Setelah membuat rute berbasis kebijakan, gateway VPN akan mencocokkan rute tersebut berdasarkan alamat IP sumber dan tujuan dari lalu lintas jaringan, kemudian meneruskan lalu lintas sesuai dengan rute yang cocok.
Prasyarat
Koneksi IPsec-VPN telah dibuat dan dikaitkan dengan gateway VPN. Untuk informasi lebih lanjut, lihat Buat dan Kelola Koneksi IPsec-VPN dalam Mode Single-Tunnel atau Buat dan Kelola Koneksi IPsec-VPN dalam Mode Dual-Tunnel.
Batasan
Jangan atur blok CIDR tujuan rute berbasis kebijakan menjadi 0.0.0.0/0.
Jangan atur blok CIDR tujuan rute berbasis kebijakan menjadi subnet dari 100.64.0.0/10 atau 100.64.0.0/10, atau blok CIDR yang mengandung 100.64.0.0/10. Jika rute seperti itu ditambahkan, status koneksi IPsec-VPN tidak dapat ditampilkan di konsol, atau negosiasi IPsec gagal.
Rute berbasis kebijakan memiliki prioritas lebih tinggi daripada rute berbasis tujuan dan rute Border Gateway Protocol (BGP).
Aturan kecocokan untuk rute berbasis kebijakan
Gateway VPN yang baru dibuat memungkinkan Anda mengonfigurasi prioritas untuk rute berbasis kebijakan. Jika gateway VPN yang Anda beli tidak mendukung pengaturan prioritas untuk rute berbasis kebijakan, lihat bagian Aturan Kecocokan Rute Berbasis Kebijakan (Tidak Termasuk Prioritas Rute) dalam topik ini.
Jika Anda ingin mengonfigurasi prioritas untuk rute berbasis kebijakan dari gateway VPN Anda, Anda perlu meningkatkan gateway VPN. Untuk informasi lebih lanjut, lihat Tingkatkan Gateway VPN.
Aturan kecocokan untuk rute berbasis kebijakan (termasuk prioritas rute)
Saat gateway VPN meneruskan lalu lintas, aturan kecocokan berikut diterapkan:
Rute berbasis kebijakan dicocokkan terhadap lalu lintas dalam urutan menurun prioritas rute. Nilai prioritas yang lebih kecil menunjukkan prioritas yang lebih tinggi. Gateway VPN meneruskan lalu lintas berdasarkan rute yang cocok dengan lalu lintas.
Jika gateway VPN Anda dikonfigurasi dengan rute berbasis kebijakan aktif/standby, gateway VPN memilih rute berbasis kebijakan berdasarkan apakah koneksi IPsec-VPN dari rute memenuhi kondisi berikut: status negosiasi IPsec dan status pemeriksaan kesehatan.
Jika rute berbasis kebijakan aktif lolos negosiasi IPsec dan pemeriksaan kesehatan, rute berbasis kebijakan aktif digunakan.
Jika rute berbasis kebijakan aktif gagal dalam negosiasi IPsec atau pemeriksaan kesehatan tetapi rute berbasis kebijakan standby lolos negosiasi IPsec dan pemeriksaan kesehatan, rute berbasis kebijakan standby digunakan.
Jika baik rute berbasis kebijakan aktif maupun rute berbasis kebijakan standby gagal dalam negosiasi IPsec atau pemeriksaan kesehatan, rute berbasis kebijakan aktif digunakan.
Jika beberapa rute berbasis kebijakan diberi prioritas yang sama, lalu lintas dicocokkan terhadap rute berbasis kebijakan berdasarkan nomor urut mereka. Gateway VPN menggunakan rute berbasis kebijakan pertama yang cocok untuk meneruskan lalu lintas.
Setiap rute diberi nomor urut saat diterapkan ke sistem. Dalam banyak kasus, rute yang dikonfigurasi lebih awal dikirim ke sistem terlebih dahulu dan memiliki prioritas lebih tinggi daripada rute yang dikonfigurasi kemudian. Namun, ini tidak dijamin. Dalam beberapa kasus, rute yang dikonfigurasi kemudian dikirim ke sistem terlebih dahulu dan memiliki prioritas lebih tinggi daripada rute yang dikonfigurasi sebelumnya.
