All Products
Search

This Product

    VPN Gateway:Konfigurasikan rute untuk gateway VPN

    Document Center

    VPN Gateway:Konfigurasikan rute untuk gateway VPN

    Last Updated:May 28, 2026

    Konfigurasikan rute statis, berbasis kebijakan, atau BGP pada gateway VPN untuk menghubungkan VPC Anda ke pusat data melalui koneksi IPsec-VPN.

    Pilih metode perutean

    Rute statis vs. rute BGP

    Kategori

    Route statis

    Rute dinamis

    Kasus penggunaan

    Jaringan dengan jumlah rute kecil yang jarang berubah.

    Jaringan dengan jumlah rute besar yang sering berubah.

    Maintenance

    Sedang. Perubahan rute harus dikonfigurasi secara manual.

    Rendah. Rute diumumkan dan dipelajari secara otomatis.

    Prasyarat

    Tidak ada.

    Baik gateway VPN maupun perangkat gateway lokal harus mendukung BGP.

    Rute statis: Berbasis tujuan vs. berbasis kebijakan

    Pilih antara rute berbasis tujuan dan rute berbasis kebijakan.

    Kategori

    Destination-based route

    Policy-based route

    Kriteria pencocokan

    Hanya alamat IP tujuan

    IP sumber + IP tujuan

    Kasus penggunaan

    Penggunaan umum. Direkomendasikan untuk sebagian besar pengguna.

    Perutean traffic dibedakan berdasarkan Blok CIDR sumber.

    Prioritas

    Lebih rendah daripada rute berbasis kebijakan.

    Lebih tinggi daripada rute berbasis tujuan.

    Prioritas rute

    Gateway VPN mencocokkan lalu lintas terhadap rute dalam urutan berikut:

    1. Gateway pertama kali memeriksa Policy-based Route Table, mencocokkan rute berdasarkan prioritas kebijakan, bukan berdasarkan aturan longest prefix match.

    2. Gateway kemudian memeriksa Destination-based Route Table, mencocokkan rute berdasarkan aturan longest prefix match.

    3. Akhirnya, gateway memeriksa BGP Route Table.

    Konfigurasi rute statis

    Ikhtisar end-to-end

    Menghubungkan VPC ke pusat data melalui gateway VPN melibatkan tiga tabel rute:

    Arah lalu lintas

    VPC route table

    VPN gateway route table

    Local gateway device route table

    Outbound (VPC ke data center)

    Pilih salah satu metode berikut:

    • Sebarkan rute dari gateway VPN (direkomendasikan):

      Pada tabel rute gateway VPN, klik Advertise to VPC di kolom Actions entri rute.

    • Tambahkan rute secara manual:

      Atur Blok CIDR tujuan ke Blok CIDR data center dan lompatan berikutnya ke gateway VPN. Tambah dan hapus entri rute.

    Tambahkan satu rute secara manual:

    • Blok CIDR tujuan adalah Blok CIDR data center, dan lompatan berikutnya adalah koneksi IPsec-VPN.

    • Anda dapat mengonfigurasi rute berbasis tujuan atau rute berbasis kebijakan.

    Pastikan perangkat gateway lokal memiliki rute ke jaringan internal data center. Jika tidak, tambahkan secara manual.

    Inbound (data center ke VPC)

    Tidak diperlukan konfigurasi.

    Tidak diperlukan konfigurasi.

    Tambahkan dua rute secara manual:

    Untuk kedua rute tersebut, atur Blok CIDR tujuan ke Blok CIDR VPC dan lompatan berikutnya masing-masing ke saluran data aktif dan standby koneksi IPsec-VPN. Tetapkan bobot lebih tinggi untuk saluran data aktif.

    Konfigurasi rute berbasis tujuan

    Rute berbasis tujuan meneruskan lalu lintas berdasarkan alamat IP tujuan.

    Aturan pencocokan:

    • Longest prefix match: Lalu lintas dicocokkan dengan rute yang memiliki subnet mask terpanjang. Misalnya, jika rute 10.0.0.0/8 dan 10.10.0.0/16 keduanya ada, lalu lintas yang ditujukan ke 10.10.10.1 akan dicocokkan dengan rute 10.10.0.0/16.

    • Rute aktif/standby (hanya untuk gateway VPN single-tunnel lawas): Hanya rute aktif yang dicocokkan; rute standby dilewati. Konfigurasi rute aktif/standby.

