全部产品
Search

搜索本产品

    VPN Gateway:Gunakan IPsec-VPN dan CEN untuk membangun jaringan global berkualitas tinggi

    文档中心

    VPN Gateway:Gunakan IPsec-VPN dan CEN untuk membangun jaringan global berkualitas tinggi

    更新时间:Jul 06, 2025

    Topik ini menjelaskan cara menggunakan Cloud Enterprise Network (CEN) dan koneksi IPsec-VPN yang terkait dengan gateway VPN untuk menghubungkan pusat data di beberapa wilayah ke virtual private cloud (VPC) di seluruh dunia.

    Skenario

    Catatan

    • Jika akun Alibaba Cloud Anda tidak memiliki gateway VPN publik, disarankan menggunakan koneksi IPsec-VPN untuk mengaktifkan komunikasi antar jaringan di seluruh dunia.

    • Jika akun Alibaba Cloud Anda sudah memiliki gateway VPN publik, lihat topik ini untuk mengaktifkan komunikasi antar jaringan di seluruh dunia.

    Misalkan Anda memiliki beberapa pusat data dan VPC di seluruh dunia. Setelah menghubungkan pusat data ke VPC melalui koneksi IPsec-VPN yang terkait dengan gateway VPN, VPC hanya dapat berkomunikasi dengan VPC yang terkait dengan gateway VPN tersebut. Secara default, VPC dan pusat data di wilayah yang berbeda tidak dapat berkomunikasi satu sama lain. Gambar berikut menunjukkan konektivitas jaringan antar jaringan yang berbeda.

    • VPC1 tidak dapat berkomunikasi dengan VPC2.

    • Data Center 1 dapat berkomunikasi dengan VPC1. Data Center 1 dan Data Center 2 dapat berkomunikasi satu sama lain setelah membuat koneksi IPsec-VPN dengan gateway VPN yang sama. Data Center 1 tidak dapat berkomunikasi dengan Data Center 3, Data Center 4, atau VPC2.

    • Data Center 2 dapat berkomunikasi dengan VPC1. Data Center 1 dan Data Center 2 dapat berkomunikasi satu sama lain setelah membuat koneksi IPsec-VPN dengan gateway VPN yang sama. Data Center 2 tidak dapat berkomunikasi dengan Data Center 3, Data Center 4, atau VPC2.

    • Data Center 3 dapat berkomunikasi dengan VPC2. Data Center 3 dan Data Center 4 dapat berkomunikasi satu sama lain setelah membuat koneksi IPsec-VPN dengan gateway VPN yang sama. Data Center 3 tidak dapat berkomunikasi dengan Data Center 1, Data Center 2, atau VPC1.

    • Data Center 4 dapat berkomunikasi dengan VPC2. Data Center 3 dan Data Center 4 dapat saling berkomunikasi setelah membuat koneksi IPsec-VPN menggunakan gateway VPN yang sama. Namun, Data Center 4 tidak dapat berkomunikasi dengan Data Center 1, Data Center 2, atau VPC1.

    Jika ingin mengaktifkan komunikasi antar jaringan di seluruh dunia, Anda dapat menggunakan koneksi IPsec-VPN bersama dengan CEN. CEN dapat digunakan untuk membangun koneksi berkualitas tinggi dan latensi rendah antar VPC serta mendukung pengiklanan rute otomatis dan pembelajaran. Ini memungkinkan komunikasi VPC lintas wilayah dan menyederhanakan konfigurasi rute. Pusat data di seluruh dunia juga dapat berkomunikasi satu sama lain menggunakan VPC dan CEN.

    Penting

    Disarankan menggunakan perutean statis saat membuat koneksi IPsec-VPN antara pusat data dan gateway VPN.

    Informasi latar belakang

    Gambar berikut menunjukkan cara menggunakan koneksi IPsec-VPN yang terkait dengan gateway VPN dan CEN untuk mengaktifkan komunikasi antar jaringan di seluruh dunia. Misalkan Anda memiliki dua pusat data di Shanghai dan dua pusat data di Silicon Valley. VPC1 dibuat di China (Shanghai) dan VPC2 dibuat di US (Silicon Valley). Instance Elastic Compute Service (ECS) ditempatkan di VPC1 dan VPC2. Karena perkembangan bisnis, Anda ingin mengaktifkan komunikasi antara Data Center 1, Data Center 2, Data Center 3, Data Center 4, VPC1, dan VPC2. Data Center 1 dan Data Center 2 berada di Shanghai, sedangkan Data Center 3 dan Data Center 4 berada di Silicon Valley.

    Pembagian subnet

    Penting

    Pastikan blok CIDR tidak tumpang tindih satu sama lain.

    Pembagian subnet VPC

    VPC

    Wilayah

    Blok CIDR VPC

    Alamat IP instance ECS

    VPC1

    China (Shanghai)

    • VPC: 192.168.0.0/16

    • vSwitch1: 192.168.99.0/24, di Zona E

    • vSwitch2: 192.168.100.0/24, di Zona F

    Alamat IP ECS1: 192.168.99.48

    VPC2

    US (Silicon Valley)

    • VPC: 10.0.0.0/16

    • vSwitch1: 10.0.10.0/24, di Zona F

    • vSwitch 2: 10.0.20.0/24, di Zona B.

    Alamat IP ECS2: 10.0.10.33

    Pembagian subnet pusat data

    Pusat data

    Wilayah

    Blok CIDR untuk berkomunikasi dengan VPC

    Alamat IP gateway lokal

    Alamat IP klien untuk berkomunikasi dengan jaringan lain

    Data Center 1

    China (Shanghai)

    172.16.10.0/24

    • Alamat IP Publik 1 dari Gateway Lokal 1: 47.XX.XX.23

    • Alamat IP Publik 2 dari Gateway Lokal 1: 47.XX.XX.32

    172.16.10.207

    Data Center 2

    China (Shanghai)

    172.16.40.0/24

    • Alamat IP Publik 1 dari Gateway Lokal 2: 47.XX.XX.69

    • Alamat IP Publik 2 dari Gateway Lokal 2: 47.XX.XX.71

    172.16.40.60

    Data Center 3

    US (Silicon Valley)

    10.10.10.0/24

    • Alamat IP Publik 1 dari Gateway Lokal 3: 57.XX.XX.11

    • Alamat IP Publik 2 dari Gateway Lokal 3: 57.XX.XX.191

    10.10.10.201

    Data Center 4

    US (Silicon Valley)

    10.30.66.0/24

    • Alamat IP Publik 1 dari Gateway Lokal 4: 57.XX.XX.22

    • Alamat IP Publik 2 dari Gateway Lokal 4: 57.XX.XX.234

    10.30.66.11

    Persiapan

    • VPC1 dibuat di China (Shanghai), VPC2 dibuat di US (Silicon Valley), dan instance ECS ditempatkan di kedua VPC tersebut. Untuk informasi lebih lanjut, lihat Buat VPC dengan blok CIDR IPv4.

