Konfigurasi perutean untuk koneksi IPsec-VPN guna meneruskan traffic - VPN Gateway

Setelah menyambungkan koneksi IPsec-VPN ke router transit, konfigurasikan rute ke data center Anda untuk koneksi tersebut. Rute ini memungkinkan koneksi IPsec-VPN meneruskan traffic dari router transit ke data center, sehingga memfasilitasi komunikasi antara keduanya.

Informasi latar belakang

Untuk menghubungkan data center ke router transit melalui koneksi IPsec-VPN, Anda harus menambahkan rute pada router transit, koneksi IPsec-VPN, dan di dalam data center. Rute-rute tersebut memungkinkan traffic mengalir antara data center dan router transit.

Topik ini berfokus pada konfigurasi rute untuk koneksi IPsec-VPN dan tidak menjelaskan secara rinci konfigurasi rute untuk router transit atau data center. Koneksi IPsec-VPN mendukung perutean statis dan pembelajaran rute otomatis melalui Border Gateway Protocol (BGP).

Klik untuk melihat daftar periksa konfigurasi perutean untuk metode yang berbeda.

Metode konfigurasi perutean	Arah lalu lintas	Transit router	Koneksi IPsec-VPN	Data center
Perutean statis	Ke data center	Buat hubungan pembelajaran rute untuk koneksi IPsec-VPN. Setelah hubungan pembelajaran rute terbentuk antara tabel rute router transit dan koneksi IPsec-VPN, sistem secara otomatis menyebarkan rute dari tabel rute berbasis tujuan koneksi IPsec-VPN ke tabel rute router transit. Saluran data (tunnel) koneksi IPsec-VPN harus telah successfully completed Phase 2 negotiations. Untuk informasi selengkapnya, lihat Pembelajaran rute.	Tambahkan rute ke data center. Untuk informasi selengkapnya, lihat Konfigurasi rute berbasis tujuan.	Tidak diperlukan konfigurasi.
Perutean statis	Ke router transit	Buat asosiasi untuk koneksi IPsec-VPN. Setelah asosiasi dibuat antara tabel rute router transit dan koneksi IPsec-VPN, sistem meneruskan traffic dari koneksi IPsec-VPN dengan mencari rute di tabel rute router transit. Untuk informasi selengkapnya, lihat Asosiasi.	Tidak diperlukan konfigurasi. Secara default, koneksi IPsec-VPN meneruskan traffic dari data center ke router transit.	Tambahkan rute ke router transit. Tetapkan next hop ke koneksi IPsec-VPN.
Perutean dinamis BGP	Ke data center	Buat hubungan pembelajaran rute untuk koneksi IPsec-VPN. Setelah hubungan pembelajaran rute terbentuk antara tabel rute router transit dan koneksi IPsec-VPN, sistem secara otomatis menyebarkan rute dari tabel rute BGP koneksi IPsec-VPN ke tabel rute router transit. Untuk informasi selengkapnya, lihat Pembelajaran rute.	Konfigurasikan protokol perutean dinamis BGP. Setelah BGP dikonfigurasi, koneksi IPsec-VPN secara otomatis mempelajari rute dari data center dan menyebarkan rute dari router transit ke data center. Untuk informasi selengkapnya, lihat Konfigurasi perutean dinamis BGP.	Konfigurasikan protokol perutean dinamis BGP. Setelah BGP dikonfigurasi, data center dapat menyebarkan rutenya ke koneksi IPsec-VPN dan secara otomatis mempelajari rute dari router transit.
Perutean dinamis BGP	Ke router transit	Buat asosiasi untuk koneksi IPsec-VPN. Setelah asosiasi dibuat antara tabel rute router transit dan koneksi IPsec-VPN, sistem meneruskan traffic dari koneksi IPsec-VPN dengan mencari rute di tabel rute router transit. Untuk informasi selengkapnya, lihat Asosiasi. Aktifkan sinkronisasi rute untuk koneksi IPsec-VPN. Setelah Anda mengaktifkan sinkronisasi rute, sistem secara otomatis menyinkronkan rute dari tabel rute router transit ke tabel rute BGP koneksi IPsec-VPN. Untuk informasi selengkapnya, lihat Sinkronisasi rute.

