Topik ini memandu Anda dalam menyiapkan tiga koneksi IPsec-VPN melalui Internet antara pusat data lokal dan virtual private cloud (VPC). Setelah terhubung ke router transit Cloud Enterprise Network (CEN), koneksi-koneksi tersebut secara otomatis membentuk grup Equal-Cost Multipath Routing (ECMP) yang melakukan load balancing terhadap lalu lintas antara pusat data dan VPC.
Konfigurasi ini dirancang untuk load balancing lalu lintas, bukan untuk ketersediaan tinggi. Untuk memverifikasi load balancing, kirim lalu lintas dari beberapa klien secara bersamaan, bukan melalui satu koneksi saja.
Kasus penggunaan
Gunakan konfigurasi ini jika pusat data Anda memerlukan bandwidth agregat yang lebih tinggi ke Alibaba Cloud daripada yang dapat disediakan oleh satu koneksi IPsec-VPN, serta menginginkan saluran terenkripsi yang didistribusikan di beberapa perangkat gateway lokal.
Jika tujuan Anda adalah failover dan bukan agregasi bandwidth, lihat konfigurasi Gateway VPN active-standby sebagai gantinya.
Cara kerja

Contoh dalam topik ini menghubungkan pusat data perusahaan di wilayah China (Hangzhou) ke VPC di wilayah China (Shanghai), tempat aplikasi berjalan pada instance Elastic Compute Service (ECS).
Konfigurasi ini bekerja sebagai berikut:
Tiga koneksi IPsec-VPN dibuat di wilayah China (Hangzhou), masing-masing dipasangkan dengan satu perangkat gateway lokal.
Ketiga koneksi tersebut di-bind ke router transit CEN. CEN secara otomatis membentuk grup ECMP dari koneksi yang memiliki rute equal-cost.
Perutean dinamis BGP menyebarkan rute pusat data ke router transit dan rute VPC kembali ke pusat data.
Koneksi cross-region menghubungkan router transit di China (Hangzhou) ke router transit di China (Shanghai), melengkapi jalur menuju VPC.
Persyaratan
Tiga kondisi harus dipenuhi agar ECMP berfungsi:
Jenis gateway harus Public. Koneksi IPsec-VPN menggunakan Internet sebagai transport.
Koneksi harus di-bind ke CEN. Hanya koneksi IPsec-VPN yang terlampir ke CEN yang secara otomatis membentuk grup ECMP.
Perutean dinamis BGP harus diaktifkan. BGP diperlukan agar koneksi dapat bertukar rute equal-cost dan agar ECMP berlaku.
Perencanaan jaringan
Perencanaan Blok CIDR
Blok CIDR pusat data dan VPC tidak boleh tumpang tindih.
| Sumber Daya | Blok CIDR dan alamat IP |
|---|---|
| VPC | Blok CIDR utama: 10.0.0.0/16<br>- vSwitch 1: 10.0.0.0/24, Zona F<br>- vSwitch 2: 10.0.1.0/24, Zona G<br>- Instance ECS: 10.0.0.1 (di vSwitch 1) |
| Koneksi IPsec-VPN (BGP) | Koneksi 1: tunnel 169.254.10.0/30, IP BGP Alibaba Cloud 169.254.10.1, ASN 65531<br>Koneksi 2: tunnel 169.254.11.0/30, IP BGP Alibaba Cloud 169.254.11.1, ASN 65531<br>Koneksi 3: tunnel 169.254.12.0/30, IP BGP Alibaba Cloud 169.254.12.1, ASN 65531 |
| Perangkat gateway lokal (IP publik) | Perangkat 1: 11.XX.XX.1<br>Perangkat 2: 11.XX.XX.2<br>Perangkat 3: 11.XX.XX.3 |
| Perangkat gateway lokal (BGP) | Perangkat 1: tunnel 169.254.10.0/30, IP BGP pusat data 169.254.10.2, ASN 65530<br>Perangkat 2: tunnel 169.254.11.0/30, IP BGP pusat data 169.254.11.2, ASN 65530<br>Perangkat 3: tunnel 169.254.12.0/30, IP BGP pusat data 169.254.12.2, ASN 65530 |
| Pusat data | Blok CIDR: 192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24 |
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
VPC di wilayah China (Shanghai) dengan instance ECS yang telah dideploy. Untuk informasi selengkapnya, lihat Buat VPC dengan blok CIDR IPv4.