    • Sebuah gateway VPN publik dibuat di masing-masing China (Shanghai) dan US (Silicon Valley), dan IPsec-VPN diaktifkan untuk setiap gateway VPN. Untuk informasi lebih lanjut, lihat Aktifkan IPsec-VPN.

      Catatan

      Dalam contoh ini, gateway VPN yang mendukung mode dual-tunnel digunakan. Jika gateway VPN Anda hanya mendukung koneksi IPsec-VPN single-tunnel, disarankan meningkatkan gateway VPN Anda untuk mengaktifkan mode dual-tunnel. Mode dual-tunnel mendukung pemulihan bencana lintas zona. Untuk informasi lebih lanjut, lihat Tingkatkan gateway VPN untuk mengaktifkan mode dual-tunnel.

      Tabel berikut menjelaskan informasi tentang gateway VPN, termasuk VPC yang terkait dan alamat IP yang ditetapkan. Alamat IP ini digunakan untuk membuat koneksi IPsec-VPN.

      Nama gateway VPN

      Wilayah

      Gateway type

      Network type

      Tunnel mode

      VPC Terkait

      Alamat IP gateway VPN

      Gateway VPN 1

      China (Shanghai)

      Standar

      Publik

      Dual-tunnel

      VPC1

      • Alamat IP Koneksi IPsec-VPN 1: 47.XX.XX.87

      • Alamat IP Koneksi IPsec-VPN 2: 47.XX.XX.78

      Gateway VPN 2

      US (Silicon Valley)

      Standar

      Publik

      Dual-tunnel

      VPC2

      • Alamat IP Koneksi IPsec-VPN 1: 47.XX.XX.207

      • Alamat IP Koneksi IPsec-VPN 2: 47.XX.XX.15

    Prosedur

    Langkah 1: Buat gateway pelanggan

    Anda perlu membuat gateway pelanggan untuk mendaftarkan alamat IP publik perangkat gateway lokal dengan Alibaba Cloud. Pusat data hanya dapat menggunakan alamat IP publik yang terdaftar untuk membuat koneksi IPsec-VPN ke Alibaba Cloud.

    1. Masuk ke Konsol Gateway VPN.

    2. Di panel navigasi sisi kiri, pilih Cross-network Interconnection > VPN > Customer Gateways.

    3. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway pelanggan.

      Catatan

      Gateway pelanggan dan gateway VPN yang akan dihubungkan harus ditempatkan di wilayah yang sama.

    4. Di halaman Customer Gateway, klik Create Customer Gateway.

    5. Di panel Create Customer Gateway, konfigurasikan parameter berikut dan klik OK.

      Anda perlu membuat delapan gateway pelanggan dan mendaftarkan delapan alamat IP publik dari empat gateway lokal dengan Alibaba Cloud. Tabel berikut hanya menjelaskan parameter utama. Gunakan nilai default untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Buat dan kelola gateway pelanggan.

      Wilayah gateway pelanggan

      Nama gateway pelanggan

      Alamat IP gateway pelanggan

      China (Shanghai)

      Gateway Pelanggan 1

      Dalam contoh ini, Alamat IP Publik 1 47.XX.XX.23 digunakan untuk Gateway Lokal 1.

      Gateway Pelanggan 2

      Dalam contoh ini, Alamat IP Publik 2 47.XX.XX.32 digunakan untuk Gateway Lokal 1.

      Gateway Pelanggan 3

      Dalam contoh ini, Alamat IP Publik 1 47.XX.XX.69 digunakan untuk Gateway Lokal 2.

      Gateway Pelanggan 4

      Dalam contoh ini, Alamat IP Publik 2 47.XX.XX.71 digunakan untuk Gateway Lokal 2.

      US (Silicon Valley)

      Gateway Pelanggan 5

      Dalam contoh ini, Alamat IP Publik 1 57.XX.XX.11 digunakan untuk Gateway Lokal 3.

      Gateway Pelanggan 6

      Dalam contoh ini, Alamat IP Publik 2 47.XX.XX.191 digunakan untuk Gateway Lokal 3.

      Gateway Pelanggan 7

      Dalam contoh ini, Alamat IP Publik 1 57.XX.XX.22 digunakan untuk Gateway Lokal 4.

      Gateway Pelanggan 8

      Dalam contoh ini, Alamat IP Publik 2 47.XX.XX.234 digunakan untuk Gateway Lokal 4.

    Langkah 2: Buat koneksi IPsec-VPN

    Anda harus membuat dua koneksi IPsec-VPN pada setiap gateway VPN. Saat membuat koneksi IPsec-VPN, Anda perlu menentukan algoritma enkripsi tunnel dan pusat data peer. Setiap koneksi IPsec-VPN sesuai dengan satu pusat data.

    1. Di panel navigasi sisi kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.

    2. Di halaman IPsec Connections, klik Bind VPN Gateway.

    3. Di halaman Create Ipsec-vpn Connection (VPN), konfigurasikan parameter berikut dan klik OK.

      Tabel berikut hanya menjelaskan parameter utama. Gunakan nilai default untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Buat dan kelola koneksi IPsec-VPN dalam mode dual-tunnel.

      Parameter

      Koneksi IPsec-VPN 1

      Koneksi IPsec-VPN 2

      Koneksi IPsec-VPN 3

      Koneksi IPsec-VPN 4

      Name

      IPsec1 digunakan dalam contoh ini.

      IPsec2 digunakan dalam contoh ini.

      IPsec3 digunakan dalam contoh ini.

      IPsec4 digunakan dalam contoh ini.

      Region

      China (Shanghai)

      China (Shanghai)

      US (Silicon Valley)

      US (Silicon Valley)

      Bind VPN Gateway

      Pilih Gateway VPN 1.

      Pilih Gateway VPN 1.

      Pilih Gateway VPN 2.

      Pilih Gateway VPN 2.

      Routing Mode

      Destination Routing Mode dipilih karena beberapa blok CIDR perlu berkomunikasi satu sama lain.

      Effective Immediately

      Dalam contoh ini, nilai default Yes dipilih. Negosiasi IPsec dimulai segera setelah koneksi IPsec-VPN dibuat.

      Tunnel 1

      Customer Gateway

      Pilih Gateway Pelanggan 1.

      Pilih Gateway Pelanggan 3.

      Pilih Gateway Pelanggan 5.

      Pilih Gateway Pelanggan 7.

      Pre-Shared Key

      Penting

      Koneksi IPsec-VPN dan perangkat gateway peer harus menggunakan kunci bersama yang sama. Jika tidak, sistem tidak dapat membangun koneksi IPsec-VPN.

      fddsFF111**** digunakan dalam contoh ini.

      fddsFF333**** digunakan dalam contoh ini.

      fddsFF555**** digunakan dalam contoh ini.

      fddsFF777**** digunakan dalam contoh ini.

      Encryption Configuration

      Gunakan nilai default dari parameter kecuali untuk parameter berikut ini.

