vSwitch 2 berada di Zona I. Instance ECS ditempatkan pada vSwitch 2. vSwitch 1 hanya digunakan untuk dikaitkan dengan gateway VPN.
Catatan
Saat membuat VPC, disarankan untuk membuat vSwitch khusus di dalam VPC untuk gateway VPN. Dengan cara ini, vSwitch dapat mengalokasikan alamat IP pribadi ke gateway VPN.
Periksa perangkat gateway lokal di pusat data dan pastikan bahwa perangkat tersebut mendukung protokol IKEv1 dan IKEv2 standar. Untuk memeriksa apakah perangkat gateway mendukung protokol ini, hubungi vendor gateway.
Pastikan Anda sudah familiar dengan aturan grup keamanan yang berlaku untuk instance ECS di dalam VPC dan aturan kontrol akses yang berlaku untuk klien di pusat data. Pastikan aturan tersebut mengizinkan instance ECS di dalam VPC untuk berkomunikasi dengan klien di pusat data. Untuk informasi lebih lanjut, lihat Lihat Aturan Grup Keamanan dan Tambahkan Aturan Grup Keamanan.

Prosedur

Langkah 1: Terapkan sirkuit Express Connect

Anda harus menerapkan sirkuit Express Connect untuk menghubungkan pusat data ke VPC.

Buat sirkuit Express Connect.
Ajukan sirkuit Express Connect di wilayah China (Hangzhou). Untuk informasi lebih lanjut, lihat Mode Klasik atau Ikhtisar Koneksi Terkelola melalui Sirkuit Express Connect.
Dalam contoh ini, koneksi fisik khusus dipilih.

Buat VBR.

Masuk ke Konsol Express Connect.
Di panel navigasi sebelah kiri, klik Virtual Border Routers (VBRs).
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat VBR.
Dalam contoh ini, Wilayah China (Hangzhou) telah dipilih.
Di halaman Virtual Border Routers (VBRs), klik Create VBR.

Di panel Create VBR, konfigurasikan parameter berikut dan klik OK.

Tabel berikut hanya menjelaskan parameter utama. Untuk informasi lebih lanjut, lihat Buat dan Kelola VBR.

Parameter	Deskripsi
Account	Current Account dipilih.
Name	VBR dimasukkan.
Express Connect Circuit	Klik Dedicated Physical Connection dan pilih sirkuit Express Connect yang dibuat di Langkah 1.
VLAN ID	201 dimasukkan.
Set VBR Bandwidth Value	Pilih nilai bandwidth maksimum untuk VBR.
Alibaba Cloud Side IPv4 Address	10.0.0.2 dimasukkan.
Data Center Side IPv4 Address	10.0.0.1 dimasukkan.
IPv4 Subnet Mask	255.255.255.252 dimasukkan.

Tambahkan rute kustom untuk VBR untuk mengumumkan blok CIDR pusat data ke Alibaba Cloud.

Di halaman Virtual Border Routers (VBRs), klik ID VBR.
Klik tab Routes, lalu klik Add Route.

Di panel Add Route, konfigurasikan parameter berikut dan klik OK.

Parameter	Deskripsi
Next Hop Type	Pilih Physical Connection Interface.
Destination CIDR Block	Masukkan blok CIDR pusat data. Dalam contoh ini, 192.168.0.0/16 dimasukkan.
Next Hop	Pilih sirkuit Express Connect yang dibuat di Langkah 1.

Konfigurasikan perangkat gateway lokal.
Tambahkan rute berikut ke perangkat gateway lokal untuk merutekan lalu lintas yang ditujukan ke VPC dari pusat data ke sirkuit Express Connect.
Konfigurasi berikut hanya untuk referensi. Perintah mungkin bervariasi tergantung pada vendor perangkat jaringan. Hubungi vendor Anda untuk mendapatkan informasi tentang perintah.
```
ip route 10.0.0.0 255.255.0.0 10.0.0.2
```

Langkah 2: Konfigurasikan ECR

Anda harus mengaitkan VPC dan VBR dengan ECR. Setelah itu, pusat data dan VPC dapat berkomunikasi satu sama lain melalui koneksi pribadi menggunakan ECR.

