全部产品
Search

搜索本产品

    VPN Gateway:Gunakan IPsec-VPN untuk menghubungkan Alibaba Cloud VPC ke Amazon VPC

    文档中心

    VPN Gateway:Gunakan IPsec-VPN untuk menghubungkan Alibaba Cloud VPC ke Amazon VPC

    更新时间:Jul 06, 2025

    Topik ini menjelaskan cara menetapkan koneksi IPsec-VPN untuk memungkinkan komunikasi antara Alibaba Cloud Virtual Private Cloud (VPC) dan Amazon VPC.

    Contoh

    Gambar berikut menunjukkan contoh penggunaan. Sebuah perusahaan membuat VPC di wilayah Jerman (Frankfurt) Alibaba Cloud dan juga VPC di wilayah Eropa (Frankfurt) Amazon Web Services (AWS). Perusahaan tersebut ingin agar Alibaba Cloud VPC dan Amazon VPC dapat berkomunikasi satu sama lain.

    Perusahaan tersebut dapat menggunakan public VPN gateway dari Alibaba Cloud dan AWS VPN untuk menetapkan koneksi IPsec-VPN yang memungkinkan komunikasi terenkripsi antara kedua VPC tersebut.

    Rencana blok CIDR

    Penting

    Anda dapat merencanakan blok CIDR berdasarkan kebutuhan bisnis Anda. Pastikan bahwa blok CIDR tidak saling tumpang tindih.

    Perencanaan blok CIDR VPC

    Sumber Daya

    Blok CIDR VPC

    Alamat IP Instance

    VPC Alibaba Cloud

    • Blok CIDR utama: 10.0.0.0/16

    • vSwitch 1: 10.0.0.0/24 di Zona B

    • vSwitch 2: 10.0.10.0/24 di Zona C

    Alamat IP Instance Elastic Compute Service (ECS): 10.0.0.223

    VPC AWS

    • Blok CIDR utama: 192.168.0.0/16.

    • Blok CIDR Subnet: 192.168.10.0/24, di Availability Zone (AZ) eu-central-1a

    Alamat IP Instance Amazon Elastic Compute Cloud (Amazon EC2): 192.168.10.113

    Konfigurasi BGP

    Selain routing statis, topik ini juga menjelaskan cara menggunakan routing dinamis BGP untuk memungkinkan komunikasi antara Alibaba Cloud VPC dan Amazon VPC melalui koneksi IPsec-VPN. Jika Anda tidak perlu menggunakan routing dinamis BGP, lewati bagian ini. Tabel berikut menjelaskan rencana blok CIDR untuk routing dinamis BGP.

    Catatan

    Saat Anda mengonfigurasi routing dinamis BGP untuk koneksi IPsec-VPN, pastikan bahwa Local ASN adalah sama untuk dua terowongan di Alibaba Cloud. Peer BGP ASNs dari dua terowongan bisa berbeda. Kami sarankan Anda menggunakan peer BGP ASNs yang sama.

    Sumber Daya

    Nama Koneksi IPsec-VPN

    Terowongan

    Blok CIDR Terowongan BGP

    Alamat IP BGP

    BGP Local ASN

    Gateway VPN Alibaba Cloud

    Koneksi IPsec-VPN

    Terowongan Aktif

    169.254.116.208/30

    Catatan

    Pada gateway VPN, blok CIDR setiap terowongan harus unik.

    169.254.116.210

    65530

    Terowongan Cadangan

    169.254.214.96/30

    169.254.214.98

    Gateway pribadi virtual AWS

    Koneksi Site-to-Site VPN 1

    Terowongan 1

    169.254.116.208/30

    169.254.116.209

    64512

    Terowongan 2

    Terowongan cadangan tidak digunakan.

    Koneksi Site-to-Site VPN 2

    Terowongan 1

    169.254.214.96/30

    169.254.214.97

    Terowongan 2

    Terowongan cadangan tidak digunakan.

