Topik ini menjelaskan cara membuat koneksi IPsec-VPN dalam mode satu-terowongan antara Virtual Private Cloud (VPC) dan pusat data menggunakan Gateway VPN publik. Koneksi IPsec-VPN memungkinkan komunikasi pribadi antara VPC dan pusat data.
Prasyarat
Sebelum mengaitkan koneksi IPsec-VPN dengan Gateway VPN publik, pastikan alamat IP publik telah ditetapkan ke perangkat gateway di pusat data.
Perangkat gateway di pusat data harus mendukung protokol IKEv1 atau IKEv2 untuk menetapkan koneksi IPsec-VPN dengan transit router.
Blok CIDR pusat data tidak boleh tumpang tindih dengan blok CIDR jaringan yang akan diakses.
Contoh
Dalam contoh ini, skenario berikut digunakan: Sebuah perusahaan telah membuat VPC di Alibaba Cloud dengan blok CIDR 192.168.0.0/16. Blok CIDR pusat data adalah 172.16.0.0/12. Alamat IP publik statis dari perangkat gateway di pusat data adalah 211.XX.XX.68. Untuk memenuhi kebutuhan bisnis, perusahaan perlu menghubungkan pusat data ke VPC. Anda dapat membuat koneksi IPsec-VPN untuk mengaktifkan komunikasi terenkripsi antara VPC dan pusat data.
Persiapan
VPC telah dibuat dan aplikasi diterapkan pada Instance Elastic Compute Service (ECS) di VPC. Untuk informasi lebih lanjut, lihat Buat VPC dengan blok CIDR IPv4.
Anda telah membaca dan memahami aturan grup keamanan yang berlaku untuk instance ECS di VPC, serta aturan tersebut mengizinkan perangkat gateway di pusat data untuk mengakses sumber daya cloud. Untuk informasi lebih lanjut, lihat Kueri aturan grup keamanan dan Tambahkan aturan grup keamanan.
Langkah 1: Buat Gateway VPN
- Masuk ke konsol Gateway VPN.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat Gateway VPN.
Gateway VPN dan VPC yang akan dikaitkan harus berada di wilayah yang sama.
Pada halaman VPN Gateways, klik Create VPN Gateway.
Pada halaman pembelian, konfigurasikan parameter berikut, klik Buy Now, lalu selesaikan pembayaran.
Parameter
Deskripsi
Name
Masukkan nama untuk Gateway VPN.
Dalam contoh ini, Gateway VPN 1 digunakan.
Resource Group
Pilih grup sumber daya tempat Gateway VPN dimiliki. Jika Anda meninggalkan parameter ini kosong, Gateway VPN termasuk dalam grup sumber daya default.
Dalam contoh ini, parameter ini dibiarkan kosong.
Region
Pilih wilayah tempat Anda ingin membuat Gateway VPN.
CatatanGateway VPN harus milik wilayah yang sama dengan VPC.
Gateway Type
Pilih tipe gateway.
Standard dipilih secara default.
Network Type
Pilih tipe jaringan untuk Gateway VPN.
Dalam contoh ini, Public dipilih.
Tunnels
Sistem menampilkan mode terowongan yang didukung di wilayah ini. Nilai valid:
Single-tunnel
Dual-tunnel
Untuk informasi lebih lanjut, lihat [Pemberitahuan pembaruan] Koneksi IPsec-VPN mendukung mode dua-terowongan.
VPC
Pilih VPC yang ingin Anda kaitkan dengan Gateway VPN.
VSwitch
Pilih vSwitch dari VPC yang dipilih.
Jika Anda memilih Satu-terowongan, Anda hanya perlu menentukan satu vSwitch.
Jika Anda memilih Dua-terowongan, Anda perlu menentukan dua vSwitch.
Setelah fitur IPsec-VPN diaktifkan, sistem membuat antarmuka jaringan elastis (ENI) untuk masing-masing dari dua vSwitch sebagai antarmuka untuk berkomunikasi dengan VPC melalui koneksi IPsec-VPN. Setiap ENI menempati satu alamat IP di vSwitch.
CatatanSistem memilih vSwitch secara default. Anda dapat mengubahnya atau menggunakan vSwitch default.
