Gunakan koneksi IPsec-VPN dengan ketersediaan tinggi dan BGP untuk mengaktifkan komunikasi terenkripsi antara VPC dan pusat data. - VPN Gateway

Topik ini menjelaskan cara membuat koneksi IPsec-VPN dalam mode dual-tunnel antara Virtual Private Cloud (VPC) dan pusat data menggunakan gateway VPN publik. Koneksi ini memastikan komunikasi terenkripsi serta ketersediaan tinggi. Selain itu, Border Gateway Protocol (BGP) digunakan untuk pembelajaran rute otomatis, menyederhanakan operasi & pemeliharaan jaringan.

Prasyarat

Jika koneksi IPsec-VPN dikaitkan dengan gateway VPN, alamat IP publik harus ditetapkan ke perangkat gateway di pusat data.
Disarankan untuk mengonfigurasi dua alamat IP publik untuk perangkat gateway di pusat data atau menerapkan dua perangkat gateway dengan masing-masing memiliki alamat IP publik. Hal ini memungkinkan pembuatan koneksi IPsec-VPN dengan ketersediaan tinggi. Untuk informasi lebih lanjut tentang wilayah yang mendukung mode dual-tunnel, lihat Mengaitkan Koneksi IPsec-VPN dengan Gateway VPN.
Perangkat gateway di pusat data harus mendukung protokol IKEv1 atau IKEv2 untuk membuat koneksi IPsec-VPN dengan transit router.
Blok CIDR pusat data tidak boleh tumpang tindih dengan blok CIDR jaringan yang akan diakses.
Perangkat gateway lokal di pusat data harus mendukung perutean dinamis BGP.

Contoh

Dalam contoh ini, sebuah perusahaan telah membuat VPC di wilayah China (Hohhot) dengan blok CIDR utama 192.168.0.0/16. Perusahaan tersebut memiliki pusat data di Hohhot dengan blok CIDR 172.16.0.0/16 yang perlu mengakses VPC. Untuk memenuhi kebutuhan ini, perusahaan dapat membuat koneksi IPsec-VPN antara VPC dan pusat data. Koneksi ini memastikan komunikasi terenkripsi serta ketersediaan tinggi.

IDC和VPC互通（双隧道）.png

Blok CIDR terowongan BGP

Dalam contoh ini, pusat data dan VPC menggunakan BGP untuk secara otomatis mempelajari dan mengiklankan rute. Tabel berikut menjelaskan blok CIDR terowongan BGP pusat data dan koneksi IPsec-VPN.

Catatan

Jika koneksi IPsec-VPN menggunakan perutean dinamis BGP, Local ASN dari kedua terowongan harus sama. ASN peer dari kedua terowongan bisa berbeda, tetapi disarankan untuk menggunakan ASN peer yang sama.

Item	Terowongan IPsec	BGP ASN	Blok CIDR terowongan BGP	Alamat IP BGP
Koneksi IPsec-VPN	Terowongan aktif	65530	169.254.10.0/30	169.254.10.1
Koneksi IPsec-VPN	Terowongan cadangan	65530	169.254.20.0/30	169.254.20.1
Pusat data	Terowongan aktif	65500	169.254.10.0/30	169.254.10.2
Pusat data	Terowongan cadangan	65500	169.254.20.0/30	169.254.20.2

Persiapan

VPC dibuat di wilayah China (Hohhot), dan beban kerja diterapkan pada instance Elastic Compute Service (ECS) di VPC. Untuk informasi lebih lanjut, lihat Membuat VPC dengan Blok CIDR IPv4.
Aturan grup keamanan yang dikonfigurasi pada instance ECS di VPC dan aturan kontrol akses pusat data mengizinkan pusat data dan VPC untuk berkomunikasi satu sama lain. Untuk informasi lebih lanjut tentang aturan grup keamanan untuk instance ECS,lihat Melihat Aturan Grup Keamanan dan Menambahkan Aturan Grup Keamanan.

