IPsec-VPN memungkinkan Anda membuat saluran data terenkripsi yang menghubungkan jaringan lokal—seperti pusat data perusahaan atau kantor—ke Virtual Private Cloud (VPC) Alibaba Cloud untuk koneksi privat yang aman.
Gateway VPN Alibaba Cloud beroperasi sesuai dengan hukum dan peraturan yang berlaku di Tiongkok. Gateway ini hanya mendukung koneksi non-lintas batas. Untuk koneksi lintas batas, gunakan Gateway VPN dengan Router Transit.
Kasus penggunaan
IPsec-VPN digunakan untuk membuat koneksi terenkripsi Site-to-Site dan tersedia dalam dua model penyebaran:
Attach to a VPN gateway: Menghubungkan jaringan lokal Anda ke VPC tunggal.
Attach to a transit router (TR): Menghubungkan jaringan lokal Anda ke beberapa VPC.
Komponen
Attach to a VPN gateway
Komponen | Deskripsi |
Saat menghubungkan jaringan lokal ke satu VPC, gateway VPN bertindak sebagai gerbang sisi cloud. Gateway ini memiliki alamat IP publik untuk berkomunikasi dengan perangkat gateway lokal. | |
Objek logis di Alibaba Cloud yang menyimpan alamat IP publik perangkat gateway lokal Anda. Objek ini diperlukan untuk membuat koneksi IPsec-VPN. | |
Menentukan saluran data terenkripsi dari gateway VPN ke perangkat gateway lokal. Dalam koneksi ini, Anda mengonfigurasi parameter untuk kedua ujung, seperti algoritma enkripsi, algoritma autentikasi, dan Pre-Shared Key (PSK). | |
On-premises gateway device | Perangkat fisik (biasanya gerbang) atau perangkat lunak di pusat data lokal Anda. Perangkat gateway lokal harus mendukung fungsi VPN untuk melakukan negosiasi dan membuat koneksi IPsec-VPN dengan gerbang sisi cloud. Untuk kesederhanaan, topik ini menggunakan istilah pusat data lokal untuk merujuk pada jaringan atau lokasi apa pun yang perlu membuat koneksi IPsec-VPN dengan Alibaba Cloud, seperti pusat data perusahaan atau jaringan kantor. |
Attach to a Transit Router
Komponen | Deskripsi |
Saat menghubungkan jaringan lokal ke beberapa VPC, Transit Router bertindak sebagai gerbang sisi cloud. Untuk menggunakannya, Anda membuat koneksi VPN pada Transit Router dan menyambungkan instans koneksi IPsec-VPN kepadanya. | |
Objek logis di Alibaba Cloud yang menyimpan alamat IP publik perangkat gateway lokal Anda. Objek ini diperlukan untuk membuat koneksi IPsec-VPN. | |
Menentukan saluran data terenkripsi dari Transit Router ke perangkat gateway lokal. Dalam koneksi ini, Anda mengonfigurasi parameter untuk kedua ujung, seperti algoritma enkripsi, algoritma autentikasi, dan Pre-Shared Key (PSK). | |
On-premises gateway device | Perangkat fisik (biasanya gerbang) atau perangkat lunak di pusat data lokal Anda. Perangkat gateway lokal harus mendukung fungsi VPN untuk melakukan negosiasi dan membuat koneksi IPsec-VPN dengan gerbang sisi cloud. Untuk kesederhanaan, topik ini menggunakan istilah pusat data lokal untuk merujuk pada jaringan atau lokasi apa pun yang perlu membuat koneksi IPsec-VPN dengan Alibaba Cloud, seperti pusat data perusahaan atau jaringan kantor. |
Mode dual-tunnel
Secara default, koneksi IPsec-VPN mencakup dua saluran data terenkripsi. Di wilayah dengan beberapa zona, kedua saluran tersebut ditempatkan di zona yang berbeda untuk menyediakan pemulihan bencana tingkat zona. Di wilayah dengan hanya satu zona, seperti Tiongkok (Wuhan - Local Region), kedua saluran ditempatkan di zona yang sama. Konfigurasi ini tidak menyediakan pemulihan bencana tingkat zona tetapi tetap memberikan redundansi.
