Koneksi ini menghubungkan pusat data lokal Anda langsung ke router transit. Setelah terhubung, pusat data lokal Anda dapat berkomunikasi dengan jaringan lain yang terhubung ke router transit, seperti VPC di wilayah yang sama atau berbeda, atau pusat data lokal lainnya.
Mulai 26 November 2024, koneksi IPsec-VPN yang baru dibuat menggunakan mode dual-tunnel secara default. Jika salah satu tunnel gagal, lalu lintas secara otomatis dialihkan melalui tunnel lainnya untuk memastikan ketersediaan tinggi. Untuk informasi selengkapnya tentang mode dual-tunnel, lihat dokumentasi VPN Gateway: (Deprecated) Associate with a transit router.
Batasan
Hanya router transit edisi perusahaan yang mendukung koneksi VPN.
Saat ini, hanya koneksi IPsec di wilayah tertentu yang dapat terhubung ke instans TransitRouter. Untuk informasi selengkapnya mengenai wilayah yang didukung, lihat Wilayah dan zona yang didukung.
Setelah Anda membuat koneksi VPN, sistem secara otomatis menambahkan kebijakan perutean ke semua tabel rute router transit dalam arah Export from Regional Gateway. Kebijakan ini memiliki Policy Priority sebesar 5000 dan Policy Action berupa Deny. Kebijakan rute ini menolak komunikasi antar koneksi VPN, koneksi Virtual Border Router (VBR), dan koneksi Cloud Connect Network (CCN).
Jika pusat data lokal Anda sudah terhubung ke router transit melalui koneksi IPsec-VPN dan VPC, load balancing tidak didukung jika Anda juga menambahkan koneksi VPN langsung antara pusat data yang sama dan router transit.
Tabel berikut menjelaskan kuota sumber daya.
Resource
Kuota default
Minta peningkatan kuota
Jumlah koneksi VPN per router transit
50
Anda dapat meminta peningkatan kuota dengan salah satu metode berikut:
Pada halaman Quotas, ajukan permintaan peningkatan kuota. Untuk informasi lebih lanjut, lihat Tingkatkan kuota CEN.
Di Quota Center, ajukan permintaan peningkatan kuota. Untuk informasi lebih lanjut, lihat Buat aplikasi peningkatan kuota.
Jumlah koneksi VPN yang mendukung perutean Equal-Cost Multipath (ECMP) per router transit
16
Tidak dapat diubah
Jumlah router transit yang dapat dihubungkan ke koneksi IPsec
1
Tidak dapat diubah
Penagihan
Penggunaan koneksi VPN dapat dikenakan biaya untuk item yang dapat ditagih berikut: biaya koneksi router transit, biaya penerusan data router transit, biaya instans koneksi IPsec, dan biaya transfer data. Item yang dapat ditagih bervariasi berdasarkan jenis jaringan koneksi IPsec. Tabel berikut menjelaskan aturan penagihan untuk koneksi VPN.
Aturan penagihan untuk koneksi VPN melalui internet

No. | Billable item | Description | Dokumentasi terkait |
① | Transit router connection fee | Biaya untuk menghubungkan router transit ke koneksi IPsec. |
|
② | Transit router data forwarding fee | Biaya untuk traffic yang dikirim oleh koneksi IPsec ke router transit. | |
③ | IPsec connection instance fee | Biaya untuk instans koneksi IPsec. | |
④ | Data transfer fee | Biaya yang dihasilkan ketika koneksi IPsec mengirim traffic ke pusat data lokal. |
Aturan penagihan untuk koneksi VPN melalui jaringan pribadi

No. | Billable item | Description | Dokumentasi terkait |
① | Transit router connection fee | Biaya yang dihasilkan ketika router transit dihubungkan ke instans VBR dan koneksi IPsec. |
|
② | Transit router data forwarding fee | Biaya yang dihasilkan ketika instans VBR mengirim traffic ke router transit. | |
③ | IPsec connection instance fee | Biaya instans yang dihasilkan setelah Anda membuat koneksi IPsec. | |
④ | Outbound data transfer fee | Biaya yang dihasilkan ketika instans VBR mengirim traffic ke pusat data lokal. |
Alur kerja
Membuat koneksi VPN melibatkan pengaitan router transit dengan koneksi IPsec. Setelah dikaitkan, pusat data lokal dapat terhubung ke router transit melalui koneksi IPsec dan berkomunikasi dengan jaringan lain yang terhubung ke router transit.