Prosedur

Langkah 1: Membuat gateway VPN

Masuk ke konsol VPN Gateway.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway VPN.
Gateway VPN dan VPC yang perlu diakses oleh pusat data harus berada di wilayah yang sama.
Di halaman VPN Gateway, klik Create VPN Gateway.

Di halaman pembelian, konfigurasikan parameter berikut, klik Buy Now, lalu selesaikan pembayaran.

Parameter	Deskripsi	Contoh
Name	Masukkan nama untuk gateway VPN.	Dalam contoh ini, VPNGW digunakan.
Resource Group	Pilih grup sumber daya tempat gateway VPN milik. Jika Anda membiarkan parameter ini kosong, gateway VPN termasuk dalam grup sumber daya default.	Dalam contoh ini, parameter ini dibiarkan kosong.
Wilayah	Pilih wilayah tempat Anda ingin membuat gateway VPN.	Dalam contoh ini, China (Hohhot) dipilih.
Gateway Type	Pilih tipe gateway.	Dalam contoh ini, Standard dipilih.
Network Type	Pilih tipe jaringan untuk gateway VPN. Public: Gateway VPN dapat digunakan untuk membuat koneksi VPN melalui Internet. Private: Gateway VPN dapat digunakan untuk membuat koneksi VPN melalui jaringan privat.	Dalam contoh ini, opsi Public dipilih.
Tunnels	Pilih mode terowongan. Nilai valid: Dual-tunnel Single-tunnel Untuk informasi lebih lanjut tentang mode single-tunnel dan dual-tunnel, lihat [Pemberitahuan Peningkatan] Koneksi IPsec-VPN Mendukung Mode Dual-Tunnel.	Dalam contoh ini, nilai default Dual-tunnel digunakan.
VPC	Pilih VPC yang ingin Anda asosiasikan dengan gateway VPN.	Dalam contoh ini, VPC yang diterapkan di wilayah China (Hohhot) dipilih.
VSwitch	Pilih vSwitch dari VPC yang dipilih. Jika Anda memilih Single-tunnel, Anda hanya perlu menentukan satu vSwitch. Jika Anda memilih Dual-tunnel, Anda perlu menentukan dua vSwitch. Setelah fitur IPsec-VPN diaktifkan, sistem membuat antarmuka jaringan elastis (ENI) untuk masing-masing dari dua vSwitch sebagai antarmuka untuk berkomunikasi dengan VPC melalui koneksi IPsec-VPN. Setiap ENI menempati satu alamat IP di vSwitch. Catatan Sistem memilih vSwitch secara default. Anda dapat mengubahnya atau menggunakan vSwitch default. Setelah gateway VPN dibuat, Anda tidak dapat memodifikasi vSwitch yang terkait dengan gateway VPN. Anda dapat melihat vSwitch yang terkait dengan gateway VPN, zona tempat vSwitch berada, dan ENI di vSwitch pada halaman detail gateway VPN.	Dalam contoh ini, vSwitch di VPC dipilih.
vSwitch 2	Pilih vSwitch lain dari VPC yang dipilih. Tentukan dua vSwitch di zona berbeda di VPC terkait untuk mengimplementasikan pemulihan bencana lintas zona untuk koneksi IPsec-VPN. Untuk wilayah yang hanya mendukung satu zona, pemulihan bencana lintas zona tidak didukung. Kami menyarankan Anda menentukan dua vSwitch di zona tersebut untuk mengimplementasikan ketersediaan tinggi koneksi IPsec-VPN. Anda juga dapat memilih vSwitch yang sama seperti yang pertama. Catatan Jika hanya satu vSwitch yang diterapkan di VPC, buat vSwitch. Untuk informasi lebih lanjut, lihat Membuat dan Mengelola vSwitch.	Dalam contoh ini, vSwitch lain di VPC dipilih.
Bandwidth Puncak	Pilih nilai bandwidth maksimum untuk VPN Gateway. Satuan: Mbit/s.	Dalam contoh ini, nilai default digunakan.
Traffic	Pilih metode pengukuran untuk gateway VPN. Nilai default: Pay-by-data-transfer. Untuk informasi lebih lanjut, lihat Penagihan.	Dalam contoh ini, nilai default digunakan.
IPsec-VPN	Tentukan apakah akan mengaktifkan IPsec-VPN. Nilai default: Enable.	Dalam contoh ini, Aktifkan dipilih.
SSL-VPN	Tentukan apakah akan mengaktifkan SSL-VPN. Nilai default: Nonaktifkan.	Dalam contoh ini, Nonaktifkan dipilih.
Durasi	Pilih siklus penagihan untuk gateway VPN. Nilai default: By Hour.	Dalam contoh ini, nilai default digunakan.
Service-linked Role	Klik Create Service-linked Role. Sistem secara otomatis membuat peran terkait layanan AliyunServiceRoleForVpn. Gateway VPN menggunakan peran ini untuk mengakses sumber daya cloud lainnya. Jika Created ditampilkan, peran terkait layanan telah dibuat dan Anda tidak perlu membuatnya lagi.	Konfigurasikan parameter ini berdasarkan kondisi aktual.

