Gunakan perutean statis untuk mengenkripsi dan mentransmisikan trafik pribadi melalui sirkuit Express Connect - VPN Gateway

Topik ini menjelaskan cara mengonfigurasi perutean statis, rute batas virtual (VBR), dan koneksi IPsec-VPN untuk mengenkripsi serta mentransmisikan trafik pribadi melalui sirkuit Express Connect.

Informasi latar belakang

Sebelum memulai, disarankan untuk mempelajari cara trafik pribadi dienkripsi dan ditransmisikan melalui sirkuit Express Connect. Untuk informasi lebih lanjut, lihat Enkripsi koneksi pribadi melalui sirkuit Express Connect.
Jika perangkat gateway pelanggan mendukung perutean dinamis BGP, disarankan untuk mengonfigurasi perutean dinamis BGP pada VBR dan koneksi IPsec-VPN pribadi guna mengenkripsi serta mentransmisikan trafik pribadi melalui sirkuit Express Connect. Untuk informasi lebih lanjut, lihat Gunakan perutean dinamis BGP untuk mengenkripsi dan mentransmisikan trafik pribadi melalui sirkuit Express Connect.

Skenario penggunaan

Gambar berikut menunjukkan skenario penggunaan. Sebuah perusahaan memiliki pusat data di Hangzhou dan VPC di wilayah China (Hangzhou). Aplikasi ditempatkan pada instance Elastic Compute Service (ECS) dalam VPC tersebut. Untuk memperluas bisnisnya, perusahaan ingin menghubungkan pusat datanya ke cloud. Untuk memenuhi persyaratan keamanan, perusahaan perlu menggunakan sirkuit Express Connect dan router transit untuk bertukar data antara pusat data dan VPC melalui koneksi pribadi. Selain itu, untuk mencegah pencurian dan pemalsuan data, perusahaan ingin mengenkripsi data sebelum ditransmisikan ke Alibaba Cloud melalui sirkuit Express Connect.

Pusat data terhubung ke VPC menggunakan sirkuit Express Connect. Dalam skenario ini, perusahaan dapat membuat koneksi IPsec-VPN pribadi antara perangkat gateway pelanggan dan router transit, lalu mengenkripsi trafik yang melewati koneksi IPsec-VPN tersebut untuk memastikan keamanan data.

Desain jaringan

Penting

Pastikan jaringan pusat data dan contoh jaringan Anda tidak tumpang tindih saat merancang jaringan.

Mekanisme perutean

Untuk mengenkripsi dan mentransmisikan trafik pribadi melalui sirkuit Express Connect, pastikan pusat data dan VPC lebih memilih bertukar data melalui koneksi IPsec-VPN pribadi daripada sirkuit Express Connect. Untuk mencapai tujuan ini, rute berikut ditambahkan dalam contoh ini:

Untuk trafik dari VPC ke pusat data:
Router transit dapat mempelajari rute yang mengarah ke pusat data dari VBR dan koneksi IPsec-VPN pribadi. Secara default, rute yang dipelajari dari VBR memiliki prioritas lebih tinggi. Akibatnya, trafik dari VPC ke pusat data lebih disukai diteruskan melalui sirkuit Express Connect dan oleh karena itu tidak dapat dienkripsi.
Untuk menghindari masalah ini, panjang subnet masker yang berbeda digunakan untuk blok CIDR pusat data dalam contoh ini. Saat menambahkan blok CIDR pusat data ke VBR, pastikan panjang maskernya pendek. Saat menambahkan blok CIDR pusat data ke tabel rute koneksi IPsec-VPN pribadi, pastikan panjang maskernya panjang.
Sebagai contoh, blok CIDR pusat data adalah 192.168.0.0/16. Blok CIDR klien yang terhubung ke VPC adalah 192.168.20.0/24. Dalam kasus ini, tambahkan blok CIDR pusat data 192.168.0.0/16 ke VBR dan tambahkan blok CIDR klien 192.168.20.0/24 ke tabel rute koneksi IPsec-VPN pribadi. Dengan cara ini, rute yang dipelajari oleh router transit dari koneksi IPsec-VPN pribadi memiliki prioritas lebih tinggi. Trafik dari VPC ke klien di pusat data lebih disukai dienkripsi dan ditransmisikan melalui koneksi IPsec-VPN pribadi.
Untuk trafik dari pusat data ke VPC:
Tambahkan rute yang mengarah ke VPC ke pusat data. Tentukan sirkuit Express Connect dan koneksi IPsec-VPN pribadi sebagai hop berikutnya. Kemudian, modifikasi prioritas rute untuk memastikan bahwa rute yang mengarah ke koneksi IPsec-VPN pribadi memiliki prioritas lebih tinggi. Trafik dari pusat data ke VPC lebih disukai dienkripsi dan ditransmisikan melalui koneksi IPsec-VPN pribadi.

