Apa itu perutean gateway VPN? - VPN Gateway

Setelah membuat koneksi IPsec-VPN, Anda harus mengonfigurasi rute di gateway VPN terkait untuk pusat data. Setelah lalu lintas dari virtual private cloud (VPC) yang ditujukan ke pusat data dialihkan ke gateway VPN, gateway tersebut meneruskan lalu lintas ke pusat data berdasarkan informasi perutean.

Informasi latar belakang

Saat menghubungkan pusat data ke VPC menggunakan koneksi IPsec-VPN, Anda perlu menambahkan rute untuk VPC, gateway VPN, dan pusat data agar transmisi data antara pusat data dan VPC dapat berfungsi.

Dalam konfigurasi rute, Anda dapat memilih antara rute statis atau menggunakan Border Gateway Protocol (BGP) untuk pembelajaran rute otomatis melalui perutean dinamis.

Klik untuk melihat konfigurasi rute berdasarkan metode perutean yang berbeda

Metode perutean	Arah lalu lintas	VPC	Gateway VPN	Pusat data
Rute statis	Ditujukan ke pusat data	Anda perlu menentukan rute di pusat data. Baik konfigurasi manual maupun pengiklanan otomatis didukung. Konfigurasi manual Tambahkan rute yang ditujukan ke pusat data dengan hop berikutnya mengarah ke gateway VPN ke tabel rute VPC. Untuk informasi lebih lanjut, lihat Buat dan kelola tabel rute. Pengiklanan otomatis Tambahkan rute yang ditujukan ke pusat data ke gateway VPN. Kemudian, gateway VPN secara otomatis mengiklankan rute-rute ini ke VPC. Untuk informasi lebih lanjut, lihat Kelola rute berbasis tujuan atau Kelola perutean berbasis kebijakan.	Anda perlu menambahkan rute yang ditujukan ke pusat data. Metode manajemen berikut didukung: Manajemen rute berbasis tujuan Manajemen rute berbasis kebijakan	Tidak tersedia
Rute statis	Ditujukan ke VPC	Tidak tersedia	Tidak tersedia Gateway VPN secara otomatis mempelajari rute yang ditujukan ke VPC terkait. Tidak diperlukan operasi tambahan.	Anda perlu menambahkan rute dengan hop berikutnya mengarah ke koneksi IPsec-VPN dari VPC.
Perutean dinamis BGP	Ditujukan ke pusat data	Tidak tersedia Setelah Anda mengaktifkan pengiklanan rute otomatis untuk gateway VPN, gateway VPN secara otomatis mengiklankan rute dari pusat data ke VPC.	Anda harus mengaktifkan propagasi rute otomatis untuk gateway VPN. Setelah fitur ini diaktifkan, gateway VPN secara otomatis mempelajari rute sistem dari tabel rute sistem VPC dan menyebarkan rute dari pusat data ke tabel rute sistem VPC. Anda harus mengonfigurasi perutean dinamis BGP. Setelah perutean dinamis BGP dikonfigurasi, gateway VPN secara otomatis mempelajari rute yang ditujukan ke pusat data. Ini juga secara otomatis mengiklankan rute dari VPC ke pusat data. Untuk informasi lebih lanjut, lihat Konfigurasikan perutean dinamis BGP.	Anda harus mengonfigurasi perutean dinamis BGP. Setelah perutean dinamis BGP dikonfigurasi, pusat data dapat mengiklankan rute di pusat data ke gateway VPN dan juga secara otomatis mempelajari rute yang ditujukan ke VPC.
Perutean dinamis BGP	Ditujukan ke VPC	Tidak tersedia

Konfigurasikan perutean gateway VPN

Penting

Topik ini membahas konfigurasi perutean untuk gateway VPN dan tidak mencakup konfigurasi perutean untuk VPC atau pusat data.

Perutean statis

Rute Berbasis Tujuan
Untuk mengonfigurasi rute berbasis tujuan, tentukan blok CIDR tujuan dan hop berikutnya. Gateway VPN mengidentifikasi rute berbasis tujuan yang sesuai dengan alamat IP tujuan lalu lintas dan meneruskan lalu lintas berdasarkan hop berikutnya dari rute yang cocok. Untuk detail lebih lanjut, lihat Konfigurasikan Rute Berbasis Tujuan.
Rute Berbasis Kebijakan
Untuk mengonfigurasi rute berbasis kebijakan, tentukan blok CIDR sumber, blok CIDR tujuan, dan hop berikutnya. Gateway VPN mengidentifikasi rute berbasis kebijakan yang sesuai dengan alamat IP sumber dan tujuan lalu lintas, lalu meneruskan lalu lintas berdasarkan hop berikutnya dari rute yang cocok. Untuk detail lebih lanjut, lihat Kelola Rute Berbasis Kebijakan.

