All Products
Search
Document Center

Cloud Enterprise Network:Buat koneksi VPN

Last Updated:Jun 04, 2026

Koneksi ini menghubungkan pusat data lokal Anda langsung ke router transit. Setelah terhubung, pusat data lokal Anda dapat berkomunikasi dengan jaringan lain yang terhubung ke router transit, seperti VPC di wilayah yang sama atau berbeda, atau pusat data lokal lainnya.

Penting

Mulai 26 November 2024, koneksi IPsec-VPN yang baru dibuat menggunakan mode dual-tunnel secara default. Jika salah satu tunnel gagal, lalu lintas secara otomatis dialihkan melalui tunnel lainnya untuk memastikan ketersediaan tinggi. Untuk informasi selengkapnya tentang mode dual-tunnel, lihat dokumentasi VPN Gateway: (Deprecated) Associate with a transit router.

Batasan

  • Hanya router transit edisi perusahaan yang mendukung koneksi VPN.

  • Saat ini, hanya koneksi IPsec di wilayah tertentu yang dapat terhubung ke instans TransitRouter. Untuk informasi selengkapnya mengenai wilayah yang didukung, lihat Wilayah dan zona yang didukung.

  • Setelah Anda membuat koneksi VPN, sistem secara otomatis menambahkan kebijakan perutean ke semua tabel rute router transit dalam arah Export from Regional Gateway. Kebijakan ini memiliki Policy Priority sebesar 5000 dan Policy Action berupa Deny. Kebijakan rute ini menolak komunikasi antar koneksi VPN, koneksi Virtual Border Router (VBR), dan koneksi Cloud Connect Network (CCN).

  • Jika pusat data lokal Anda sudah terhubung ke router transit melalui koneksi IPsec-VPN dan VPC, load balancing tidak didukung jika Anda juga menambahkan koneksi VPN langsung antara pusat data yang sama dan router transit.

  • Tabel berikut menjelaskan kuota sumber daya.

    Resource

    Kuota default

    Minta peningkatan kuota

    Jumlah koneksi VPN per router transit

    50

    Anda dapat meminta peningkatan kuota dengan salah satu metode berikut:

    Jumlah koneksi VPN yang mendukung perutean Equal-Cost Multipath (ECMP) per router transit

    16

    Tidak dapat diubah

    Jumlah router transit yang dapat dihubungkan ke koneksi IPsec

    1

    Tidak dapat diubah

Penagihan

Penggunaan koneksi VPN dapat dikenakan biaya untuk item yang dapat ditagih berikut: biaya koneksi router transit, biaya penerusan data router transit, biaya instans koneksi IPsec, dan biaya transfer data. Item yang dapat ditagih bervariasi berdasarkan jenis jaringan koneksi IPsec. Tabel berikut menjelaskan aturan penagihan untuk koneksi VPN.

Aturan penagihan untuk koneksi VPN melalui internet

VPN连接计费示例图-公网

No.

Billable item

Description

Dokumentasi terkait

Transit router connection fee

Biaya untuk menghubungkan router transit ke koneksi IPsec.

  • Untuk informasi tentang aturan penagihan dan harga biaya koneksi router transit serta biaya penerusan data, lihat Penagihan router transit.

  • Untuk informasi tentang aturan penagihan dan harga biaya instans koneksi IPsec serta biaya transfer data, lihat Penagihan VPN Gateway.

Transit router data forwarding fee

Biaya untuk traffic yang dikirim oleh koneksi IPsec ke router transit.

IPsec connection instance fee

Biaya untuk instans koneksi IPsec.

Data transfer fee

Biaya yang dihasilkan ketika koneksi IPsec mengirim traffic ke pusat data lokal.

Aturan penagihan untuk koneksi VPN melalui jaringan pribadi

VPN连接计费示例图-私网

No.

Billable item

Description

Dokumentasi terkait

Transit router connection fee

Biaya yang dihasilkan ketika router transit dihubungkan ke instans VBR dan koneksi IPsec.

  • Untuk informasi tentang aturan penagihan dan harga biaya koneksi router transit serta biaya penerusan data, lihat Penagihan router transit.

  • Untuk informasi tentang aturan penagihan dan harga biaya instans koneksi IPsec, lihat Penagihan VPN Gateway.

  • Untuk informasi tentang aturan penagihan biaya transfer data outbound, lihat Penagihan Express Connect.

Transit router data forwarding fee

Biaya yang dihasilkan ketika instans VBR mengirim traffic ke router transit.

