All Products
Search
Document Center

VPN Gateway:Koneksi ECMP

Last Updated:Apr 01, 2026

Topik ini memandu Anda dalam menyiapkan tiga koneksi IPsec-VPN melalui Internet antara pusat data lokal dan virtual private cloud (VPC). Setelah terhubung ke router transit Cloud Enterprise Network (CEN), koneksi-koneksi tersebut secara otomatis membentuk grup Equal-Cost Multipath Routing (ECMP) yang melakukan load balancing terhadap lalu lintas antara pusat data dan VPC.

Konfigurasi ini dirancang untuk load balancing lalu lintas, bukan untuk ketersediaan tinggi. Untuk memverifikasi load balancing, kirim lalu lintas dari beberapa klien secara bersamaan, bukan melalui satu koneksi saja.

Kasus penggunaan

Gunakan konfigurasi ini jika pusat data Anda memerlukan bandwidth agregat yang lebih tinggi ke Alibaba Cloud daripada yang dapat disediakan oleh satu koneksi IPsec-VPN, serta menginginkan saluran terenkripsi yang didistribusikan di beberapa perangkat gateway lokal.

Jika tujuan Anda adalah failover dan bukan agregasi bandwidth, lihat konfigurasi Gateway VPN active-standby sebagai gantinya.

Cara kerja

2024-08-14_15-42-12

Contoh dalam topik ini menghubungkan pusat data perusahaan di wilayah China (Hangzhou) ke VPC di wilayah China (Shanghai), tempat aplikasi berjalan pada instance Elastic Compute Service (ECS).

Konfigurasi ini bekerja sebagai berikut:

  1. Tiga koneksi IPsec-VPN dibuat di wilayah China (Hangzhou), masing-masing dipasangkan dengan satu perangkat gateway lokal.

  2. Ketiga koneksi tersebut di-bind ke router transit CEN. CEN secara otomatis membentuk grup ECMP dari koneksi yang memiliki rute equal-cost.

  3. Perutean dinamis BGP menyebarkan rute pusat data ke router transit dan rute VPC kembali ke pusat data.

  4. Koneksi cross-region menghubungkan router transit di China (Hangzhou) ke router transit di China (Shanghai), melengkapi jalur menuju VPC.

Persyaratan

Tiga kondisi harus dipenuhi agar ECMP berfungsi:

  1. Jenis gateway harus Public. Koneksi IPsec-VPN menggunakan Internet sebagai transport.

  2. Koneksi harus di-bind ke CEN. Hanya koneksi IPsec-VPN yang terlampir ke CEN yang secara otomatis membentuk grup ECMP.

  3. Perutean dinamis BGP harus diaktifkan. BGP diperlukan agar koneksi dapat bertukar rute equal-cost dan agar ECMP berlaku.

Perencanaan jaringan

Perencanaan Blok CIDR

Blok CIDR pusat data dan VPC tidak boleh tumpang tindih.
Sumber DayaBlok CIDR dan alamat IP
VPCBlok CIDR utama: 10.0.0.0/16<br>- vSwitch 1: 10.0.0.0/24, Zona F<br>- vSwitch 2: 10.0.1.0/24, Zona G<br>- Instance ECS: 10.0.0.1 (di vSwitch 1)
Koneksi IPsec-VPN (BGP)Koneksi 1: tunnel 169.254.10.0/30, IP BGP Alibaba Cloud 169.254.10.1, ASN 65531<br>Koneksi 2: tunnel 169.254.11.0/30, IP BGP Alibaba Cloud 169.254.11.1, ASN 65531<br>Koneksi 3: tunnel 169.254.12.0/30, IP BGP Alibaba Cloud 169.254.12.1, ASN 65531
Perangkat gateway lokal (IP publik)Perangkat 1: 11.XX.XX.1<br>Perangkat 2: 11.XX.XX.2<br>Perangkat 3: 11.XX.XX.3
Perangkat gateway lokal (BGP)Perangkat 1: tunnel 169.254.10.0/30, IP BGP pusat data 169.254.10.2, ASN 65530<br>Perangkat 2: tunnel 169.254.11.0/30, IP BGP pusat data 169.254.11.2, ASN 65530<br>Perangkat 3: tunnel 169.254.12.0/30, IP BGP pusat data 169.254.12.2, ASN 65530
Pusat dataBlok CIDR: 192.168.0.0/24, 192.168.1.0/24, 192.168.2.0/24

Prasyarat

Sebelum memulai, pastikan Anda telah memiliki:

  • VPC di wilayah China (Shanghai) dengan instance ECS yang telah dideploy. Untuk informasi selengkapnya, lihat Buat VPC dengan blok CIDR IPv4.