Setelah Anda membuat gateway VPN, lihat gateway VPN di halaman VPN Gateway.
Gateway VPN yang baru dibuat berada dalam status Preparing dan berubah menjadi status Normal setelah sekitar 1 hingga 5 menit. Setelah status berubah menjadi Normal, gateway VPN siap digunakan.
Dua alamat IP publik ditetapkan untuk setiap gateway VPN publik untuk membuat dua terowongan terenkripsi. Tabel berikut menjelaskan alamat IP publik yang ditetapkan ke gateway VPN.
Terowongan IPsec
Alamat IP
Terowongan 1 (terowongan aktif)
39.XX.XX.218
Terowongan 2 (terowongan cadangan)
182.XX.XX.19

Langkah 2: Membuat gateway pelanggan

Di bilah navigasi sisi kiri, pilih Interconnections > VPN > Customer Gateways.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway pelanggan.
Pastikan bahwa gateway pelanggan dan gateway VPN yang akan dihubungkan diterapkan di wilayah yang sama.
Di halaman Customer Gateways, klik Create Customer Gateway.

Di panel Create Customer Gateway, konfigurasikan parameter berikut dan klik OK.

Anda harus membuat dua gateway pelanggan untuk membuat dua terowongan terenkripsi. Tabel berikut hanya menjelaskan parameter yang relevan dengan topik ini. Anda dapat menggunakan nilai default untuk parameter lainnya atau membiarkannya kosong. Untuk informasi lebih lanjut, lihat Membuat dan Mengelola Gateway Pelanggan.

Parameter	Deskripsi	Gateway pelanggan 1	Gateway pelanggan 2
Name	Nama gateway pelanggan.	CustomerGW1	CustomerGW2
IP Address	Alamat IP publik perangkat gateway di pusat data.	211.XX.XX.36	211.XX.XX.71
ASN	Nomor sistem otonom BGP (ASN) perangkat gateway di pusat data.	65500	65500

Langkah 3: Membuat koneksi IPsec-VPN

Di bilah navigasi sisi kiri, pilih Interconnections > VPN > IPsec Connections.
Di halaman IPsec Connections, klik Bind VPN Gateway.

Di halaman Create Ipsec-vpn Connection (VPN), konfigurasikan parameter berikut dan klik OK.