Buat ECR.

Masuk ke Konsol Express Connect.
Di panel navigasi sebelah kiri, klik Express Connect Router (ECR). Di halaman Express Connect Router (ECR), klik Create ECR.

Di kotak dialog Create ECR, konfigurasikan parameter yang dijelaskan dalam tabel berikut, pilih I have read and understand the billing rules, lalu klik OK.

Parameter	Deskripsi
Name	Masukkan nama gateway. Dalam contoh ini, ECR dimasukkan.
ASN	ASN dari ECR. Dalam contoh ini, 45104 dimasukkan.
Description	Masukkan deskripsi untuk gateway. Dalam contoh ini, ECR-for-test-private-VPN-Gateway dimasukkan.

Hubungkan ke instance VPC.

Masuk ke Konsol Express Connect.
Di panel navigasi sebelah kiri, klik Express Connect Router (ECR), lalu di halaman Express Connect Router (ECR), klik ECR yang dibuat di Langkah 1.
Klik tab VPC, lalu klik Associate VPC.

Di kotak dialog Associate VPC, konfigurasikan parameter berikut dan klik OK.

Parameter	Deskripsi
Resource Owner	Jenis akun tempat VPC berada. Dalam contoh ini, Current Account dipilih.
Region	Wilayah tempat VPC berada. Dalam contoh ini, China (Hangzhou) dipilih.
VPC ID	ID VPC yang ingin Anda asosiasikan dengan ECR. Dalam contoh ini, ID VPC dipilih.

Asosiasikan VBR dengan ECR.

Masuk ke Konsol Express Connect.
Di panel navigasi sebelah kiri, klik Express Connect Router (ECR), lalu di halaman Express Connect Router (ECR), klik ECR yang dibuat di Langkah 1.
Klik tab VBR, lalu klik Associate VBR.

Di kotak dialog Associate VBR, konfigurasikan parameter berikut dan klik OK.

Parameter	Deskripsi
Resource Owner	Jenis akun tempat VBR berada. Dalam contoh ini, Current Account dipilih.
Region	Wilayah tempat VBR berada. Dalam contoh ini, China (Hangzhou) dipilih.
Network Instance	Pilih instance VBR target. Dalam contoh ini, VBR dipilih.

Langkah 3: Terapkan gateway VPN

Setelah menyelesaikan langkah-langkah sebelumnya, pusat data dapat berkomunikasi dengan VPC melalui koneksi pribadi. Namun, transmisi data belum dienkripsi. Untuk mengenkripsi koneksi pribadi, Anda harus menerapkan gateway VPN di dalam VPC dan membuat koneksi IPsec-VPN ke perangkat gateway lokal.

Buat gateway VPN.

Masuk ke Konsol Gateway VPN.
Di bilah menu atas, pilih wilayah tempat Anda ingin menerapkan gateway VPN.
Gateway VPN harus diterapkan di wilayah yang sama dengan VPC yang ingin Anda asosiasikan dengan gateway VPN. Dalam contoh ini, China (Hangzhou) dipilih.
Di halaman VPN Gateways, klik Create VPN Gateway.

Di halaman pembelian, konfigurasikan parameter berikut, klik Buy Now, lalu selesaikan pembayaran.

