Gunakan perutean statis dan perutean dinamis BGP untuk mengenkripsi serta mentransmisikan trafik pribadi melalui sirkuit Express Connect - VPN Gateway

Topik ini menjelaskan cara mengonfigurasi perutean statis, perutean dinamis BGP, rute batas virtual (VBR), dan koneksi IPsec-VPN untuk mengenkripsi serta mentransmisikan trafik pribadi melalui sirkuit Express Connect.

Informasi latar belakang

Sebelum memulai, kami menyarankan Anda mempelajari cara trafik pribadi dienkripsi dan ditransmisikan melalui sirkuit Express Connect. Untuk informasi lebih lanjut, lihat Enkripsi koneksi pribadi melalui sirkuit Express Connect.
Jika perangkat gateway pelanggan Anda mendukung perutean dinamis BGP, kami menyarankan Anda mengonfigurasi perutean dinamis BGP untuk VBR dan koneksi IPsec-VPN pribadi guna mengenkripsi serta mentransmisikan trafik pribadi melalui sirkuit Express Connect. Untuk informasi lebih lanjut, lihat Gunakan perutean dinamis BGP untuk mengenkripsi serta mentransmisikan trafik pribadi melalui sirkuit Express Connect.

Skenario penggunaan

Gambar berikut menunjukkan skenario penggunaan. Sebuah perusahaan memiliki pusat data di Hangzhou dan sebuah VPC di wilayah China (Hangzhou). Aplikasi ditempatkan pada instance ECS dalam VPC tersebut. Untuk memperluas bisnisnya, perusahaan ingin menghubungkan pusat datanya ke cloud. Untuk memenuhi persyaratan kepatuhan keamanan, perusahaan perlu menggunakan sirkuit Express Connect dan router transit untuk bertukar data antara pusat data dan VPC melalui koneksi pribadi. Selain itu, untuk mencegah pencurian dan pemalsuan data, perusahaan ingin mengenkripsi data sebelum mentransmisikannya ke Alibaba Cloud melalui sirkuit Express Connect.

Pusat data terhubung ke VPC menggunakan sirkuit Express Connect. Dalam skenario ini, perusahaan dapat membuat koneksi IPsec-VPN pribadi antara perangkat gateway pelanggan dan router transit, lalu mengenkripsi trafik yang melewati koneksi IPsec-VPN untuk memastikan keamanan data.

Desain jaringan

Penting

Jika Anda ingin merancang jaringan pusat data dan instance jaringan Anda, pastikan jaringan mereka tidak tumpang tindih.

Mekanisme perutean

Untuk mengenkripsi dan mentransmisikan trafik pribadi melalui sirkuit Express Connect, pastikan bahwa pusat data dan VPC bertukar data melalui koneksi IPsec-VPN pribadi daripada sirkuit Express Connect. Untuk memenuhi tujuan ini, rute berikut ditambahkan dalam contoh ini:

Untuk trafik dari VPC ke pusat data:
Router transit dapat mempelajari rute yang mengarah ke pusat data dari VBR dan koneksi IPsec-VPN pribadi. Secara default, rute yang dipelajari dari VBR memiliki prioritas lebih tinggi. Akibatnya, trafik dari VPC ke pusat data lebih disukai diteruskan melalui sirkuit Express Connect dan oleh karena itu tidak dapat dienkripsi.
Untuk menghindari masalah ini, subnet mask yang berbeda digunakan untuk blok CIDR pusat data dalam contoh ini. Saat Anda menambahkan blok CIDR pusat data ke VBR, pastikan panjang maskernya pendek. Saat perangkat gateway pelanggan mengiklankan blok CIDR pusat data ke koneksi IPsec-VPN pribadi, pastikan panjang maskernya panjang.
Sebagai contoh, blok CIDR pusat data adalah 192.168.0.0/16. Blok CIDR klien yang terhubung ke VPC adalah 192.168.20.0/24. Dalam hal ini, tambahkan blok CIDR pusat data 192.168.0.0/16 ke VBR dan konfigurasikan perangkat gateway pelanggan untuk mengiklankan blok CIDR klien 192.168.20.0/24 ke koneksi IPsec-VPN pribadi. Dengan cara ini, rute yang dipelajari oleh router transit dari koneksi IPsec-VPN pribadi memiliki prioritas tinggi. Trafik dari VPC ke klien di pusat data lebih disukai dienkripsi dan ditransmisikan melalui koneksi IPsec-VPN pribadi.
Untuk trafik dari pusat data ke VPC:
Pusat data dapat secara otomatis mempelajari rute yang mengarah ke VPC dari koneksi IPsec-VPN pribadi. Anda juga perlu menambahkan rute statis yang mengarah ke VPC ke pusat data. Tentukan sirkuit Express Connect sebagai hop berikutnya dan kurangi prioritas rute statis. Pastikan rute yang dipelajari dari koneksi IPsec-VPN pribadi untuk merutekan trafik ke VPC memiliki prioritas lebih tinggi. Dengan cara ini, trafik dari pusat data ke VPC lebih disukai dienkripsi dan ditransmisikan melalui koneksi IPsec-VPN pribadi.