    Prasyarat

    • VPC dibuat di wilayah Jerman (Frankfurt) Alibaba Cloud. Sumber daya diterapkan pada Elastic Compute Service (ECS) dalam VPC. Untuk informasi lebih lanjut, lihat Buat VPC dengan Blok CIDR IPv4.

    • VPC dibuat di wilayah Eropa (Frankfurt) AWS. Sumber daya diterapkan pada instance Amazon Elastic Compute Cloud (Amazon EC2) dalam VPC. Untuk informasi lebih lanjut, lihat AWS.

    Prosedur

    Langkah 1: Buat gateway VPN di Alibaba Cloud

    Anda harus terlebih dahulu membuat gateway VPN di Alibaba Cloud. Setelah gateway VPN dibuat, sistem akan menetapkan dua alamat IP ke gateway VPN. Alamat IP tersebut digunakan untuk menetapkan koneksi IPsec-VPN ke AWS.

    1. Masuk ke konsol Gateway VPN.

    2. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway VPN.

      Wilayah gateway VPN harus sama dengan wilayah VPC yang akan dikaitkan.

    3. Di halaman VPN Gateway, klik Create VPN Gateway.

    4. Di halaman pembelian, konfigurasikan parameter berikut, klik Buy Now, lalu selesaikan pembayaran.

      Tabel berikut hanya menjelaskan parameter utama yang harus Anda konfigurasikan. Untuk parameter lainnya, gunakan nilai default atau biarkan kosong. Untuk informasi lebih lanjut, lihat Buat dan Kelola Gateway VPN.

      Parameter

      Deskripsi

      Contoh

      Name

      Nama gateway VPN.

      Masukkan Gateway VPN.

      Wilayah

      Wilayah tempat Anda ingin membuat gateway VPN.

      Pilih Germany (Frankfurt).

      Gateway Type

      Tipe gateway VPN.

      Pilih Standard.

      Network Type

      Tipe jaringan gateway VPN.

      Pilih Public.

      Tunnels

      Mode terowongan gateway VPN. Sistem menampilkan mode terowongan yang didukung di wilayah ini. Nilai valid:

      • Dual-tunnel

      • Single-tunnel

      Untuk informasi lebih lanjut tentang mode single-terowongan dan dual-terowongan, lihat Asosiasikan Koneksi IPsec-VPN dengan Gateway VPN.

      Gunakan nilai default Dual-tunnel.

      VPC

      VPC yang ingin Anda asosiasikan dengan gateway VPN.

      Pilih VPC di wilayah Jerman (Frankfurt).

      vSwitch 1

      vSwitch yang ingin Anda asosiasikan dengan gateway VPN di VPC terkait.

      • Jika Anda memilih Single-terowongan, Anda hanya perlu menentukan satu vSwitch.

      • Jika Anda memilih Dual-terowongan, Anda perlu menentukan dua vSwitch.

        Setelah fitur IPsec-VPN diaktifkan, sistem akan membuat antarmuka jaringan elastis (ENI) untuk masing-masing dari dua vSwitch sebagai antarmuka untuk berkomunikasi dengan VPC melalui koneksi IPsec-VPN. Setiap ENI menempati satu alamat IP di vSwitch.

      Catatan

      • Sistem memilih vSwitch secara default. Anda dapat mengubah atau menggunakan vSwitch default.

      • Setelah gateway VPN dibuat, Anda tidak dapat memodifikasi vSwitch yang terkait dengan gateway VPN. Anda dapat melihat vSwitch yang terkait dengan gateway VPN, zona tempat vSwitch berada, dan ENI di vSwitch pada halaman detail gateway VPN.

      Pilih vSwitch di VPC terkait.

      vSwitch 2

      vSwitch lain yang ingin Anda asosiasikan dengan gateway VPN di VPC terkait.

      • Tentukan dua vSwitch di zona berbeda di VPC terkait untuk mengimplementasikan pemulihan bencana lintas zona untuk koneksi IPsec-VPN.