    Konsol

    Tambahkan rute berbasis tujuan

    Pastikan Anda telah membuat koneksi IPsec-VPN yang terkait dengan gateway VPN.

    1. Buka halaman VPN Gateway di konsol. Klik ID instans gateway VPN target.

    2. Buka tab Destination-based Route Table dan klik Add Route Entry.

      • Destination CIDR Block: Masukkan Blok CIDR pusat data Anda.

      • Next Hop: Pilih koneksi IPsec-VPN target.

      • Advertise to VPC: Pilih Yes untuk secara otomatis mengumumkan rute ke tabel rute sistem VPC. Jika Anda memilih No, Anda harus menambahkan rute tersebut secara manual ke tabel rute VPC.

      • Weight: Hanya gateway VPN single-tunnel lawas yang mendukung bobot. Konfigurasi rute aktif/standby.

    Hapus rute berbasis tujuan

    Temukan entri rute target dan klik Delete di kolom Actions.

    API

    Operasi API

    Deskripsi

    CreateVpnRouteEntry

    Membuat rute berbasis tujuan.

    PublishVpnRouteEntry

    Mengumumkan atau menarik rute VPN.

    DeleteVpnRouteEntry

    Menghapus rute berbasis tujuan.

    ModifyVpnRouteEntryWeight

    Memodifikasi bobot (hanya untuk gateway VPN single-tunnel lawas).

    DescribeVpnRouteEntries

    Menanyakan rute berbasis tujuan dan rute BGP.

    Konfigurasi rute berbasis kebijakan

    Rute berbasis kebijakan mencocokkan lalu lintas berdasarkan alamat IP sumber dan alamat IP tujuan, serta memiliki prioritas lebih tinggi daripada rute berbasis tujuan dan rute BGP.

    Urutan pencocokan:

    1. Prioritas kebijakan: Rute dengan nilai prioritas terendah dicocokkan terlebih dahulu.

    2. Rute dengan prioritas yang sama: Dicocokkan secara berurutan berdasarkan waktu pembuatan. Pencocokan pertama yang sesuai digunakan.

    Penting

    • Urutan pencocokan untuk rute dengan prioritas yang sama tidak dijamin. Tetapkan prioritas unik untuk setiap rute berbasis kebijakan guna memastikan perutean deterministik.

    • Untuk gateway VPN single-tunnel lawas, rute berbasis kebijakan aktif/standby harus memiliki prioritas yang sama. Hanya rute aktif yang dicocokkan. Konfigurasi rute aktif/standby.

    Contoh pencocokan rute berbasis kebijakan

    Contoh:

    VPC_1 (172.16.0.0/16) terhubung ke IDC_1 (192.168.1.0/24, 192.168.2.0/24) melalui koneksi IPsec-VPN 1, dan ke IDC_2 (192.168.5.0/24) melalui koneksi 2.

    Salah: Prioritas sama + CIDR agregat menyebabkan ketidaksesuaian:

    Prioritas

    Destination CIDR block

    Source CIDR block

    Next hop

    Masalah

    10

    192.168.0.0/21

    172.16.0.0/16

    IPsec-VPN connection 1

    Secara salah mencocokkan traffic ke IDC_2

    10

    192.168.5.0/24

    172.16.0.0/16

    IPsec-VPN connection 2

    Benar: Tetapkan prioritas berbeda. Berikan prioritas lebih tinggi (nilai lebih rendah) untuk rute yang lebih spesifik.

    Prioritas

    Destination CIDR block

    Source CIDR block

    Next hop

    10

    192.168.5.0/24

    172.16.0.0/16

    IPsec-VPN connection 2

    20

    192.168.0.0/21

    172.16.0.0/16

    IPsec-VPN connection 1
    Catatan

    Gateway VPN lawas: Jika gateway VPN Anda tidak mendukung konfigurasi prioritas kebijakan, kebijakan dicocokkan secara berurutan sesuai urutan konfigurasinya, tanpa mempertimbangkan prioritas. Gunakan segmen jaringan spesifik (seperti 192.168.1.0/24) alih-alih segmen jaringan ringkas (seperti 192.168.0.0/21), atau upgrade gateway VPN agar mendukung prioritas kebijakan.

    Konsol

    Tambahkan rute berbasis kebijakan

    Pastikan Anda telah membuat koneksi IPsec-VPN yang terkait dengan gateway VPN.