Catatan

Ini memastikan bahwa pusat data dan VPC masih dapat bertukar data melalui sirkuit Express Connect dan router transit ketika koneksi IPsec-VPN pribadi ditutup. Namun, data tidak dienkripsi dalam kasus ini.

Subnetting dasar

Item jaringan	Subnetting	Alamat IP
VPC	Blok CIDR utama: 172.16.0.0/16 vSwitch 1 ditempatkan di Zona H: 172.16.10.0/24 vSwitch 2 ditempatkan di Zona H: 172.16.20.0/24 vSwitch 3 ditempatkan di Zona J: 172.16.30.0/24	ECS 1: 172.16.10.225 ECS 2: 172.16.10.226
VBR	10.0.0.0/30	ID VLAN: 0 Alamat IPv4 (di sisi Alibaba Cloud): 10.0.0.1/30 Alamat IPv4 (di sisi pusat data): 10.0.0.2/30 Dalam contoh ini, alamat IPv4 di sisi pusat data adalah alamat IPv4 dari perangkat gateway pelanggan.
Pusat data	Blok CIDR klien: 192.168.20.0/24	Alamat IP klien: 192.168.20.6
Pusat data	Blok CIDR perangkat gateway pelanggan: 10.0.0.0/30 192.168.10.0/24 192.168.40.0/24	Alamat IP VPN 1: 192.168.10.136 Alamat IP VPN 2: 192.168.40.159 Alamat IP VPN adalah alamat IP dari port yang digunakan oleh perangkat gateway pelanggan untuk terhubung ke router transit melalui koneksi IPsec-VPN pribadi. Alamat IP dari port yang terhubung ke sirkuit Express Connect: 10.0.0.2/30 Nomor sistem otonom (ASN): 65530

Subnetting untuk perutean dinamis BGP

Blok CIDR terowongan BGP harus berada dalam 169.254.0.0/16. Masker blok CIDR harus memiliki panjang 30 bit. Blok CIDR tidak boleh 169.254.0.0/30, 169.254.1.0/30, 169.254.2.0/30, 169.254.3.0/30, 169.254.4.0/30, 169.254.5.0/30, 169.254.6.0/30, atau 169.254.169.252/30. Kedua terowongan dari koneksi IPsec-VPN harus menggunakan blok CIDR yang berbeda.

Sumber daya	Terowongan	Blok CIDR terowongan BGP	Alamat IP BGP	ASN lokal BGP
Koneksi IPsec-VPN	Terowongan 1	169.254.10.0/30	169.254.10.1	65534
Koneksi IPsec-VPN	Terowongan 2	169.254.20.0/30	169.254.20.1	65534
Perangkat gateway pelanggan	Terowongan 1	169.254.10.0/30	169.254.10.2	65530
Perangkat gateway pelanggan	Terowongan 2	169.254.20.0/30	169.254.20.2	65530

Prasyarat

VPC dibuat di wilayah China (Hangzhou) dan aplikasi ditempatkan pada instance ECS di VPC. Untuk informasi lebih lanjut, lihat Buat VPC dengan blok CIDR IPv4.
Perangkat gateway pelanggan mendukung protokol IKEv1 dan IKEv2 untuk membuat koneksi IPsec-VPN pribadi. Untuk memeriksa apakah perangkat gateway mendukung protokol IKEv1 dan IKEv2, hubungi vendor gateway.

Prosedur

Langkah 1: Hubungkan pusat data ke VPC menggunakan sirkuit Express Connect dan router transit

Langkah a: Terapkan sirkuit Express Connect

Terapkan sirkuit Express Connect untuk menghubungkan pusat data ke Alibaba Cloud.

Ajukan permohonan untuk sirkuit Express Connect.
Ajukan permohonan untuk sirkuit Express Connect di wilayah China (Hangzhou). Untuk informasi lebih lanjut, lihat Mode klasik atau Ikhtisar koneksi terkelola. Dalam contoh ini, a dedicated connection over an Express Connect circuit dibuat.

Buat VBR.

Masuk ke Konsol Express Connect.
Di panel navigasi sisi kiri, klik Virtual Border Routers (VBRs).
Di bilah navigasi atas, pilih wilayah China (Hangzhou).
Pastikan bahwa VBR dan sirkuit Express Connect ditempatkan di wilayah yang sama.
Di halaman Virtual Border Routers (VBRs), klik Create VBR.

