Buat koneksi IPsec-VPN dengan ketersediaan tinggi untuk memungkinkan komunikasi terenkripsi antara VPC dan pusat data. - VPN Gateway

Topik ini menjelaskan cara membuat koneksi IPsec-VPN dalam mode dual-tunnel antara Virtual Private Cloud (VPC) dan pusat data menggunakan gateway VPN publik. Koneksi IPsec-VPN memungkinkan komunikasi terenkripsi antara VPC dan pusat data serta memastikan ketersediaan tinggi dalam komunikasi.

Prasyarat

Jika koneksi IPsec-VPN dikaitkan dengan gateway VPN, alamat IP publik harus ditetapkan ke perangkat gateway di pusat data.
Disarankan untuk mengonfigurasi dua alamat IP publik untuk perangkat gateway di pusat data. Sebagai alternatif, Anda dapat menerapkan dua perangkat gateway di pusat data dan mengonfigurasi alamat IP publik untuk setiap perangkat. Dengan cara ini, Anda dapat membuat koneksi IPsec-VPN dengan ketersediaan tinggi. Untuk informasi lebih lanjut tentang wilayah yang mendukung mode dual-tunnel, lihat Mengaitkan Koneksi IPsec-VPN dengan Gateway VPN.
Perangkat gateway di pusat data harus mendukung protokol IKEv1 atau IKEv2 untuk membangun koneksi IPsec-VPN dengan transit router.
Blok CIDR pusat data tidak tumpang tindih dengan blok CIDR jaringan yang akan diakses.

Contoh

Dalam contoh ini, skenario berikut digunakan: sebuah perusahaan telah membuat VPC di wilayah China (Hohhot). Blok CIDR utama VPC adalah 192.168.0.0/16. Perusahaan tersebut memiliki pusat data di Hohhot. Karena perkembangan bisnis, perangkat dalam blok CIDR 172.16.0.0/16 dari pusat data perlu mengakses VPC. Untuk memenuhi kebutuhan ini, perusahaan dapat membangun koneksi IPsec-VPN antara VPC dan pusat data. Koneksi IPsec-VPN memungkinkan komunikasi terenkripsi antara VPC dan pusat data serta memastikan ketersediaan tinggi dalam komunikasi.

IDC和VPC互通（双隧道）.png

Persiapan

VPC dibuat di wilayah China (Hohhot), dan beban kerja diterapkan pada instance Elastic Compute Service (ECS) di VPC. Untuk informasi lebih lanjut, lihat Membuat VPC dengan Blok CIDR IPv4.
Aturan grup keamanan yang dikonfigurasi pada instance ECS di VPC dan aturan kontrol akses pusat data mengizinkan pusat data dan VPC untuk berkomunikasi satu sama lain. Untuk informasi lebih lanjut tentang aturan grup keamanan untuk instance ECS, lihat Melihat Aturan Grup Keamanan dan Menambahkan Aturan Grup Keamanan.

Prosedur

IDC和VPC互通（双隧道）-配置流程.png

Langkah 1: Membuat gateway VPN

Masuk ke konsol VPN Gateway.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway VPN.
Gateway VPN dan VPC yang perlu diakses oleh pusat data harus berada di wilayah yang sama.
Di halaman VPN Gateway, klik Create VPN Gateway.

Di halaman pembelian, konfigurasikan parameter berikut, klik Buy Now, lalu selesaikan pembayaran.

