VPN Gateway:Buat beberapa koneksi IPsec-VPN melalui Internet untuk load balancing

Skenario

Topik ini menggunakan skenario pada gambar sebelumnya sebagai contoh. Sebuah perusahaan memiliki pusat data di wilayah Tiongkok (Hangzhou) dan VPC di wilayah Tiongkok (Shanghai). Aplikasi diterapkan pada instance Elastic Compute Service (ECS) di VPC. Perusahaan ingin menggunakan Gateway VPN untuk membuat koneksi terenkripsi ke Alibaba Cloud guna berkomunikasi dengan VPC, serta membuat beberapa terowongan terenkripsi antara pusat data dan VPC. Terowongan-terowongan tersebut membentuk tautan ECMP untuk menyeimbangkan beban lalu lintas.

Perusahaan dapat membuat beberapa koneksi IPsec-VPN antara pusat data dan Alibaba Cloud untuk membangun koneksi terenkripsi, lalu menggunakan Cloud Enterprise Network (CEN) untuk menghubungkan koneksi IPsec-VPN dan VPC. Setelah koneksi IPsec-VPN ditambahkan ke instans CEN, koneksi tersebut secara otomatis membentuk tautan ECMP, sehingga memungkinkan komunikasi dan penyeimbangan beban lalu lintas antara pusat data dan VPC.

Perencanaan jaringan

Fitur jaringan

Fitur jaringan berikut digunakan dalam skenario ini:

• Membuat koneksi IPsec-VPN antara pusat data dan Alibaba Cloud melalui Internet. Dalam skenario ini, Gateway Type koneksi IPsec-VPN diatur ke Public.

• Jenis sumber daya yang disambungkan ke koneksi IPsec-VPN adalah CEN. Hal ini memungkinkan beberapa koneksi IPsec-VPN membentuk tautan ECMP.

• Menggunakan perutean dinamis Border Gateway Protocol (BGP) antara koneksi IPsec-VPN dan pusat data.

Perencanaan blok CIDR

Persiapan

Prosedur konfigurasi

Langkah 1: Buat gateway pelanggan

Sebelum membuat koneksi IPsec-VPN, Anda harus membuat gateway pelanggan untuk mendaftarkan perangkat gateway lokal ke Alibaba Cloud.

1. Masuk ke Konsol Gateway VPN.

2. Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > Customer Gateways.

3. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway pelanggan.

   Pilih wilayah yang paling dekat dengan pusat data Anda. Dalam topik ini, China (Hangzhou) dipilih.

4. Pada halaman Customer Gateway, klik Create Customer Gateway.

5. Pada panel Create Customer Gateway, konfigurasi parameter dan klik OK.

   Buat tiga gateway pelanggan di wilayah Tiongkok (Hangzhou) dengan konfigurasi berikut. Gunakan nilai default untuk parameter lainnya. Untuk informasi selengkapnya, lihat Buat dan kelola gateway pelanggan.

   Parameter	Deskripsi	Gateway Pelanggan 1	Gateway Pelanggan 2	Gateway Pelanggan 3
   Name	Masukkan nama untuk gateway pelanggan.	Masukkan Customer-Gateway1.	Masukkan Customer-Gateway2.	Masukkan Customer-Gateway3.
   IP Address	Masukkan alamat IP publik perangkat gateway lokal.	Masukkan alamat IP publik perangkat gateway lokal 1: 11.XX.XX.1.	Masukkan alamat IP publik perangkat gateway lokal 2: 11.XX.XX.2.	Masukkan alamat IP publik perangkat gateway lokal 3: 11.XX.XX.3.
   ASN	Masukkan Nomor Sistem Otonom (ASN) BGP perangkat gateway lokal.	Masukkan 65530.

Langkah 2: Buat koneksi IPsec-VPN

Setelah membuat gateway pelanggan, buat koneksi IPsec-VPN di sisi Alibaba Cloud.

1. Masuk ke Konsol Gateway VPN.

2. Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.

3. Pada halaman IPsec Connections, klik Bind CEN.

4. Pada halaman Create IPsec Connection (CEN), konfigurasi koneksi IPsec-VPN dan klik OK.

   Buat tiga koneksi IPsec-VPN di wilayah Tiongkok (Hangzhou) dengan konfigurasi berikut. Gunakan nilai default untuk parameter lainnya. Untuk informasi selengkapnya, lihat Kelola koneksi IPsec-VPN single-tunnel.