    1. Buka halaman VPN Gateway di konsol. Klik ID instans gateway VPN target.

    2. Buka tab Policy-based Route Table dan klik Add Route Entry.

      • Destination CIDR Block: Masukkan Blok CIDR pusat data Anda.

      • Source CIDR Block: Masukkan Blok CIDR VPC terkait.

      • Next Hop: Pilih koneksi IPsec-VPN target.

      • Advertise to VPC: Pilih Yes untuk secara otomatis mengumumkan rute ke tabel rute sistem VPC. Jika Anda memilih No, Anda harus menambahkan rute tersebut secara manual ke tabel rute VPC.

      • Policy Priority: Rentang: 1–100. Nilai lebih rendah = prioritas lebih tinggi. Default: 10.

      • Weight: Hanya gateway VPN single-tunnel lawas yang mendukung konfigurasi bobot. Konfigurasi rute aktif/standby.

    Edit rute berbasis kebijakan

    Temukan entri rute target dan klik Edit di kolom Actions untuk memodifikasi Policy Priority atau Weight. Hanya gateway VPN single-tunnel lawas yang mendukung modifikasi bobot.

    Hapus rute berbasis kebijakan

    Temukan entri rute target dan klik Delete di kolom Actions.

    API

    Operasi API

    Deskripsi

    CreateVpnPbrRouteEntry

    Membuat rute berbasis kebijakan.

    DeleteVpnPbrRouteEntry

    Menghapus rute berbasis kebijakan.

    ModifyVpnPbrRouteEntryWeight

    Memodifikasi bobot.

    ModifyVpnPbrRouteEntryPriority

    Memodifikasi prioritas kebijakan.

    ModifyVpnPbrRouteEntryAttribute

    Memodifikasi bobot dan prioritas kebijakan.

    DescribeVpnPbrRouteEntries

    Menanyakan rute berbasis kebijakan.

    Umumkan ke tabel rute VPC

    Umumkan rute yang ditambahkan secara manual ke tabel rute sistem VPC tanpa mengonfigurasinya di konsol VPC.

    • Rute hanya diumumkan ke tabel rute sistem VPC, bukan ke tabel rute kustom. Untuk menambahkan rute ke tabel rute kustom, gunakan Tambah dan hapus entri rute.

    • Jika rute dengan Blok CIDR tujuan yang sama ada di kedua tabel rute berbasis kebijakan dan berbasis tujuan, menarik rute dari satu tabel juga akan menariknya dari tabel lainnya.

    Konsol

    • Saat menambahkan rute berbasis tujuan atau berbasis kebijakan, Anda dapat memilih untuk Advertise.

    • Untuk entri rute yang sudah ada, Anda dapat mengklik Advertise atau Withdraw di kolom Actions.

    API

    Panggil PublishVpnRouteEntry untuk mengumumkan atau menarik rute.

    Batasan

    Batasan berikut berlaku untuk rute berbasis tujuan dan berbasis kebijakan:

    • Anda tidak dapat menambahkan rute dengan Blok CIDR tujuan 0.0.0.0/0.

    • Jangan menambahkan rute ke 100.64.0.0/10 (termasuk subnet dan supernet-nya). Hal ini menyebabkan kegagalan koneksi atau negosiasi IPsec.

    • Jika sistem melaporkan konflik rute, lihat Tangani error rute duplikat.

    Konfigurasi rute BGP

    BGP (Border Gateway Protocol) memungkinkan gateway VPN dan pusat data saling berkomunikasi secara otomatis, mempelajari dan mendistribusikan rute tanpa perlu pemeliharaan manual.

    Ikhtisar end-to-end

    Arah lalu lintas

    VPC route table

    VPN Gateway route table

    Local gateway device route table

    Outbound (VPC ke data center)

    Tidak diperlukan konfigurasi.

    Setelah Anda mengaktifkan Automatic Route Propagation untuk gateway VPN, tabel rute VPC secara otomatis mempelajari rute ke data center dari gateway VPN.

    1. Anda harus mengaktifkan Automatic Route Propagation pada gateway VPN.

      Saat diaktifkan, gateway VPN secara otomatis mempelajari rute sistem dari tabel rute sistem VPC dan mengumumkan rute data center ke tabel rute sistem VPC.

    2. Anda harus mengaktifkan BGP pada gateway VPN.

      Saat diaktifkan, gateway secara otomatis mengumumkan Blok CIDR VPC ke data center dan mempelajari Blok CIDR data center.

    Anda harus mengaktifkan BGP pada perangkat gateway lokal.