Parameter	Deskripsi	Contoh
Name	Masukkan nama untuk koneksi IPsec-VPN.	Dalam contoh ini, IPsec-Connection digunakan.
Region	Pilih wilayah tempat gateway VPN yang akan dikaitkan dengan koneksi IPsec-VPN diterapkan. Koneksi IPsec-VPN dibuat di wilayah yang sama dengan gateway VPN.	China (Hohhot)
Resource Group	Grup sumber daya tempat gateway VPN milik.	Pilih grup sumber daya default.
Bind VPN Gateway	Pilih gateway VPN yang ingin Anda asosiasikan dengan koneksi IPsec-VPN.	Dalam contoh ini, gateway VPN VPNGW dipilih.
Routing Mode	Pilih mode perutean. Destination Routing Mode: Lalu lintas diteruskan berdasarkan alamat IP tujuan. Protected Data Flows: Lalu lintas diteruskan berdasarkan alamat IP sumber dan tujuan.	Dalam contoh ini, Destination Routing Mode dipilih. Catatan Jika BGP digunakan, kami menyarankan Anda mengatur parameter Mode Perutean ke Destination Routing Mode.
Effective Immediately	Tentukan apakah akan segera memulai negosiasi untuk koneksi. Nilai valid: Yes: memulai negosiasi setelah konfigurasi selesai. No: memulai negosiasi ketika lalu lintas masuk terdeteksi.	Dalam contoh ini, Yes dipilih.
Enable BGP	Tentukan apakah akan mengaktifkan Border Gateway Protocol (BGP). Jika Anda ingin menggunakan perutean BGP untuk koneksi IPsec-VPN, nyalakan Aktifkan BGP. Secara default, Aktifkan BGP dimatikan.	Dalam topik ini, BGP diaktifkan.
Local ASN	ASN di sisi VPC. Nilai default: 45104. Nilai valid: 1 hingga 4294967295.	Dalam contoh ini, 65530 digunakan.
Tunnel 1	Konfigurasikan parameter VPN untuk terowongan aktif. Secara default, Terowongan 1 berfungsi sebagai terowongan aktif dan Terowongan 2 berfungsi sebagai terowongan cadangan. Anda tidak dapat memodifikasi konfigurasi ini.
Customer Gateway	Pilih gateway pelanggan yang ingin Anda asosiasikan dengan terowongan aktif.	Dalam contoh ini, CustomerGW1 dipilih.
Pre-Shared Key	Masukkan kunci bersama untuk terowongan aktif untuk memverifikasi identitas. Kunci harus memiliki panjang 1 hingga 100 karakter dan dapat berisi angka, huruf besar, huruf kecil, dan karakter khusus berikut: ~`!@#$%^&()_-+={}[]\\|;:',.<>/?. Kunci tidak boleh berisi karakter spasi. Jika Anda tidak menentukan kunci pra-berbagi, sistem secara acak menghasilkan string 16 karakter sebagai kunci pra-berbagi. Setelah Anda membuat koneksi IPsec-VPN, Anda dapat mengklik Edit* untuk terowongan tersebut untuk melihat kunci pra-berbagi yang dihasilkan oleh sistem. Untuk informasi lebih lanjut, lihat Modifikasi Konfigurasi Terowongan. Penting Koneksi IPsec-VPN dan perangkat gateway peer harus menggunakan kunci pra-berbagi yang sama. Jika tidak, sistem tidak dapat membuat koneksi IPsec-VPN.	Dalam contoh ini, fddsFF123**** digunakan.
Encryption Configuration	Parameter untuk Internet Key Exchange (IKE), IPsec, deteksi peer mati (DPD), dan fitur traversal NAT.	Dalam contoh ini, nilai default digunakan untuk semua parameter kecuali yang berikut ini. Untuk informasi lebih lanjut, lihat Buat dan Kelola Koneksi IPsec-VPN dalam Mode Dual-Tunnel. Atur parameter DH Group di bagian IKE Configurations ke group14. Atur parameter DH Group di bagian IPsec Configurations ke group14. Catatan Anda perlu memilih parameter enkripsi berdasarkan perangkat gateway lokal untuk memastikan bahwa konfigurasi enkripsi untuk koneksi IPsec sama dengan konfigurasi enkripsi untuk perangkat gateway lokal.
BGP Configuration	Parameter BGP. Tunnel CIDR Block blok CIDR terowongan aktif. Blok CIDR harus berada dalam 169.254.0.0/16. Subnet mask dari blok CIDR harus memiliki panjang 30 bit. Blok CIDR tidak boleh 169.254.0.0/30, 169.254.1.0/30, 169.254.2.0/30, 169.254.3.0/30, 169.254.4.0/30, 169.254.5.0/30, 169.254.6.0/30, atau 169.254.169.252/30. Catatan Pada gateway VPN, blok CIDR setiap terowongan harus unik. Local BGP IP address alamat IP BGP terowongan. Alamat IP harus berada dalam blok CIDR terowongan.	Tunnel CIDR Block 169.254.10.0/30. Local BGP IP address 169.254.10.1.
Tunnel 2	Konfigurasikan parameter VPN untuk terowongan cadangan.
Customer Gateway	Pilih gateway pelanggan yang ingin Anda asosiasikan dengan terowongan cadangan.	Dalam contoh ini, CustomerGW2 dipilih.
Pre-Shared Key	Masukkan kunci pra-berbagi untuk terowongan cadangan guna memverifikasi identitas.	Contohnya, fddsFF456**** digunakan.
Encryption Configuration	Parameter untuk IKE, IPsec, DPD, dan fitur traversal NAT.	Dalam contoh ini, nilai default digunakan untuk semua parameter kecuali yang berikut. Untuk informasi lebih lanjut, lihat Buat dan kelola koneksi IPsec-VPN dalam mode dual-tunnel. Atur parameter DH Group di bagian IKE Configurations menjadi group14. Atur parameter DH Group di bagian IPsec Configurations menjadi group14. Catatan Pilih parameter enkripsi berdasarkan perangkat gateway lokal untuk memastikan bahwa konfigurasi enkripsi koneksi IPsec sesuai dengan konfigurasi enkripsi perangkat gateway lokal.
BGP Configuration	Parameter BGP.	Tunnel CIDR Block 169.254.20.0/30. Local BGP IP address 169.254.20.1.
Tags	Tambahkan tag ke koneksi IPsec-VPN.	Dalam contoh ini, parameter ini dibiarkan kosong.

