Fitur hub dari VPN Gateway memungkinkan perusahaan berskala besar untuk menghubungkan beberapa kantor satu sama lain dan ke Virtual Private Cloud (VPC). Topik ini menjelaskan cara menggunakan fitur hub dari VPN Gateway untuk menghubungkan beberapa kantor satu sama lain dan ke VPC.
Ikhtisar fitur hub
Setelah membuat gateway VPN, fitur hub secara otomatis diaktifkan. Anda hanya perlu mengonfigurasi gateway pelanggan setiap kantor dan koneksi IPsec-VPN dari setiap kantor ke cloud. Dengan cara ini, kantor-kantor dapat berkomunikasi satu sama lain dan dengan VPC.
Secara default, Anda dapat membuat hingga 10 koneksi IPsec-VPN ke setiap gateway VPN. Anda dapat menghubungkan 10 kantor di wilayah berbeda ke setiap gateway VPN.
Anda dapat menggunakan salah satu metode berikut untuk meningkatkan kuota:
Pergi ke halaman Pengelolaan Kuota dan ajukan peningkatan kuota. Untuk informasi lebih lanjut, lihat bagian Tingkatkan Kuota dari topik "Kelola Kuota Gateway VPN".
Pergi ke konsol Pusat Kuota dan ajukan peningkatan kuota. Untuk informasi lebih lanjut, lihat bagian Tingkatkan Kuota dari topik "Kelola Kuota Gateway VPN".
Skenario contoh
Skema sebelumnya digunakan sebagai contoh dalam topik ini. Sebuah perusahaan besar memiliki kantor di Shanghai, Hangzhou, dan Ningbo. Perusahaan tersebut telah menerapkan VPC bernama VPC1 di wilayah China (Hangzhou). Layanan diterapkan pada Instance ECS di VPC1. Kantor-kantor tidak dapat berkomunikasi satu sama lain atau dengan VPC1. Karena perkembangan bisnis, perusahaan ingin menggunakan fitur hub dari VPN Gateway untuk menghubungkan kantor-kantor ke VPC1.
Prasyarat
Alamat IP publik dari perangkat gateway lokal di kantor-kantor telah diperoleh.
VPC1 dibuat di wilayah China (Hangzhou). Layanan diterapkan pada Instance ECS di VPC1. Untuk informasi lebih lanjut, lihat Buat VPC IPv4.
Tabel berikut menggambarkan blok CIDR dari VPC1 dan setiap kantor dalam contoh ini.
CatatanAnda dapat merencanakan blok CIDR berdasarkan kebutuhan bisnis Anda. Pastikan bahwa blok CIDR tidak tumpang tindih satu sama lain.
Lokasi
VPC1
Kantor Shanghai
Kantor Hangzhou
Kantor Ningbo
Blok CIDR yang akan dihubungkan
192.168.0.0/16
10.10.10.0/24
10.10.20.0/24
10.10.30.0/24
Alamat IP dari Instance ECS
192.168.20.121
N/A
N/A
N/A
Alamat IP publik dari perangkat gateway lokal
N/A
1.XX.XX.1
2.XX.XX.2
3.XX.XX.3
Anda mengetahui aturan kelompok keamanan yang berlaku untuk Instance ECS di VPC1 dan aturan kontrol akses yang berlaku untuk setiap kantor. Aturan kelompok keamanan dan aturan kontrol akses memungkinkan kantor-kantor untuk berkomunikasi satu sama lain dan dengan VPC1. Untuk informasi lebih lanjut, lihat Lihat Aturan Kelompok Keamanan dan Tambahkan Aturan Kelompok Keamanan.
Prosedur
Langkah 1: Buat gateway VPN
Buat gateway VPN di wilayah tempat VPC1 berada. Kantor Shanghai, Hangzhou, dan Ningbo menggunakan gateway VPN untuk berkomunikasi satu sama lain dan dengan VPC1.
Masuk ke Konsol Gateway VPN.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway VPN.
Dalam contoh ini, wilayah China (Hangzhou) dipilih.
Di halaman VPN Gateways, klik Create VPN Gateway.
Di halaman pembelian, konfigurasikan parameter berikut, klik Buy Now, lalu selesaikan pembayaran.
Parameter
Deskripsi
Name
Masukkan nama untuk gateway VPN. Dalam contoh ini, VPN Gateway 1 dimasukkan.
Region
Pilih wilayah tempat Anda ingin menerapkan gateway VPN. Dalam contoh ini, wilayah China (Hangzhou) dipilih.
Gateway Type
Pilih tipe gateway VPN. Dalam contoh ini, Standard dipilih.