  • Instans CEN dengan router transit Edisi Perusahaan di kedua wilayah China (Hangzhou) dan China (Shanghai). Untuk informasi selengkapnya, lihat Buat instans CEN dan Buat router transit.

  • Blok CIDR yang dikonfigurasi pada setiap router transit. Koneksi IPsec-VPN tidak dapat dikaitkan dengan router transit yang tidak memiliki blok CIDR. Jika Anda memiliki router transit yang sudah ada tanpa blok CIDR, lihat Blok CIDR router transit.

  • Aturan security group pada instance ECS yang mengizinkan lalu lintas masuk dari blok CIDR pusat data. Untuk informasi selengkapnya, lihat Kueri aturan security group dan Tambahkan aturan security group.

Ikhtisar konfigurasi

IPsec连接绑定TR最佳实践-公网-流程图

Langkah 1: Buat customer gateway

Daftarkan setiap perangkat gateway lokal ke Alibaba Cloud dengan membuat customer gateway untuknya.

  1. Login ke Konsol Gateway VPNKonsol Gateway VPN.

  2. Di panel navigasi kiri, pilih Interconnections > VPN > Customer Gateways.

  3. Di bilah navigasi atas, pilih China (Hangzhou).

  4. Di halaman Customer Gateway, klik Create Customer Gateway.

  5. Di panel Create Customer Gateway, konfigurasikan parameter dan klik OK.

Buat tiga customer gateway dengan pengaturan berikut. Gunakan nilai default untuk semua parameter lainnya. Untuk informasi selengkapnya, lihat Buat dan kelola customer gateway.

ParameterDeskripsiCustomer gateway 1Customer gateway 2Customer gateway 3
NameNama customer gateway.Customer-Gateway1Customer-Gateway2Customer-Gateway3
IP addressAlamat IP publik perangkat gateway lokal.11.XX.XX.111.XX.XX.211.XX.XX.3
ASNNomor sistem otonom (ASN) BGP perangkat gateway lokal.655306553065530

Langkah 2: Buat koneksi IPsec-VPN

Buat tiga koneksi IPsec-VPN, satu untuk setiap customer gateway. Setiap koneksi di-bind langsung ke router transit CEN.

  1. Login ke Konsol Gateway VPNKonsol Gateway VPN.

  2. Di panel navigasi kiri, pilih Interconnections > VPN > IPsec Connections.

  3. Di halaman IPsec Connections, klik Bind CEN.

  4. Di halaman Create IPsec-VPN Connection, konfigurasikan parameter dan klik OK.

Buat tiga koneksi di wilayah China (Hangzhou) dengan pengaturan berikut. Gunakan nilai default untuk semua parameter lainnya. Untuk informasi selengkapnya, lihat Kelola koneksi IPsec-VPN single-tunnel.

