Setelah menyambungkan koneksi IPsec-VPN ke Transit Router (TR), Anda harus mengonfigurasi rute agar koneksi tersebut dapat meneruskan traffic dari TR ke data center lokal.
Pilih metode perutean
Koneksi IPsec-VPN yang disambungkan ke TR mendukung dua metode perutean: perutean statis dan perutean dinamis BGP. Untuk perbandingan antara kedua metode ini, lihat Pilih metode perutean.
Rekomendasi:
Kami merekomendasikan penggunaan BGP. Jika memilih route statis, pastikan perangkat gateway lokal mendukung perutean Equal-Cost Multi-Path (ECMP) statis.
Gunakan hanya satu metode perutean untuk setiap koneksi IPsec-VPN. Jangan menggabungkan perutean statis dan BGP secara bersamaan.
Untuk satu koneksi IPsec-VPN, konfigurasikan protokol perutean yang sama pada kedua saluran data. Saat menggunakan BGP, kedua saluran data harus memiliki local ASN yang sama.
Prioritas rute:
Dalam tabel rute koneksi IPsec-VPN, entri rute dicocokkan berdasarkan prinsip Pencocokan awalan terpanjang.
Dalam tabel rute transit router, jika beberapa koneksi IPsec-VPN mengumumkan rute tujuan dan rute BGP ke TR untuk blok CIDR tujuan yang sama, rute BGP memiliki prioritas lebih tinggi. Untuk informasi selengkapnya, lihat Prioritas rute TR.
Konfigurasi rute statis
Saat menggunakan route statis, pastikan gateway lokal mendukung perutean ECMP statis. Ketika koneksi IPsec-VPN disambungkan ke TR, traffic dari cloud ke data center lokal secara otomatis menggunakan tautan ECMP. Jika traffic dari data center lokal ke cloud tidak mendukung ECMP, hal ini dapat menyebabkan perutean asimetris.
Ikhtisar end-to-end
Saat menggunakan koneksi IPsec-VPN yang disambungkan ke TR untuk menghubungkan VPC ke data center lokal dengan perutean statis, Anda harus mengelola tiga tabel rute:
Arah lalu lintas | tabel rute Transit Router | Tabel rute koneksi IPsec-VPN | Tabel rute data center lokal |
Keluar dari cloud | Aktifkan route learning. Hal ini memungkinkan TR secara otomatis mempelajari entri rute tujuan dari koneksi IPsec-VPN. Saat Anda membuat koneksi IPsec-VPN, route learning diaktifkan secara default jika Anda tetap memilih Automatically Advertise System Routes to Default Route Table of Transit Router. | Tambahkan entri rute secara manual: Tetapkan blok CIDR tujuan ke blok CIDR data center lokal Anda dan lompatan berikutnya ke koneksi IPsec-VPN. | Pastikan rute ke jaringan internal data center lokal Anda tersedia pada perangkat gateway Anda. Jika tidak, Anda harus menambahkannya secara manual. |
Masuk ke cloud |
| Tidak diperlukan konfigurasi. Sistem meneruskan traffic ke TR secara default. | Tambahkan dua route ECMP statis secara manual: keduanya memiliki blok CIDR tujuan VPC, dan masing-masing memiliki lompatan berikutnya yang mengarah ke salah satu dari dua saluran data koneksi IPsec-VPN. |
Menambah atau menghapus route statis
Konsol
Menambah route statis
Klik ID koneksi IPsec-VPN untuk membuka halaman detailnya.
Pada tab Destination-based Route Table, klik Add Route Entry:
Destination CIDR Block: Masukkan blok CIDR data center lokal Anda.
Next Hop: Pilih koneksi IPsec-VPN ini.
Menghapus route statis
Pada kolom Actions untuk entri rute tersebut, klik Delete.
API
Panggil operasi CreateVcoRouteEntry untuk menambah route statis.
Panggil operasi DeleteVcoRouteEntry untuk menghapus route statis.
Batasan
Rute dengan blok CIDR tujuan
0.0.0.0/0tidak didukung.Jangan tambahkan rute yang mengandung
100.64.0.0/10(termasuk subnet dan supernet-nya). Jika tidak, status koneksi IPsec akan menjadi abnormal.Dalam mode dual-tunnel, rute tujuan hanya diumumkan ke tabel rute transit router ketika status saluran data adalah Phase 2 Negotiation Succeeded.
Konfigurasi perutean dinamis BGP
Perutean dinamis Border Gateway Protocol (BGP) menetapkan hubungan neighbor BGP antara koneksi IPsec dan data center lokal untuk secara otomatis mempelajari dan mendistribusikan rute.