Network Type
Pilih tipe jaringan dari gateway VPN. Dalam contoh ini, Public dipilih.
Tunnels
Mode terowongan yang didukung ditampilkan secara otomatis.
VPC
Pilih VPC yang ingin Anda asosiasikan dengan gateway VPN. Dalam contoh ini, VPC 1 dipilih.
VSwitch
Pilih vSwitch dari VPC yang dipilih.
Jika Anda memilih Single-tunnel, Anda hanya perlu menentukan satu vSwitch.
Jika Anda memilih Dual-tunnel, Anda perlu menentukan dua vSwitch.
Setelah fitur IPsec-VPN diaktifkan, sistem membuat antarmuka jaringan elastis (ENI) untuk masing-masing dari dua vSwitch sebagai antarmuka untuk berkomunikasi dengan VPC melalui koneksi IPsec-VPN. Setiap ENI menempati satu alamat IP di vSwitch.
CatatanSistem memilih vSwitch secara default. Anda dapat mengubahnya atau menggunakan vSwitch default.
Setelah gateway VPN dibuat, Anda tidak dapat memodifikasi vSwitch yang terkait dengan gateway VPN. Anda dapat melihat vSwitch yang terkait dengan gateway VPN, zona tempat vSwitch berada, dan ENI di vSwitch pada halaman detail gateway VPN.
vSwitch 2
Pilih vSwitch lain dari VPC yang dipilih.
Abaikan parameter ini jika Anda memilih Single-tunnel.
Bandwidth Maksimum
Tentukan nilai bandwidth maksimum untuk gateway VPN. Unit: Mbit/s.
Traffic
Pilih metode pengukuran untuk gateway VPN. Nilai default: Pay-by-data-transfer.
Untuk informasi lebih lanjut, lihat Ikhtisar Penagihan.
IPsec-VPN
Tentukan apakah akan mengaktifkan IPsec-VPN. Dalam contoh ini, Enable dipilih.
SSL-VPN
Tentukan apakah akan mengaktifkan SSL-VPN. Dalam contoh ini, Disable dipilih.
Durasi
Pilih siklus penagihan. Nilai default: By Hour.
Service-linked Role
Klik Create Service-linked Role. Lalu, sistem secara otomatis membuat peran terkait layanan AliyunServiceRoleForVpn.
Gateway VPN mengambil peran ini untuk mengakses sumber daya cloud lainnya. Untuk informasi lebih lanjut, lihat AliyunServiceRoleForVpn.
Jika Created ditampilkan, itu menunjukkan bahwa peran terkait layanan telah dibuat dan Anda tidak perlu membuatnya lagi.
Untuk informasi lebih lanjut tentang parameter, lihat Buat Gateway VPN.
Kembali ke halaman VPN Gateways untuk melihat gateway VPN.
Setelah membuat gateway VPN, statusnya adalah Preparing. Setelah 1 hingga 5 menit, gateway VPN berubah menjadi status Normal. Setelah gateway VPN berubah menjadi status Normal, gateway VPN siap digunakan.
Langkah 2: Buat gateway pelanggan untuk setiap kantor
Untuk memungkinkan kantor-kantor berkomunikasi satu sama lain menggunakan gateway VPN, Anda harus membuat gateway pelanggan untuk setiap kantor.
Di panel navigasi sisi kiri, pilih .
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway pelanggan.
CatatanGateway pelanggan dan gateway VPN yang akan dihubungkan harus ditempatkan di wilayah yang sama.
Di halaman Customer Gateway, klik Create Customer Gateway.
Di panel Create Customer Gateway, konfigurasikan parameter berikut dan klik OK.
Anda harus membuat gateway pelanggan untuk setiap kantor. Untuk informasi lebih lanjut, lihat tabel berikut.
Parameter
Deskripsi
Kantor Shanghai
Kantor Hangzhou
Kantor Ningbo
Name
Masukkan nama untuk gateway pelanggan.
Shanghai-customer1
Hangzhou-customer2
Ningbo-customer3
IP Address
Masukkan alamat IP publik dari gateway pelanggan.
Dalam contoh ini, 1.XX.XX.1 dimasukkan. Ini adalah alamat IP publik dari perangkat gateway lokal di kantor Shanghai.
Dalam contoh ini, 2.XX.XX.2 dimasukkan. Ini adalah alamat IP publik dari perangkat gateway lokal di kantor Hangzhou.
Dalam contoh ini, 3.XX.XX.3 dimasukkan. Ini adalah alamat IP publik dari perangkat gateway lokal di kantor Ningbo.
