VPN Gateway：Konfigurasikan Koneksi Aktif/Cadangan Menggunakan IPsec-VPN dan Sirkuit Express Connect

Skenario

Topik ini menggunakan skenario berikut untuk menunjukkan cara menggunakan IPsec-VPN dan sirkuit Express Connect dalam menghubungkan pusat data ke VPC. Sebuah perusahaan memiliki pusat data di Hangzhou dan telah menerapkan VPC1 di wilayah China (Hangzhou). Di VPC1, layanan cloud seperti Elastic Compute Service (ECS) digunakan untuk interaksi dan analitik data. Perusahaan ingin membangun koneksi aktif/cadangan antara pusat data dan VPC1. Berikut adalah penjelasan tentang koneksi tersebut:

• Koneksi 1: Buat sirkuit Express Connect dan gunakan transit router untuk menghubungkan pusat data ke VPC1.

• Koneksi 2: Asosiasikan gateway VPN dengan VPC independen (VPC2). VPC2 tidak memiliki layanan yang diterapkan dan hanya berfungsi sebagai node transit untuk menghubungkan pusat data ke cloud melalui koneksi IPsec-VPN. Pusat data kemudian dapat terhubung ke VPC1 melalui koneksi IPsec-VPN dan transit router.

  • Saat sirkuit Express Connect dan koneksi IPsec-VPN bekerja sesuai harapan, transit router dapat mempelajari rute menuju pusat data melalui sirkuit Express Connect dan koneksi IPsec-VPN. Secara default, rute yang dipelajari melalui sirkuit Express Connect memiliki prioritas lebih tinggi daripada yang dipelajari melalui koneksi IPsec-VPN. Oleh karena itu, data ditransfer dari VPC1 ke pusat data melalui sirkuit Express Connect secara default.

  • Jika sirkuit Express Connect down, rute yang dipelajari dari sirkuit Express Connect akan ditarik kembali dan rute yang dipelajari melalui koneksi IPsec-VPN secara otomatis mulai berlaku. Data ditransfer dari VPC1 ke pusat data melalui koneksi IPsec-VPN. Saat sirkuit Express Connect pulih, sirkuit Express Connect mengambil alih dan koneksi IPsec-VPN berfungsi sebagai koneksi cadangan.

Persiapan

• Anda harus merencanakan protokol routing untuk pusat data dan instance jaringan. Dalam topik ini, protokol routing berikut digunakan:

  • Static routing digunakan antara gateway pusat data dan gateway VPN.

  • Dynamic routing Border Gateway Protocol (BGP) digunakan antara perangkat gateway pusat data dan virtual border router (VBR).

    Catatan

    Dalam skenario di mana gateway VPN berfungsi sebagai koneksi cadangan, VBR harus dikonfigurasi dengan dynamic routing BGP. Gateway VPN dapat menggunakan static routing atau dynamic routing BGP.

• Anda harus merencanakan jaringan untuk pusat data dan instance jaringan. Pastikan blok CIDR pusat data tidak tumpang tindih dengan blok CIDR instance jaringan. Dalam topik ini, blok CIDR berikut digunakan.

  Item	Blok CIDR	Alamat IP
  VPC1	192.168.0.0/16	Alamat IP Instance ECS: 192.168.20.161
  VPC2	10.0.0.0/16	N/A
  VBR	10.1.0.0/30	ID VLAN: 0 Alamat IPv4 di sisi Alibaba Cloud: 10.1.0.1/30 Alamat IPv4 di sisi pelanggan: 10.1.0.2/30 Dalam topik ini, perangkat di sisi pelanggan mengacu pada perangkat gateway di pusat data.
  Pusat data	172.16.0.0/16	Alamat IP klien: 172.16.1.188
  Gateway pusat data	10.1.0.0/30	Alamat IP publik: 211.XX.XX.68 Alamat IP antarmuka yang terhubung ke sirkuit Express Connect: 10.1.0.2/30 Nomor sistem otonom BGP (ASN): 65530

• VPC1 dan VPC2 dibuat di wilayah China (Hangzhou). Layanan cloud yang digunakan untuk interaksi bisnis dan analitik data diterapkan di VPC1. Tidak ada layanan yang diterapkan di VPC2. VPC2 diasosiasikan dengan gateway VPN dan berfungsi sebagai VPC transit antara pusat data dan VPC1. Untuk informasi lebih lanjut, lihat Buat dan Kelola VPC.