Instans CEN dengan router transit Edisi Perusahaan di kedua wilayah China (Hangzhou) dan China (Shanghai). Untuk informasi selengkapnya, lihat Buat instans CEN dan Buat router transit.
Blok CIDR yang dikonfigurasi pada setiap router transit. Koneksi IPsec-VPN tidak dapat dikaitkan dengan router transit yang tidak memiliki blok CIDR. Jika Anda memiliki router transit yang sudah ada tanpa blok CIDR, lihat Blok CIDR router transit.
Aturan security group pada instance ECS yang mengizinkan lalu lintas masuk dari blok CIDR pusat data. Untuk informasi selengkapnya, lihat Kueri aturan security group dan Tambahkan aturan security group.
Ikhtisar konfigurasi

Langkah 1: Buat customer gateway
Daftarkan setiap perangkat gateway lokal ke Alibaba Cloud dengan membuat customer gateway untuknya.
Login ke Konsol Gateway VPNKonsol Gateway VPN.
Di panel navigasi kiri, pilih Interconnections > VPN > Customer Gateways.
Di bilah navigasi atas, pilih China (Hangzhou).
Di halaman Customer Gateway, klik Create Customer Gateway.
Di panel Create Customer Gateway, konfigurasikan parameter dan klik OK.
Buat tiga customer gateway dengan pengaturan berikut. Gunakan nilai default untuk semua parameter lainnya. Untuk informasi selengkapnya, lihat Buat dan kelola customer gateway.
| Parameter | Deskripsi | Customer gateway 1 | Customer gateway 2 | Customer gateway 3 |
|---|---|---|---|---|
| Name | Nama customer gateway. | Customer-Gateway1 | Customer-Gateway2 | Customer-Gateway3 |
| IP address | Alamat IP publik perangkat gateway lokal. | 11.XX.XX.1 | 11.XX.XX.2 | 11.XX.XX.3 |
| ASN | Nomor sistem otonom (ASN) BGP perangkat gateway lokal. | 65530 | 65530 | 65530 |
Langkah 2: Buat koneksi IPsec-VPN
Buat tiga koneksi IPsec-VPN, satu untuk setiap customer gateway. Setiap koneksi di-bind langsung ke router transit CEN.
Login ke Konsol Gateway VPNKonsol Gateway VPN.
Di panel navigasi kiri, pilih Interconnections > VPN > IPsec Connections.
Di halaman IPsec Connections, klik Bind CEN.
Di halaman Create IPsec-VPN Connection, konfigurasikan parameter dan klik OK.
Buat tiga koneksi di wilayah China (Hangzhou) dengan pengaturan berikut. Gunakan nilai default untuk semua parameter lainnya. Untuk informasi selengkapnya, lihat Kelola koneksi IPsec-VPN single-tunnel.
