Konfigurasikan rute untuk koneksi IPsec-VPN untuk meneruskan lalu lintas - VPN Gateway

Setelah mengaitkan koneksi IPsec-VPN dengan router transit, Anda perlu mengonfigurasi rute yang ditujukan ke pusat data. Setelah lalu lintas dari router transit dialihkan ke koneksi IPsec-VPN, koneksi tersebut meneruskan lalu lintas ke pusat data berdasarkan informasi rute. Hal ini memungkinkan transmisi data antara pusat data dan router transit.

Informasi Latar Belakang

Jika Anda menghubungkan pusat data ke router transit menggunakan koneksi IPsec-VPN, Anda harus menambahkan rute pada sisi router transit, sisi koneksi IPsec-VPN, dan sisi pusat data untuk memungkinkan transmisi data antara pusat data dan router transit.

Topik ini membahas konfigurasi perutean untuk koneksi IPsec-VPN dan tidak menjelaskan konfigurasi perutean untuk router transit atau pusat data. Saat mengonfigurasi koneksi IPsec-VPN, Anda dapat memilih antara rute statis atau pembelajaran rute otomatis menggunakan protokol perutean dinamis Border Gateway Protocol (BGP).

Klik untuk melihat konfigurasi perutean dalam skenario berbeda.

Metode perutean	Arah lalu lintas	Router Transit	Koneksi IPsec-VPN	Pusat Data
Rute Statis	Ditujukan ke pusat data	Anda harus membuat korelasi pembelajaran rute untuk koneksi IPsec-VPN. Setelah korelasi pembelajaran rute dibuat antara tabel rute router transit dan koneksi IPsec-VPN, sistem secara otomatis mengiklankan rute dalam tabel rute berbasis tujuan koneksi IPsec-VPN ke tabel rute router transit. Untuk terowongan koneksi IPsec-VPN, make sure that phase 2 negotiation succeeds. Untuk informasi lebih lanjut, lihat Pembelajaran Rute.	Anda harus menambahkan rute yang ditujukan ke pusat data untuk koneksi IPsec-VPN. Untuk informasi lebih lanjut, lihat bagian Kelola rute berbasis tujuan dari topik ini.	Tidak Ada
Rute Statis	Ditujukan ke router transit	Anda harus membuat korelasi penerusan terkait untuk koneksi IPsec-VPN. Setelah korelasi penerusan terkait dibuat antara tabel rute router transit dan koneksi IPsec-VPN, sistem meneruskan lalu lintas dari koneksi IPsec-VPN dengan menanyakan informasi rute dalam tabel rute router transit. Untuk informasi lebih lanjut, lihat Penerusan Terkait.	Tidak Ada Secara default, koneksi IPsec-VPN meneruskan lalu lintas dari pusat data ke router transit.	Anda harus menambahkan rute yang hop berikutnya menunjuk ke koneksi IPsec-VPN di router transit di pusat data.
Perutean Dinamis BGP	Ditujukan ke pusat data	Anda harus membuat korelasi pembelajaran rute untuk koneksi IPsec-VPN. Setelah korelasi pembelajaran rute dibuat antara tabel rute router transit dan koneksi IPsec-VPN, sistem secara otomatis mengiklankan rute dalam tabel rute BGP koneksi IPsec-VPN ke tabel rute router transit. Untuk informasi lebih lanjut, lihat Pembelajaran Rute.	Anda harus mengonfigurasi perutean dinamis BGP. Setelah perutean dinamis BGP dikonfigurasi, koneksi IPsec-VPN secara otomatis mempelajari rute yang ditujukan ke pusat data dan mengiklankan rute dari router transit ke pusat data. Untuk informasi lebih lanjut, lihat bagian Konfigurasikan Perutean Dinamis BGP dari topik ini.	Anda harus mengonfigurasi perutean dinamis BGP. Setelah perutean dinamis BGP dikonfigurasi, pusat data dapat mengiklankan rute di pusat data ke koneksi IPsec-VPN dan secara otomatis mempelajari rute yang ditujukan ke router transit.
Perutean Dinamis BGP	Ditujukan ke router transit	Anda harus membuat korelasi penerusan terkait untuk koneksi IPsec-VPN. Setelah korelasi penerusan terkait dibuat antara tabel rute router transit dan koneksi IPsec-VPN, sistem meneruskan lalu lintas dari koneksi IPsec-VPN dengan menanyakan informasi rute dalam tabel rute router transit. Untuk informasi lebih lanjut, lihat Penerusan Terkait. Anda harus mengaktifkan sinkronisasi rute untuk koneksi IPsec-VPN. Setelah Anda mengaktifkan sinkronisasi rute untuk koneksi IPsec-VPN, sistem secara otomatis menyinkronkan rute dalam tabel rute router transit ke tabel rute BGP koneksi IPsec-VPN. Untuk informasi lebih lanjut, lihat Sinkronisasi Rute.

