All Products
Search

This Product

    VPN Gateway:Menggabungkan perutean statis dan BGP untuk traffic terenkripsi melalui koneksi fisik

    Document Center

    VPN Gateway:Menggabungkan perutean statis dan BGP untuk traffic terenkripsi melalui koneksi fisik

    Last Updated:Apr 02, 2026

    Panduan ini menjelaskan cara mengenkripsi traffic pada sirkuit Express Connect dengan membuat koneksi IPsec-VPN pribadi antara perangkat gateway pelanggan dan router transit—menggabungkan perutean statis pada Virtual Border Router (VBR) dengan perutean dinamis Border Gateway Protocol (BGP) melalui koneksi VPN.

    Skenario

    Setelah menetapkan konektivitas pribadi antara IDC lokal dan VPC, perusahaan dapat membuat koneksi IPsec-VPN pribadi antara perangkat gateway pelanggannya dan TR. Koneksi IPsec-VPN pribadi ini mengenkripsi traffic yang melewati koneksi fisik, memenuhi persyaratan keamanan ketat perusahaan.

    Rencana jaringan

    Penting

    Saat merencanakan blok CIDR untuk IDC lokal dan instans jaringan terkait, pastikan blok CIDR jaringan yang saling terhubung tidak tumpang tindih.

    Mekanisme perutean

    Anda dapat mengenkripsi traffic pribadi melalui koneksi fisik dengan mengontrol pemilihan rute:

    • Traffic dari VPC ke IDC lokal:

      TR mempelajari rute ke IDC lokal baik dari instans Virtual Border Router (VBR) maupun dari koneksi IPsec-VPN pribadi. Secara default, TR lebih memilih rute yang dipelajari dari VBR. Akibatnya, traffic dari VPC ke IDC lokal dikirim tanpa enkripsi melalui koneksi fisik.

      Untuk menghindari masalah ini, gunakan subnet mask berbeda untuk blok CIDR IDC lokal. Saat Anda menambahkan blok CIDR IDC lokal ke instans VBR, tentukan blok CIDR yang lebih besar (dengan subnet mask lebih pendek). Saat perangkat gateway pelanggan mengiklankan blok CIDR IDC lokal melalui koneksi IPsec-VPN pribadi, iklankan blok CIDR yang lebih spesifik (dengan subnet mask lebih panjang).

      Sebagai contoh, jika IDC lokal memiliki blok CIDR 192.168.0.0/16 dan blok CIDR client yang perlu berkomunikasi dengan VPC adalah 192.168.20.0/24, tambahkan blok CIDR 192.168.0.0/16 ke instans VBR. Perangkat gateway pelanggan kemudian mengiklankan blok CIDR client yang lebih spesifik 192.168.20.0/24 melalui koneksi IPsec-VPN pribadi. Hal ini memastikan TR lebih memilih rute dari koneksi IPsec-VPN pribadi sesuai aturan Pencocokan awalan terpanjang. Akibatnya, traffic dari VPC ke client dienkripsi dan ditransmisikan melalui koneksi IPsec-VPN pribadi.

    • Traffic dari IDC lokal ke VPC:

      IDC lokal secara otomatis mempelajari rute ke VPC melalui koneksi IPsec-VPN pribadi. Selain itu, Anda menambahkan route statis untuk blok CIDR VPC pada perangkat gateway pelanggan, dengan lompatan berikutnya mengarah ke koneksi fisik. Anda kemudian menurunkan prioritas route statis ini agar lebih memprioritaskan rute yang dipelajari secara dinamis melalui koneksi IPsec-VPN pribadi. Hal ini mengarahkan traffic dari IDC lokal ke VPC melalui koneksi IPsec-VPN pribadi yang terenkripsi.

    Catatan

    Perencanaan dasar blok CIDR

    Resource

    CIDR block

    IP address

    VPC

    • Blok CIDR utama: 172.16.0.0/16

    • VSwitch 1, di zona H: 172.16.10.0/24

    • VSwitch 2, di zona H: 172.16.20.0/24

    • VSwitch 3, di zona J: 172.16.30.0/24

    • ECS1: 172.16.10.225

    • ECS2: 172.16.10.226

    VBR

    10.0.0.0/30

    • VLAN ID: 0

    • IP peering IPv4 sisi Alibaba Cloud: 10.0.0.1/30

    • IP peering IPv4 sisi pelanggan: 10.0.0.2/30

      Dalam topik ini, sisi pelanggan mengacu pada perangkat gateway pelanggan.

