通过BGP动态路由实现物理专线私网流量加密 - VPN Gateway

Topik ini menjelaskan cara mengonfigurasi perutean dinamis BGP, rute batas virtual (VBR), dan koneksi IPsec-VPN untuk mengenkripsi serta mentransmisikan lalu lintas pribadi melalui sirkuit Express Connect.

Informasi latar belakang

Sebelum memulai, kami sarankan Anda mempelajari cara lalu lintas pribadi dienkripsi dan ditransmisikan melalui sirkuit Express Connect. Untuk informasi lebih lanjut, lihat Enkripsi Koneksi Pribadi melalui Sirkuit Express Connect.

Skenario penggunaan

Gambar berikut menunjukkan skenario penggunaan. Sebuah perusahaan memiliki pusat data di Hangzhou dan VPC yang diterapkan di wilayah China (Hangzhou). Aplikasi diterapkan pada instance Elastic Compute Service (ECS) di VPC tersebut. Untuk memperluas bisnisnya, perusahaan ingin menghubungkan pusat datanya ke cloud. Untuk memenuhi persyaratan kepatuhan keamanan, perusahaan perlu menggunakan sirkuit Express Connect dan router transit untuk bertukar data antara pusat data dan VPC melalui koneksi pribadi. Selain itu, untuk mencegah kebocoran data dan pemalsuan data, perusahaan ingin mengenkripsi data sebelum mentransmisikannya ke Alibaba Cloud melalui sirkuit Express Connect.

Pusat data terhubung ke VPC menggunakan sirkuit Express Connect. Dalam skenario ini, perusahaan dapat membuat koneksi IPsec-VPN pribadi antara perangkat gateway pelanggan dan router transit, kemudian mengenkripsi lalu lintas yang melewati koneksi IPsec-VPN tersebut untuk memastikan keamanan data.

Desain jaringan

Penting

Jika Anda ingin merancang jaringan pusat data dan instance jaringan Anda, pastikan jaringan mereka tidak tumpang tindih.

Mekanisme perutean

Untuk mengenkripsi dan mentransmisikan lalu lintas pribadi melalui sirkuit Express Connect, pastikan pusat data dan VPC saling bertukar data melalui koneksi IPsec-VPN pribadi daripada sirkuit Express Connect. Untuk mencapai tujuan ini, rute berikut ditambahkan dalam contoh ini:

Untuk lalu lintas dari VPC ke pusat data:
Router transit dapat mempelajari rute yang mengarah ke pusat data dari VBR dan koneksi IPsec-VPN pribadi. Secara default, rute yang dipelajari dari VBR memiliki prioritas lebih tinggi. Akibatnya, lalu lintas dari VPC ke pusat data lebih disukai diteruskan melalui sirkuit Express Connect sehingga tidak dapat dienkripsi.
Untuk menghindari masalah ini, panjang topeng subnet yang berbeda digunakan saat blok CIDR pusat data diiklankan dalam contoh ini. Saat perangkat gateway pelanggan mengiklankan blok CIDR pusat data ke VBR, pastikan panjang topengnya pendek. Saat perangkat gateway pelanggan mengiklankan blok CIDR pusat data ke koneksi IPsec-VPN pribadi, pastikan panjang topengnya panjang.
Sebagai contoh, blok CIDR pusat data adalah 192.168.0.0/16. Blok CIDR klien yang terhubung ke VPC adalah 192.168.20.0/24. Dalam kasus ini, iklankan blok CIDR pusat data 192.168.0.0/16 ke VBR dan iklankan blok CIDR klien 192.168.20.0/24 ke koneksi IPsec-VPN pribadi. Dengan cara ini, rute yang dipelajari oleh router transit dari koneksi IPsec-VPN pribadi memiliki prioritas lebih tinggi. Lalu lintas dari VPC ke klien di pusat data lebih disukai dienkripsi dan ditransmisikan melalui koneksi IPsec-VPN pribadi.
Untuk lalu lintas dari pusat data ke VPC:
Pusat data dapat mempelajari rute yang mengarah ke VPC dari VBR dan koneksi IPsec-VPN pribadi. Dalam contoh ini, kebijakan perutean dikonfigurasi di sisi router transit untuk menyesuaikan prioritas rute agar memastikan bahwa lalu lintas dari pusat data ke VPC lebih disukai ditransmisikan melalui koneksi IPsec-VPN pribadi.

Catatan

Ini memastikan bahwa pusat data dan VPC masih dapat bertukar data melalui sirkuit Express Connect dan router transit ketika koneksi IPsec-VPN pribadi ditutup. Namun, data tidak dienkripsi dalam kasus ini.