      • Untuk wilayah yang hanya mendukung satu zona, pemulihan bencana lintas zona tidak didukung. Kami sarankan Anda menentukan dua vSwitch di zona tersebut untuk mengimplementasikan ketersediaan tinggi koneksi IPsec-VPN. Anda juga dapat memilih vSwitch yang sama seperti yang pertama.

      Catatan

      Jika hanya satu vSwitch yang diterapkan di VPC, buat vSwitch. Untuk informasi lebih lanjut, lihat Buat dan Kelola vSwitches.

      Pilih vSwitch lain di VPC terkait.

      IPsec-VPN

      Menentukan apakah akan mengaktifkan IPsec-VPN untuk gateway VPN. Nilai default: Enable.

      Pilih Aktifkan.

      SSL-VPN

      Menentukan apakah akan mengaktifkan SSL-VPN untuk gateway VPN. Nilai default: Nonaktifkan.

      Pilih Nonaktifkan.

    5. Setelah Anda membuat gateway VPN, Anda dapat melihat gateway VPN di halaman VPN Gateway.

      Gateway VPN yang baru dibuat berada dalam status Preparing dan berubah menjadi status Normal setelah sekitar 1 hingga 5 menit. Setelah status berubah menjadi Normal, gateway VPN siap digunakan.

      Tabel berikut menjelaskan dua alamat IP yang dialokasikan oleh sistem ke gateway VPN.

      Nama gateway VPN

      ID gateway VPN

      Alamat IP

      Gateway VPN

      vpn-gw8dickm386d2qi2g****

      Alamat IPsec 1: 8.XX.XX.146, yang merupakan alamat IP terowongan aktif secara default.

      Alamat IPsec 2: 8.XX.XX.74, yang merupakan alamat IP terowongan cadangan secara default.

    Langkah 2: Terapkan sumber daya VPN di AWS

    Untuk menetapkan koneksi IPsec-VPN antara Amazon VPC dan Alibaba Cloud VPC, Anda harus menerapkan sumber daya VPN di AWS berdasarkan informasi berikut. Konsultasikan dengan AWS untuk perintah atau operasi spesifik.

    Gunakan routing statis

    1. Buat gateway pelanggan.

      Anda harus membuat dua gateway pelanggan di AWS dan menggunakan alamat IP gateway VPN Alibaba Cloud sebagai alamat IP gateway pelanggan.AWS客户网关.png

    2. Buat gateway pribadi virtual.

      Anda harus membuat gateway pribadi virtual di AWS dan mengasosiasikan gateway pribadi virtual dengan VPC yang perlu berkomunikasi dengan Alibaba Cloud.虚拟私有网关-静态

    3. Buat koneksi Site-to-Site VPN.

      Penting

      Koneksi IPsec-VPN Alibaba Cloud dan AWS mendukung mode dual-terowongan. Secara default, dua terowongan koneksi IPsec-VPN AWS dikaitkan dengan gateway yang sama, dan dua terowongan koneksi IPsec-VPN Alibaba Cloud memiliki alamat IP yang berbeda. Oleh karena itu, dua terowongan AWS terhubung hanya ke satu terowongan Alibaba Cloud. Untuk memastikan bahwa dua terowongan koneksi IPsec-VPN Alibaba Cloud diaktifkan pada saat yang sama, Anda harus membuat dua koneksi Site-to-Site VPN di AWS dan mengasosiasikan koneksi Site-to-Site VPN dengan gateway pelanggan yang berbeda.

      Gambar berikut menunjukkan konfigurasi salah satu koneksi Site-to-Site VPN. Kami sarankan Anda menggunakan nilai default untuk pengaturan terowongan. Tentukan gateway pelanggan yang berbeda saat Anda mengonfigurasi koneksi Site-to-Site VPN lainnya. Gunakan nilai yang sama untuk parameter lainnya.隧道配置-静态-EN

      Catatan

      Dalam gambar sebelumnya, parameter Local IPv4 network CIDR harus diatur ke blok CIDR VPC Alibaba Cloud. Parameter Remote IPv4 network CIDR harus diatur ke blok CIDR VPC AWS.