   Parameter	Deskripsi	Koneksi IPsec-VPN 1	Koneksi IPsec-VPN 2	Koneksi IPsec-VPN 3
   IPsec Connection Name	Masukkan nama untuk koneksi IPsec-VPN.	Masukkan IPsec-VPN Connection 1.	Masukkan IPsec-VPN Connection 2.	Masukkan IPsec-VPN Connection 3.
   Region	Pilih wilayah router transit yang akan disambungkan. Koneksi IPsec-VPN dibuat di wilayah yang sama dengan router transit.	Pilih China (Hangzhou).
   Gateway Type	Pilih jenis jaringan koneksi IPsec-VPN.	Pilih Public.
   Attach To CEN	Pilih akun yang memiliki router transit.	Pilih Attach To Current Account.
   CEN Instance ID	Pilih instans CEN.	Pilih instans CEN yang Anda buat di bagian "Persiapan". Sistem menampilkan ID instans dan blok CIDR router transit yang dibuat oleh instans CEN di wilayah saat ini. Koneksi IPsec-VPN akan disambungkan ke router transit.
   Zone	Pilih zona tempat men-deploy koneksi IPsec-VPN. Zona harus didukung oleh router transit.	Pilih Hangzhou Zone H.
   Routing Mode	Pilih mode perutean.	Pilih Destination-based Routing. Catatan Jika Anda menggunakan perutean dinamis BGP, kami menyarankan Anda memilih Destination-based Routing.
   Effective Immediately	Pilih apakah konfigurasi koneksi IPsec-VPN langsung berlaku. Nilai yang valid: Yes: Negosiasi dimulai segera setelah konfigurasi selesai. No: Negosiasi terjadi saat lalu lintas masuk.	Pilih Ya.
   Customer Gateway	Pilih gateway pelanggan yang akan dikaitkan dengan koneksi IPsec-VPN.	Pilih Customer-Gateway1.	Pilih Customer-Gateway2.	Pilih Customer-Gateway3.
   Pre-Shared Key	Masukkan kunci autentikasi untuk koneksi IPsec-VPN. Kunci ini digunakan untuk otentikasi identitas antara perangkat gateway lokal dan koneksi IPsec-VPN. Kunci harus terdiri dari 1 hingga 100 karakter. Kunci dapat berisi angka, huruf, dan karakter khusus berikut: ~`!@#$%^&*()_-+={}[]\|;:',.<>/?. Kunci tidak boleh mengandung spasi. Jika Anda tidak menentukan pre-shared key, sistem akan menghasilkan string acak sepanjang 16 karakter. Setelah koneksi IPsec-VPN dibuat, Anda dapat mengklik Edit untuk terowongan guna melihat pre-shared key yang dihasilkan sistem. Penting Koneksi IPsec-VPN dan perangkat gateway peer harus menggunakan pre-shared key yang sama. Jika tidak, sistem tidak dapat membuat koneksi IPsec-VPN.	Masukkan fddsFF123****.	Masukkan fddsFF456****.	Masukkan fddsFF789****.
   Enable BGP	Pilih apakah akan mengaktifkan BGP. BGP dinonaktifkan secara default.	Aktifkan BGP.
   Local ASN	Masukkan ASN untuk koneksi IPsec-VPN.	Masukkan 65531.	Masukkan 65531.	Masukkan 65531.
   Encryption Configuration	Tentukan konfigurasi enkripsi, seperti konfigurasi IKE dan IPsec.	Gunakan nilai default untuk semua parameter kecuali yang berikut. Pada bagian IKE Configurations, atur DH Group ke group14. Pada bagian IPsec Configurations, atur DH Group ke group14. Catatan Anda perlu memilih parameter enkripsi berdasarkan perangkat gateway lokal untuk memastikan konfigurasi enkripsi koneksi IPsec sama dengan konfigurasi perangkat gateway lokal.
   BGP Configuration
   Tunnel CIDR Block	Masukkan blok CIDR untuk terowongan terenkripsi. Blok CIDR terowongan harus berupa subnet /30 dalam 169.254.0.0/16. Blok CIDR tidak boleh 169.254.0.0/30, 169.254.1.0/30, 169.254.2.0/30, 169.254.3.0/30, 169.254.4.0/30, 169.254.5.0/30, 169.254.6.0/30, atau 169.254.169.252/30.	Masukkan 169.254.10.0/30.	Masukkan 169.254.11.0/30.	Masukkan 169.254.12.0/30.
   Local BGP IP address	Masukkan alamat IP BGP untuk koneksi IPsec-VPN. Alamat ini harus merupakan alamat IP dalam blok CIDR terowongan.	Masukkan 169.254.10.1.	Masukkan 169.254.11.1.	Masukkan 169.254.12.1.
   Advanced Configuration	Pilih apakah akan mengaktifkan konfigurasi lanjutan untuk mendistribusikan dan mempelajari rute koneksi IPsec-VPN secara otomatis. Konfigurasi lanjutan diaktifkan secara default.	Gunakan nilai default. Semua konfigurasi lanjutan diaktifkan.

   Setelah koneksi IPsec-VPN dibuat, sistem secara otomatis menetapkan alamat IP gateway untuk setiap koneksi. Alamat ini digunakan untuk membuat koneksi dengan perangkat gateway lokal. Anda dapat melihat alamat IP gateway pada halaman detail koneksi IPsec-VPN, seperti yang ditunjukkan pada gambar berikut.

   Dalam topik ini, sistem menetapkan alamat IP gateway yang ditunjukkan pada tabel berikut untuk ketiga koneksi IPsec-VPN.

   Koneksi IPsec-VPN	Alamat IP gateway
   Koneksi IPsec-VPN 1	120.XX.XX.191
   Koneksi IPsec-VPN 2	47.XX.XX.213
   Koneksi IPsec-VPN 3	47.XX.XX.161

   Catatan

   Sistem hanya menetapkan alamat IP gateway ke koneksi IPsec-VPN setelah koneksi tersebut disambungkan ke router transit.

5. Kembali ke halaman IPsec-VPN connection. Temukan koneksi IPsec-VPN yang Anda buat. Di kolom Actions, pilih Generate Peer Configuration.

   Unduh konfigurasi untuk ketiga koneksi IPsec-VPN dan simpan ke komputer Anda. Anda akan menggunakan konfigurasi ini untuk mengonfigurasi perangkat gateway lokal.

