Gunakan IPsec-VPN untuk menghubungkan data center ke virtual private cloud (VPC) ketika kedua sisi memiliki beberapa blok CIDR. Halaman ini mencakup persyaratan konfigurasi, tiga solusi perutean, dan isu umum.
Persyaratan konfigurasi
Gunakan IKEv2
IKEv2 adalah protokol yang direkomendasikan untuk koneksi IPsec-VPN multi-blok CIDR. Gunakan IKEv1 hanya jika perangkat gateway lokal Anda tidak mendukung IKEv2. Dengan IKEv1, setiap koneksi IPsec-VPN hanya mendukung satu blok CIDR lokal dan satu blok CIDR peer — lihat Solusi 2 dan Solusi 3 untuk cara mengatasi batasan ini.
Sesuaikan pengaturan algoritma untuk perangkat Cisco dan H3C
Jika perangkat gateway peer disediakan oleh Cisco atau H3C, gateway VPN Alibaba Cloud hanya menerima satu nilai untuk masing-masing Encryption Algorithm, Authentication Algorithm, dan DH Group (Perfect Forward Secrecy) baik di IKE Configurations maupun IPsec Configurations. Pastikan hanya satu nilai yang ditetapkan untuk masing-masing Encryption Algorithm, Authentication Algorithm, dan DH Group (Perfect Forward Secrecy) (PFS) di IKE Configurations dan IPsec Configurations pada perangkat gateway peer — jangan mengonfigurasi beberapa opsi algoritma dalam satu proposal.
Dua persyaratan tambahan berlaku untuk perangkat Cisco dan H3C:
Dead Peer Detection (DPD): Jika DPD diaktifkan pada koneksi IPsec-VPN, konfigurasikan perangkat peer dengan pengaturan DPD standar.
SA lifetime: Masa berlaku security association (SA) harus sesuai di kedua sisi. Jika perangkat peer mendukung SA lifetime berbasis traffic, atur ke nilai maksimum (0 byte untuk beberapa vendor).
Pilih solusi
Solusi berikut menghubungkan data center ke VPC melalui beberapa blok CIDR. Pilih berdasarkan seberapa sering topologi jaringan Anda berubah.
| Solusi | Versi IKE | Pendekatan | Tradeoff utama |
|---|---|---|---|
| Solusi 1 (direkomendasikan) | IKEv1, IKEv2 | Satu koneksi, perutean berbasis tujuan | Tambah atau hapus blok CIDR hanya dengan memperbarui rute — tanpa negosiasi ulang IPsec |
| Solusi 2 | IKEv1, IKEv2 | Satu koneksi, agregasikan kedua sisi menjadi blok CIDR supernet | Perubahan CIDR mungkin memerlukan konfigurasi ulang koneksi dan negosiasi ulang |
| Solusi 3 | IKEv1, IKEv2 | Beberapa koneksi, satu per pasangan blok CIDR | Perubahan CIDR memerlukan konfigurasi ulang koneksi dan negosiasi ulang |
Solusi 1: Perutean berbasis tujuan (direkomendasikan)
Gunakan satu koneksi IPsec-VPN. Atur Routing Mode ke Destination Routing Mode dan konfigurasikan perangkat gateway lokal untuk menggunakan 0.0.0.0/0 sebagai blok CIDR sumber dan tujuan untuk Protected Data Flows-nya. Lalu konfigurasikan perutean dinamis Border Gateway Protocol (BGP) atau perutean statis pada gateway VPN dan data center untuk mengarahkan traffic ke blok CIDR yang tepat.
Mengapa pendekatan ini direkomendasikan: Menambah atau menghapus blok CIDR hanya memerlukan perubahan rute — koneksi IPsec-VPN tetap aktif dan traffic pada rute lain tidak terpengaruh.
Langkah konfigurasi:
Buat koneksi IPsec-VPN dan atur Routing Mode ke Destination Routing Mode. Untuk detailnya, lihat bagian "Create an IPsec-VPN connection" dalam Create and manage IPsec-VPN connections in single-tunnel mode.
Konfigurasikan rute berbasis kebijakan pada gateway VPN. Untuk detailnya, lihat Configure policy-based routes.
Pada perangkat gateway lokal, tambahkan protected data flow dengan blok CIDR sumber
0.0.0.0/0dan blok CIDR tujuan0.0.0.0/0. Konsultasikan dokumentasi vendor perangkat gateway Anda untuk perintah yang tepat.
Contoh skenario: Blok CIDR VPC 10.1.1.0/24 dan 10.1.2.0/24 berkomunikasi dengan blok CIDR data center 192.168.1.0/24 dan 192.168.2.0/24.
Solusi 2: Agregasi blok CIDR
Gunakan satu koneksi IPsec-VPN. Agregasikan semua blok CIDR sisi VPC menjadi satu blok CIDR supernet dan semua blok CIDR sisi data center menjadi blok CIDR supernet lainnya. Atur Routing Mode ke Protected Data Flows, Local Network ke supernet VPC, dan Remote Network ke supernet data center.
Setelah Anda menyimpan koneksi, sistem secara otomatis menambahkan rute berbasis kebijakan ke Policy-based Route Table. Source CIDR Block adalah Local Network dan Destination CIDR Block adalah Remote Network. Rute ini secara default tidak diiklankan ke VPC.