IPsec connection instance fee

Biaya instans yang dihasilkan setelah Anda membuat koneksi IPsec.

Outbound data transfer fee

Biaya yang dihasilkan ketika instans VBR mengirim traffic ke pusat data lokal.

Alur kerja

Membuat koneksi VPN melibatkan pengaitan router transit dengan koneksi IPsec. Setelah dikaitkan, pusat data lokal dapat terhubung ke router transit melalui koneksi IPsec dan berkomunikasi dengan jaringan lain yang terhubung ke router transit.

Anda dapat membuat koneksi IPsec di Konsol Cloud Enterprise Network (CEN) atau Konsol VPN Gateway. Anda juga dapat membuat koneksi IPsec cross-account. Gambar berikut menunjukkan alur kerja untuk membuat koneksi VPN, yang bervariasi berdasarkan akun pemilik koneksi IPsec dan tempat koneksi IPsec dibuat.

Catatan
  • Saat membuat koneksi IPsec, Anda harus menentukan gateway pelanggan untuk koneksi tersebut. Oleh karena itu, Anda harus membuat gateway pelanggan sebelum membuat koneksi IPsec.

  • Saat membuat koneksi IPsec di Konsol VPN Gateway, Anda harus mengatur Associate Resource ke Do Not Associate.

创建VPN连接-操作流程

Prasyarat

Sebelum membuat koneksi VPN, pilih alur kerja yang sesuai dengan skenario Anda dan lengkapi semua persiapan yang diperlukan. Untuk informasi lebih lanjut, lihat topik berikut:

Mode dual-tunnel

Mode single-tunnel

Buat koneksi VPN

  1. Login ke Konsol Cloud Enterprise Network (CEN).

  2. Pada halaman CEN Instance, klik ID instans CEN yang ingin Anda kelola.

  3. Pada tab Basic Information > Transit Router, temukan router transit di wilayah target dan klik Create Connection pada kolom Actions.

  4. Pada halaman Connection with Peer Network Instance, konfigurasikan pengaturan untuk koneksi VPN dan klik OK.

    Parameter yang diperlukan bervariasi tergantung pada alur kerja yang digunakan untuk membuat koneksi IPsec. Topik ini mencantumkan semua parameter sebagai referensi.

    Catatan
    • Saat pertama kali menjalankan operasi ini, sistem secara otomatis membuat peran terkait layanan bernama AliyunServiceRoleForVpn. Peran ini memungkinkan VPN Gateway mengelola resource seperti elastic network interfaces (ENIs) dan grup keamanan untuk membuat koneksi VPN. Jika peran tersebut sudah ada di akun Anda, sistem tidak akan membuatnya lagi. Untuk informasi selengkapnya tentang AliyunServiceRoleForVpn, lihat AliyunServiceRoleForVpn.

    Mode dual-tunnel

    Pengaturan dasar

    Parameter

    Description

    Instance Type

    Pilih VPN Gateway.

    Region

    Pilih wilayah tempat router transit ditempatkan.

    Transit Router

    Sistem menampilkan router transit yang tersedia di wilayah saat ini.

    Account

    Pilih jenis akun tempat koneksi IPsec berada.

    Router transit dapat dihubungkan ke koneksi IPsec yang berada di akun yang sama dengan router transit atau akun yang berbeda.

    • Jika koneksi IPsec dan instans router transit berada di Akun Alibaba Cloud yang sama, pilih Your Account.

    • Jika koneksi IPsec dan instans router transit berada di Akun Alibaba Cloud yang berbeda, pilih Different Account dan masukkan ID Akun Alibaba Cloud (akun utama) tempat koneksi IPsec berada.

    Individual Resource

    Pilih jenis koneksi IPsec. Nilai yang valid:

    • Create Resource: Router transit dihubungkan ke koneksi IPsec baru.

      Setelah koneksi VPN dibuat, sistem membuat koneksi IPsec dan mengaitkannya dengan router transit. Anda dapat membuka Konsol VPN Gateway dan klik Edit untuk melihat detail koneksi IPsec baru. Untuk informasi lebih lanjut, lihat Koneksi IPsec (dikaitkan dengan router transit).

    • Select Resource: Router transit dihubungkan ke koneksi IPsec yang sudah ada.

    Connection Name

    Masukkan nama untuk koneksi VPN.

    Gateway Type

    Pilih jenis jaringan koneksi IPsec. Nilai yang valid:

    • Public (Default): Koneksi IPsec membuat tunnel terenkripsi melalui internet.