      Setelah koneksi Site-to-Site VPN dibuat, Anda dapat melihat alamat terowongan koneksi, yang digunakan untuk membuat koneksi IPsec-VPN ke Alibaba Cloud.隧道1-静态

      Tabel berikut menjelaskan alamat IP eksternal Terowongan 1 dari dua koneksi Site-to-Site VPN dan alamat IP gateway pelanggan yang terkait.

      Koneksi Site-to-Site VPN

      Terowongan

      Alamat IP Eksternal

      Alamat IP Gateway Pelanggan Terkait

      Koneksi Site-to-Site VPN 1

      Terowongan 1

      3.XX.XX.52

      8.XX.XX.146

      Koneksi Site-to-Site VPN 2

      Terowongan 1

      3.XX.XX.56

      8.XX.XX.74

    4. Konfigurasikan pengiklanan rute.

      Anda harus mengaktifkan pengiklanan rute untuk tabel rute VPC yang terkait dengan gateway pribadi virtual untuk memastikan bahwa rute koneksi Site-to-Site VPN diiklankan secara otomatis ke tabel rute VPC.路由自动传播

    Gunakan routing dinamis BGP

    1. Buat gateway pelanggan.

      Anda harus membuat dua gateway pelanggan di AWS, menggunakan dua alamat IP gateway VPN Alibaba Cloud sebagai alamat IP gateway pelanggan, dan kemudian mendaftarkan ASN BGP koneksi IPsec-VPN Alibaba Cloud dengan AWS.客户网关

    2. Buat gateway pribadi virtual.

      Anda harus membuat gateway pribadi virtual di AWS dan mengasosiasikan gateway pribadi virtual dengan Amazon VPC yang perlu berkomunikasi dengan Alibaba Cloud VPC. Saat Anda membuat gateway pribadi virtual, Anda harus menentukan ASN BGP dari AWS.虚拟私有网关

    3. Buat koneksi Site-to-Site VPN.

      Penting

      Koneksi IPsec-VPN Alibaba Cloud dan AWS mendukung mode dual-terowongan. Secara default, dua terowongan koneksi IPsec-VPN AWS dikaitkan dengan gateway yang sama, dan dua terowongan koneksi IPsec-VPN Alibaba Cloud memiliki alamat IP yang berbeda. Oleh karena itu, dua terowongan AWS terhubung hanya ke satu terowongan Alibaba Cloud. Untuk memastikan bahwa dua terowongan koneksi IPsec-VPN Alibaba Cloud diaktifkan pada saat yang sama, Anda harus membuat dua koneksi Site-to-Site VPN di AWS dan mengasosiasikan koneksi Site-to-Site VPN dengan gateway pelanggan yang berbeda.

      Gambar berikut menunjukkan konfigurasi untuk salah satu koneksi Site-to-Site VPN. Gunakan nilai default untuk parameter lainnya. Asosiasikan koneksi Site-to-Site VPN lainnya dengan gateway pelanggan yang berbeda. Setel parameter Inside IPv4 CIDR for Tunnel 1 menjadi 169.254.214.96/30. Konfigurasi lainnya sama dengan koneksi Site-to-Site saat ini.隧道配置

      Catatan

      Dalam gambar sebelumnya, parameter Local IPv4 network CIDR harus diatur ke blok CIDR VPC Alibaba Cloud. Parameter Remote IPv4 network CIDR harus diatur ke blok CIDR VPC AWS.

      Setelah koneksi Site-to-Site VPN dibuat, Anda dapat melihat informasi alamat terowongan koneksi Site-to-Site VPN.隧道详细信息

    4. Lihat pre-shared key terowongan dan alamat IP BGP yang akan dikonfigurasikan di Alibaba Cloud.

      Setelah koneksi Site-to-Site VPN dibuat, Anda harus mengunduh file konfigurasi VPN untuk perangkat peer, yaitu gateway VPN Alibaba Cloud. Dalam file konfigurasi VPN, Anda dapat melihat pre-shared key dan alamat IP BGP yang akan dikonfigurasikan di Alibaba Cloud. Untuk informasi lebih lanjut tentang cara mengunduh file konfigurasi, lihat Langkah 6: Unduh File Konfigurasi. Dalam contoh ini, Anda harus mengatur parameter Vendor menjadi Generic dan parameter versi IKE menjadi IKEv2.