• Periksa perangkat gateway di pusat data. Pastikan mendukung protokol IKEv1 dan IKEv2 standar. Untuk memeriksa apakah gateway mendukung protokol IKEv1 dan IKEv2, hubungi pabrikan gateway.

• Alamat IP statis dialokasikan ke perangkat gateway di pusat data.

• Anda memahami aturan grup keamanan instance ECS di VPC1. Pastikan aturan tersebut mengizinkan pusat data untuk mengakses instance ECS di VPC1. Untuk informasi lebih lanjut, lihat Lihat Aturan Grup Keamanan dan Tambahkan Aturan Grup Keamanan.

Prosedur

Langkah 1: Terapkan sirkuit Express Connect

1. Buat sirkuit Express Connect.

   Anda harus mengajukan permohonan untuk sirkuit Express Connect di wilayah China (Hangzhou). Untuk informasi lebih lanjut, lihat Mode Klasik atau Ikhtisar Koneksi Terkelola Melalui Sirkuit Express Connect.

2. Buat VBR.

   1. Masuk ke Konsol Express Connect.

   2. Di bilah navigasi sisi kiri, klik Virtual Border Routers (VBRs).

   3. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat VBR.

      Dalam contoh ini, wilayah China (Hangzhou) telah dipilih.

   4. Di halaman Virtual Border Routers (VBRs), klik Create VBR.

   5. Di panel Create VBR, atur parameter berikut dan klik OK.

      • Account: Pilih Current Account.

      • Name: VBR digunakan dalam contoh ini.

      • Physical Connection Interface: Pilih sirkuit Express Connect.

      • VLAN ID: Atur parameter ini ke 0.

      • Set VBR Bandwidth Value: Tentukan bandwidth maksimum VBR.

      • IPv4 Address (Alibaba Cloud Gateway): Atur parameter ini ke 10.1.0.1.

      • IPv4 Address (Data Center Gateway): Atur parameter ini ke 10.1.0.2.

      • Subnet Mask (IPv4): Atur parameter ini ke 255.255.255.252.

3. Konfigurasikan grup BGP.

   1. Di halaman Virtual Border Routers (VBRs), klik ID VBR.

   2. Di halaman detail, klik tab BGP Groups.

   3. Klik Create BGP Group, atur parameter berikut, lalu klik OK.

      • Name: Masukkan nama untuk grup BGP. Dalam contoh ini, test digunakan.

      • Peer ASN: Masukkan ASN perangkat gateway di pusat data. Dalam contoh ini, 65530 digunakan.

      • BGP Key: Masukkan kunci grup BGP. Parameter ini tidak disetel dalam contoh ini.

      • Description: Masukkan deskripsi grup BGP. Dalam contoh ini, test digunakan.

4. Konfigurasikan Peer BGP.

   1. Di halaman detail VBR, klik tab BGP Peers.

   2. Di tab BGP Peers, klik Create BGP Peer.

   3. Di panel Create BGP Peer, atur parameter berikut dan klik OK.

      • BGP Group: Pilih grup BGP. Grup BGP bernama test digunakan dalam contoh ini.

      • BGP Peer IP: Masukkan alamat IP untuk peer BGP. Dalam contoh ini, 10.1.0.2 digunakan, yang merupakan alamat IP port perangkat gateway di pusat data.

Langkah 2: Terapkan gateway VPN

1. Buat gateway VPN.

   1. Masuk ke Konsol Gateway VPN.

   2. Di bilah navigasi atas, pilih wilayah China (Hangzhou).

   3. Di halaman VPN Gateways, klik Create VPN Gateway.

   4. Di halaman pembelian, atur parameter berikut, klik Buy Now, lalu selesaikan pembayaran.

      • Name: Masukkan nama untuk gateway VPN.

      • Wilayah: Pilih wilayah tempat Anda ingin menerapkan gateway VPN.

        Dalam contoh ini, gateway VPN diasosiasikan dengan VPC2. Pastikan VPC2 dan gateway VPN diterapkan di wilayah yang sama. Dalam contoh ini, wilayah China (Hangzhou) dipilih.