Anda dapat membuat koneksi IPsec di Konsol Cloud Enterprise Network (CEN) atau Konsol VPN Gateway. Anda juga dapat membuat koneksi IPsec cross-account. Gambar berikut menunjukkan alur kerja untuk membuat koneksi VPN, yang bervariasi berdasarkan akun pemilik koneksi IPsec dan tempat koneksi IPsec dibuat.
Saat membuat koneksi IPsec, Anda harus menentukan gateway pelanggan untuk koneksi tersebut. Oleh karena itu, Anda harus membuat gateway pelanggan sebelum membuat koneksi IPsec.
Saat membuat koneksi IPsec di Konsol VPN Gateway, Anda harus mengatur Associate Resource ke Do Not Associate.

Prasyarat
Sebelum membuat koneksi VPN, pilih alur kerja yang sesuai dengan skenario Anda dan lengkapi semua persiapan yang diperlukan. Untuk informasi lebih lanjut, lihat topik berikut:
Mode dual-tunnel
- Penting
Saat membuat instance TransitRouter, Anda harus mengonfigurasi Blok CIDR untuk router transit. Sistem mengalokasikan alamat IP dari Blok CIDR tersebut ke koneksi IPsec. Untuk informasi selengkapnya tentang Blok CIDR router transit, lihat Blok CIDR router transit.
Mode single-tunnel
- Penting
Saat membuat instance TransitRouter, Anda harus mengonfigurasi Blok CIDR untuk router transit. Sistem mengalokasikan alamat IP dari Blok CIDR tersebut ke koneksi IPsec. Untuk informasi selengkapnya mengenai Blok CIDR router transit, lihat Blok CIDR router transit.
Otorisasi koneksi IPsec untuk terhubung ke TransitRouter lintas akun
Buat koneksi VPN
Login ke Konsol Cloud Enterprise Network (CEN).
Pada halaman CEN Instance, klik ID instans CEN yang ingin Anda kelola.
Pada tab , temukan router transit di wilayah target dan klik Create Connection pada kolom Actions.
Pada halaman Connection with Peer Network Instance, konfigurasikan pengaturan untuk koneksi VPN dan klik OK.
Parameter yang diperlukan bervariasi tergantung pada alur kerja yang digunakan untuk membuat koneksi IPsec. Topik ini mencantumkan semua parameter sebagai referensi.
CatatanSaat pertama kali menjalankan operasi ini, sistem secara otomatis membuat peran terkait layanan bernama AliyunServiceRoleForVpn. Peran ini memungkinkan VPN Gateway mengelola resource seperti elastic network interfaces (ENIs) dan grup keamanan untuk membuat koneksi VPN. Jika peran tersebut sudah ada di akun Anda, sistem tidak akan membuatnya lagi. Untuk informasi selengkapnya tentang AliyunServiceRoleForVpn, lihat AliyunServiceRoleForVpn.
Mode dual-tunnel
Pengaturan dasar
Parameter
Description
Instance Type
Pilih VPN Gateway.
Region
Pilih wilayah tempat router transit ditempatkan.
Transit Router
Sistem menampilkan router transit yang tersedia di wilayah saat ini.
Account
Pilih jenis akun tempat koneksi IPsec berada.
Router transit dapat dihubungkan ke koneksi IPsec yang berada di akun yang sama dengan router transit atau akun yang berbeda.
Jika koneksi IPsec dan instans router transit berada di Akun Alibaba Cloud yang sama, pilih Your Account.
Jika koneksi IPsec dan instans router transit berada di Akun Alibaba Cloud yang berbeda, pilih Different Account dan masukkan ID Akun Alibaba Cloud (akun utama) tempat koneksi IPsec berada.
Individual Resource
Pilih jenis koneksi IPsec. Nilai yang valid:
Create Resource: Router transit dihubungkan ke koneksi IPsec baru.
Setelah koneksi VPN dibuat, sistem membuat koneksi IPsec dan mengaitkannya dengan router transit. Anda dapat membuka Konsol VPN Gateway dan klik Edit untuk melihat detail koneksi IPsec baru. Untuk informasi lebih lanjut, lihat Koneksi IPsec (dikaitkan dengan router transit).
Select Resource: Router transit dihubungkan ke koneksi IPsec yang sudah ada.
Connection Name
Masukkan nama untuk koneksi VPN.