Catatan

Ini memastikan bahwa pusat data dan VPC masih dapat bertukar data melalui sirkuit Express Connect dan router transit ketika koneksi IPsec-VPN pribadi ditutup. Namun, data tidak dienkripsi dalam hal ini.

Subnetting

Item jaringan	Subnetting	Alamat IP
VPC	Blok CIDR utama: 172.16.0.0/16 vSwitch 1 ditempatkan di Zona H: 172.16.10.0/24 vSwitch 2 ditempatkan di Zona H: 172.16.20.0/24 vSwitch 3 ditempatkan di Zona J: 172.16.30.0/24	ECS 1: 172.16.10.225 ECS 2: 172.16.10.226
VBR	10.0.0.0/30	ID VLAN: 0 Alamat IPv4 (di sisi Alibaba Cloud): 10.0.0.1/30 Alamat IPv4 (di sisi pusat data): 10.0.0.2/30 Dalam contoh ini, alamat IPv4 di sisi pusat data adalah alamat IPv4 perangkat gateway pelanggan.
Pusat data	Blok CIDR klien: 192.168.20.0/24	Alamat IP klien: 192.168.20.6
Pusat data	Blok CIDR perangkat gateway pelanggan: 10.0.0.0/30 192.168.10.0/24 192.168.40.0/24	Alamat IP VPN 1: 192.168.10.136 Alamat IP VPN 2: 192.168.40.159 Alamat IP VPN adalah alamat IP port yang digunakan oleh perangkat gateway pelanggan untuk terhubung ke router transit melalui koneksi IPsec-VPN pribadi. Alamat IP port yang terhubung ke sirkuit Express Connect: 10.0.0.2/30

Prasyarat

VPC dibuat di wilayah China (Hangzhou) dan aplikasi ditempatkan pada instance ECS dalam VPC. Untuk informasi lebih lanjut, lihat Buat VPC dengan blok CIDR IPv4.
Perangkat gateway pelanggan mendukung protokol IKEv1 dan IKEv2 untuk membuat koneksi IPsec-VPN pribadi. Untuk memeriksa apakah perangkat gateway mendukung protokol IKEv1 dan IKEv2, hubungi vendor gateway.

Prosedur

Langkah 1: Hubungkan pusat data ke VPC menggunakan sirkuit Express Connect dan router transit

Langkah a: Pasang sirkuit Express Connect

Pasang sirkuit Express Connect untuk menghubungkan pusat data ke Alibaba Cloud.

Ajukan permohonan untuk sirkuit Express Connect.
Ajukan permohonan untuk sirkuit Express Connect di wilayah China (Hangzhou). Untuk informasi lebih lanjut, lihat Mode Klasik atau Gambaran Umum Koneksi Terkelola. Dalam contoh ini, a dedicated connection over an Express Connect circuit dibuat.

Buat VBR.

Masuk ke Konsol Express Connect.
Di panel navigasi kiri, klik Virtual Border Routers (VBRs).
Di bilah navigasi atas, pilih wilayah China (Hangzhou).
Pastikan bahwa VBR dan sirkuit Express Connect ditempatkan di wilayah yang sama.
Di halaman Virtual Border Routers (VBRs), klik Create VBR.

Di panel Create VBR, atur parameter berikut dan klik OK.

Tabel berikut hanya menjelaskan beberapa parameter. Parameter lainnya menggunakan nilai default. Untuk informasi lebih lanjut, lihat Buat dan Kelola VBR.

Parameter	Deskripsi
Name	Dalam contoh ini, `VBR` digunakan.
Physical Connection Information	Dalam contoh ini, Dedicated Physical Connection dipilih, dan sirkuit Express Connect yang Anda pasang dipilih.
VLAN ID	`0` digunakan dalam contoh ini.
Alibaba Cloud Side IPv4 Address	Dalam contoh ini, `10.0.0.1` dimasukkan.
Data Center Side IPv4 Address	Dalam contoh ini, `10.0.0.2` dimasukkan.
IPv4 Subnet Mask	Dalam contoh ini, `255.255.255.252` digunakan.