Dalam skenario Attach to a VPN gateway, dua saluran data terenkripsi bekerja dalam mode aktif/standby. Secara default, trafik mengalir melalui saluran aktif. Jika saluran aktif gagal, trafik secara otomatis dialihkan ke saluran standby. Untuk informasi lebih lanjut, lihat Attach to a VPN Gateway.
Dalam skenario Attach to a Transit Router, kedua saluran secara otomatis membentuk tautan Equal-Cost Multi-Path (ECMP). Trafik dikirim melalui kedua saluran. Jika salah satu saluran gagal, trafiknya dialihkan ke saluran lainnya. Untuk informasi lebih lanjut, lihat Attach to a Transit Router.
Saat membuat koneksi IPsec-VPN, Anda harus mengonfigurasi kedua saluran untuk memastikan ketersediaan tinggi. Jika Anda hanya mengonfigurasi atau menggunakan satu saluran, Anda kehilangan redundansi tautan dan pemulihan bencana tingkat zona dari koneksi tersebut. Dalam kasus ini, Service Level Agreement (SLA) untuk Gateway VPN tidak berlaku.
Perbandingan fitur
Item | Attach to a VPN Gateway | Attach to a Transit Router |
Kasus penggunaan | Menghubungkan jaringan lokal ke VPC tunggal | Menghubungkan jaringan lokal ke beberapa VPC |
Algoritma enkripsi yang didukung | Mendukung algoritma kriptografi komersial standar internasional | Mendukung algoritma kriptografi komersial standar internasional |
Mode saluran koneksi IPsec-VPN | Mode dual-tunnel Beberapa gateway VPN yang sudah ada hanya mendukung pembuatan koneksi IPsec-VPN dalam mode single-tunnel. Kami menyarankan Anda untuk meningkatkan ke mode dual-tunnel. | Mode dual-tunnel Koneksi IPsec-VPN yang sudah ada dalam mode single-tunnel tidak menyediakan ketersediaan tinggi. Kami menyarankan Anda untuk menghapus dan membuat ulang koneksi IPsec-VPN tanpa mengganggu konektivitas jaringan Anda. Koneksi IPsec-VPN baru dibuat dalam mode dual-tunnel secara default. |
Mekanisme ketersediaan tinggi | Saluran aktif/standby: Trafik mengalir melalui saluran aktif secara default dan secara otomatis beralih ke saluran standby jika saluran aktif gagal. | ECMP: Kedua saluran menyediakan load balancing dan redundansi. |
Bandwidth per koneksi IPsec-VPN | Hingga 1.000 Mbps. Bandwidth maksimum instans Gateway VPN di beberapa wilayah adalah 500 Mbps. Untuk informasi lebih lanjut, lihat Batas Gateway VPN. |
Untuk koneksi mode single-tunnel yang sudah ada, bandwidth maksimum adalah 1.000 Mbps. |
Packets per second (PPS) | Total laju PPS untuk satu instans Gateway VPN adalah 120.000 dalam kedua arah (berdasarkan ukuran paket 256 byte). Jika satu instans Gateway VPN memiliki beberapa koneksi IPsec-VPN, total laju PPS untuk semua koneksi tidak boleh melebihi 120.000 (berdasarkan ukuran paket 256 byte). | Dalam mode dual-tunnel, total laju PPS untuk setiap saluran adalah 120.000 dalam kedua arah (berdasarkan ukuran paket 256 byte). Untuk koneksi mode single-tunnel yang sudah ada, total laju PPS untuk satu koneksi IPsec-VPN adalah 120.000 dalam kedua arah (berdasarkan ukuran paket 256 byte). |
Penagihan
Untuk informasi lebih lanjut, lihat Penagihan IPsec-VPN.