Untuk informasi lebih lanjut tentang parameter, lihat Buat Gateway Pelanggan.
Langkah 3: Buat koneksi IPsec-VPN untuk setiap kantor
Buat koneksi IPsec-VPN untuk setiap kantor untuk menghubungkan kantor-kantor ke Alibaba Cloud.
Di panel navigasi sisi kiri, pilih .
Di halaman IPsec Connections, klik Bind VPN Gateway.
Di halaman Create Ipsec-vpn Connection (VPN), konfigurasikan parameter dan klik OK.
Tabel berikut menggambarkan konfigurasi koneksi IPsec-VPN untuk setiap kantor.
Parameter
Deskripsi
Kantor Shanghai
Kantor Hangzhou
Kantor Ningbo
Name
Masukkan nama untuk koneksi IPsec-VPN.
Koneksi IPsec-VPN 1
Koneksi IPsec-VPN 2
Koneksi IPsec-VPN 3
Region
Pilih wilayah tempat gateway VPN yang akan dikaitkan dengan koneksi IPsec-VPN diterapkan.
China (Hangzhou)
Bind VPN Gateway
Pilih gateway VPN yang telah Anda buat.
Gateway VPN 1
Customer Gateway
Pilih gateway pelanggan yang telah Anda buat.
Shanghai-customer1
Hangzhou-customer2
Ningbo-customer3
Routing Mode
Pilih mode perutean.
Destination Routing Mode
Destination Routing Mode
Protected Data Flows
Local Network
Masukkan blok CIDR yang akan dihubungkan ke kantor-kantor. Blok CIDR digunakan dalam negosiasi Fase 2.
N/A
N/A
192.168.0.0/16
Remote Network
Masukkan blok CIDR yang akan dihubungkan ke VPC. Blok CIDR ini digunakan dalam negosiasi Fase 2.
10.10.30.0/24
Effective Immediately
Tentukan apakah akan memulai negosiasi koneksi segera.
Yes: memulai negosiasi setelah konfigurasi selesai.
No: memulai negosiasi saat arah masuk lalu lintas terdeteksi.
Yes
Yes
Yes
Pre-Shared Key
Masukkan kunci pra-berbagi.
Jika Anda tidak memasukkan nilai, sistem akan menghasilkan string 16-bit acak sebagai kunci pra-berbagi.
PentingPastikan bahwa perangkat lokal dan koneksi IPsec-VPN menggunakan kunci pra-berbagi yang sama.
fddsFF123****
TTTddd321****
PPPttt456****
Encryption Configuration
Konfigurasikan fitur IKE, IPsec, DPD, dan traversal NAT.
Dalam contoh ini, IKEv1 digunakan dan parameter lainnya menggunakan nilai default.
Dalam contoh ini, IKEv1 digunakan dan parameter lainnya menggunakan nilai default.
Dalam contoh ini, IKEv1 digunakan dan parameter lainnya menggunakan nilai default.
Gunakan pengaturan default untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Buat dan Kelola Koneksi IPsec-VPN dalam Mode Single-Tunnel.
Untuk mengonfigurasi rute gateway VPN nanti, klik Cancel di kotak dialog yang muncul.
Langkah 4: Konfigurasi rute untuk gateway VPN
Setelah membuat koneksi IPsec-VPN, Anda harus menambahkan blok CIDR dari kantor Shanghai dan Hangzhou ke tabel rute berbasis tujuan dari gateway VPN, dan mengiklankan blok CIDR dari kantor Shanghai, Hangzhou, dan Ningbo ke VPC1.
Mode perutean koneksi IPsec-VPN yang Anda buat untuk kantor Ningbo disetel ke Aliran Data yang Dilindungi. Setelah koneksi IPsec-VPN dibuat, sistem secara otomatis menambahkan rute lokal dan rute peer ke tabel rute berbasis kebijakan dari gateway VPN. Oleh karena itu, Anda hanya perlu mengiklankan blok CIDR dari kantor Ningbo ke VPC1 di tabel rute berbasis kebijakan. Anda tidak perlu menambahkan rute.
Di panel navigasi sisi kiri, pilih .
Di bilah menu atas, pilih wilayah gateway VPN.
Di halaman VPN Gateway, temukan gateway VPN yang ingin Anda kelola dan klik ID-nya.
Tambahkan dan iklankan blok CIDR dari kantor Shanghai dan Hangzhou pada tab Destination-based Route Table dari gateway VPN.
Pada tab Destination-based Route Table, klik Add Route Entry.
Di panel Add Route Entry, konfigurasikan parameter berikut dan klik OK.
