全部产品
Search

搜索本产品

    VPN Gateway:Apa itu IPsec-VPN

    文档中心

    VPN Gateway:Apa itu IPsec-VPN

    更新时间:Feb 13, 2026

    IPsec-VPN membuat saluran data terenkripsi untuk memungkinkan komunikasi aman antara jaringan lokal—seperti pusat data perusahaan atau jaringan kantor—dan VPC di cloud.

    Alibaba Cloud VPN Gateway mematuhi kebijakan dan peraturan nasional Tiongkok yang relevan. Layanan ini hanya mendukung koneksi non-lintas batas. Jika Anda memerlukan koneksi lintas batas, gunakan TransitRouter.

    Skenario

    Alibaba Cloud IPsec-VPN menyediakan koneksi terenkripsi site-to-site dalam dua jenis:

    • Attach to a VPN gateway: Menghubungkan jaringan lokal Anda ke single VPC.

      image

    • Attach to a transit router (TR): Menghubungkan jaringan lokal Anda ke multiple VPCs.

      image

    Komponen

    Attached to a VPN Gateway

    Component Name

    Description

    VPN Gateway instance

    Saat menghubungkan jaringan lokal ke satu VPC di cloud, instans VPN Gateway berfungsi sebagai titik masuk dan keluar komunikasi di sisi cloud.

    VPN Gateway menawarkan dua jenis: enhanced instance families dan traditional instance families. Untuk informasi lebih lanjut mengenai perbedaan keduanya, lihat Select VPN Gateway Type.

    customer gateway

    Objek logis di sisi Alibaba Cloud yang mencatat alamat IP publik dari perangkat gateway lokal. Gunakan objek ini saat membuat koneksi IPsec-VPN.

    IPsec-VPN connection

    Menentukan saluran data terenkripsi dari VPN Gateway ke on-premises gateway device. Konfigurasikan parameter seperti algoritma enkripsi, algoritma autentikasi, dan kunci pra-bersama (PSK) untuk kedua ujung dalam koneksi ini.

    on-premises gateway device

    Perangkat fisik (biasanya perangkat gateway) atau aplikasi di pusat data Anda. Perangkat gateway lokal harus mendukung fungsionalitas VPN untuk melakukan negosiasi dan membuat koneksi IPsec-VPN dengan perangkat gateway di sisi cloud.

    Untuk penyederhanaan, dokumen ini menggunakan data center sebagai contoh untuk merujuk pada pusat data perusahaan, jaringan kantor perusahaan, dan jaringan atau situs lain yang memerlukan koneksi IPsec-VPN dengan Alibaba Cloud.

    Attached to a TransitRouter

    Component Name

    Description

    TransitRouter

    Saat menghubungkan jaringan lokal ke multiple VPC di cloud, TransitRouter berfungsi sebagai titik masuk dan keluar komunikasi di sisi cloud. Saat menggunakannya, buat koneksi VPN pada TransitRouter dan sambungkan instans koneksi IPsec-VPN.

    customer gateway

    Objek logis di sisi Alibaba Cloud yang mencatat alamat IP publik dari perangkat gateway lokal. Gunakan objek ini saat membuat koneksi IPsec-VPN.

    IPsec-VPN connection

    Menentukan saluran data terenkripsi dari TransitRouter ke on-premises gateway device. Konfigurasikan parameter seperti algoritma enkripsi, algoritma autentikasi, dan kunci pra-bersama (PSK) untuk kedua ujung dalam koneksi ini.

    on-premises gateway device

    Perangkat fisik (biasanya perangkat gateway) atau aplikasi di pusat data Anda. Perangkat gateway lokal harus mendukung fungsionalitas VPN untuk melakukan negosiasi dan membuat koneksi IPsec-VPN dengan perangkat gateway di sisi cloud.

    Untuk penyederhanaan, dokumen ini menggunakan data center sebagai contoh untuk merujuk pada pusat data perusahaan, jaringan kantor perusahaan, dan jaringan atau situs lain yang memerlukan koneksi IPsec-VPN dengan Alibaba Cloud.

    Dual-Tunnel Mode

    Koneksi IPsec-VPN mencakup dua saluran data terenkripsi secara default. Di wilayah yang mendukung beberapa zona, kedua saluran tersebut ditempatkan di zona berbeda untuk menyediakan pemulihan bencana tingkat zona. Di wilayah yang hanya mendukung satu zona, seperti China (Wuhan - Local Region), kedua saluran ditempatkan di zona yang sama. Konfigurasi ini tidak menyediakan pemulihan bencana tingkat zona, tetapi tetap memberikan redundansi tautan.