      • Gateway Type: Pilih tipe gateway NAT yang ingin Anda buat. Dalam contoh ini, Standard dipilih.

      • Network Type: Pilih tipe jaringan gateway VPN. Public dipilih dalam contoh ini.

      • Tunnels: Sistem menampilkan mode yang didukung oleh koneksi IPsec-VPN di wilayah ini.

      • VPC: Pilih VPC tempat Anda ingin menerapkan gateway VPN. VPC2 dipilih dalam contoh ini.

      • VSwitch: Pilih vSwitch dari VPC.

        • Jika Anda memilih Single-tunnel, Anda hanya perlu menentukan satu vSwitch.

        • Jika Anda memilih Dual-tunnel, Anda perlu menentukan dua vSwitch.

          Setelah fitur IPsec-VPN diaktifkan, sistem membuat antarmuka jaringan elastis (ENI) untuk setiap dua vSwitch sebagai antarmuka untuk berkomunikasi dengan VPC melalui koneksi IPsec-VPN. Setiap ENI menempati satu alamat IP di vSwitch.

        Catatan

        • Sistem memilih vSwitch secara default. Anda dapat mengubahnya atau menggunakan vSwitch default.

        • Setelah gateway VPN dibuat, Anda tidak dapat memodifikasi vSwitch yang terkait dengan gateway VPN. Anda dapat melihat vSwitch yang terkait dengan gateway VPN, zona tempat vSwitch berada, dan ENI di vSwitch di halaman detail gateway VPN.

      • vSwitch 2: Pilih vSwitch lain dari VPC.

        Abaikan parameter ini jika koneksi IPsec-VPN menggunakan mode single-tunnel.

      • Bandwidth Maksimum: Tentukan bandwidth maksimum untuk gateway VPN. Bandwidth digunakan untuk transfer data melalui Internet.

      • Traffic: Secara default, gateway VPN menggunakan metode penagihan berdasarkan transfer data. Untuk informasi lebih lanjut, lihat Ikhtisar Penagihan.

      • IPsec-VPN: Anda dapat mengaktifkan atau menonaktifkan fitur IPsec-VPN. Setelah Anda mengaktifkan fitur ini, Anda dapat membangun koneksi antara pusat data dan VPC atau antara dua VPC. Dalam contoh ini, Enable dipilih.

      • SSL-VPN: Anda dapat mengaktifkan atau menonaktifkan fitur SSL-VPN. Setelah Anda mengaktifkan fitur ini, Anda dapat terhubung ke VPC dari klien tanpa memandang lokasi. Dalam contoh ini, Disable dipilih.

      • Duration: Secara default, VPN Gateway ditagih per jam.

      • Service-linked Role: Klik Create Service-linked Role dan sistem secara otomatis membuat peran layanan-tautan AliyunServiceRoleForVpn.

        Untuk informasi lebih lanjut, lihat AliyunServiceRoleForVpn. Jika Created ditampilkan, itu menunjukkan bahwa peran layanan-tautan sudah dibuat dan Anda tidak perlu membuatnya lagi.

   5. Kembali ke halaman VPN Gateways, periksa dan catat alamat IP publik gateway VPN untuk konfigurasi rute lebih lanjut untuk pusat data.

      Gateway VPN yang baru dibuat berada dalam status Preparing. Setelah sekitar 1 hingga 5 menit, ia masuk ke status Normal. Status Normal menunjukkan bahwa gateway VPN telah diinisialisasi dan siap digunakan.

2. Buat gateway pelanggan.

   1. Di bilah navigasi sisi kiri, pilih Cross-network Interconnection > VPN > Customer Gateways.

   2. Di halaman Customer Gateway, klik Create Customer Gateway.

   3. Di panel Create Customer Gateway, atur parameter berikut dan klik OK.

      • Name: Masukkan nama untuk gateway pelanggan.

      • IP Address: Masukkan alamat IP publik perangkat gateway di pusat data yang ingin Anda hubungkan ke VPC2. Dalam contoh ini, 211.XX.XX.68 digunakan.

      • ASN: Masukkan ASN perangkat gateway di pusat data. Parameter ini tidak disetel dalam contoh ini.

      • Description: Masukkan deskripsi untuk gateway pelanggan.