Cara memilih metode konfigurasi perutean

Periksa apakah wilayah koneksi IPsec-VPN mendukung protokol perutean dinamis BGP. Jika tidak didukung, Anda harus menggunakan perutean statis.

Klik untuk melihat wilayah yang mendukung protokol perutean dinamis BGP.

Area	Wilayah
Asia-Pasifik	China (Hangzhou), China (Shanghai), China (Qingdao), China (Beijing), China (Zhangjiakou), China (Hohhot), China (Shenzhen), China (Hong Kong), Jepang (Tokyo), Singapura, Malaysia (Kuala Lumpur), Indonesia (Jakarta)
Eropa dan Amerika	Jerman (Frankfurt), Inggris (London), AS (Virginia), AS (Silicon Valley)
Timur Tengah	UAE (Dubai)

Penting

Di wilayah yang tidak mendukung protokol perutean dinamis BGP, koneksi IPsec-VPN single-tunnel yang telah dibuat sebelumnya tetap tidak mendukung BGP. Namun, koneksi IPsec-VPN baru yang dibuat di wilayah tersebut secara default berada dalam mode dual-tunnel dan mendukung BGP.

Periksa apakah perangkat gateway lokal Anda mendukung protokol perutean dinamis BGP. Jika mendukung, Anda dapat menggunakan perutean dinamis BGP; jika tidak, Anda harus menggunakan perutean statis.

Jika skenario Anda mendukung baik perutean statis maupun perutean dinamis BGP, pertimbangkan informasi berikut untuk memilih metode yang sesuai.

Metode konfigurasi perutean

Skenario

Kompleksitas konfigurasi

Biaya maintenance rute

Perutean statis

Cocok untuk skenario di mana data center memiliki sedikit rute dan rute tersebut jarang berubah.

Mudah

Sedang

Jika rute di data center berubah, Anda harus mengubah konfigurasi rute secara manual pada VPN Gateway.

Perutean dinamis BGP

Cocok untuk skenario di mana data center memiliki banyak rute dan rute tersebut sering berubah.

Mudah

Rendah

Jika rute di data center berubah, tidak diperlukan tindakan apa pun pada VPN Gateway. Protokol perutean dinamis BGP secara otomatis mendistribusikan dan mempelajari rute berdasarkan aturan iklan BGP.

Rekomendasi konfigurasi perutean

Gunakan hanya satu metode konfigurasi perutean untuk satu koneksi IPsec-VPN. Jangan gabungkan rute berbasis tujuan dan perutean dinamis BGP.
Untuk koneksi IPsec-VPN dual-tunnel, gunakan perutean dinamis BGP. Jika Anda harus menggunakan perutean statis, pastikan perangkat gateway lokal Anda mendukung rute ECMP statis. Jika tidak, traffic dari data center ke Alibaba Cloud tidak dapat ditransmisikan melalui jalur ECMP, meskipun traffic dari Alibaba Cloud ke data center dapat menggunakan jalur ECMP. Hal ini dapat menyebabkan traffic mengambil jalur yang tidak terduga.
Saat menggunakan koneksi IPsec-VPN dual-tunnel, ikuti prinsip berikut untuk mengonfigurasi rute dan meningkatkan stabilitas koneksi:
- Untuk kedua tunnel koneksi IPsec-VPN, gunakan protokol perutean yang sama—baik perutean statis maupun perutean dinamis BGP untuk kedua tunnel.
- Jika Anda mengonfigurasi BGP untuk koneksi IPsec-VPN, Local ASN untuk kedua tunnel harus sama. Nomor AS BGP untuk peer kedua tunnel dapat berbeda, tetapi disarankan agar Anda menjadikannya sama.

Prinsip pencocokan rute

Saat koneksi IPsec-VPN meneruskan traffic ke data center, traffic tersebut dicocokkan dengan rute berbasis tujuan atau rute BGP berdasarkan aturan Pencocokan awalan terpanjang (longest prefix match) secara default.

Catatan

Jika beberapa koneksi IPsec-VPN menyebarkan rute berbasis tujuan dan rute BGP ke router transit dengan Blok CIDR tujuan yang sama, router transit secara default memprioritaskan rute BGP. Untuk informasi selengkapnya, lihat Prioritas rute router transit.

Konfigurasi rute

Konfigurasi rute berbasis tujuan

Saat mengonfigurasi rute berbasis tujuan, Anda harus menentukan Blok CIDR tujuan dan informasi next hop. Koneksi IPsec-VPN mencocokkan traffic berdasarkan alamat IP tujuan, lalu meneruskannya sesuai rute yang cocok.

Prasyarat

Koneksi IPsec-VPN telah disambungkan ke instans router transit. Anda dapat membuat sambungan tersebut dengan salah satu cara berikut:

Sambungkan koneksi IPsec-VPN ke instans router transit saat membuat koneksi tersebut. Untuk informasi selengkapnya, lihat Koneksi IPsec-VPN (TR-dual-tunnel).
Jika Anda memiliki koneksi IPsec-VPN yang belum disambungkan ke resource apa pun, Anda dapat menyambungkannya ke router transit di Konsol Cloud Enterprise Network (CEN). Untuk informasi selengkapnya, lihat Buat koneksi VPN.
Catatan
Jika koneksi IPsec-VPN sudah disambungkan ke instans VPN Gateway, Anda tidak dapat menyambungkannya ke instans router transit.

Batasan

Anda tidak dapat menambahkan rute berbasis tujuan dengan Blok CIDR tujuan diatur ke 0.0.0.0/0.
Jangan tambahkan rute berbasis tujuan yang Blok CIDR tujuannya adalah 100.64.0.0/10, subnet dari 100.64.0.0/10, atau Blok CIDR yang mencakup 100.64.0.0/10. Rute semacam itu dapat mencegah Konsol menampilkan status koneksi IPsec-VPN atau menyebabkan negosiasi koneksi gagal.
Saat Anda membuat koneksi IPsec-VPN dual-tunnel dan menambahkan rute berbasis tujuan, sistem hanya akan menyebarkan rute tersebut ke tabel rute router transit jika status tunnel adalah Phase 2 negotiation succeeded.

Langkah-langkah konfigurasi

Tambahkan rute berbasis tujuan

Masuk ke Konsol VPN Gateway.
Di bilah navigasi atas, pilih wilayah koneksi IPsec-VPN.
Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang ingin Anda kelola dan klik ID-nya.
Di tab Destination-based Route Table, klik Add Route Entry.
Di panel Add Route Entry, konfigurasikan rute berbasis tujuan berdasarkan informasi berikut, lalu klik OK.
Konfigurasi
Deskripsi
Destination CIDR Block
Masukkan Blok CIDR data center Anda.
Next Hop Type
Pilih IPsec-VPN Connection.
Next Hop
Pilih instans koneksi IPsec-VPN.

Hapus rute berbasis tujuan

Masuk ke Konsol VPN Gateway.
Di bilah navigasi atas, pilih wilayah koneksi IPsec-VPN.
Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang ingin Anda kelola dan klik ID-nya.
Di tab Destination-based Route Table, temukan rute yang ingin Anda hapus, lalu klik Delete di kolom Actions.
Di kotak dialog Delete Route Entry, klik OK.

Referensi

Konfigurasi perutean dinamis BGP

BGP adalah protokol perutean dinamis berbasis TCP yang bertukar informasi perutean dan keterjangkauan jaringan antar sistem otonom. Konfigurasikan BGP pada koneksi IPsec-VPN dan di data center Anda untuk membentuk hubungan peer BGP. Setelah hubungan peer BGP terbentuk, koneksi IPsec-VPN dan data center Anda secara otomatis saling mempelajari rute, sehingga mengurangi biaya pemeliharaan jaringan dan risiko kesalahan konfigurasi.

Aturan iklan BGP

Setelah Anda mengonfigurasi perutean dinamis BGP untuk koneksi IPsec-VPN dan data center, rute BGP diiklankan berdasarkan aturan berikut:

Dari lokal ke cloud
Setelah data center mengiklankan rute lokalnya melalui BGP, rute tersebut secara otomatis disebarkan ke koneksi IPsec-VPN di cloud. Setelah hubungan pembelajaran rute terbentuk antara koneksi IPsec-VPN dan tabel rute router transit, sistem secara otomatis menyebarkan rute dari tabel rute BGP koneksi IPsec-VPN ke tabel rute router transit.
Dari cloud ke lokal
Setelah Anda mengaktifkan sinkronisasi rute untuk koneksi IPsec-VPN pada router transit, sistem menyebarkan rute dari tabel rute router transit ke tabel rute BGP koneksi IPsec-VPN. Koneksi IPsec-VPN kemudian secara otomatis menyebarkan rute di tabel rute BGP-nya ke data center.

Batasan BGP

Untuk koneksi IPsec-VPN dual-tunnel, tabel rute BGP satu koneksi IPsec-VPN dapat menerima hingga 2.000 rute dari peer-nya. Setiap tunnel dapat menerima hingga 1.000 rute. Kuota ini tidak dapat ditingkatkan.
Untuk koneksi IPsec-VPN single-tunnel, tabel rute BGP satu koneksi IPsec-VPN dapat menerima hingga 50 rute dari peer-nya. Untuk meningkatkan kuota, ajukan tiket. Kuota dapat ditingkatkan hingga maksimum 200.
Setelah koneksi IPsec-VPN disambungkan ke instans router transit, Anda dapat menggunakan BGP untuk menyebarkan rute dengan Blok CIDR tujuan 0.0.0.0/0 antara perangkat gateway lokal dan instans router transit.
Jika Anda menggunakan sirkuit Express Connect dan koneksi IPsec-VPN dalam mode aktif/standby untuk menghubungkan data center Anda ke router transit, pastikan nomor sistem otonom data center yang dikonfigurasi untuk Virtual Border Router (VBR) dan koneksi IPsec-VPN adalah sama. Hal ini mencegah route flapping di jaringan data center Anda.

Langkah-langkah mengonfigurasi perutean dinamis BGP

Tentukan nomor sistem otonom data center Anda di instans gateway pelanggan. Untuk informasi selengkapnya, lihat Gateway pelanggan.
- Jika Anda tidak menentukan nomor sistem otonom saat membuat gateway pelanggan, Anda harus menghapus gateway pelanggan tersebut dan membuat yang baru.
- Anda tidak dapat mengubah gateway pelanggan setelah dibuat. Untuk mengganti nomor sistem otonom data center Anda, hapus gateway pelanggan dan buat yang baru.

Aktifkan BGP untuk koneksi IPsec-VPN dan tambahkan konfigurasi BGP. Untuk informasi selengkapnya, lihat Koneksi IPsec-VPN (TR-dual-tunnel).

Tabel berikut hanya mencantumkan parameter yang sangat relevan dengan perutean dinamis BGP.

Penting

Untuk Routing Mode koneksi IPsec-VPN, gunakan Destination-based Route Mode.

Item Konfigurasi	Deskripsi
Customer Gateway	Pilih instans gateway pelanggan yang berisi nomor sistem otonom data center Anda.
Enable BGP	Pilih untuk mengaktifkan fitur BGP.
Local ASN	Masukkan nomor sistem otonom lokal (ASN) untuk tunnel. Nilai default-nya adalah 45104. Rentang nilai yang valid adalah 1 To 4294967295.
Tunnel CIDR Block	Masukkan Blok CIDR untuk tunnel. Blok CIDR tunnel harus berupa blok CIDR /30 dalam rentang 169.254.0.0/16. Tidak boleh 169.254.0.0/30, 169.254.1.0/30, 169.254.2.0/30, 169.254.3.0/30, 169.254.4.0/30, 169.254.5.0/30, 169.254.6.0/30, atau 169.254.169.252/30. Catatan Blok CIDR tunnel untuk kedua tunnel dalam satu koneksi IPsec-VPN tidak boleh sama.
Local BGP IP address	Masukkan alamat IP BGP untuk sisi Alibaba Cloud dari tunnel. Alamat ini harus merupakan alamat IP dalam Blok CIDR tunnel.

Tutorial perutean dinamis BGP

Buat koneksi IPsec-VPN untuk mengaktifkan komunikasi antara data center lokal dan VPC multi-wilayah (dual-tunnel)

Konfigurasi	Deskripsi
Destination CIDR Block	Masukkan Blok CIDR data center Anda.
Next Hop Type	Pilih IPsec-VPN Connection.
Next Hop	Pilih instans koneksi IPsec-VPN.