Jika koneksi IPsec-VPN terkait dengan transit router dan hanya memiliki satu terowongan terenkripsi, koneksi tersebut akan terputus jika terowongan down. Mode dual-tunnel diperkenalkan untuk meningkatkan ketersediaan koneksi IPsec-VPN. Setiap koneksi IPsec-VPN terdiri dari dua terowongan yang berfungsi sebagai jalur Equal-Cost Multipath Routing (ECMP). Saat satu terowongan down, trafik dialihkan melalui terowongan lainnya. Di wilayah dengan beberapa zona, kedua terowongan secara otomatis tersebar di zona berbeda untuk menerapkan pemulihan bencana lintas zona.
Jaringan dalam mode dual-tunnel
Koneksi IPsec-VPN dalam mode single-tunnel hanya memiliki satu terowongan terenkripsi. Jika terowongan tersebut down, koneksi terputus. Dalam mode dual-tunnel, koneksi IPsec-VPN memiliki dua terowongan terenkripsi dengan routing ECMP diterapkan. Kedua terowongan dapat digunakan untuk transfer data. Jika satu terowongan down, terowongan lainnya mengambil alih.
Saat membuat koneksi IPsec-VPN dalam mode dual-tunnel, sistem secara otomatis menempatkan kedua terowongan di zona berbeda untuk mendukung pemulihan bencana lintas zona. Jika suatu wilayah hanya memiliki satu zona, kedua terowongan ditempatkan di zona yang sama. Dalam kasus ini, pemulihan bencana lintas zona tidak didukung, tetapi terowongan lainnya tetap dapat mengambil alih jika satu terowongan down.
Saat membuat koneksi IPsec-VPN dual-tunnel, Anda harus mengonfigurasi kedua terowongan dan memastikan keduanya tersedia. Jika hanya salah satu terowongan yang dikonfigurasi atau digunakan, redundansi koneksi IPsec-VPN berdasarkan terowongan aktif/standby dan pemulihan bencana lintas zona tidak didukung.
Deskripsi transfer data
Transfer Data dari Transit Router ke Pusat Data
Routing ECMP diterapkan jika kedua terowongan tersedia. Trafik dari transit router ke pusat data didistribusikan secara acak di kedua terowongan. Jika satu terowongan down, terowongan lainnya secara otomatis mengambil alih.
Transfer Data dari Pusat Data ke Transit Router
Jalur trafik bergantung pada konfigurasi rute pusat data.
Alibaba Cloud menggunakan kedua terowongan untuk mentransfer data ke pusat data, dengan trafik didistribusikan secara acak di terowongan. Oleh karena itu, kami menyarankan Anda mengonfigurasi routing ECMP untuk menggunakan kedua terowongan saat mentransfer data dari pusat data ke transit router. Jika Anda mengonfigurasi routing aktif/standby atau mengatur rute agar trafik tertentu hanya mengalir melalui satu terowongan ke cloud, data mungkin tidak ditransfer sesuai harapan.
Panduan konfigurasi rute untuk mode dual-tunnel
Kami menyarankan Anda mengonfigurasi rute untuk koneksi IPsec-VPN dual-tunnel berdasarkan panduan berikut:
Gunakan routing dinamis BGP jika memungkinkan. Jika Anda perlu menggunakan routing statis, pastikan gateway lokal mendukung routing ECMP. Jika tidak, data dari pusat data ke cloud tidak dapat ditransfer melalui jalur ECMP, meskipun data dari cloud ke pusat data dapat ditransfer melalui jalur ECMP. Akibatnya, jalur trafik mungkin tidak sesuai dengan kebutuhan Anda.
Konfigurasikan protokol routing yang sama (statis atau BGP) untuk kedua terowongan dari koneksi IPsec-VPN.
Jika koneksi IPsec-VPN menggunakan Border Gateway Protocol (BGP) routing dinamis, Local ASN dari kedua terowongan harus sama. Peer ASNs dari kedua terowongan bisa berbeda, tetapi kami menyarankan Anda menggunakan peer ASN yang sama.
Perbedaan antara mode dual-tunnel dan mode single-tunnel
Setelah koneksi IPsec-VPN single-tunnel ditingkatkan ke dual-tunnel, metode penagihan tidak berubah dan tidak ada biaya tambahan yang dikenakan.
Item | Mode Single-Tunnel | Mode Dual-Tunnel |
Jumlah Terowongan untuk Setiap Koneksi IPsec-VPN | 1 | 2 |
Bandwidth Maksimum yang Didukung oleh Setiap Koneksi IPsec-VPN | 1.000 Mbps | 2.000 Mbps Setiap terowongan mendukung hingga 1.000 Mbit/s. Anda dapat meningkatkan bandwidth koneksi IPsec-VPN dengan menggunakan metode lain. Untuk informasi lebih lanjut, lihat Bagaimana Cara Meningkatkan Bandwidth Koneksi IPsec-VPN? |
Jumlah Maksimum Gateway Pelanggan yang Dapat Dikaitkan | 1 | 2 Kedua terowongan dapat dikaitkan dengan gateway pelanggan yang sama atau gateway pelanggan yang berbeda. |
Ketersediaan Tinggi | Anda perlu membuat beberapa koneksi IPsec-VPN untuk menerapkan ketersediaan tinggi. | Dua terowongan dari satu koneksi IPsec-VPN dapat menerapkan ketersediaan tinggi. |
Pemeriksaan Kesehatan | Didukung | Tidak Didukung Dua terowongan secara otomatis membentuk jalur ECMP, dan kedua terowongan dapat digunakan untuk mentransfer data. Jika satu terowongan down, rute pada terowongan tersebut secara otomatis ditarik kembali, dan terowongan lainnya dapat secara otomatis mengambil alih tanpa menggunakan pemeriksaan kesehatan. |
Alamat IP Gateway | Setelah koneksi IPsec-VPN dibuat, satu alamat IP gateway secara otomatis ditetapkan. | Setelah koneksi IPsec-VPN dibuat, dua alamat IP gateway secara otomatis ditetapkan. |
Jumlah Alamat IP yang Diperlukan untuk Perangkat Gateway Lokal | 1 | 1 atau 2 Kami menyarankan Anda mengonfigurasi dua alamat IP untuk perangkat gateway lokal untuk membuat koneksi IPsec-VPN dual-tunnel. Sebagai alternatif, Anda dapat menggunakan dua perangkat gateway lokal, masing-masing diberi satu alamat IP. |
Wilayah yang Mendukung Routing Dinamis BGP | Hanya beberapa wilayah yang mendukung routing dinamis BGP. Untuk informasi lebih lanjut, lihat Wilayah yang Mendukung Routing Dinamis BGP. | Wilayah yang mendukung mode dual-tunnel mendukung routing dinamis BGP secara default. |
Contoh
Menghubungkan Pusat Data ke Beberapa VPC di Wilayah Berbeda melalui Koneksi IPsec-VPN