Subnetting dasar

Item jaringan	Subnetting	Alamat IP
VPC	Blok CIDR utama: 172.16.0.0/16 vSwitch 1 diterapkan di Zona H: 172.16.10.0/24 vSwitch 2 diterapkan di Zona H: 172.16.20.0/24 vSwitch 3 diterapkan di Zona J: 172.16.30.0/24	ECS 1: 172.16.10.225 ECS 2: 172.16.10.226
VBR	10.0.0.0/30	ID VLAN: 0 Alamat IPv4 (di sisi Alibaba Cloud): 10.0.0.1/30 Alamat IPv4 (di sisi pusat data): 10.0.0.2/30 Dalam contoh ini, alamat IPv4 di sisi pusat data adalah alamat IPv4 dari perangkat gateway pelanggan. ASN: 65534
Pusat data	Blok CIDR klien: 192.168.20.0/24	Alamat IP klien: 192.168.20.6
Pusat data	Blok CIDR perangkat gateway pelanggan: 10.0.0.0/30 192.168.10.0/24 192.168.40.0/24	Alamat IP VPN 1: 192.168.10.136 Alamat IP VPN 2: 192.168.40.159 Alamat IP VPN adalah alamat IP port yang digunakan oleh perangkat gateway pelanggan untuk terhubung ke router transit melalui koneksi IPsec-VPN pribadi. Alamat IP port yang terhubung ke sirkuit Express Connect: 10.0.0.2/30 ASN: 65530

Subnetting untuk perutean dinamis BGP

Blok CIDR terowongan BGP harus berada dalam 169.254.0.0/16. Topeng blok CIDR harus memiliki panjang 30 bit. Blok CIDR tidak boleh 169.254.0.0/30, 169.254.1.0/30, 169.254.2.0/30, 169.254.3.0/30, 169.254.4.0/30, 169.254.5.0/30, 169.254.6.0/30, atau 169.254.169.252/30. Kedua terowongan koneksi IPsec-VPN harus menggunakan blok CIDR yang berbeda.

Sumber daya	Terowongan	Blok CIDR terowongan BGP	Alamat IP BGP	ASN lokal BGP
Koneksi IPsec-VPN	Terowongan 1	169.254.10.0/30	169.254.10.1	65534
Koneksi IPsec-VPN	Terowongan 2	169.254.20.0/30	169.254.20.1	65534
Perangkat gateway pelanggan	Terowongan 1	169.254.10.0/30	169.254.10.2	65530
Perangkat gateway pelanggan	Terowongan 2	169.254.20.0/30	169.254.20.2	65530

Prasyarat

VPC dibuat di wilayah China (Hangzhou) dan aplikasi diterapkan pada instance ECS di VPC tersebut. Untuk informasi lebih lanjut, lihat Buat VPC dengan Blok CIDR IPv4.
Perangkat gateway pelanggan mendukung protokol IKEv1 dan IKEv2 untuk membuat koneksi IPsec-VPN pribadi. Untuk memeriksa apakah perangkat gateway mendukung protokol IKEv1 dan IKEv2, hubungi vendor gateway.

Prosedur

Langkah 1: Hubungkan pusat data ke VPC menggunakan sirkuit Express Connect dan router transit

Langkah a: Terapkan sirkuit Express Connect

Terapkan sirkuit Express Connect untuk menghubungkan pusat data ke Alibaba Cloud.

Ajukan permohonan untuk sirkuit Express Connect.
Ajukan permohonan untuk sirkuit Express Connect di wilayah China (Hangzhou). Untuk informasi lebih lanjut, lihat Mode Klasik atau Ikhtisar Koneksi Terkelola. Dalam contoh ini, a dedicated connection over an Express Connect circuit dibuat.

Buat VBR.

Masuk ke Konsol Express Connect.
Di panel navigasi sisi kiri, klik Virtual Border Routers (VBRs).
Di bilah navigasi atas, pilih wilayah China (Hangzhou).
Pastikan bahwa VBR dan sirkuit Express Connect diterapkan di wilayah yang sama.
Di halaman Virtual Border Routers (VBRs), klik Create VBR.

Di panel Create VBR, atur parameter berikut dan klik OK.

Tabel berikut hanya menjelaskan beberapa parameter. Parameter lainnya menggunakan nilai default. Untuk informasi lebih lanjut, lihat Buat dan Kelola VBR.

Parameter	Deskripsi
Name	Dalam contoh ini, `VBR` digunakan.
Physical Connection Information	Dalam contoh ini, Dedicated Physical Connection dipilih, dan sirkuit Express Connect yang Anda terapkan dipilih.
VLAN ID	`0` digunakan dalam contoh ini.
Alibaba Cloud Side IPv4 Address	Dalam contoh ini, `10.0.0.1` dimasukkan.
Data Center Side IPv4 Address	Dalam contoh ini, `10.0.0.2` dimasukkan.
IPv4 Subnet Mask	`255.255.255.252` digunakan dalam contoh ini.