Di panel Create VBR, atur parameter berikut dan klik OK.

Tabel berikut hanya menjelaskan beberapa parameter. Parameter lainnya menggunakan nilai default. Untuk informasi lebih lanjut, lihat Buat dan kelola VBR.

Parameter	Deskripsi
Name	Dalam contoh ini, `VBR` digunakan.
Physical Connection Information	Dalam contoh ini, Dedicated Physical Connection dipilih, dan sirkuit Express Connect yang Anda terapkan dipilih.
VLAN ID	`0` digunakan dalam contoh ini.
Alibaba Cloud Side IPv4 Address	Dalam contoh ini, `10.0.0.1` dimasukkan.
Data Center Side IPv4 Address	Dalam contoh ini, `10.0.0.2` dimasukkan.
IPv4 Subnet Mask	`255.255.255.252` digunakan dalam contoh ini.

Tambahkan rute yang mengarah ke pusat data ke VBR.
1. Di halaman Virtual Border Routers (VBRs), klik ID VBR.
2. Klik tab Routes. Di tab Custom Route Entry, klik Add Route.
3. Di panel Add Route, konfigurasikan parameter berikut dan klik OK.
  Parameter
  Contoh
  Next Hop Type
  Pilih Express Connect Circuit.
  Destination CIDR Block
  Masukkan blok CIDR pusat data 192.168.0.0/16.
  Next Hop
  Pilih sirkuit Express Connect yang Anda terapkan.
  Penting
  Saat Anda menambahkan rute yang mengarah ke pusat data ke VBR, pastikan panjang maskernya pendek. Dengan cara ini, rute yang dipelajari oleh router transit dari koneksi IPsec-VPN pribadi lebih spesifik daripada rute saat ini dan memiliki prioritas lebih tinggi.

Tambahkan rute yang mengarah ke VPC ke perangkat gateway pelanggan

Catatan

Dalam contoh ini, perangkat lunak Adaptive Security Appliance (ASA) 9.19.1 digunakan untuk menjelaskan cara mengonfigurasi firewall Cisco. Perintah mungkin bervariasi tergantung pada versi perangkat lunak. Konsultasikan dokumentasi atau vendor Anda berdasarkan lingkungan aktual selama operasi. Untuk informasi lebih lanjut, lihat Konfigurasi gateway lokal.

Konten berikut berisi informasi produk pihak ketiga, yang hanya untuk referensi. Alibaba Cloud tidak memberikan jaminan atau bentuk komitmen lainnya untuk kinerja dan keandalan produk pihak ketiga, atau dampak potensial dari operasi yang dilakukan menggunakan produk ini.

ciscoasa> enable
Password: ********             # Masukkan kata sandi untuk masuk ke mode enable.
ciscoasa# configure terminal   # Masuk ke mode konfigurasi.
ciscoasa(config)#   

Verifikasi bahwa antarmuka dikonfigurasi dan diaktifkan pada firewall Cisco. Dalam contoh ini, konfigurasi antarmuka berikut digunakan:
ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/0                # Antarmuka yang terhubung ke VBR.
 nameif VBR                                 # Nama antarmuka GigabitEthernet 0/0.
 security-level 0
 ip address 10.0.0.1 255.255.255.252        # Alamat IP antarmuka GigabitEthernet0/0.
!
interface GigabitEthernet0/2                #Antarmuka yang terhubung ke pusat data.
 nameif private                             # Nama antarmuka GigabitEthernet 0/2.
 security-level 100                         #Pastikan tingkat keamanan antarmuka yang terhubung ke pusat data lebih rendah daripada antarmuka yang terhubung ke Alibaba Cloud.
 ip address 192.168.50.215 255.255.255.0    #Alamat IP antarmuka GigabitEthernet0/2.
!
interface GigabitEthernet0/3                #Antarmuka yang terhubung ke terowongan IPsec-VPN pribadi 1.
 nameif VPN-IP1                             #Nama antarmuka GigabitEthernet0/3.
 security-level 0
 ip address 192.168.10.136 255.255.255.0    #Alamat IP privat antarmuka GigabitEthernet0/3.
!
interface GigabitEthernet0/4                #Antarmuka yang terhubung ke terowongan IPsec-VPN pribadi 2.
 nameif VPN-IP2                             #Nama antarmuka GigabitEthernet0/4.
 security-level 0
 ip address 192.168.40.159  255.255.255.0   #Alamat IP privat antarmuka GigabitEthernet0/4.
!