ParameterDeskripsiKoneksi 1Koneksi 2Koneksi 3
NameNama koneksi.IPsec-VPN Connection 1IPsec-VPN Connection 2IPsec-VPN Connection 3
RegionWilayah router transit yang akan dilampirkan.China (Hangzhou)China (Hangzhou)China (Hangzhou)
Gateway typeJenis jaringan koneksi.PublicPublicPublic
Bind CENAkun pemilik router transit.Same AccountSame AccountSame Account
CEN instance IDInstans CEN yang akan dilampirkan.Pilih instans CEN yang dibuat pada prasyarat. Sistem menampilkan ID router transit dan blok CIDR untuk wilayah China (Hangzhou).SamaSama
ZoneZona untuk deploy koneksi.Hangzhou Zone HHangzhou Zone HHangzhou Zone H
Routing modeMode distribusi rute.Destination Routing ModeDestination Routing ModeDestination Routing Mode
Effective immediatelyApakah negosiasi dimulai segera setelah konfigurasi.YesYesYes
Customer gatewayCustomer gateway yang akan dikaitkan.Customer-Gateway1Customer-Gateway2Customer-Gateway3
Pre-shared keyKunci otentikasi. Harus sesuai dengan kunci yang dikonfigurasi pada perangkat lokal. Kunci terdiri dari 1–100 karakter dan dapat berisi angka, huruf, serta karakter khusus: ` ~!@#$%^&*()_-+={}[]|;:',.<>/?`. Spasi tidak diperbolehkan. Jika dibiarkan kosong, sistem akan menghasilkan kunci acak 16 karakter — lihat kuncinya nanti dengan mengklik Edit pada tunnel.fddsFF123****fddsFF456****fddsFF789****
Enable BGPAktifkan perutean dinamis BGP.DiaktifkanDiaktifkanDiaktifkan
Local ASNASN untuk koneksi IPsec-VPN.655316553165531
Encryption configurationPengaturan enkripsi IKE dan IPsec.Gunakan nilai default kecuali: atur DH Group menjadi group14 baik di IKE Configurations maupun IPsec Configurations. Sesuaikan pengaturan ini pada perangkat lokal.SamaSama
Tunnel CIDR blockBlok CIDR untuk tunnel terenkripsi. Harus merupakan subnet /30 dalam rentang 169.254.0.0/16. Subnet tertentu dicadangkan dan tidak dapat digunakan.169.254.10.0/30169.254.11.0/30169.254.12.0/30
Local BGP IP addressAlamat IP BGP untuk koneksi. Harus berada dalam blok CIDR tunnel.169.254.10.1169.254.11.1169.254.12.1
Advanced configurationMengaktifkan distribusi dan pembelajaran rute otomatis.Gunakan nilai default (semua diaktifkan)Gunakan nilai defaultGunakan nilai default

Setelah koneksi dibuat, sistem akan menetapkan alamat IP gateway publik untuk masing-masing. Alamat ini merupakan titik akhir Alibaba Cloud yang dihubungi oleh perangkat lokal.

查看公网IP地址
Alamat IP gateway hanya ditetapkan setelah koneksi dilampirkan ke router transit.

Dalam contoh ini, alamat IP gateway yang ditetapkan adalah:

KoneksiAlamat IP gateway
Koneksi IPsec-VPN 1120.XX.XX.191
Koneksi IPsec-VPN 247.XX.XX.213
Koneksi IPsec-VPN 347.XX.XX.161
  1. Di halaman IPsec Connections, temukan setiap koneksi yang telah Anda buat. Di kolom Actions, klik Generate Peer Configuration dan simpan file konfigurasi yang diunduh. Anda akan menggunakan file-file ini untuk mengonfigurasi perangkat gateway lokal.

Langkah 3: Konfigurasi perangkat gateway lokal

Terapkan konfigurasi VPN dan BGP ke setiap perangkat gateway lokal menggunakan pengaturan dari file konfigurasi yang diunduh.

Contoh di bawah ini menggunakan software Cisco ASA versi 9.19.1. Perintah dapat berbeda tergantung versi software — konsultasikan dokumentasi perangkat atau vendor Anda untuk lingkungan aktual. Untuk informasi selengkapnya, lihat Konfigurasi gateway lokal. Konten berikut berisi informasi produk pihak ketiga yang disediakan hanya sebagai referensi. Alibaba Cloud tidak memberikan jaminan apa pun mengenai kinerja, keandalan, atau dampak operasional produk pihak ketiga.

Perangkat gateway lokal 1

  1. Login ke CLI firewall Cisco dan masuk ke mode konfigurasi.

    ciscoasa> enable
    Password: ********             # Masukkan password untuk mode enable.
    ciscoasa# configure terminal   # Masuk ke mode konfigurasi.
    ciscoasa(config)#
  2. Verifikasi konfigurasi antarmuka. Firewall harus memiliki konfigurasi antarmuka lengkap dengan semua antarmuka diaktifkan.