Parameter	Deskripsi	Contoh
Name	Masukkan nama untuk gateway VPN.	Dalam contoh ini, VPNGW digunakan.
Resource Group	Pilih grup sumber daya tempat gateway VPN termasuk. Jika Anda meninggalkan parameter ini kosong, gateway VPN termasuk dalam grup sumber daya default.	Dalam contoh ini, parameter ini dibiarkan kosong.
Wilayah	Pilih wilayah tempat Anda ingin membuat gateway VPN.	Dalam contoh ini, China (Hohhot) dipilih.
Gateway Type	Pilih tipe gateway.	Dalam contoh ini, Standard dipilih.
Network Type	Pilih tipe jaringan untuk gateway VPN. Public: Gateway VPN dapat digunakan untuk membangun koneksi VPN melalui Internet. Private: Gateway VPN dapat digunakan untuk membangun koneksi VPN melalui jaringan privat.	Dalam contoh ini, opsi Public dipilih.
Tunnels	Pilih mode terowongan. Nilai valid: Dual-tunnel Single-tunnel Untuk informasi lebih lanjut tentang mode single-tunnel dan dual-tunnel, lihat [Pemberitahuan Peningkatan] Koneksi IPsec-VPN Mendukung Mode Dual-Tunnel.	Dalam contoh ini, nilai default Dual-tunnel digunakan.
VPC	Pilih VPC yang ingin Anda asosiasikan dengan gateway VPN.	Dalam contoh ini, VPC yang diterapkan di wilayah China (Hohhot) dipilih.
VSwitch	Pilih vSwitch dari VPC yang dipilih. Jika Anda memilih Single-tunnel, Anda hanya perlu menentukan satu vSwitch. Jika Anda memilih Dual-tunnel, Anda perlu menentukan dua vSwitch. Setelah fitur IPsec-VPN diaktifkan, sistem membuat antarmuka jaringan elastis (ENI) untuk masing-masing dari dua vSwitch sebagai antarmuka untuk berkomunikasi dengan VPC melalui koneksi IPsec-VPN. Setiap ENI menempati satu alamat IP di vSwitch. Catatan Sistem memilih vSwitch secara default. Anda dapat mengubahnya atau menggunakan vSwitch default. Setelah gateway VPN dibuat, Anda tidak dapat memodifikasi vSwitch yang terkait dengan gateway VPN. Anda dapat melihat vSwitch yang terkait dengan gateway VPN, zona tempat vSwitch berada, dan ENI di vSwitch pada halaman detail gateway VPN.	Dalam contoh ini, vSwitch di VPC dipilih.
vSwitch 2	Pilih vSwitch lain dari VPC yang dipilih. Tentukan dua vSwitch di zona berbeda di VPC terkait untuk mengimplementasikan pemulihan bencana lintas zona untuk koneksi IPsec-VPN. Untuk wilayah yang hanya mendukung satu zona, pemulihan bencana lintas zona tidak didukung. Kami menyarankan Anda menentukan dua vSwitch di zona tersebut untuk mengimplementasikan ketersediaan tinggi koneksi IPsec-VPN. Anda juga dapat memilih vSwitch yang sama seperti yang pertama. Catatan Jika hanya satu vSwitch yang diterapkan di VPC, buat vSwitch. Untuk informasi lebih lanjut, lihat Membuat dan Mengelola vSwitch.	Dalam contoh ini, vSwitch lain di VPC dipilih.
Bandwidth Puncak	Pilih nilai bandwidth maksimum untuk VPN Gateway. Satuan: Mbit/s.	Dalam contoh ini, nilai default digunakan.
Traffic	Pilih metode pengukuran untuk gateway VPN. Nilai default: Pay-by-data-transfer. Untuk informasi lebih lanjut, lihat Penagihan.	Dalam contoh ini, nilai default digunakan.
IPsec-VPN	Tentukan apakah akan mengaktifkan IPsec-VPN. Nilai default: Enable.	Dalam contoh ini, Aktifkan dipilih.
SSL-VPN	Tentukan apakah akan mengaktifkan SSL-VPN. Nilai default: Nonaktifkan.	Dalam contoh ini, Nonaktifkan dipilih.
Durasi	Pilih siklus penagihan untuk gateway VPN. Nilai default: By Hour.	Dalam contoh ini, nilai default digunakan.
Service-linked Role	Klik Create Service-linked Role. Sistem secara otomatis membuat peran terkait layanan AliyunServiceRoleForVpn. Gateway VPN mengasumsikan peran ini untuk mengakses sumber daya cloud lainnya. Jika Created ditampilkan, peran terkait layanan telah dibuat dan Anda tidak perlu membuatnya lagi.	Konfigurasikan parameter ini berdasarkan kondisi aktual.