| Parameter | Deskripsi | Koneksi 1 | Koneksi 2 | Koneksi 3 |
|---|---|---|---|---|
| Name | Nama koneksi. | IPsec-VPN Connection 1 | IPsec-VPN Connection 2 | IPsec-VPN Connection 3 |
| Region | Wilayah router transit yang akan dilampirkan. | China (Hangzhou) | China (Hangzhou) | China (Hangzhou) |
| Gateway type | Jenis jaringan koneksi. | Public | Public | Public |
| Bind CEN | Akun pemilik router transit. | Same Account | Same Account | Same Account |
| CEN instance ID | Instans CEN yang akan dilampirkan. | Pilih instans CEN yang dibuat pada prasyarat. Sistem menampilkan ID router transit dan blok CIDR untuk wilayah China (Hangzhou). | Sama | Sama |
| Zone | Zona untuk deploy koneksi. | Hangzhou Zone H | Hangzhou Zone H | Hangzhou Zone H |
| Routing mode | Mode distribusi rute. | Destination Routing Mode | Destination Routing Mode | Destination Routing Mode |
| Effective immediately | Apakah negosiasi dimulai segera setelah konfigurasi. | Yes | Yes | Yes |
| Customer gateway | Customer gateway yang akan dikaitkan. | Customer-Gateway1 | Customer-Gateway2 | Customer-Gateway3 |
| Pre-shared key | Kunci otentikasi. Harus sesuai dengan kunci yang dikonfigurasi pada perangkat lokal. Kunci terdiri dari 1–100 karakter dan dapat berisi angka, huruf, serta karakter khusus: ` ~!@#$%^&*()_-+={}[]|;:',.<>/?`. Spasi tidak diperbolehkan. Jika dibiarkan kosong, sistem akan menghasilkan kunci acak 16 karakter — lihat kuncinya nanti dengan mengklik Edit pada tunnel. | fddsFF123**** | fddsFF456**** | fddsFF789**** |
| Enable BGP | Aktifkan perutean dinamis BGP. | Diaktifkan | Diaktifkan | Diaktifkan |
| Local ASN | ASN untuk koneksi IPsec-VPN. | 65531 | 65531 | 65531 |
| Encryption configuration | Pengaturan enkripsi IKE dan IPsec. | Gunakan nilai default kecuali: atur DH Group menjadi group14 baik di IKE Configurations maupun IPsec Configurations. Sesuaikan pengaturan ini pada perangkat lokal. | Sama | Sama |
| Tunnel CIDR block | Blok CIDR untuk tunnel terenkripsi. Harus merupakan subnet /30 dalam rentang 169.254.0.0/16. Subnet tertentu dicadangkan dan tidak dapat digunakan. | 169.254.10.0/30 | 169.254.11.0/30 | 169.254.12.0/30 |
| Local BGP IP address | Alamat IP BGP untuk koneksi. Harus berada dalam blok CIDR tunnel. | 169.254.10.1 | 169.254.11.1 | 169.254.12.1 |
| Advanced configuration | Mengaktifkan distribusi dan pembelajaran rute otomatis. | Gunakan nilai default (semua diaktifkan) | Gunakan nilai default | Gunakan nilai default |
Setelah koneksi dibuat, sistem akan menetapkan alamat IP gateway publik untuk masing-masing. Alamat ini merupakan titik akhir Alibaba Cloud yang dihubungi oleh perangkat lokal.

Alamat IP gateway hanya ditetapkan setelah koneksi dilampirkan ke router transit.
Dalam contoh ini, alamat IP gateway yang ditetapkan adalah:
| Koneksi | Alamat IP gateway |
|---|---|
| Koneksi IPsec-VPN 1 | 120.XX.XX.191 |
| Koneksi IPsec-VPN 2 | 47.XX.XX.213 |
| Koneksi IPsec-VPN 3 | 47.XX.XX.161 |
Di halaman IPsec Connections, temukan setiap koneksi yang telah Anda buat. Di kolom Actions, klik Generate Peer Configuration dan simpan file konfigurasi yang diunduh. Anda akan menggunakan file-file ini untuk mengonfigurasi perangkat gateway lokal.
Langkah 3: Konfigurasi perangkat gateway lokal
Terapkan konfigurasi VPN dan BGP ke setiap perangkat gateway lokal menggunakan pengaturan dari file konfigurasi yang diunduh.
Contoh di bawah ini menggunakan software Cisco ASA versi 9.19.1. Perintah dapat berbeda tergantung versi software — konsultasikan dokumentasi perangkat atau vendor Anda untuk lingkungan aktual. Untuk informasi selengkapnya, lihat Konfigurasi gateway lokal. Konten berikut berisi informasi produk pihak ketiga yang disediakan hanya sebagai referensi. Alibaba Cloud tidak memberikan jaminan apa pun mengenai kinerja, keandalan, atau dampak operasional produk pihak ketiga.