3. Buat koneksi IPsec-VPN.

   1. Di bilah navigasi sisi kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.

   2. Di halaman IPsec Connections, klik Bind VPN Gateway.

   3. Di halaman Create Ipsec-vpn Connection (VPN), atur parameter untuk koneksi IPsec-VPN, lalu klik OK.

      • Name: Masukkan nama untuk koneksi IPsec-VPN.

      • Region: Pilih wilayah tempat gateway VPN yang akan diasosiasikan dengan koneksi IPsec-VPN diterapkan.

      • Bind VPN Gateway: Pilih gateway VPN yang akan diasosiasikan dengan koneksi IPsec-VPN.

      • Routing Mode: Pilih mode routing. Dalam contoh ini, Destination Routing Mode dipilih.

      • Effective Immediately: Pilih apakah akan segera memulai negosiasi. Dalam contoh ini, No dipilih.

        • Yes: Memulai negosiasi setelah konfigurasi selesai.

        • No: Memulai negosiasi saat trafik masuk terdeteksi.

      • Pre-Shared Key: Masukkan kunci pra-berbagi. Kunci pra-berbagi perangkat gateway di pusat data harus sama dengan nilai ini. Dalam contoh ini, nilai acak digunakan secara default.

      • Encryption Configuration: Dalam contoh ini, IKEv1 digunakan dan parameter lainnya menggunakan pengaturan default.

      Untuk informasi lebih lanjut, lihat Buat dan Kelola Koneksi IPsec-VPN dalam Mode Single-tunnel.

4. Konfigurasikan rute pada gateway VPN.

   Anda harus menggunakan gateway VPN untuk mengiklankan rute pusat data ke VPC2.

   1. Setelah koneksi IPsec-VPN dibuat, klik OK di kotak dialog Established dan iklankan rute di gateway VPN.

   2. Di bilah navigasi sisi kiri, pilih Cross-network Interconnection > VPN > VPN Gateways.

   3. Di halaman VPN Gateways, temukan gateway VPN yang Anda buat dan klik ID-nya.

   4. Di tab Destination-based Route Table, klik Add Route Entry.

   5. Di panel Add Route Entry, atur parameter berikut dan klik OK.

      • Destination CIDR Block: Masukkan blok CIDR pusat data. Dalam contoh ini, 172.16.0.0/16 digunakan.

      • Next Hop Type: Pilih IPsec-VPN connection.

      • Next Hop: Pilih koneksi IPsec-VPN yang Anda buat.

      • Advertise to VPC: Tentukan apakah akan secara otomatis mengiklankan rute baru ke tabel rute VPC2. Dalam contoh ini, Yes dipilih.

      • Weight: Pilih bobot untuk rute. Dalam contoh ini, nilai 100 digunakan untuk menunjukkan prioritas tinggi.

        Catatan

        Jika gateway VPN berisi rute yang memiliki blok CIDR tujuan yang sama, Anda tidak dapat menentukan bobot rute tersebut menjadi 100 secara bersamaan.

5. Tambahkan konfigurasi VPN ke gateway pusat data.

   1. Di bilah navigasi sisi kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.

   2. Di halaman IPsec Connections, temukan koneksi IPsec-VPN dan klik Generate Peer Configuration di kolom Actions.

   3. Tambahkan konfigurasi koneksi IPsec ke gateway pusat data. Untuk informasi lebih lanjut, lihat Konfigurasikan Perangkat Gateway Lokal.

Langkah 3: Konfigurasikan instance CEN

Setelah Anda mengonfigurasi sirkuit Express Connect dan gateway VPN, Anda harus melampirkan VPC1, VPC2, dan VBR ke router transit. Router transit dapat menghubungkan pusat data ke VPC1.

1. Buat instance CEN. Pilih Create CEN Only.

2. Buat router transit.

   1. Masuk ke Konsol CEN.

   2. Di halaman Instances, klik Create CEN Instance.

   3. Di kotak dialog Create CEN Instance, konfigurasikan parameter berikut dan klik OK:

      • Name: Masukkan nama untuk instance CEN.

      • Description: Masukkan deskripsi untuk instance CEN.