Konfigurasikan grup BGP untuk VBR.
1. Di halaman Virtual Border Routers (VBRs), klik ID VBR.
2. Di halaman detail, klik tab BGP Groups.
3. Di tab BGP Groups, klik Create BGP Group, atur parameter berikut, dan klik OK.
  Tabel berikut hanya menjelaskan parameter yang relevan. Untuk informasi lebih lanjut, lihat Konfigurasi BGP.
  - Name: Masukkan VBR-BGP.
  - Peer ASN: Masukkan ASN perangkat gateway pelanggan, yaitu 65530.
  - Local ASN: Masukkan ASN BGP VBR, yaitu 65534.
Konfigurasikan peer BGP untuk VBR.
1. Di halaman detail VBR, klik tab BGP Peers.
2. Di tab BGP Peers, klik Create BGP Peer.
3. Di panel Create BGP Peer, atur parameter berikut dan klik OK:
  - BGP Group: Pilih VBR-BGP.
  - BGP Peer IP Address: Masukkan alamat IP peer BGP. Dalam contoh ini, alamat IP 10.0.0.1 dimasukkan. Ini adalah alamat IP antarmuka yang digunakan oleh perangkat gateway pelanggan untuk terhubung ke sirkuit Express Connect.

Konfigurasikan perutean BGP pada perangkat gateway pelanggan.

Catatan

Dalam contoh ini, perangkat lunak Adaptive Security Appliance (ASA) 9.19.1 digunakan untuk menjelaskan cara mengonfigurasi firewall Cisco. Perintah mungkin bervariasi tergantung pada versi perangkat lunak. Konsultasikan dokumentasi atau vendor Anda berdasarkan lingkungan aktual selama operasi. Untuk informasi lebih lanjut, lihat Konfigurasi Gateway Lokal.

Konten berikut berisi informasi produk pihak ketiga, yang hanya untuk referensi. Alibaba Cloud tidak memberikan jaminan atau bentuk komitmen lainnya untuk kinerja dan keandalan produk pihak ketiga, atau dampak potensial dari operasi yang dilakukan menggunakan produk-produk ini.

ciscoasa> enable
Password: ********             # Masukkan kata sandi untuk masuk ke mode enable.
ciscoasa# configure terminal   # Masuk ke mode konfigurasi.
ciscoasa(config)#   

Verifikasi bahwa antarmuka telah dikonfigurasi dan diaktifkan pada firewall Cisco. Dalam contoh ini, konfigurasi antarmuka berikut digunakan:
ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/0                # Antarmuka yang terhubung ke VBR.
 nameif VBR                                 # Nama antarmuka GigabitEthernet 0/0.
 security-level 0
 ip address 10.0.0.1 255.255.255.252        # Alamat IP antarmuka GigabitEthernet0/0.
!
interface GigabitEthernet0/2                #Antarmuka yang terhubung ke pusat data.
 nameif private                             # Nama antarmuka GigabitEthernet 0/2.
 security-level 100                         #Pastikan tingkat keamanan antarmuka yang terhubung ke pusat data lebih rendah daripada antarmuka yang terhubung ke Alibaba Cloud.
 ip address 192.168.50.215 255.255.255.0    #Alamat IP antarmuka GigabitEthernet0/2.
!
interface GigabitEthernet0/3                #Antarmuka yang terhubung ke terowongan IPsec-VPN pribadi 1.
 nameif VPN-IP1                             #Nama antarmuka GigabitEthernet0/3.
 security-level 0
 ip address 192.168.10.136 255.255.255.0    #Alamat IP pribadi antarmuka GigabitEthernet0/3.
!
interface GigabitEthernet0/4                #Antarmuka yang terhubung ke terowongan IPsec-VPN pribadi 2.
 nameif VPN-IP2                             #Nama antarmuka GigabitEthernet0/4.
 security-level 0
 ip address 192.168.40.159  255.255.255.0   #Alamat IP pribadi antarmuka GigabitEthernet0/4.
!

#Konfigurasikan prefix-list dan route-map.
prefix-list VBR permit 192.168.0.0/16
route-map VBR permit 10
 match ip address prefix-list VBR
 
#Konfigurasikan perutean BGP.
router bgp 65530                         # Aktifkan BGP dan konfigurasikan ASN pusat data. 65530 digunakan dalam contoh ini.
bgp router-id 10.0.0.1                   # Masukkan ID router BGP. Dalam contoh ini, 10.0.0.1 digunakan.

address-family ipv4 unicast
neighbor 10.0.0.2 remote-as 65534        #Tetapkan koneksi peering ke VBR.
neighbor 10.0.0.2 activate               # Aktifkan peer BGP.
neighbor 10.0.0.2 route-map VBR out      #Iklankan hanya rute yang menunjuk ke blok CIDR besar ke VBR.
network 192.168.0.0 mask 255.255.0.0     #Iklankan blok CIDR pusat data. Kami merekomendasikan Anda menggunakan topeng subnet pendek.
exit-address-family
!  
   