Perangkat gateway lokal 1
Login ke CLI firewall Cisco dan masuk ke mode konfigurasi.
ciscoasa> enable Password: ******** # Masukkan password untuk mode enable. ciscoasa# configure terminal # Masuk ke mode konfigurasi. ciscoasa(config)#Verifikasi konfigurasi antarmuka. Firewall harus memiliki konfigurasi antarmuka lengkap dengan semua antarmuka diaktifkan.
# Lihat konfigurasi antarmuka perangkat gateway lokal 1. ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 # Antarmuka menghadap Internet. nameif outside1 security-level 0 ip address 11.XX.XX.1 255.255.255.255 # Alamat IP publik. ! interface GigabitEthernet0/1 # Antarmuka menghadap pusat data. nameif private security-level 100 ip address 192.168.50.216 255.255.255.0 !Aktifkan IKEv2 pada antarmuka publik.
crypto ikev2 enable outside1Buat kebijakan IKEv2. Pengaturan ini harus sesuai dengan sisi Alibaba Cloud.
crypto ikev2 policy 10 encryption aes # Algoritma enkripsi. integrity sha # Algoritma autentikasi. group 14 # Grup DH. prf sha # Harus sesuai dengan integrity. lifetime seconds 86400 # Masa berlaku SA.Buat proposal dan profil IPsec.
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL protocol esp encryption aes protocol esp integrity sha-1 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL set ikev2 local-identity address # Gunakan format alamat IP untuk ID lokal. set pfs group14 set security-association lifetime seconds 86400 set security-association lifetime kilobytes unlimitedBuat grup tunnel dengan kunci pra-bersama. Gunakan alamat IP gateway koneksi IPsec-VPN 1 (120.XX.XX.191).
tunnel-group 120.XX.XX.191 type ipsec-l2l tunnel-group 120.XX.XX.191 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF123**** ikev2 local-authentication pre-shared-key fddsFF123**** !Buat antarmuka tunnel.
interface Tunnel1 nameif ALIYUN1 ip address 169.254.10.2 255.255.255.252 tunnel source interface outside1 tunnel destination 120.XX.XX.191 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE no shutdown !Konfigurasi rute statis dan BGP.
route outside1 120.XX.XX.191 255.255.255.255 192.XX.XX.172 # Rute ke alamat IP gateway koneksi IPsec-VPN 1. route private 192.168.0.0 255.255.255.0 192.168.50.215 route private 192.168.1.0 255.255.255.0 192.168.50.215 route private 192.168.2.0 255.255.255.0 192.168.50.215 router bgp 65530 address-family ipv4 unicast neighbor 169.254.10.1 remote-as 65531 # Peer BGP: IP BGP Alibaba Cloud koneksi 1. neighbor 169.254.10.1 ebgp-multihop 255 neighbor 169.254.10.1 activate network 192.168.0.0 mask 255.255.255.0 # Mengiklankan blok CIDR pusat data. network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 exit-address-family
Perangkat gateway lokal 2
Login ke CLI firewall Cisco dan masuk ke mode konfigurasi.
ciscoasa> enable Password: ******** ciscoasa# configure terminal ciscoasa(config)#Verifikasi konfigurasi antarmuka.
# Lihat konfigurasi antarmuka perangkat gateway lokal 2. ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 security-level 0 ip address 11.XX.XX.2 255.255.255.255 ! interface GigabitEthernet0/1 nameif private security-level 100 ip address 192.168.50.218 255.255.255.0 !Aktifkan IKEv2 pada antarmuka publik.
crypto ikev2 enable outside1Buat kebijakan IKEv2.
crypto ikev2 policy 10 encryption aes integrity sha group 14 prf sha lifetime seconds 86400Buat proposal dan profil IPsec.