Setelah Anda membuat gateway VPN, lihat gateway VPN di halaman VPN Gateway.
Gateway VPN yang baru dibuat berada dalam status Preparing dan berubah menjadi status Normal setelah sekitar 1 hingga 5 menit. Setelah status berubah menjadi Normal, gateway VPN siap digunakan.
Dua alamat IP publik ditetapkan untuk setiap gateway VPN publik untuk membangun dua terowongan terenkripsi. Tabel berikut menjelaskan alamat IP publik yang ditetapkan ke gateway VPN.
Terowongan IPsec
Alamat IP
Terowongan 1 (terowongan aktif)
39.XX.XX.218
Terowongan 2 (terowongan cadangan)
182.XX.XX.19

Langkah 2: Membuat gateway pelanggan

Di panel navigasi sisi kiri, pilih Interconnections > VPN > Customer Gateways.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway pelanggan.
Pastikan bahwa gateway pelanggan dan gateway VPN yang akan dihubungkan diterapkan di wilayah yang sama.
Di halaman Customer Gateways, klik Create Customer Gateway.

Di panel Create Customer Gateway, konfigurasikan parameter berikut dan klik OK.

Anda harus membuat dua gateway pelanggan untuk membuat dua terowongan terenkripsi. Tabel berikut hanya menjelaskan parameter yang relevan dengan topik ini. Anda dapat menggunakan nilai default untuk parameter lainnya atau membiarkannya kosong. Untuk informasi lebih lanjut, lihat Membuat dan Mengelola Gateway Pelanggan.

Parameter	Deskripsi	Gateway Pelanggan 1	Gateway Pelanggan 2
Name	Masukkan nama untuk gateway pelanggan.	Untuk Gateway Pelanggan 1, CustomerGW1 digunakan.	Untuk Gateway Pelanggan 2, CustomerGW2 digunakan.
IP Address	Masukkan alamat IP publik dari perangkat gateway di pusat data.	Untuk Gateway Pelanggan 1, 211.XX.XX.36 digunakan.	Untuk Gateway Pelanggan 2, 211.XX.XX.71 digunakan.

Langkah 3: Membuat koneksi IPsec-VPN

Di panel navigasi sisi kiri, pilih Interconnections > VPN > IPsec Connections.
Di halaman IPsec Connections, klik Bind VPN Gateway.

Di halaman Create Ipsec-vpn Connection (VPN), konfigurasikan parameter berikut dan klik OK.

