IPsec-VPN menyediakan dua mode pengikatan—yaitu VPN Gateway dan Transit Router—yang masing-masing sesuai untuk arsitektur jaringan dengan skala dan kebutuhan ketersediaan berbeda.
Panduan cepat
Berapa banyak VPC yang perlu Anda hubungkan?
Satu VPC → Pilih VPN Gateway
Beberapa VPC (dalam wilayah yang sama atau lintas wilayah) → Pilih Transit Router
Apakah Anda memerlukan load balancing ECMP?
Tidak (pemulihan bencana aktif-standby sudah cukup) → VPN Gateway memenuhi kebutuhan ini
Ya (beberapa tautan membawa traffic secara bersamaan) → Pilih Transit Router
Berapa kebutuhan bandwidth untuk satu koneksi IPsec?
1 Gbps atau kurang → Kedua mode cocok
1 hingga 2 Gbps → Pilih Transit Router (mendukung hingga 2 Gbps per koneksi)
Lebih dari 2 Gbps → Pilih Transit Router dan gunakan beberapa koneksi dengan ECMP untuk meningkatkan bandwidth
Apakah Anda memerlukan SSL-VPN?
Untuk akses jarak jauh SSL-VPN → Pilih Standard VPN Gateway
Tidak → Tentukan berdasarkan kriteria sebelumnya
Perbandingan fitur
Fitur | VPN Gateway | Transit Router |
Kasus penggunaan | Menghubungkan data center on-premises ke satu VPC | Menghubungkan data center on-premises ke beberapa VPC |
Algoritma enkripsi yang didukung |
|
|
Tunnel Mode | Dual-tunnel (aktif-standby) Beberapa instans VPN Gateway lama hanya mendukung koneksi IPsec-VPN single-tunnel. Kami merekomendasikan meningkatkan ke mode dual-tunnel. | Dual-tunnel (ECMP) Koneksi IPsec single-tunnel lama tidak menyediakan ketersediaan tinggi. Kami merekomendasikan agar Anda menghapus dan membuat ulang koneksi IPsec pada waktu yang tidak mengganggu konektivitas jaringan. Koneksi IPsec baru menggunakan mode dual-tunnel secara default. |
Mekanisme ketersediaan tinggi | Failover aktif-standby: Traffic dialihkan melalui tunnel aktif secara default dan secara otomatis beralih ke tunnel standby jika tunnel aktif gagal. | Load balancing ECMP: Kedua tunnel mentransmisikan traffic secara bersamaan dan saling memberikan redundansi. |
Bandwidth maksimum per koneksi IPsec | Enhanced: 1 Gbps (didedikasikan per koneksi) Standard: Semua koneksi berbagi bandwidth VPN Gateway, dengan maksimum 1.000 Mbps (atau 500 Mbps di beberapa wilayah). | 2 Gbps (hingga 1 Gbps per tunnel) Mode single-tunnel lama mendukung maksimum 1 Gbps. |
Penskalaan bandwidth | Standard: Tidak didukung. | Mendukung ECMP melalui beberapa koneksi, dengan load balancing di maksimal 32 tunnel (16 koneksi IPsec). |
pps | 120.000 pps per instans VPN Gateway (dibagi oleh semua koneksi) | 120.000 pps per tunnel (dalam mode dual-tunnel) Mode single-tunnel lama mendukung 120.000 pps per koneksi. |
SSL-VPN | Didukung pada Standard VPN Gateway | Tidak didukung |
Perutean dinamis BGP | Enhanced: 200 rute secara default Standard: 50 rute secara default | 1.000 rute per tunnel, total 2.000 rute |
Perbedaan antara Enhanced dan Standard VPN Gateway:
Enhanced: Ditagih berdasarkan , menyediakan bandwidth 1 Gbps yang didedikasikan per koneksi IPsec, dan tidak mendukung algoritma SM.
Standard: Ditagih berdasarkan , semua koneksi IPsec berbagi bandwidth VPN Gateway, serta mendukung perutean berbasis kebijakan dan algoritma SM.
Untuk perbandingan detail, lihat Enhanced vs. Standard VPN Gateways.
Mode tunnel
Mode dual-tunnel
Mode dual-tunnel adalah mode default untuk koneksi IPsec baru.
Setiap koneksi IPsec mencakup dua tunnel yang ditempatkan di zona ketersediaan berbeda.
Menyediakan pemulihan bencana tingkat zona dan redundansi tautan.
Saat diikat ke VPN Gateway, beroperasi dalam mode aktif-standby. Saat diikat ke Transit Router, beroperasi dalam mode ECMP.
Pastikan kedua tunnel dikonfigurasi dan tersedia. Jika hanya satu tunnel yang dikonfigurasi, redundansi hilang dan koneksi tersebut tidak dilindungi oleh SLA.