Gateway Type
Pilih jenis jaringan koneksi IPsec. Nilai yang valid:
Public (Default): Koneksi IPsec membuat tunnel terenkripsi melalui internet.
Private: Koneksi IPsec membuat tunnel terenkripsi melalui jaringan pribadi.
Routing Mode
Pilih mode perutean koneksi IPsec. Nilai yang valid:
Destination Routing (Default): Meneruskan traffic berdasarkan alamat IP tujuan.
Flow Protection: Merutekan dan meneruskan traffic berdasarkan alamat IP sumber dan tujuan yang tepat.
Jika Anda memilih Flow Protection, Anda harus mengonfigurasi Local CIDR Block dan Peer CIDR Block. Setelah koneksi VPN dikonfigurasi, sistem secara otomatis menambahkan rute berbasis tujuan ke tabel rute koneksi IPsec. Secara default, rute tersebut kemudian diiklankan ke tabel rute router transit yang dikaitkan dengan koneksi IPsec.
Apply Immediately
Menentukan apakah negosiasi IPsec segera dimulai. Nilai yang valid:
Yes: Sistem segera memulai negosiasi IPsec setelah konfigurasi selesai.
No (Default): Sistem memulai negosiasi IPsec hanya ketika traffic data terdeteksi.
Enable BGP
Off (Default): Konfigurasikan route statis secara manual.
On: Koneksi IPsec secara otomatis mempelajari dan mengiklankan rute menggunakan perutean dinamis BGP.
Local ASN
Parameter ini diperlukan jika Anda mengatur Enable BGP ke On.
Masukkan nomor sistem otonom (ASN) untuk sisi Alibaba Cloud koneksi IPsec. Nilai default: 45104. Rentang nilai yang valid adalah 1 to 4294967295.
Anda dapat memasukkan ASN dalam format dua bagian: angka 16-bit, titik (.), dan angka 16-bit lainnya. Setiap bagian adalah nilai desimal.
Contohnya, jika Anda memasukkan 123.456, ASN-nya adalah 123 × 65536 + 456 = 8061384.
CatatanKami menyarankan Anda menggunakan ASN privat untuk membuat koneksi BGP dengan Alibaba Cloud. Untuk informasi tentang rentang ASN privat, lihat dokumentasi terkait.
Pengaturan tunnel
Dalam mode dual-tunnel, Anda harus mengonfigurasi kedua Tunnel 1 dan Tunnel 2 dan memastikan keduanya aktif. Jika Anda hanya mengonfigurasi atau menggunakan satu tunnel, koneksi IPsec-VPN tidak dapat menyediakan redundansi link atau pemulihan bencana tingkat zona.
Parameter
Description
Enable BGP
Aktifkan BGP jika koneksi IPsec perlu menggunakan protokol perutean BGP. Secara default, BGP dinonaktifkan.
Sebelum menggunakan perutean dinamis BGP, pastikan perangkat gateway lokal Anda mendukung BGP. Kami menyarankan Anda memahami mekanisme kerja dan batasan perutean dinamis BGP.
Local ASN
Setelah mengaktifkan BGP, masukkan ASN untuk sisi lokal (sisi Alibaba Cloud) tunnel. Kedua tunnel menggunakan ASN yang sama. Nilai default: 45104. Rentang nilai yang valid adalah 1 hingga 4294967295.
CatatanKami menyarankan Anda menggunakan ASN privat untuk membuat koneksi BGP dengan Alibaba Cloud. Untuk informasi tentang rentang ASN privat, lihat dokumentasi terkait.
Customer Gateways
Pilih gateway pelanggan untuk dikaitkan dengan tunnel.
Pre-Shared Key
Masukkan kunci autentikasi untuk tunnel. Kunci ini digunakan untuk otentikasi identitas antara tunnel dan peer-nya.
Kunci harus terdiri dari 1 hingga 100 karakter dan dapat berisi angka, huruf kapital, huruf kecil, dan karakter khusus berikut:
~`!@#$%^&*()_-+={}[]\|;:',.<>/?. Kunci tidak boleh mengandung spasi.Jika Anda tidak menentukan kunci pra-bersama, sistem akan menghasilkan string acak sepanjang 16 karakter sebagai kunci pra-bersama. Setelah koneksi IPsec dibuat, Anda dapat mengklik Edit untuk tunnel tersebut untuk melihat kunci yang dihasilkan sistem.
PentingKunci pra-bersama tunnel harus cocok dengan kunci peer-nya. Jika tidak, tunnel tidak dapat dibuat.