    # Lihat konfigurasi antarmuka perangkat gateway lokal 1.
    ciscoasa(config)# show running-config interface
    !
    interface GigabitEthernet0/0                # Antarmuka menghadap Internet.
     nameif outside1
     security-level 0
     ip address 11.XX.XX.1 255.255.255.255      # Alamat IP publik.
    !
    interface GigabitEthernet0/1                # Antarmuka menghadap pusat data.
     nameif private
     security-level 100
     ip address 192.168.50.216 255.255.255.0
    !
  3. Aktifkan IKEv2 pada antarmuka publik.

    crypto ikev2 enable outside1
  4. Buat kebijakan IKEv2. Pengaturan ini harus sesuai dengan sisi Alibaba Cloud.

    crypto ikev2 policy 10
     encryption aes             # Algoritma enkripsi.
     integrity sha              # Algoritma autentikasi.
     group 14                   # Grup DH.
     prf sha                    # Harus sesuai dengan integrity.
     lifetime seconds 86400     # Masa berlaku SA.
  5. Buat proposal dan profil IPsec.

    crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL
     protocol esp encryption aes
     protocol esp integrity sha-1
    crypto ipsec profile ALIYUN-PROFILE
     set ikev2 ipsec-proposal ALIYUN-PROPOSAL
     set ikev2 local-identity address            # Gunakan format alamat IP untuk ID lokal.
     set pfs group14
     set security-association lifetime seconds 86400
     set security-association lifetime kilobytes unlimited
  6. Buat grup tunnel dengan kunci pra-bersama. Gunakan alamat IP gateway koneksi IPsec-VPN 1 (120.XX.XX.191).

    tunnel-group 120.XX.XX.191 type ipsec-l2l
    tunnel-group 120.XX.XX.191 ipsec-attributes
     ikev2 remote-authentication pre-shared-key fddsFF123****
     ikev2 local-authentication pre-shared-key fddsFF123****
    !
  7. Buat antarmuka tunnel.

    interface Tunnel1
     nameif ALIYUN1
     ip address 169.254.10.2 255.255.255.252
     tunnel source interface outside1
     tunnel destination 120.XX.XX.191
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile ALIYUN-PROFILE
     no shutdown
    !
  8. Konfigurasi rute statis dan BGP.

    route outside1 120.XX.XX.191 255.255.255.255 192.XX.XX.172   # Rute ke alamat IP gateway koneksi IPsec-VPN 1.
    route private 192.168.0.0 255.255.255.0 192.168.50.215
    route private 192.168.1.0 255.255.255.0 192.168.50.215
    route private 192.168.2.0 255.255.255.0 192.168.50.215
    
    router bgp 65530
     address-family ipv4 unicast
      neighbor 169.254.10.1 remote-as 65531       # Peer BGP: IP BGP Alibaba Cloud koneksi 1.
      neighbor 169.254.10.1 ebgp-multihop 255
      neighbor 169.254.10.1 activate
      network 192.168.0.0 mask 255.255.255.0       # Mengiklankan blok CIDR pusat data.
      network 192.168.1.0 mask 255.255.255.0
      network 192.168.2.0 mask 255.255.255.0
     exit-address-family

Perangkat gateway lokal 2

  1. Login ke CLI firewall Cisco dan masuk ke mode konfigurasi.

    ciscoasa> enable
    Password: ********
    ciscoasa# configure terminal
    ciscoasa(config)#
  2. Verifikasi konfigurasi antarmuka.

    # Lihat konfigurasi antarmuka perangkat gateway lokal 2.
    ciscoasa(config)# show running-config interface
    !
    interface GigabitEthernet0/0
     nameif outside1
     security-level 0
     ip address 11.XX.XX.2 255.255.255.255
    !
    interface GigabitEthernet0/1
     nameif private
     security-level 100
     ip address 192.168.50.218 255.255.255.0
    !
  3. Aktifkan IKEv2 pada antarmuka publik.

    crypto ikev2 enable outside1
  4. Buat kebijakan IKEv2.

    crypto ikev2 policy 10
     encryption aes
     integrity sha
     group 14
     prf sha
     lifetime seconds 86400
  5. Buat proposal dan profil IPsec.

    crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL
     protocol esp encryption aes
     protocol esp integrity sha-1
    crypto ipsec profile ALIYUN-PROFILE
     set ikev2 ipsec-proposal ALIYUN-PROPOSAL
     set ikev2 local-identity address
     set pfs group14
     set security-association lifetime seconds 86400
     set security-association lifetime kilobytes unlimited
  6. Buat grup tunnel. Gunakan alamat IP gateway koneksi IPsec-VPN 2 (47.XX.XX.213).