Parameter	Deskripsi
Name	Masukkan nama untuk gateway VPN. Dalam contoh ini, `VPN Gateway 1` dimasukkan.
Region	Pilih wilayah tempat Anda ingin menerapkan gateway VPN. China (Hangzhou) dipilih.
Gateway Type	Pilih jenis gateway VPN. Standard dipilih.
Network Type	Pilih jenis jaringan gateway VPN. Opsi Private telah dipilih.
Tunnels	Mode terowongan yang didukung oleh koneksi IPsec-VPN di wilayah tersebut ditampilkan.
VPC	VPC yang ingin Anda asosiasikan dengan gateway VPN. Dalam contoh ini, VPC dipilih.
vSwitch	Sebuah vSwitch di dalam VPC. Jika Anda memilih Single-tunnel, Anda hanya perlu menentukan satu vSwitch. Jika Anda memilih Dual-tunnel, Anda perlu menentukan dua vSwitch. Setelah fitur IPsec-VPN diaktifkan, sistem akan membuat antarmuka jaringan elastis (ENI) untuk masing-masing dari dua vSwitch sebagai antarmuka untuk berkomunikasi dengan VPC melalui koneksi IPsec-VPN. Setiap ENI menggunakan satu alamat IP di dalam vSwitch. Catatan Sistem memilih vSwitch secara default. Anda dapat mengubah atau menggunakan vSwitch default. Setelah gateway VPN dibuat, Anda tidak dapat memodifikasi vSwitch yang diasosiasikan dengan gateway VPN. Anda dapat melihat vSwitch yang diasosiasikan dengan gateway VPN, zona tempat vSwitch berada, dan ENI di dalam vSwitch pada halaman detail gateway VPN.
vSwitch 2	Sebuah vSwitch di dalam VPC. Abaikan parameter ini jika Anda memilih Single-tunnel.
Bandwidth Maksimum	Pilih nilai bandwidth maksimum untuk gateway VPN. Satuan: Mbit/s.
Traffic	Metode penagihan gateway VPN. Nilai default: Pay-by-data-transfer. Untuk informasi lebih lanjut, lihat Ikhtisar Penagihan.
IPsec-VPN	Gateway VPN pribadi hanya mendukung fitur IPsec-VPN. Dalam contoh ini, nilai default Enable dipilih untuk fitur IPsec-VPN.
Durasi	Pilih durasi langganan. Siklus penagihan gateway VPN. Nilai default: By Hour.
Service-linked Role	Klik Create Service-linked Role. Sistem secara otomatis membuat peran terkait layanan AliyunServiceRoleForVpn. Gateway VPN mengasumsikan peran ini untuk mengakses sumber daya cloud lainnya. Untuk informasi lebih lanjut, lihat AliyunServiceRoleForVpn. Jika Created ditampilkan, peran terkait layanan telah dibuat dan Anda tidak perlu membuatnya lagi.

Kembali ke halaman VPN Gateways, lihat gateway VPN yang dibuat, dan catat alamat IP pribadi gateway VPN untuk konfigurasi koneksi IPsec selanjutnya.
Status gateway VPN baru adalah Preparing. Setelah sekitar 1 hingga 5 menit, status berubah menjadi Normal. Ini menunjukkan bahwa gateway VPN telah diinisialisasi dan siap digunakan.

Buat gateway pelanggan.
1. Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > Customer Gateways.
2. Di halaman Customer Gateway, klik Create Customer Gateway.
3. Di panel Create Customer Gateway, konfigurasikan parameter berikut dan klik OK.
  Isi berikut hanya menjelaskan parameter utama.
  - Name: Masukkan nama untuk gateway pelanggan.
    Dalam contoh ini, Customer-Gateway dimasukkan.
  - IP Address: Masukkan alamat IP VPN perangkat gateway lokal yang akan dihubungkan ke gateway VPN.
    Dalam contoh ini, 192.168.0.251 dimasukkan.
  - ASN: Masukkan ASN perangkat gateway lokal.
    Dalam contoh ini, 65530 dimasukkan.

Buat koneksi IPsec-VPN.

Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.
Di halaman IPsec-VPN connection, klik Create IPsec-VPN Connection.

Di halaman Create IPsec Connection, konfigurasikan parameter berikut dan klik OK.

Tabel berikut hanya menjelaskan parameter utama. Untuk informasi lebih lanjut, lihat Buat dan Kelola Koneksi IPsec-VPN dalam Mode Single-tunnel.