Encryption Configuration
IKE Configurations (enkripsi Fase 1)
Parameter
Description
Version
Gunakan ikev2. IKEv2 menyederhanakan negosiasi SA dan memberikan dukungan yang lebih baik untuk skenario dengan beberapa Blok CIDR.
Negotiation Mode
main (default): Main mode. Mode ini mengenkripsi informasi identitas selama transmisi, memberikan keamanan yang lebih tinggi selama negosiasi dibandingkan mode agresif.
aggressive: Aggressive mode. Mode ini menawarkan negosiasi yang lebih cepat dan tingkat keberhasilan yang lebih tinggi.
Setelah negosiasi berhasil, kedua mode memberikan tingkat keamanan yang sama untuk transmisi data.
Encryption Algorithm
Algoritma enkripsi yang digunakan dalam negosiasi Fase 1.
Algoritma yang didukung: AES-128, AES-192, AES-256, DES, dan 3DES (tidak disarankan).
Authentication Algorithm
Algoritma autentikasi yang digunakan dalam negosiasi Fase 1.
Algoritma yang didukung: SHA1 (default), MD5, SHA2-256, SHA2-384, dan SHA2-512.
Saat mengonfigurasi VPN pada beberapa perangkat gateway lokal, Anda mungkin perlu menentukan algoritma PRF. Algoritma PRF harus sama dengan algoritma autentikasi IKE.
DH Group (Perfect Forward Secrecy)
Pilih algoritma pertukaran kunci Diffie-Hellman untuk negosiasi Fase 1.
disabled: Tidak menggunakan algoritma pertukaran kunci DH.
Pilih
disableduntuk klien yang tidak mendukung PFS.Jika Anda memilih grup apa pun selain
disabled, fitur Perfect Forward Secrecy (PFS) diaktifkan secara default. Ini mengharuskan kunci diperbarui pada setiap renegosiasi. Oleh karena itu, Anda juga harus mengaktifkan PFS pada perangkat gateway lokal Anda.
group1, group2, group5, group14: Angka grup DH yang lebih besar menunjukkan keamanan yang lebih tinggi tetapi juga mengonsumsi lebih banyak sumber daya.
SA Life Cycle (seconds)
Masa berlaku SA (Security Association) yang dinegosiasikan dalam Fase 1. Nilai default: 86400. Rentang nilai: 0 hingga 86400.
LocalId
Identifier ujung lokal tunnel. Secara default, alamat IP tunnel digunakan sebagai identifier lokal.
Identifier ini hanya digunakan untuk negosiasi dan tidak memiliki fungsi lain. Identifier dapat berupa alamat IP atau Fully Qualified Domain Name (FQDN) dan tidak boleh mengandung spasi. Gunakan alamat IP pribadi sebagai identifier untuk ujung lokal tunnel.
Jika Anda menggunakan FQDN untuk
LocalId, misalnya,example.aliyun.com, ID peer yang dikonfigurasi pada perangkat gateway lokal Anda harus sesuai dengan nilaiLocalId. Atur mode negosiasi keaggressive.RemoteId
Identifier ujung remote tunnel. Secara default, alamat IP di gateway pelanggan yang terkait digunakan sebagai identifier remote.
Identifier ini hanya digunakan untuk negosiasi dan tidak memiliki fungsi lain. Identifier dapat berupa alamat IP atau FQDN dan tidak boleh mengandung spasi. Gunakan alamat IP pribadi sebagai identifier untuk ujung remote tunnel.
Jika Anda menggunakan FQDN untuk
RemoteId, misalnya,example.aliyun.com, ID lokal yang dikonfigurasi pada perangkat gateway lokal Anda harus sesuai dengan nilaiRemoteId. Atur mode negosiasi keaggressive.IPsec Configurations (enkripsi Fase 2)
Konfigurasikan parameter untuk negosiasi Fase 2:
Encryption Algorithm, Authentication Algorithm, DH Group (Perfect Forward Secrecy), dan SA Life Cycle (seconds): Anda dapat merujuk pada deskripsi opsi yang sesuai di bagian IKE Configurations Fase 1.
DPD: Biarkan fitur ini diaktifkan. Fitur ini mendeteksi apakah perangkat peer aktif. Setelah timeout 30 detik, SA dihapus dan renegosiasi dimulai secara otomatis.