      • Atur parameter DH Group di bagian IKE Configurations menjadi group14.

      • Atur parameter DH Group di bagian IPsec Configurations menjadi group14.

      Catatan

      Anda perlu memilih parameter enkripsi berdasarkan perangkat gateway lokal untuk memastikan bahwa konfigurasi enkripsi untuk koneksi IPsec sama dengan yang ada pada perangkat gateway lokal.

      Tunnel 2

      Customer Gateway

      Pilih Gateway Pelanggan 2.

      Pilih Gateway Pelanggan 4.

      Pilih Gateway Pelanggan 6.

      Pilih Gateway Pelanggan 8.

      Pre-Shared Key

      fddsFF222**** digunakan dalam contoh ini.

      fddsFF444**** digunakan dalam contoh ini.

      fddsFF666**** digunakan dalam contoh ini.

      fddsFF888**** digunakan dalam contoh ini.

      Encryption Configuration

      Gunakan nilai default parameter kecuali untuk parameter berikut.

      • Tetapkan parameter DH Group di bagian IKE Configurations menjadi group14.

      • Tetapkan parameter DH Group di bagian IPsec Configurations menjadi group14.

      Catatan

      Anda perlu memilih parameter enkripsi berdasarkan perangkat gateway lokal untuk memastikan bahwa konfigurasi enkripsi untuk koneksi IPsec sama dengan konfigurasi untuk perangkat gateway lokal.

    4. Di pesan Created, klik OK.

    5. Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang Anda buat dan klik Generate Peer Configuration di kolom Actions.

      Konfigurasi peer IPsec mengacu pada konfigurasi VPN yang perlu Anda tambahkan saat membuat koneksi IPsec-VPN. Dalam contoh ini, Anda perlu menambahkan konfigurasi VPN ke perangkat gateway pusat data.

    6. Di kotak dialog IPsec Connection Configuration, salin dan simpan konfigurasi ke mesin lokal. Konfigurasi ini diperlukan saat Anda mengonfigurasi perangkat gateway pusat data.

      Tabel berikut menjelaskan hubungan antara VPC, gateway VPN, koneksi IPsec-VPN, pusat data, dan gateway pelanggan.

      VPC

      Gateway VPN

      Koneksi IPsec-VPN

      Tunnel

      Gateway pelanggan terkait dengan tunnel

      Pusat data peer

      VPC1

      Gateway VPN 1

      Koneksi IPsec-VPN 1

      Tunnel aktif

      Gateway Pelanggan 1

      Data Center 1

      Tunnel Cadangan

      Gateway Pelanggan 2

      Koneksi IPsec-VPN 2

      Tunnel Aktif

      Gateway Pelanggan 3

      Data Center 2

      Tunnel Cadangan

      Gateway Pelanggan 4

      VPC2

      Gateway VPN 2

      Koneksi IPsec-VPN 3

      Tunnel Aktif

      Gateway Pelanggan 5

      Data Center 3

      Tunnel Cadangan

      Gateway Pelanggan 6

      Koneksi IPsec-VPN 4

      Tunnel Aktif

      Gateway Pelanggan 7

      Data Center 4

      Tunnel Cadangan

      Gateway Pelanggan 8

    Langkah 3: Konfigurasikan rute untuk gateway VPN

    Setelah membuat koneksi IPsec-VPN, Anda perlu menambahkan rute yang mengarah ke pusat data pada gateway VPN. Dalam contoh ini, Mode Perutean Tujuan dipilih. Untuk informasi lebih lanjut, lihat Konfigurasikan rute untuk gateway VPN.

    1. Di panel navigasi sisi kiri, pilih Cross-network Interconnection > VPN > VPN Gateways.

    2. Di bilah menu atas, pilih wilayah gateway VPN.

    3. Di halaman VPN Gateway, klik ID gateway VPN yang ingin Anda kelola.

    4. Pada tab Destination-based Route Table, klik Add Route Entry.

    5. Di panel Add Route Entry, konfigurasikan parameter berikut dan klik OK.

      Pada Gateway VPN 1, tambahkan rute yang mengarah ke Data Center 1 dan Data Center 2. Pada Gateway VPN 2, tambahkan rute yang mengarah ke Data Center 3 dan Data Center 4.

      Parameter

      Gateway VPN 1

      Gateway VPN 2

      Destination CIDR block

      Masukkan blok CIDR 172.16.10.0/24 dari Data Center 1.

      Masukkan blok CIDR 172.16.40.0/24 dari Data Center 2.

      Masukkan blok CIDR 10.10.0.0/16 dari Data Center 3.

      Masukkan blok CIDR 10.30.0.0/16 dari Data Center 4.

      Next Hop Type

      Dalam contoh ini, IPsec Connection dipilih.

      Dalam contoh ini, IPsec Connection dipilih.

      Dalam contoh ini, IPsec Connection dipilih.

      Pilih IPsec-VPN Connection.

      Next Hop

      Pilih Koneksi IPsec-VPN 1.

      Pilih Koneksi IPsec-VPN 2.

      Pilih Koneksi IPsec-VPN 3.

      Pilih Koneksi IPsec-VPN 4.

      Advertise to VPC

      Gunakan nilai default Yes.

      Setelah rute berbasis tujuan ditambahkan, rute Data Center 1 dan Data Center 2 secara otomatis diiklankan ke tabel rute sistem VPC1.

      Gunakan nilai default Yes.

      Setelah rute berbasis tujuan ditambahkan, rute Data Center 3 dan Data Center 4 secara otomatis diiklankan ke tabel rute sistem VPC2.

    Langkah 4: Konfigurasikan gateway lokal

    Setelah menyelesaikan langkah-langkah sebelumnya, Anda perlu menambahkan konfigurasi VPN dan perutean ke perangkat gateway di pusat data untuk memungkinkan perangkat gateway terhubung ke koneksi IPsec-VPN. Kemudian, lalu lintas jaringan dikirimkan dari tunnel aktif ke jaringan lain secara default. Jika tunnel aktif down, tunnel cadangan secara otomatis mengambil alih.

    Catatan

    Dalam contoh ini, perangkat lunak Adaptive Security Appliance (ASA) 9.19.1 digunakan untuk menjelaskan cara mengonfigurasi firewall Cisco. Perintah mungkin bervariasi tergantung versi perangkat lunak. Konsultasikan dokumentasi atau vendor Anda berdasarkan lingkungan aktual selama operasi. Untuk informasi lebih lanjut, lihat Konfigurasikan gateway lokal.

    Konten berikut berisi informasi produk pihak ketiga, yang hanya untuk referensi. Alibaba Cloud tidak memberikan jaminan atau bentuk komitmen lainnya untuk kinerja dan keandalan produk pihak ketiga, atau dampak potensial dari operasi yang dilakukan menggunakan produk-produk ini.