Rekomendasi
Untuk memastikan bahwa lalu lintas dapat diteruskan sesuai harapan, kami merekomendasikan agar Anda mengonfigurasi prioritas yang berbeda untuk setiap rute berbasis kebijakan.
Jika Anda ingin mengonfigurasi rute berbasis kebijakan aktif/standby, kami merekomendasikan agar Anda mengonfigurasi prioritas yang sama untuk rute berbasis kebijakan aktif dan standby.
Contoh
Seperti ditunjukkan pada gambar sebelumnya, Data Center_1 berkomunikasi dengan VPC_1 melalui Koneksi IPsec-VPN 1, dan Data Center_2 berkomunikasi dengan VPC_1 melalui Koneksi IPsec-VPN 2. Blok CIDR dari Data Center_1 yang akan dihubungkan ke VPC_1 adalah 192.168.1.0/24 dan 192.168.2.0/24, blok CIDR dari Data Center_2 yang akan dihubungkan ke VPC_1 adalah 192.168.5.0/24, dan blok CIDR dari VPC_1 yang akan dihubungkan ke pusat data adalah 172.16.0.0/16.
Saat Anda mengonfigurasi rute berbasis kebijakan, Anda perlu terlebih dahulu mengonfigurasi rute dari VPC_1 ke Data Center_2, kemudian menggabungkan blok CIDR tujuan dari rute dari VPC_1 ke Data Center_1 menjadi 192.168.0.0/21. Kedua rute berbasis kebijakan memiliki prioritas yang sama. Setelah Anda menyelesaikan konfigurasi sebelumnya, rute berbasis kebijakan tidak diterapkan ke sistem dalam urutan yang Anda konfigurasikan. Ini mengganggu nomor urut dari blok CIDR tujuan rute berbasis kebijakan, seperti yang ditunjukkan dalam tabel berikut.
Nomor Urut | Prioritas | Waktu untuk menerapkan rute | Blok CIDR Tujuan | Blok CIDR Sumber | Next hop |
1 | 10 | 2022-12-01:12:01:01 | 192.168.0.0/21 | 172.16.0.0/16 | Koneksi IPsec-VPN 1 |
2 | 10 | 2022-12-01:12:01:02 | 192.168.5.0/24 | 172.16.0.0/16 | Koneksi IPsec-VPN 2 |
Dalam tabel sebelumnya, waktu ketika rute berbasis kebijakan diterapkan ke sistem dicatat oleh sistem dan tidak ditampilkan di konsol Gateway VPN.
Saat gateway VPN meneruskan lalu lintas dari VPC_1 ke Data Center_2, lalu lintas jaringan dicocokkan terhadap rute secara berurutan karena kedua rute berbasis kebijakan memiliki prioritas yang sama. Lalu lintas dari VPC_1 ke Data Center_2 cocok dengan rute yang nomor urutnya adalah 1. Akibatnya, lalu lintas dari VPC_1 ke Data Center_2 dirute ke Data Center_1 melalui Koneksi IPsec-VPN 1.
Dalam skenario sebelumnya, Anda tidak dapat mengontrol waktu ketika rute berbasis kebijakan diterapkan ke sistem. Akibatnya, rute berbasis kebijakan tidak disortir dalam urutan yang diinginkan dan lalu lintas tidak diteruskan menggunakan rute yang diinginkan. Untuk mencegah masalah ini, kami merekomendasikan agar Anda mengonfigurasi prioritas yang berbeda untuk setiap rute berbasis kebijakan. Dengan cara ini, lalu lintas hanya dapat cocok dengan satu rute tanpa terpengaruh oleh urutan rute berbasis kebijakan.
Dalam contoh ini, kami merekomendasikan agar Anda mengonfigurasi rute seperti yang ditunjukkan dalam tabel berikut. Rute berbasis kebijakan dengan nomor urut 1 pertama kali diterapkan ke sistem, tetapi memiliki prioritas lebih rendah. Oleh karena itu, ketika gateway VPN meneruskan lalu lintas dari VPC_1 ke Data Center_2, lalu lintas cocok dengan rute berbasis kebijakan dengan nomor urut 2 dan lalu lintas diteruskan ke Data Center_2 sesuai harapan.