      Catatan

      Jika Anda telah menentukan pre-shared key saat membuat koneksi Site-to-Site VPN, Anda tidak perlu melihat pre-shared key dalam file konfigurasi VPN. Jika Anda menggunakan pre-shared key yang dihasilkan secara otomatis oleh sistem, Anda dapat melihat pre-shared key yang dihasilkan oleh sistem dalam file konfigurasi VPN. Pre-shared key untuk terowongan di Alibaba Cloud harus sama dengan yang ada di AWS.

      Lihat Pre-Shared Key

      预共享密钥

      Lihat Alamat IP BGP untuk Alibaba Cloud

      BGP IP地址

      Tabel berikut menjelaskan alamat IP eksternal Terowongan 1 dari dua koneksi Site-to-Site VPN, alamat IP BGP, dan alamat IP gateway pelanggan yang terkait.

      Koneksi Site-to-Site VPN

      Terowongan

      Alamat IP Eksternal

      Alamat IP BGP di AWS

      Alamat IP BGP di Alibaba Cloud

      Alamat IP Gateway Pelanggan Terkait

      Koneksi Site-to-Site VPN 1

      Terowongan 1

      3.XX.XX.52

      169.254.116.209

      169.254.116.210

      8.XX.XX.146

      Koneksi Site-to-Site VPN 2

      Terowongan 1

      3.XX.XX.56

      169.254.214.97

      169.254.214.98

      8.XX.XX.74

    5. Konfigurasikan pengiklanan rute.

      Anda harus mengaktifkan pengiklanan rute untuk Amazon VPC yang terkait dengan gateway pribadi virtual untuk memastikan bahwa rute koneksi Site-to-Site VPN diiklankan secara otomatis ke tabel rute Amazon VPC.路由自动传播

    Langkah 3: Terapkan gateway VPN di Alibaba Cloud

    Setelah Anda mengonfigurasi sumber daya VPN di AWS, terapkan gateway VPN di Alibaba Cloud berdasarkan informasi berikut untuk menetapkan koneksi IPsec-VPN antara Amazon VPC dan Alibaba Cloud VPC.

    1. Buat gateway pelanggan.

      1. Masuk ke konsol Gateway VPN.

      2. Di bilah navigasi sisi kiri, pilih Interconnections > VPN > Customer Gateways.

      3. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway pelanggan.

        Pastikan bahwa gateway pelanggan dan gateway VPN yang akan dihubungkan diterapkan di wilayah yang sama.

      4. Di halaman Customer Gateways, klik Create Customer Gateway.

      5. Di panel Create Customer Gateway, konfigurasikan parameter berikut dan klik OK.

        Anda harus membuat dua gateway pelanggan dan menggunakan alamat IP eksternal terowongan koneksi Site-to-Site VPN AWS sebagai alamat IP gateway pelanggan. Tabel berikut hanya menjelaskan parameter yang relevan dengan topik ini. Anda dapat menggunakan nilai default parameter lainnya atau biarkan kosong. Untuk informasi lebih lanjut, lihat Buat dan Kelola Gateway Pelanggan.

        Penting

        Hanya gunakan alamat IP eksternal Terowongan 1 dari setiap koneksi Site-to-Site VPN sebagai alamat IP gateway pelanggan. Secara default, alamat IP eksternal Terowongan 2 dari setiap koneksi Site-to-Site VPN tidak digunakan. Setelah koneksi IPsec-VPN dibuat, Terowongan 2 dari setiap koneksi Site-to-Site VPN tidak tersedia.

        Parameter

        Deskripsi

        Gateway Pelanggan 1

        Gateway Pelanggan 2

        Name

        Nama gateway pelanggan.

        Masukkan Gateway Pelanggan 1.