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL protocol esp encryption aes protocol esp integrity sha-1 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL set ikev2 local-identity address set pfs group14 set security-association lifetime seconds 86400 set security-association lifetime kilobytes unlimitedBuat grup tunnel. Gunakan alamat IP gateway koneksi IPsec-VPN 2 (47.XX.XX.213).
tunnel-group 47.XX.XX.213 type ipsec-l2l tunnel-group 47.XX.XX.213 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF456**** ikev2 local-authentication pre-shared-key fddsFF456**** !Buat antarmuka tunnel.
interface Tunnel1 nameif ALIYUN1 ip address 169.254.11.2 255.255.255.252 tunnel source interface outside1 tunnel destination 47.XX.XX.213 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE no shutdown !Konfigurasi rute statis dan BGP.
route outside1 47.XX.XX.213 255.255.255.255 192.XX.XX.173 route private 192.168.0.0 255.255.255.0 192.168.50.217 route private 192.168.1.0 255.255.255.0 192.168.50.217 route private 192.168.2.0 255.255.255.0 192.168.50.217 router bgp 65530 address-family ipv4 unicast neighbor 169.254.11.1 remote-as 65531 neighbor 169.254.11.1 ebgp-multihop 255 neighbor 169.254.11.1 activate network 192.168.0.0 mask 255.255.255.0 network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 exit-address-family
Perangkat gateway lokal 3
Login ke CLI firewall Cisco dan masuk ke mode konfigurasi.
ciscoasa> enable Password: ******** ciscoasa# configure terminal ciscoasa(config)#Verifikasi konfigurasi antarmuka.
# Lihat konfigurasi antarmuka perangkat gateway lokal 3. ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 security-level 0 ip address 11.XX.XX.3 255.255.255.255 ! interface GigabitEthernet0/1 nameif private security-level 100 ip address 192.168.50.213 255.255.255.0 !Aktifkan IKEv2 pada antarmuka publik.
crypto ikev2 enable outside1Buat kebijakan IKEv2.
crypto ikev2 policy 10 encryption aes integrity sha group 14 prf sha lifetime seconds 86400Buat proposal dan profil IPsec.
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL protocol esp encryption aes protocol esp integrity sha-1 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL set ikev2 local-identity address set pfs group14 set security-association lifetime seconds 86400 set security-association lifetime kilobytes unlimitedBuat grup tunnel. Gunakan alamat IP gateway koneksi IPsec-VPN 3 (47.XX.XX.161).
tunnel-group 47.XX.XX.161 type ipsec-l2l tunnel-group 47.XX.XX.161 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF789**** ikev2 local-authentication pre-shared-key fddsFF789**** !Buat antarmuka tunnel.
interface Tunnel1 nameif ALIYUN1 ip address 169.254.12.2 255.255.255.252 tunnel source interface outside1 tunnel destination 47.XX.XX.161 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE no shutdown !Konfigurasi rute statis dan BGP.
route outside1 47.XX.XX.161 255.255.255.255 192.XX.XX.174 route private 192.168.0.0 255.255.255.0 192.168.50.214 route private 192.168.1.0 255.255.255.0 192.168.50.214 route private 192.168.2.0 255.255.255.0 192.168.50.214 router bgp 65530 address-family ipv4 unicast neighbor 169.254.12.1 remote-as 65531 neighbor 169.254.12.1 ebgp-multihop 255 neighbor 169.254.12.1 activate network 192.168.0.0 mask 255.255.255.0 network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 exit-address-family
Setelah konfigurasi ini selesai, tunnel IPsec-VPN terbentuk antara pusat data dan Alibaba Cloud, serta rute pusat data disebarluaskan ke tabel rute BGP masing-masing koneksi IPsec-VPN.
Tambahkan juga rute di sisi pusat data agar lalu lintas dari klien di pusat data ke VPC dapat dikirim melalui ketiga perangkat gateway lokal secara bersamaan. Untuk perintah spesifiknya, konsultasikan dengan vendor perangkat Anda.