Nomor Urut | Prioritas | Waktu untuk menerapkan rute | Blok CIDR Tujuan | Blok CIDR Sumber | Next hop |
1 | 20 | 2022-12-01:12:01:01 | 192.168.0.0/21 | 172.16.0.0/16 | Koneksi IPsec-VPN 1 |
2 | 10 | 2022-12-01:12:01:02 | 192.168.5.0/24 | 172.16.0.0/16 | Koneksi IPsec-VPN 2 |
Aturan kecocokan rute berbasis kebijakan (tidak termasuk prioritas rute)
Saat gateway VPN meneruskan lalu lintas, lalu lintas jaringan dicocokkan terhadap rute berbasis kebijakan berdasarkan nomor urut mereka bukan berdasarkan prefix terpanjang. Jika lalu lintas jaringan cocok dengan rute berbasis kebijakan, gateway VPN segera menggunakan rute berbasis kebijakan untuk meneruskan lalu lintas.
Nomor urut dari rute berbasis kebijakan ditentukan oleh waktu ketika rute diterapkan ke sistem. Dalam banyak kasus, rute yang dikonfigurasi lebih awal diterapkan ke sistem terlebih dahulu dan memiliki prioritas lebih tinggi daripada rute yang dikonfigurasi kemudian. Namun, ini tidak dijamin. Dalam beberapa kasus, rute yang dikonfigurasi kemudian diterapkan ke sistem terlebih dahulu dan memiliki prioritas lebih tinggi daripada rute yang dikonfigurasi sebelumnya.
Jika gateway VPN Anda dikonfigurasi dengan rute berbasis kebijakan aktif/standby, gateway VPN memilih rute berbasis kebijakan berdasarkan apakah koneksi IPsec-VPN dari rute memenuhi kondisi berikut: status negosiasi IPsec dan status pemeriksaan kesehatan.
Jika rute berbasis kebijakan aktif lolos negosiasi IPsec dan pemeriksaan kesehatan, rute berbasis kebijakan aktif digunakan.
Jika rute berbasis kebijakan aktif gagal dalam negosiasi IPsec atau pemeriksaan kesehatan tetapi rute berbasis kebijakan standby lolos negosiasi IPsec dan pemeriksaan kesehatan, rute berbasis kebijakan standby digunakan.
Jika baik rute berbasis kebijakan aktif maupun rute berbasis kebijakan standby gagal dalam negosiasi IPsec atau pemeriksaan kesehatan, rute berbasis kebijakan aktif digunakan.
Rekomendasi
Untuk memastikan bahwa lalu lintas diteruskan menggunakan rute yang diinginkan, kami merekomendasikan agar Anda menentukan blok CIDR yang lebih kecil untuk rute berbasis kebijakan dan pastikan bahwa lalu lintas hanya dapat dicocokkan oleh satu rute berbasis kebijakan.
Contoh
Seperti ditunjukkan pada gambar sebelumnya, Data Center_1 berkomunikasi dengan VPC_1 melalui Koneksi IPsec-VPN 1, dan Data Center_2 berkomunikasi dengan VPC_1 melalui Koneksi IPsec-VPN 2. Blok CIDR dari Data Center_1 yang akan dihubungkan ke VPC_1 adalah 192.168.1.0/24 dan 192.168.2.0/24, blok CIDR dari Data Center_2 yang akan dihubungkan ke VPC_1 adalah 192.168.5.0/24, dan blok CIDR dari VPC_1 yang akan dihubungkan ke pusat data adalah 172.16.0.0/16.
Saat Anda membuat rute berbasis kebijakan, Anda perlu terlebih dahulu membuat rute yang meneruskan lalu lintas dari VPC_1 ke Data Center_2. Kemudian, Anda perlu membuat rute yang meneruskan lalu lintas dari VPC_1 ke Data Center_1 dan atur blok CIDR tujuan dari rute tersebut menjadi 192.168.0.0/21. Setelah rute dibuat, rute tersebut tidak diterapkan ke sistem dalam urutan pembuatan mereka. Tabel berikut menjelaskan nomor urut dari rute.