Dalam pesan Created, klik Cancel.
Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang Anda buat dan klik Generate Peer Configuration di kolom Actions.
Konfigurasi peer IPsec mengacu pada konfigurasi VPN yang perlu Anda tambahkan saat membuat koneksi IPsec-VPN. Dalam contoh ini, Anda perlu menambahkan konfigurasi VPN ke perangkat gateway pusat data.
Di kotak dialog IPsec-VPN Connection Configuration, salin dan simpan konfigurasi ke mesin lokal. Konfigurasi ini diperlukan saat Anda mengonfigurasi perangkat gateway pusat data.

Langkah 4: Mengaktifkan perutean dinamis BGP

Setelah fitur perutean dinamis BGP diaktifkan pada gateway VPN, gateway tersebut dapat mempelajari rute dari pusat data dan mengiklankannya ke VPC.

Di bilah navigasi sisi kiri, pilih Cross-network Interconnection > VPN > VPN Gateways.
Di bilah menu atas, pilih wilayah untuk gateway VPN.
Pada halaman VPN Gateways, temukan gateway VPN yang telah dibuat dan aktifkan sakelar di kolom Enable Automatic Route Advertisement.

Langkah 5: Mengonfigurasi perangkat gateway di pusat data

Setelah membuat koneksi IPsec-VPN di Alibaba Cloud, Anda perlu menambahkan konfigurasi VPN dan perutean ke perangkat gateway di pusat data agar perangkat tersebut dapat terhubung ke koneksi IPsec-VPN. Secara default, lalu lintas jaringan ditransmisikan melalui terowongan aktif ke VPC. Jika terowongan aktif gagal, sistem secara otomatis mengalihkan lalu lintas ke terowongan cadangan.

Catatan

Dalam contoh ini, perangkat lunak Adaptive Security Appliance (ASA) 9.19.1 digunakan untuk menjelaskan cara mengonfigurasi firewall Cisco. Perintah dapat bervariasi tergantung pada versi perangkat lunak. Konsultasikan dokumentasi atau vendor Anda sesuai dengan lingkungan aktual selama operasi. Untuk informasi lebih lanjut, lihat Mengonfigurasi Gateway Lokal.