Ikhtisar end-to-end
Saat menggunakan BGP dan koneksi IPsec-VPN yang terikat ke Transit Router (TR) untuk menghubungkan VPC ke data center lokal, Anda harus mengelola tiga tabel rute berikut:
Arah lalu lintas | Tabel rute transit router | Tabel rute koneksi IPsec | Tabel rute data center lokal |
Traffic keluar | Aktifkan route learning. Setelah diaktifkan, TR secara otomatis mempelajari entri rute tujuan dari koneksi IPsec. Saat Anda membuat koneksi IPsec, route learning diaktifkan secara default karena Automatically Advertise System Routes to Default Route Table of Transit Router dipilih. | Aktifkan BGP. Setelah diaktifkan, blok CIDR cloud secara otomatis diumumkan ke data center lokal, dan blok CIDR data center lokal secara otomatis dipelajari. | Aktifkan BGP. Setelah diaktifkan, blok CIDR lokal secara otomatis diumumkan ke cloud, dan blok CIDR VPC secara otomatis dipelajari. |
Traffic masuk |
|
Prinsip pengumuman rute BGP
Traffic masuk: Data center lokal mengumumkan rute melalui BGP → Rute tersebut disebarluaskan ke tabel rute BGP koneksi IPsec → Rute tersebut disebarluaskan ke tabel rute TR melalui route learning.
Traffic keluar: Rute dari tabel rute TR → Rute tersebut disebarluaskan ke tabel rute BGP koneksi IPsec melalui route synchronization → Rute tersebut disebarluaskan ke data center lokal melalui BGP.
Langkah-langkah konfigurasi
Konsol
Tentukan ASN data center lokal di Customer Gateway
Saat membuat Customer Gateway, tentukan nomor sistem otonom (ASN) data center lokal. Jika Customer Gateway yang sudah ada tidak memiliki ASN yang ditentukan, buat yang baru. Untuk informasi selengkapnya, lihat Customer Gateway.
Aktifkan BGP di koneksi IPsec
Saat membuat atau mengubah koneksi IPsec, konfigurasikan Customer Gateway, Enable BGP, Local ASN, Tunnel CIDR Block, dan Local BGP IP address. Untuk deskripsi parameter dan petunjuknya, lihat Aktifkan atau nonaktifkan BGP (untuk koneksi yang terikat ke TR).
Local ASN kedua saluran data harus sama. Nomor AS BGP peer juga harus sama.
Untuk Route Mode koneksi IPsec, pilih Destination Route Mode.
Verifikasi bahwa rute BGP telah berlaku
Tabel rute BGP VPN Gateway: Pada halaman detail instans VPN Gateway, buka tab BGP Route Table untuk melihat rute tersebut. Sumber rute ditandai sebagai "CLOUD" (rute cloud) atau "VPN_BGP" (rute yang dipelajari melalui BGP).
Tabel rute sistem VPC: Di tabel rute sistem VPC, lihat entri dengan tipe "Dynamic Route".
API
Tentukan ASN data center lokal di Customer Gateway
Panggil CreateCustomerGateway untuk membuat Customer Gateway dan menentukan ASN data center lokal.
Aktifkan BGP di koneksi IPsec
Panggil CreateVpnAttachment untuk membuat koneksi IPsec.
Panggil ModifyVpnAttachmentAttribute untuk mengubah konfigurasi koneksi IPsec dan saluran data.
Verifikasi bahwa rute BGP telah berlaku
Panggil DescribeVcoRouteEntries untuk mengkueri entri rute BGP.
Batasan
Mode dual-tunnel: Setiap koneksi IPsec dapat menerima hingga 2.000 rute BGP (1.000 per saluran data). Batasan ini tidak dapat diubah.
Mode single-tunnel: Setiap koneksi IPsec dapat menerima hingga 50 rute BGP. Untuk meningkatkan batas menjadi 200, ajukan tiket.
Rute dengan blok CIDR tujuan
0.0.0.0/0dapat disebarluaskan melalui BGP antara TR dan perangkat gateway lokal. Hal ini berbeda dengan skenario VPN Gateway.Saat menggunakan sirkuit Express Connect dan koneksi IPsec dalam mode aktif-standby untuk terhubung ke TR, local ASN yang dikonfigurasi untuk Virtual Border Router (VBR) dan koneksi IPsec harus sama.
Wilayah yang didukung
Perutean dinamis BGP untuk koneksi IPsec (dalam skenario di mana koneksi terikat ke TR) hanya didukung di wilayah berikut:
Area | Wilayah |
Asia Pasifik | China (Hangzhou), China (Shanghai), China (Qingdao), China (Beijing), China (Zhangjiakou), China (Hohhot), China (Shenzhen), China (Hong Kong), Jepang (Tokyo), Singapura, Malaysia (Kuala Lumpur), Indonesia (Jakarta) |
Eropa dan Amerika | Jerman (Frankfurt), Inggris (London), AS (Virginia), AS (Silicon Valley) |
Timur Tengah | UAE (Dubai) |
Beberapa wilayah telah ditingkatkan untuk mendukung protokol perutean dinamis BGP. Koneksi IPsec-VPN mode single-tunnel yang dibuat sebelum peningkatan tidak mendukung BGP. Koneksi IPsec-VPN baru yang dibuat setelah peningkatan secara default berada dalam mode dual-tunnel dan secara otomatis mendukung BGP. Jika Anda perlu menggunakan BGP, buat koneksi IPsec-VPN baru.