Parameter	Deskripsi	Contoh
Name	Masukkan nama untuk koneksi IPsec-VPN.	Dalam contoh ini, IPsec-Connection digunakan.
Region	Pilih wilayah tempat gateway VPN yang akan dikaitkan dengan koneksi IPsec-VPN diterapkan. Koneksi IPsec-VPN dibuat di wilayah yang sama dengan gateway VPN.	China (Hohhot)
Resource Group	Pilih grup sumber daya tempat gateway VPN termasuk.	Pilih grup sumber daya default.
Bind VPN Gateway	Pilih gateway VPN yang ingin Anda kaitkan dengan koneksi IPsec-VPN.	Dalam contoh ini, gateway VPN VPNGW dipilih.
Routing Mode	Pilih mode perutean. Destination Routing Mode: Lalu lintas diarahkan berdasarkan alamat IP tujuan. Protected Data Flows: Lalu lintas diarahkan berdasarkan alamat IP sumber dan tujuan.	Dalam contoh ini, Destination Routing Mode dipilih.
Effective Immediately	Tentukan apakah akan segera memulai negosiasi untuk koneksi. Nilai valid: Yes: memulai negosiasi setelah konfigurasi selesai. No: memulai negosiasi ketika lalu lintas masuk terdeteksi.	Dalam contoh ini, Yes dipilih.
Enable BGP	Tentukan apakah akan mengaktifkan Border Gateway Protocol (BGP). Jika Anda ingin menggunakan perutean BGP untuk koneksi IPsec-VPN, aktifkan Aktifkan BGP. Secara default, Aktifkan BGP dimatikan.	Dalam contoh ini, Aktifkan BGP dimatikan.
Tunnel 1	Konfigurasikan parameter VPN untuk terowongan aktif. Secara default, Terowongan 1 berfungsi sebagai terowongan aktif dan Terowongan 2 berfungsi sebagai terowongan cadangan. Anda tidak dapat memodifikasi konfigurasi ini.
Customer Gateway	Pilih gateway pelanggan yang ingin Anda kaitkan dengan terowongan aktif.	Dalam contoh ini, CustomerGW1 dipilih.
Pre-Shared Key	Masukkan kunci pra-berbagi untuk terowongan aktif untuk memverifikasi identitas. Kunci harus memiliki panjang 1 hingga 100 karakter dan dapat berisi angka, huruf besar, huruf kecil, dan karakter khusus berikut: ~`!@#$%^&()_-+={}[]\\|;:',.<>/?. Kunci tidak boleh berisi spasi. Jika Anda tidak menentukan kunci pra-berbagi, sistem secara acak menghasilkan string 16 karakter sebagai kunci pra-berbagi. Setelah Anda membuat koneksi IPsec-VPN, Anda dapat mengklik Edit* untuk terowongan tersebut untuk melihat kunci pra-berbagi yang dihasilkan oleh sistem. Untuk informasi lebih lanjut, lihat Modifikasi Konfigurasi Terowongan. Penting Koneksi IPsec-VPN dan perangkat gateway peer harus menggunakan kunci pra-berbagi yang sama. Jika tidak, sistem tidak dapat membangun koneksi IPsec-VPN.	Dalam contoh ini, fddsFF123**** digunakan.
Encryption Configuration	Konfigurasikan parameter untuk IKE, IPsec, deteksi peer mati (DPD), dan fitur traversal NAT.	Dalam contoh ini, nilai default digunakan untuk semua parameter kecuali yang berikut ini. Untuk informasi lebih lanjut, lihat Membuat dan Mengelola Koneksi IPsec-VPN dalam Mode Dual-Tunnel. Untuk DH Group pada IKE Configurations, digunakan group14. Untuk DH Group dari IPsec Configurations, group14 digunakan. Catatan Anda perlu memilih parameter enkripsi berdasarkan perangkat gateway lokal untuk memastikan bahwa konfigurasi enkripsi untuk koneksi IPsec sama dengan konfigurasi enkripsi untuk perangkat gateway lokal.
Tunnel 2	Konfigurasikan parameter VPN untuk terowongan cadangan.
Customer Gateway	Pilih gateway pelanggan yang ingin Anda hubungkan dengan terowongan cadangan.	Dalam contoh ini, CustomerGW2 dipilih.
Pre-Shared Key	Masukkan kunci pra-berbagi untuk terowongan cadangan untuk memverifikasi identitas.	Dalam contoh ini, fddsFF456**** digunakan.
Encryption Configuration	Konfigurasikan parameter untuk IKE, IPsec, DPD, dan fitur traversal NAT.	Dalam contoh ini, nilai default digunakan untuk semua parameter kecuali yang berikut ini. Untuk informasi lebih lanjut, lihat Membuat dan Mengelola Koneksi IPsec-VPN dalam Mode Dual-Tunnel. Untuk DH Group dari IKE Configurations, group14 digunakan. Untuk DH Group dari IPsec Configurations, group14 digunakan. Catatan Anda perlu memilih parameter enkripsi berdasarkan perangkat gateway lokal untuk memastikan bahwa konfigurasi enkripsi untuk koneksi IPsec sama dengan konfigurasi enkripsi untuk perangkat gateway lokal.
Tags	Tambahkan tag ke koneksi IPsec-VPN.	Dalam contoh ini, parameter ini dibiarkan kosong.

Di pesan Created, klik Cancel.
Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang telah dibuat, lalu klik Generate Peer Configuration pada kolom Actions.
Konfigurasi peer IPsec merujuk pada konfigurasi VPN yang perlu Anda tambahkan saat membuat koneksi IPsec-VPN. Dalam contoh ini, Anda perlu menambahkan konfigurasi VPN ke perangkat gateway pusat data.
Di kotak dialog IPsec-VPN Connection Configuration, salin dan simpan konfigurasi ke mesin lokal. Konfigurasi ini diperlukan saat Anda mengonfigurasi perangkat gateway pusat data.

Langkah 4: Mengonfigurasi perangkat gateway di pusat data

Setelah Anda membuat koneksi IPsec-VPN di Alibaba Cloud, Anda perlu menambahkan konfigurasi VPN dan perutean ke perangkat gateway di pusat data untuk mengizinkan perangkat gateway terhubung ke koneksi IPsec-VPN. Kemudian, lalu lintas jaringan ditransmisikan dari terowongan aktif ke VPC secara default. Jika terowongan aktif down, terowongan cadangan secara otomatis mengambil alih.