Langkah 4: Buat koneksi VPC
Koneksi IPsec-VPN secara otomatis dilampirkan ke router transit di China (Hangzhou) saat dibuat. Sekarang lampirkan VPC di China (Shanghai) ke router transit lokalnya agar pusat data dapat mencapai VPC.
Login ke Konsol CEN.
Di halaman Instances, klik ID instans CEN Anda.
Di tab Basic Settings > Transit Router, temukan router transit di China (Shanghai). Di kolom Actions, klik Create Connection.
Di halaman Connection with Peer Network Instance, konfigurasikan parameter dan klik OK.
Gunakan pengaturan berikut. Gunakan nilai default untuk semua parameter lainnya. Untuk informasi selengkapnya, lihat Buat koneksi VPC.
| Parameter | Deskripsi | Nilai |
|---|---|---|
| Instance type | Jenis instans jaringan yang akan dihubungkan. | Virtual Private Cloud (VPC) |
| Region | Wilayah VPC. | China (Shanghai) |
| Resource owner ID | Apakah VPC dimiliki oleh akun Anda saat ini. | Your Account |
| Billing method | Metode penagihan untuk koneksi VPC. | Pay-As-You-Go |
| Attachment name | Nama untuk koneksi VPC. | VPC-connection |
| Network instance | VPC yang akan dilampirkan. | Pilih VPC di China (Shanghai). |
| vSwitch | vSwitch di zona yang didukung oleh router transit. Pilih satu vSwitch per zona untuk meminimalkan detour traffic. Setiap vSwitch yang dipilih harus memiliki setidaknya satu alamat IP yang tersedia. | vSwitch 1 di Zona F dan vSwitch 2 di Zona G |
| Advanced settings | Mengaktifkan distribusi rute otomatis dan asosiasi tabel rute. | Gunakan nilai default (semua diaktifkan) |
Langkah 5: Buat koneksi cross-region
Router transit di China (Hangzhou) terhubung ke koneksi IPsec-VPN, dan router transit di China (Shanghai) terhubung ke VPC — tetapi kedua router transit berada di wilayah berbeda dan tidak dapat berkomunikasi secara default. Buat koneksi cross-region untuk menghubungkannya.
Di halaman Instances, klik ID instans CEN Anda.
Di tab Basic Information > Bandwidth Plans, klik Allocate Bandwidth for Inter-region Communication.
Di halaman Connection with Peer Network Instance, konfigurasikan parameter dan klik OK.
Gunakan pengaturan berikut. Untuk informasi selengkapnya, lihat Buat koneksi cross-region.
| Parameter | Deskripsi |
|---|---|
| Instance type | Pilih Inter-region Connection. |
| Region | Pilih China (Hangzhou). |
| Attachment name | Masukkan Cross-Region-test. |
| Peer region | Pilih China (Shanghai). |
| Bandwidth allocation mode | Pilih Pay-By-Data-Transfer. |
| Default line type | Gunakan jenis link default. |
| Bandwidth | Masukkan nilai bandwidth untuk koneksi cross-region. Satuan: Mbit/s. |
| Advanced settings | Gunakan nilai default (semua diaktifkan). |
Setelah koneksi cross-region dibuat, CEN secara otomatis mendistribusikan dan mempelajari rute. BGP menyebarkan rute VPC dari router transit ke pusat data, dan rute pusat data dari koneksi IPsec-VPN ke router transit. Pusat data dan VPC kini dapat berkomunikasi.
Langkah 6: Verifikasi konektivitas
Uji konektivitas jaringan dan pastikan lalu lintas diload-balancing melalui ketiga koneksi.
Uji konektivitas jaringan
Login ke instance ECS di VPC. Untuk informasi selengkapnya, lihat Hubungkan ke instance ECS.
Jalankan perintah ping ke klien di pusat data:
ping <alamat IP client di pusat data>
Tanggapan sukses mengonfirmasi bahwa pusat data dan VPC dapat saling menjangkau.