Langkah 3: Konfigurasi perangkat gateway lokal

Setelah membuat koneksi IPsec-VPN, gunakan konfigurasi yang diunduh untuk menambahkan konfigurasi VPN dan BGP ke ketiga perangkat gateway lokal. Hal ini membuat koneksi IPsec-VPN antara pusat data dan Alibaba Cloud.

1. Konfigurasi perangkat gateway lokal.

   Contoh konfigurasi untuk perangkat gateway lokal 1

   1. Masuk ke CLI firewall Cisco dan masuk ke mode konfigurasi.

      ciscoasa> enable
      Password: ********             # Masukkan kata sandi untuk masuk ke mode enable. 
      ciscoasa# configure terminal   # Masuk ke mode konfigurasi. 
      ciscoasa(config)#     

   2. Lihat konfigurasi antarmuka.

      Pastikan firewall Cisco memiliki konfigurasi antarmuka yang lengkap dan antarmuka diaktifkan. Berikut adalah contoh konfigurasi antarmuka yang digunakan dalam topik ini.

      # Lihat konfigurasi antarmuka perangkat gateway lokal 1.
      ciscoasa(config)# show running-config interface
      !
      interface GigabitEthernet0/0                # Antarmuka yang terhubung ke Internet.
       nameif outside1                            # Nama antarmuka GigabitEthernet0/0.
       security-level 0
       ip address 11.XX.XX.1 255.255.255.255      # Alamat IP publik yang dikonfigurasi untuk antarmuka GigabitEthernet0/0.
      !
      interface GigabitEthernet0/1                # Antarmuka yang terhubung ke pusat data.
       nameif private                             # Nama antarmuka GigabitEthernet0/1.
       security-level 100                         # Tentukan bahwa tingkat keamanan antarmuka private yang terhubung ke pusat data lebih rendah daripada antarmuka publik.
       ip address 192.168.50.216 255.255.255.0    # Alamat IP yang dikonfigurasi untuk antarmuka GigabitEthernet0/1.
      !

   3. Aktifkan fitur IKEv2 untuk antarmuka publik.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 1.
      crypto ikev2 enable outside1 # Aktifkan fitur IKEv2 untuk antarmuka outside1 (antarmuka publik) perangkat gateway lokal 1.

   4. Buat kebijakan IKEv2. Tentukan algoritma autentikasi, algoritma enkripsi, grup DH, dan masa berlaku SA untuk fase IKE. Konfigurasi ini harus konsisten dengan konfigurasi di sisi Alibaba Cloud.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 1.
      crypto ikev2 policy 10     
       encryption aes             # Tentukan algoritma enkripsi.
       integrity sha              # Tentukan algoritma autentikasi.
       group 14                   # Tentukan grup DH.
       prf sha                    # prf harus konsisten dengan integrity. Di sisi Alibaba Cloud, prf konsisten dengan algoritma autentikasi secara default.
       lifetime seconds 86400     # Tentukan masa berlaku SA.

   5. Buat proposal dan profil IPsec. Tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa berlaku SA untuk fase IPsec di firewall Cisco. Konfigurasi ini harus konsisten dengan konfigurasi di sisi Alibaba Cloud.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 1.
      crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Buat proposal IPsec.
       protocol esp encryption aes                         # Tentukan algoritma enkripsi. Protokolnya adalah ESP. Sisi Alibaba Cloud menggunakan protokol ESP secara default.
       protocol esp integrity sha-1                        # Tentukan algoritma autentikasi. Protokolnya adalah ESP. Sisi Alibaba Cloud menggunakan protokol ESP secara default.
      crypto ipsec profile ALIYUN-PROFILE                  
       set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Buat profil IPsec dan terapkan proposal yang dibuat. 
       set ikev2 local-identity address                    # Tentukan bahwa ID lokal menggunakan format alamat IP, yang harus konsisten dengan format RemoteId di sisi Alibaba Cloud.
       set pfs group14                                     # Tentukan PFS dan grup DH.
       set security-association lifetime seconds 86400     # Tentukan masa berlaku SA berbasis waktu.
       set security-association lifetime kilobytes unlimited # Nonaktifkan masa berlaku SA berbasis lalu lintas.

   6. Buat grup terowongan. Tentukan kunci pra-bersama untuk terowongan. Konfigurasi ini harus konsisten dengan kunci di sisi Alibaba Cloud.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 1.
      tunnel-group 120.XX.XX.191 type ipsec-l2l                  # Tentukan mode enkapsulasi terowongan sebagai l2l.
      tunnel-group 120.XX.XX.191 ipsec-attributes             
       ikev2 remote-authentication pre-shared-key fddsFF123****  # Tentukan kunci pra-bersama peer terowongan, yaitu kunci pra-bersama di sisi Alibaba Cloud.
       ikev2 local-authentication pre-shared-key fddsFF123****   # Tentukan kunci pra-bersama lokal untuk terowongan, yang harus konsisten dengan kunci di sisi Alibaba Cloud.
      !

   7. Buat antarmuka terowongan.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 1.
      interface Tunnel1                                  # Buat antarmuka terowongan.
       nameif ALIYUN1
       ip address 169.254.10.2 255.255.255.252           # Tentukan alamat IP antarmuka.
       tunnel source interface outside1                  # Tentukan alamat sumber terowongan sebagai antarmuka publik GigabitEthernet0/0.
       tunnel destination 120.XX.XX.191                   # Tentukan alamat tujuan terowongan sebagai alamat IP publik koneksi IPsec-VPN 1 di sisi Alibaba Cloud.
       tunnel mode ipsec ipv4
       tunnel protection ipsec profile ALIYUN-PROFILE    # Terapkan profil IPsec ALIYUN-PROFILE ke terowongan.
       no shutdown                                       # Aktifkan antarmuka terowongan.
      !