Tambahkan rute yang mengarah ke pusat data ke VBR.
1. Di halaman Virtual Border Routers (VBRs), klik ID VBR.
2. Klik tab Routes. Di tab Custom Route Entry, klik Add Route.
3. Di panel Add Route, konfigurasikan parameter berikut dan klik OK.
  Parameter
  Contoh
  Next Hop Type
  Pilih Express Connect Circuit.
  Destination CIDR Block
  Masukkan blok CIDR pusat data 192.168.0.0/16.
  Next Hop
  Pilih sirkuit Express Connect yang Anda pasang.
  Penting
  Saat menambahkan rute yang mengarah ke pusat data ke VBR, pastikan panjang maskernya pendek. Dengan cara ini, rute yang dipelajari oleh router transit dari koneksi IPsec-VPN pribadi lebih spesifik daripada rute saat ini dan memiliki prioritas lebih tinggi.

Tambahkan rute yang mengarah ke VPC ke perangkat gateway pelanggan

Catatan

Dalam contoh ini, perangkat lunak Adaptive Security Appliance (ASA) 9.19.1 digunakan untuk menjelaskan cara mengonfigurasi firewall Cisco. Perintah mungkin berbeda tergantung pada versi perangkat lunak. Konsultasikan dokumentasi atau vendor Anda berdasarkan lingkungan aktual selama operasi. Untuk informasi lebih lanjut, lihat Konfigurasikan Gateway Lokal.

Konten berikut berisi informasi produk pihak ketiga, yang hanya untuk referensi. Alibaba Cloud tidak memberikan jaminan atau bentuk komitmen lainnya untuk performa dan keandalan produk pihak ketiga, atau dampak potensial dari operasi yang dilakukan menggunakan produk-produk ini.

ciscoasa> enable
Password: ********             # Masukkan kata sandi untuk masuk ke mode enable. 
ciscoasa# configure terminal   # Masuk ke mode konfigurasi. 
ciscoasa(config)#   

Verifikasi bahwa antarmuka dikonfigurasi dan diaktifkan pada firewall Cisco. Dalam contoh ini, konfigurasi antarmuka berikut digunakan: 
ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/0                # Antarmuka yang terhubung ke VBR. 
 nameif VBR                                 # Nama antarmuka GigabitEthernet 0/0. 
 security-level 0
 ip address 10.0.0.1 255.255.255.252        # Alamat IP antarmuka GigabitEthernet0/0. 
!
interface GigabitEthernet0/2                #Antarmuka yang terhubung ke pusat data. 
 nameif private                             # Nama antarmuka GigabitEthernet 0/2. 
 security-level 100                         #Pastikan tingkat keamanan antarmuka yang terhubung ke pusat data lebih rendah daripada antarmuka yang terhubung ke Alibaba Cloud. 
 ip address 192.168.50.215 255.255.255.0    #Alamat IP antarmuka GigabitEthernet0/2. 
!
interface GigabitEthernet0/3                #Antarmuka yang terhubung ke terowongan IPsec-VPN pribadi 1.
 nameif VPN-IP1                             #Nama antarmuka GigabitEthernet0/3. 
 security-level 0
 ip address 192.168.10.136 255.255.255.0    #Alamat IP pribadi antarmuka GigabitEthernet0/3. 
!
interface GigabitEthernet0/4                #Antarmuka yang terhubung ke terowongan IPsec-VPN pribadi 2.
 nameif VPN-IP2                             #Nama antarmuka GigabitEthernet0/4. 
 security-level 0
 ip address 192.168.40.159  255.255.255.0   #Alamat IP pribadi antarmuka GigabitEthernet0/4. 
!

#Tambahkan rute statis yang mengarah ke VPC (172.16.0.0/16). 
route VBR 172.16.0.0 255.255.0.0 10.0.0.2     
   
#Tambahkan rute yang mengarah ke klien di pusat data. 
route private 192.168.0.0 255.255.0.0 192.168.50.216

Langkah b: Konfigurasikan router transit

Setelah pusat data terhubung ke Alibaba Cloud melalui sirkuit Express Connect, Anda perlu mengonfigurasi router transit untuk bertukar data antara pusat data dan VPC.