#Tambahkan rute yang menunjuk ke klien di pusat data.
route private 192.168.0.0 255.255.0.0 192.168.50.216

Penting

Untuk mengiklankan blok CIDR pusat data ke VBR, kami merekomendasikan Anda menggunakan topeng subnet pendek. Dengan cara ini, blok CIDR pusat data yang dipelajari oleh router transit dari koneksi IPsec-VPN pribadi lebih spesifik daripada yang diiklankan dan rute tersebut memiliki prioritas lebih tinggi.

Langkah b: Konfigurasikan router transit

Setelah pusat data terhubung ke Alibaba Cloud melalui sirkuit Express Connect, Anda perlu mengonfigurasi router transit untuk bertukar data antara pusat data dan VPC.

Buat Instance CEN.
Di kotak dialog Create CEN Instance, klik Create CEN Only, masukkan nama, dan gunakan pengaturan default untuk parameter lainnya.
Buat Router Transit Edisi Perusahaan.
Buat router transit di wilayah China (Hangzhou) untuk menghubungkan VBR dan VPC. Gunakan pengaturan default untuk parameter lainnya.

Buat koneksi VPC.

Di halaman detail CEN, klik tab Basic Information > Transit Router. Temukan router transit di wilayah China (Hangzhou) dan klik Create Connection di kolom Actions.

Di halaman Connection with Peer Network Instance, konfigurasikan parameter berikut dan klik OK untuk menghubungkan VPC ke router transit.

Tabel berikut hanya menjelaskan beberapa parameter. Parameter lainnya menggunakan nilai default. Untuk informasi lebih lanjut, lihat Gunakan Router Transit Edisi Perusahaan untuk Membuat Koneksi VPC.

Parameter	Deskripsi
Instance Type	Pilih Virtual Private Cloud (VPC).
Region	Pilih China (Hangzhou).
Attachment Name	Masukkan `VPC-Attachment`.
Network Instance	Pilih VPC Anda.
VSwitch	Pilih vSwitch yang diterapkan di zona router transit. Dalam contoh ini, vSwitch 2 dan vSwitch 3 dipilih. Jika wilayah memiliki beberapa zona, pilih setidaknya dua zona dan pilih satu vSwitch di setiap zona. Kami merekomendasikan Anda memilih vSwitch yang tidak digunakan.
Advanced Settings	Dalam contoh ini, pengaturan default digunakan. Semua fitur lanjutan diaktifkan.

Klik Create More Connections untuk kembali ke halaman Connection with Peer Network Instance.

Buat koneksi VBR.

Di halaman Connection with Peer Network Instance, konfigurasikan parameter berikut dan klik OK untuk menghubungkan VBR ke router transit. Tabel berikut hanya menjelaskan beberapa parameter. Parameter lainnya menggunakan nilai default. Untuk informasi lebih lanjut, lihat Hubungkan VBR ke Router Transit Edisi Perusahaan.

Parameter	Deskripsi
Instance Type	Pilih Virtual Border Router (VBR).
Region	Pilih China (Hangzhou).
Attachment Name	`VBR-Attachment` dimasukkan dalam contoh ini.
Network Instance	VBR dipilih dalam contoh ini.
Advanced Settings	Dalam contoh ini, pengaturan default digunakan. Semua fitur lanjutan diaktifkan.

Langkah c: Uji konektivitas

Setelah Anda menyelesaikan konfigurasi sebelumnya, pusat data terhubung ke VPC. Anda dapat melakukan langkah-langkah berikut untuk menguji konektivitas.

Catatan

Pastikan Anda memahami aturan grup keamanan untuk instance ECS di VPC dan aturan kontrol akses untuk klien di pusat data. Pastikan aturan tersebut mengizinkan instance ECS di VPC berkomunikasi dengan klien di pusat data. Untuk informasi lebih lanjut, lihat Lihat Aturan Grup Keamanan dan Tambahkan Aturan Grup Keamanan.

Aturan kontrol akses untuk pusat data harus mengizinkan pesan ICMP dan akses dari VPC. Aturan grup keamanan untuk instance ECS harus mengizinkan pesan ICMP dan akses dari blok CIDR pusat data.

Hubungkan ke ECS 1 di VPC. Untuk informasi lebih lanjut, lihat Ikhtisar Metode Koneksi.
Jalankan perintah ping untuk mem-ping klien di pusat data.
```
ping <alamat IP klien di pusat data>
```
Seperti ditampilkan pada gambar sebelumnya, jika ECS 1 dapat menerima respons, pusat data dan VPC terhubung.

Langkah 2: Enkripsi koneksi khusus melalui sirkuit Express Connect

Setelah pusat data terhubung ke VPC, Anda dapat membuat koneksi IPsec-VPN pribadi antara perangkat gateway pelanggan dan router transit, serta mengonfigurasi rute untuk mengenkripsi dan mentransmisikan lalu lintas melalui koneksi IPsec-VPN pribadi antara pusat data dan VPC.

