IPsec-VPN mendukung dua mode asosiasi—gateway VPN dan Transit Router—masing-masing sesuai untuk arsitektur jaringan yang berbeda berdasarkan skala dan kebutuhan ketersediaan.
Panduan keputusan cepat
Berapa banyak VPC yang perlu Anda hubungkan?
Satu VPC → Pilih gateway VPN
Beberapa VPC (di wilayah yang sama atau lintas wilayah) → Pilih Transit Router
Apakah Anda memerlukan load balancing ECMP?
Tidak (pemulihan bencana aktif-pasif sudah cukup) → gateway VPN memenuhi kebutuhan Anda
Jika Anda memerlukan traffic dialirkan melalui beberapa tautan secara bersamaan, pilih Transit Router.
Berapa kebutuhan bandwidth Anda?
1 Gbps atau kurang → Kedua opsi dapat digunakan
1–2 Gbps → Pilih Transit Router (satu koneksi mendukung hingga 2 Gbps)
Lebih dari 2 Gbps → Pilih Transit Router + beberapa koneksi ECMP untuk meningkatkan bandwidth
Apakah Anda memerlukan SSL-VPN?
Memerlukan SSL-VPN untuk akses remote → Pilih gateway VPN (classic)
Tidak memerlukan keduanya → Tentukan berdasarkan kriteria di atas
Perbandingan fitur
Item Perbandingan | VPN Gateway | Transit Router |
Kasus penggunaan | Jaringan lokal terhubung ke satu VPC di cloud | Jaringan lokal terhubung ke beberapa VPC di cloud |
Algoritma enkripsi yang didukung |
|
|
Tunnel mode | Dual-tunnel (aktif-pasif) Beberapa instans gateway VPN lama hanya mendukung koneksi IPsec-VPN single-tunnel. Kami menyarankan Anda melakukan upgrade ke mode dual-tunnel. | Dual-tunnel (ECMP) Koneksi IPsec single-tunnel lama tidak memiliki ketersediaan tinggi. Kami menyarankan menghapus dan membuat ulang koneksi tersebut tanpa memengaruhi konektivitas jaringan. Koneksi IPsec baru secara default menggunakan mode dual-tunnel. |
Mekanisme ketersediaan tinggi | Alih bencana aktif-pasif: Traffic menggunakan tunnel primer secara default dan secara otomatis beralih ke tunnel sekunder saat terjadi kegagalan | Load balancing ECMP: Kedua tunnel membawa traffic secara bersamaan dan saling menjadi cadangan |
Bandwidth maksimum per koneksi IPsec | Enhanced: 1 Gbps (dedikasi per koneksi) Classic: Dibagi di semua koneksi, hingga 1 Gbps (500 Mbps di beberapa wilayah) | 2 Gbps (hingga 1 Gbps per tunnel) Koneksi single-tunnel lama mendukung hingga 1 Gbps |
Penskalaan bandwidth | Classic tidak dapat diskalakan; enhanced mendukung beberapa koneksi IPsec | Mendukung ECMP multi-koneksi dengan hingga 32 koneksi untuk load balancing |
Paket per detik (pps) | 120.000 pps per instans gateway VPN (dibagi di semua koneksi) | 120.000 pps per tunnel (mode dual-tunnel) Koneksi single-tunnel lama: 120.000 pps per koneksi |
SSL-VPN | Dukungan tradisional | Tidak didukung |
Entri perutean dinamis BGP | Enhanced: 200; Classic: 50 | 1.000 per tunnel, total 2.000 |
Perbedaan antara gateway VPN enhanced dan classic:
Enhanced: bandwidth 1 Gbps dedikasi per koneksi IPsec, tidak mendukung perutean berbasis kebijakan atau algoritma kriptografi Tiongkok;
Classic: bandwidth dibagi di semua koneksi (hingga 1 Gbps), mendukung perutean berbasis kebijakan dan algoritma kriptografi Tiongkok.
Kami merekomendasikan penggunaan enhanced untuk penerapan baru. Untuk perbandingan detail, lihat Pilih jenis gateway VPN.
Pilih mode saluran data
Mode dual-tunnel (direkomendasikan)
Dual-tunnel adalah mode default saat ini dan diaktifkan secara otomatis saat Anda membuat koneksi IPsec baru.
Setiap koneksi IPsec mencakup dua tunnel yang diterapkan di zona berbeda
Menyediakan pemulihan bencana tingkat zona dan redundansi tautan
Menggunakan mode aktif-pasif saat dikaitkan dengan gateway VPN; menggunakan mode ECMP saat dikaitkan dengan Transit Router
Konfigurasikan kedua tunnel sebagai aktif. Menggunakan hanya satu tunnel menghilangkan redundansi dan membatalkan SLA.