Parameter	Deskripsi
Name	Masukkan nama untuk koneksi IPsec-VPN. Dalam contoh ini, `Koneksi IPsec 1` dimasukkan.
VPN Gateway	Gateway VPN yang Anda buat. Dalam contoh ini, VPN Gateway 1 dipilih.
Customer Gateway	Gateway pelanggan yang Anda buat. Dalam contoh ini, Customer-Gateway dipilih.
Routing Mode	Pilih mode perutean. Dalam contoh ini, Destination Routing Mode dipilih.
Effective Immediately	Pilih apakah akan menerapkan perubahan segera. Yes: langsung memulai negosiasi setelah konfigurasi selesai. No: memulai negosiasi saat trafik masuk terdeteksi. Dalam contoh ini, Yes dipilih.
Pre-shared Key	Kunci pra-berbagi yang digunakan untuk autentikasi. Jika Anda tidak memasukkan nilai, sistem akan menghasilkan string acak 16 karakter sebagai kunci pra-berbagi. Penting Pastikan perangkat gateway lokal dan koneksi IPsec-VPN menggunakan kunci pra-berbagi yang sama. Dalam contoh ini, `fddsFF123****` dimasukkan.
Encryption Configuration	Dalam contoh ini, ikev2 dipilih untuk parameter Version di bagian IKE Configurations. Nilai default digunakan untuk parameter lainnya.
BGP Configuration	Dalam contoh ini, Konfigurasi BGP diaktifkan. Konfigurasikan parameter berikut: Tunnel CIDR Block: blok CIDR terowongan IPsec. Blok CIDR harus berada dalam 169.254.0.0/16. Mask blok CIDR harus memiliki panjang 30 bit. Dalam contoh ini, `169.254.10.0/30` dimasukkan. Local BGP IP Address: alamat IP BGP di sisi gateway VPN. Alamat IP ini harus berada dalam blok CIDR terowongan IPsec. Dalam contoh ini, `169.254.10.1` dimasukkan. Alamat IP BGP di sisi pusat data adalah `169.254.10.2`. Local ASN: ASN di sisi gateway VPN. Nilai default: 45104. Dalam contoh ini, nilai default 45104 digunakan. Penting Jika Anda mengonfigurasi perutean BGP untuk VBR dan gateway VPN, pastikan bahwa ASN di sisi gateway VPN sama dengan ASN VBR. Ini memudahkan pengelolaan rute.
Health Check	Dalam contoh ini, pengaturan default digunakan.

Setelah Anda membuat koneksi IPsec-VPN, klik OK di pesan Created.

Aktifkan periklanan BGP otomatis untuk gateway VPN.
Setelah periklanan BGP otomatis diaktifkan dan koneksi peering dibuat antara gateway VPN dan perangkat gateway lokal, gateway VPN mempelajari dan mengiklankan blok CIDR pusat data ke VPC. Gateway VPN juga mengiklankan rute dalam tabel rute sistem VPC ke perangkat gateway lokal.
1. Di panel navigasi sebelah kiri, pilih Interconnections > VPN > VPN Gateways.
2. Di halaman VPN Gateways, temukan VPN Gateway 1 dan pilih > Enable Automatic BGP Propagation di kolom Actions.
3. Di kotak dialog Enable Automatic BGP Propagation, klik OK.
Unduh konfigurasi koneksi IPsec untuk perangkat gateway lokal.
1. Di panel navigasi sebelah kiri, pilih Interconnections > VPN > IPsec Connections.
2. Di halaman IPsec Connections, temukan Koneksi IPsec 1, dan klik Download Peer Configuration di kolom Actions.
  Simpan konfigurasi IPsec yang diunduh di klien Anda.

Tambahkan konfigurasi VPN, konfigurasi BGP, dan rute statis ke perangkat gateway lokal.

Konfigurasikan VPN, BGP, dan rute statis ke perangkat gateway lokal berdasarkan konfigurasi IPsec yang Anda unduh.

Konfigurasi berikut hanya untuk referensi. Perintah mungkin bervariasi berdasarkan vendor perangkat jaringan. Hubungi vendor Anda untuk mendapatkan informasi tentang perintah spesifik.

Masuk ke antarmuka baris perintah perangkat gateway lokal.

Jalankan perintah berikut untuk mengonfigurasi proposal dan kebijakan IKEv2:

crypto ikev2 proposal alicloud  
encryption aes-cbc-128          //Konfigurasikan algoritma enkripsi. Dalam contoh ini, aes-cbc-128 digunakan.
integrity sha1                  //Konfigurasikan algoritma autentikasi. Dalam contoh ini, sha1 digunakan.
group 2                         //Konfigurasikan grup DH. Dalam contoh ini, group 2 digunakan.
exit
!
crypto ikev2 policy Pureport_Pol_ikev2
proposal alicloud
exit
!