#Tambahkan rute statis yang mengarah ke VPC (172.16.0.0/16).
route VBR 172.16.0.0 255.255.0.0 10.0.0.2     
   
#Tambahkan rute yang mengarah ke klien di pusat data.
route private 192.168.0.0 255.255.0.0 192.168.50.216

Langkah b: Konfigurasikan router transit

Setelah pusat data terhubung ke Alibaba Cloud melalui sirkuit Express Connect, Anda perlu mengonfigurasi router transit untuk bertukar data antara pusat data dan VPC.

Buat instance CEN.
Di kotak dialog Create CEN Instance, klik Create CEN Only, masukkan nama, dan gunakan pengaturan default untuk parameter lainnya.
Buat router transit Edisi Perusahaan.
Buat router transit di wilayah China (Hangzhou) untuk menghubungkan VBR dan VPC. Gunakan pengaturan default untuk parameter lainnya.

Buat koneksi VPC.

Di halaman detail CEN, klik tab Basic Information > Transit Router. Temukan router transit di wilayah China (Hangzhou) dan klik Create Connection di kolom Actions.

Di halaman Connection with Peer Network Instance, konfigurasikan parameter berikut dan klik OK untuk menghubungkan VPC ke router transit.

Tabel berikut hanya menjelaskan beberapa parameter. Parameter lainnya menggunakan nilai default. Untuk informasi lebih lanjut, lihat Gunakan router transit Edisi Perusahaan untuk membuat koneksi VPC.

Parameter	Deskripsi
Instance Type	Pilih Virtual Private Cloud (VPC).
Region	Pilih China (Hangzhou).
Attachment Name	Masukkan `Lampiran-VPC`.
Network Instance	Pilih VPC Anda.
VSwitch	Pilih vSwitch yang ditempatkan di zona router transit. Dalam contoh ini, vSwitch 2 dan vSwitch 3 dipilih. Jika wilayah memiliki beberapa zona, pilih setidaknya dua zona dan pilih satu vSwitch di setiap zona. Kami menyarankan Anda memilih vSwitch yang tidak digunakan.
Advanced Settings	Dalam contoh ini, pengaturan default digunakan. Semua fitur lanjutan diaktifkan.

Klik Create More Connections untuk kembali ke halaman Connection with Peer Network Instance.

Buat koneksi VBR.

Di halaman Connection with Peer Network Instance, konfigurasikan parameter berikut dan klik OK untuk menghubungkan VBR ke router transit. Tabel berikut hanya menjelaskan beberapa parameter. Parameter lainnya menggunakan nilai default. Untuk informasi lebih lanjut, lihat Hubungkan VBR ke router transit Edisi Perusahaan.

Parameter	Deskripsi
Instance Type	Pilih Virtual Border Router (VBR).
Region	Pilih China (Hangzhou).
Attachment Name	`Lampiran-VBR` dimasukkan dalam contoh ini.
Network Instance	VBR dipilih dalam contoh ini.
Advanced Settings	Dalam contoh ini, pengaturan default digunakan. Semua fitur lanjutan diaktifkan.

Langkah c: Uji konektivitas

Setelah Anda menyelesaikan konfigurasi sebelumnya, pusat data terhubung ke VPC. Anda dapat melakukan langkah-langkah berikut untuk menguji konektivitas.

Catatan

Pastikan Anda memahami aturan grup keamanan untuk instance ECS di VPC dan aturan kontrol akses untuk klien di pusat data. Pastikan aturan tersebut mengizinkan instance ECS di VPC berkomunikasi dengan klien di pusat data. Untuk informasi lebih lanjut, lihat Lihat aturan grup keamanan dan Tambahkan aturan grup keamanan.

Aturan kontrol akses untuk pusat data harus mengizinkan pesan ICMP dan akses dari VPC. Aturan grup keamanan untuk instance ECS harus mengizinkan pesan ICMP dan akses dari blok CIDR pusat data.

Sambungkan ke ECS 1 di VPC. Untuk informasi lebih lanjut, lihat Ikhtisar metode koneksi.
Jalankan perintah ping untuk ping klien di pusat data.
```
ping <alamat IP klien di pusat data>
```
Seperti yang ditunjukkan pada gambar sebelumnya, jika ECS 1 dapat menerima respons, pusat data dan VPC terhubung.

Langkah 2: Enkripsi koneksi khusus melalui sirkuit Express Connect

Setelah pusat data terhubung ke VPC, Anda dapat membuat koneksi IPsec-VPN pribadi antara perangkat gateway pelanggan dan router transit. Selain itu, konfigurasikan rute untuk mengenkripsi dan mentransmisikan trafik melalui koneksi IPsec-VPN pribadi antara pusat data dan VPC.