Langkah a: Buat koneksi IPsec-VPN pribadi

Tambahkan blok CIDR 10.10.10.0/24 untuk router transit. Untuk informasi lebih lanjut, lihat Blok CIDR Router Transit.
Alamat IP gateway akan dialokasikan dari blok CIDR router transit untuk membuat koneksi IPsec-VPN pribadi. Blok CIDR router transit tidak boleh tumpang tindih dengan blok CIDR pusat data dan VPC yang digunakan untuk komunikasi.
Buat dua gateway pelanggan untuk mendaftarkan dua alamat IP VPN dan ASN BGP perangkat gateway pelanggan dengan Alibaba Cloud.
1. Masuk ke Konsol Gateway VPN.
2. Di panel navigasi sisi kiri, pilih Interconnections > VPN > Customer Gateways.
3. Di halaman Customer Gateway, klik Create Customer Gateway.
4. Di panel Create Customer Gateway, atur parameter berikut dan klik OK.
  Tabel berikut hanya menjelaskan beberapa parameter. Parameter lainnya menggunakan nilai default. Untuk informasi lebih lanjut, lihat Buat dan Kelola Gateway Pelanggan.
  - Gateway Pelanggan 1
    - Name: Masukkan Customer-Gateway1.
    - IP Address: Masukkan salah satu alamat IP VPN perangkat gateway pelanggan, yaitu 192.168.10.136.
    - ASN: Masukkan ASN BGP perangkat gateway pelanggan, yaitu 65530.
  - Gateway Pelanggan 2
    - Name: Masukkan Customer-Gateway2.
    - IP Address: Masukkan alamat IP VPN lainnya dari perangkat gateway pelanggan, yaitu 192.168.40.159.
    - ASN: Masukkan ASN BGP perangkat gateway pelanggan, yaitu 65530.

Buat koneksi IPsec-VPN.

Di panel navigasi sisi kiri, pilih Interconnections > VPN > IPsec Connections.
Di halaman IPsec Connections, klik Bind CEN.

Di halaman Create Ipsec-vpn Connection (VPN), konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter.

Tabel berikut hanya menjelaskan parameter utama. Nilai default digunakan untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Buat dan Kelola Koneksi IPsec-VPN dalam Mode Dual-Tunnel.

Parameter	Koneksi IPsec-VPN
Name	Masukkan `IPsecConnection`.
Region	Pilih wilayah tempat router transit yang ingin Anda asosiasikan berada. Koneksi IPsec-VPN dibuat di wilayah yang sama dengan router transit.
Gateway Type	Pilih Private.
Bind CEN	Pilih Current Account.
CEN Instance ID	Dalam contoh ini, instansi CEN yang menghubungkan pusat data dan VPC dipilih. Sistem menampilkan ID dan blok CIDR router transit yang dibuat oleh instansi CEN di wilayah saat ini. Koneksi IPsec-VPN akan dikaitkan dengan router transit.
Transit Router	Sistem secara otomatis menampilkan router transit dari instansi CEN di wilayah saat ini.
Routing Mode	Destination Routing Mode dipilih dalam contoh ini untuk mengontrol perutean lalu lintas.
Enable BGP	Aktifkan BGP.
Local ASN	Masukkan ASN BGP koneksi IPsec-VPN, yaitu `65534`.
Tunnel 1
Customer Gateway	Pilih `Customer-Gateway1`.
Pre-Shared Key	`fddsFF111**` digunakan dalam contoh ini. Penting** Koneksi IPsec-VPN dan perangkat gateway peer harus menggunakan kunci pra-berbagi yang sama. Jika tidak, sistem tidak dapat membuat koneksi IPsec-VPN.
Encryption Configuration	Gunakan nilai default parameter kecuali untuk parameter berikut. Atur parameter DH Group di bagian IKE Configurations menjadi group14. Atur parameter DH Group di bagian IPsec Configurations menjadi group14. Catatan Anda perlu memilih parameter enkripsi berdasarkan perangkat gateway lokal untuk memastikan bahwa konfigurasi enkripsi untuk koneksi IPsec sama dengan perangkat gateway lokal.
BGP Configuration	Tunnel CIDR Block: Masukkan `169.254.10.0/30`. Local BGP IP address: Masukkan `169.254.10.1`.
Tunnel 2
Customer Gateway	Pilih `Customer-Gateway2`.
Pre-Shared Key	`fddsFF222****` digunakan dalam contoh ini.
Encryption Configuration	Gunakan nilai default parameter kecuali untuk parameter berikut. Atur parameter DH Group di bagian IKE Configurations menjadi group14. Atur parameter DH Group di bagian IPsec Configurations menjadi group14. Catatan Anda perlu memilih parameter enkripsi berdasarkan perangkat gateway lokal untuk memastikan bahwa konfigurasi enkripsi untuk koneksi IPsec sama dengan perangkat gateway lokal.
BGP Configuration	Tunnel CIDR Block: Masukkan `169.254.20.0/30`. Local BGP IP address: Masukkan `169.254.20.1`.
Advanced Configuration	Dalam contoh ini, pengaturan default digunakan. Semua fitur lanjutan diaktifkan.