Konten berikut mencakup informasi produk pihak ketiga yang hanya disediakan untuk referensi. Alibaba Cloud tidak memberikan jaminan atau komitmen lainnya terkait kinerja dan keandalan produk pihak ketiga, atau dampak potensial dari operasi yang dilakukan menggunakan produk-produk tersebut.

Masuk ke CLI firewall Cisco dan akses mode konfigurasi.

ciscoasa> enable
Password: ********             # Masukkan kata sandi untuk masuk ke mode enable.
ciscoasa# configure terminal   # Masuk ke mode konfigurasi.
ciscoasa(config)#

Periksa konfigurasi antarmuka.

Pastikan antarmuka telah dikonfigurasi dan diaktifkan di firewall Cisco. Dalam contoh ini, konfigurasi antarmuka berikut digunakan:

# Lihat konfigurasi antarmuka Perangkat Gateway Lokal 1.
ciscoasa(config)# show running-config interface
!
interface GigabitEthernet0/0
 nameif outside1                            # Nama antarmuka GigabitEthernet 0/0.
 security-level 0
 ip address 211.XX.XX.36 255.255.255.255    # Alamat IP publik antarmuka GigabitEthernet 0/0.
!
interface GigabitEthernet0/1                # Antarmuka yang terhubung ke pusat data.
 nameif private                             # Nama antarmuka GigabitEthernet 0/1.
 security-level 100                         # Tingkat keamanan antarmuka privat yang terhubung ke pusat data, yang lebih rendah daripada antarmuka publik.
 ip address 172.16.50.217 255.255.255.0    # Alamat IP antarmuka GigabitEthernet 0/1.
!
# Lihat konfigurasi antarmuka Perangkat Gateway Lokal 2.
ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/0
 nameif outside1                            # Nama antarmuka GigabitEthernet 0/0.
 security-level 0
 ip address 211.XX.XX.71 255.255.255.255    # Alamat IP publik antarmuka GigabitEthernet 0/0.
!
interface GigabitEthernet0/1                # Antarmuka yang terhubung ke pusat data.
 nameif private                             # Nama antarmuka GigabitEthernet 0/1.
 security-level 100                         # Tingkat keamanan antarmuka privat yang terhubung ke pusat data, yang lebih rendah daripada antarmuka publik.
 ip address 172.16.40.218 255.255.255.0    # Alamat IP antarmuka GigabitEthernet 0/1.
!

Aktifkan fitur IKEv2 untuk antarmuka publik.

# Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 1 dan 2:
crypto ikev2 enable outside1 # Aktifkan fitur IKEv2 untuk antarmuka outside1, yang merupakan antarmuka publik.

Buat kebijakan IKEv2 dan tentukan algoritma autentikasi, algoritma enkripsi, grup Diffie-Hellman (DH), serta masa hidup asosiasi keamanan (SA) dalam fase IKE. Nilai-nilai ini harus sesuai dengan konfigurasi di Alibaba Cloud.

# Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 1 dan 2:
crypto ikev2 policy 10     
 encryption aes             # Tentukan algoritma enkripsi.
 integrity sha              # Tentukan algoritma autentikasi.
 group 14                   # Tentukan grup DH.
 prf sha                    # Nilai parameter prf harus sama dengan nilai parameter integrity. Secara default, nilai-nilai ini sama di Alibaba Cloud.
 lifetime seconds 86400     # Tentukan masa hidup SA.

Buat proposal IPsec dan profil, serta tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa hidup SA dalam fase IPsec di firewall Cisco. Nilai-nilai ini harus sesuai dengan konfigurasi di Alibaba Cloud.

# Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 1 dan 2:
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Buat proposal IPsec.
 protocol esp encryption aes                         # Tentukan algoritma enkripsi. Protokol Encapsulating Security Payload (ESP) digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP.
 protocol esp integrity sha-1                        # Tentukan algoritma autentikasi. Protokol Encapsulating Security Payload (ESP) digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP.
crypto ipsec profile ALIYUN-PROFILE                  
 set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Buat profil IPsec dan terapkan proposal yang dibuat.
 set ikev2 local-identity address                    # Atur format ID lokal menjadi alamat IP, yang sama dengan format ID remote di Alibaba Cloud.
 set pfs group14                                     # Tentukan Perfect Forward Secrecy (PFS) dan grup DH.
 set security-association lifetime seconds 86400     # Tentukan masa hidup SA berbasis waktu.
 set security-association lifetime kilobytes unlimited # Nonaktifkan masa hidup SA berbasis lalu lintas.

