Setelah mengonfigurasi koneksi IPsec terkait dengan router transit, Anda dapat membuat koneksi IPsec-VPN antara pusat data dan router transit. Dengan cara ini, pusat data dapat mengakses jaringan lain melalui router transit.
Prasyarat
Sebelum membuat koneksi IPsec-VPN antara pusat data dan router transit, pastikan prasyarat berikut telah dipenuhi:
Jika Anda mengaitkan koneksi IPsec publik dengan router transit, alamat IP publik harus ditetapkan ke perangkat gateway di pusat data.
Disarankan untuk mengonfigurasi dua alamat IP publik pada perangkat gateway di pusat data. Sebagai alternatif, Anda dapat menerapkan dua perangkat gateway di pusat data dan mengonfigurasi alamat IP publik untuk setiap perangkat. Dengan cara ini, Anda dapat membuat koneksi IPsec-VPN dengan tingkat ketersediaan tinggi.
Perangkat gateway di pusat data harus mendukung protokol IKEv1 atau IKEv2 untuk membangun koneksi IPsec-VPN dengan router transit.
Blok CIDR pusat data tidak boleh tumpang tindih dengan blok CIDR jaringan yang akan diakses.
Jika kebijakan keamanan seperti daftar kontrol akses (ACL) dikonfigurasi untuk jaringan yang akan diakses, kebijakan tersebut harus mengizinkan akses dari pusat data.
Batasan
Anda hanya dapat mengaitkan koneksi IPsec dengan router transit di wilayah tertentu. Untuk informasi lebih lanjut tentang wilayah yang didukung, lihat Wilayah yang Mendukung Fitur IPsec-VPN.
Dalam skenario di mana koneksi IPsec dikaitkan dengan router transit, koneksi IPsec hanya dapat dikaitkan dengan router transit edisi perusahaan.
Prosedur
Nomor urut | Referensi | Deskripsi |
1 | Router transit diterapkan pada instance Cloud Enterprise Network (CEN). Sebelum Anda membuat router transit, Anda harus membuat instance CEN. | |
2 | Router transit adalah elemen jaringan utama di suatu wilayah yang digunakan untuk meneruskan lalu lintas jaringan. Sebelum Anda dapat menggunakan router transit, Anda harus membuat router transit di wilayah tempat pusat data diterapkan atau di wilayah yang dekat dengan pusat data. Penting Saat Anda membuat router transit, Anda harus mengonfigurasi blok CIDR untuk router transit. Jika tidak, koneksi IPsec tidak dapat dikaitkan dengan router transit. Jika Anda telah membuat router transit, Anda dapat mengonfigurasi blok CIDR untuk router transit. Untuk informasi lebih lanjut, lihat Blok CIDR router transit. | |
3 | Anda harus membuat gateway pelanggan dan menambahkan informasi tentang perangkat gateway di pusat data seperti alamat IP dan nomor sistem otonom Border Gateway Protocol (BGP) (ASN) ke gateway pelanggan di Alibaba Cloud. | |
4 | Koneksi IPsec-VPN adalah terowongan transmisi data terenkripsi antara pusat data dan router transit. Saat Anda membuat koneksi IPsec-VPN, atur parameter Associate Resource menjadi CEN atau Do Not Associate. | |
5 | Anda harus menambahkan konfigurasi VPN ke perangkat gateway di pusat data sehingga dapat bernegosiasi dengan koneksi IPsec untuk membangun koneksi IPsec-VPN. | |
6 | Anda harus mengonfigurasi rute yang mengarah ke pusat data untuk koneksi IPsec-VPN dan mengiklankan rute ke tabel rute router transit. Dengan cara ini, pusat data dapat terhubung ke router transit. | |
7 | Uji konektivitas jaringan | Masuk ke server di pusat data dan jalankan perintah ping untuk ping alamat IP pribadi server di jaringan yang akan diakses. |
Referensi
Hubungkan Pusat Data ke Beberapa VPC di Wilayah Berbeda Melalui Koneksi IPsec-VPN