3. Hubungkan VPC1 dan VPC2 ke router transit.

   Buat router transit di wilayah tempat VPC dan VBR berada. Router transit digunakan untuk menghubungkan VPC dan VBR ke CEN.

   1. Di halaman Instances, klik ID instance CEN yang ingin Anda kelola.

   2. Pilih Basic Information > Transit Router dan klik Create Transit Router.

   3. Di kotak dialog Create Transit Router, atur parameter dan klik OK.

      Buat router transit di wilayah China (Hangzhou) berdasarkan informasi berikut.

      Parameter	Deskripsi	China (Hangzhou)
      Region	Pilih wilayah tempat Anda ingin membuat router transit.	China (Hangzhou) dipilih dalam contoh ini.
      Edition	Edisi router transit.	Edisi router transit yang didukung di wilayah yang dipilih ditampilkan secara otomatis.
      Activate Multicast	Tentukan apakah akan mengaktifkan multicast.	Dalam contoh ini, pengaturan default digunakan. Multicast dinonaktifkan.
      Name	Masukkan nama untuk router transit.	Dalam contoh ini, nama kustom ditentukan untuk router transit.
      Description	Masukkan deskripsi untuk router transit.	Dalam contoh ini, deskripsi kustom ditentukan untuk router transit.
      Transit Router CIDR	Masukkan blok CIDR untuk router transit. Untuk informasi lebih lanjut, lihat Blok CIDR Router Transit.	Dalam contoh ini, tidak ada blok CIDR yang ditentukan untuk router transit.

4. Hubungkan VBR ke router transit.

   1. Di halaman Instances, klik ID instance CEN yang ingin Anda kelola.

   2. Di tab Basic Information > Transit Router, temukan router transit di wilayah China (Hangzhou) dan klik Create Connection di kolom Actions.

   3. Di halaman Connection with Peer Network Instance, konfigurasikan parameter berikut dan klik OK:

      Tabel berikut menjelaskan parameter untuk VPC1 dan VPC2. Hubungkan VPC1 dan VPC2 ke router transit berdasarkan informasi berikut.

      Catatan

      Pertama kali Anda melakukan operasi ini, sistem secara otomatis membuat peran layanan-tautan AliyunServiceRoleForCEN. Peran ini memungkinkan router transit untuk membuat ENI pada vSwitch di VPC. Untuk informasi lebih lanjut, lihat AliyunServiceRoleForCEN.

      Parameter	Deskripsi	VPC1	VPC2
      Network Type	Pilih tipe instance jaringan yang ingin Anda hubungkan.	VPC	VPC
      Region	Wilayah tempat instance VBR yang diinginkan diterapkan.	China (Hangzhou)	China (Hangzhou)
      Transit Router	ID router transit di wilayah yang dipilih ditampilkan secara otomatis.
      Resource Owner ID	Pilih akun Alibaba Cloud tempat instance jaringan berada.	Your Account	Your Account
      Billing Method	Nilai default: Pay-As-You-Go. Untuk informasi lebih lanjut, lihat Penagihan.
      Attachment Name	Masukkan nama untuk koneksi jaringan.	VPC1-test	VPC2-test
      Networks	Pilih ID instance jaringan.	Pilih VPC1.	Pilih VPC2.
      VSwitch	Pilih vSwitch yang diterapkan di zona router transit. Jika router transit hanya mendukung satu zona di wilayah saat ini, Anda perlu memilih vSwitch di zona tersebut. Jika router transit mendukung beberapa zona di wilayah saat ini, Anda perlu memilih setidaknya dua vSwitch yang berada di zona berbeda. Saat VPC dan router transit berkomunikasi, kedua vSwitch ini dapat mengimplementasikan pemulihan bencana tingkat zona. Kami sarankan Anda memilih vSwitch di setiap zona untuk mengurangi latensi jaringan dan meningkatkan kinerja jaringan karena data dapat ditransmisikan melalui jarak yang lebih pendek. Pastikan setiap vSwitch yang dipilih memiliki alamat IP idle.Jika VPC tidak memiliki vSwitch di zona yang didukung oleh router transit, atau jika vSwitch tidak memiliki alamat IP idle, Anda perlu membuat vSwitch baru. Untuk informasi lebih lanjut, lihat Buat dan kelola vSwitch. Untuk informasi lebih lanjut, lihat Buat koneksi VPC.	Pilih satu vSwitch di Zona H dan satu vSwitch di Zona I.	Pilih satu vSwitch di Zona H dan satu vSwitch di Zona I.
      Advanced Settings	Fitur lanjutan berikut dipilih secara default. Anda dapat memilih atau menghapus fitur lanjutan berdasarkan kebutuhan bisnis. Gunakan pengaturan default untuk VPC1 dan VPC2. Semua fitur lanjutan diaktifkan untuk VPC tersebut. Associate with Default Route Table of Transit Router Saat diaktifkan, koneksi VPC secara otomatis diasosiasikan dengan tabel rute default router transit. Router transit meneruskan lalu lintas berdasarkan tabel rute default. Propagate System Routes to Default Route Table of Transit Router Setelah fitur ini diaktifkan, rute sistem VPC diiklankan ke tabel rute default router transit. VPC kemudian dapat berkomunikasi dengan instance jaringan lain yang terhubung ke router transit. Automatically Creates Route That Points to Transit Router and Adds to All Route Tables of Current VPC Setelah fitur ini diaktifkan, sistem secara otomatis menambahkan tiga rute berikut ke semua tabel rute VPC: 10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16. Hop berikutnya dari rute tersebut mengarah ke VPC. Rute digunakan untuk meneruskan trafik IPv4 dari VPC ke router transit. Secara default, router transit tidak mengiklankan rute ke VPC. Penting Jika instance VPC memerlukan komunikasi IPv6, setelah membuat koneksi VPC, Anda harus mengaktifkan fitur sinkronisasi rute untuk koneksi VPC atau secara manual menambahkan entri rute IPv6 yang mengarah ke koneksi VPC di VPC. Hanya dengan begitu trafik IPv6 dapat masuk ke router transit.