Buat grup terowongan dan tentukan kunci pra-berbagi untuk terowongan, yang harus sesuai dengan konfigurasi di Alibaba Cloud.

# Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 1:
tunnel-group 39.XX.XX.218 type ipsec-l2l                # Tentukan mode enkapsulasi l2l untuk Terowongan 1.
tunnel-group 39.XX.XX.218 ipsec-attributes             
 ikev2 remote-authentication pre-shared-key fddsFF123****  # Tentukan kunci pra-berbagi peer untuk Terowongan 1, yang merupakan kunci pra-berbagi di Alibaba Cloud.
 ikev2 local-authentication pre-shared-key fddsFF123**** # Tentukan kunci pra-berbagi lokal untuk Terowongan 1, yang harus sama dengan yang ada di Alibaba Cloud.
!
# Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 2:
tunnel-group 182.XX.XX.19 type ipsec-l2l                # Tentukan mode enkapsulasi l2l untuk Terowongan 2.
tunnel-group 182.XX.XX.19 ipsec-attributes
 ikev2 remote-authentication pre-shared-key fddsFF456****  # Tentukan kunci pra-berbagi peer untuk Terowongan 2, yang merupakan kunci pra-berbagi di Alibaba Cloud.
 ikev2 local-authentication pre-shared-key fddsFF456****   # Tentukan kunci pra-berbagi lokal untuk Terowongan 2, yang harus sama dengan yang ada di Alibaba Cloud.
!

Buat antarmuka terowongan.

# Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 1:
interface Tunnel1                                  # Buat antarmuka untuk Terowongan 1.
 nameif ALIYUN1
 ip address 169.254.10.2 255.255.255.252           # Tentukan alamat IP antarmuka.
 tunnel source interface outside1                  # Tentukan alamat IP antarmuka GigabitEthernet 0/0 sebagai alamat sumber Terowongan 1.
 tunnel destination 39.XX.XX.218                   # Tentukan alamat IP publik Terowongan 1 di Alibaba Cloud sebagai alamat tujuan Terowongan 1.
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ALIYUN-PROFILE    # Terapkan profil IPsec ALIYUN-PROFILE pada Terowongan 1.
 no shutdown                                       # Aktifkan antarmuka untuk Terowongan 1.
!
# Tambahkan konfigurasi berikut ke Perangkat Gateway Lokal 2:
interface Tunnel1                                  # Buat antarmuka untuk Terowongan 2.
 nameif ALIYUN1    
 ip address 169.254.20.2 255.255.255.252           # Tentukan alamat IP antarmuka.            
 tunnel source interface outside1                  # Tentukan alamat IP antarmuka GigabitEthernet 0/0 sebagai alamat sumber Terowongan 2.
 tunnel destination 182.XX.XX.19                   # Tentukan alamat IP publik Terowongan 2 di Alibaba Cloud sebagai alamat tujuan Terowongan 2.
 tunnel mode ipsec ipv4                            
 tunnel protection ipsec profile ALIYUN-PROFILE # Terapkan profil IPsec ALIYUN-PROFILE pada Terowongan 2.
 no shutdown                                       # Aktifkan antarmuka untuk Terowongan 2.
!

Konfigurasikan rute.