Di halaman detail koneksi IPsec-VPN, Anda dapat melihat bahwa alamat IP gateway digunakan untuk membuat koneksi IPsec-VPN pribadi ke perangkat gateway pelanggan. IPsec-BGP

Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang Anda buat dan klik Generate Peer Configuration di kolom Actions.
Konfigurasi peer IPsec merujuk pada pengaturan VPN yang harus ditambahkan saat membuat koneksi IPsec-VPN. Dalam contoh ini, Anda perlu menambahkan konfigurasi VPN ke perangkat gateway di pusat data.
Di kotak dialog IPsec Connection Configuration, salin dan simpan konfigurasi ke mesin lokal karena diperlukan saat mengonfigurasi perangkat gateway pusat data.

Konfigurasikan perangkat gateway pelanggan.

Setelah membuat koneksi IPsec-VPN, Anda perlu menambahkan konfigurasi VPN pada perangkat gateway pelanggan agar koneksi IPsec-VPN pribadi dapat dibuat antara Alibaba Cloud dan perangkat gateway pelanggan.

Klik untuk melihat konfigurasi perangkat gateway pelanggan.

Masuk ke CLI firewall Cisco dan masuk ke mode konfigurasi.

ciscoasa> enable
Password: ********             # Masukkan kata sandi untuk masuk ke mode enable.
ciscoasa# configure terminal   # Masuk ke mode konfigurasi.
ciscoasa(config)#

Lihat konfigurasi antarmuka dan konfigurasi rute.

Verifikasi bahwa antarmuka telah dikonfigurasi dan diaktifkan pada firewall Cisco. Dalam contoh ini, konfigurasi antarmuka berikut digunakan:

ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/3                #Antarmuka yang terhubung ke terowongan IPsec-VPN pribadi 1.
 nameif VPN-IP1                             #Nama antarmuka GigabitEthernet0/3.
 security-level 0
 ip address 192.168.10.136 255.255.255.0    #Alamat IP pribadi antarmuka GigabitEthernet0/3.
!
interface GigabitEthernet0/4                #Antarmuka yang terhubung ke terowongan IPsec-VPN pribadi 2.
 nameif VPN-IP2                             #Nama antarmuka GigabitEthernet0/4.
 security-level 0
 ip address 192.168.40.159  255.255.255.0   #Alamat IP pribadi antarmuka GigabitEthernet0/4.
!

Aktifkan IKEv2 untuk antarmuka.

crypto ikev2 enable VPN-IP1
crypto ikev2 enable VPN-IP2

Buat kebijakan IKEv2 dan tentukan algoritma autentikasi, algoritma enkripsi, grup DH, dan masa hidup SA di fase IKE pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.
Penting
Saat mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IKE. Kami merekomendasikan Anda menentukan hanya satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IKE pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.
```
crypto ikev2 policy 10     
 encryption aes             # Tentukan algoritma enkripsi.
 integrity sha              # Tentukan algoritma autentikasi.
 group 14                   # Tentukan grup DH.
 prf sha                    # Nilai parameter prf harus sama dengan parameter integrity. Secara default, nilai-nilai ini sama di Alibaba Cloud.
 lifetime seconds 86400     # Tentukan masa hidup SA.
```

Buat proposal IPsec dan profil, serta tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa hidup SA di fase IPsec pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

Penting

Saat mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IPsec. Kami merekomendasikan Anda menentukan hanya satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IPsec pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Buat proposal IPsec.
 protocol esp encryption aes                         # Tentukan algoritma enkripsi. Protokol Encapsulating Security Payload (ESP) digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP.
 protocol esp integrity sha-1                        # Tentukan algoritma autentikasi. Protokol ESP digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP.
crypto ipsec profile ALIYUN-PROFILE                  
 set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Buat profil IPsec dan terapkan proposal yang dibuat.
 set ikev2 local-identity address                    # Atur format ID lokal sebagai alamat IP, yang sama dengan format ID remote di Alibaba Cloud.
 set pfs group14                                     # Tentukan Perfect Forward Secrecy (PFS) dan grup DH.
 set security-association lifetime seconds 86400     # Tentukan masa hidup SA berbasis waktu.
 set security-association lifetime kilobytes unlimited # Nonaktifkan masa hidup SA berbasis lalu lintas.