    tunnel-group 47.XX.XX.213 type ipsec-l2l
    tunnel-group 47.XX.XX.213 ipsec-attributes
     ikev2 remote-authentication pre-shared-key fddsFF456****
     ikev2 local-authentication pre-shared-key fddsFF456****
    !
  7. Buat antarmuka tunnel.

    interface Tunnel1
     nameif ALIYUN1
     ip address 169.254.11.2 255.255.255.252
     tunnel source interface outside1
     tunnel destination 47.XX.XX.213
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile ALIYUN-PROFILE
     no shutdown
    !
  8. Konfigurasi rute statis dan BGP.

    route outside1 47.XX.XX.213 255.255.255.255 192.XX.XX.173
    route private 192.168.0.0 255.255.255.0 192.168.50.217
    route private 192.168.1.0 255.255.255.0 192.168.50.217
    route private 192.168.2.0 255.255.255.0 192.168.50.217
    
    router bgp 65530
     address-family ipv4 unicast
      neighbor 169.254.11.1 remote-as 65531
      neighbor 169.254.11.1 ebgp-multihop 255
      neighbor 169.254.11.1 activate
      network 192.168.0.0 mask 255.255.255.0
      network 192.168.1.0 mask 255.255.255.0
      network 192.168.2.0 mask 255.255.255.0
     exit-address-family

Perangkat gateway lokal 3

  1. Login ke CLI firewall Cisco dan masuk ke mode konfigurasi.

    ciscoasa> enable
    Password: ********
    ciscoasa# configure terminal
    ciscoasa(config)#
  2. Verifikasi konfigurasi antarmuka.

    # Lihat konfigurasi antarmuka perangkat gateway lokal 3.
    ciscoasa(config)# show running-config interface
    !
    interface GigabitEthernet0/0
     nameif outside1
     security-level 0
     ip address 11.XX.XX.3 255.255.255.255
    !
    interface GigabitEthernet0/1
     nameif private
     security-level 100
     ip address 192.168.50.213 255.255.255.0
    !
  3. Aktifkan IKEv2 pada antarmuka publik.

    crypto ikev2 enable outside1
  4. Buat kebijakan IKEv2.

    crypto ikev2 policy 10
     encryption aes
     integrity sha
     group 14
     prf sha
     lifetime seconds 86400
  5. Buat proposal dan profil IPsec.

    crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL
     protocol esp encryption aes
     protocol esp integrity sha-1
    crypto ipsec profile ALIYUN-PROFILE
     set ikev2 ipsec-proposal ALIYUN-PROPOSAL
     set ikev2 local-identity address
     set pfs group14
     set security-association lifetime seconds 86400
     set security-association lifetime kilobytes unlimited
  6. Buat grup tunnel. Gunakan alamat IP gateway koneksi IPsec-VPN 3 (47.XX.XX.161).

    tunnel-group 47.XX.XX.161 type ipsec-l2l
    tunnel-group 47.XX.XX.161 ipsec-attributes
     ikev2 remote-authentication pre-shared-key fddsFF789****
     ikev2 local-authentication pre-shared-key fddsFF789****
    !
  7. Buat antarmuka tunnel.

    interface Tunnel1
     nameif ALIYUN1
     ip address 169.254.12.2 255.255.255.252
     tunnel source interface outside1
     tunnel destination 47.XX.XX.161
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile ALIYUN-PROFILE
     no shutdown
    !
  8. Konfigurasi rute statis dan BGP.

    route outside1 47.XX.XX.161 255.255.255.255 192.XX.XX.174
    route private 192.168.0.0 255.255.255.0 192.168.50.214
    route private 192.168.1.0 255.255.255.0 192.168.50.214
    route private 192.168.2.0 255.255.255.0 192.168.50.214
    
    router bgp 65530
     address-family ipv4 unicast
      neighbor 169.254.12.1 remote-as 65531
      neighbor 169.254.12.1 ebgp-multihop 255
      neighbor 169.254.12.1 activate
      network 192.168.0.0 mask 255.255.255.0
      network 192.168.1.0 mask 255.255.255.0
      network 192.168.2.0 mask 255.255.255.0
     exit-address-family

Setelah konfigurasi ini selesai, tunnel IPsec-VPN terbentuk antara pusat data dan Alibaba Cloud, serta rute pusat data disebarluaskan ke tabel rute BGP masing-masing koneksi IPsec-VPN.