    • Private: Koneksi IPsec membuat tunnel terenkripsi melalui jaringan pribadi.

    Routing Mode

    Pilih mode perutean koneksi IPsec. Nilai yang valid:

    • Destination Routing (Default): Meneruskan traffic berdasarkan alamat IP tujuan.

    • Flow Protection: Merutekan dan meneruskan traffic berdasarkan alamat IP sumber dan tujuan yang tepat.

      Jika Anda memilih Flow Protection, Anda harus mengonfigurasi Local CIDR Block dan Peer CIDR Block. Setelah koneksi VPN dikonfigurasi, sistem secara otomatis menambahkan rute berbasis tujuan ke tabel rute koneksi IPsec. Secara default, rute tersebut kemudian diiklankan ke tabel rute router transit yang dikaitkan dengan koneksi IPsec.

    Apply Immediately

    Menentukan apakah negosiasi IPsec segera dimulai. Nilai yang valid:

    • Yes: Sistem segera memulai negosiasi IPsec setelah konfigurasi selesai.

    • No (Default): Sistem memulai negosiasi IPsec hanya ketika traffic data terdeteksi.

    Enable BGP

    • Off (Default): Konfigurasikan route statis secara manual.

    • On: Koneksi IPsec secara otomatis mempelajari dan mengiklankan rute menggunakan perutean dinamis BGP.

    Local ASN

    Parameter ini diperlukan jika Anda mengatur Enable BGP ke On.

    Masukkan nomor sistem otonom (ASN) untuk sisi Alibaba Cloud koneksi IPsec. Nilai default: 45104. Rentang nilai yang valid adalah 1 to 4294967295.

    Anda dapat memasukkan ASN dalam format dua bagian: angka 16-bit, titik (.), dan angka 16-bit lainnya. Setiap bagian adalah nilai desimal.

    Contohnya, jika Anda memasukkan 123.456, ASN-nya adalah 123 × 65536 + 456 = 8061384.

    Catatan

    Kami menyarankan Anda menggunakan ASN privat untuk membuat koneksi BGP dengan Alibaba Cloud. Untuk informasi tentang rentang ASN privat, lihat dokumentasi terkait.

    Pengaturan tunnel

    Dalam mode dual-tunnel, Anda harus mengonfigurasi kedua Tunnel 1 dan Tunnel 2 dan memastikan keduanya aktif. Jika Anda hanya mengonfigurasi atau menggunakan satu tunnel, koneksi IPsec-VPN tidak dapat menyediakan redundansi link atau pemulihan bencana tingkat zona.

    Parameter

    Description

    Enable BGP

    Aktifkan BGP jika koneksi IPsec perlu menggunakan protokol perutean BGP. Secara default, BGP dinonaktifkan.

    Sebelum menggunakan perutean dinamis BGP, pastikan perangkat gateway lokal Anda mendukung BGP. Kami menyarankan Anda memahami mekanisme kerja dan batasan perutean dinamis BGP.

    Local ASN

    Setelah mengaktifkan BGP, masukkan ASN untuk sisi lokal (sisi Alibaba Cloud) tunnel. Kedua tunnel menggunakan ASN yang sama. Nilai default: 45104. Rentang nilai yang valid adalah 1 hingga 4294967295.

    Catatan

    Kami menyarankan Anda menggunakan ASN privat untuk membuat koneksi BGP dengan Alibaba Cloud. Untuk informasi tentang rentang ASN privat, lihat dokumentasi terkait.

    Customer Gateways

    Pilih gateway pelanggan untuk dikaitkan dengan tunnel.

    Pre-Shared Key

    Masukkan kunci autentikasi untuk tunnel. Kunci ini digunakan untuk otentikasi identitas antara tunnel dan peer-nya.

    • Kunci harus terdiri dari 1 hingga 100 karakter dan dapat berisi angka, huruf kapital, huruf kecil, dan karakter khusus berikut: ~`!@#$%^&*()_-+={}[]\|;:',.<>/?. Kunci tidak boleh mengandung spasi.

    • Jika Anda tidak menentukan kunci pra-bersama, sistem akan menghasilkan string acak sepanjang 16 karakter sebagai kunci pra-bersama. Setelah koneksi IPsec dibuat, Anda dapat mengklik Edit untuk tunnel tersebut untuk melihat kunci yang dihasilkan sistem.

    Penting

    Kunci pra-bersama tunnel harus cocok dengan kunci peer-nya. Jika tidak, tunnel tidak dapat dibuat.