        Masukkan Gateway Pelanggan 2.

        IP Address

        Masukkan alamat IP eksternal terowongan AWS.

        Masukkan 3.XX.XX.52.

        Masukkan 3.XX.XX.56.

        ASN

        ASN BGP gateway pribadi virtual AWS.

        Catatan

        Jika Anda menggunakan mode routing dinamis BGP, Anda harus mengonfigurasi parameter ini.

        Masukkan 64512.

        Masukkan 64512.

    2. Buat koneksi IPsec-VPN.

      1. Di bilah navigasi sisi kiri, pilih Interconnections > VPN > IPsec Connections.

      2. Di halaman IPsec Connections, klik Bind VPN Gateway.

      3. Di halaman Create Ipsec-vpn Connection (VPN), konfigurasikan koneksi IPsec-VPN berdasarkan informasi berikut dan klik OK.

        Parameter

        Deskripsi

        Contoh

        Name

        Nama koneksi IPsec-VPN.

        Masukkan Koneksi IPsec.

        Region

        Pilih wilayah tempat gateway VPN yang akan dikaitkan dengan koneksi IPsec-VPN diterapkan.

        Koneksi IPsec-VPN dibuat di wilayah yang sama dengan gateway VPN.

        Pilih Germany (Frankfurt).

        Bind VPN Gateway

        Gateway VPN yang ingin Anda asosiasikan dengan koneksi IPsec-VPN.

        Pilih Gateway VPN yang ada.

        Routing Mode

        Pilih mode routing.

        • Destination Routing Mode: Lalu lintas diteruskan berdasarkan alamat IP tujuan.

        • Protected Data Flows: Lalu lintas diteruskan berdasarkan alamat IP sumber dan tujuan.

        • Jika Anda menggunakan mode routing statis, kami sarankan Anda memilih Protected Data Flows.

          • Local Network: Masukkan 10.0.0.0/16.

          • Remote Network: Masukkan 192.168.0.0/16.

        • Jika Anda menggunakan mode routing dinamis BGP, kami sarankan Anda memilih Destination Routing Mode.

        Effective Immediately

        Tentukan apakah akan segera memulai negosiasi untuk koneksi. Nilai valid:

        • Yes: Memulai negosiasi setelah konfigurasi selesai.

        • No: Memulai negosiasi ketika lalu lintas masuk terdeteksi.

        Dalam contoh ini, Yes dipilih.

        Enable BGP

        Tentukan apakah akan mengaktifkan Border Gateway Protocol (BGP). Jika Anda ingin menggunakan routing BGP untuk koneksi IPsec-VPN, aktifkan Enable BGP. Secara default, Enable BGP dimatikan.

        Dalam contoh ini, nonaktifkan Aktifkan BGP untuk menggunakan mode routing statis secara default. Jika Anda ingin menggunakan routing dinamis BGP setelah koneksi IPsec-VPN dibuat, konfigurasi BGP dapat ditambahkan secara terpisah.

        Tunnel 1

        Konfigurasikan parameter VPN untuk terowongan aktif.

        Secara default, Terowongan 1 berfungsi sebagai terowongan aktif dan Terowongan 2 berfungsi sebagai terowongan cadangan. Anda tidak dapat memodifikasi konfigurasi ini.

        Customer Gateway

        Gateway pelanggan yang ingin Anda asosiasikan dengan terowongan aktif.

        Pilih Gateway Pelanggan 1.

        Pre-Shared Key

        Pre-shared key terowongan aktif digunakan untuk memverifikasi identitas.

        • Pre-shared key harus memiliki panjang 1 hingga 100 karakter, dan dapat berisi angka, huruf, serta karakter berikut: ~ ` ! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?

        • Jika Anda tidak menentukan pre-shared key, sistem akan menghasilkan string acak 16 karakter sebagai pre-shared key.

        Penting

        Terowongan dan perangkat gateway peer harus menggunakan pre-shared key yang sama. Jika tidak, sistem tidak akan dapat menetapkan koneksi IPsec-VPN.