Cara memilih metode perutean

Periksa apakah wilayah tempat koneksi IPsec-VPN dibuat mendukung perutean dinamis BGP. Jika tidak, pilih perutean statis.

Klik untuk melihat wilayah yang mendukung perutean dinamis BGP.

Distrik	Wilayah
Asia Pasifik	Cina (Hangzhou), Cina (Shanghai), Cina (Qingdao), Cina (Beijing), Cina (Zhangjiakou), Cina (Hohhot), Cina (Shenzhen), Cina (Hong Kong), Jepang (Tokyo), Singapura, Malaysia (Kuala Lumpur), Indonesia (Jakarta)
Eropa dan Amerika	Jerman (Frankfurt), Inggris (London), AS (Virginia), AS (Silicon Valley)
Timur Tengah	UEA (Dubai)

Penting

Koneksi IPsec-VPN satu-terowongan yang ada di wilayah yang tidak mendukung perutean dinamis BGP tidak mendukung metode ini. Namun, koneksi IPsec-VPN baru yang dibuat di wilayah ini menggunakan mode dua-terowongan secara default dan mendukung perutean dinamis BGP.

Periksa apakah perangkat gateway di pusat data mendukung perutean dinamis BGP. Jika ya, Anda dapat memilih perutean dinamis BGP. Jika tidak, gunakan perutean statis.

Jika baik perutean statis maupun perutean dinamis BGP didukung dalam skenario Anda, pilih metode perutean berdasarkan informasi dalam tabel berikut.

Metode perutean

Skenario

Tingkat kesulitan konfigurasi

Biaya pemeliharaan rute

Perutean Statis

Jumlah rute di pusat data sedikit, dan perubahan rute jarang terjadi.

Mudah

Sedang

Jika rute di pusat data diubah, Anda harus secara manual mengubah konfigurasi perutean untuk gateway VPN.

Perutean Dinamis BGP

Jumlah rute di pusat data besar, dan perubahan rute sering terjadi.

Mudah

Rendah

Jika rute di pusat data diubah, tidak diperlukan operasi pada gateway VPN. Pengiklanan rute otomatis dan pembelajaran diaktifkan menggunakan perutean dinamis BGP berdasarkan prinsip pengiklanan perutean dinamis BGP.

Rekomendasi tentang konfigurasi perutean

Gunakan satu metode perutean untuk koneksi IPsec-VPN. Penggunaan perutean berbasis tujuan dan perutean dinamis BGP secara bersamaan tidak direkomendasikan.
Gunakan perutean dinamis BGP untuk koneksi IPsec-VPN dua-terowongan. Jika Anda perlu menggunakan perutean statis, pastikan bahwa gateway lokal mendukung perutean ECMP. Jika tidak, data dari pusat data ke cloud tidak dapat ditransfer melalui jalur ECMP, tetapi data dari cloud dapat ditransfer ke pusat data melalui jalur ECMP. Akibatnya, jalur lalu lintas mungkin tidak sesuai dengan kebutuhan Anda.
Konfigurasikan rute untuk koneksi IPsec-VPN dua-terowongan berdasarkan rekomendasi berikut:
- Gunakan protokol perutean yang sama (statis atau dinamis BGP) untuk kedua terowongan koneksi IPsec-VPN.
- Jika koneksi IPsec-VPN menggunakan protokol perutean dinamis BGP, Local ASN dari kedua terowongan harus sama. ASN peer dari kedua terowongan bisa berbeda, tetapi kami merekomendasikan agar Anda menggunakan ASN peer yang sama.

Aturan pencocokan rute

Secara default, koneksi IPsec-VPN mencocokkan rute berbasis tujuan atau rute dinamis BGP berdasarkan aturan pencocokan prefix terpanjang saat mentransmisikan data ke pusat data.