    Saat diaktifkan, perangkat secara otomatis mengumumkan Blok CIDR jaringan lokal ke cloud dan mempelajari Blok CIDR VPC.

    Inbound (data center ke VPC)

    Tidak diperlukan konfigurasi.

    Prinsip pengumuman rute BGP

    • Inbound ke cloud: Rute yang diumumkan oleh pusat data melalui BGP → disebarkan ke gateway VPN → secara otomatis disebarkan ke tabel rute sistem VPC (memerlukan propagasi rute diaktifkan).

    • Outbound dari cloud: Entri rute sistem di tabel rute sistem VPC → secara otomatis dipelajari oleh gateway VPN (memerlukan propagasi rute diaktifkan) → disebarkan ke pusat data melalui BGP.

    Prosedur

    Sebelum memulai, pastikan:

    Konsol

    1. Tentukan ASN pusat data di Customer Gateway

      Tentukan Autonomous System Number (ASN) pusat data Anda saat membuat Customer Gateway. Jika yang sudah ada tidak memiliki ASN, buat yang baru. Customer Gateway.

    2. Aktifkan BGP di koneksi IPsec-VPN

      • Saat membuat atau mengedit koneksi IPsec-VPN, konfigurasikan Customer Gateway, Enable BGP, Local ASN, Tunnel CIDR Block, dan Local BGP IP address. Untuk deskripsi parameter dan prosedurnya, lihat Aktifkan atau nonaktifkan BGP.

      • Local ASN untuk kedua saluran data harus sama. ASN BGP peer juga harus sama untuk kedua saluran data.

      • Atur Routing Mode koneksi IPsec-VPN ke Destination Routing Mode.

    3. Aktifkan propagasi rute

      Aktifkan fitur ini di kolom Enable Automatic Route Advertisement untuk instans gateway VPN target. Saat diaktifkan:

      • Gateway VPN secara otomatis mempelajari rute sistem dari tabel rute sistem VPC.

      • Gateway VPN secara otomatis menyebarkan rute BGP dari pusat data ke tabel rute sistem VPC.

        Rute BGP hanya disebarkan ke tabel rute sistem VPC, bukan ke tabel rute kustom.

    4. Verifikasi rute BGP

      • Tabel rute BGP gateway VPN: Di halaman detail instans gateway VPN, buka tab BGP Route Table. Sumber rute ditandai sebagai "CLOUD" (rute cloud-native) atau "VPN_BGP" (rute yang dipelajari melalui BGP).

      • Tabel rute sistem VPC: Periksa tabel rute sistem VPC untuk entri bertipe "Dynamic Route".

    API

    1. Tentukan ASN pusat data di Customer Gateway

      Panggil operasi CreateCustomerGateway.

    2. Aktifkan BGP di koneksi IPsec-VPN

    3. Aktifkan propagasi rute

      Panggil operasi ModifyVpnGatewayAttribute untuk mengaktifkannya.

    4. Verifikasi rute BGP

      Panggil operasi DescribeVpnRouteEntries untuk menanyakan entri rute BGP.

    Batasan

    • Setiap tabel rute BGP gateway VPN mendukung hingga 50 rute (dapat diperluas hingga 200; hubungi account manager Anda).

    • Gateway VPN tidak menerima rute BGP yang Blok CIDR tujuannya adalah 0.0.0.0/0.

    • Saat BGP diaktifkan untuk beberapa koneksi IPsec-VPN pada gateway VPN yang sama, Local ASN harus sama untuk semua koneksi.

    • Jangan saling menukar rute antar koneksi IPsec-VPN yang berbeda.

    • Saat VPC dikaitkan dengan beberapa gateway VPN, gateway tersebut tidak mendukung peering BGP satu sama lain. Jangan saling menukar rute antar gateway VPN yang berbeda.

    • Jika VPC dikaitkan dengan beberapa gateway VPN yang semuanya menggunakan BGP dan terhubung ke Customer Gateway yang sama, Local ASN untuk koneksi IPsec-VPN pada setiap gateway VPN harus identik untuk mencegah loop perutean.

    • Jika beberapa koneksi IPsec-VPN dual-tunnel menggunakan BGP secara bersamaan, Blok CIDR tujuan dari rute yang dipelajari oleh setiap koneksi tidak boleh tumpang tindih.

    • Saat menggunakan sirkuit Express Connect dan gateway VPN untuk akses aktif/standby ke VPC, ASN lokal yang dikonfigurasi pada Border Router (VBR) dan gateway VPN harus sama.