Tambahkan juga rute di sisi pusat data agar lalu lintas dari klien di pusat data ke VPC dapat dikirim melalui ketiga perangkat gateway lokal secara bersamaan. Untuk perintah spesifiknya, konsultasikan dengan vendor perangkat Anda.

Langkah 4: Buat koneksi VPC

Koneksi IPsec-VPN secara otomatis dilampirkan ke router transit di China (Hangzhou) saat dibuat. Sekarang lampirkan VPC di China (Shanghai) ke router transit lokalnya agar pusat data dapat mencapai VPC.

  1. Login ke Konsol CEN.

  2. Di halaman Instances, klik ID instans CEN Anda.

  3. Di tab Basic Settings > Transit Router, temukan router transit di China (Shanghai). Di kolom Actions, klik Create Connection.

  4. Di halaman Connection with Peer Network Instance, konfigurasikan parameter dan klik OK.

Gunakan pengaturan berikut. Gunakan nilai default untuk semua parameter lainnya. Untuk informasi selengkapnya, lihat Buat koneksi VPC.

ParameterDeskripsiNilai
Instance typeJenis instans jaringan yang akan dihubungkan.Virtual Private Cloud (VPC)
RegionWilayah VPC.China (Shanghai)
Resource owner IDApakah VPC dimiliki oleh akun Anda saat ini.Your Account
Billing methodMetode penagihan untuk koneksi VPC.Pay-As-You-Go
Attachment nameNama untuk koneksi VPC.VPC-connection
Network instanceVPC yang akan dilampirkan.Pilih VPC di China (Shanghai).
vSwitchvSwitch di zona yang didukung oleh router transit. Pilih satu vSwitch per zona untuk meminimalkan detour traffic. Setiap vSwitch yang dipilih harus memiliki setidaknya satu alamat IP yang tersedia.vSwitch 1 di Zona F dan vSwitch 2 di Zona G
Advanced settingsMengaktifkan distribusi rute otomatis dan asosiasi tabel rute.Gunakan nilai default (semua diaktifkan)

Langkah 5: Buat koneksi cross-region

Router transit di China (Hangzhou) terhubung ke koneksi IPsec-VPN, dan router transit di China (Shanghai) terhubung ke VPC — tetapi kedua router transit berada di wilayah berbeda dan tidak dapat berkomunikasi secara default. Buat koneksi cross-region untuk menghubungkannya.

  1. Di halaman Instances, klik ID instans CEN Anda.

  2. Di tab Basic Information > Bandwidth Plans, klik Allocate Bandwidth for Inter-region Communication.

  3. Di halaman Connection with Peer Network Instance, konfigurasikan parameter dan klik OK.

Gunakan pengaturan berikut. Untuk informasi selengkapnya, lihat Buat koneksi cross-region.

ParameterDeskripsi
Instance typePilih Inter-region Connection.
RegionPilih China (Hangzhou).
Attachment nameMasukkan Cross-Region-test.
Peer regionPilih China (Shanghai).
Bandwidth allocation modePilih Pay-By-Data-Transfer.
Default line typeGunakan jenis link default.
BandwidthMasukkan nilai bandwidth untuk koneksi cross-region. Satuan: Mbit/s.
Advanced settingsGunakan nilai default (semua diaktifkan).

Setelah koneksi cross-region dibuat, CEN secara otomatis mendistribusikan dan mempelajari rute. BGP menyebarkan rute VPC dari router transit ke pusat data, dan rute pusat data dari koneksi IPsec-VPN ke router transit. Pusat data dan VPC kini dapat berkomunikasi.

Langkah 6: Verifikasi konektivitas

Uji konektivitas jaringan dan pastikan lalu lintas diload-balancing melalui ketiga koneksi.

Uji konektivitas jaringan

  1. Login ke instance ECS di VPC. Untuk informasi selengkapnya, lihat Hubungkan ke instance ECS.

  2. Jalankan perintah ping ke klien di pusat data:

    ping <alamat IP client di pusat data>

Tanggapan sukses mengonfirmasi bahwa pusat data dan VPC dapat saling menjangkau.

Verifikasi load balancing

Kirim lalu lintas dari beberapa klien di pusat data ke instance ECS secara bersamaan, lalu periksa apakah ketiga koneksi IPsec-VPN menunjukkan adanya lalu lintas.