    • Attached to a VPN Gateway: Kedua saluran data terenkripsi berfungsi sebagai active/standby links. Secara default, lalu lintas hanya dikirim melalui saluran aktif. Jika saluran aktif gagal, lalu lintas dialihkan ke saluran standby. Untuk informasi lebih lanjut, lihat Attached to a VPN Gateway.

    • Attached to a TransitRouter: Kedua saluran secara otomatis membentuk equal-cost multi-path (ECMP) links. Kedua saluran mengirimkan lalu lintas. Jika salah satu saluran gagal, lalu lintas dari saluran tersebut dialihkan ke saluran lainnya. Untuk informasi lebih lanjut, lihat Attached to a TransitRouter.

    Penting

    Saat membuat koneksi IPsec-VPN, Anda harus mengonfigurasi kedua saluran sebagai aktif. Jika hanya satu saluran yang dikonfigurasi atau digunakan, Anda tidak dapat memanfaatkan kemampuan redundansi tautan dan pemulihan bencana tingkat zona dari koneksi IPsec-VPN. Selain itu, VPN Gateway tidak akan dicakup oleh SLA.

    Perbandingan Fitur

    Comparison Item

    Attached to a VPN Gateway

    Attached to a TransitRouter

    Scenarios

    Menghubungkan jaringan lokal ke single VPC di cloud.

    Menghubungkan jaringan lokal ke multiple VPCs di cloud.

    Supported encryption algorithms

    International standard commercial cryptographic algorithms

    International standard commercial cryptographic algorithms

    IPsec-VPN connection tunnel mode

    dual-tunnel mode

    Beberapa instans VPN Gateway yang sudah ada hanya mendukung pembuatan koneksi IPsec-VPN single-tunnel. Upgrade to dual-tunnel mode.

    dual-tunnel mode

    Koneksi IPsec-VPN single-tunnel yang sudah ada tidak secara inheren menawarkan ketersediaan tinggi. Hapus dan buat ulang koneksi IPsec-VPN tanpa memengaruhi konektivitas jaringan. Koneksi IPsec-VPN yang baru dibuat secara default menggunakan dual-tunnel mode.

    High-availability mechanism

    Active/standby tunnels: Traffic secara default menggunakan saluran aktif. Jika saluran aktif gagal, sistem secara otomatis beralih ke saluran standby.

    ECMP (equal-cost multi-path): Kedua saluran berbagi beban dan saling menyediakan redundansi.

    Bandwidth specifications supported by a single IPsec-VPN connection

    • Attached to an Enhanced VPN Gateway: Satu koneksi IPsec-VPN memiliki bandwidth eksklusif default 1 Gbps.

    • Attached to a Traditional VPN Gateway: Semua koneksi IPsec-VPN berbagi spesifikasi bandwidth dari Traditional VPN Gateway, dengan total bandwidth maksimum 1000 Mbps.

      Di beberapa wilayah, instans Traditional VPN Gateway mendukung bandwidth maksimum 500 Mbps. Untuk informasi lebih lanjut, lihat VPN Gateway Instance Limits.

    • Koneksi IPsec-VPN mendukung bandwidth maksimum 2000 Mbps, mencakup dua saluran, masing-masing dengan bandwidth maksimum 1000 Mbps.

    • Tingkatkan bandwidth antara cloud dan jaringan lokal dengan membuat multiple koneksi IPsec-VPN. Untuk informasi lebih lanjut, lihat Increase bandwidth between the cloud and on-premises networks.

    Untuk mode single-tunnel yang sudah ada, koneksi IPsec-VPN mendukung bandwidth maksimum 1000 Mbps.

    Packets per second (PPS) supported

    Instans VPN Gateway mendukung total 120.000 PPS (256 byte per paket) di kedua arah.

    Jika sebuah instans VPN Gateway memiliki multiple koneksi IPsec-VPN, total PPS di kedua arah untuk semua koneksi tidak boleh melebihi 120.000 PPS (256 byte per paket).

    Dalam dual-tunnel mode, setiap saluran mendukung total 120.000 PPS (256 byte per paket) di kedua arah.

    Untuk mode single-tunnel yang sudah ada, koneksi IPsec-VPN mendukung total 120.000 PPS (256 byte per paket) di kedua arah.

    Billing

    Untuk informasi lebih lanjut, lihat IPsec-VPN billing documentation.

    Quick Start