    Encryption Configuration

    • IKE Configurations (enkripsi Fase 1)

      Parameter

      Description

      Version

      Gunakan ikev2. IKEv2 menyederhanakan negosiasi SA dan memberikan dukungan yang lebih baik untuk skenario dengan beberapa Blok CIDR.

      Negotiation Mode

      main (default): Main mode. Mode ini mengenkripsi informasi identitas selama transmisi, memberikan keamanan yang lebih tinggi selama negosiasi dibandingkan mode agresif.

      aggressive: Aggressive mode. Mode ini menawarkan negosiasi yang lebih cepat dan tingkat keberhasilan yang lebih tinggi.

      Setelah negosiasi berhasil, kedua mode memberikan tingkat keamanan yang sama untuk transmisi data.

      Encryption Algorithm

      Algoritma enkripsi yang digunakan dalam negosiasi Fase 1.

      Algoritma yang didukung: AES-128, AES-192, AES-256, DES, dan 3DES (tidak disarankan).

      Authentication Algorithm

      Algoritma autentikasi yang digunakan dalam negosiasi Fase 1.

      Algoritma yang didukung: SHA1 (default), MD5, SHA2-256, SHA2-384, dan SHA2-512.

      Saat mengonfigurasi VPN pada beberapa perangkat gateway lokal, Anda mungkin perlu menentukan algoritma PRF. Algoritma PRF harus sama dengan algoritma autentikasi IKE.

      DH Group (Perfect Forward Secrecy)

      Pilih algoritma pertukaran kunci Diffie-Hellman untuk negosiasi Fase 1.

      • disabled: Tidak menggunakan algoritma pertukaran kunci DH.

        • Pilih disabled untuk klien yang tidak mendukung PFS.

        • Jika Anda memilih grup apa pun selain disabled, fitur Perfect Forward Secrecy (PFS) diaktifkan secara default. Ini mengharuskan kunci diperbarui pada setiap renegosiasi. Oleh karena itu, Anda juga harus mengaktifkan PFS pada perangkat gateway lokal Anda.

      • group1, group2, group5, group14: Angka grup DH yang lebih besar menunjukkan keamanan yang lebih tinggi tetapi juga mengonsumsi lebih banyak sumber daya.

      SA Life Cycle (seconds)

      Masa berlaku SA (Security Association) yang dinegosiasikan dalam Fase 1. Nilai default: 86400. Rentang nilai: 0 hingga 86400.

      LocalId

      Identifier ujung lokal tunnel. Secara default, alamat IP tunnel digunakan sebagai identifier lokal.

      Identifier ini hanya digunakan untuk negosiasi dan tidak memiliki fungsi lain. Identifier dapat berupa alamat IP atau Fully Qualified Domain Name (FQDN) dan tidak boleh mengandung spasi. Gunakan alamat IP pribadi sebagai identifier untuk ujung lokal tunnel.

      Jika Anda menggunakan FQDN untuk LocalId, misalnya, example.aliyun.com, ID peer yang dikonfigurasi pada perangkat gateway lokal Anda harus sesuai dengan nilai LocalId. Atur mode negosiasi ke aggressive.

      RemoteId

      Identifier ujung remote tunnel. Secara default, alamat IP di gateway pelanggan yang terkait digunakan sebagai identifier remote.

      Identifier ini hanya digunakan untuk negosiasi dan tidak memiliki fungsi lain. Identifier dapat berupa alamat IP atau FQDN dan tidak boleh mengandung spasi. Gunakan alamat IP pribadi sebagai identifier untuk ujung remote tunnel.

      Jika Anda menggunakan FQDN untuk RemoteId, misalnya, example.aliyun.com, ID lokal yang dikonfigurasi pada perangkat gateway lokal Anda harus sesuai dengan nilai RemoteId. Atur mode negosiasi ke aggressive.

    • IPsec Configurations (enkripsi Fase 2)

      Konfigurasikan parameter untuk negosiasi Fase 2:

      • Encryption Algorithm, Authentication Algorithm, DH Group (Perfect Forward Secrecy), dan SA Life Cycle (seconds): Anda dapat merujuk pada deskripsi opsi yang sesuai di bagian IKE Configurations Fase 1.

      • DPD: Biarkan fitur ini diaktifkan. Fitur ini mendeteksi apakah perangkat peer aktif. Setelah timeout 30 detik, SA dihapus dan renegosiasi dimulai secara otomatis.