5. Lampirkan VBR ke instance CEN.

   1. Di halaman Instances, klik ID instance CEN yang ingin Anda kelola.

   2. Di tab Basic Information > Transit Router, temukan router transit di wilayah China (Hangzhou) dan klik Create Connection di kolom Actions.

   3. Di halaman Connection with Peer Network Instance, konfigurasikan parameter berikut dan klik OK:

      • Network Type: Pilih tipe instance jaringan yang ingin Anda lampirkan. Dalam contoh ini, Virtual Border Router (VBR) dipilih.

      • Region: Pilih wilayah tempat instance jaringan diterapkan. Dalam contoh ini, China (Hangzhou) dipilih.

      • Transit Router: Sistem secara otomatis menampilkan ID router transit di wilayah saat ini.

      • Resource Owner ID: Pilih akun Alibaba Cloud tempat instance jaringan berada. Your Account digunakan dalam contoh ini.

      • Attachment Name: Masukkan nama untuk instance jaringan. VBR digunakan dalam contoh ini.

      • Networks: Pilih ID instance jaringan yang ingin Anda lampirkan. Dalam contoh ini, ID VBR dipilih.

      • Advanced Settings: Gunakan pengaturan default.

6. Iklankan rute pusat data dari VPC2 ke CEN.

   Setelah menggunakan gateway VPN untuk mengiklankan rute pusat data ke VPC2, rute di VPC2 secara default berstatus NonPublished. Anda perlu secara manual mengiklankan rute pusat data dari VPC2 ke CEN agar router transit dapat mempelajari rute tersebut dari VPC2.

   1. Masuk ke Konsol CEN.

   2. Pada halaman Instances, cari instance CEN yang ingin dikelola dan klik ID-nya.

   3. Di halaman detail, temukan router transit di China (Hangzhou) dan klik ID-nya.

   4. Di halaman detail router transit, klik tab Network Instance Route Table.

   5. Pada tab Network Instance Route Table, temukan rute VPC2 dengan tujuan pusat data, lalu klik Advertise di kolom Advertisement Status.

   6. Dalam pesan PublishRoute, klik OK.

7. Konfigurasikan pemeriksaan kesehatan untuk sirkuit Express Connect.

   Anda perlu mengonfigurasi pemeriksaan kesehatan untuk sirkuit Express Connect. Selama pemeriksaan, paket probe dikirimkan berdasarkan interval yang telah Anda tentukan. Jika sejumlah paket probe yang ditentukan hilang secara berturut-turut dalam periode waktu tertentu, instance CEN akan mengalihkan lalu lintas melalui koneksi IPsec-VPN.