Buat Instansi CEN.
Di kotak dialog Create CEN Instance, klik Create CEN Only, masukkan nama, dan gunakan pengaturan default untuk parameter lainnya.
Buat Router Transit Edisi Perusahaan.
Buat router transit di wilayah China (Hangzhou) untuk menghubungkan VBR dan VPC. Gunakan pengaturan default untuk parameter lainnya.

Buat Koneksi VPC.

Di halaman detail CEN, klik tab Basic Information > Transit Router. Temukan router transit di wilayah China (Hangzhou) dan klik Create Connection di kolom Actions.

Di halaman Connection with Peer Network Instance, konfigurasikan parameter berikut dan klik OK untuk menghubungkan VPC ke router transit.

Tabel berikut hanya menjelaskan beberapa parameter. Parameter lainnya menggunakan nilai default. Untuk informasi lebih lanjut, lihat Gunakan Router Transit Edisi Perusahaan untuk Membuat Koneksi VPC.

Parameter	Deskripsi
Instance Type	Pilih Virtual Private Cloud (VPC).
Region	Pilih China (Hangzhou).
Attachment Name	Masukkan `Lampiran-VPC`.
Network Instance	Pilih VPC Anda.
VSwitch	Pilih vSwitch yang ditempatkan di zona router transit. Dalam contoh ini, vSwitch 2 dan vSwitch 3 dipilih. Jika wilayah memiliki beberapa zona, pilih setidaknya dua zona dan pilih satu vSwitch di setiap zona. Kami menyarankan Anda memilih vSwitch yang tidak digunakan.
Advanced Settings	Dalam contoh ini, pengaturan default digunakan. Semua fitur lanjutan diaktifkan.

Klik Create More Connections untuk kembali ke halaman Connection with Peer Network Instance.

Buat Koneksi VBR.

Di halaman Connection with Peer Network Instance, konfigurasikan parameter berikut dan klik OK untuk menghubungkan VBR ke router transit. Tabel berikut hanya menjelaskan beberapa parameter. Parameter lainnya menggunakan nilai default. Untuk informasi lebih lanjut, lihat Hubungkan VBR ke Router Transit Edisi Perusahaan.

Parameter	Deskripsi
Instance Type	Pilih Virtual Border Router (VBR).
Region	Pilih China (Hangzhou).
Attachment Name	`Lampiran-VBR` dimasukkan dalam contoh ini.
Network Instance	VBR dipilih dalam contoh ini.
Advanced Settings	Dalam contoh ini, pengaturan default digunakan. Semua fitur lanjutan diaktifkan.

Langkah c: Uji konektivitas

Setelah menyelesaikan konfigurasi sebelumnya, pusat data terhubung ke VPC. Anda dapat melakukan langkah-langkah berikut untuk menguji konektivitas.

Catatan

Pastikan Anda memahami aturan grup keamanan untuk instance ECS di VPC dan aturan kontrol akses untuk klien di pusat data. Pastikan aturan tersebut mengizinkan instance ECS di VPC berkomunikasi dengan klien di pusat data. Untuk informasi lebih lanjut, lihat Lihat Aturan Grup Keamanan dan Tambahkan Aturan Grup Keamanan.

Aturan kontrol akses untuk pusat data harus mengizinkan pesan ICMP dan akses dari VPC. Aturan grup keamanan untuk instance ECS harus mengizinkan pesan ICMP dan akses dari blok CIDR pusat data.

Sambungkan ke ECS 1 di VPC. Untuk informasi lebih lanjut, lihat Gambaran Metode Koneksi.
Jalankan perintah ping untuk ping klien di pusat data.
```
ping <alamat IP klien di pusat data>
```
Seperti ditampilkan pada gambar sebelumnya, jika ECS 1 dapat menerima respons, pusat data dan VPC terhubung.

Langkah 2: Enkripsi koneksi khusus melalui sirkuit Express Connect

Setelah pusat data terhubung ke VPC, Anda dapat membuat koneksi IPsec-VPN pribadi antara perangkat gateway pelanggan dan router transit, serta mengonfigurasi rute untuk mengenkripsi dan mentransmisikan trafik melalui koneksi IPsec-VPN pribadi antara pusat data dan VPC.