    Konfigurasikan Perangkat Gateway Lokal 1

    1. Masuk ke CLI firewall Cisco dan masuk ke mode konfigurasi.

      ciscoasa> enable
Password: ********             # Masukkan kata sandi untuk masuk ke mode enable. 
ciscoasa# configure terminal   # Masuk ke mode konfigurasi. 
ciscoasa(config)#

    2. Lihat konfigurasi antarmuka dan konfigurasi rute untuk akses Internet.

      Verifikasi bahwa antarmuka telah dikonfigurasi dan diaktifkan pada firewall Cisco. Dalam contoh ini, konfigurasi antarmuka berikut digunakan:

      ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/0
 nameif outside1                            # Nama antarmuka GigabitEthernet 0/0. 
 security-level 0
 ip address 47.XX.XX.23 255.255.255.255    # Alamat IP publik antarmuka GigabitEthernet 0/0. 
!
interface GigabitEthernet0/1                # Antarmuka yang terhubung ke pusat data. 
 nameif private                             # Nama antarmuka GigabitEthernet 0/1. 
 security-level 100                         # Tingkat keamanan antarmuka privat yang terhubung ke pusat data, yang lebih rendah daripada antarmuka publik. 
 ip address 172.16.10.217 255.255.255.0    # Alamat IP antarmuka GigabitEthernet 0/1. 
!
interface GigabitEthernet0/2                
 nameif outside2                            # Nama antarmuka GigabitEthernet 0/2. 
 security-level 0
 ip address 47.XX.XX.32 255.255.255.255    # Alamat IP publik antarmuka GigabitEthernet 0/2. 
!

route outside1 47.XX.XX.87 255.255.255.255 192.XX.XX.172 # Rute untuk mengakses alamat IP publik Tunnel 1 di Alibaba Cloud. Hop berikutnya adalah alamat IP publik.  
route outside2 47.XX.XX.78 255.255.255.255 192.XX.XX.158  # Rute untuk mengakses alamat IP publik Tunnel 2 di Alibaba Cloud. Hop berikutnya adalah alamat IP publik.  
route private 172.16.10.0 255.255.255.0 172.16.10.216          # Rute yang mengarah ke pusat data.

    3. Aktifkan fitur IKEv2 untuk antarmuka publik.

      crypto ikev2 enable outside1
crypto ikev2 enable outside2

    4. Buat kebijakan IKEv2 dan tentukan algoritma autentikasi, algoritma enkripsi, grup DH, dan masa hidup SA pada fase IKE di firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      Penting

      Saat mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IKE. Disarankan menentukan hanya satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IKE pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      crypto ikev2 policy 10     
 encryption aes             # Tentukan algoritma enkripsi. 
 integrity sha              # Tentukan algoritma autentikasi. 
 group 14                   # Tentukan grup DH. 
 prf sha                    # Nilai parameter prf harus sama dengan parameter integrity. Secara default, nilai-nilai ini sama di Alibaba Cloud. 
 lifetime seconds 86400     # Tentukan masa hidup SA.

    5. Buat proposal IPsec dan profil, serta tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa hidup SA pada fase IPsec di firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      Penting

      Saat mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IPsec. Disarankan menentukan hanya satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IPsec pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Buat proposal IPsec. 
 protocol esp encryption aes                         # Tentukan algoritma enkripsi. Protokol Encapsulating Security Payload (ESP) digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP. 
 protocol esp integrity sha-1                        # Tentukan algoritma autentikasi. Protokol ESP digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP. 
crypto ipsec profile ALIYUN-PROFILE                  
 set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Buat profil IPsec dan terapkan proposal yang dibuat.  
 set ikev2 local-identity address                    # Atur format ID lokal menjadi alamat IP, yang sama dengan format ID remote di Alibaba Cloud. 
 set pfs group14                                     # Tentukan Perfect Forward Secrecy (PFS) dan grup DH. 
 set security-association lifetime seconds 86400     # Tentukan masa hidup SA berbasis waktu. 
 set security-association lifetime kilobytes unlimited # Nonaktifkan masa hidup SA berbasis lalu lintas.

    6. Buat grup tunnel dan tentukan kunci pra-berbagi untuk tunnel, yang harus sama dengan yang ada di sisi Alibaba Cloud.

      tunnel-group 47.XX.XX.87 type ipsec-l2l                   # Tentukan mode enkapsulasi l2l untuk Tunnel 1. 
tunnel-group 47.XX.XX.87 ipsec-attributes             
 ikev2 remote-authentication pre-shared-key fddsFF111****  # Tentukan kunci pra-berbagi peer untuk Tunnel 1, yang merupakan kunci pra-berbagi di sisi Alibaba Cloud. 
 ikev2 local-authentication pre-shared-key fddsFF111**** # Tentukan kunci pra-berbagi lokal untuk Tunnel 1, yang harus sama dengan yang ada di Alibaba Cloud. 
!
tunnel-group 47.XX.XX.78 type ipsec-l2l                  # Tentukan mode enkapsulasi l2l untuk Tunnel 2. 
tunnel-group 47.XX.XX.78 ipsec-attributes
 ikev2 remote-authentication pre-shared-key fddsFF222****  # Tentukan kunci pra-berbagi peer untuk Tunnel 2, yang merupakan kunci pra-berbagi di sisi Alibaba Cloud. 
 ikev2 local-authentication pre-shared-key fddsFF222****   # Tentukan kunci pra-berbagi lokal untuk Tunnel 2, yang harus sama dengan yang ada di Alibaba Cloud. 
!

    7. Buat antarmuka tunnel.

      interface Tunnel1                                  # Buat antarmuka untuk Tunnel 1. 
 nameif ALIYUN1
 ip address 169.254.10.2 255.255.255.252           # Tentukan alamat IP antarmuka. 
 tunnel source interface outside1                  # Tentukan alamat IP antarmuka GigabitEthernet 0/0 sebagai alamat sumber Tunnel 1. 
 tunnel destination 47.XX.XX.87                   # Tentukan alamat IP publik Tunnel 1 di Alibaba Cloud sebagai alamat tujuan Tunnel 1. 
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ALIYUN-PROFILE    # Terapkan profil IPsec ALIYUN-PROFILE pada Tunnel 1. 
 no shutdown                                       # Aktifkan antarmuka untuk Tunnel 1. 
!
interface Tunnel2                                  # Buat antarmuka untuk Tunnel 2. 
 nameif ALIYUN2                
 ip address 169.254.20.2 255.255.255.252           # Tentukan alamat IP antarmuka. 
 tunnel source interface outside2                  # Tentukan alamat IP antarmuka GigabitEthernet 0/2 sebagai alamat sumber Tunnel 2. 
 tunnel destination 47.XX.XX.78                   # Tentukan alamat IP publik Tunnel 2 di Alibaba Cloud sebagai alamat tujuan Tunnel 2. 
 tunnel mode ipsec ipv4                            
 tunnel protection ipsec profile ALIYUN-PROFILE # Terapkan profil IPsec ALIYUN-PROFILE pada Tunnel 2. 
 no shutdown                                       # Aktifkan antarmuka untuk Tunnel 2. 
!