   1. Masuk ke Konsol CEN atau .

   2. Di bilah navigasi sisi kiri, klik Health Check.

   3. Di halaman Health Check, pilih wilayah VBR dan klik Set Health Check.

   4. Di halaman Set Health Check, atur parameter yang diperlukan dan klik OK.

      • Instances: Pilih instance CEN tempat VBR dilampirkan.

      • Virtual Border Router (VBR): Pilih VBR yang ingin dipantau.

      • Source IP: Pada contoh ini, opsi Automatic IP Address telah dipilih.

        Jika Anda memilih Automatic IP Address, sistem secara otomatis mengalokasikan alamat IP dalam blok CIDR 100.96.0.0/16 untuk memantau konektivitas sirkuit Express Connect.

      • Destination IP: Masukkan alamat IP di sisi pelanggan VBR.

      • Probe Interval (Seconds): Tentukan interval waktu pengiriman paket probe untuk pemeriksaan kesehatan. Unit: detik. Dalam contoh ini, nilai default digunakan.

      • Probe Packets: Tentukan jumlah paket probe yang dikirim di setiap interval. Unit: klien. Nilai default digunakan dalam contoh ini.

      • Change Route: Tentukan apakah akan mengaktifkan fitur pengalihan rute. Dalam contoh ini, pengaturan default digunakan. Fitur pengalihan rute diaktifkan.

        Fitur ini diaktifkan secara default. Jika rute redundan dikonfigurasikan pada instance CEN, fitur pemeriksaan kesehatan segera beralih ke rute redundan jika terdeteksi kesalahan pada sirkuit Express Connect.

        Jika Anda menonaktifkan fitur ini, pemeriksaan kesehatan hanya melakukan pemantauan. Jika terdeteksi kesalahan pada sirkuit Express Connect, rute tidak dialihkan.

        Peringatan

        Sebelum Anda menghapus centang kotak, pastikan bahwa trafik jaringan dapat dialihkan ke rute redundan menggunakan mekanisme lain. Jika tidak, koneksi jaringan akan terputus jika sirkuit Express Connect gagal.

Langkah 4: Konfigurasikan gateway pusat data

Kode contoh berikut hanya untuk referensi. Perintah dapat bervariasi antar vendor. Hubungi vendor Anda untuk informasi lebih lanjut mengenai perintah spesifik.

#Konfigurasikan dynamic routing BGP, buat koneksi peering BGP ke VBR, dan iklankan rute pusat data ke Alibaba Cloud.
interface GigabitEthernet 0/12          #Port digunakan untuk menghubungkan perangkat gateway pusat data ke sirkuit Express Connect.
no switchport
ip address 10.1.0.2 255.255.255.252     #Alamat IP port. Alamat IP harus sama dengan alamat IPv4 VBR di sisi pelanggan.

router bgp 65530
bgp router-id 10.1.0.2                  
network 172.16.0.0 mask 255.255.0.0     #Iklankan rute pusat data ke Alibaba Cloud.
neighbor 10.1.0.1 remote-as 45104       #Buat koneksi peering ke VBR.
exit

#Atur prioritas rute yang mengarah ke VPC1 melalui gateway VPN. Prioritas harus lebih rendah daripada rute BGP.
ip route 192.168.0.0 255.255.0.0 <Alamat IP publik gateway VPN> preference 255
     

Langkah 5: Uji konektivitas jaringan

1. Buka antarmuka baris perintah (CLI) pada klien di pusat data.

2. Jalankan perintah ping untuk memeriksa alamat IP instance ECS di VPC1. Alamat IP instance ECS berada dalam blok CIDR 192.168.0.0/16. Jika klien menerima paket respons, ini menunjukkan bahwa pusat data terhubung ke VPC1.

3. Di gateway pusat data, nonaktifkan port sirkuit Express Connect dan hentikan koneksi sirkuit Express Connect. Jalankan kembali perintah ping di klien untuk menguji konektivitas antara pusat data dan VPC1. Jika Anda menerima paket respons, ini menunjukkan bahwa koneksi cadangan IPsec-VPN berfungsi sesuai harapan.