      • NAT Traversal: Biarkan fitur ini diaktifkan. Saat diaktifkan, sistem secara otomatis mendeteksi perangkat NAT selama negosiasi tunnel. Jika perangkat NAT terdeteksi, enkapsulasi UDP 4500 digunakan. Selama transmisi data, validasi port UDP dilewati untuk memastikan paket yang nomor port-nya telah diubah oleh NAT tetap dapat diterima dengan benar.

    BGP Configuration

    Jika Anda mengaktifkan BGP untuk koneksi IPsec, Anda dapat menentukan Blok CIDR tunnel BGP dan alamat IP tunnel BGP di sisi Alibaba Cloud. Jika BGP belum diaktifkan, Anda dapat mengaktifkannya setelah membuat koneksi IPsec. Untuk informasi selengkapnya, lihat Koneksi IPsec-VPN (dilampirkan ke TR).

    Pengaturan lanjutan

    Saat membuat koneksi VPN, fitur lanjutan berikut diaktifkan secara default.

    • Automatic Advertising: Mengaktifkan fitur route synchronization untuk TransitRouter. Fitur ini secara otomatis mempublikasikan rute dari tabel rute TransitRouter ke tabel rute koneksi IPsec-VPN.

    • Automatically Associate with Default Route Table of Transit Router: Lalu lintas yang masuk ke TR dari koneksi IPsec-VPN diteruskan berdasarkan tabel rute default TR.

    • Automatically Advertise System Routes to Default Route Table of Transit Router: Mengaktifkan fitur route learning untuk TR. TR secara otomatis mempelajari rute dari tabel rute koneksi IPsec-VPN.

    Mode single-tunnel

    Koneksi IPsec-VPN telah ditingkatkan ke mode dual-tunnel. Gunakan instruksi berikut untuk mengelola dan memodifikasi koneksi IPsec-VPN yang sudah ada dalam mode single-tunnel.

    Pengaturan dasar

    Parameter

    Description

    Instance Type

    Pilih VPN Gateway.

    Region

    Pilih wilayah tempat router transit ditempatkan.

    Transit Router

    Sistem secara otomatis menampilkan instans router transit yang dibuat di wilayah saat ini.

    Account

    Pilih jenis akun tempat koneksi IPsec berada.

    Router transit dapat dihubungkan ke koneksi IPsec yang berada di akun yang sama dengan router transit atau akun yang berbeda.

    • Jika koneksi IPsec dan instans router transit berada di Akun Alibaba Cloud yang sama, pilih Current Account.

    • Jika koneksi IPsec dan instans router transit berada di Akun Alibaba Cloud yang berbeda, pilih Different Account dan masukkan ID Akun Alibaba Cloud (akun utama) tempat koneksi IPsec berada.

    Individual Resource

    Pilih jenis koneksi IPsec. Nilai yang valid:

    • Create Resource: Router transit dihubungkan ke koneksi IPsec baru.

      Setelah koneksi VPN dibuat, sistem membuat koneksi IPsec dan mengaitkannya dengan router transit. Anda dapat membuka Konsol VPN Gateway dan klik Edit untuk melihat detail koneksi IPsec baru. Untuk informasi lebih lanjut, lihat Modifikasi koneksi IPsec.

    • Select Resource: Router transit dihubungkan ke koneksi IPsec yang sudah ada.

    Connection Name

    Masukkan nama untuk koneksi VPN.

    Tag

    Tambahkan tag ke koneksi VPN.

    • Tag key: tidak boleh berupa string kosong. Kunci dapat terdiri dari maksimal 64 karakter dan tidak boleh dimulai dengan aliyun atau acs:. Tidak boleh mengandung http:// atau https://.

    • Tag value: dapat berupa string kosong. Nilai dapat terdiri dari maksimal 128 karakter dan tidak boleh dimulai dengan aliyun atau acs:. Tidak boleh mengandung http:// atau https://.

    Anda dapat menambahkan beberapa tag ke koneksi VPN. Untuk informasi lebih lanjut, lihat Tag.

    Gateway Type

    Pilih jenis jaringan koneksi IPsec. Nilai yang valid:

    • Public (Default): Koneksi IPsec membuat tunnel terenkripsi melalui internet.

    • Private: Koneksi IPsec membuat tunnel terenkripsi melalui jaringan pribadi.

    Zone

    Pilih zona.

    Sistem membuat resource di zona yang dipilih.

    Customer Gateway

    Pilih gateway pelanggan untuk koneksi IPsec.

    Routing Mode

    Pilih mode perutean koneksi IPsec. Nilai yang valid:

    • Destination Routing (Default): Meneruskan traffic berdasarkan alamat IP tujuan.