    8. Konfigurasikan rute statis yang mengarah ke jaringan lain.

      Tentukan bahwa lalu lintas dari Data Center 1 diprioritaskan melalui antarmuka Tunnel 1. Rute ini memiliki prioritas tinggi. 
route ALIYUN1 172.16.40.0 255.255.255.0 47.XX.XX.87 4  #Rute yang mengarah ke Data Center 2. 
route ALIYUN1 10.30.0.0 255.255.0.0 47.XX.XX.87 4      #Rute yang mengarah ke Data Center 4. 
route ALIYUN1 10.10.0.0 255.255.0.0 47.XX.XX.87 4      #Rute yang mengarah ke Data Center 3. 
route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.87 4       #Rute yang mengarah ke VPC2. 
route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.87 4 Rute yang mengarah ke VPC1. 

Tentukan bahwa lalu lintas dari Data Center 1 diprioritaskan melalui antarmuka Tunnel 2. Prioritas rute ini lebih rendah daripada rute yang mengarah ke Tunnel 1. 
route ALIYUN2 172.16.40.0 255.255.255.0 47.XX.XX.78 5   
route ALIYUN2 10.30.0.0 255.255.0.0 47.XX.XX.78 5       
route ALIYUN2 10.10.0.0 255.255.0.0 47.XX.XX.78 5       
route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.78 5        
route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.78 5

    9. Konfigurasikan rute pada Data Center 1 sehingga klien di Data Center 1 dapat mengakses jaringan lain melalui firewall Cisco.

    Konfigurasikan Gateway Lokal 2

    1. Masuk ke CLI firewall Cisco dan masuk ke mode konfigurasi.

      ciscoasa> enable
Password: ********             # Masukkan kata sandi untuk masuk ke mode enable. 
ciscoasa# configure terminal   # Masuk ke mode konfigurasi. 
ciscoasa(config)#

    2. Lihat konfigurasi antarmuka dan konfigurasi rute untuk akses Internet.

      Verifikasi bahwa antarmuka telah dikonfigurasi dan diaktifkan pada firewall Cisco. Dalam contoh ini, konfigurasi antarmuka berikut digunakan:

      ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/0
 nameif outside1                            # Nama antarmuka GigabitEthernet 0/0. 
 security-level 0
 ip address 47.XX.XX.69 255.255.255.255    # Alamat IP publik antarmuka GigabitEthernet 0/0. 
!
interface GigabitEthernet0/1                # Antarmuka yang terhubung ke pusat data. 
 nameif private                             # Nama antarmuka GigabitEthernet 0/1. 
 security-level 100                         # Tingkat keamanan antarmuka privat yang terhubung ke pusat data, yang lebih rendah daripada antarmuka publik. 
 ip address 172.16.40.217 255.255.255.0    # Alamat IP antarmuka GigabitEthernet 0/1. 
!
interface GigabitEthernet0/2                
 nameif outside2                            # Nama antarmuka GigabitEthernet 0/2. 
 security-level 0
 ip address 47.XX.XX.71 255.255.255.255    # Alamat IP publik antarmuka GigabitEthernet 0/2. 
!

route outside1 47.XX.XX.87 255.255.255.255 192.XX.XX.172 # Rute untuk mengakses alamat IP publik Tunnel 1 di Alibaba Cloud. Hop berikutnya adalah alamat IP publik. 
route outside2 47.XX.XX.78 255.255.255.255 192.XX.XX.158  # Rute untuk mengakses alamat IP publik Tunnel 2 di Alibaba Cloud. Hop berikutnya adalah alamat IP publik. 
route private 172.16.40.0 255.255.255.0 172.16.40.216           # Rute yang mengarah ke pusat data.

    3. Aktifkan fitur IKEv2 untuk antarmuka publik.

      crypto ikev2 enable outside1
crypto ikev2 enable outside2

    4. Buat kebijakan IKEv2 dan tentukan algoritma autentikasi, algoritma enkripsi, grup DH, dan masa hidup SA pada fase IKE di firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      Penting

      Saat mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IKE. Disarankan menentukan hanya satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IKE pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      crypto ikev2 policy 10     
 encryption aes             # Tentukan algoritma enkripsi. 
 integrity sha              # Tentukan algoritma autentikasi. 
 group 14                   # Tentukan grup DH. 
 prf sha                    # Nilai parameter prf harus sama dengan parameter integrity. Secara default, nilai-nilai ini sama di Alibaba Cloud. 
 lifetime seconds 86400     # Tentukan masa hidup SA.

    5. Buat proposal IPsec dan profil, serta tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa hidup SA pada fase IPsec di firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      Penting

      Saat mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IPsec. Disarankan menentukan hanya satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IPsec pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Buat proposal IPsec. 
 protocol esp encryption aes                         # Tentukan algoritma enkripsi. Protokol Encapsulating Security Payload (ESP) digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP. 
 protocol esp integrity sha-1                        # Tentukan algoritma autentikasi. Protokol ESP digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP. 
crypto ipsec profile ALIYUN-PROFILE                  
 set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Buat profil IPsec dan terapkan proposal yang dibuat.  
 set ikev2 local-identity address                    # Atur format ID lokal menjadi alamat IP, yang sama dengan format ID remote di Alibaba Cloud. 
 set pfs group14                                     # Tentukan Perfect Forward Secrecy (PFS) dan grup DH. 
 set security-association lifetime seconds 86400     # Tentukan masa hidup SA berbasis waktu. 
 set security-association lifetime kilobytes unlimited # Nonaktifkan masa hidup SA berbasis lalu lintas.

    6. Buat grup tunnel dan tentukan kunci pra-berbagi untuk tunnel, yang harus sama dengan yang ada di sisi Alibaba Cloud.

      tunnel-group 47.XX.XX.87 type ipsec-l2l                   # Tentukan mode enkapsulasi l2l untuk Tunnel 1. 
tunnel-group 47.XX.XX.87 ipsec-attributes             
 ikev2 remote-authentication pre-shared-key fddsFF333****  # Tentukan kunci pra-berbagi peer untuk Tunnel 1, yang merupakan kunci pra-berbagi di sisi Alibaba Cloud. 
 ikev2 local-authentication pre-shared-key fddsFF333**** # Tentukan kunci pra-berbagi lokal untuk Tunnel 1, yang harus sama dengan yang ada di Alibaba Cloud. 
!
tunnel-group 47.XX.XX.78 type ipsec-l2l                  # Tentukan mode enkapsulasi l2l untuk Tunnel 2. 
tunnel-group 47.XX.XX.78 ipsec-attributes
 ikev2 remote-authentication pre-shared-key fddsFF444****  # Tentukan kunci pra-berbagi peer untuk Tunnel 2, yang merupakan kunci pra-berbagi di sisi Alibaba Cloud. 
 ikev2 local-authentication pre-shared-key fddsFF444****   # Tentukan kunci pra-berbagi lokal untuk Tunnel 2, yang harus sama dengan yang ada di Alibaba Cloud. 
!