Perutean dinamis BGP

BGP adalah protokol perutean dinamis berbasis Transmission Control Protocol (TCP). Protokol ini digunakan untuk bertukar informasi perutean dan aksesibilitas jaringan di seluruh sistem otonom (AS). Tambahkan konfigurasi BGP ke gateway VPN dan pusat data untuk menentukan mereka sebagai peer BGP. Dengan demikian, mereka dapat mempelajari rute satu sama lain, mengurangi biaya pemeliharaan jaringan dan risiko kesalahan konfigurasi. Untuk informasi lebih lanjut, lihat Konfigurasikan Perutean Dinamis BGP.

Pilih metode perutean

Periksa apakah gateway VPN mendukung perutean dinamis BGP. Jika tidak, gunakan perutean statis.
, secara default, gateway VPN baru yang mendukung koneksi IPsec-VPN dua saluran mendukung perutean dinamis BGP. Beberapa gateway VPN yang ada mungkin tidak mendukung perutean dinamis BGP karena batasan wilayah atau versi yang sudah usang. Anda dapat memanggil operasi API DescribeVpnGateway atau DescribeVpnGateways untuk memeriksa apakah gateway VPN mendukung perutean dinamis BGP. Jika parameter VpnEnableBgp dalam Tag mengembalikan true, gateway VPN mendukung perutean dinamis BGP.
Jika gateway VPN tidak mendukung perutean dinamis BGP, ikuti langkah-langkah berikut:
- Jika gateway VPN mendukung koneksi IPsec-VPN dua saluran, tingkatkan gateway VPN.
- Jika gateway VPN hanya mendukung koneksi IPsec-VPN satu saluran, tingkatkan ke koneksi IPsec-VPN dua saluran.
Periksa apakah perangkat gateway di pusat data mendukung perutean dinamis BGP. Jika ya, Anda dapat memilih perutean dinamis BGP; jika tidak, gunakan perutean statis.

Jika baik perutean statis maupun perutean dinamis BGP didukung dalam skenario Anda, pilih metode perutean berdasarkan informasi dalam tabel berikut.

Metode perutean

Skema yang didukung

Kompleksitas konfigurasi

Biaya pemeliharaan rute

Mode ketersediaan tinggi

Rute statis

Jumlah rute di pusat data sedikit, dan perubahan rute jarang terjadi.

Rendah

Sedang

Anda harus menyelesaikan konfigurasi perutean untuk VPC, pusat data, dan gateway VPN. Jika rute di pusat data diubah, Anda harus secara manual mengubah konfigurasi perutean untuk gateway VPN.

Jika beberapa koneksi IPsec-VPN dibuat antara pusat data dan Alibaba Cloud menggunakan satu gateway VPN, koneksi ini dapat berada dalam mode aktif/standby melalui perutean statis. Ini memastikan ketersediaan tinggi.

Perutean dinamis BGP

Jumlah rute di pusat data besar, dan perubahan rute sering terjadi.

Rendah

Anda harus menambahkan konfigurasi BGP ke gateway VPN dan pusat data. Jika rute di pusat data diubah, tidak perlu melakukan operasi apa pun pada gateway VPN. Pengiklanan rute otomatis dan pembelajaran diaktifkan menggunakan perutean dinamis BGP berdasarkan prinsip-prinsip pengiklanan perutean dinamis BGP.

Jika beberapa koneksi IPsec-VPN dibuat antara pusat data dan Alibaba Cloud menggunakan satu gateway VPN, Anda dapat menggunakan koneksi ini untuk mengonfigurasi perutean multi-jalur biaya-sama (ECMP) melalui perutean dinamis BGP. Jika salah satu koneksi IPsec-VPN gagal, pergantian rute diimplementasikan secara otomatis menggunakan perutean dinamis BGP. Ini memastikan ketersediaan tinggi.

Rekomendasi untuk konfigurasi perutean

Jika beberapa koneksi IPsec-VPN dibuat di gateway VPN, disarankan untuk menggunakan metode perutean yang sama untuk semua koneksi tersebut. Penggunaan campuran rute berbasis tujuan, rute berbasis kebijakan, dan perutean dinamis BGP secara bersamaan tidak direkomendasikan.

Prioritas rute

Tabel berikut mencantumkan prioritas rute jika terjadi konflik rute di tabel rute gateway VPN atau tabel rute VPC.

Catatan

Prioritas rute dalam urutan menurun adalah sebagai berikut: P0 > P1 > P2 > P3.

Jenis rute	Prioritas rute pada gateway VPN	Prioritas rute dalam VPC
Rute spesifik	P0	P0
Rute sistem	P1	P1
Rute statis	P2 Catatan Rute berbasis kebijakan memiliki prioritas lebih tinggi daripada rute berbasis tujuan.	P2
Rute dinamis	P3	P3