   8. Konfigurasi rute.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 1.
      route outside1 120.XX.XX.191 255.255.255.255 192.XX.XX.172   # Konfigurasi rute untuk mengakses alamat IP publik koneksi IPsec-VPN 1 di sisi Alibaba Cloud. Lompatan berikutnya adalah alamat IP eksternal.
      route private 192.168.0.0 255.255.255.0 192.168.50.215         # Konfigurasi rute ke pusat data.
      route private 192.168.1.0 255.255.255.0 192.168.50.215
      route private 192.168.2.0 255.255.255.0 192.168.50.215
      
      router bgp 65530
       address-family ipv4 unicast
        neighbor 169.254.10.1 remote-as 65531       # Tentukan peer BGP, yaitu alamat IP BGP koneksi IPsec-VPN 1 di sisi Alibaba Cloud.
        neighbor 169.254.10.1 ebgp-multihop 255
        neighbor 169.254.10.1 activate              # Aktifkan peer BGP.
        network 192.168.0.0 mask 255.255.255.0        # Iklankan blok CIDR pusat data.
        network 192.168.1.0 mask 255.255.255.0
        network 192.168.2.0 mask 255.255.255.0
       exit-address-family

   Contoh konfigurasi untuk perangkat gateway lokal 2

   1. Masuk ke CLI firewall Cisco dan masuk ke mode konfigurasi.

      ciscoasa> enable
      Password: ********             # Masukkan kata sandi untuk masuk ke mode enable. 
      ciscoasa# configure terminal   # Masuk ke mode konfigurasi. 
      ciscoasa(config)#     

   2. Lihat konfigurasi antarmuka.

      Pastikan firewall Cisco memiliki konfigurasi antarmuka yang lengkap dan antarmuka diaktifkan. Berikut adalah contoh konfigurasi antarmuka yang digunakan dalam topik ini.

      # Lihat konfigurasi antarmuka perangkat gateway lokal 2.
      ciscoasa(config)# show running-config interface
      !
      interface GigabitEthernet0/0                # Antarmuka yang terhubung ke Internet.
       nameif outside1                            # Nama antarmuka GigabitEthernet0/0.
       security-level 0
       ip address 11.XX.XX.2 255.255.255.255      # Alamat IP publik yang dikonfigurasi untuk antarmuka GigabitEthernet0/0.
      !
      interface GigabitEthernet0/1                # Antarmuka yang terhubung ke pusat data.
       nameif private                             # Nama antarmuka GigabitEthernet0/1.
       security-level 100                         # Tentukan bahwa tingkat keamanan antarmuka private yang terhubung ke pusat data lebih rendah daripada antarmuka publik.
       ip address 192.168.50.218 255.255.255.0    # Alamat IP yang dikonfigurasi untuk antarmuka GigabitEthernet0/1.
      !

   3. Aktifkan fitur IKEv2 untuk antarmuka publik.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 2.
      crypto ikev2 enable outside1 # Aktifkan fitur IKEv2 untuk antarmuka outside1 (antarmuka publik) perangkat gateway lokal 2.

   4. Buat kebijakan IKEv2. Tentukan algoritma autentikasi, algoritma enkripsi, grup DH, dan masa berlaku SA untuk fase IKE. Konfigurasi ini harus konsisten dengan konfigurasi di sisi Alibaba Cloud.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 2.
      crypto ikev2 policy 10     
       encryption aes             # Tentukan algoritma enkripsi.
       integrity sha              # Tentukan algoritma autentikasi.
       group 14                   # Tentukan grup DH.
       prf sha                    # prf harus konsisten dengan integrity. Di sisi Alibaba Cloud, prf konsisten dengan algoritma autentikasi secara default.
       lifetime seconds 86400     # Tentukan masa berlaku SA.

   5. Buat proposal dan profil IPsec. Tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa berlaku SA untuk fase IPsec di firewall Cisco. Konfigurasi ini harus konsisten dengan konfigurasi di sisi Alibaba Cloud.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 2.
      crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Buat proposal IPsec.
       protocol esp encryption aes                         # Tentukan algoritma enkripsi. Protokolnya adalah ESP. Sisi Alibaba Cloud menggunakan protokol ESP secara default.
       protocol esp integrity sha-1                        # Tentukan algoritma autentikasi. Protokolnya adalah ESP. Sisi Alibaba Cloud menggunakan protokol ESP secara default.
      crypto ipsec profile ALIYUN-PROFILE                  
       set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Buat profil IPsec dan terapkan proposal yang dibuat. 
       set ikev2 local-identity address                    # Tentukan bahwa ID lokal menggunakan format alamat IP, yang harus konsisten dengan format RemoteId di sisi Alibaba Cloud.
       set pfs group14                                     # Tentukan PFS dan grup DH.
       set security-association lifetime seconds 86400     # Tentukan masa berlaku SA berbasis waktu.
       set security-association lifetime kilobytes unlimited # Nonaktifkan masa berlaku SA berbasis lalu lintas.