    7. Buat antarmuka tunnel.

      interface Tunnel1                                  # Buat antarmuka untuk Tunnel 1. 
 nameif ALIYUN1
 ip address 169.254.11.2 255.255.255.252           # Tentukan alamat IP antarmuka. 
 tunnel source interface outside1                  # Tentukan alamat IP antarmuka GigabitEthernet 0/0 sebagai alamat sumber Tunnel 1. 
 tunnel destination 47.XX.XX.87                   # Tentukan alamat IP publik Tunnel 1 di Alibaba Cloud sebagai alamat tujuan Tunnel 1. 
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ALIYUN-PROFILE    # Terapkan profil IPsec ALIYUN-PROFILE pada Tunnel 1. 
 no shutdown                                       # Aktifkan antarmuka untuk Tunnel 1. 
!
interface Tunnel2                                  # Buat antarmuka untuk Tunnel 2. 
 nameif ALIYUN2                
 ip address 169.254.21.2 255.255.255.252          # Tentukan alamat IP antarmuka. 
 tunnel source interface outside2                  # Tentukan alamat IP antarmuka GigabitEthernet 0/2 sebagai alamat sumber Tunnel 2. 
 tunnel destination 47.XX.XX.78                   # Tentukan alamat IP publik Tunnel 2 di Alibaba Cloud sebagai alamat tujuan Tunnel 2. 
 tunnel mode ipsec ipv4                            
 tunnel protection ipsec profile ALIYUN-PROFILE # Terapkan profil IPsec ALIYUN-PROFILE pada Tunnel 2. 
 no shutdown                                       # Aktifkan antarmuka untuk Tunnel 2. 
!

    8. Konfigurasikan rute statis yang mengarah ke jaringan lain.

      Tentukan bahwa lalu lintas dari Data Center 2 diprioritaskan melalui antarmuka Tunnel 1. Rute ini memiliki prioritas tinggi. 
route ALIYUN1 172.16.10.0 255.255.255.0 47.XX.XX.87 4      #Rute yang mengarah ke Data Center 1. 
route ALIYUN1 10.30.0.0 255.255.0.0 47.XX.XX.87 4      #Rute yang mengarah ke Data Center 4. 
route ALIYUN1 10.10.0.0 255.255.0.0 47.XX.XX.87 4      #Rute yang mengarah ke Data Center 3. 
route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.87 4       #Rute yang mengarah ke VPC2. 
route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.87 4 Rute yang mengarah ke VPC1. 

Tentukan bahwa lalu lintas dari Data Center 2 diprioritaskan melalui antarmuka Tunnel 2. Prioritas rute ini lebih rendah daripada rute yang mengarah ke Tunnel 1. 
route ALIYUN2 172.16.10.0 255.255.255.0 47.XX.XX.78 5   
route ALIYUN2 10.30.0.0 255.255.0.0 47.XX.XX.78 5       
route ALIYUN2 10.10.0.0 255.255.0.0 47.XX.XX.78 5       
route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.78 5        
route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.78 5

    9. Konfigurasikan rute pada Data Center 2 sehingga klien di Data Center 2 dapat mengakses jaringan lain melalui firewall Cisco.

    Contoh Konfigurasi untuk Perangkat Gateway Lokal 3

    1. Masuk ke CLI firewall Cisco dan masuk ke mode konfigurasi.

      ciscoasa> enable
Password: ********             # Masukkan kata sandi untuk masuk ke mode enable. 
ciscoasa# configure terminal   # Masuk ke mode konfigurasi. 
ciscoasa(config)#

    2. Lihat konfigurasi antarmuka dan konfigurasi rute untuk akses Internet.

      Verifikasi bahwa antarmuka telah dikonfigurasi dan diaktifkan pada firewall Cisco. Dalam contoh ini, konfigurasi antarmuka berikut digunakan:

      ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/0
 nameif outside1                            # Nama antarmuka GigabitEthernet 0/0. 
 security-level 0
 ip address 57.XX.XX.11 255.255.255.255   # Alamat IP publik antarmuka GigabitEthernet 0/0. 
!
interface GigabitEthernet0/1                # Antarmuka yang terhubung ke pusat data. 
 nameif private                             # Nama antarmuka GigabitEthernet 0/1. 
 security-level 100                         # Tingkat keamanan antarmuka privat yang terhubung ke pusat data, yang lebih rendah daripada antarmuka publik. 
 ip address 10.10.10.217 255.255.255.0    # Alamat IP antarmuka GigabitEthernet 0/1. 
!
interface GigabitEthernet0/2                
 nameif outside2                            # Nama antarmuka GigabitEthernet 0/2. 
 security-level 0
 ip address 57.XX.XX.191 255.255.255.255    # Alamat IP publik antarmuka GigabitEthernet 0/2. 
!

route outside1 47.XX.XX.207 255.255.255.255 192.XX.XX.172 # Rute untuk mengakses alamat IP publik Tunnel 1 di Alibaba Cloud. Hop berikutnya adalah alamat IP publik. 
route outside2 47.XX.XX.15 255.255.255.255 192.XX.XX.158  # Rute untuk mengakses alamat IP publik Tunnel 2 di Alibaba Cloud. Hop berikutnya adalah alamat IP publik. 
route private 10.10.10.0 255.255.255.0 10.10.10.216          # Rute yang mengarah ke pusat data.

    3. Aktifkan fitur IKEv2 untuk antarmuka publik.

      crypto ikev2 enable outside1
crypto ikev2 enable outside2

    4. Buat kebijakan IKEv2 dan tentukan algoritma autentikasi, algoritma enkripsi, grup DH, dan masa hidup SA pada fase IKE di firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      Penting

      Saat mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IKE. Disarankan menentukan hanya satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IKE pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      crypto ikev2 policy 10     
 encryption aes             # Tentukan algoritma enkripsi. 
 integrity sha              # Tentukan algoritma autentikasi. 
 group 14                   # Tentukan grup DH. 
 prf sha                    # Nilai parameter prf harus sama dengan parameter integrity. Secara default, nilai-nilai ini sama di Alibaba Cloud. 
 lifetime seconds 86400     # Tentukan masa hidup SA.

    5. Buat proposal IPsec dan profil, serta tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa hidup SA pada fase IPsec di firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      Penting

      Saat mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IPsec. Disarankan menentukan hanya satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IPsec pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Buat proposal IPsec. 
 protocol esp encryption aes                         # Tentukan algoritma enkripsi. Protokol Encapsulating Security Payload (ESP) digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP. 
 protocol esp integrity sha-1                        # Tentukan algoritma autentikasi. Protokol ESP digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP. 
crypto ipsec profile ALIYUN-PROFILE                  
 set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Buat profil IPsec dan terapkan proposal yang dibuat.  
 set ikev2 local-identity address                    # Atur format ID lokal menjadi alamat IP, yang sama dengan format ID remote di Alibaba Cloud. 
 set pfs group14                                     # Tentukan Perfect Forward Secrecy (PFS) dan grup DH. 
 set security-association lifetime seconds 86400     # Tentukan masa hidup SA berbasis waktu. 
 set security-association lifetime kilobytes unlimited # Nonaktifkan masa hidup SA berbasis lalu lintas.