Jalankan perintah berikut untuk mengonfigurasi keyring IKEv2:

crypto ikev2 keyring alicloud
peer alicloud
address 10.0.0.167               //Konfigurasikan alamat IP pribadi gateway VPN. Dalam contoh ini, 10.0.0.167 digunakan.
pre-shared-key fddsFF123****     //Konfigurasikan kunci pra-berbagi. Dalam contoh ini, fddsFF123**** digunakan.
exit
!

Jalankan perintah berikut untuk mengonfigurasi profil IKEv2:

crypto ikev2 profile alicloud
match identity remote address 10.0.0.167 255.255.255.255    //Konfigurasikan alamat IP pribadi gateway VPN. Dalam contoh ini, 10.0.0.167 digunakan.
identity local address 192.168.0.251    //Konfigurasikan alamat IP VPN pusat data. Dalam contoh ini, 192.168.0.251 digunakan.
authentication remote pre-share   //Atur mode autentikasi sisi remote ke PSK (kunci pra-berbagi).
authentication local pre-share    //Atur mode autentikasi sisi lokal ke PSK.
keyring local alicloud            //Gunakan keyring IKEv2.
exit
!

Jalankan perintah berikut untuk mengatur transform:

crypto ipsec transform-set TSET esp-aes esp-sha-hmac
mode tunnel
exit
!

Jalankan perintah berikut untuk mengonfigurasi profil IPsec dan atur transform, PFS, serta profil IKEv2:
```
crypto ipsec profile alicloud
set transform-set TSET
set pfs group2
set ikev2-profile alicloud
exit
!
```

Jalankan perintah berikut untuk mengonfigurasi terowongan IPsec:

interface Tunnel100
ip address 169.254.10.2 255.255.255.252    //Konfigurasikan alamat terowongan untuk pusat data. Dalam contoh ini, 169.254.10.2 digunakan.
tunnel source GigabitEthernet1
tunnel mode ipsec ipv4
tunnel destination 10.0.0.167              //Konfigurasikan alamat IP pribadi gateway VPN. Dalam contoh ini, 10.0.0.167 digunakan.
tunnel protection ipsec profile alicloud
no shutdown
exit
!
interface GigabitEthernet1                 //Konfigurasikan alamat IP dari interface yang digunakan untuk terhubung ke gateway VPN.
ip address 192.168.0.251 255.255.255.0
negotiation auto
!

Jalankan perintah berikut untuk mengonfigurasi perutean BGP:

Penting

Untuk memastikan bahwa trafik dari VPC ke pusat data dirutekan ke terowongan terenkripsi gateway VPN, Anda harus mengiklankan blok CIDR yang lebih kecil daripada blok CIDR pusat data dalam konfigurasi BGP perangkat gateway lokal.

Sebagai contoh, dalam contoh ini, blok CIDR pusat data adalah 192.168.0.0/16. Blok CIDR yang diiklankan dalam konfigurasi BGP perangkat gateway lokal harus lebih kecil dari blok CIDR tersebut. Dalam contoh ini, 192.168.1.0/24 diiklankan.

router bgp 65530                         //Aktifkan perutean BGP dan konfigurasikan ASN pusat data. Dalam contoh ini, 65530 digunakan.
neighbor 169.254.10.1 remote-as 45104    //Konfigurasikan ASN peer BGP. Dalam contoh ini, ASN gateway VPN 45104 digunakan.
neighbor 169.254.10.1 ebgp-multihop 10   //Atur hop-count EBGP menjadi 10.  
!
address-family ipv4
network 192.168.1.0 mask 255.255.255.0   //Iklankan blok CIDR pusat data. Dalam contoh ini, 192.168.1.0/24 diiklankan.
neighbor 169.254.10.1 activate           //Aktifkan peer BGP.
exit-address-family
!