    • Flow Protection: Merutekan dan meneruskan traffic berdasarkan alamat IP sumber dan tujuan yang tepat.

      Jika Anda memilih Flow Protection, Anda harus mengonfigurasi Flow Protection dan Peer CIDR Block. Setelah koneksi VPN dikonfigurasi, sistem secara otomatis menambahkan rute berbasis tujuan ke tabel rute koneksi IPsec. Secara default, rute tersebut kemudian diiklankan ke tabel rute router transit yang dikaitkan dengan koneksi IPsec.

    Apply Immediately

    Menentukan apakah negosiasi IPsec segera dimulai. Nilai yang valid:

    • Yes: Sistem segera memulai negosiasi IPsec setelah konfigurasi selesai.

    • No (Default): Sistem memulai negosiasi IPsec hanya ketika traffic data terdeteksi.

    Pre-shared Key

    Masukkan kunci autentikasi untuk koneksi IPsec. Kunci ini mengotentikasi koneksi antara sisi Alibaba Cloud dan pusat data lokal.

    Kunci harus terdiri dari 1 hingga 100 karakter. Jika Anda tidak menentukan kunci pra-bersama, sistem akan menghasilkan string acak sepanjang 16 karakter sebagai kunci pra-bersama.

    Setelah membuat koneksi VPN, Anda dapat membuka Konsol VPN Gateway dan klik Edit untuk melihat kunci pra-bersama yang dihasilkan sistem. Untuk informasi lebih lanjut, lihat Modifikasi koneksi IPsec.

    Penting

    Kunci pra-bersama untuk koneksi IPsec harus cocok dengan kunci yang digunakan di sisi pusat data lokal. Jika tidak, koneksi IPsec tidak dapat dibuat.

    Pengaturan IKE dan IPsec

    Parameter

    Description

    IKE Settings

    Edition

    Pilih versi protokol IKE. Nilai yang valid:

    • ikev1

    • ikev2 (Default)

    IKEv1 dan IKEv2 didukung. Dibandingkan dengan IKEv1, IKEv2 menyederhanakan negosiasi SA dan memberikan dukungan yang lebih baik untuk skenario dengan beberapa segmen jaringan. Kami menyarankan Anda memilih IKEv2.

    Negotiation Mode

    Pilih mode negosiasi. Nilai yang valid:

    • main (Default): Main mode. Memberikan keamanan yang lebih tinggi selama negosiasi.

    • aggressive: Aggressive mode. Memberikan negosiasi yang lebih cepat dan tingkat keberhasilan yang lebih tinggi.

    Setelah negosiasi berhasil, kedua mode memberikan tingkat keamanan yang sama untuk transmisi data.

    Encryption Algorithm

    Pilih algoritma enkripsi untuk negosiasi Fase 1.

    Algoritma yang didukung: AES (aes128, default), AES192, AES256, DES, dan 3DES.

    Authentication Algorithm

    Pilih algoritma autentikasi untuk negosiasi Fase 1.

    Algoritma yang didukung: SHA1 (default), MD5, SHA256, SHA384, dan SHA512.

    DH Group

    Pilih algoritma pertukaran kunci Diffie-Hellman (DH) untuk negosiasi Fase 1. Nilai yang valid:

    • group1: DH group 1.

    • group2 (Default): DH group 2.

    • group5: DH group 5.

    • group14: DH group 14.

    SA Lifetime (Seconds)

    Tentukan masa berlaku Security Association (SA) untuk negosiasi Fase 1, dalam detik. Default: 86400. Rentang nilai yang valid: 0 to 86400.

    LocalId

    Masukkan identifier untuk sisi Alibaba Cloud koneksi IPsec, digunakan untuk negosiasi Fase 1. Nilai default adalah alamat IP gateway koneksi IPsec.

    LocalId mendukung format FQDN. Jika Anda menggunakan format FQDN, kami menyarankan Anda mengatur mode negosiasi ke aggressive.

    RemoteId

    Masukkan identifier untuk sisi pusat data lokal, digunakan untuk negosiasi Fase 1. Nilai default adalah alamat IP gateway pelanggan.

    RemoteId mendukung format FQDN. Jika Anda menggunakan format FQDN, kami menyarankan Anda mengatur mode negosiasi ke aggressive.

    IPsec Settings

    Encryption Algorithm

    Pilih algoritma enkripsi untuk negosiasi Fase 2.