NAT Traversal: Biarkan fitur ini diaktifkan. Saat diaktifkan, sistem secara otomatis mendeteksi perangkat NAT selama negosiasi tunnel. Jika perangkat NAT terdeteksi, enkapsulasi UDP 4500 digunakan. Selama transmisi data, validasi port UDP dilewati untuk memastikan paket yang nomor port-nya telah diubah oleh NAT tetap dapat diterima dengan benar.
BGP Configuration
Jika Anda mengaktifkan BGP untuk koneksi IPsec, Anda dapat menentukan Blok CIDR tunnel BGP dan alamat IP tunnel BGP di sisi Alibaba Cloud. Jika BGP belum diaktifkan, Anda dapat mengaktifkannya setelah membuat koneksi IPsec. Untuk informasi selengkapnya, lihat Koneksi IPsec-VPN (dilampirkan ke TR).
Pengaturan lanjutan
Saat membuat koneksi VPN, fitur lanjutan berikut diaktifkan secara default.
Automatic Advertising: Mengaktifkan fitur route synchronization untuk TransitRouter. Fitur ini secara otomatis mempublikasikan rute dari tabel rute TransitRouter ke tabel rute koneksi IPsec-VPN.
Automatically Associate with Default Route Table of Transit Router: Lalu lintas yang masuk ke TR dari koneksi IPsec-VPN diteruskan berdasarkan tabel rute default TR.
Automatically Advertise System Routes to Default Route Table of Transit Router: Mengaktifkan fitur route learning untuk TR. TR secara otomatis mempelajari rute dari tabel rute koneksi IPsec-VPN.
Mode single-tunnel
Koneksi IPsec-VPN telah ditingkatkan ke mode dual-tunnel. Gunakan instruksi berikut untuk mengelola dan memodifikasi koneksi IPsec-VPN yang sudah ada dalam mode single-tunnel.
Pengaturan dasar
Parameter
Description
Instance Type
Pilih VPN Gateway.
Region
Pilih wilayah tempat router transit ditempatkan.
Transit Router
Sistem secara otomatis menampilkan instans router transit yang dibuat di wilayah saat ini.
Account
Pilih jenis akun tempat koneksi IPsec berada.
Router transit dapat dihubungkan ke koneksi IPsec yang berada di akun yang sama dengan router transit atau akun yang berbeda.
Jika koneksi IPsec dan instans router transit berada di Akun Alibaba Cloud yang sama, pilih Current Account.
Jika koneksi IPsec dan instans router transit berada di Akun Alibaba Cloud yang berbeda, pilih Different Account dan masukkan ID Akun Alibaba Cloud (akun utama) tempat koneksi IPsec berada.
Individual Resource
Pilih jenis koneksi IPsec. Nilai yang valid:
Create Resource: Router transit dihubungkan ke koneksi IPsec baru.
Setelah koneksi VPN dibuat, sistem membuat koneksi IPsec dan mengaitkannya dengan router transit. Anda dapat membuka Konsol VPN Gateway dan klik Edit untuk melihat detail koneksi IPsec baru. Untuk informasi lebih lanjut, lihat Modifikasi koneksi IPsec.
Select Resource: Router transit dihubungkan ke koneksi IPsec yang sudah ada.
Connection Name
Masukkan nama untuk koneksi VPN.
Tag
Tambahkan tag ke koneksi VPN.
-
Tag key: tidak boleh berupa string kosong. Kunci dapat terdiri dari maksimal 64 karakter dan tidak boleh dimulai dengan
aliyunatauacs:. Tidak boleh mengandunghttp://atauhttps://. -
Tag value: dapat berupa string kosong. Nilai dapat terdiri dari maksimal 128 karakter dan tidak boleh dimulai dengan
aliyunatauacs:. Tidak boleh mengandunghttp://atauhttps://.
Anda dapat menambahkan beberapa tag ke koneksi VPN. Untuk informasi lebih lanjut, lihat Tag.
Gateway Type
Pilih jenis jaringan koneksi IPsec. Nilai yang valid:
Public (Default): Koneksi IPsec membuat tunnel terenkripsi melalui internet.
Private: Koneksi IPsec membuat tunnel terenkripsi melalui jaringan pribadi.
Zone
Pilih zona.
Sistem membuat resource di zona yang dipilih.
Customer Gateway
Pilih gateway pelanggan untuk koneksi IPsec.
Routing Mode
Pilih mode perutean koneksi IPsec. Nilai yang valid:
Destination Routing (Default): Meneruskan traffic berdasarkan alamat IP tujuan.