    IDC Lokal

    Blok CIDR client: 192.168.20.0/24

    Alamat IP client: 192.168.20.6

    Blok CIDR perangkat gateway pelanggan:

    • 10.0.0.0/30

    • 192.168.10.0/24

    • 192.168.40.0/24

    • Alamat IP VPN 1: 192.168.10.136

    • Alamat IP VPN 2: 192.168.40.159

      Alamat IP VPN adalah alamat IP antarmuka pada perangkat gateway pelanggan yang menetapkan koneksi IPsec-VPN pribadi dengan TR.

    • Alamat IP antarmuka yang terhubung ke koneksi fisik: 10.0.0.2/30

    • Nomor AS: 65530

    Perencanaan blok CIDR BGP

    ResourceTunnelBlok CIDR tunnel BGPAlamat IP BGPASN lokal BGP
    Koneksi IPsec-VPNTunnel 1169.254.10.0/30169.254.10.165534
    Koneksi IPsec-VPNTunnel 2169.254.20.0/30169.254.20.165534
    Perangkat gateway pelangganTunnel 1169.254.10.0/30169.254.10.265530
    Perangkat gateway pelangganTunnel 2169.254.20.0/30169.254.20.265530

    Prasyarat

    Sebelum memulai, pastikan Anda telah memiliki:

    • VPC di wilayah China (Hangzhou) dengan aplikasi yang berjalan pada instance ECS. Lihat Buat VPC dengan blok CIDR IPv4

    • Perangkat gateway pelanggan yang mendukung IKEv1 dan IKEv2. Hubungi vendor gateway Anda untuk konfirmasi.

    Prosedur

    Langkah 1: Menghubungkan IDC lokal ke VPC

    Langkah 1a: Men-deploy sirkuit Express Connect

    1. Ajukan sirkuit Express Connect di wilayah China (Hangzhou). Lihat Meminta Mode Klasik atau Ikhtisar koneksi hosted. Contoh ini menggunakan koneksi fisik spesifikasi khusus.

    2. Buat VBR.

      1. Login ke Konsol Express Connect.

      2. Di panel navigasi kiri, klik Virtual Border Routers (VBRs).

      3. Di bilah navigasi atas, pilih China (Hangzhou). VBR dan sirkuit Express Connect harus berada di wilayah yang sama.

      4. Klik Create VBR.

      5. Di panel Create VBR, atur parameter berikut dan klik OK. Untuk semua parameter lainnya, gunakan nilai default. Lihat Buat dan kelola VBR.

      ParameterNilai contoh
      NameVBR
      Physical connection informationPilih Dedicated Physical Connection dan pilih sirkuit Express Connect yang telah Anda deploy
      VLAN ID0
      Alibaba Cloud side IPv4 address10.0.0.1
      Data center side IPv4 address10.0.0.2
      IPv4 subnet mask255.255.255.252

    3. Tambahkan rute yang mengarah ke data center pada VBR.

      1. Di halaman Virtual Border Routers (VBRs), klik ID VBR.

      2. Klik tab Routes, lalu tab Custom route entry, dan klik Add route.

      3. Di panel Add route, konfigurasikan parameter berikut dan klik OK.

      Penting

      Gunakan masker pendek (/16) di sini. Hal ini memungkinkan rute IPsec-VPN yang lebih spesifik (/24) memiliki prioritas lebih tinggi daripada rute ini saat tunnel aktif.