Jalankan perintah berikut untuk mengonfigurasi rute statis:

ip route 10.0.0.167 255.255.255.255 10.0.0.2  //Route trafik dari pusat data ke gateway VPN melalui sirkuit Express Connect.

Langkah 4: Konfigurasikan rute untuk instance

Setelah menyelesaikan langkah-langkah di atas, terowongan terenkripsi dibuat antara perangkat gateway lokal dan gateway VPN. Anda harus mengonfigurasi rute untuk instance jaringan cloud untuk merutekan trafik ke terowongan terenkripsi saat pusat data berkomunikasi dengan Alibaba Cloud.

Tambahkan rute kustom ke VPC.

Masuk ke Konsol VPC.
Di panel navigasi sebelah kiri, klik Route Tables.
Di bilah navigasi atas, pilih wilayah tempat tabel rute berada.
Dalam contoh ini, China (Hangzhou) dipilih.
Di halaman Route Tables, cari tabel rute yang ingin Anda kelola, lalu klik ID-nya.
Contoh ini menunjukkan cara menemukan tabel rute sistem VPC.
Pada tab Route Entry List, pilih tab Custom Route, lalu klik Add Route Entry.

Di kotak dialog Add Route Entry, konfigurasikan parameter berikut dan klik OK.

Parameter	Deskripsi
Name	Masukkan nama untuk rute kustom.
Destination CIDR Block	Masukkan blok CIDR tujuan untuk rute kustom. Dalam contoh ini, IPv4 CIDR Block dipilih dan alamat IP VPN perangkat gateway lokal `192.168.0.251/32` dimasukkan.
Next Hop Type	Pilih jenis lompatan berikutnya. Dalam contoh ini, Direct Connect Gateway dipilih.
Leased Line Gateway	Pilih lompatan berikutnya untuk rute kustom. Dalam contoh ini, ECR dipilih.

Tambahkan rute kustom ke VBR.

Masuk ke Konsol Express Connect.
Di panel navigasi sebelah kiri, klik Virtual Border Routers (VBRs).
Di bilah navigasi atas, pilih wilayah tempat VBR ditempatkan.
Dalam contoh ini, China (Hangzhou) dipilih.
Di halaman Virtual Border Routers (VBRs), klik ID VBR yang ingin Anda kelola.
Klik tab Routes, lalu klik Add Route.

Di panel Add Route, konfigurasikan parameter berikut dan klik OK.

Parameter	Deskripsi
Next Hop Type	Pilih Physical Connection Interface.
Destination CIDR Block	Alamat IP VPN perangkat gateway lokal. Dalam contoh ini, `192.168.0.251/32` dimasukkan.
Next Hop	Pilih sirkuit Express Connect yang dibuat di Langkah 1.

Langkah 5: Uji dan verifikasi

Setelah menyelesaikan langkah-langkah sebelumnya, pusat data dapat berkomunikasi dengan VPC melalui koneksi pribadi dan terenkripsi. Bagian berikut menjelaskan cara memeriksa konektivitas antara pusat data dan VPC, serta memeriksa apakah koneksi pribadi dienkripsi oleh gateway VPN.

Periksa konektivitas jaringan.
1. Masuk ke ECS 1. Untuk informasi lebih lanjut, lihat Metode untuk Menghubungkan ke Instance ECS.
2. Jalankan perintah ping untuk ping klien di pusat data guna memeriksa konektivitas jaringan antara pusat data dan VPC.
```
ping <alamat IP klien di pusat data>
```
  Jika paket balasan echo dikembalikan, pusat data terhubung ke VPC.
Periksa apakah koneksi pribadi dienkripsi.
1. Masuk ke Konsol Gateway VPN.
2. Di bilah navigasi atas, pilih wilayah tempat gateway VPN ditempatkan.
  Dalam contoh ini, China (Hangzhou) dipilih.
3. Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.
4. Di halaman Koneksi IPsec, temukan koneksi IPsec-VPN yang dibuat di halaman IPsec Connections, temukan koneksi IPsec-VPN yang dibuat di Langkah 3 dan klik ID-nya.
5. Klik tab Monitor untuk melihat data pemantauan trafik.