Flow Protection: Merutekan dan meneruskan traffic berdasarkan alamat IP sumber dan tujuan yang tepat.
Jika Anda memilih Flow Protection, Anda harus mengonfigurasi Flow Protection dan Peer CIDR Block. Setelah koneksi VPN dikonfigurasi, sistem secara otomatis menambahkan rute berbasis tujuan ke tabel rute koneksi IPsec. Secara default, rute tersebut kemudian diiklankan ke tabel rute router transit yang dikaitkan dengan koneksi IPsec.
Apply Immediately
Menentukan apakah negosiasi IPsec segera dimulai. Nilai yang valid:
Yes: Sistem segera memulai negosiasi IPsec setelah konfigurasi selesai.
No (Default): Sistem memulai negosiasi IPsec hanya ketika traffic data terdeteksi.
Pre-shared Key
Masukkan kunci autentikasi untuk koneksi IPsec. Kunci ini mengotentikasi koneksi antara sisi Alibaba Cloud dan pusat data lokal.
Kunci harus terdiri dari 1 hingga 100 karakter. Jika Anda tidak menentukan kunci pra-bersama, sistem akan menghasilkan string acak sepanjang 16 karakter sebagai kunci pra-bersama.
Setelah membuat koneksi VPN, Anda dapat membuka Konsol VPN Gateway dan klik Edit untuk melihat kunci pra-bersama yang dihasilkan sistem. Untuk informasi lebih lanjut, lihat Modifikasi koneksi IPsec.
PentingKunci pra-bersama untuk koneksi IPsec harus cocok dengan kunci yang digunakan di sisi pusat data lokal. Jika tidak, koneksi IPsec tidak dapat dibuat.
Pengaturan IKE dan IPsec
Parameter
Description
IKE Settings
Edition
Pilih versi protokol IKE. Nilai yang valid:
ikev1
ikev2 (Default)
IKEv1 dan IKEv2 didukung. Dibandingkan dengan IKEv1, IKEv2 menyederhanakan negosiasi SA dan memberikan dukungan yang lebih baik untuk skenario dengan beberapa segmen jaringan. Kami menyarankan Anda memilih IKEv2.
Negotiation Mode
Pilih mode negosiasi. Nilai yang valid:
main (Default): Main mode. Memberikan keamanan yang lebih tinggi selama negosiasi.
aggressive: Aggressive mode. Memberikan negosiasi yang lebih cepat dan tingkat keberhasilan yang lebih tinggi.
Setelah negosiasi berhasil, kedua mode memberikan tingkat keamanan yang sama untuk transmisi data.
Encryption Algorithm
Pilih algoritma enkripsi untuk negosiasi Fase 1.
Algoritma yang didukung: AES (aes128, default), AES192, AES256, DES, dan 3DES.
Authentication Algorithm
Pilih algoritma autentikasi untuk negosiasi Fase 1.
Algoritma yang didukung: SHA1 (default), MD5, SHA256, SHA384, dan SHA512.
DH Group
Pilih algoritma pertukaran kunci Diffie-Hellman (DH) untuk negosiasi Fase 1. Nilai yang valid:
group1: DH group 1.
group2 (Default): DH group 2.
group5: DH group 5.
group14: DH group 14.
SA Lifetime (Seconds)
Tentukan masa berlaku Security Association (SA) untuk negosiasi Fase 1, dalam detik. Default: 86400. Rentang nilai yang valid: 0 to 86400.
LocalId
Masukkan identifier untuk sisi Alibaba Cloud koneksi IPsec, digunakan untuk negosiasi Fase 1. Nilai default adalah alamat IP gateway koneksi IPsec.
LocalId mendukung format FQDN. Jika Anda menggunakan format FQDN, kami menyarankan Anda mengatur mode negosiasi ke aggressive.
RemoteId
Masukkan identifier untuk sisi pusat data lokal, digunakan untuk negosiasi Fase 1. Nilai default adalah alamat IP gateway pelanggan.
RemoteId mendukung format FQDN. Jika Anda menggunakan format FQDN, kami menyarankan Anda mengatur mode negosiasi ke aggressive.
IPsec Settings
Encryption Algorithm
Pilih algoritma enkripsi untuk negosiasi Fase 2.
Algoritma yang didukung: AES (aes128, default), AES192, AES256, DES, dan 3DES.
Authentication Algorithm
Pilih algoritma autentikasi untuk negosiasi Fase 2.