      ParameterNilai contoh
      Next hop typeExpress Connect Circuit
      Destination CIDR block192.168.0.0/16
      Next hopSirkuit Express Connect yang telah Anda deploy

    4. Tambahkan rute yang mengarah ke VPC pada perangkat gateway pelanggan. Verifikasi bahwa antarmuka sudah dikonfigurasi pada firewall Cisco:

      Catatan

      Contoh ini menggunakan perangkat lunak Cisco Adaptive Security Appliance (ASA) versi 9.19.1. Perintah dapat berbeda antar versi — lihat dokumentasi vendor Anda untuk lingkungan Anda. Lihat Konfigurasi gateway lokal. Konfigurasi Cisco berikut hanya disediakan sebagai referensi. Alibaba Cloud tidak memberikan jaminan mengenai kinerja atau keandalan produk pihak ketiga.

      ciscoasa> enable
Password: ********             # Masukkan password mode enable.
ciscoasa# configure terminal   # Masuk ke mode konfigurasi.
ciscoasa(config)#

ciscoasa(config)# show running-config interface
!
interface GigabitEthernet0/0                # Terhubung ke VBR.
 nameif VBR
 security-level 0
 ip address 10.0.0.1 255.255.255.252
!
interface GigabitEthernet0/2                # Terhubung ke data center.
 nameif private
 security-level 100                         # Harus lebih rendah daripada antarmuka yang terhubung ke Alibaba Cloud.
 ip address 192.168.50.215 255.255.255.0
!
interface GigabitEthernet0/3                # Terhubung ke tunnel IPsec-VPN pribadi 1.
 nameif VPN-IP1
 security-level 0
 ip address 192.168.10.136 255.255.255.0
!
interface GigabitEthernet0/4                # Terhubung ke tunnel IPsec-VPN pribadi 2.
 nameif VPN-IP2
 security-level 0
 ip address 192.168.40.159  255.255.255.0
!

# Route statis ke VPC (172.16.0.0/16).
route VBR 172.16.0.0 255.255.0.0 10.0.0.2

# Rute ke subnet client data center.
route private 192.168.0.0 255.255.0.0 192.168.50.216

    Langkah 1b: Konfigurasi router transit

    1. Buat instans Cloud Enterprise Network (CEN). Di kotak dialog Create CEN instance, klik Create CEN Only, masukkan nama, dan pertahankan pengaturan default.

    2. Buat router transit edisi perusahaan di wilayah China (Hangzhou) untuk menghubungkan VBR dan VPC. Pertahankan pengaturan default.

    3. Buat koneksi VPC.

      1. Klik Create More Connections untuk kembali ke halaman Connection with peer network instance.

      ParameterNilai
      Instance typeVirtual Private Cloud (VPC)
      RegionChina (Hangzhou)
      Attachment nameVPC-Attachment
      Network instanceVPC Anda
      vSwitchvSwitch 2 dan vSwitch 3. Jika wilayah memiliki beberapa zona, pilih minimal dua zona dengan satu vSwitch masing-masing. Gunakan vSwitch yang tidak digunakan.
      Advanced settingsDefault (semua fitur advanced diaktifkan)

    4. Buat koneksi VBR pada halaman yang sama. Konfigurasikan parameter berikut dan klik OK. Lihat Hubungkan VBR ke router transit.

      ParameterNilai
      Instance typeVirtual Border Router (VBR)
      RegionChina (Hangzhou)
      Attachment nameVBR-Attachment
      Network instanceVBR
      Advanced settingsDefault (semua fitur advanced diaktifkan)

    Langkah 2: Enkripsi traffic jaringan pribadi

    Setelah menetapkan koneksi pribadi antara IDC lokal dan VPC, buat koneksi IPsec-VPN pribadi antara perangkat gateway pelanggan dan router transit. Kemudian, konfigurasikan rute untuk mengarahkan traffic antara IDC lokal dan VPC melalui koneksi IPsec-VPN. Hal ini mengenkripsi traffic jaringan pribadi yang ditransmisikan melalui koneksi fisik.

    Langkah 1: Menetapkan koneksi IPsec-VPN pribadi

    6. Konfigurasi perangkat gateway pelanggan.

      Setelah membuat koneksi IPsec, Anda harus menambahkan konfigurasi VPN ke perangkat gateway pelanggan untuk menetapkan koneksi IPsec-VPN pribadi dengan Alibaba Cloud.

      Konfigurasi gateway pelanggan

      1. Login ke Antarmuka baris perintah (CLI) firewall Cisco dan masuk ke mode konfigurasi.

        ciscoasa> enable
Password: ********             #Masukkan password untuk mode enable.
ciscoasa# configure terminal   #Masuk ke mode konfigurasi.
ciscoasa(config)#

      2. Lihat konfigurasi antarmuka dan rute.

        Antarmuka firewall Cisco telah dikonfigurasi dan diaktifkan. Berikut adalah konfigurasi antarmuka untuk topik ini.

        ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/3               #Antarmuka untuk tunnel IPsec-VPN pribadi 1.
 nameif VPN-IP1                            #Nama antarmuka GigabitEthernet0/3.
 security-level 0
 ip address 192.168.10.136 255.255.255.0   #Alamat IP pribadi antarmuka GigabitEthernet0/3.
!
interface GigabitEthernet0/4               #Antarmuka untuk tunnel IPsec-VPN pribadi 2.
 nameif VPN-IP2                            #Nama antarmuka GigabitEthernet0/4.
 security-level 0
 ip address 192.168.40.159  255.255.255.0  #Alamat IP pribadi antarmuka GigabitEthernet0/4.
!

#Konfigurasi rute ke alamat IP gateway koneksi IPsec untuk menetapkan koneksi IPsec-VPN pribadi.
route VBR 10.10.10.49 255.255.255.255 10.0.0.2   #Konfigurasi rute ke alamat IP pribadi Tunnel 1 di sisi Alibaba Cloud.
route VBR 10.10.10.50 255.255.255.255 10.0.0.2   #Konfigurasi rute ke alamat IP pribadi Tunnel 2 di sisi Alibaba Cloud.

      3. Aktifkan IKEv2 pada antarmuka VPN:

        crypto ikev2 enable VPN-IP1
crypto ikev2 enable VPN-IP2

      4. Buat kebijakan IKEv2. Tentukan algoritma autentikasi, algoritma enkripsi, grup DH, dan masa berlaku SA untuk fase IKE. Pengaturan ini harus sesuai dengan konfigurasi Alibaba Cloud.

        Penting

        Di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk parameter Encryption Algorithm, Authentication Algorithm, dan DH Group dalam fase IKE Configurations. Kami menyarankan Anda melakukan hal yang sama pada firewall Cisco Anda dan memastikan nilainya sesuai dengan konfigurasi Alibaba Cloud.

        crypto ikev2 policy 10     
 encryption aes             #Tentukan algoritma enkripsi.
 integrity sha              #Tentukan algoritma autentikasi.
 group 14                   #Tentukan grup DH.
 prf sha                    #Nilai prf harus sama dengan nilai integrity. Di sisi Alibaba Cloud, prf default-nya sama dengan algoritma autentikasi.
 lifetime seconds 86400     #Tentukan masa berlaku SA.

      5. Buat proposal dan profil IPsec. Tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa berlaku SA untuk fase IPsec. Pengaturan ini harus sesuai dengan konfigurasi Alibaba Cloud.

        Penting

        Di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk parameter Encryption Algorithm, Authentication Algorithm, dan DH Group dalam fase IPsec Configurations. Kami menyarankan Anda melakukan hal yang sama pada firewall Cisco Anda dan memastikan nilainya sesuai dengan konfigurasi Alibaba Cloud.

        crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    #Buat proposal IPsec.
 protocol esp encryption aes                         #Tentukan algoritma enkripsi. Protokolnya adalah ESP, yang wajib di sisi Alibaba Cloud.
 protocol esp integrity sha-1                        #Tentukan algoritma autentikasi. Protokolnya adalah ESP, yang wajib di sisi Alibaba Cloud.
crypto ipsec profile ALIYUN-PROFILE                  
 set ikev2 ipsec-proposal ALIYUN-PROPOSAL            #Buat profil IPsec dan terapkan proposal yang dibuat. 
 set ikev2 local-identity address                    #Atur format ID lokal ke alamat IP agar sesuai dengan format RemoteId di sisi Alibaba Cloud.
 set pfs group14                                     #Tentukan PFS dan grup DH.
 set security-association lifetime seconds 86400     #Tentukan masa berlaku SA berbasis waktu.
 set security-association lifetime kilobytes unlimited #Nonaktifkan masa berlaku SA berbasis traffic.