        Pre-shared key terowongan saat ini harus sama dengan kunci terowongan AWS yang akan dihubungkan.

        Encryption Configuration

        Konfigurasikan parameter untuk fitur IKE, IPsec, deteksi peer mati (DPD), dan traversal NAT.

        • Nilai SA Life Cycle (seconds) di IKE Configurations harus sama dengan nilai yang ditentukan di AWS. Dalam contoh ini, nilainya diatur menjadi 28800.

        • Nilai SA Life Cycle (seconds) di IPsec Configurations harus sama dengan nilai yang ditentukan di AWS. Dalam contoh ini, nilainya diatur menjadi 3600.

        Gunakan nilai default untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Buat dan Kelola Koneksi IPsec-VPN dalam Mode Dual-Terowongan.

        Tunnel 2

        Konfigurasikan parameter VPN untuk terowongan cadangan.

        Customer Gateway

        Gateway pelanggan yang ingin Anda asosiasikan dengan terowongan cadangan.

        Pilih Gateway Pelanggan 2.

        Pre-Shared Key

        Pre-shared key terowongan cadangan yang digunakan untuk memverifikasi identitas.

        Pre-shared key terowongan saat ini harus sama dengan kunci terowongan AWS yang akan dihubungkan.

        Encryption Configuration

        Konfigurasikan parameter untuk fitur IKE, IPsec, deteksi peer mati (DPD), dan traversal NAT.

        • Nilai SA Life Cycle (seconds) di IKE Configurations harus sama dengan nilai yang ditentukan di AWS. Dalam contoh ini, nilainya diatur menjadi 28800.

        • Nilai SA Life Cycle (seconds) di IPsec Configurations harus sama dengan nilai yang ditentukan di AWS. Dalam contoh ini, nilainya diatur menjadi 3600.

        Gunakan nilai default untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Buat dan Kelola Koneksi IPsec-VPN dalam Mode Dual-Terowongan.

      4. Di pesan Created, klik Cancel.

    3. Iklankan rute gateway VPN.

      Gunakan routing statis

      Setelah Anda membuat koneksi IPsec-VPN, Anda harus mengiklankan rute gateway VPN. Jika Anda memilih Protected Data Flows sebagai Routing Mode, sistem akan membuat rute berbasis kebijakan untuk gateway VPN setelah koneksi IPsec-VPN dibuat. Rute tersebut berada dalam status Unpublished. Anda harus mengiklankan rute berbasis kebijakan dari gateway VPN ke VPC.

      1. Di bilah navigasi sisi kiri, pilih Cross-network Interconnection > VPN > VPN Gateways.

      2. Di bilah menu atas, pilih wilayah untuk VPN Gateway.

      3. Di halaman VPN Gateways, temukan gateway VPN yang ingin dikelola dan klik ID-nya.

      4. Di halaman detail VPN Gateway, klik tab Policy-based Route Table, temukan rute yang ingin dikelola, lalu klik Advertise pada kolom Actions.

      5. Pada pesan Advertise Route, klik OK.

      Gunakan routing dinamis BGP

      1. Konfigurasikan routing dinamis BGP untuk koneksi IPsec-VPN.

        1. Di bilah navigasi sisi kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.

        2. Di halaman IPsec Connections, temukan koneksi IPsec-VPN dan klik ID-nya.

        3. Di bagian IPsec Connections, klik Edit di sebelah Enable BGP. Di kotak dialog BGP Configuration, konfigurasikan parameter berikut dan klik OK.

          Parameter

          Deskripsi

          Konfigurasi Koneksi IPsec-VPN

          Local ASN

          ASN dari koneksi IPsec-VPN.

          Masukkan 65530.

          Tunnel 1

          Konfigurasi BGP yang ditambahkan untuk terowongan aktif.

          Tambahkan konfigurasi BGP untuk terowongan aktif koneksi IPsec-VPN.

          Tunnel CIDR Block

          Blok CIDR yang digunakan untuk tunneling IPsec.