Gunakan beberapa klien yang mengirim lalu lintas secara bersamaan untuk memverifikasi bahwa ketiga koneksi digunakan.
  1. Login ke Konsol Gateway VPNKonsol Gateway VPN.

  2. Di bilah navigasi atas, pilih China (Hangzhou).

  3. Di panel navigasi kiri, pilih Interconnections > VPN > IPsec Connections.

  4. Di halaman IPsec Connections, klik ID koneksi IPsec-VPN.

  5. Di halaman detail koneksi, buka tab Monitor dan periksa data pemantauan lalu lintas.

Ulangi untuk ketiga koneksi. Jika ketiganya menunjukkan lalu lintas, load balancing berfungsi.

Deskripsi perutean

Konfigurasi rute default yang digunakan dalam topik ini memungkinkan CEN secara otomatis mendistribusikan dan mempelajari rute tanpa intervensi manual. Bagian berikut menjelaskan cara kerja perutean untuk setiap komponen.

Koneksi IPsec-VPN

Saat Anda membuat koneksi IPsec-VPN dan meng-bind-nya langsung ke router transit dengan semua konfigurasi lanjutan diaktifkan, sistem menerapkan konfigurasi rute berikut secara otomatis:

  • Koneksi IPsec-VPN dikaitkan dengan tabel rute default router transit. Router transit menggunakan tabel ini untuk meneruskan lalu lintas dari koneksi.

  • Rute yang dipelajari dari pusat data melalui BGP — atau rute berbasis tujuan yang Anda tambahkan secara manual — disebarluaskan ke tabel rute default router transit.

  • Router transit secara otomatis menyebarkan rute lain dalam tabel rute default-nya ke tabel rute BGP koneksi IPsec-VPN.

  • Koneksi menyebarkan rute cloud yang dipelajari kembali ke pusat data melalui BGP.

Koneksi VPC

Saat Anda membuat koneksi VPC dengan semua konfigurasi lanjutan diaktifkan, sistem menerapkan konfigurasi rute berikut secara otomatis:

  • Asosiasikan dengan tabel rute default router transit: Koneksi VPC dikaitkan dengan tabel rute default. Router transit menggunakan tabel ini untuk meneruskan lalu lintas dari VPC.

  • Sebarkan rute sistem ke tabel rute default router transit: VPC menyebarkan rute sistemnya ke tabel rute default router transit, memungkinkan komunikasi antar instans jaringan.

  • Buat rute secara otomatis yang mengarah ke router transit: Sistem menambahkan tiga rute — 10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16 — ke semua tabel rute di VPC, dengan lompatan berikutnya mengarah ke koneksi VPC.

Penting

Jika rute dengan blok CIDR tujuan 10.0.0.0/8, 172.16.0.0/12, atau 192.168.0.0/16 sudah ada di tabel rute VPC, sistem tidak dapat menambahkannya secara otomatis. Tambahkan rute tersebut secara manual, arahkan ke koneksi VPC. Klik Initiate Route Check untuk memverifikasi apakah rute tersebut sudah ada.

Koneksi cross-region

Saat Anda membuat koneksi cross-region dengan semua konfigurasi lanjutan diaktifkan, sistem menerapkan konfigurasi rute berikut secara otomatis:

  • Asosiasikan dengan tabel rute default router transit: Koneksi cross-region dikaitkan dengan tabel rute default. Router transit menggunakan tabel ini untuk meneruskan lalu lintas cross-region.

  • Sebarkan rute sistem ke tabel rute default router transit: Koneksi cross-region dikaitkan dengan tabel rute default router transit di kedua wilayah yang terhubung.

  • Iklankan rute secara otomatis ke wilayah peer: Rute dalam tabel rute router transit wilayah saat ini secara otomatis diiklankan ke router transit peer, dan sebaliknya.