Parameter
Deskripsi
Rute 1
Rute 2
Destination CIDR Block
Masukkan blok CIDR tujuan yang akan dihubungkan.
Masukkan 10.10.10.0/24, blok CIDR privat dari kantor Shanghai.
Masukkan 10.10.20.0/24, blok CIDR privat dari kantor Hangzhou.
Next Hop Type
Pilih tipe hop selanjutnya.
Pilih IPsec-VPN connection.
Pilih IPsec-VPN connection.
Next Hop
Pilih hop selanjutnya.
Dalam contoh ini, Koneksi IPsec-VPN 1 dipilih.
Dalam contoh ini, Koneksi IPsec-VPN 2 dipilih.
Advertise to VPC
Tentukan apakah akan mengiklankan rute ke tabel rute VPC1, VPC yang terkait dengan gateway VPN.
Yes
Yes
Weight
Pilih bobot untuk rute. Nilai valid:
100: menentukan prioritas tinggi untuk rute.
0: menentukan prioritas rendah untuk rute.
Nilai default 100 digunakan dalam contoh ini.
Nilai default 100 digunakan dalam contoh ini.
Untuk informasi lebih lanjut, lihat Tambahkan Rute Berbasis Tujuan.
Iklankan blok CIDR dari kantor Ningbo pada tab Policy-based Route Table dari gateway VPN.
Pada tab Policy-based Route Table, temukan rute yang destination CIDR block-nya adalah blok CIDR dari kantor Ningbo dan klik Advertise di kolom Actions.
Di pesan Advertise Route, klik OK.
Langkah 5: Konfigurasi perangkat gateway lokal
Setelah mengonfigurasi gateway VPN, Anda harus mengonfigurasi perangkat gateway lokal dari setiap kantor. Anda harus mengunduh konfigurasi perangkat gateway lokal di halaman IPsec Connections dan menambahkan konfigurasi ke perangkat gateway lokal. Dengan cara ini, kantor-kantor dapat berkomunikasi satu sama lain dan dengan VPC1.
Di panel navigasi sisi kiri, pilih .
Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang ingin Anda kelola dan klik Generate Peer Configuration di kolom Actions.
Unduh konfigurasi peer dari Koneksi IPsec-VPN 1, Koneksi IPsec-VPN 2, dan Koneksi IPsec-VPN 3.
Muat konfigurasi ke perangkat gateway lokal. Untuk informasi lebih lanjut, lihat Konfigurasikan Perangkat Gateway Lokal.
Tambahkan konfigurasi yang diunduh dari Koneksi IPsec-VPN 1 ke perangkat gateway lokal dari kantor Shanghai.
Tambahkan konfigurasi yang diunduh dari Koneksi IPsec-VPN 2 ke perangkat gateway lokal dari kantor Hangzhou.
Tambahkan konfigurasi yang diunduh dari Koneksi IPsec-VPN 3 ke perangkat gateway lokal dari kantor Ningbo.
Langkah 6: Uji konektivitas jaringan
Setelah menyelesaikan konfigurasi sebelumnya, kantor Shanghai, Hangzhou, Ningbo, dan VPC1 dapat berkomunikasi satu sama lain. Berikut ini menjelaskan cara menguji konektivitas jaringan.
Uji konektivitas jaringan antara kantor-kantor dan VPC1.
Masuk ke Instance ECS yang diterapkan di VPC1.
Untuk informasi lebih lanjut tentang cara masuk ke Instance ECS, lihat Metode yang Digunakan untuk Terhubung ke Instance ECS.
Jalankan perintah ping untuk ping klien di setiap kantor Shanghai, Hangzhou, dan Ningbo.
ping <alamat IP dari klien>Jika Anda dapat menerima paket balasan echo dari kantor-kantor, kantor-kantor tersebut dapat berkomunikasi dengan VPC1.
Uji konektivitas jaringan di antara kantor-kantor.
Buka CLI pada klien di kantor Shanghai.
Jalankan perintah ping untuk ping klien di setiap kantor Hangzhou dan Ningbo.
ping <alamat IP dari klien>Jika Anda dapat menerima paket balasan echo dari kantor-kantor, kantor Shanghai dapat berkomunikasi dengan kantor Hangzhou dan Ningbo.
Buka CLI pada klien di kantor Hangzhou.
Jalankan perintah ping untuk ping klien di kantor Ningbo.
ping <alamat IP dari klien>Jika Anda dapat menerima paket balasan echo dari kantor Ningbo, kantor Hangzhou dapat berkomunikasi dengan kantor Ningbo.