Langkah a: Buat koneksi IPsec-VPN pribadi

Tambahkan blok CIDR 10.10.10.0/24 untuk router transit. Untuk informasi lebih lanjut, lihat Blok CIDR Router Transit.
Alamat IP gateway akan dialokasikan dari blok CIDR router transit untuk membuat koneksi IPsec-VPN pribadi. Blok CIDR router transit tidak boleh tumpang tindih dengan blok CIDR pusat data dan VPC yang digunakan untuk komunikasi.
Buat dua gateway pelanggan untuk mendaftarkan dua alamat IP VPN dan ASN BGP dari perangkat gateway pelanggan dengan Alibaba Cloud.
1. Masuk ke Konsol Gateway VPN.
2. Di panel navigasi sisi kiri, pilih Interconnections > VPN > Customer Gateways.
3. Di halaman Customer Gateway, klik Create Customer Gateway.
4. Di panel Create Customer Gateway, atur parameter berikut dan klik OK.
  Tabel berikut hanya menjelaskan beberapa parameter. Parameter lainnya menggunakan nilai default. Untuk informasi lebih lanjut, lihat Buat dan Kelola Gateway Pelanggan.
  - Gateway Pelanggan 1
    - Name: Masukkan Customer-Gateway1.
    - IP Address: Masukkan salah satu alamat IP VPN dari perangkat gateway pelanggan, yaitu 192.168.10.136.
    - ASN: Masukkan ASN BGP dari perangkat gateway pelanggan, yaitu 65530.
  - Gateway Pelanggan 2
    - Name: Masukkan Customer-Gateway2.
    - IP Address: Masukkan alamat IP VPN lainnya dari perangkat gateway pelanggan, yaitu 192.168.40.159.
    - ASN: Masukkan ASN BGP dari perangkat gateway pelanggan, yaitu 65530.

Buat koneksi IPsec-VPN.

Di panel navigasi sisi kiri, pilih Interconnections > VPN > IPsec Connections.
Di halaman IPsec Connections, klik Bind CEN.

Di halaman Create Ipsec-vpn Connection (VPN), konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter.

Tabel berikut hanya menjelaskan parameter utama. Nilai default digunakan untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Buat dan Kelola Koneksi IPsec-VPN dalam Mode Dual-Tunnel.

Parameter	Koneksi IPsec-VPN
Name	Masukkan `KoneksiIPsec`.
Region	Pilih wilayah tempat router transit yang ingin Anda asosiasikan berada. Koneksi IPsec-VPN dibuat di wilayah yang sama dengan router transit.
Gateway Type	Pilih Private.
Bind CEN	Pilih Current Account.
CEN Instance ID	Dalam contoh ini, instansi CEN yang menghubungkan pusat data dan VPC dipilih. Sistem menampilkan ID dan blok CIDR dari router transit yang dibuat oleh instansi CEN di wilayah saat ini. Koneksi IPsec-VPN akan dikaitkan dengan router transit.
Transit Router	Sistem secara otomatis menampilkan router transit dari instansi CEN di wilayah saat ini.
Routing Mode	Destination Routing Mode dipilih dalam contoh ini untuk mengontrol perutean trafik.
Enable BGP	Aktifkan BGP.
Local ASN	Masukkan ASN BGP dari koneksi IPsec-VPN, yaitu `65534`.
Tunnel 1
Customer Gateway	Pilih `Customer-Gateway1`.
Pre-Shared Key	`fddsFF111**` digunakan dalam contoh ini. Penting** Koneksi IPsec-VPN dan perangkat gateway peer harus menggunakan kunci pra-berbagi yang sama. Jika tidak, sistem tidak dapat membuat koneksi IPsec-VPN.
Encryption Configuration	Gunakan nilai default parameter kecuali parameter berikut. Atur parameter DH Group di bagian IKE Configurations menjadi group14. Atur parameter DH Group di bagian IPsec Configurations menjadi group14. Catatan Anda perlu memilih parameter enkripsi berdasarkan perangkat gateway lokal untuk memastikan bahwa konfigurasi enkripsi untuk koneksi IPsec sama dengan konfigurasi untuk perangkat gateway lokal.
BGP Configuration	Tunnel CIDR Block: Masukkan `169.254.10.0/30`. Local BGP IP address: Masukkan `169.254.10.1`.
Tunnel 2
Customer Gateway	Pilih `Customer-Gateway2`.
Pre-Shared Key	`fddsFF222****` digunakan dalam contoh ini.
Encryption Configuration	Gunakan nilai default parameter kecuali parameter berikut. Atur parameter DH Group di bagian IKE Configurations menjadi group14. Atur parameter DH Group di bagian IPsec Configurations menjadi group14. Catatan Anda perlu memilih parameter enkripsi berdasarkan perangkat gateway lokal untuk memastikan bahwa konfigurasi enkripsi untuk koneksi IPsec sama dengan konfigurasi untuk perangkat gateway lokal.
BGP Configuration	Tunnel CIDR Block: Masukkan `169.254.20.0/30`. Local BGP IP address: Masukkan `169.254.20.1`.
Advanced Configuration	Dalam contoh ini, pengaturan default digunakan. Semua fitur lanjutan diaktifkan.