Catatan

Jika beberapa koneksi IPsec-VPN menyebarkan rute berbasis tujuan atau rute dinamis BGP ke router transit pada saat yang sama dan blok CIDR tujuan rute tersebut sama, rute dinamis BGP memiliki prioritas lebih tinggi secara default. Untuk informasi lebih lanjut, lihat Prioritas Rute Router Transit.

Konfigurasikan rute

Kelola rute berbasis tujuan

Saat mengonfigurasi rute berbasis tujuan, tentukan blok CIDR tujuan dan hop berikutnya. Koneksi IPsec-VPN mencocokkan rute berbasis tujuan dengan alamat IP tujuan lalu lintas, kemudian meneruskan lalu lintas berdasarkan hop berikutnya dari rute yang cocok.

Prasyarat

Koneksi IPsec-VPN dikaitkan dengan router transit. Anda dapat menggunakan salah satu metode berikut untuk pengaitan:

Anda dapat mengaitkan koneksi IPsec-VPN dengan router transit saat membuat koneksi IPsec-VPN. Untuk informasi lebih lanjut, lihat Buat dan Kelola Koneksi IPsec-VPN dalam Mode Dua-Terowongan.
Jika Anda telah membuat koneksi IPsec-VPN yang tidak dikaitkan dengan sumber daya apa pun, Anda dapat mengaitkan koneksi IPsec-VPN dengan router transit di konsol Cloud Enterprise Network (CEN). Untuk informasi lebih lanjut, lihat Lampirkan Koneksi IPsec-VPN ke Router Transit.
Catatan
Jika koneksi IPsec-VPN dikaitkan dengan gateway VPN, Anda tidak dapat mengaitkan koneksi IPsec-VPN dengan router transit.

Batasan

Jangan atur blok CIDR tujuan rute berbasis tujuan ke 0.0.0.0/0.
Jangan atur blok CIDR tujuan rute berbasis tujuan ke subnet dari 100.64.0.0/10 atau 100.64.0.0/10, atau blok CIDR yang berisi 100.64.0.0/10. Jika rute seperti itu ditambahkan, status koneksi IPsec-VPN tidak dapat ditampilkan di konsol, atau negosiasi IPsec gagal.
Setelah membuat koneksi IPsec-VPN dua-terowongan dan menambahkan rute berbasis tujuan, sistem mengiklankan rute ke tabel rute router transit hanya ketika Phase 2 negotiations succeed.

Prosedur

Tambahkan rute berbasis tujuan

Masuk ke Konsol Gateway VPN.
Di bilah navigasi atas, pilih wilayah koneksi IPsec-VPN.
Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang ingin Anda kelola dan klik ID-nya.
Di tab Destination-based Route Table, klik Add Route Entry.
Di panel Add Route Entry, konfigurasikan parameter berikut dan klik OK.
Parameter
Deskripsi
Destination CIDR Block
Masukkan blok CIDR pusat data.
Next Hop Type
Pilih IPsec-VPN connection.
Next Hop
Pilih koneksi IPsec-VPN.

Hapus rute berbasis tujuan

Masuk ke Konsol Gateway VPN.
Di bilah navigasi atas, pilih wilayah koneksi IPsec-VPN.
Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang ingin Anda kelola dan klik ID-nya.
Di tab Destination-based Route Table, temukan rute berbasis tujuan yang ingin Anda hapus dan klik Delete di kolom Actions.
Di pesan Delete Route Entry, klik OK.

Referensi

Konfigurasikan Perutean Dinamis BGP

BGP adalah protokol perutean dinamis berbasis Transmission Control Protocol (TCP). BGP digunakan untuk bertukar informasi perutean dan aksesibilitas jaringan di seluruh sistem otonom (AS). Anda perlu menambahkan konfigurasi BGP ke koneksi IPsec-VPN dan pusat data untuk menentukan koneksi IPsec-VPN dan pusat data sebagai peer BGP. Dengan cara ini, mereka dapat mempelajari rute satu sama lain, yang mengurangi biaya pemeliharaan jaringan dan kesalahan konfigurasi jaringan.