      Setelah menyelesaikan konfigurasi ini, perangkat gateway pelanggan Anda akan menetapkan koneksi IPsec-VPN pribadi dengan Alibaba Cloud, tetapi peering BGP belum ditetapkan. Anda dapat memeriksa status koneksi IPsec-VPN pribadi di halaman detail koneksi IPsec di Konsol Alibaba Cloud. Jika koneksi gagal, coba lakukan troubleshooting. Untuk informasi lebih lanjut, lihat Diagnostik self-service IPsec-VPN.仅IPsec-VPN

    Langkah 2: Konfigurasi perutean

    Setelah membuat koneksi IPsec-VPN pribadi, traffic antara IDC lokal dan VPC masih berjalan melalui koneksi fisik tanpa enkripsi. Anda harus mengonfigurasi rute untuk mengarahkan traffic ini melalui koneksi IPsec-VPN pribadi.

    1. Tambahkan konfigurasi BGP ke perangkat gateway pelanggan untuk menetapkan hubungan peering BGP dengan koneksi IPsec. Hal ini memungkinkan IDC lokal dan VPC saling mempelajari rute secara otomatis melalui perutean dinamis BGP.

      #Tambahkan konfigurasi BGP untuk menetapkan peering BGP antara perangkat gateway pelanggan dan koneksi IPsec.
router bgp 65530
 address-family ipv4 unicast
  neighbor 169.254.10.1 remote-as 65534       #Tentukan peer BGP, yaitu alamat IP Tunnel 1 di sisi Alibaba Cloud.
  neighbor 169.254.10.1 activate              #Aktifkan peer BGP.
  neighbor 169.254.20.1 remote-as 65534       #Tentukan peer BGP, yaitu alamat IP Tunnel 2 di sisi Alibaba Cloud.
  neighbor 169.254.20.1 activate              #Aktifkan peer BGP.
  network 192.168.10.0 mask 255.255.255.0     #Iklankan blok CIDR IDC lokal. Blok CIDR ini harus lebih spesifik daripada blok CIDR yang ditambahkan ke instans VBR.
  network 192.168.20.0 mask 255.255.255.0
  network 192.168.40.0 mask 255.255.255.0 
  maximum-paths 5                             #Tingkatkan jumlah rute ECMP BGP dengan biaya yang sama.
 exit-address-family
 
#Ubah jarak administratif route statis ke VPC Alibaba Cloud (172.16.0.0/16) menjadi nilai yang lebih tinggi daripada jarak administratif rute BGP. Jarak administratif yang lebih tinggi menunjukkan prioritas yang lebih rendah. Jarak administratif default untuk eBGP adalah 20.
route VBR 172.16.0.0 255.255.0.0 10.0.0.2 30

    3. Tambahkan kebijakan rute ke tabel rute router transit untuk mencegah koneksi IPsec-VPN pribadi mengiklankan rute ke alamat IP VPN perangkat gateway pelanggan kembali ke IDC lokal. Hal ini mencegah loop perutean.

      1. Login ke Konsol Cloud Enterprise Network.

      2. Di halaman Instances, temukan instans CEN yang telah Anda buat dan klik ID instans tersebut.

      3. Di halaman detail instans, klik ID router transit untuk wilayah China (Hangzhou).

      4. Di halaman detail router transit, klik tab Forwarding router routing table, lalu klik Routing Policy.

      5. Di tab Routing Policy, klik Add Route Map. Konfigurasikan kebijakan rute dan klik OK.

        Topik ini hanya menjelaskan parameter yang relevan dengan skenario ini. Untuk parameter lainnya, gunakan nilai default. Untuk informasi lebih lanjut, lihat Kebijakan rute (Legacy) (khusus TR).

      Langkah 2c: Verifikasi enkripsi

      Setelah menyelesaikan konfigurasi, pastikan traffic mengalir melalui tunnel terenkripsi.

      1. Terhubung ke ECS 1 dan kirim traffic berkelanjutan ke client di data center:

        • -s 1000: Kirim 1.000 byte per paket.

        • -c 10000: Kirim 10.000 permintaan.

        ping <alamat IP client di data center> -s 1000 -c 10000

      2. Masuk ke Konsol VPN GatewayKonsol VPN Gateway.

      3. Di bilah navigasi atas, pilih China (Hangzhou).

      4. Di panel navigasi kiri, pilih Interconnections > VPN > IPsec Connections.

      5. Di halaman IPsec Connections, klik ID koneksi IPsec-VPN.

      Jika halaman detail menunjukkan aktivitas transfer data, traffic dienkripsi dan mengalir melalui koneksi IPsec-VPN pribadi.

      IPsec