Algoritma yang didukung: SHA1 (default), MD5, SHA256, SHA384, dan SHA512.
DH Group
Pilih algoritma pertukaran kunci DH untuk negosiasi Fase 2. Nilai yang valid:
disabled: Tidak menggunakan algoritma pertukaran kunci DH.
Pilih disabled untuk klien yang tidak mendukung Perfect Forward Secrecy (PFS).
Jika Anda memilih grup apa pun selain disabled, PFS diaktifkan secara default. Ini mengharuskan kunci diperbarui pada setiap renegosiasi. Oleh karena itu, Anda juga harus mengaktifkan PFS pada klien yang sesuai.
group1: DH group 1.
group2 (Default): DH group 2.
group5: DH group 5.
group14: DH group 14.
SA Lifetime (Seconds)
Tentukan masa berlaku SA untuk negosiasi Fase 2, dalam detik. Default: 86400. Rentang nilai yang valid: 0 to 86400.
DPD
Apakah akan mengaktifkan Dead Peer Detection (DPD). DPD diaktifkan secara default.
Saat diaktifkan, koneksi IPsec-VPN mengirim paket DPD untuk memeriksa aktivitas peer. Jika peer gagal merespons dalam waktu 30 detik, peer tersebut dianggap terputus. ISAKMP SA dan IPsec SA yang sesuai dihapus, dan tunnel keamanan dihapus. Koneksi IPsec-VPN kemudian secara otomatis memulai kembali negosiasi tunnel.
NAT Traversal
Menentukan apakah akan mengaktifkan Penelusuran Translasi Alamat Jaringan (NAT).
Setelah Anda mengaktifkan Penelusuran NAT, proses negosiasi IKE melewati verifikasi port UDP dan membantu menemukan perangkat gateway NAT di tunnel komunikasi terenkripsi. Fitur ini diaktifkan secara default.
Pengaturan BGP
Mengaktifkan Protokol Gateway Perbatasan (BGP) memungkinkan koneksi IPsec secara otomatis mempelajari dan mengiklankan rute melalui perutean dinamis BGP. Hal ini membantu mengurangi biaya pemeliharaan jaringan dan risiko kesalahan konfigurasi jaringan.
BGP dinonaktifkan secara default. Sebelum mengonfigurasi pengaturan BGP, Anda harus mengaktifkan BGP.
Parameter
Description
Tunnel CIDR Block
Masukkan Blok CIDR untuk tunnel IPsec.
Blok CIDR tunnel harus berupa subnet /30 dalam 169.254.0.0/16. Tidak boleh 169.254.0.0/30, 169.254.1.0/30, 169.254.2.0/30, 169.254.3.0/30, 169.254.4.0/30, 169.254.5.0/30, 169.254.6.0/30, atau 169.254.169.252/30.
Local BGP IP
Masukkan alamat IP BGP untuk sisi Alibaba Cloud koneksi IPsec.
Alamat ini harus merupakan alamat IP dalam Blok CIDR tunnel.
Local ASN
Masukkan ASN untuk sisi Alibaba Cloud koneksi IPsec. Nilai default: 45104. Rentang nilai yang valid adalah 1 to 4294967295.
Anda dapat memasukkan ASN dalam format dua bagian: angka 16-bit, titik (.), dan angka 16-bit lainnya. Setiap bagian adalah nilai desimal.
Contohnya, jika Anda memasukkan 123.456, ASN-nya adalah 123 × 65536 + 456 = 8061384.
CatatanKami menyarankan Anda menggunakan ASN privat untuk membuat koneksi BGP dengan Alibaba Cloud. Untuk informasi tentang rentang ASN privat, lihat dokumentasi terkait.
Pemeriksaan kesehatan
Saat diaktifkan, pemeriksaan kesehatan secara otomatis mendeteksi konektivitas jaringan antara pusat data lokal dan sisi Alibaba Cloud melalui koneksi IPsec. Rute secara otomatis dialihkan berdasarkan hasil pemeriksaan kesehatan untuk meningkatkan ketersediaan jaringan.
Pemeriksaan kesehatan dinonaktifkan secara default. Sebelum menambahkan konfigurasi pemeriksaan kesehatan, Anda harus mengaktifkan pemeriksaan kesehatan.