    Algoritma yang didukung: AES (aes128, default), AES192, AES256, DES, dan 3DES.

    Authentication Algorithm

    Pilih algoritma autentikasi untuk negosiasi Fase 2.

    Algoritma yang didukung: SHA1 (default), MD5, SHA256, SHA384, dan SHA512.

    DH Group

    Pilih algoritma pertukaran kunci DH untuk negosiasi Fase 2. Nilai yang valid:

    • disabled: Tidak menggunakan algoritma pertukaran kunci DH.

      • Pilih disabled untuk klien yang tidak mendukung Perfect Forward Secrecy (PFS).

      • Jika Anda memilih grup apa pun selain disabled, PFS diaktifkan secara default. Ini mengharuskan kunci diperbarui pada setiap renegosiasi. Oleh karena itu, Anda juga harus mengaktifkan PFS pada klien yang sesuai.

    • group1: DH group 1.

    • group2 (Default): DH group 2.

    • group5: DH group 5.

    • group14: DH group 14.

    SA Lifetime (Seconds)

    Tentukan masa berlaku SA untuk negosiasi Fase 2, dalam detik. Default: 86400. Rentang nilai yang valid: 0 to 86400.

    DPD

    Apakah akan mengaktifkan Dead Peer Detection (DPD). DPD diaktifkan secara default.

    Saat diaktifkan, koneksi IPsec-VPN mengirim paket DPD untuk memeriksa aktivitas peer. Jika peer gagal merespons dalam waktu 30 detik, peer tersebut dianggap terputus. ISAKMP SA dan IPsec SA yang sesuai dihapus, dan tunnel keamanan dihapus. Koneksi IPsec-VPN kemudian secara otomatis memulai kembali negosiasi tunnel.

    NAT Traversal

    Menentukan apakah akan mengaktifkan Penelusuran Translasi Alamat Jaringan (NAT).

    Setelah Anda mengaktifkan Penelusuran NAT, proses negosiasi IKE melewati verifikasi port UDP dan membantu menemukan perangkat gateway NAT di tunnel komunikasi terenkripsi. Fitur ini diaktifkan secara default.

    Pengaturan BGP

    Mengaktifkan Protokol Gateway Perbatasan (BGP) memungkinkan koneksi IPsec secara otomatis mempelajari dan mengiklankan rute melalui perutean dinamis BGP. Hal ini membantu mengurangi biaya pemeliharaan jaringan dan risiko kesalahan konfigurasi jaringan.

    BGP dinonaktifkan secara default. Sebelum mengonfigurasi pengaturan BGP, Anda harus mengaktifkan BGP.

    Parameter

    Description

    Tunnel CIDR Block

    Masukkan Blok CIDR untuk tunnel IPsec.

    Blok CIDR tunnel harus berupa subnet /30 dalam 169.254.0.0/16. Tidak boleh 169.254.0.0/30, 169.254.1.0/30, 169.254.2.0/30, 169.254.3.0/30, 169.254.4.0/30, 169.254.5.0/30, 169.254.6.0/30, atau 169.254.169.252/30.

    Local BGP IP

    Masukkan alamat IP BGP untuk sisi Alibaba Cloud koneksi IPsec.

    Alamat ini harus merupakan alamat IP dalam Blok CIDR tunnel.

    Local ASN

    Masukkan ASN untuk sisi Alibaba Cloud koneksi IPsec. Nilai default: 45104. Rentang nilai yang valid adalah 1 to 4294967295.

    Anda dapat memasukkan ASN dalam format dua bagian: angka 16-bit, titik (.), dan angka 16-bit lainnya. Setiap bagian adalah nilai desimal.

    Contohnya, jika Anda memasukkan 123.456, ASN-nya adalah 123 × 65536 + 456 = 8061384.

    Catatan

    Kami menyarankan Anda menggunakan ASN privat untuk membuat koneksi BGP dengan Alibaba Cloud. Untuk informasi tentang rentang ASN privat, lihat dokumentasi terkait.

    Pemeriksaan kesehatan

    Saat diaktifkan, pemeriksaan kesehatan secara otomatis mendeteksi konektivitas jaringan antara pusat data lokal dan sisi Alibaba Cloud melalui koneksi IPsec. Rute secara otomatis dialihkan berdasarkan hasil pemeriksaan kesehatan untuk meningkatkan ketersediaan jaringan.

    Pemeriksaan kesehatan dinonaktifkan secara default. Sebelum menambahkan konfigurasi pemeriksaan kesehatan, Anda harus mengaktifkan pemeriksaan kesehatan.