Langkah a: Buat koneksi IPsec-VPN pribadi

Tambahkan blok CIDR 10.10.10.0/24 untuk router transit. Untuk informasi lebih lanjut, lihat Blok CIDR Router Transit.
Alamat IP gateway akan dialokasikan dari blok CIDR router transit untuk membuat koneksi IPsec-VPN pribadi. Blok CIDR router transit tidak boleh tumpang tindih dengan blok CIDR pusat data dan VPC yang digunakan untuk komunikasi.
Buat dua gateway pelanggan untuk mendaftarkan dua alamat IP VPN perangkat gateway pelanggan dengan Alibaba Cloud.
1. Masuk ke Konsol Gateway VPN.
2. Di panel navigasi kiri, pilih Interconnections > VPN > Customer Gateways.
3. Di halaman Customer Gateway, klik Create Customer Gateway.
4. Di panel Create Customer Gateway, atur parameter berikut dan klik OK.
  Tabel berikut hanya menjelaskan beberapa parameter. Parameter lainnya menggunakan nilai default. Untuk informasi lebih lanjut, lihat Buat dan Kelola Gateway Pelanggan.
  - Gateway Pelanggan 1
    - Name: Masukkan Customer-Gateway1.
    - IP Address: Masukkan salah satu alamat IP VPN perangkat gateway pelanggan, yaitu 192.168.10.136.
  - Gateway Pelanggan 2
    - Name: Masukkan Customer-Gateway2.
    - IP Address: Masukkan alamat IP VPN lainnya dari perangkat gateway pelanggan, yaitu 192.168.40.159.

Buat Koneksi IPsec-VPN.

Di panel navigasi kiri, pilih Interconnections > VPN > IPsec Connections.
Di halaman IPsec Connections, klik Bind CEN.

Di halaman Create Ipsec-vpn Connection (CEN), konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter.

Tabel berikut hanya menjelaskan parameter utama. Nilai default digunakan untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Buat dan Kelola Koneksi IPsec-VPN dalam Mode Dual-Tunnel.

Parameter	Koneksi IPsec-VPN
Name	Masukkan `IPsecConnection`.
Region	Pilih wilayah tempat router transit yang ingin Anda asosiasikan berada. Koneksi IPsec-VPN dibuat di wilayah yang sama dengan router transit.
Gateway Type	Pilih Private.
Bind CEN	Pilih Current Account.
CEN Instance ID	Masukkan ID instansi CEN yang dibuat di Langkah b. Sistem menampilkan ID dan blok CIDR router transit yang dibuat oleh instansi CEN di wilayah saat ini. Koneksi IPsec-VPN akan diasosiasikan dengan router transit.
Transit Router	Sistem secara otomatis menampilkan router transit dari instansi CEN di wilayah saat ini.
Routing Mode	Destination Routing Mode dipilih dalam contoh ini untuk mengontrol perutean trafik.
Tunnel 1
Customer Gateway	Pilih `Customer-Gateway1`.
Pre-Shared Key	`fddsFF111**` digunakan dalam contoh ini. Penting** Koneksi IPsec-VPN dan perangkat gateway peer harus menggunakan kunci pra-berbagi yang sama. Jika tidak, sistem tidak dapat membuat koneksi IPsec-VPN.
Encryption Configuration	Gunakan nilai default parameter kecuali parameter berikut. Atur parameter DH Group di bagian IKE Configurations ke group14. Atur parameter DH Group di bagian IPsec Configurations menjadi group14. Catatan Anda perlu memilih parameter enkripsi berdasarkan perangkat gateway lokal untuk memastikan bahwa konfigurasi enkripsi untuk koneksi IPsec sama dengan perangkat gateway lokal.
Tunnel 2
Customer Gateway	Pilih `Customer-Gateway2`.
Pre-Shared Key	`fddsFF222****` digunakan dalam contoh ini.
Encryption Configuration	Gunakan nilai default parameter kecuali parameter berikut. Atur parameter DH Group di bagian IKE Configurations menjadi group14. Atur parameter DH Group di bagian IPsec Configurations menjadi group14. Catatan Anda perlu memilih parameter enkripsi berdasarkan perangkat gateway lokal untuk memastikan bahwa konfigurasi enkripsi untuk koneksi IPsec sama dengan perangkat gateway lokal.
Advanced Configuration	Dalam contoh ini, pengaturan default digunakan. Semua fitur lanjutan diaktifkan.