    6. Buat grup tunnel dan tentukan kunci pra-berbagi untuk tunnel, yang harus sama dengan yang ada di sisi Alibaba Cloud.

      tunnel-group 47.XX.XX.207 type ipsec-l2l                   # Tentukan mode enkapsulasi l2l untuk Tunnel 1. 
tunnel-group 47.XX.XX.207 ipsec-attributes             
 ikev2 remote-authentication pre-shared-key fddsFF555****  # Tentukan kunci pra-berbagi peer untuk Tunnel 1, yang merupakan kunci pra-berbagi di sisi Alibaba Cloud. 
 ikev2 local-authentication pre-shared-key fddsFF555**** # Tentukan kunci pra-berbagi lokal untuk Tunnel 1, yang harus sama dengan yang ada di Alibaba Cloud. 
!
tunnel-group 47.XX.XX.15 type ipsec-l2l                  # Tentukan mode enkapsulasi l2l untuk Tunnel 2. 
tunnel-group 47.XX.XX.15 ipsec-attributes
 ikev2 remote-authentication pre-shared-key fddsFF666****  # Tentukan kunci pra-berbagi peer untuk Tunnel 2, yang merupakan kunci pra-berbagi di sisi Alibaba Cloud. 
 ikev2 local-authentication pre-shared-key fddsFF666****   # Tentukan kunci pra-berbagi lokal untuk Tunnel 2, yang harus sama dengan yang ada di Alibaba Cloud. 
!

    7. Buat antarmuka tunnel.

      interface Tunnel1                                  # Buat antarmuka untuk Tunnel 1. 
 nameif ALIYUN1
 ip address 169.254.12.2 255.255.255.252           # Tentukan alamat IP antarmuka. 
 tunnel source interface outside1                  # Tentukan alamat IP antarmuka GigabitEthernet 0/0 sebagai alamat sumber Tunnel 1. 
 tunnel destination 47.XX.XX.207                   # Tentukan alamat IP publik Tunnel 1 di Alibaba Cloud sebagai alamat tujuan Tunnel 1. 
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ALIYUN-PROFILE    # Terapkan profil IPsec ALIYUN-PROFILE pada Tunnel 1. 
 no shutdown                                       # Aktifkan antarmuka untuk Tunnel 1. 
!
interface Tunnel2                                  # Buat antarmuka untuk Tunnel 2. 
 nameif ALIYUN2                
 ip address 169.254.22.2 255.255.255.252           # Tentukan alamat IP antarmuka. 
 tunnel source interface outside2                  # Tentukan alamat IP antarmuka GigabitEthernet 0/2 sebagai alamat sumber Tunnel 2. 
 tunnel destination 47.XX.XX.15                   # Tentukan alamat IP publik Tunnel 2 di Alibaba Cloud sebagai alamat tujuan Tunnel 2. 
 tunnel mode ipsec ipv4                            
 tunnel protection ipsec profile ALIYUN-PROFILE # Terapkan profil IPsec ALIYUN-PROFILE pada Tunnel 2. 
 no shutdown                                       # Aktifkan antarmuka untuk Tunnel 2. 
!

    8. Konfigurasikan rute statis yang mengarah ke jaringan lain.

      Tentukan bahwa lalu lintas dari Data Center 3 diprioritaskan melalui antarmuka Tunnel 1. Rute ini memiliki prioritas tinggi. 
route ALIYUN1 172.16.40.0 255.255.255.0 47.XX.XX.207 4  #Rute yang mengarah ke Data Center 2. 
route ALIYUN1 10.30.0.0 255.255.0.0 47.XX.XX.207 4      #Rute yang mengarah ke Data Center 4. 
route ALIYUN1 172.16.10.0 255.255.255.0 47.XX.XX.207 4  #Rute yang mengarah ke Data Center 1. 
route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.207 4       #Rute yang mengarah ke VPC2. 
route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.207 4 #Rute yang mengarah ke VPC1. 

Tentukan bahwa lalu lintas dari Data Center 3 diprioritaskan melalui antarmuka Tunnel 2. Prioritas rute ini lebih rendah daripada rute yang mengarah ke Tunnel 1. 
route ALIYUN2 172.16.40.0 255.255.255.0 47.XX.XX.15 5   
route ALIYUN2 10.30.0.0 255.255.0.0 47.XX.XX.15 5       
route ALIYUN2 172.16.10.0 255.255.255.0 47.XX.XX.15 5      
route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.15 5        
route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.15 5

    9. Konfigurasikan rute pada Data Center 3 sehingga klien di Data Center 3 dapat mengakses jaringan lain melalui firewall Cisco.

    Konfigurasikan Gateway Lokal 4

    1. Masuk ke CLI firewall Cisco dan masuk ke mode konfigurasi.

      ciscoasa> enable
Password: ********             # Masukkan kata sandi untuk masuk ke mode enable. 
ciscoasa# configure terminal   # Masuk ke mode konfigurasi. 
ciscoasa(config)#

    2. Lihat konfigurasi antarmuka dan konfigurasi rute untuk akses Internet.

      Verifikasi bahwa antarmuka telah dikonfigurasi dan diaktifkan pada firewall Cisco. Dalam contoh ini, konfigurasi antarmuka berikut digunakan:

      ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/0
 nameif outside1                            # Nama antarmuka GigabitEthernet 0/0. 
 security-level 0
 ip address 57.XX.XX.22 255.255.255.255    # Alamat IP publik antarmuka GigabitEthernet 0/0. 
!
interface GigabitEthernet0/1                # Antarmuka yang terhubung ke pusat data. 
 nameif private                             # Nama antarmuka GigabitEthernet 0/1. 
 security-level 100                         # Tingkat keamanan antarmuka privat yang terhubung ke pusat data, yang lebih rendah daripada antarmuka publik. 
 ip address 10.30.66.217 255.255.255.0    # Alamat IP antarmuka GigabitEthernet 0/1. 
!
interface GigabitEthernet0/2                
 nameif outside2                            # Nama antarmuka GigabitEthernet 0/2. 
 security-level 0
 ip address 57.XX.XX.234 255.255.255.255    # Alamat IP publik antarmuka GigabitEthernet 0/2. 
!

route outside1 47.XX.XX.207 255.255.255.255 192.XX.XX.172 # Rute untuk mengakses alamat IP publik Tunnel 1 di Alibaba Cloud. Hop berikutnya adalah alamat IP publik. 
route outside2 47.XX.XX.15 255.255.255.255 192.XX.XX.158  # Rute untuk mengakses alamat IP publik Tunnel 2 di Alibaba Cloud. Hop berikutnya adalah alamat IP publik. 
route private 10.30.66.0 255.255.255.0 10.30.66.216          # Rute yang mengarah ke pusat data.