Buat grup terowongan dan tentukan kunci pra-berbagi untuk terowongan, yang harus sama dengan yang ada di sisi Alibaba Cloud.

tunnel-group 10.10.10.49 type ipsec-l2l                    #Atur mode enkripsi ke l2l untuk Terowongan 1.
tunnel-group 10.10.10.49 ipsec-attributes             
 ikev2 remote-authentication pre-shared-key fddsFF111****  # Tentukan kunci pra-berbagi peer untuk Terowongan 1, yaitu kunci pra-berbagi di sisi Alibaba Cloud.
 ikev2 local-authentication pre-shared-key fddsFF111**** # Tentukan kunci pra-berbagi lokal untuk Terowongan 1, yang harus sama dengan yang ada di Alibaba Cloud.
!
tunnel-group 10.10.10.50 type ipsec-l2l                    #Atur mode enkripsi ke l2l untuk Terowongan 2.
tunnel-group 10.10.10.50 ipsec-attributes
 ikev2 remote-authentication pre-shared-key fddsFF222****  # Tentukan kunci pra-berbagi peer untuk Terowongan 2, yaitu kunci pra-berbagi di sisi Alibaba Cloud.
 ikev2 local-authentication pre-shared-key fddsFF222****   # Tentukan kunci pra-berbagi lokal untuk Terowongan 2, yang harus sama dengan yang ada di Alibaba Cloud.
!

Buat antarmuka terowongan.

interface Tunnel1                                  # Buat antarmuka untuk Terowongan 1.
 nameif ALIYUN1
 ip address 169.254.10.2 255.255.255.252           # Tentukan alamat IP antarmuka.
 tunnel source interface VPN-IP1                   #Tentukan alamat sumber Terowongan 1 sebagai alamat IP GigabitEthernet0/3.
 tunnel destination 10.10.10.49                    #Tentukan alamat tujuan Terowongan 1 sebagai alamat IP pribadi Terowongan 1 di sisi Alibaba Cloud.
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ALIYUN-PROFILE    # Terapkan profil IPsec ALIYUN-PROFILE pada Terowongan 1.
 no shutdown                                       # Aktifkan antarmuka untuk Terowongan 1.
!
interface Tunnel2                                  # Buat antarmuka untuk Terowongan 2.
 nameif ALIYUN2                
 ip address 169.254.20.2 255.255.255.252           # Tentukan alamat IP antarmuka.
 tunnel source interface VPN-IP2                   #Tentukan alamat sumber Terowongan 2 sebagai alamat IP GigabitEthernet0/4.
 tunnel destination 10.10.10.50                    #Tentukan alamat tujuan Terowongan 2 sebagai alamat IP pribadi Terowongan 2 di sisi Alibaba Cloud.
 tunnel mode ipsec ipv4                            
 tunnel protection ipsec profile ALIYUN-PROFILE # Terapkan profil IPsec ALIYUN-PROFILE pada Terowongan 2.
 no shutdown                                       # Aktifkan antarmuka untuk Terowongan 2.
!

Setelah menyelesaikan konfigurasi, perangkat gateway pelanggan dapat membuat koneksi IPsec-VPN pribadi ke Alibaba Cloud. Namun, peer BGP belum dibuat. Anda dapat memeriksa status koneksi di halaman detail koneksi IPsec-VPN. Jika koneksi IPsec-VPN pribadi tidak dibuat, lakukan pemecahan masalah sesuai. Untuk informasi lebih lanjut, lihat Diagnostik Mandiri untuk Koneksi IPsec-VPN. 仅IPsec-VPN

Langkah b: Konfigurasikan rute

Setelah koneksi IPsec-VPN pribadi dibuat, data masih ditransmisikan melalui sirkuit Express Connect antara pusat data dan VPC. Selain itu, data tidak dienkripsi. Anda perlu menambahkan rute untuk mengenkripsi dan mentransmisikan data melalui koneksi IPsec-VPN pribadi.

Tambahkan konfigurasi perutean BGP pada perangkat gateway pelanggan.

#Konfigurasikan prefix-list dan route-map.
prefix-list VPN permit 192.168.10.0/16
prefix-list VPN permit 192.168.20.0/16
prefix-list VPN permit 192.168.40.0/16

route-map VPN permit 10
 match ip address prefix-list VPN
 
#Konfigurasikan BGP untuk membuat peer BGP antara perangkat gateway pelanggan dan koneksi IPsec-VPN.
router bgp 65530
 address-family ipv4 unicast
  neighbor 169.254.10.1 remote-as 65534       #Tentukan peer BGP, yaitu alamat IP Terowongan 1 di sisi Alibaba Cloud.
  neighbor 169.254.10.1 activate              # Aktifkan peer BGP.
  neighbor 169.254.10.1 route-map VPN out     #Iklankan hanya rute spesifik ke Terowongan 1.
  neighbor 169.254.20.1 remote-as 65534       #Tentukan peer BGP, yaitu alamat IP Terowongan 2 di sisi Alibaba Cloud.
  neighbor 169.254.20.1 activate              # Aktifkan peer BGP.
  neighbor 169.254.20.1 route-map VPN out     #Iklankan hanya rute spesifik ke Terowongan 2.
  maximum-paths 5                        # Tingkatkan jumlah entri rute ECMP.
  network 192.168.10.0 mask 255.255.255.0     #Iklankan blok CIDR pusat data, yang harus lebih spesifik daripada blok CIDR pusat data yang diiklankan ke VBR.
  network 192.168.20.0 mask 255.255.255.0
  network 192.168.40.0 mask 255.255.255.0 
 exit-address-family

Penting

Untuk mengiklankan blok CIDR pusat data ke koneksi IPsec-VPN pribadi, pastikan blok CIDR tersebut lebih spesifik daripada yang diiklankan ke VBR. Dengan cara ini, rute yang dipelajari oleh router transit dari koneksi IPsec-VPN pribadi untuk mentransmisikan lalu lintas ke pusat data memiliki prioritas lebih tinggi.