Setelah Gateway VPN dibuat, Anda tidak dapat memodifikasi vSwitch yang terkait dengan Gateway VPN. Anda dapat melihat vSwitch yang terkait dengan Gateway VPN, zona tempat vSwitch berada, dan ENI di vSwitch pada halaman detail Gateway VPN.
vSwitch 2
Abaikan parameter ini jika Anda memilih Satu-terowongan untuk parameter Terowongan.
Bandwidth Maksimum
Tentukan nilai bandwidth maksimum untuk Gateway VPN. Unit: Mbit/s.
Traffic
Pilih metode pengukuran untuk Gateway VPN. Nilai default: Pay-by-data-transfer.
Untuk informasi lebih lanjut, lihat Aturan penagihan.
IPsec-VPN
Tentukan apakah akan mengaktifkan IPsec-VPN.
Dalam contoh ini, Enable dipilih.
SSL-VPN
Tentukan apakah akan mengaktifkan SSL-VPN.
Dalam contoh ini, Disable dipilih.
Durasi
Pilih siklus penagihan untuk Gateway VPN. By Hour dipilih secara default.
Service-linked Role
Klik Create Service-linked Role. Sistem secara otomatis membuat peran layanan-tersambung AliyunServiceRoleForVpn.
Gateway VPN mengambil peran ini untuk mengakses sumber daya cloud lainnya. Untuk informasi lebih lanjut, lihat AliyunServiceRoleForVpn.
Jika Created ditampilkan, peran layanan-tersambung telah dibuat dan Anda tidak perlu membuatnya lagi.
Untuk informasi lebih lanjut tentang parameter, lihat bagian Buat Gateway VPN dari topik "Buat dan kelola Gateway VPN".
Kembali ke halaman Gateway VPN untuk melihat Gateway VPN yang Anda buat.
Gateway VPN yang baru dibuat berada dalam status Preparing dan berubah menjadi status Normal dalam waktu sekitar 1 hingga 5 menit. Setelah status berubah menjadi Normal, Gateway VPN siap digunakan.
Langkah 2: Buat Gateway Pelanggan
Di panel navigasi kiri, pilih .
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat Gateway Pelanggan.
CatatanPastikan bahwa Gateway Pelanggan dan Gateway VPN yang akan dihubungkan berada di wilayah yang sama.
Pada halaman Customer Gateway, klik Create Customer Gateway.
Di panel Create Customer Gateway, konfigurasikan parameter berikut dan klik OK.
Topik ini hanya menjelaskan parameter wajib berikut. Anda dapat menggunakan nilai default untuk parameter lainnya atau biarkan mereka kosong. Untuk informasi lebih lanjut, lihat Buat dan kelola Gateway Pelanggan.
Name: Masukkan nama untuk Gateway Pelanggan.
Dalam contoh ini, Gateway Pelanggan 1 digunakan.
IP Address: Masukkan alamat IP publik dari perangkat gateway di pusat data yang ingin Anda hubungkan ke VPC.
Dalam contoh ini, 211.XX.XX.68 digunakan.
Langkah 3: Buat koneksi IPsec-VPN
Di panel navigasi kiri, pilih .
Pada halaman IPsec Connections, klik Bind VPN Gateway.
Pada halaman Create Ipsec-vpn Connection (VPN), konfigurasikan parameter yang dijelaskan dalam tabel berikut dan klik OK.
Parameter
Deskripsi
Name
Masukkan nama koneksi IPsec-VPN.
Dalam contoh ini, Koneksi IPsec-VPN 1 digunakan.
Region
Pilih wilayah tempat Gateway VPN yang akan dikaitkan dengan koneksi IPsec-VPN ditempatkan.
Koneksi IPsec-VPN dibuat di wilayah yang sama dengan Gateway VPN.
Resource Group
Pilih grup sumber daya tempat Gateway VPN dimiliki.
Dalam contoh ini, grup sumber daya default dipilih.
Bind VPN Gateway
Pilih Gateway VPN yang Anda buat.
Dalam contoh ini, Gateway VPN 1 dipilih.
Routing Mode
Pilih mode routing.
Dalam contoh ini, Destination Routing Mode dipilih.
Effective Immediately
Tentukan apakah konfigurasi langsung berlaku.
Yes: Negosiasi dimulai segera setelah konfigurasi selesai.