PentingSetelah mengonfigurasi pemeriksaan kesehatan, tambahkan rute di sisi pusat data lokal dengan Blok CIDR tujuan diatur ke Source IP Address (dengan mask /32) dan lompatan berikutnya mengarah ke koneksi IPsec. Hal ini memastikan pemeriksaan kesehatan berfungsi sebagaimana mestinya.
Parameter
Description
Destination IP
Masukkan alamat IP pusat data lokal yang dapat diakses oleh sisi Alibaba Cloud melalui koneksi IPsec.
Source IP
Masukkan alamat IP di sisi Alibaba Cloud yang dapat diakses oleh pusat data lokal melalui koneksi IPsec.
Retry Interval
Pilih interval percobaan ulang pemeriksaan kesehatan. Satuan: detik. Nilai default: 3.
Retries
Pilih jumlah percobaan ulang pemeriksaan kesehatan. Nilai default: 3.
Switch Route
Pilih apakah sistem boleh menarik rute yang dipublikasikan jika pemeriksaan kesehatan gagal. Nilai default adalah Yes, yang berarti sistem menarik rute yang dipublikasikan jika pemeriksaan kesehatan gagal.
Jika Anda tidak memilih Yes, sistem tidak akan menarik rute yang dipublikasikan jika pemeriksaan kesehatan gagal.
Pengaturan lanjutan
Saat membuat koneksi VPN, fitur lanjutan berikut diaktifkan secara default.
Parameter
Description
Automatically Advertise Routes to VPN
Jika Anda mengaktifkan fitur ini, koneksi VPN secara otomatis menyebarkan rute dari tabel rute router transit ke tabel rute BGP koneksi IPsec.
CatatanFitur ini hanya berlaku jika perutean dinamis BGP diaktifkan antara koneksi IPsec dan pusat data lokal.
Anda dapat menggunakan fitur Automatic Route Advertisement untuk menonaktifkan fungsionalitas ini. Untuk informasi lebih lanjut, lihat Nonaktifkan sinkronisasi rute.
Associate with Default Route Table of Transit Router
Jika Anda mengaktifkan fitur ini, koneksi VPN dikaitkan dengan tabel rute default router transit. Router transit kemudian meneruskan lalu lintas dari koneksi IPsec dengan mencari di tabel rute default.
Propagate system routes to transit router route table
Jika Anda mengaktifkan fitur ini, koneksi VPN menyebarkan rute dari tabel rute berbasis tujuan dan tabel rute BGP koneksi IPsec ke tabel rute default router transit.
Anda dapat menonaktifkan fitur lanjutan ini, lalu menyesuaikan konektivitas koneksi VPN menggunakan fitur perutean TransitRouter, seperti asosiasi tabel rute dan pembelajaran rute. Untuk informasi selengkapnya, lihat Manajemen rute.
Ubah tabel rute yang dikaitkan dengan koneksi VPN
Setelah membuat koneksi VPN, Anda dapat mengubah tabel rute router transit yang dikaitkan dengannya.
Jika sinkronisasi rute diaktifkan untuk koneksi VPN, sistem akan menarik rute yang sebelumnya disinkronkan dari koneksi IPsec setelah Anda mengubah tabel rute router transit yang terkait. Selanjutnya, sistem menyinkronkan rute dari tabel rute yang diperbarui ke tabel rute BGP koneksi IPsec. Untuk informasi selengkapnya tentang sinkronisasi rute, lihat Sinkronisasi rute.
Login ke Konsol CEN.
Pada halaman CEN Instance, klik ID instans CEN yang ingin Anda kelola.
Pada tab , klik ID instans router transit di wilayah target.
Pada tab Intra-Region Connections, temukan koneksi VPN dan klik ID-nya.
Di panel Attachment Details, buka bagian Basic Information dan klik Modify di samping Associated Route Table.
Di kotak dialog Modify Route Table, pilih tabel rute router transit tujuan dan klik OK.
Buat koneksi VPN melalui API
Anda dapat menggunakan alat seperti Alibaba Cloud SDK (disarankan), Alibaba Cloud CLI, Terraform, dan Resource Orchestration Service (ROS) untuk memanggil operasi API guna membuat dan mengubah koneksi VPN. Untuk informasi selengkapnya, lihat operasi API berikut:
CreateTransitRouterVpnAttachment: membuat koneksi VPN.
UpdateTransitRouterVpnAttachmentAttribute: memodifikasi koneksi VPN.
ReplaceTransitRouterRouteTableAssociation: Mengganti tabel rute TransitRouter yang dikaitkan dengan koneksi instans jaringan.