# Tambahkan konfigurasi berikut ke Perangkat Gateway 1 di pusat data.
route outside1 39.XX.XX.218 255.255.255.255 192.XX.XX.172   # Konfigurasikan rute yang mengarah ke alamat IP publik Terowongan 1 di sisi Alibaba Cloud. Hop berikutnya adalah alamat IP eksternal.
route private 172.16.0.0 255.255.0.0 172.16.50.216          # Konfigurasikan rute yang mengarah ke pusat data.

router bgp 65500
 address-family ipv4 unicast
  neighbor 169.254.10.1 remote-as 65530       # Tentukan peer BGP, yaitu alamat IP Terowongan 1 di sisi Alibaba Cloud.
  neighbor 169.254.10.1 ebgp-multihop 255
  neighbor 169.254.10.1 activate              # Aktifkan peer BGP.
  network 172.16.0.0 mask 255.255.0.0        # Iklankan blok CIDR pusat data.
 exit-address-family

# Tambahkan konfigurasi berikut ke Perangkat Gateway 2 di pusat data.
route outside1 182.XX.XX.19 255.255.255.255 192.XX.XX.123   # Konfigurasikan rute yang mengarah ke alamat IP publik Terowongan 2 di sisi Alibaba Cloud. Hop berikutnya adalah alamat IP publik eksternal.
route private 172.16.0.0 255.255.0.0 172.16.40.219          # Konfigurasikan rute yang mengarah ke pusat data.

router bgp 65500
 address-family ipv4 unicast
  neighbor 169.254.20.1 remote-as 65530       # Tentukan peer BGP, yaitu alamat IP Terowongan 2 di sisi Alibaba Cloud.
  neighbor 169.254.20.1 ebgp-multihop 255
  neighbor 169.254.20.1 activate              # Aktifkan peer BGP.
  network 172.16.0.0 mask 255.255.0.0        # Iklankan blok CIDR pusat data.
 exit-address-family

Setelah menyelesaikan konfigurasi sebelumnya, koneksi IPsec-VPN dibuat antara pusat data dan gateway VPN. Pusat data dan gateway VPN dapat mempelajari rute satu sama lain melalui BGP.

Tambahkan rute ke pusat data sesuai dengan lingkungan jaringan Anda. Rute tersebut harus memprioritaskan transmisi lalu lintas jaringan dari pusat data ke VPC melalui Perangkat Gateway Lokal 1. Jika Perangkat Gateway Lokal 1 mati, Perangkat Gateway Lokal 2 akan secara otomatis mengambil alih. Hubungi vendor Anda untuk informasi tentang perintah spesifik.

Langkah 6: Uji konektivitas jaringan

Uji konektivitas jaringan antara VPC dan pusat data.
1. Masuk ke instance ECS di VPC. Untuk informasi lebih lanjut tentang cara masuk ke instance ECS, lihat Ikhtisar Metode Koneksi.
2. Jalankan perintah ping di instance ECS untuk memeriksa aksesibilitas server di pusat data.
  Jika paket balasan echo dikembalikan ke instance ECS, itu menunjukkan bahwa VPC dapat berkomunikasi dengan pusat data.
```
ping <Alamat IP Privat server di pusat data>
```
Uji ketersediaan tinggi koneksi IPsec-VPN.
1. Masuk ke instance ECS di VPC. Untuk informasi lebih lanjut tentang cara masuk ke instance ECS, lihat Ikhtisar Metode Koneksi.
2. Jalankan perintah berikut untuk mengirim paket secara berturut-turut dari instance ECS ke pusat data:
```
ping <Alamat IP Privat server di pusat data> -c 10000
```
3. Tutup terowongan aktif koneksi IPsec-VPN.
  Anda dapat menutup terowongan aktif dengan memodifikasi kunci pra-berbagi terowongan aktif. Terowongan aktif ditutup ketika kedua sisi terowongan menggunakan kunci pra-berbagi yang berbeda.
4. Setelah terowongan aktif ditutup, Anda dapat memeriksa status lalu lintas di instance ECS. Jika lalu lintas terputus dan kemudian pulih, itu menunjukkan bahwa terowongan cadangan secara otomatis mengambil alih setelah terowongan aktif mati.

Terowongan IPsec	Alamat IP
Terowongan 1 (terowongan aktif)	39.XX.XX.218
Terowongan 2 (terowongan cadangan)	182.XX.XX.19