Entri rute

Tabel berikut menunjukkan entri rute untuk semua komponen dalam contoh ini. Untuk melihat rute ini di konsol:

Tabel 1. Tabel rute default router transit di China (Hangzhou)

Blok CIDR tujuanNext HopJenis rute
10.0.0.0/24Koneksi cross-regionPembelajaran otomatis
10.0.1.0/24Koneksi cross-regionPembelajaran otomatis
192.168.0.0/24Koneksi VPN 1 (koneksi IPsec-VPN 1)Pembelajaran otomatis
192.168.0.0/24Koneksi VPN 2 (koneksi IPsec-VPN 2)Pembelajaran otomatis
192.168.0.0/24Koneksi VPN 3 (koneksi IPsec-VPN 3)Pembelajaran otomatis
192.168.1.0/24Koneksi VPN 1 (koneksi IPsec-VPN 1)Pembelajaran otomatis
192.168.1.0/24Koneksi VPN 2 (koneksi IPsec-VPN 2)Pembelajaran otomatis
192.168.1.0/24Koneksi VPN 3 (koneksi IPsec-VPN 3)Pembelajaran otomatis
192.168.2.0/24Koneksi VPN 1 (koneksi IPsec-VPN 1)Pembelajaran otomatis
192.168.2.0/24Koneksi VPN 2 (koneksi IPsec-VPN 2)Pembelajaran otomatis
192.168.2.0/24Koneksi VPN 3 (koneksi IPsec-VPN 3)Pembelajaran otomatis

Tabel 2. Tabel rute default router transit di China (Shanghai)

Blok CIDR tujuanNext hopJenis rute
10.0.0.0/24Koneksi VPCPembelajaran otomatis
10.0.1.0/24Koneksi VPCPembelajaran otomatis
192.168.0.0/24Koneksi cross-regionPembelajaran otomatis
192.168.0.0/24Koneksi cross-regionPembelajaran otomatis
192.168.0.0/24Koneksi cross-regionPembelajaran otomatis
192.168.1.0/24Koneksi cross-regionPembelajaran otomatis
192.168.1.0/24Koneksi cross-regionPembelajaran otomatis
192.168.1.0/24Koneksi cross-regionPembelajaran otomatis
192.168.2.0/24Koneksi cross-regionPembelajaran otomatis
192.168.2.0/24Koneksi cross-regionPembelajaran otomatis
192.168.2.0/24Koneksi cross-regionPembelajaran otomatis

Tabel 3. Tabel rute sistem VPC

Blok CIDR tujuanNext HopJenis rute
10.0.0.0/24LokalSistem
10.0.1.0/24LokalSistem
10.0.0.0/8Koneksi VPCKustom
172.16.0.0/12Koneksi VPCCustom
192.168.0.0/16Koneksi VPCCustom

Tabel 4. Tabel rute BGP koneksi IPsec-VPN

Blok CIDR tujuanSumber
Koneksi IPsec-VPN 1
10.0.0.0/24Rute dipelajari dari sisi Alibaba Cloud
10.0.1.0/24Rute dipelajari dari sisi Alibaba Cloud
192.168.0.0/24Rute dipelajari dari sisi pusat data
192.168.1.0/24Rute dipelajari dari sisi pusat data
192.168.2.0/24Rute dipelajari dari sisi pusat data
Koneksi IPsec-VPN 2
10.0.0.0/24Rute dipelajari dari sisi Alibaba Cloud
10.0.1.0/24Rute dipelajari dari sisi Alibaba Cloud
192.168.0.0/24Rute dipelajari dari sisi pusat data
192.168.1.0/24Rute dipelajari dari sisi pusat data
192.168.2.0/24Rute dipelajari dari sisi pusat data
Koneksi IPsec-VPN 3
10.0.0.0/24Rute dipelajari dari sisi Alibaba Cloud
10.0.1.0/24Rute dipelajari dari sisi Alibaba Cloud
192.168.0.0/24Rute dipelajari dari sisi pusat data
192.168.1.0/24Rute dipelajari dari sisi pusat data
192.168.2.0/24Rute dipelajari dari sisi pusat data

Tabel 5. Rute cloud yang dipelajari oleh perangkat gateway lokal

Blok CIDR tujuanNext Hop
Perangkat gateway lokal 1
10.0.0.0/24Koneksi IPsec-VPN 1
10.0.1.0/24Koneksi IPsec-VPN 1
Perangkat gateway lokal 2
10.0.0.0/24Koneksi IPsec-VPN 2
10.0.1.0/24Koneksi IPsec-VPN 2
Perangkat gateway lokal 3
10.0.0.0/24Koneksi IPsec-VPN 3
10.0.1.0/24Koneksi IPsec-VPN 3