Nomor Urut | Waktu untuk menerapkan rute | Blok CIDR Tujuan | Blok CIDR Sumber | Next hop |
1 | 2022-12-01:12:01:01 | 192.168.0.0/21 | 172.16.0.0/16 | Koneksi IPsec-VPN 1 |
2 | 2022-12-01:12:01:02 | 192.168.5.0/24 | 172.16.0.0/16 | Koneksi IPsec-VPN 2 |
Saat gateway VPN meneruskan lalu lintas dari VPC_1 ke Data Center_2, lalu lintas jaringan dicocokkan terhadap rute berdasarkan nomor urut mereka. Lalu lintas dari VPC_1 ke Data Center_2 cocok dengan rute yang nomor urutnya adalah 1. Akibatnya, lalu lintas dari VPC_1 ke Data Center_2 dirute ke Data Center_1 melalui Koneksi IPsec-VPN 1.
Dalam skenario sebelumnya, Anda tidak dapat mengontrol waktu ketika rute berbasis kebijakan diterapkan ke sistem. Akibatnya, rute berbasis kebijakan tidak disortir dalam urutan yang diinginkan dan lalu lintas tidak diteruskan menggunakan rute yang diinginkan. Untuk mencegah masalah ini, kami merekomendasikan agar Anda menentukan blok CIDR yang lebih kecil untuk rute berbasis kebijakan untuk memastikan bahwa lalu lintas hanya dapat cocok dengan satu rute. Dengan cara ini, lalu lintas dapat dirute tanpa terpengaruh oleh urutan rute berbasis kebijakan.
Dalam contoh ini, Anda dapat mengonfigurasi rute berbasis kebijakan seperti yang ditunjukkan dalam tabel berikut. Saat gateway VPN meneruskan lalu lintas dari VPC_1 ke Data Center_2, lalu lintas hanya cocok dengan rute berbasis kebijakan yang nomor urutnya adalah 2, dan lalu lintas diteruskan ke Data Center_2 menggunakan rute yang diinginkan.
Nomor Urut | Waktu untuk menerapkan rute | Blok CIDR Tujuan | Blok CIDR Sumber | Next hop |
1 | 2022-12-01:12:01:01 | 192.168.1.0/24 | 172.16.0.0/16 | Koneksi IPsec-VPN 1 |
2 | 2022-12-01:12:01:02 | 192.168.5.0/24 | 172.16.0.0/16 | Koneksi IPsec-VPN 2 |
3 | 2022-12-01:12:01:03 | 192.168.2.0/24 | 172.16.0.0/16 | Koneksi IPsec-VPN 1 |
Dalam tabel sebelumnya, waktu ketika rute berbasis kebijakan diterapkan ke sistem dicatat oleh sistem dan tidak ditampilkan di konsol Gateway VPN.
Tambahkan rute berbasis kebijakan
Masuk ke Konsol Gateway VPN.
Di bilah menu atas, pilih wilayah gateway VPN.
Pada halaman VPN Gateways, klik ID gateway VPN yang ingin Anda kelola.
Pada halaman detail gateway VPN, klik tab Policy-based Route Table, dan klik Add Route Entry.
Di panel Add Route Entry, atur parameter berikut dan klik OK.
Parameter
Deskripsi
Destination CIDR Block
Masukkan blok CIDR privat dari pusat data yang ingin Anda akses.
Source CIDR Block
Masukkan blok CIDR privat di sisi VPC.
Next Hop Type
Pilih koneksi IPsec-VPN.
Next Hop
Pilih koneksi IPsec-VPN yang telah Anda buat.
Advertise to VPC
Tentukan apakah akan mengiklankan rute ke tabel rute VPC.
Yes: mengiklankan rute ke tabel rute VPC. Kami merekomendasikan agar Anda memilih opsi ini. Rute diiklankan ke tabel rute sistem VPC, tetapi tidak ke tabel rute kustom VPC.