Di halaman detail koneksi IPsec-VPN, Anda dapat melihat bahwa alamat IP gateway digunakan untuk membuat koneksi IPsec-VPN pribadi ke perangkat gateway pelanggan. IPsec-BGP

Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang Anda buat dan klik Generate Peer Configuration di kolom Actions.
Konfigurasi peer IPsec mengacu pada konfigurasi VPN yang perlu Anda tambahkan saat membuat koneksi IPsec-VPN. Dalam contoh ini, Anda perlu menambahkan konfigurasi VPN ke perangkat gateway pusat data.
Di kotak dialog IPsec Connection Configuration, salin dan simpan konfigurasi ke mesin lokal. Konfigurasi ini diperlukan saat Anda mengonfigurasi perangkat gateway pusat data.

Konfigurasikan perangkat gateway pelanggan.

Setelah Anda membuat koneksi IPsec-VPN, Anda perlu menambahkan konfigurasi VPN pada perangkat gateway pelanggan sehingga koneksi IPsec-VPN pribadi dapat dibuat antara Alibaba Cloud dan perangkat gateway pelanggan.

Klik untuk melihat konfigurasi perangkat gateway pelanggan.

Masuk ke CLI firewall Cisco dan masuk ke mode konfigurasi.

ciscoasa> enable
Password: ********             # Masukkan kata sandi untuk masuk ke mode enable.
ciscoasa# configure terminal   # Masuk ke mode konfigurasi.
ciscoasa(config)#

Lihat konfigurasi antarmuka dan konfigurasi rute.

Verifikasi bahwa antarmuka dikonfigurasi dan diaktifkan pada firewall Cisco. Dalam contoh ini, konfigurasi antarmuka berikut digunakan:

ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/3                #Antarmuka yang terhubung ke terowongan IPsec-VPN pribadi 1.
 nameif VPN-IP1                             #Nama antarmuka GigabitEthernet0/3.
 security-level 0
 ip address 192.168.10.136 255.255.255.0    #Alamat IP privat antarmuka GigabitEthernet0/3.
!
interface GigabitEthernet0/4                #Antarmuka yang terhubung ke terowongan IPsec-VPN pribadi 2.
 nameif VPN-IP2                             #Nama antarmuka GigabitEthernet0/4.
 security-level 0
 ip address 192.168.40.159  255.255.255.0   #Alamat IP privat antarmuka GigabitEthernet0/4.
!

#Tambahkan rute yang mengarah ke blok CIDR router transit (alamat IP gateway dari koneksi IPsec-VPN) untuk membuat koneksi IPsec-VPN pribadi.
route VBR 10.10.10.49 255.255.255.255 10.0.0.2   #Konfigurasikan rute yang mengarah ke alamat IP privat Tunnel 1 di sisi Alibaba Cloud.
route VBR 10.10.10.50 255.255.255.255 10.0.0.2   #Konfigurasikan rute yang mengarah ke alamat IP privat Tunnel 2 di sisi Alibaba Cloud.

Aktifkan IKEv2 untuk antarmuka.

crypto ikev2 enable VPN-IP1
crypto ikev2 enable VPN-IP2

Buat kebijakan IKEv2 dan tentukan algoritma autentikasi, algoritma enkripsi, grup DH, dan masa hidup SA di fase IKE pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.
Penting
Saat mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IKE. Kami menyarankan Anda menentukan hanya satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IKE pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.
```
crypto ikev2 policy 10     
 encryption aes             # Tentukan algoritma enkripsi.
 integrity sha              # Tentukan algoritma autentikasi.
 group 14                   # Tentukan grup DH.
 prf sha                    # Nilai parameter prf harus sama dengan parameter integrity. Secara default, nilai-nilai ini sama di Alibaba Cloud.
 lifetime seconds 86400     # Tentukan masa hidup SA.
```

Buat proposal IPsec dan profil, serta tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa hidup SA di fase IPsec pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

Penting

Saat mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IPsec. Kami menyarankan Anda menentukan hanya satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IPsec pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Buat proposal IPsec.
 protocol esp encryption aes                         # Tentukan algoritma enkripsi. Protokol Encapsulating Security Payload (ESP) digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP.
 protocol esp integrity sha-1                        # Tentukan algoritma autentikasi. Protokol ESP digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP.
crypto ipsec profile ALIYUN-PROFILE                  
 set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Buat profil IPsec dan terapkan proposal yang dibuat.
 set ikev2 local-identity address                    # Atur format ID lokal sebagai alamat IP, yang sama dengan format ID remote di Alibaba Cloud.
 set pfs group14                                     # Tentukan Perfect Forward Secrecy (PFS) dan grup DH.
 set security-association lifetime seconds 86400     # Tentukan masa hidup SA berbasis waktu.
 set security-association lifetime kilobytes unlimited # Nonaktifkan masa hidup SA berbasis trafik.