Catatan

Dalam contoh ini, perangkat lunak Adaptive Security Appliance (ASA) 9.19.1 digunakan untuk menjelaskan cara mengonfigurasi firewall Cisco. Perintah mungkin bervariasi tergantung versi perangkat lunak. Konsultasikan dokumentasi atau vendor Anda berdasarkan lingkungan aktual selama operasi. Untuk informasi lebih lanjut, lihat Konfigurasi Gateway Lokal.

Konten berikut berisi informasi produk pihak ketiga, yang hanya untuk referensi. Alibaba Cloud tidak memberikan jaminan atau bentuk komitmen lainnya untuk kinerja dan keandalan produk pihak ketiga, atau dampak potensial dari operasi yang dilakukan menggunakan produk-produk ini.

Masuk ke CLI firewall Cisco dan masuk ke mode konfigurasi.

ciscoasa> enable
Password: ********             # Masukkan kata sandi untuk masuk ke mode enable.
ciscoasa# configure terminal   # Masuk ke mode konfigurasi.
ciscoasa(config)#

Lihat konfigurasi antarmuka.

Verifikasi bahwa antarmuka telah dikonfigurasi dan diaktifkan di firewall Cisco. Dalam contoh ini, konfigurasi antarmuka berikut digunakan:

# Lihat konfigurasi antarmuka dari Perangkat Gateway Lokal 1.
ciscoasa(config)# show running-config interface
!
interface GigabitEthernet0/0
 nameif outside1                            # Nama antarmuka GigabitEthernet 0/0.
 security-level 0
 ip address 211.XX.XX.36 255.255.255.255    # Alamat IP publik dari antarmuka GigabitEthernet 0/0.
!
interface GigabitEthernet0/1                # Antarmuka yang terhubung ke pusat data.
 nameif private                             # Nama antarmuka GigabitEthernet 0/1.
 security-level 100                         # Tingkat keamanan antarmuka privat yang terhubung ke pusat data, yang lebih rendah daripada antarmuka publik.
 ip address 172.16.50.217 255.255.255.0    # Alamat IP dari antarmuka GigabitEthernet 0/1.
!
# Lihat konfigurasi antarmuka dari Perangkat Gateway Lokal 2.
ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/0
 nameif outside1                            # Nama antarmuka GigabitEthernet 0/0.
 security-level 0
 ip address 211.XX.XX.71 255.255.255.255    # Alamat IP publik dari antarmuka GigabitEthernet 0/0.
!
interface GigabitEthernet0/1                # Antarmuka yang terhubung ke pusat data.
 nameif private                             # Nama antarmuka GigabitEthernet 0/1.
 security-level 100                         # Tingkat keamanan antarmuka privat yang terhubung ke pusat data, yang lebih rendah daripada antarmuka publik.
 ip address 172.16.40.218 255.255.255.0    # Alamat IP dari antarmuka GigabitEthernet 0/1.
!

Aktifkan fitur IKEv2 untuk antarmuka publik.

# Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 1 dan 2:
crypto ikev2 enable outside1 # Aktifkan fitur IKEv2 untuk antarmuka outside1, yang merupakan antarmuka publik.

Buat kebijakan IKEv2 dan tentukan algoritma autentikasi, algoritma enkripsi, grup Diffie-Hellman (DH), dan masa hidup asosiasi keamanan (SA) dalam fase IKE. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

# Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 1 dan 2:
crypto ikev2 policy 10     
 encryption aes             # Tentukan algoritma enkripsi.
 integrity sha              # Tentukan algoritma autentikasi.
 group 14                   # Tentukan grup DH.
 prf sha                    # Nilai parameter prf harus sama dengan nilai parameter integrity. Secara default, nilai-nilai ini sama di Alibaba Cloud.
 lifetime seconds 86400     # Tentukan masa hidup SA.