          Masukkan 169.254.116.208/30.

          Local BGP IP address

          Alamat IP BGP untuk koneksi IPsec-VPN.

          Alamat IP ini harus berada dalam blok CIDR untuk tunneling IPsec.

          Masukkan 169.254.116.210.

          Tunnel 2

          Konfigurasi BGP yang ditambahkan untuk terowongan cadangan.

          Tambahkan konfigurasi BGP untuk terowongan cadangan koneksi IPsec-VPN.

          Tunnel CIDR Block

          Blok CIDR yang digunakan untuk tunneling IPsec.

          Masukkan 169.254.214.96/30.

          Local BGP IP address

          Alamat IP BGP untuk koneksi IPsec-VPN.

          Alamat IP ini harus berada dalam blok CIDR untuk tunneling IPsec.

          Masukkan 169.254.214.98.

      2. Untuk mengaktifkan propagasi rute otomatis BGP untuk gateway VPN, lakukan langkah-langkah berikut:

        1. Di bilah navigasi sisi kiri, pilih Cross-network Interconnection > VPN > VPN Gateways.

        2. Di halaman VPN Gateways, temukan gateway VPN, arahkan pointer ke ikon 更多, lalu klik Enable Automatic BGP Propagation pada kolom Actions.

        3. Di pesan Enable Automatic BGP Propagation, klik OK.

    Langkah 4: Uji konektivitas jaringan

    Setelah konfigurasi selesai, koneksi IPsec-VPN didirikan antara Alibaba Cloud VPC dan Amazon VPC. Contoh berikut menggunakan instance ECS untuk mengakses instance AWS EC2 guna menguji konektivitas antar-VPC.

    Catatan

    Sebelum Anda menguji konektivitas, periksa kebijakan kontrol akses yang diterapkan pada sumber daya di VPC, seperti daftar kontrol akses jaringan (ACL) dan aturan grup keamanan. Pastikan bahwa kebijakan kontrol akses mengizinkan sumber daya di VPC untuk saling mengakses.

    1. Masuk ke instance ECS di Alibaba Cloud VPC. Untuk informasi lebih lanjut tentang cara masuk ke instance ECS, lihat Metode untuk Terhubung ke Instance ECS.

    2. Jalankan perintah ping di instance ECS untuk mengakses instance Amazon EC2 dan memeriksa konektivitas.

      Jika instance ECS menerima respons dari instance Amazon EC2, VPC dapat berkomunikasi satu sama lain.

      ping <Alamat IP Privat instance Amazon EC2>

      AWS连通性.png

    3. Uji ketersediaan tinggi koneksi IPsec-VPN.

      Koneksi IPsec-VPN dalam mode dual-terowongan menyediakan ketersediaan layanan yang tinggi. Jika terowongan aktif gagal, terowongan cadangan secara otomatis mengambil alih untuk memastikan transfer data.Bagian berikut menjelaskan cara memverifikasi ketersediaan tinggi koneksi IPsec-VPN dalam mode dual-terowongan.

      1. Masuk ke instance ECS di Alibaba Cloud VPC.

      2. Jalankan perintah berikut di instance ECS untuk mengakses instance Amazon EC2:

        ping <Alamat IP Privat instance Amazon EC2> -c 10000

      3. Putuskan terowongan aktif dari koneksi IPsec-VPN.

        Dalam contoh ini, pre-shared key terowongan aktif di sisi Alibaba Cloud dimodifikasi untuk mengakhiri terowongan aktif. Jika pre-shared key dari kedua sisi terowongan aktif tidak konsisten, terowongan aktif terputus.

      4. Periksa lalu lintas instance ECS. Dalam contoh ini, lalu lintas instance ECS sementara terhenti dan kemudian dipulihkan, yang menunjukkan bahwa terowongan cadangan mengambil alih ketika terowongan aktif dihentikan.

        Anda dapat melihat data pemantauan terowongan di tab Monitor koneksi IPsec-VPN. Untuk informasi lebih lanjut, lihat Pantau Koneksi IPsec-VPN.