Mode single-tunnel (hanya legacy)
Mode single-tunnel berasal dari versi sebelumnya. Koneksi IPsec baru tidak lagi mendukung mode single-tunnel.
Hanya instans gateway VPN legacy yang mungkin memiliki koneksi IPsec single-tunnel
Tidak memiliki kemampuan pemulihan bencana tingkat zona
Kami sangat menyarankan Anda melakukan upgrade ke mode dual-tunnel
Pilih jenis jaringan
Saat membuat koneksi IPsec yang dikaitkan dengan Transit Router, pilih jenis jaringan:
Jenis jaringan | Deskripsi | Kasus penggunaan |
Internet | Membuat terowongan IPsec melalui Internet | Tidak tersedia sirkuit Express Connect; atau gunakan Express Connect + VPN sebagai cadangan aktif-pasif |
Jaringan pribadi | Membuat terowongan IPsec melalui jaringan pribadi Express Connect yang sudah ada untuk mengenkripsi traffic | Sudah memiliki sirkuit Express Connect; kepatuhan mengharuskan transmisi terenkripsi |
Pilih metode perutean
IPsec-VPN mendukung tiga metode perutean yang menentukan cara traffic cloud diteruskan ke pusat data lokal Anda:
Perutean dinamis BGP (direkomendasikan)
Opsi paling fleksibel. Cloud dan gateway lokal Anda secara otomatis mempelajari dan mengiklankan rute menggunakan BGP. Rute diperbarui secara otomatis saat jaringan Anda berubah.
Manfaat:
Rute dipelajari dan dikonvergen secara otomatis—tidak perlu pemeliharaan manual tabel rute
Secara otomatis menyesuaikan perubahan topologi jaringan (seperti penambahan atau penghapusan subnet)
Secara otomatis mengalihkan rute saat terjadi kegagalan untuk pemulihan lebih cepat
Ideal untuk jaringan skala menengah hingga besar dan skenario multi-situs
Persyaratan:
Perangkat gateway lokal Anda harus mendukung BGP
Anda harus mengonfigurasi ASN BGP dan IP peer BGP untuk setiap tunnel
Perutean statis berbasis tujuan (skenario sederhana)
Konfigurasikan secara manual route statis yang mengarah ke blok CIDR lokal Anda. Sederhana dan langsung, ideal untuk topologi jaringan stabil dengan sedikit subnet.
Manfaat:
Konfigurasi sederhana—tidak bergantung pada BGP
Cocok untuk jaringan kecil atau penerapan proof-of-concept (PoC)
Batasan:
Anda harus memperbarui rute secara manual saat jaringan lokal Anda berubah
Gateway VPN enhanced mendukung hingga 50 rute; classic mendukung hingga 30
Perutean berbasis kebijakan (kontrol detail halus, hanya gateway VPN classic)
Kebijakan perutean berdasarkan blok CIDR sumber dan tujuan memungkinkan Anda mengontrol secara tepat koneksi IPsec mana yang digunakan oleh traffic tertentu.
Manfaat:
Memungkinkan kontrol perutean detail halus berdasarkan alamat sumber dan tujuan
Ideal untuk pemisahan traffic di beberapa koneksi
Batasan:
Hanya didukung oleh gateway VPN classic—tidak oleh enhanced
Batas default 20 rute berbasis kebijakan
Kompleksitas konfigurasi dan pemeliharaan lebih tinggi
Perbandingan metode perutean
Kriteria | Perutean dinamis BGP | Perutean statis berbasis tujuan | Perutean berbasis kebijakan |
Manajemen rute | Pembelajaran otomatis | Konfigurasi manual | Konfigurasi manual |
Mode asosiasi yang didukung | Gateway VPN, router transit | Gateway VPN, router transit | Hanya gateway VPN classic |
Tingkat rekomendasi | Sangat direkomendasikan | Cocok untuk skenario sederhana | Hanya untuk kebutuhan spesifik, seperti kontrol perutean detail halus berdasarkan alamat sumber dan tujuan |
Ringkasan keputusan
Pilih Gateway VPN
Terhubung ke satu VPC
Memerlukan akses remote SSL-VPN (client-to-site) (pilih gateway VPN classic)
Hanya memerlukan pemulihan bencana aktif-pasif untuk ketersediaan
Pilih TransitRouter
Terhubung ke beberapa VPC (wilayah yang sama atau cross-region)
Memerlukan ketersediaan tinggi dan load balancing berbasis ECMP
Perlu mengenkripsi traffic melalui sirkuit Express Connect
Memerlukan bandwidth lebih dari 1 Gbps per koneksi
Mengoperasikan jaringan skala besar dengan konektivitas penuh di beberapa situs
Perlu menangani banyak rute BGP (hingga 2.000)