Prinsip Pengiklanan Perutean Dinamis BGP

Setelah perutean dinamis BGP dikonfigurasikan untuk koneksi IPsec-VPN dan pusat data, rute BGP diiklankan dengan cara berikut:

Ke Alibaba Cloud
Setelah pusat data mengiklankan rutenya dalam konfigurasi perutean BGP, rute tersebut secara otomatis diiklankan ke koneksi IPsec-VPN di Alibaba Cloud menggunakan perutean dinamis BGP. Setelah korelasi pembelajaran rute dibuat antara tabel rute router transit dan koneksi IPsec-VPN, sistem secara otomatis mengiklankan rute dalam tabel rute BGP koneksi IPsec-VPN ke tabel rute router transit.
Ke pusat data
Setelah Anda mengaktifkan sinkronisasi rute untuk koneksi IPsec-VPN pada router transit, sistem mengiklankan rute dalam tabel rute router transit ke tabel rute BGP koneksi IPsec-VPN. Koneksi IPsec-VPN secara otomatis mengiklankan rute dalam tabel rute BGP ke pusat data.

Batasan pada Perutean Dinamis BGP

Tabel rute BGP koneksi IPsec-VPN dua-terowongan dapat menerima hingga 2.000 rute dari peer BGP. Setiap terowongan dapat menerima hingga 1.000 rute. Batas kuota tidak dapat disesuaikan.
Tabel rute BGP koneksi IPsec-VPN satu-terowongan dapat menerima hingga 50 rute dari peer BGP. Untuk meningkatkan batas kuota, ajukan tiket. Batas kuota maksimum adalah 200.
Setelah koneksi IPsec-VPN dikaitkan dengan router transit, rute yang blok CIDR tujuannya adalah 0.0.0.0/0 dapat diiklankan menggunakan perutean dinamis BGP antara perangkat gateway lokal Anda dan router transit.
Pastikan bahwa nomor sistem otonom (ASN) yang sama dari pusat data ditentukan untuk virtual border router (VBR) dan koneksi IPsec-VPN. Kondisi ini harus dipenuhi saat Anda menghubungkan pusat data ke router transit menggunakan sirkuit Express Connect dan koneksi IPsec-VPN untuk ketahanan koneksi. Ini mencegah flapping rute di pusat data.

Prosedur

Tentukan ASN pusat data dalam gateway pelanggan. Untuk informasi lebih lanjut, lihat Buat dan Kelola Gateway Pelanggan.
- Jika Anda tidak menentukan ASN pusat data saat membuat gateway pelanggan, Anda harus menghapus gateway pelanggan saat ini dan membuat yang baru.
- Setelah gateway pelanggan dibuat, Anda tidak dapat mengeditnya. Jika Anda ingin mengubah ASN, hapus gateway pelanggan saat ini dan buat yang baru.

Aktifkan BGP untuk koneksi IPsec-VPN dan tambahkan konfigurasi perutean dinamis BGP. Untuk informasi lebih lanjut, lihat Buat dan Kelola Koneksi IPsec-VPN dalam Mode Dua-Terowongan.

Tabel berikut hanya mencantumkan konten yang sangat berkorelasi dengan perutean dinamis BGP.

Penting

Kami merekomendasikan agar Anda mengatur parameter Routing Mode ke Destination Routing Mode untuk koneksi IPsec-VPN.

Parameter	Deskripsi
Customer Gateway	Pilih gateway pelanggan yang menggunakan ASN pusat data.
Enable BGP	Nyalakan sakelar untuk mengaktifkan BGP.
Local ASN	Nomor sistem otonom (ASN) lokal terowongan. Nilai default: 45104. Nilai valid: 1 to 4294967295.
Tunnel CIDR Block	Masukkan blok CIDR terowongan. Blok CIDR harus masuk ke dalam 169.254.0.0/16. Mask blok CIDR harus sepanjang 30 bit. Blok CIDR tidak boleh 169.254.0.0/30, 169.254.1.0/30, 169.254.2.0/30, 169.254.3.0/30, 169.254.4.0/30, 169.254.5.0/30, 169.254.6.0/30, atau 169.254.169.252/30. Catatan Kedua terowongan koneksi IPsec-VPN harus menggunakan blok CIDR yang berbeda.
Local BGP IP address	Alamat IP BGP terowongan. Alamat IP ini harus berada dalam blok CIDR terowongan.

Tutorial Perutean Dinamis BGP

Hubungkan Pusat Data ke Beberapa VPC di Wilayah Berbeda melalui Koneksi IPsec-VPN

Parameter	Deskripsi
Destination CIDR Block	Masukkan blok CIDR pusat data.
Next Hop Type	Pilih IPsec-VPN connection.
Next Hop	Pilih koneksi IPsec-VPN.