Buat grup terowongan dan tentukan kunci pra-berbagi untuk terowongan, yang harus sama dengan yang ada di sisi Alibaba Cloud.

tunnel-group 10.10.10.49 type ipsec-l2l                    #Atur mode enkripsi ke l2l untuk Terowongan 1.
tunnel-group 10.10.10.49 ipsec-attributes             
 ikev2 remote-authentication pre-shared-key fddsFF111****  # Tentukan kunci pra-berbagi peer untuk Terowongan 1, yaitu kunci pra-berbagi di sisi Alibaba Cloud.
 ikev2 local-authentication pre-shared-key fddsFF111**** # Tentukan kunci pra-berbagi lokal untuk Terowongan 1, yang harus sama dengan yang ada di Alibaba Cloud.
!
tunnel-group 10.10.10.50 type ipsec-l2l                    #Atur mode enkripsi ke l2l untuk Terowongan 2.
tunnel-group 10.10.10.50 ipsec-attributes
 ikev2 remote-authentication pre-shared-key fddsFF222****  # Tentukan kunci pra-berbagi peer untuk Terowongan 2, yaitu kunci pra-berbagi di sisi Alibaba Cloud.
 ikev2 local-authentication pre-shared-key fddsFF222****   # Tentukan kunci pra-berbagi lokal untuk Terowongan 2, yang harus sama dengan yang ada di Alibaba Cloud.
!

Buat antarmuka terowongan.

interface Tunnel1                                  # Buat antarmuka untuk Terowongan 1.
 nameif ALIYUN1
 ip address 169.254.10.2 255.255.255.252           # Tentukan alamat IP antarmuka.
 tunnel source interface VPN-IP1                   #Tentukan alamat sumber Terowongan 1 sebagai alamat IP GigabitEthernet0/3.
 tunnel destination 10.10.10.49                    #Tentukan alamat tujuan Terowongan 1 sebagai alamat IP privat Terowongan 1 di sisi Alibaba Cloud.
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ALIYUN-PROFILE    # Terapkan profil IPsec ALIYUN-PROFILE pada Terowongan 1.
 no shutdown                                       # Aktifkan antarmuka untuk Terowongan 1.
!
interface Tunnel2                                  # Buat antarmuka untuk Terowongan 2.
 nameif ALIYUN2                
 ip address 169.254.20.2 255.255.255.252           # Tentukan alamat IP antarmuka.
 tunnel source interface VPN-IP2                   #Tentukan alamat sumber Terowongan 2 sebagai alamat IP GigabitEthernet0/4.
 tunnel destination 10.10.10.50                    #Tentukan alamat tujuan Terowongan 2 sebagai alamat IP privat Terowongan 2 di sisi Alibaba Cloud.
 tunnel mode ipsec ipv4                            
 tunnel protection ipsec profile ALIYUN-PROFILE # Terapkan profil IPsec ALIYUN-PROFILE pada Terowongan 2.
 no shutdown                                       # Aktifkan antarmuka untuk Terowongan 2.
!

Setelah Anda menyelesaikan konfigurasi, perangkat gateway pelanggan dapat membuat koneksi IPsec-VPN pribadi ke Alibaba Cloud. Namun, peer BGP belum dibuat. Anda dapat memeriksa status koneksi di halaman detail koneksi IPsec-VPN. Jika koneksi IPsec-VPN pribadi tidak dibuat, lakukan pemecahan masalah sesuai. Untuk informasi lebih lanjut, lihat Diagnostik Mandiri untuk Koneksi IPsec-VPN. 仅IPsec-VPN

Langkah b: Konfigurasikan rute

Setelah koneksi IPsec-VPN pribadi dibuat, data masih ditransmisikan melalui sirkuit Express Connect antara pusat data dan VPC. Selain itu, data tidak dienkripsi. Anda perlu menambahkan rute untuk mengenkripsi dan mentransmisikan data melalui koneksi IPsec-VPN pribadi.

Tambahkan konfigurasi BGP ke perangkat gateway pelanggan untuk membuat peering BGP antara perangkat gateway pelanggan dan koneksi IPsec-VPN. Dengan cara ini, pusat data dan VPC dapat mempelajari rute satu sama lain melalui perutean dinamis BGP.