    Penting

    Setelah mengonfigurasi pemeriksaan kesehatan, tambahkan rute di sisi pusat data lokal dengan Blok CIDR tujuan diatur ke Source IP Address (dengan mask /32) dan lompatan berikutnya mengarah ke koneksi IPsec. Hal ini memastikan pemeriksaan kesehatan berfungsi sebagaimana mestinya.

    Parameter

    Description

    Destination IP

    Masukkan alamat IP pusat data lokal yang dapat diakses oleh sisi Alibaba Cloud melalui koneksi IPsec.

    Source IP

    Masukkan alamat IP di sisi Alibaba Cloud yang dapat diakses oleh pusat data lokal melalui koneksi IPsec.

    Retry Interval

    Pilih interval percobaan ulang pemeriksaan kesehatan. Satuan: detik. Nilai default: 3.

    Retries

    Pilih jumlah percobaan ulang pemeriksaan kesehatan. Nilai default: 3.

    Switch Route

    Pilih apakah sistem boleh menarik rute yang dipublikasikan jika pemeriksaan kesehatan gagal. Nilai default adalah Yes, yang berarti sistem menarik rute yang dipublikasikan jika pemeriksaan kesehatan gagal.

    Jika Anda tidak memilih Yes, sistem tidak akan menarik rute yang dipublikasikan jika pemeriksaan kesehatan gagal.

    Pengaturan lanjutan

    Saat membuat koneksi VPN, fitur lanjutan berikut diaktifkan secara default.

    Parameter

    Description

    Automatically Advertise Routes to VPN

    Jika Anda mengaktifkan fitur ini, koneksi VPN secara otomatis menyebarkan rute dari tabel rute router transit ke tabel rute BGP koneksi IPsec.

    Catatan
    • Fitur ini hanya berlaku jika perutean dinamis BGP diaktifkan antara koneksi IPsec dan pusat data lokal.

    • Anda dapat menggunakan fitur Automatic Route Advertisement untuk menonaktifkan fungsionalitas ini. Untuk informasi lebih lanjut, lihat Nonaktifkan sinkronisasi rute.

    Associate with Default Route Table of Transit Router

    Jika Anda mengaktifkan fitur ini, koneksi VPN dikaitkan dengan tabel rute default router transit. Router transit kemudian meneruskan lalu lintas dari koneksi IPsec dengan mencari di tabel rute default.

    Propagate system routes to transit router route table

    Jika Anda mengaktifkan fitur ini, koneksi VPN menyebarkan rute dari tabel rute berbasis tujuan dan tabel rute BGP koneksi IPsec ke tabel rute default router transit.

    Anda dapat menonaktifkan fitur lanjutan ini, lalu menyesuaikan konektivitas koneksi VPN menggunakan fitur perutean TransitRouter, seperti asosiasi tabel rute dan pembelajaran rute. Untuk informasi selengkapnya, lihat Manajemen rute.

Ubah tabel rute yang dikaitkan dengan koneksi VPN

Setelah membuat koneksi VPN, Anda dapat mengubah tabel rute router transit yang dikaitkan dengannya.

Peringatan

Jika sinkronisasi rute diaktifkan untuk koneksi VPN, sistem akan menarik rute yang sebelumnya disinkronkan dari koneksi IPsec setelah Anda mengubah tabel rute router transit yang terkait. Selanjutnya, sistem menyinkronkan rute dari tabel rute yang diperbarui ke tabel rute BGP koneksi IPsec. Untuk informasi selengkapnya tentang sinkronisasi rute, lihat Sinkronisasi rute.

  1. Login ke Konsol CEN.

  2. Pada halaman CEN Instance, klik ID instans CEN yang ingin Anda kelola.

  3. Pada tab Basic Information > Transit Router, klik ID instans router transit di wilayah target.

  4. Pada tab Intra-Region Connections, temukan koneksi VPN dan klik ID-nya.

  5. Di panel Attachment Details, buka bagian Basic Information dan klik Modify di samping Associated Route Table.

  6. Di kotak dialog Modify Route Table, pilih tabel rute router transit tujuan dan klik OK.

Buat koneksi VPN melalui API

Anda dapat menggunakan alat seperti Alibaba Cloud SDK (disarankan), Alibaba Cloud CLI, Terraform, dan Resource Orchestration Service (ROS) untuk memanggil operasi API guna membuat dan mengubah koneksi VPN. Untuk informasi selengkapnya, lihat operasi API berikut: