Gateway VPN mendukung protokol perutean Border Gateway Protocol (BGP) secara dinamis. Setelah membuat koneksi IPsec-VPN antara pusat data dan Alibaba Cloud, mereka dapat secara otomatis mempelajari rute dari satu sama lain dan berkomunikasi melalui BGP. Ini mengurangi biaya pemeliharaan jaringan serta kesalahan konfigurasi.
Dukungan untuk perutean dinamis BGP
Secara default, gateway VPN baru yang mendukung koneksi IPsec-VPN dual-tunnel juga mendukung perutean dinamis BGP. Beberapa gateway VPN yang ada mungkin tidak mendukung perutean dinamis BGP karena batasan wilayah atau versi lama. Anda dapat memanggil DescribeVpnGateway atau DescribeVpnGateways Operasi API untuk menanyakan apakah gateway VPN yang ada mendukung perutean dinamis BGP. Jika parameter VpnEnableBgp di Tag mengembalikan true, gateway VPN mendukung perutean dinamis BGP.
Jika gateway VPN tidak mendukung perutean dinamis BGP, ikuti langkah-langkah berikut:
Jika gateway VPN mendukung koneksi IPsec-VPN dual-tunnel, tingkatkan gateway VPN.
Jika gateway VPN hanya mendukung koneksi IPsec-VPN single-tunnel, tingkatkan ke koneksi IPsec-VPN dual-tunnel.
Cara rute dinamis BGP diiklankan
Setelah perutean dinamis BGP dikonfigurasikan untuk gateway VPN dan pusat data, rute BGP diiklankan sebagai berikut:
Ke Alibaba Cloud
Setelah pusat data mengiklankan rutenya dalam konfigurasi perutean BGP, rute tersebut secara otomatis diiklankan ke gateway VPN di Alibaba Cloud menggunakan perutean dinamis BGP. Jika pengiklanan rute otomatis diaktifkan untuk gateway VPN, gateway VPN secara otomatis mengiklankan rute yang dipelajari dari pusat data ke tabel rute sistem virtual private cloud (VPC) terkait. Tidak ada rute yang diiklankan ke tabel rute kustom.
Ke pusat data
Setelah pengiklanan rute otomatis diaktifkan untuk gateway VPN, gateway VPN secara otomatis mempelajari rute dari tabel rute sistem VPC dan menyebarkan rute tersebut ke pusat data melalui perutean dinamis BGP.
Batasan pada perutean dinamis BGP
Tabel rute BGP gateway VPN dapat menerima hingga 50 rute dari peer BGP. Untuk meningkatkan batas kuota, submit a ticket. Batas kuota maksimum adalah 200.
Gateway VPN tidak dapat menerima rute yang menunjuk ke 0.0.0.0/0 dari peer BGP.
Jangan menyebarkan rute yang menunjuk ke 100.64.0.0/10 atau subnetnya ke gateway VPN yang hanya mendukung koneksi IPsec-VPN single-tunnel melalui perutean dinamis BGP. Jika tidak, status koneksi IPsec-VPN tidak dapat ditampilkan di konsol Gateway VPN atau negosiasi koneksi IPsec-VPN akan gagal. Untuk menghindari masalah ini, tingkatkan ke koneksi IPsec-VPN dual-tunnel.
Jika perutean dinamis BGP diaktifkan untuk beberapa koneksi IPsec-VPN di gateway VPN yang sama, nomor sistem otonom lokal (ASNs) dari koneksi-koneksi ini harus sama.
Jika koneksi IPsec-VPN dibuat antara gateway VPN yang sama dan pusat data yang berbeda, Anda tidak dapat mengiklankan rute untuk koneksi IPsec-VPN yang berbeda satu sama lain.
Jika VPC terkait dengan beberapa gateway VPN, Anda tidak dapat menetapkan gateway VPN sebagai peer BGP atau mengiklankan rute dari gateway VPN yang berbeda satu sama lain.
Dalam skenario di mana VPC terkait dengan beberapa gateway VPN dan perutean dinamis BGP diaktifkan untuk gateway-gateway ini, jika gateway VPN ini terkait dengan gateway pelanggan yang sama, pastikan bahwa koneksi IPsec-VPN dari gateway VPN menggunakan ASN lokal yang sama. Jika tidak, loop perutean mungkin terjadi.
Saat menghubungkan pusat data ke VPC menggunakan sirkuit Express Connect dan gateway VPN untuk ketahanan koneksi, pastikan Anda menentukan ASN pusat data yang sama untuk router perbatasan virtual (VBR) dan gateway VPN. Ini mencegah flapping rute di pusat data.
Setelah mengaktifkan perutean dinamis BGP untuk gateway VPN yang dilampirkan ke instance Cloud Enterprise Network (CEN), Anda harus mengaktifkan perutean tumpang tindih untuk instance CEN.
CatatanSecara default, perutean tumpang tindih diaktifkan untuk instance CEN yang dibuat setelah 1 Maret 2019 (UTC+8).
Jika beberapa VPC terkait dengan instance CEN yang sama, pastikan bahwa gateway VPN yang terkait dengan VPC tidak terhubung ke pusat data menggunakan BGP. Ini mencegah flapping rute di Alibaba Cloud.
Dalam skenario di mana beberapa koneksi IPsec-VPN dalam mode dual-tunnel ada di gateway VPN dan perutean dinamis BGP dikonfigurasikan untuk koneksi-koneksi ini, blok CIDR tujuan dari rute yang dipelajari oleh gateway VPN melalui koneksi-koneksi ini tidak boleh bertentangan satu sama lain. Jika tidak, rute tersebut tidak akan berlaku.
Rekomendasi pada konfigurasi perutean dinamis BGP
Kami merekomendasikan Anda menetapkan Routing Mode ke Destination Routing Mode untuk koneksi IPsec-VPN.
Jika perutean dinamis BGP dikonfigurasikan untuk koneksi IPsec-VPN dalam mode dual-tunnel, ASN dari tunnel harus sama. Selain itu, kami merekomendasikan Anda menentukan ASN BGP yang sama untuk peer tunnel.
Prosedur
Tentukan ASN pusat data Anda di gateway pelanggan. Untuk informasi lebih lanjut, lihat Buat dan kelola gateway pelanggan.
Jika Anda tidak menentukan ASN pusat data saat membuat gateway pelanggan, Anda harus menghapus gateway pelanggan saat ini dan membuat yang lain.
Setelah gateway pelanggan dibuat, Anda tidak dapat mengeditnya. Jika Anda ingin mengubah ASN, hapus gateway pelanggan saat ini dan buat yang lain.
Aktifkan BGP untuk koneksi IPsec dan tambahkan konfigurasi perutean dinamis BGP. Untuk informasi lebih lanjut, lihat Buat dan kelola koneksi IPsec-VPN dalam mode dual-tunnel atau Aktifkan perutean dinamis BGP untuk tunnel setelah koneksi IPsec-VPN dibuat.
Tabel berikut hanya mencantumkan konten yang sangat berkorelasi dengan perutean dinamis BGP.
CatatanSaat mengaktifkan BGP untuk koneksi IPsec-VPN dalam mode dual-tunnel, urutan item konfigurasi bervariasi dari yang ada di tabel berikut. Anda perlu memilih gateway pelanggan untuk tunnel utama dan sekunder dan menambahkan konfigurasi BGP. Untuk informasi lebih lanjut, periksa konsol Gateway VPN.
Jika sistem meminta bahwa versi gateway VPN saat ini tidak didukung saat Anda mengonfigurasi perutean dinamis BGP, lihat Dukungan untuk perutean dinamis BGP.
Parameter
Deskripsi
Customer Gateway
Pilih gateway pelanggan dengan ASN pusat data.
Enable BGP
Pilih Aktifkan BGP.
Local ASN
Masukkan ASN tunnel. Nilai default: 45104. Nilai valid: 1 to 4294967295.
Tunnel CIDR Block
Masukkan blok CIDR tunnel.
Blok CIDR harus termasuk dalam 169.254.0.0/16. Masker blok CIDR harus memiliki panjang 30 bit. Blok CIDR tidak boleh 169.254.0.0/30, 169.254.1.0/30, 169.254.2.0/30, 169.254.3.0/30, 169.254.4.0/30, 169.254.5.0/30, 169.254.6.0/30, atau 169.254.169.252/30.
CatatanDi gateway VPN, blok CIDR setiap tunnel harus unik.
Local BGP IP address
Masukkan alamat IP BGP tunnel.
Alamat IP ini harus termasuk dalam blok CIDR tunnel.
Aktifkan pengiklanan rute otomatis untuk gateway VPN.
Setelah pengiklanan rute otomatis diaktifkan untuk gateway VPN, gateway VPN secara otomatis mempelajari rute dari tabel rute sistem VPC dan menyebarkan rute tersebut ke pusat data melalui perutean dinamis BGP.
Masuk ke Konsol Gateway VPN.
Di panel navigasi di sebelah kiri, pilih .
Di halaman VPN Gateway, temukan gateway VPN yang ingin Anda kelola dan aktifkan fitur pengiklanan rute otomatis di kolom Enable Automatic Route Advertisement.
Jika Anda tidak lagi membutuhkan perutean dinamis BGP, Anda dapat menonaktifkan fitur ini dan pengiklanan rute otomatis. Rute yang dipelajari oleh gateway VPN dari VPC dan pusat data juga ditarik kembali.
Lihat rute BGP
Setelah mengonfigurasi perutean dinamis BGP, Anda dapat melihat rute yang dipelajari dari pusat data dan VPC di tabel rute BGP gateway VPN. Anda juga dapat melihat rute yang dipelajari dari pusat data di tabel rute sistem VPC.
Tabel rute BGP gateway VPN
“CLOUD”: rute yang dipelajari dari Alibaba Cloud.
“VPN_BGP”: rute yang dipelajari melalui perutean dinamis BGP, seperti rute yang dipelajari dari pusat data.
Tabel rute sistem VPC - rute dinamis
Tutorial tentang perutean dinamis BGP
Hubungkan VPC ke pusat data dalam mode dual-tunnel dan aktifkan perutean dinamis BGP