    • Jika VPC gateway VPN termasuk dalam Cloud Enterprise Network (CEN), aktifkan overlapping rute. Fitur ini diaktifkan secara default untuk instans CEN yang dibuat setelah Maret 2019.

    • Jika beberapa VPC dalam CEN yang sama terhubung ke pusat data yang sama melalui BGP, rute dinamis dapat disebarkan melalui CEN ke VPC lain, menyebabkan route flapping. Gunakan rute statis sebagai gantinya.

    • Gateway VPN dalam mode single-tunnel: Jangan sebarkan rute untuk 100.64.0.0/10 (termasuk subnet dan supernet-nya). Anda dapat menghindari masalah ini dengan meng-upgrade koneksi IPsec-VPN ke mode dual-tunnel.

    Lampiran

    Rekomendasi konfigurasi rute

    • Gunakan metode perutean yang sama untuk semua koneksi IPsec-VPN pada gateway VPN. Jangan mencampur rute berbasis tujuan, berbasis kebijakan, dan rute BGP.

    • Saat mengonfigurasi rute BGP, atur Routing Mode koneksi IPsec-VPN ke Destination Routing Mode.

    Periksa apakah gateway VPN mendukung BGP

    • Gateway VPN yang baru dibuat dan mendukung koneksi IPsec-VPN dual-tunnel mendukung BGP secara default.

    • Untuk gateway VPN yang sudah ada: Panggil operasi DescribeVpnGateway dan verifikasi bahwa bidang Tag berisi tag VpnEnableBgp dengan nilai true.

    • Opsi upgrade untuk gateway yang tidak didukung:

      - Gateway VPN mode dual-tunnel: Upgrade gateway VPN (hanya tipe classic)

      - Gateway VPN mode single-tunnel: Upgrade ke mode dual-tunnel

    Konfigurasi rute aktif/standby

    Penting

    Bagian ini hanya berlaku untuk gateway VPN yang sudah ada dan menggunakan mode single-tunnel.

    • Untuk mengonfigurasi aktif/standby pada gateway VPN single-tunnel lawas, upgrade koneksi IPsec-VPN ke mode dual-tunnel. Koneksi dual-tunnel menyediakan aktif/standby secara default tanpa perlu konfigurasi bobot.

    • Jika Anda masih perlu mengonfigurasi tautan aktif/standby dalam mode single-tunnel, ikuti langkah-langkah berikut:

      1. Rute utama memiliki bobot 100 dan rute standby memiliki bobot 0. Blok CIDR tujuan harus sama, tetapi lompatan berikutnya harus berbeda. Untuk rute berbasis kebijakan, Blok CIDR sumber juga harus sama.

      2. Konfigurasikan pemeriksaan kesehatan untuk koneksi IPsec-VPN guna mengaktifkan failover otomatis. Anda dapat menemukan opsi ini di pengaturan konfigurasi saluran data koneksi IPsec-VPN.

      3. Untuk memodifikasi bobot rute, hapus terlebih dahulu rute standby, modifikasi bobot rute aktif, lalu buat ulang rute standby. Proses yang sama berlaku saat memodifikasi bobot rute standby.

      Untuk instans VPN Gateway yang belum di-upgrade sejak 12 Oktober 2023, jika Anda perlu mengonfigurasi rute berbasis kebijakan aktif/standby, pastikan tautan aktif/standby ditentukan untuk setiap Blok CIDR. Jika suatu Blok CIDR hanya memiliki satu tautan yang dikonfigurasi, failover untuk Blok CIDR lainnya mungkin gagal. Anda dapat menghindari masalah ini dengan meng-upgrade gateway VPN atau meng-upgrade koneksi IPsec-VPN ke mode dual-tunnel. Masalah ini tidak memengaruhi instans VPN Gateway yang dibuat atau di-upgrade setelah 12 Oktober 2023.

    • Setelah dikonfigurasi, rute berlaku berdasarkan aturan berikut:

      Koneksi IPsec-VPN untuk rute aktif

      Koneksi IPsec-VPN untuk rute standby

      Rute efektif

      Up (negosiasi berhasil dan pemeriksaan kesehatan normal)

      Status apa pun

      Rute aktif

      Down

      Up

      Rute standby

      Down

      Down

      Rute aktif (default)

    Tutorial

    Contoh konfigurasi strongSwan