Di halaman detail koneksi IPsec-VPN, Anda dapat melihat bahwa alamat IP gateway digunakan untuk membuat koneksi IPsec-VPN pribadi ke perangkat gateway pelanggan. 网关IP地址

Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang Anda buat dan klik Generate Peer Configuration di kolom Actions.
Konfigurasi peer IPsec merujuk pada konfigurasi VPN yang perlu Anda tambahkan saat membuat koneksi IPsec-VPN. Dalam contoh ini, Anda perlu menambahkan konfigurasi VPN ke perangkat gateway pusat data.
Di kotak dialog IPsec Connection Configuration, salin dan simpan konfigurasi ke mesin lokal. Konfigurasi ini diperlukan saat Anda mengonfigurasi perangkat gateway pusat data.

Konfigurasikan Perangkat Gateway Pelanggan.

Setelah Anda membuat koneksi IPsec-VPN, Anda perlu menambahkan konfigurasi VPN pada perangkat gateway pelanggan agar koneksi IPsec-VPN pribadi dapat dibuat antara Alibaba Cloud dan perangkat gateway pelanggan.

Klik untuk melihat konfigurasi perangkat gateway pelanggan.

Masuk ke CLI firewall Cisco dan masuk ke mode konfigurasi.

ciscoasa> enable
Password: ********             # Masukkan kata sandi untuk masuk ke mode enable. 
ciscoasa# configure terminal   # Masuk ke mode konfigurasi. 
ciscoasa(config)#

Lihat konfigurasi antarmuka dan konfigurasi rute.

Verifikasi bahwa antarmuka dikonfigurasi dan diaktifkan pada firewall Cisco. Dalam contoh ini, konfigurasi antarmuka berikut digunakan:

ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/3                #Antarmuka yang terhubung ke terowongan IPsec-VPN pribadi 1.
 nameif VPN-IP1                             #Nama antarmuka GigabitEthernet0/3. 
 security-level 0
 ip address 192.168.10.136 255.255.255.0    #Alamat IP pribadi antarmuka GigabitEthernet0/3. 
!
interface GigabitEthernet0/4                #Antarmuka yang terhubung ke terowongan IPsec-VPN pribadi 2.
 nameif VPN-IP2                             #Nama antarmuka GigabitEthernet0/4. 
 security-level 0
 ip address 192.168.40.159  255.255.255.0   #Alamat IP pribadi antarmuka GigabitEthernet0/4. 
!

#Tambahkan rute yang mengarah ke blok CIDR router transit (alamat IP gateway koneksi IPsec-VPN) untuk membuat koneksi IPsec-VPN pribadi. 
route VBR 10.10.10.49 255.255.255.255 10.0.0.2   #Konfigurasikan rute yang mengarah ke alamat IP pribadi Terowongan 1 di sisi Alibaba Cloud.
route VBR 10.10.10.50 255.255.255.255 10.0.0.2   #Konfigurasikan rute yang mengarah ke alamat IP pribadi Terowongan 2 di sisi Alibaba Cloud.

Aktifkan IKEv2 untuk antarmuka.

crypto ikev2 enable VPN-IP1
crypto ikev2 enable VPN-IP2

Buat kebijakan IKEv2 dan tentukan algoritma autentikasi, algoritma enkripsi, grup DH, dan masa hidup SA di fase IKE pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.
Penting
Saat mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IKE. Kami menyarankan Anda menentukan hanya satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IKE pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.
```
crypto ikev2 policy 10     
 encryption aes             # Tentukan algoritma enkripsi. 
 integrity sha              # Tentukan algoritma autentikasi. 
 group 14                   # Tentukan grup DH. 
 prf sha                    # Nilai parameter prf harus sama dengan parameter integrity. Secara default, nilai-nilai ini sama di Alibaba Cloud. 
 lifetime seconds 86400     # Tentukan masa hidup SA.
```

Buat proposal IPsec dan profil, serta tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa hidup SA di fase IPsec pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

Penting

Saat mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IPsec. Kami menyarankan Anda menentukan hanya satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IPsec pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Buat proposal IPsec. 
 protocol esp encryption aes                         # Tentukan algoritma enkripsi. Protokol Encapsulating Security Payload (ESP) digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP. 
 protocol esp integrity sha-1                        # Tentukan algoritma autentikasi. Protokol ESP digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP. 
crypto ipsec profile ALIYUN-PROFILE                  
 set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Buat profil IPsec dan terapkan proposal yang dibuat.  
 set ikev2 local-identity address                    # Atur format ID lokal menjadi alamat IP, yang sama dengan format ID remote di Alibaba Cloud. 
 set pfs group14                                     # Tentukan Perfect Forward Secrecy (PFS) dan grup DH. 
 set security-association lifetime seconds 86400     # Tentukan masa hidup SA berbasis waktu. 
 set security-association lifetime kilobytes unlimited # Nonaktifkan masa hidup SA berbasis trafik.