No: Negosiasi terjadi ketika trafik masuk.
Dalam contoh ini, Yes dipilih.
Customer Gateway
Pilih Gateway Pelanggan yang Anda buat.
Dalam contoh ini, Gateway Pelanggan 1 dipilih.
Enable BGP
Tentukan apakah akan mengaktifkan Border Gateway Protocol (BGP). Jika Anda ingin menggunakan routing BGP untuk koneksi IPsec-VPN, aktifkan Aktifkan BGP. Secara default, Aktifkan BGP dimatikan.
Dalam contoh ini, BGP dinonaktifkan.
Pre-Shared Key
Masukkan kunci pra-berbagi.
Kunci harus memiliki panjang 1 hingga 100 karakter dan dapat berisi digit, huruf besar, huruf kecil, dan karakter khusus berikut:
~`!@#$%^&*()_-+={}[]\|;:',.<>/?.Jika Anda tidak menentukan kunci pra-berbagi, sistem secara acak menghasilkan string 16-karakter sebagai kunci pra-berbagi. Setelah Anda membuat koneksi IPsec-VPN, Anda dapatmelihat kunci pra-berbagi yang dihasilkan oleh sistem dengan mengklik tombol Edit. Untuk informasi lebih lanjut, lihat Modifikasi koneksi IPsec-VPN.
PentingKoneksi IPsec-VPN dan perangkat gateway peer harus menggunakan kunci pra-berbagi yang sama. Jika tidak, sistem tidak dapat menetapkan koneksi IPsec-VPN.
Encryption Configuration
Dalam contoh ini, parameter Versi diatur ke ikev1 dan parameter lainnya menggunakan nilai default. Untuk informasi lebih lanjut, lihat Buat dan kelola koneksi IPsec-VPN dalam mode satu-terowongan.
Health Check
Dalam contoh ini, nilai default digunakan dan tidak ada pemeriksaan kesehatan yang dikonfigurasikan untuk koneksi IPsec-VPN.
Tags
Tambahkan pasangan tag-key ke koneksi IPsec-VPN.
Dalam contoh ini, parameter ini dibiarkan kosong.
Pada pesan Created, klik Cancel.
Langkah 4: Muat konfigurasi koneksi IPsec-VPN ke perangkat gateway di pusat data
Di panel navigasi kiri, pilih .
Pada halaman IPsec Connections, temukan koneksi IPsec-VPN yang ingin Anda kelola dan klik Generate Peer Configuration di kolom Actions.
Muat konfigurasi koneksi IPsec-VPN ke perangkat gateway di pusat data. Untuk informasi lebih lanjut, lihat Konfigurasikan gateway lokal.
Langkah 5: Konfigurasikan rute untuk Gateway VPN
Di panel navigasi kiri, pilih .
Pada halaman VPN Gateway, temukan Gateway VPN yang ingin Anda kelola dan klik ID Gateway VPN tersebut.
Pada tab Destination-based Route Table, klik Add Route Entry.
Di panel Add Route Entry, konfigurasikan parameter berikut dan klik OK.
Parameter
Deskripsi
Destination CIDR block
Masukkan blok CIDR tujuan untuk rute.
Dalam contoh ini, 172.16.0.0/12 digunakan.
Next Hop Type
Pilih tipe hop berikutnya.
Dalam contoh ini, IPsec-VPN connection dipilih.
Next Hop
Pilih koneksi IPsec-VPN yang Anda buat.
Advertise to VPC
Tentukan apakah akan mengiklankan rute ke VPC yang terkait dengan Gateway VPN.
Dalam contoh ini, Yes dipilih.
Weight
Pilih bobot untuk rute. Nilai valid:
100: menentukan prioritas tinggi untuk rute.
0: menentukan prioritas rendah untuk rute.
Dalam contoh ini, nilai default 100 digunakan.
Langkah 6: Uji konektivitas jaringan
Masuk ke instance ECS yang tidak diberi alamat IP publik di VPC. Untuk informasi lebih lanjut, lihat Ikhtisar metode koneksi.
Jalankan perintah ping untuk ping server di pusat data guna menguji konektivitas jaringan.
Jika Anda dapat menerima paket balasan echo, koneksi telah berhasil ditetapkan.