#Konfigurasikan BGP untuk membuat peer BGP antara perangkat gateway pelanggan dan koneksi IPsec-VPN.
router bgp 65530
 address-family ipv4 unicast
  neighbor 169.254.10.1 remote-as 65534       #Tentukan peer BGP, yaitu alamat IP Terowongan 1 di sisi Alibaba Cloud.
  neighbor 169.254.10.1 activate              # Aktifkan peer BGP.
  neighbor 169.254.20.1 remote-as 65534       #Tentukan peer BGP, yaitu alamat IP Terowongan 2 di sisi Alibaba Cloud.
  neighbor 169.254.20.1 activate              # Aktifkan peer BGP.
  network 192.168.10.0 mask 255.255.255.0     #Iklankan blok CIDR pusat data, yang harus lebih spesifik daripada blok CIDR pusat data yang ditambahkan ke VBR.
  network 192.168.20.0 mask 255.255.255.0
  network 192.168.40.0 mask 255.255.255.0 
  maximum-paths 5                        # Tingkatkan jumlah entri rute ECMP.
 exit-address-family
 
#Ubah prioritas rute statis yang mengarah ke VPC (172.16.0.0/16). Pastikan prioritasnya lebih rendah daripada rute BGP. Nilai metrik default untuk rute BGP adalah 20.
route VBR 172.16.0.0 255.255.0.0 10.0.0.2 30

Tambahkan rute kustom untuk router transit.

Setelah Anda menambahkan rute sebelumnya, koneksi IPsec-VPN pribadi akan terputus. Dalam kasus ini, Anda perlu menambahkan rute spesifik yang mengarah ke alamat IP VPN perangkat gateway pelanggan ke tabel rute router transit, dan atur hop berikutnya ke VBR untuk membuat ulang koneksi IPsec-VPN pribadi.

Di tab Route Table di konsol CEN, klik tab Route Entry dan klik Add Route Entry.

Di kotak dialog Add Route Entry, konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter.

Parameter	Blok CIDR 1	CIDR block 2
Destination CIDR	Masukkan salah satu alamat IP VPN perangkat gateway pelanggan, yaitu `192.168.10.136/32`.	Masukkan alamat IP VPN lainnya dari perangkat gateway pelanggan, yaitu `192.168.40.159/32`.
Whether it is a black hole route	Pilih No.
Next Hop Connection	Pilih Lampiran-VBR.

Buat kebijakan perutean untuk tabel rute router transit untuk melarang koneksi IPsec-VPN pribadi menyebarkan rute yang mengarah ke alamat IP VPN perangkat gateway pelanggan ke pusat data. Ini mencegah loop perutean.
1. Masuk ke Konsol CEN.
2. Di halaman Instances, temukan instansi CEN dan klik ID-nya.
3. Di halaman detail, temukan router transit di wilayah China (Hangzhou) dan klik ID-nya.
4. Di halaman detail router transit, klik tab Route Table dan klik Route Maps.
5. Di tab Route Maps, klik Add Route Map. Atur parameter berikut dan klik OK:
  Tabel berikut hanya menjelaskan parameter utama. Nilai default digunakan untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Ikhtisar Kebijakan Perutean.
  - Policy Priority: Masukkan 40.
  - Associated Route Table: Gunakan nilai default.
  - Direction: Pilih Egress Regional Gateway.
  - Match Conditions:
    - Destination Instance IDs: ID VBR yang dipilih.
    - Route Prefix: Masukkan alamat IP VPN 192.168.10.136/32 dan 192.168.40.159/32, dan pilih Exact Match.
  - Policy Action: Pilih Reject.

Langkah c: Verifikasi pengaturan enkripsi

Setelah menyelesaikan konfigurasi, jika Anda dapat melihat detail transfer data di halaman detail koneksi IPsec-VPN, trafik telah dienkripsi.

Sambungkan ke ECS 1 di VPC. Jalankan perintah ping untuk mengirim permintaan ke klien di blok CIDR pusat data.
```
ping <alamat IP klien di pusat data> -s 1000 -c 10000
```
- -s 1000: Kirim 1.000 byte.
- -c 10000: Kirim permintaan secara terus-menerus sebanyak 10.000 kali.
Masuk ke Konsol Gateway VPN.
Di bilah navigasi atas, pilih wilayah China (Hangzhou).
Di panel navigasi sisi kiri, pilih Interconnections > VPN > IPsec Connections.
Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang telah dibuat dan klik ID-nya.
Buka halaman detail koneksi IPsec-VPN untuk melihat detail transfer data.

Parameter	Contoh
Next Hop Type	Pilih Express Connect Circuit.
Destination CIDR Block	Masukkan blok CIDR pusat data `192.168.0.0/16`.
Next Hop	Pilih sirkuit Express Connect yang Anda terapkan.