Verifikasi load balancing
Kirim lalu lintas dari beberapa klien di pusat data ke instance ECS secara bersamaan, lalu periksa apakah ketiga koneksi IPsec-VPN menunjukkan adanya lalu lintas.
Gunakan beberapa klien yang mengirim lalu lintas secara bersamaan untuk memverifikasi bahwa ketiga koneksi digunakan.
Login ke Konsol Gateway VPNKonsol Gateway VPN.
Di bilah navigasi atas, pilih China (Hangzhou).
Di panel navigasi kiri, pilih Interconnections > VPN > IPsec Connections.
Di halaman IPsec Connections, klik ID koneksi IPsec-VPN.
Di halaman detail koneksi, buka tab Monitor dan periksa data pemantauan lalu lintas.
Ulangi untuk ketiga koneksi. Jika ketiganya menunjukkan lalu lintas, load balancing berfungsi.
Deskripsi perutean
Konfigurasi rute default yang digunakan dalam topik ini memungkinkan CEN secara otomatis mendistribusikan dan mempelajari rute tanpa intervensi manual. Bagian berikut menjelaskan cara kerja perutean untuk setiap komponen.
Koneksi IPsec-VPN
Saat Anda membuat koneksi IPsec-VPN dan meng-bind-nya langsung ke router transit dengan semua konfigurasi lanjutan diaktifkan, sistem menerapkan konfigurasi rute berikut secara otomatis:
Koneksi IPsec-VPN dikaitkan dengan tabel rute default router transit. Router transit menggunakan tabel ini untuk meneruskan lalu lintas dari koneksi.
Rute yang dipelajari dari pusat data melalui BGP — atau rute berbasis tujuan yang Anda tambahkan secara manual — disebarluaskan ke tabel rute default router transit.
Router transit secara otomatis menyebarkan rute lain dalam tabel rute default-nya ke tabel rute BGP koneksi IPsec-VPN.
Koneksi menyebarkan rute cloud yang dipelajari kembali ke pusat data melalui BGP.
Koneksi VPC
Saat Anda membuat koneksi VPC dengan semua konfigurasi lanjutan diaktifkan, sistem menerapkan konfigurasi rute berikut secara otomatis:
Asosiasikan dengan tabel rute default router transit: Koneksi VPC dikaitkan dengan tabel rute default. Router transit menggunakan tabel ini untuk meneruskan lalu lintas dari VPC.
Sebarkan rute sistem ke tabel rute default router transit: VPC menyebarkan rute sistemnya ke tabel rute default router transit, memungkinkan komunikasi antar instans jaringan.
Buat rute secara otomatis yang mengarah ke router transit: Sistem menambahkan tiga rute — 10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16 — ke semua tabel rute di VPC, dengan lompatan berikutnya mengarah ke koneksi VPC.
Jika rute dengan blok CIDR tujuan 10.0.0.0/8, 172.16.0.0/12, atau 192.168.0.0/16 sudah ada di tabel rute VPC, sistem tidak dapat menambahkannya secara otomatis. Tambahkan rute tersebut secara manual, arahkan ke koneksi VPC. Klik Initiate Route Check untuk memverifikasi apakah rute tersebut sudah ada.
Koneksi cross-region
Saat Anda membuat koneksi cross-region dengan semua konfigurasi lanjutan diaktifkan, sistem menerapkan konfigurasi rute berikut secara otomatis:
Asosiasikan dengan tabel rute default router transit: Koneksi cross-region dikaitkan dengan tabel rute default. Router transit menggunakan tabel ini untuk meneruskan lalu lintas cross-region.
Sebarkan rute sistem ke tabel rute default router transit: Koneksi cross-region dikaitkan dengan tabel rute default router transit di kedua wilayah yang terhubung.
Iklankan rute secara otomatis ke wilayah peer: Rute dalam tabel rute router transit wilayah saat ini secara otomatis diiklankan ke router transit peer, dan sebaliknya.