Buat proposal IPsec dan profil, serta tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa hidup SA dalam fase IPsec di firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

# Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 1 dan 2:
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Buat proposal IPsec.
 protocol esp encryption aes                         # Tentukan algoritma enkripsi. Protokol Encapsulating Security Payload (ESP) digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP.
 protocol esp integrity sha-1                        # Tentukan algoritma autentikasi. Protokol Encapsulating Security Payload (ESP) digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP.
crypto ipsec profile ALIYUN-PROFILE                  
 set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Buat profil IPsec dan terapkan proposal yang dibuat.
 set ikev2 local-identity address                    # Tetapkan format ID lokal menjadi alamat IP, yang sama dengan format ID remote di Alibaba Cloud.
 set pfs group14                                     # Tentukan Perfect Forward Secrecy (PFS) dan grup DH.
 set security-association lifetime seconds 86400     # Tentukan masa hidup SA berbasis waktu.
 set security-association lifetime kilobytes unlimited # Nonaktifkan masa hidup SA berbasis trafik.

Buat grup terowongan dan tentukan kunci pra-berbagi untuk terowongan, yang harus sama dengan yang ada di Alibaba Cloud.

# Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 1:
tunnel-group 39.XX.XX.218 type ipsec-l2l                # Tentukan mode enkapsulasi l2l untuk Terowongan 1.
tunnel-group 39.XX.XX.218 ipsec-attributes             
 ikev2 remote-authentication pre-shared-key fddsFF123****  # Tentukan kunci pra-berbagi peer untuk Terowongan 1, yang merupakan kunci pra-berbagi di Alibaba Cloud.
 ikev2 local-authentication pre-shared-key fddsFF123**** # Tentukan kunci pra-berbagi lokal untuk Terowongan 1, yang harus sama dengan yang ada di Alibaba Cloud.
!
# Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 2:
tunnel-group 182.XX.XX.19 type ipsec-l2l                # Tentukan mode enkapsulasi l2l untuk Terowongan 2.
tunnel-group 182.XX.XX.19 ipsec-attributes
 ikev2 remote-authentication pre-shared-key fddsFF456****  # Tentukan kunci pra-berbagi peer untuk Terowongan 2, yang merupakan kunci pra-berbagi di Alibaba Cloud.
 ikev2 local-authentication pre-shared-key fddsFF456****   # Tentukan kunci pra-berbagi lokal untuk Terowongan 2, yang harus sama dengan yang ada di Alibaba Cloud.
!

Buat antarmuka terowongan.

# Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 1:
interface Tunnel1                                  # Buat antarmuka untuk Terowongan 1.
 nameif ALIYUN1
 ip address 169.254.10.2 255.255.255.252           # Tentukan alamat IP dari antarmuka.
 tunnel source interface outside1                  # Tentukan alamat IP dari antarmuka GigabitEthernet 0/0 sebagai alamat sumber Terowongan 1.
 tunnel destination 39.XX.XX.218                   # Tentukan alamat IP publik Terowongan 1 di Alibaba Cloud sebagai alamat tujuan Terowongan 1.
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ALIYUN-PROFILE    # Terapkan profil IPsec ALIYUN-PROFILE pada Terowongan 1.
 no shutdown                                       # Aktifkan antarmuka untuk Terowongan 1.
!
# Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 2:
interface Tunnel1                                  # Buat antarmuka untuk Terowongan 2.
 nameif ALIYUN1    
 ip address 169.254.20.2 255.255.255.252           # Tentukan alamat IP dari antarmuka.            
 tunnel source interface outside1                  # Tentukan alamat IP dari antarmuka GigabitEthernet 0/0 sebagai alamat sumber Terowongan 2.
 tunnel destination 182.XX.XX.19                   # Tentukan alamat IP publik Terowongan 2 di Alibaba Cloud sebagai alamat tujuan Terowongan 2.
 tunnel mode ipsec ipv4                            
 tunnel protection ipsec profile ALIYUN-PROFILE # Terapkan profil IPsec ALIYUN-PROFILE pada Terowongan 2.
 no shutdown                                       # Aktifkan antarmuka untuk Terowongan 2.
!

Konfigurasikan rute statis.

// Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 1:
route ALIYUN1 192.168.0.0 255.255.0.0 39.XX.XX.218          # Konfigurasikan rute statis yang mengarah ke VPC Alibaba Cloud (blok CIDR: 192.168.0.0/16).
route outside1 39.XX.XX.218 255.255.255.255 192.XX.XX.172   # Konfigurasikan rute untuk mengakses alamat IP publik Terowongan 1 di Alibaba Cloud. Hop berikutnya adalah alamat IP publik.
route private 172.16.0.0 255.255.0.0 172.16.50.216          # Konfigurasikan rute yang mengarah ke pusat data.
// Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 2:
route ALIYUN1 192.168.0.0 255.255.0.0 182.XX.XX.19          # Konfigurasikan rute statis yang mengarah ke VPC Alibaba Cloud (blok CIDR: 192.168.0.0/16).
route outside1 182.XX.XX.19 255.255.255.255 192.XX.XX.123   # Konfigurasikan rute untuk mengakses alamat IP publik Terowongan 2 di Alibaba Cloud. Hop berikutnya adalah alamat IP publik.
route private 172.16.0.0 255.255.0.0 172.16.40.219          # Konfigurasikan rute yang mengarah ke pusat data.

Tambahkan rute ke pusat data berdasarkan lingkungan jaringan Anda. Rute tersebut harus mengizinkan lalu lintas jaringan ditransmisikan dari pusat data ke VPC melalui Perangkat Gateway Lokal 1 secara prioritas. Jika Perangkat Gateway Lokal 1 down, Perangkat Gateway Lokal 2 secara otomatis mengambil alih. Hubungi vendor Anda untuk mendapatkan informasi tentang perintah spesifik.

Langkah 5: Menambahkan rute ke gateway VPN

Di panel navigasi sisi kiri, pilih Interconnections > VPN > VPN Gateways.
Di bilah navigasi atas, pilih wilayah gateway VPN.
Di halaman VPN Gateway, klik ID gateway VPN yang ingin dikelola.
Klik tab Destination-based Route Table dan klik Add Route Entry.

Di panel Add Route Entry, konfigurasikan parameter berikut, lalu klik OK.

Parameter	Deskripsi	Contoh
Destination CIDR Block	Masukkan blok CIDR privat pusat data.	Dalam contoh ini, 172.16.0.0/16 dimasukkan.
Next Hop Type	Pilih tipe hop berikutnya.	Dalam contoh ini, IPsec-VPN connection dipilih.
Next Hop	Pilih hop berikutnya.	Dalam contoh ini, IPsec-Connection dipilih.
Advertise to VPC	Tentukan apakah akan mengiklankan rute ke VPC yang dikaitkan dengan gateway VPN.	Dalam contoh ini, Yes dipilih.

Langkah 6: Uji konektivitas jaringan

Uji konektivitas jaringan antara VPC dan pusat data.
1. Masuk ke instance ECS di VPC. Untuk informasi lebih lanjut tentang cara masuk ke instance ECS, lihat Ikhtisar Metode Koneksi.
2. Jalankan perintah ping di instance ECS untuk ping server di pusat data guna menguji aksesibilitas pusat data.
  Jika paket balasan echo dikembalikan ke instance ECS, itu menunjukkan bahwa VPC dapat berkomunikasi dengan pusat data.
```
ping <Alamat IP privat server di pusat data>
```
Uji ketersediaan tinggi koneksi IPsec-VPN.
1. Masuk ke instance ECS di VPC. Untuk informasi lebih lanjut tentang cara masuk ke instance ECS, lihat Ikhtisar Metode Koneksi.
2. Jalankan perintah berikut untuk secara berturut-turut mengirim paket dari instance ECS ke pusat data:
```
ping <Alamat IP privat server di pusat data> -c 10000
```
3. Tutup terowongan aktif dari koneksi IPsec-VPN.
  Anda dapat menutup terowongan aktif dengan memodifikasi kunci pra-berbagi dari terowongan aktif. Terowongan aktif ditutup ketika kedua sisi terowongan menggunakan kunci pra-berbagi yang berbeda.
4. Setelah terowongan aktif ditutup, Anda dapat memeriksa status trafik di instance ECS. Jika trafik terputus dan kemudian dilanjutkan, itu menunjukkan bahwa terowongan cadangan secara otomatis mengambil alih setelah terowongan aktif down.

Terowongan IPsec	Alamat IP
Terowongan 1 (terowongan aktif)	39.XX.XX.218
Terowongan 2 (terowongan cadangan)	182.XX.XX.19