   6. Buat grup terowongan. Tentukan kunci pra-bersama untuk terowongan. Konfigurasi ini harus konsisten dengan kunci di sisi Alibaba Cloud.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 2.
      tunnel-group 47.XX.XX.213 type ipsec-l2l                  # Tentukan mode enkapsulasi terowongan sebagai l2l.
      tunnel-group 47.XX.XX.213 ipsec-attributes             
       ikev2 remote-authentication pre-shared-key fddsFF456****  # Tentukan kunci pra-bersama peer terowongan, yaitu kunci pra-bersama di sisi Alibaba Cloud.
       ikev2 local-authentication pre-shared-key fddsFF456****   # Tentukan kunci pra-bersama lokal untuk terowongan, yang harus konsisten dengan kunci di sisi Alibaba Cloud.
      !

   7. Buat antarmuka terowongan.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 2.
      interface Tunnel1                                  # Buat antarmuka terowongan.
       nameif ALIYUN1
       ip address 169.254.11.2 255.255.255.252           # Tentukan alamat IP antarmuka.
       tunnel source interface outside1                  # Tentukan alamat sumber terowongan sebagai antarmuka publik GigabitEthernet0/0.
       tunnel destination 47.XX.XX.213                   # Tentukan alamat tujuan terowongan sebagai alamat IP publik koneksi IPsec-VPN 2 di sisi Alibaba Cloud.
       tunnel mode ipsec ipv4
       tunnel protection ipsec profile ALIYUN-PROFILE    # Terapkan profil IPsec ALIYUN-PROFILE ke terowongan.
       no shutdown                                       # Aktifkan antarmuka terowongan.
      !

   8. Konfigurasi rute.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 2.
      route outside1 47.XX.XX.213 255.255.255.255 192.XX.XX.173   # Konfigurasi rute untuk mengakses alamat IP publik koneksi IPsec-VPN 2 di sisi Alibaba Cloud. Lompatan berikutnya adalah alamat IP eksternal.
      route private 192.168.0.0 255.255.255.0 192.168.50.217         # Konfigurasi rute ke pusat data.
      route private 192.168.1.0 255.255.255.0 192.168.50.217
      route private 192.168.2.0 255.255.255.0 192.168.50.217
      
      router bgp 65530
       address-family ipv4 unicast
        neighbor 169.254.11.1 remote-as 65531       # Tentukan peer BGP, yaitu alamat IP BGP koneksi IPsec-VPN 2 di sisi Alibaba Cloud.
        neighbor 169.254.11.1 ebgp-multihop 255
        neighbor 169.254.11.1 activate              # Aktifkan peer BGP.
        network 192.168.0.0 mask 255.255.255.0        # Iklankan blok CIDR pusat data.
        network 192.168.1.0 mask 255.255.255.0
        network 192.168.2.0 mask 255.255.255.0
       exit-address-family

   Contoh konfigurasi untuk perangkat gateway lokal 3

   1. Masuk ke CLI firewall Cisco dan masuk ke mode konfigurasi.

      ciscoasa> enable
      Password: ********             # Masukkan kata sandi untuk masuk ke mode enable. 
      ciscoasa# configure terminal   # Masuk ke mode konfigurasi. 
      ciscoasa(config)#     

   2. Lihat konfigurasi antarmuka.

      Pastikan firewall Cisco memiliki konfigurasi antarmuka yang lengkap dan antarmuka diaktifkan. Berikut adalah contoh konfigurasi antarmuka yang digunakan dalam topik ini.

      # Lihat konfigurasi antarmuka perangkat gateway lokal 3.
      ciscoasa(config)# show running-config interface
      !
      interface GigabitEthernet0/0                # Antarmuka yang terhubung ke Internet.
       nameif outside1                            # Nama antarmuka GigabitEthernet0/0.
       security-level 0
       ip address 11.XX.XX.3 255.255.255.255      # Alamat IP publik yang dikonfigurasi untuk antarmuka GigabitEthernet0/0.
      !
      interface GigabitEthernet0/1                # Antarmuka yang terhubung ke pusat data.
       nameif private                             # Nama antarmuka GigabitEthernet0/1.
       security-level 100                         # Tentukan bahwa tingkat keamanan antarmuka private yang terhubung ke pusat data lebih rendah daripada antarmuka publik.
       ip address 192.168.50.213 255.255.255.0    # Alamat IP yang dikonfigurasi untuk antarmuka GigabitEthernet0/1.
      !

   3. Aktifkan fitur IKEv2 untuk antarmuka publik.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 3.
      crypto ikev2 enable outside1 # Aktifkan fitur IKEv2 untuk antarmuka outside1 (antarmuka publik) perangkat gateway lokal 3.

   4. Buat kebijakan IKEv2. Tentukan algoritma autentikasi, algoritma enkripsi, grup DH, dan masa berlaku SA untuk fase IKE. Konfigurasi ini harus konsisten dengan konfigurasi di sisi Alibaba Cloud.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 3.
      crypto ikev2 policy 10     
       encryption aes             # Tentukan algoritma enkripsi.
       integrity sha              # Tentukan algoritma autentikasi.
       group 14                   # Tentukan grup DH.
       prf sha                    # prf harus konsisten dengan integrity. Di sisi Alibaba Cloud, prf konsisten dengan algoritma autentikasi secara default.
       lifetime seconds 86400     # Tentukan masa berlaku SA.