Mode single-tunnel
Single-tunnel adalah mode lama dan tidak didukung untuk koneksi IPsec baru.
Koneksi IPsec single-tunnel hanya ditemukan pada beberapa instans VPN Gateway lama.
Tidak menyediakan pemulihan bencana tingkat zona.
Kami sangat merekomendasikan meningkatkan ke mode dual-tunnel.
Jenis jaringan
Saat membuat koneksi IPsec yang diikat ke Transit Router, Anda dapat memilih salah satu jenis jaringan berikut:
Jenis jaringan | Deskripsi | Kasus Penggunaan |
Internet | Membuat terowongan IPsec melalui Internet. | Skenario tanpa koneksi fisik, atau saat VPN digunakan sebagai cadangan untuk koneksi fisik. |
Private network | Membuat terowongan IPsec melalui koneksi fisik yang sudah ada untuk mengenkripsi traffic-nya. | Skenario dengan koneksi fisik yang sudah ada atau saat kepatuhan mengharuskan transmisi terenkripsi. |
Mode perutean
IPsec-VPN mendukung tiga mode perutean yang menentukan cara traffic dirutekan dari cloud ke data center on-premises Anda:
Perutean dinamis BGP
Ini adalah mode paling fleksibel. Cloud dan gerbang on-premises Anda menggunakan Border Gateway Protocol (BGP) untuk secara otomatis mempelajari dan mengiklankan rute. Rute diperbarui secara otomatis saat jaringan Anda berubah.
Manfaat:
Pembelajaran dan konvergensi rute otomatis, menghilangkan kebutuhan pemeliharaan tabel rute manual.
Adaptasi otomatis terhadap perubahan topologi jaringan, seperti penambahan atau penghapusan subnet.
Failover rute otomatis untuk pemulihan lebih cepat.
Ideal untuk jaringan skala menengah hingga besar dan skenario multi-situs.
Persyaratan:
Gerbang on-premises Anda harus mendukung BGP.
Anda harus mengonfigurasi Autonomous System Number (ASN) BGP dan alamat IP peer BGP untuk tunnel.
Route statis tujuan
Konfigurasikan route statis secara manual yang mengarah ke blok CIDR on-premises Anda. Mode ini sederhana dan langsung, sehingga cocok untuk skenario dengan topologi jaringan stabil dan jumlah subnet terbatas.
Manfaat:
Konfigurasi sederhana tanpa ketergantungan BGP.
Cocok untuk jaringan skala kecil dan proof of concept (PoC).
Batasan:
Memerlukan pembaruan rute manual saat data center on-premises berubah.
Batas maksimum 50 rute untuk Enhanced VPN Gateway dan 30 untuk Standard VPN Gateway.
Perutean berbasis kebijakan
Menerapkan kebijakan berdasarkan blok CIDR sumber dan tujuan untuk mengarahkan traffic ke koneksi IPsec tertentu, memberikan kontrol granular.
Manfaat:
Kontrol perutean granular berdasarkan alamat sumber dan tujuan.
Cocok untuk distribusi traffic melalui beberapa koneksi.
Batasan:
Hanya didukung oleh Standard VPN Gateway.
Batas default 20 rute berbasis kebijakan.
Konfigurasi dan pemeliharaan lebih kompleks.
Perbandingan mode perutean
Fitur | Perutean dinamis BGP | Route statis tujuan | Perutean berbasis kebijakan |
Konfigurasi rute | Pembelajaran otomatis | Konfigurasi manual | Konfigurasi manual |
Mode pengikatan yang berlaku | VPN Gateway, Transit Router | VPN Gateway, Transit Router | Hanya Standard VPN Gateway |
Rekomendasi | Sangat direkomendasikan | Cocok untuk skenario sederhana | Untuk kebutuhan spesifik, seperti kontrol perutean granular berdasarkan alamat sumber dan tujuan. |
Rangkuman keputusan
VPN Gateway
Menghubungkan ke satu VPC.
Menyediakan akses remote client-to-site dengan SSL-VPN (memerlukan Standard VPN Gateway).
Memenuhi persyaratan ketersediaan dengan pemulihan bencana aktif-standby.
Transit Router
Menghubungkan beberapa VPC, dalam wilayah yang sama atau lintas wilayah.
Mencapai ketersediaan tinggi dan load balancing dengan ECMP.
Mengenkripsi traffic melalui koneksi fisik.
Memerlukan bandwidth lebih dari 1 Gbps untuk satu koneksi.
Membangun jaringan mesh penuh untuk konektivitas skala besar multi-situs.
Mendukung jumlah besar rute BGP (hingga 2.000).