Tambahkan rute kustom untuk router transit.

Setelah Anda menambahkan rute sebelumnya, koneksi IPsec-VPN pribadi akan terputus. Dalam kasus ini, Anda perlu menambahkan rute spesifik yang menunjuk ke alamat IP VPN perangkat gateway pelanggan ke tabel rute router transit, dan atur hop berikutnya ke VBR untuk membuat ulang koneksi IPsec-VPN pribadi.

Di tab Route Table konsol CEN, klik tab Route Entry dan klik Add Route Entry.

Di kotak dialog Add Route Entry, konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter.

Parameter	Blok CIDR 1	CIDR block 2
Destination CIDR	Masukkan salah satu alamat IP VPN perangkat gateway pelanggan, yaitu `192.168.10.136/32`.	Masukkan alamat IP VPN lainnya dari perangkat gateway pelanggan, yaitu `192.168.40.159/32`.
Whether it is a black hole route	Pilih No.
Next Hop Connection	Pilih VBR-Attachment.

Buat kebijakan perutean untuk tabel rute router transit.

Pusat data mempelajari blok CIDR yang menunjuk ke VPC dari VBR dan koneksi IPsec-VPN pribadi. Untuk memastikan bahwa lalu lintas yang ditujukan ke VPC dirutekan ke koneksi IPsec-VPN pribadi, Anda harus membuat kebijakan perutean untuk router transit. Dengan cara ini, prioritas blok CIDR yang diiklankan oleh VBR lebih rendah daripada prioritas blok CIDR yang diiklankan oleh koneksi IPsec-VPN pribadi.

Masuk ke Konsol CEN.
Di halaman Instances, temukan instansi CEN dan klik ID-nya.
Di halaman detail, cari transit router di wilayah China (Hangzhou) dan klik ID-nya.
Di halaman detail router transit, klik tab Route Table dan klik Route Maps.

Di tab Route Maps, klik Add Route Map. Atur parameter berikut dan klik OK:

Tabel berikut hanya menjelaskan parameter utama. Nilai default digunakan untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Ikhtisar Peta Rute. 路由策略1

Parameter	Kebijakan perutean
Policy Priority	Masukkan 30.
Associated Route Table	Gunakan nilai default.
Direction	Pilih Egress Regional Gateway.
Match Conditions	Destination Instance IDs: ID VBR dipilih. Route Prefix: Masukkan `172.16.10.0/24` dan `172.16.20.0/24`, dan pilih Exact Match.
Policy Action	Pilih Allow.
Add Action Object	Dalam contoh ini, Prepend AS Path dipilih dan `65525`, `65526`, dan `65527` ditentukan. Ini mengurangi prioritas blok CIDR VPC yang diiklankan VBR ke pusat data.

Buat kebijakan perutean lain untuk tabel rute router transit untuk melarang koneksi IPsec-VPN pribadi menyebarkan rute yang menunjuk ke alamat IP VPN perangkat gateway pelanggan ke pusat data. Ini mencegah loop rute.
- Policy Priority: Masukkan 40.
- Associated Route Table: Gunakan nilai default.
- Direction: Pilih Egress Regional Gateway.
- Match Conditions:
  - Destination Instance IDs: ID VBR dipilih.
  - Route Prefix: Masukkan alamat IP VPN 192.168.10.136/32 dan 192.168.40.159/32, dan pilih Exact Match.
- Policy Action: Pilih Reject.

Langkah c: Verifikasi pengaturan enkripsi

Setelah menyelesaikan konfigurasi, jika Anda dapat melihat detail transfer data di halaman detail koneksi IPsec-VPN, lalu lintas dienkripsi.

Hubungkan ke ECS 1 di VPC. Jalankan perintah ping untuk mem-ping klien di blok CIDR pusat data.
```
ping <alamat IP klien di pusat data> -s 1000 -c 10000
```
- -s 1000: Kirim 1.000 byte.
- -c 10000: Kirim permintaan secara terus-menerus sebanyak 10.000 kali.
Masuk ke Konsol Gateway VPN.
Di bilah navigasi atas, pilih wilayah China (Hangzhou).
Di panel navigasi sisi kiri, pilih Interconnections > VPN > IPsec Connections.
Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang telah dibuat dan klik ID-nya.
Pergi ke halaman detail koneksi IPsec-VPN untuk melihat detail transfer data.