Buat grup terowongan dan tentukan kunci pra-berbagi untuk terowongan, yang harus sama dengan yang ada di sisi Alibaba Cloud.

tunnel-group 10.10.10.49 type ipsec-l2l                    #Atur mode enkripsi ke l2l untuk Terowongan 1. 
tunnel-group 10.10.10.49 ipsec-attributes             
 ikev2 remote-authentication pre-shared-key fddsFF111****  # Tentukan kunci pra-berbagi peer untuk Terowongan 1, yaitu kunci pra-berbagi di sisi Alibaba Cloud. 
 ikev2 local-authentication pre-shared-key fddsFF111**** # Tentukan kunci pra-berbagi lokal untuk Terowongan 1, yang harus sama dengan yang ada di Alibaba Cloud. 
!
tunnel-group 10.10.10.50 type ipsec-l2l                    #Atur mode enkripsi ke l2l untuk Terowongan 2. 
tunnel-group 10.10.10.50 ipsec-attributes
 ikev2 remote-authentication pre-shared-key fddsFF222****  # Tentukan kunci pra-berbagi peer untuk Terowongan 2, yaitu kunci pra-berbagi di sisi Alibaba Cloud. 
 ikev2 local-authentication pre-shared-key fddsFF222****   # Tentukan kunci pra-berbagi lokal untuk Terowongan 2, yang harus sama dengan yang ada di Alibaba Cloud. 
!

Buat antarmuka terowongan.

interface Tunnel1                                  # Buat antarmuka untuk Terowongan 1. 
 nameif ALIYUN1
 ip address 169.254.10.2 255.255.255.252           # Tentukan alamat IP antarmuka. 
 tunnel source interface VPN-IP1                   #Tentukan alamat sumber Terowongan 1 sebagai alamat IP GigabitEthernet0/3. 
 tunnel destination 10.10.10.49                    #Tentukan alamat tujuan Terowongan 1 sebagai alamat IP pribadi Terowongan 1 di sisi Alibaba Cloud. 
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ALIYUN-PROFILE    # Terapkan profil IPsec ALIYUN-PROFILE pada Terowongan 1. 
 no shutdown                                       # Aktifkan antarmuka untuk Terowongan 1. 
!
interface Tunnel2                                  # Buat antarmuka untuk Terowongan 2. 
 nameif ALIYUN2                
 ip address 169.254.20.2 255.255.255.252           # Tentukan alamat IP antarmuka. 
 tunnel source interface VPN-IP2                   #Tentukan alamat sumber Terowongan 2 sebagai alamat IP GigabitEthernet0/4. 
 tunnel destination 10.10.10.50                    #Tentukan alamat tujuan Terowongan 2 sebagai alamat IP pribadi Terowongan 2 di sisi Alibaba Cloud. 
 tunnel mode ipsec ipv4                            
 tunnel protection ipsec profile ALIYUN-PROFILE # Terapkan profil IPsec ALIYUN-PROFILE pada Terowongan 2. 
 no shutdown                                       # Aktifkan antarmuka untuk Terowongan 2. 
!

Setelah Anda menyelesaikan langkah-langkah sebelumnya, koneksi IPsec-VPN pribadi dapat dibuat antara pusat data dan Alibaba Cloud. Anda dapat memeriksa status koneksi di halaman detail koneksi IPsec-VPN. Jika koneksi IPsec-VPN pribadi tidak dibuat, lakukan pemecahan masalah sesuai. Untuk informasi lebih lanjut, lihat Diagnostik Mandiri untuk Koneksi IPsec-VPN. 协商状态

Langkah b: Konfigurasikan rute

Setelah koneksi IPsec-VPN pribadi dibuat, data masih ditransmisikan melalui sirkuit Express Connect antara pusat data dan VPC. Selain itu, data tidak dienkripsi. Anda perlu menambahkan rute untuk mengenkripsi dan mentransmisikan data melalui koneksi IPsec-VPN pribadi.

Modifikasi rute pada perangkat gateway pelanggan.