Untuk menggunakan rute yang dihasilkan otomatis: iklankan ke VPC. Lihat Configure policy-based routes.
Untuk menggunakan rute kustom: hapus terlebih dahulu rute yang dihasilkan otomatis, lalu tambahkan rute Anda sendiri.
Batasan: Jika himpunan blok CIDR berubah, Anda mungkin perlu memperbarui blok CIDR agregat, mengubah konfigurasi koneksi, dan mengonfigurasi ulang perangkat peer. Setiap modifikasi memicu negosiasi ulang IPsec, menyebabkan gangguan traffic singkat.
Contoh 1: Kedua sisi dapat diagregasikan menjadi satu supernet.
Blok CIDR VPC 10.1.1.0/24 dan 10.1.2.0/24 → agregasikan ke 10.1.0.0/16 (Local Network). Blok CIDR data center 192.168.1.0/24 dan 192.168.2.0/24 → agregasikan ke 192.168.0.0/16 (Remote Network).
Contoh 2: Blok CIDR data center tidak dapat diagregasikan menjadi satu supernet.
Blok CIDR VPC 10.1.1.0/24 dan 10.1.2.0/24 → agregasikan ke 10.1.0.0/16 (Local Network). Blok CIDR data center 192.168.1.0/24 dan 172.16.1.0/24 — tidak dapat diagregasikan, sehingga atur Remote Network ke 0.0.0.0/0.
Jangan mengiklankan rute berbasis kebijakan yang dihasilkan otomatis dengan tujuan 0.0.0.0/0 ke VPC. Hapus rute tersebut dan gantilah dengan rute berbasis kebijakan yang lebih spesifik untuk setiap blok CIDR data center. Lihat Configure policy-based routes.
Solusi 3: Beberapa koneksi, satu per pasangan CIDR
Buat satu koneksi IPsec-VPN untuk setiap pasangan blok CIDR lokal dan remote. Atur Routing Mode ke Protected Data Flows pada setiap koneksi, dengan menentukan satu Local Network dan satu Remote Network per koneksi.
Semua koneksi harus dikaitkan dengan gateway VPN dan gateway pelanggan yang sama, serta harus memiliki pengaturan IKE yang identik:
Pre-Shared Key
IKE Configurations: Version, Negotiation Mode, Encryption Algorithm, Authentication Algorithm, DH Group (Perfect Forward Secrecy), dan SA Life Cycle (seconds)
LocalId pada setiap koneksi IPsec-VPN harus sesuai dengan RemoteId pada perangkat gateway pelanggan, dan sebaliknya
Jika beberapa koneksi IPsec-VPN berbagi gateway VPN, gateway pelanggan, dan versi IKE yang sama, mereka berbagi negosiasi Phase 1. Pengaturan IKE yang identik di semua koneksi memastikan SA Phase 1 bersama diterima selama negosiasi IPsec.
Setelah Anda mengatur Routing Mode ke Protected Data Flows, sistem secara otomatis menambahkan satu rute berbasis kebijakan per koneksi ke Policy-based Route Table. Iklankan semua rute yang dihasilkan otomatis ke VPC. Lihat Configure policy-based routes.
Batasan: Memodifikasi blok CIDR memerlukan pembaruan koneksi dan perangkat gateway pelanggan yang sesuai, memicu negosiasi ulang IPsec dan gangguan traffic singkat.
Contoh skenario: Blok CIDR VPC 10.1.1.0/24 dan 10.1.2.0/24 berkomunikasi dengan blok CIDR data center 192.168.1.0/24 dan 172.16.1.0/24. Ini menghasilkan empat koneksi, masing-masing dengan satu blok CIDR lokal dan satu blok CIDR remote, serta empat rute berbasis kebijakan yang dihasilkan otomatis untuk diiklankan.
FAQ
Negosiasi Phase 2 berhasil tetapi hanya beberapa blok CIDR yang dapat berkomunikasi
Ini adalah masalah kompatibilitas antara gateway VPN Alibaba Cloud dan perangkat gateway Cisco atau H3C ketika Routing Mode diatur ke Protected Data Flows dengan beberapa blok CIDR.
Akar penyebabnya adalah perbedaan penanganan SA: gateway VPN Alibaba Cloud menggunakan satu SA untuk bernegosiasi dengan peer, sedangkan perangkat gateway peer Cisco atau H3C menggunakan beberapa SA untuk bernegosiasi dengan gateway VPN. Ketidaksesuaian ini menyebabkan hanya satu pasangan blok CIDR yang memiliki SA yang berfungsi.
Untuk mengatasi hal ini, gunakan salah satu solusi dalam Pilih solusi.
Perangkat gateway lokal tidak mendukung IKEv2
Konfigurasikan koneksi IPsec-VPN dan perangkat gateway lokal untuk menggunakan IKEv1. Dengan IKEv1, setiap koneksi hanya mendukung satu blok CIDR lokal dan satu blok CIDR peer, sehingga gunakan salah satu solusi dalam Pilih solusi sesuai dengan topologi jaringan Anda.