Anda dapat menambahkan rute secara manual ke tabel rute kustom VPC. Untuk informasi lebih lanjut, lihat Tambahkan rute kustom.
No: tidak mengiklankan rute ke tabel rute VPC.
Jika Anda memilih No, Anda harus menambahkan rute berbasis tujuan yang menunjuk ke gateway VPN ke tabel rute kustom VPC dan tabel rute sistem secara manual. Jika tidak, VPC tidak dapat mengakses sumber daya dalam blok CIDR melalui koneksi IPsec-VPN.
PentingJika Anda membuat rute dengan blok CIDR tujuan yang sama di tabel rute berbasis kebijakan dan tabel rute berbasis tujuan, serta mengiklankan kedua rute ke tabel rute VPC yang sama, ketika Anda menarik rute dalam tabel rute berbasis kebijakan, rute dalam tabel rute berbasis tujuan juga ditarik.
Weight
CatatanAnda hanya dapat mengonfigurasi bobot untuk gateway VPN yang mendukung koneksi IPsec-VPN dalam mode single-tunnel. Jika koneksi IPsec-VPN aktif/standby diperlukan, kami merekomendasikan agar Anda tingkatkan gateway VPN untuk mengaktifkan mode dual-tunnel. Setiap koneksi IPsec-VPN dalam mode dual-tunnel memiliki koneksi aktif dan standby secara default. Anda tidak perlu mengonfigurasi bobot untuk menentukan koneksi mana yang aktif.
Tentukan bobot untuk rute berbasis kebijakan.
Jika Anda menggunakan gateway VPN yang sama untuk membuat koneksi IPsec-VPN aktif/standby, Anda dapat mengonfigurasi bobot rute untuk menentukan koneksi mana yang aktif. Nilai 100 menentukan koneksi aktif sedangkan nilai 0 menentukan koneksi standby. Rute berbasis kebijakan aktif/standby harus menggunakan blok CIDR sumber dan tujuan yang sama.
Anda dapat mengonfigurasi pemeriksaan kesehatan untuk memeriksa konektivitas koneksi IPsec-VPN secara otomatis. Jika koneksi aktif down, koneksi standby secara otomatis mengambil alih. Untuk informasi lebih lanjut tentang pemeriksaan kesehatan, lihat bagian Pemeriksaan Kesehatan dari topik "Buat dan kelola koneksi IPsec-VPN dalam mode single-tunnel".
100(Active): Koneksi IPsec-VPN yang terkait dengan rute berbasis kebijakan adalah aktif. Ini adalah nilai default.
0(Standby): Koneksi IPsec-VPN yang terkait dengan rute berbasis kebijakan adalah standby.
PentingSaat Anda menentukan koneksi aktif atau standby, rute berbasis kebijakan aktif/standby harus menggunakan blok CIDR sumber dan tujuan yang sama.
Untuk gateway VPN yang belum ditingkatkan setelah 12 Oktober 2023, jika Anda perlu mengonfigurasi rute berbasis kebijakan aktif/standby, pastikan bahwa koneksi aktif dan standby ditentukan untuk setiap blok CIDR. Jika hanya satu koneksi yang ditentukan untuk blok CIDR, pergantian koneksi aktif/standby di blok CIDR lainnya mungkin gagal.
Untuk informasi lebih lanjut tentang cara menghindari masalah ini, lihat Tingkatkan gateway VPN atau Tingkatkan gateway VPN untuk mengaktifkan mode dual-tunnel. Masalah ini tidak terjadi pada gateway VPN yang ditingkatkan atau gateway VPN baru yang dibuat setelah 12 Oktober 2023.
Jika Anda ingin memodifikasi bobot rute berbasis tujuan aktif, Anda harus menghapus rute berbasis tujuan standby. Setelah bobot rute berbasis tujuan aktif dimodifikasi, konfigurasikan ulang rute berbasis tujuan standby. Jika Anda ingin memodifikasi bobot rute berbasis tujuan standby, Anda harus menghapus rute berbasis tujuan aktif. Setelah bobot rute berbasis tujuan standby dimodifikasi, konfigurasikan ulang rute berbasis tujuan aktif.