#Tambahkan rute yang mengarah ke VPC untuk mentransmisikan trafik melalui koneksi IPsec-VPN pribadi.
route ALIYUN1 172.16.0.0 255.255.0.0 10.10.10.49 4        
route ALIYUN2 172.16.0.0 255.255.0.0 10.10.10.50 5 

#Modifikasi prioritas rute statis yang mengarah ke sirkuit Express Connect. Pastikan prioritasnya lebih rendah daripada rute statis yang mengarah ke koneksi IPsec-VPN pribadi. 
route VBR 172.16.0.0 255.255.0.0 10.0.0.2  10

Penting

Dalam skenario ini, trafik dari pusat data ke VPC lebih disukai ditransmisikan melalui Terowongan 1. Saat Terowongan 1 down, trafik ditransmisikan melalui Terowongan 2. Transmisikan trafik dari VPC ke pusat data melalui terowongan acak.

Tambahkan rute yang mengarah ke pusat data untuk koneksi IPsec-VPN.

Masuk ke Konsol Gateway VPN.
Di panel navigasi kiri, pilih Interconnections > VPN > IPsec Connections.
Di bilah navigasi atas, pilih wilayah China (Hangzhou).
Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang ingin Anda kelola dan klik ID-nya.
Di tab Destination-based Route Table, klik Add Route Entry.

Di panel Add Route Entry, konfigurasikan parameter berikut dan klik OK.

Penting

Saat menambahkan rute yang mengarah ke pusat data, pastikan blok CIDR tujuannya lebih spesifik daripada blok CIDR rute yang ditambahkan ke VBR. Dengan cara ini, rute yang dipelajari oleh router transit dari koneksi IPsec-VPN pribadi untuk merutekan trafik ke pusat data memiliki prioritas lebih tinggi.

Parameter	Blok CIDR 1	Blok CIDR 2	Blok CIDR 3
Destination CIDR Block	Masukkan `192.168.10.0/24`.	Masukkan `192.168.20.0/24`.	Masukkan `192.168.40.0/24`.
Next Hop Type	Pilih IPsec-VPN connection.
Next Hop	Pilih koneksi IPsec-VPN yang Anda buat.

Tambahkan rute kustom untuk router transit.

Setelah Anda menambahkan rute sebelumnya, koneksi IPsec-VPN pribadi akan terputus. Dalam kasus ini, Anda perlu menambahkan rute spesifik yang mengarah ke alamat IP VPN perangkat gateway pelanggan ke tabel rute router transit, dan atur hop berikutnya ke VBR untuk membuat ulang koneksi IPsec-VPN pribadi.

Di tab Route Table di Konsol CEN, klik tab Route Entry dan klik Add Route Entry.

Di kotak dialog Add Route Entry, konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter.

Parameter	Blok CIDR 1	CIDR block 2
Destination CIDR	Masukkan salah satu alamat IP VPN perangkat gateway pelanggan, yaitu `192.168.10.136/32`.	Masukkan alamat IP VPN lainnya dari perangkat gateway pelanggan, yaitu `192.168.40.159/32`.
Whether it is a black hole route	Pilih No.
Next Hop Connection	Pilih VBR-Attachment.

Langkah c: Verifikasi pengaturan enkripsi

Setelah Anda menyelesaikan konfigurasi, jika Anda dapat melihat detail transfer data di halaman detail koneksi IPsec-VPN, trafik telah dienkripsi.

Sambungkan ke ECS 1 di VPC. Jalankan perintah ping untuk ping klien di blok CIDR pusat data.
```
ping <Alamat IP klien di pusat data> -s 1000 -c 10000
```
- -s 1000: Kirim 1.000 byte.
- -c 10000: Kirim permintaan secara terus-menerus sebanyak 10.000 kali.
Masuk ke Konsol Gateway VPN.
Di bilah navigasi atas, pilih wilayah China (Hangzhou).
Di panel navigasi kiri, pilih Interconnections > VPN > IPsec Connections.
Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang Anda buat dan klik ID-nya.
Pergi ke halaman detail koneksi IPsec-VPN untuk melihat detail transfer data.

Parameter	Contoh
Next Hop Type	Pilih Express Connect Circuit.
Destination CIDR Block	Masukkan blok CIDR pusat data `192.168.0.0/16`.
Next Hop	Pilih sirkuit Express Connect yang Anda pasang.