   5. Buat proposal dan profil IPsec. Tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa berlaku SA untuk fase IPsec di firewall Cisco. Konfigurasi ini harus konsisten dengan konfigurasi di sisi Alibaba Cloud.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 3.
      crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Buat proposal IPsec.
       protocol esp encryption aes                         # Tentukan algoritma enkripsi. Protokolnya adalah ESP. Sisi Alibaba Cloud menggunakan protokol ESP secara default.
       protocol esp integrity sha-1                        # Tentukan algoritma autentikasi. Protokolnya adalah ESP. Sisi Alibaba Cloud menggunakan protokol ESP secara default.
      crypto ipsec profile ALIYUN-PROFILE                  
       set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Buat profil IPsec dan terapkan proposal yang dibuat. 
       set ikev2 local-identity address                    # Tentukan bahwa ID lokal menggunakan format alamat IP, yang harus konsisten dengan format RemoteId di sisi Alibaba Cloud.
       set pfs group14                                     # Tentukan PFS dan grup DH.
       set security-association lifetime seconds 86400     # Tentukan masa berlaku SA berbasis waktu.
       set security-association lifetime kilobytes unlimited # Nonaktifkan masa berlaku SA berbasis lalu lintas.

   6. Buat grup terowongan. Tentukan kunci pra-bersama untuk terowongan. Konfigurasi ini harus konsisten dengan kunci di sisi Alibaba Cloud.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 3.
      tunnel-group 47.XX.XX.161 type ipsec-l2l                  # Tentukan mode enkapsulasi terowongan sebagai l2l.
      tunnel-group 47.XX.XX.161 ipsec-attributes             
       ikev2 remote-authentication pre-shared-key fddsFF789****  # Tentukan kunci pra-bersama peer terowongan, yaitu kunci pra-bersama di sisi Alibaba Cloud.
       ikev2 local-authentication pre-shared-key fddsFF789****   # Tentukan kunci pra-bersama lokal untuk terowongan, yang harus konsisten dengan kunci di sisi Alibaba Cloud.
      !

   7. Buat antarmuka terowongan.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 3.
      interface Tunnel1                                  # Buat antarmuka terowongan.
       nameif ALIYUN1
       ip address 169.254.12.2 255.255.255.252           # Tentukan alamat IP antarmuka.
       tunnel source interface outside1                  # Tentukan alamat sumber terowongan sebagai antarmuka publik GigabitEthernet0/0.
       tunnel destination 47.XX.XX.161                   # Tentukan alamat tujuan terowongan sebagai alamat IP publik koneksi IPsec-VPN 3 di sisi Alibaba Cloud.
       tunnel mode ipsec ipv4
       tunnel protection ipsec profile ALIYUN-PROFILE    # Terapkan profil IPsec ALIYUN-PROFILE ke terowongan.
       no shutdown                                       # Aktifkan antarmuka terowongan.
      !

   8. Konfigurasi rute.

      # Tambahkan konfigurasi berikut ke perangkat gateway lokal 3.
      route outside1 47.XX.XX.161 255.255.255.255 192.XX.XX.174   # Konfigurasi rute untuk mengakses alamat IP publik koneksi IPsec-VPN 3 di sisi Alibaba Cloud. Lompatan berikutnya adalah alamat IP eksternal.
      route private 192.168.0.0 255.255.255.0 192.168.50.214         # Konfigurasi rute ke pusat data.
      route private 192.168.1.0 255.255.255.0 192.168.50.214
      route private 192.168.2.0 255.255.255.0 192.168.50.214
      
      router bgp 65530
       address-family ipv4 unicast
        neighbor 169.254.12.1 remote-as 65531       # Tentukan peer BGP, yaitu alamat IP BGP koneksi IPsec-VPN 3 di sisi Alibaba Cloud.
        neighbor 169.254.12.1 ebgp-multihop 255
        neighbor 169.254.12.1 activate              # Aktifkan peer BGP.
        network 192.168.0.0 mask 255.255.255.0        # Iklankan blok CIDR pusat data.
        network 192.168.1.0 mask 255.255.255.0 
        network 192.168.2.0 mask 255.255.255.0 
       exit-address-family

   Setelah menyelesaikan konfigurasi ini, koneksi IPsec-VPN dibuat antara pusat data dan Alibaba Cloud. Rute dari pusat data disebarkan ke BGP Route Table koneksi IPsec-VPN melalui perutean dinamis BGP.

2. Tambahkan konfigurasi rute ke pusat data Anda sesuai kebutuhan berdasarkan lingkungan jaringan Anda. Hal ini memastikan lalu lintas dari klien di pusat data ke VPC dapat ditransmisikan melalui ketiga perangkat gateway lokal secara bersamaan. Untuk perintah spesifik, konsultasikan vendor perangkat Anda.

Langkah 4: Buat koneksi VPC

Koneksi IPsec-VPN secara otomatis disambungkan ke router transit setelah dibuat. Anda juga harus membuat koneksi VPC di konsol CEN untuk menyambungkan VPC ke router transit. Hal ini memungkinkan komunikasi antara pusat data dan VPC.

1. Masuk ke Konsol CEN.

2. Pada halaman Instances, klik ID instans CEN yang ingin Anda kelola.

3. Pada tab Basic Settings > Transit Router, temukan router transit di wilayah Tiongkok (Shanghai). Di kolom Actions, klik Create Network Instance Connection.

4. Pada halaman Connect Network Instance, konfigurasi parameter dan klik OK.

   Sambungkan VPC di wilayah Tiongkok (Shanghai) ke router transit menggunakan konfigurasi berikut. Gunakan nilai default untuk parameter lainnya. Untuk informasi selengkapnya, lihat Buat koneksi VPC.