Policy Priority
Tentukan prioritas untuk rute berbasis kebijakan. Nilai valid: 1 to 100. Nilai default: 10.
Jika terjadi kesalahan karena konflik rute saat Anda menambahkan rute berbasis kebijakan, lihat bagian Bagaimana cara saya menyelesaikan kesalahan rute tumpang tindih yang diperingatkan saat saya menambahkan rute ke gateway VPN? dari topik "FAQ tentang gateway VPN".
Iklankan rute berbasis kebijakan
Sebelum Anda membuat koneksi IPsec-VPN, Anda dapat memilih Routing Mode. Jika Anda mengatur parameter Mode Perutean ke Protected Data Flows, sistem secara otomatis membuat rute berbasis kebijakan yang berada dalam status Not Advertised untuk gateway VPN. Anda dapat melakukan operasi ini untuk mengiklankan rute ke tabel rute sistem VPC, tetapi tidak ke tabel rute kustom VPC.
Anda dapat menambahkan rute secara manual ke tabel rute kustom VPC. Untuk informasi lebih lanjut, lihat Tambahkan Rute Kustom.
Masuk ke Konsol Gateway VPN.
Di bilah menu atas, pilih wilayah gateway VPN.
Pada halaman VPN Gateways, klik ID gateway VPN yang ingin Anda kelola.
Pada halaman detail gateway VPN, klik tab Policy-based Route Table, temukan rute yang ingin Anda kelola, lalu klik Advertise di kolom Actions.
Dalam pesan Advertise Route, klik OK.
Untuk menarik rute berbasis kebijakan, klik Withdraw.
PentingJika Anda membuat rute dengan blok CIDR tujuan yang sama di tabel rute berbasis kebijakan dan tabel rute berbasis tujuan, lalu mengiklankan kedua rute ke tabel rute VPC yang sama, penarikan rute dalam tabel rute berbasis kebijakan juga akan menarik rute dalam tabel rute berbasis tujuan.
Modifikasi rute berbasis kebijakan
Anda dapat mengubah bobot dan prioritas rute berbasis kebijakan yang ada.
Masuk ke Konsol Gateway VPN.
Di bilah menu atas, pilih wilayah gateway VPN.
Pada halaman VPN Gateways, klik ID gateway VPN yang ingin Anda kelola.
Pada halaman detail gateway VPC, klik tab Policy-based Route Table, temukan rute yang ingin Anda modifikasi, lalu klik Edit di kolom Actions.
Di panel Modifikasi Entri Rute, ubah bobot dan prioritas rute dan klik OK.
Hapus rute berbasis kebijakan
Masuk ke Konsol Gateway VPN.
Di bilah menu atas, pilih wilayah gateway VPN.
Pada halaman VPN Gateways, klik ID gateway VPN yang ingin Anda kelola.
Pada halaman detail gateway VPN, klik tab Policy-based Route Table, temukan rute yang ingin Anda hapus, lalu klik Delete di kolom Actions.
Dalam pesan Delete Route Entry, klik OK.
Panggil Operasi API untuk Mengelola Rute Berbasis Kebijakan
Anda dapat menggunakan alat seperti SDK Alibaba Cloud (direkomendasikan), CLI Alibaba Cloud, Terraform, dan Resource Orchestration Service (ROS), untuk memanggil operasi API guna mengelola rute berbasis kebijakan. Untuk informasi lebih lanjut tentang operasi API, lihat topik berikut:
CreateVpnPbrRouteEntry: membuat rute berbasis kebijakan.
DeleteVpnPbrRouteEntry: menghapus rute berbasis kebijakan.
ModifyVpnPbrRouteEntryWeight: mengubah bobot rute berbasis kebijakan.
ModifyVpnPbrRouteEntryPriority: mengubah prioritas rute berbasis kebijakan.
ModifyVpnPbrRouteEntryAttribute: mengubah bobot dan prioritas rute berbasis kebijakan.
DescribeVpnPbrRouteEntries: menanyakan rute berbasis kebijakan.