   Parameter	Deskripsi	Koneksi VPC
   Instance Type	Pilih jenis instans jaringan.	Pilih Virtual Private Cloud (VPC).
   Region	Pilih wilayah tempat instans jaringan diterapkan.	Pilih China (Shanghai).
   Transit Router	Sistem secara otomatis menampilkan ID router transit di wilayah saat ini.
   Resource Ownership	Pilih apakah instans jaringan milik akun Alibaba Cloud Anda saat ini.	Pilih Current Account.
   Billing Method	Metode penagihan untuk koneksi VPC. Nilai default adalah Pay-as-you-go. Untuk informasi selengkapnya tentang aturan penagihan router transit, lihat Penagihan.
   Connection Name	Masukkan nama untuk koneksi VPC.	Masukkan VPC-connection.
   Network Instance	Pilih instans jaringan.	Pilih VPC di wilayah Tiongkok (Shanghai).
   VSwitch	Pilih vSwitch di zona yang didukung oleh router transit. Jika router transit hanya mendukung satu zona di wilayah saat ini, Anda perlu memilih vSwitch di zona tersebut. Jika router transit mendukung beberapa zona di wilayah saat ini, Anda perlu memilih setidaknya dua vSwitch yang berada di zona berbeda. Saat VPC dan router transit berkomunikasi, kedua vSwitch ini dapat menerapkan pemulihan bencana tingkat zona. Kami menyarankan Anda memilih vSwitch di setiap zona untuk mengurangi latensi jaringan dan meningkatkan kinerja jaringan karena data dapat ditransmisikan melalui jarak yang lebih pendek. Pastikan setiap vSwitch yang dipilih memiliki alamat IP yang tersedia.Jika VPC tidak memiliki vSwitch di zona yang didukung oleh router transit, atau jika vSwitch tidak memiliki alamat IP yang tersedia, Anda perlu membuat vSwitch baru. Untuk informasi selengkapnya, lihat Buat dan kelola vSwitch.	Pilih vSwitch 1 di Zona F dan vSwitch 2 di Zona G.
   Advanced Configuration	Pilih apakah akan mengaktifkan semua opsi konfigurasi lanjutan. Secara default, semua opsi konfigurasi lanjutan diaktifkan.	Gunakan konfigurasi default. Semua opsi konfigurasi lanjutan diaktifkan.

Langkah 5: Buat koneksi antar-wilayah

Router transit yang disambungkan ke koneksi IPsec-VPN dan router transit yang disambungkan ke VPC berada di wilayah berbeda. Secara default, pusat data tidak dapat berkomunikasi dengan VPC. Anda harus membuat koneksi antar-wilayah antara router transit di wilayah Tiongkok (Hangzhou) dan router transit di wilayah Tiongkok (Shanghai) untuk mengaktifkan komunikasi lintas wilayah.

1. Pada halaman CEN Instances, temukan instans CEN tujuan dan klik ID-nya.

2. Pada tab Basic Settings > Bandwidth Plans, klik Set Region Connection.

3. Pada halaman Connect Network Instance, konfigurasi koneksi antar-wilayah dan klik OK.

   Buat koneksi antar-wilayah menggunakan konfigurasi berikut. Gunakan nilai default untuk parameter lainnya. Untuk informasi selengkapnya, lihat Buat koneksi antar-wilayah.

   Parameter	Deskripsi
   Instance Type	Pilih Inter-region Connection.
   Region	Pilih wilayah yang akan disambungkan. Pilih China (Hangzhou).
   Transit Router	Sistem secara otomatis menampilkan ID router transit di wilayah saat ini.
   Connection Name	Masukkan nama untuk koneksi antar-wilayah. Masukkan Inter-region-connection.
   Peer Region	Pilih wilayah peer yang akan disambungkan. Pilih China (Shanghai).
   Transit Router	Sistem secara otomatis menampilkan ID router transit di wilayah saat ini.
   Bandwidth Allocation Mode	Koneksi antar-wilayah mendukung mode alokasi bandwidth berikut: Allocate From Bandwidth Plan: Bandwidth dialokasikan dari paket bandwidth yang dibeli. Pay-as-you-go: Anda dikenai biaya berdasarkan transfer data aktual melalui koneksi antar-wilayah. Pilih Pay-as-you-go.
   Bandwidth	Masukkan nilai bandwidth untuk koneksi antar-wilayah. Satuan: Mbit/s.
   Default Link Type	Gunakan jenis tautan default.
   Advanced Configuration	Gunakan konfigurasi default. Semua opsi konfigurasi lanjutan dipilih.

Setelah membuat koneksi antar-wilayah, sistem secara otomatis mendistribusikan dan mempelajari rute. Koneksi IPsec-VPN menggunakan perutean dinamis BGP untuk menyebarkan rute VPC ke pusat data. Koneksi tersebut juga menyebarkan rute pusat data ke router transit. Hal ini memungkinkan komunikasi jaringan antara pusat data dan VPC. Untuk informasi selengkapnya tentang rute, lihat Deskripsi perutean di akhir topik ini.

Langkah 6: Uji konektivitas

Setelah membuat koneksi antar-wilayah, pusat data dan VPC dapat menggunakan ketiga koneksi IPsec-VPN untuk menyeimbangkan beban lalu lintas. Bagian ini menjelaskan cara menguji konektivitas jaringan dan memverifikasi bahwa lalu lintas diseimbangkan di seluruh koneksi.

1. Uji konektivitas jaringan.

   1. Masuk ke instance ECS di VPC. Untuk informasi selengkapnya, lihat Sambungkan ke instance ECS.

   2. Di instance ECS, jalankan perintah ping untuk mengakses klien di pusat data.

      ping <alamat IP klien di pusat data>

      Jika Anda menerima pesan tanggapan, koneksi jaringan telah dibuat antara pusat data dan VPC, dan keduanya dapat mengakses sumber daya masing-masing.

2. Verifikasi penyeimbangan beban lalu lintas.

   Kirim permintaan akses secara terus-menerus dari beberapa klien di pusat data ke instance ECS. Jika Anda dapat melihat data pemantauan lalu lintas di halaman detail ketiga koneksi IPsec-VPN, lalu lintas antara pusat data dan VPC diseimbangkan di seluruh koneksi.

   1. Masuk ke Konsol Gateway VPN.

   2. Di bilah navigasi atas, pilih wilayah tempat koneksi IPsec-VPN diterapkan.

   3. Di panel navigasi sebelah kiri, pilih Interconnections > VPN > IPsec Connections.

   4. Pada halaman IPsec Connections, temukan koneksi IPsec-VPN tujuan dan klik ID-nya.

      Buka halaman detail koneksi IPsec-VPN dan lihat data pemantauan lalu lintas di tab Monitor.

Deskripsi perutean

Dalam topik ini, konfigurasi rute default digunakan saat membuat koneksi IPsec-VPN, koneksi VPC, dan koneksi antar-wilayah. Dengan konfigurasi default, CEN secara otomatis mendistribusikan dan mempelajari rute untuk mengaktifkan komunikasi antara pusat data dan VPC. Konfigurasi rute default dijelaskan sebagai berikut:

Koneksi IPsec-VPN

Saat membuat koneksi IPsec-VPN, Anda langsung menyambungkannya ke router transit dan mengaktifkan semua konfigurasi lanjutan. Sistem secara otomatis menerapkan konfigurasi rute berikut ke koneksi IPsec-VPN:

• Secara default, koneksi IPsec-VPN dikaitkan dengan tabel rute default router transit. Router transit meneruskan lalu lintas dari koneksi IPsec-VPN dengan mencari tabel rute default.

• Rute berbasis tujuan yang Anda tambahkan untuk koneksi IPsec-VPN, atau rute lokal yang dipelajari oleh koneksi IPsec-VPN melalui perutean dinamis BGP, secara otomatis disebarkan ke tabel rute default router transit.

• Router transit secara otomatis menyebarkan rute lain di tabel rute default-nya ke tabel rute BGP koneksi IPsec-VPN.

  Koneksi IPsec-VPN secara otomatis menyebarkan rute cloud yang dipelajari ke pusat data melalui perutean dinamis BGP.

Instans VPC

Jika Anda mengaktifkan semua konfigurasi lanjutan saat membuat koneksi VPC, sistem secara otomatis menerapkan konfigurasi rute berikut ke VPC:

• Automatically Associate With The Default Route Table Of The Transit Router

  Setelah fitur ini diaktifkan, koneksi VPC secara otomatis dikaitkan dengan tabel rute default router transit. Router transit meneruskan lalu lintas dari VPC dengan mencari tabel rute default.

• Automatically Propagate System Routes To The Default Route Table Of The Transit Router

  Setelah fitur ini diaktifkan, VPC menyebarkan rute sistemnya ke tabel rute default router transit. Hal ini memungkinkan komunikasi antara instans jaringan.

• Automatically Configure Routes Pointing To The Transit Router For All Route Tables Of The VPC

  Saat fitur ini diaktifkan, sistem secara otomatis menambahkan tiga rute (10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16) ke semua tabel rute VPC. Lompatan berikutnya dari rute-rute ini mengarah ke koneksi VPC.

  Penting

  Jika rute dengan blok CIDR tujuan 10.0.0.0/8, 172.16.0.0/12, atau 192.168.0.0/16 sudah ada di tabel rute VPC, sistem tidak dapat menambahkan rute tersebut lagi secara otomatis. Anda harus menambahkan rute secara manual yang mengarah ke koneksi VPC di tabel rute VPC untuk mengaktifkan lalu lintas antara VPC dan router transit.

  Anda dapat mengklik Initiate Route Check untuk memeriksa apakah rute-rute ini ada di instans jaringan.

Koneksi antar-wilayah

Jika Anda mengaktifkan semua konfigurasi lanjutan saat membuat koneksi antar-wilayah, sistem secara otomatis menerapkan konfigurasi rute berikut ke koneksi antar-wilayah:

• Associate with Default Route Table of Transit Router

  Setelah fitur ini diaktifkan, koneksi antar-wilayah secara otomatis dikaitkan dengan tabel rute default router transit. Router transit menggunakan tabel rute default untuk meneruskan lalu lintas jaringan lintas wilayah.

• Propagate System Routes to Default Route Table of Transit Router

  Setelah fitur ini diaktifkan, koneksi antar-wilayah dikaitkan dengan tabel rute default router transit di wilayah yang terhubung.

• Automatically Advertise Routes to Peer Region

  Setelah fitur ini diaktifkan, rute di tabel rute router transit di wilayah saat ini secara otomatis diiklankan ke tabel rute router transit peer untuk komunikasi lintas wilayah. Tabel rute router transit mengacu pada tabel rute yang dikaitkan dengan koneksi antar-wilayah.

Entri rute