    3. Aktifkan fitur IKEv2 untuk antarmuka publik.

      crypto ikev2 enable outside1
crypto ikev2 enable outside2

    4. Buat kebijakan IKEv2 dan tentukan algoritma autentikasi, algoritma enkripsi, grup DH, dan masa hidup SA pada fase IKE di firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      Penting

      Saat mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IKE. Disarankan menentukan hanya satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IKE pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      crypto ikev2 policy 10     
 encryption aes             # Tentukan algoritma enkripsi. 
 integrity sha              # Tentukan algoritma autentikasi. 
 group 14                   # Tentukan grup DH. 
 prf sha                    # Nilai parameter prf harus sama dengan parameter integrity. Secara default, nilai-nilai ini sama di Alibaba Cloud. 
 lifetime seconds 86400     # Tentukan masa hidup SA.

    5. Buat proposal IPsec dan profil, serta tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa hidup SA pada fase IPsec di firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      Penting

      Saat mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IPsec. Disarankan menentukan hanya satu nilai untuk algoritma enkripsi, algoritma autentikasi, dan grup DH di fase IPsec pada firewall Cisco. Nilai-nilai tersebut harus sama dengan yang ada di Alibaba Cloud.

      crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Buat proposal IPsec. 
 protocol esp encryption aes                         # Tentukan algoritma enkripsi. Protokol Encapsulating Security Payload (ESP) digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP. 
 protocol esp integrity sha-1                        # Tentukan algoritma autentikasi. Protokol ESP digunakan di Alibaba Cloud. Oleh karena itu, gunakan protokol ESP. 
crypto ipsec profile ALIYUN-PROFILE                  
 set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Buat profil IPsec dan terapkan proposal yang dibuat.  
 set ikev2 local-identity address                    # Atur format ID lokal menjadi alamat IP, yang sama dengan format ID remote di Alibaba Cloud. 
 set pfs group14                                     # Tentukan Perfect Forward Secrecy (PFS) dan grup DH. 
 set security-association lifetime seconds 86400     # Tentukan masa hidup SA berbasis waktu. 
 set security-association lifetime kilobytes unlimited # Nonaktifkan masa hidup SA berbasis lalu lintas.

    6. Buat grup tunnel dan tentukan kunci pra-berbagi untuk tunnel, yang harus sama dengan yang ada di sisi Alibaba Cloud.

      tunnel-group 47.XX.XX.207 type ipsec-l2l                   # Tentukan mode enkapsulasi l2l untuk Tunnel 1. 
tunnel-group 47.XX.XX.207 ipsec-attributes             
 ikev2 remote-authentication pre-shared-key fddsFF777****  # Tentukan kunci pra-berbagi peer untuk Tunnel 1, yang merupakan kunci pra-berbagi di sisi Alibaba Cloud. 
 ikev2 local-authentication pre-shared-key fddsFF777**** # Tentukan kunci pra-berbagi lokal untuk Tunnel 1, yang harus sama dengan yang ada di Alibaba Cloud. 
!
tunnel-group 47.XX.XX.15 type ipsec-l2l                  # Tentukan mode enkapsulasi l2l untuk Tunnel 2. 
tunnel-group 47.XX.XX.15 ipsec-attributes
 ikev2 remote-authentication pre-shared-key fddsFF888****  # Tentukan kunci pra-berbagi peer untuk Tunnel 2, yang merupakan kunci pra-berbagi di sisi Alibaba Cloud. 
 ikev2 local-authentication pre-shared-key fddsFF888****   # Tentukan kunci pra-berbagi lokal untuk Tunnel 2, yang harus sama dengan yang ada di Alibaba Cloud. 
!

    7. Buat antarmuka tunnel.

      interface Tunnel1                                  # Buat antarmuka untuk Tunnel 1. 
 nameif ALIYUN1
 ip address 169.254.13.2 255.255.255.252           # Tentukan alamat IP antarmuka. 
 tunnel source interface outside1                  # Tentukan alamat IP antarmuka GigabitEthernet 0/0 sebagai alamat sumber Tunnel 1. 
 tunnel destination 47.XX.XX.207                   # Tentukan alamat IP publik Tunnel 1 di Alibaba Cloud sebagai alamat tujuan Tunnel 1. 
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ALIYUN-PROFILE    # Terapkan profil IPsec ALIYUN-PROFILE pada Tunnel 1. 
 no shutdown                                       # Aktifkan antarmuka untuk Tunnel 1. 
!
interface Tunnel2                                  # Buat antarmuka untuk Tunnel 2. 
 nameif ALIYUN2                
 ip address 169.254.23.2 255.255.255.252           # Tentukan alamat IP antarmuka. 
 tunnel source interface outside2                  # Tentukan alamat IP antarmuka GigabitEthernet 0/2 sebagai alamat sumber Tunnel 2. 
 tunnel destination 47.XX.XX.15                   # Tentukan alamat IP publik Tunnel 2 di Alibaba Cloud sebagai alamat tujuan Tunnel 2. 
 tunnel mode ipsec ipv4                            
 tunnel protection ipsec profile ALIYUN-PROFILE # Terapkan profil IPsec ALIYUN-PROFILE pada Tunnel 2. 
 no shutdown                                       # Aktifkan antarmuka untuk Tunnel 2. 
!

    8. Konfigurasikan rute statis yang mengarah ke jaringan lain.

      Tentukan bahwa lalu lintas dari Data Center 4 diprioritaskan melalui antarmuka Tunnel 1. Rute ini memiliki prioritas tinggi. 
route ALIYUN1 172.16.40.0 255.255.255.0 47.XX.XX.207 4  #Rute yang mengarah ke Data Center 2. 
route ALIYUN1 10.10.0.0 255.255.0.0 47.XX.XX.207 4      #Rute yang mengarah ke Data Center 3. 
route ALIYUN1 172.16.10.0 255.255.255.0 47.XX.XX.207 4  #Rute yang mengarah ke Data Center 1. 
route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.207 4       #Rute yang mengarah ke VPC2. 
route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.207 4 #Rute yang mengarah ke VPC1. 

Tentukan bahwa lalu lintas dari Data Center 4 diprioritaskan melalui antarmuka Tunnel 2. Prioritas rute ini lebih rendah daripada rute yang mengarah ke Tunnel 1. 
route ALIYUN2 172.16.40.0 255.255.255.0 47.XX.XX.15 5   
route ALIYUN2 10.10.0.0 255.255.0.0 47.XX.XX.15 5       
route ALIYUN2 172.16.10.0 255.255.255.0 47.XX.XX.15 5      
route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.15 5        
route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.15 5

    9. Konfigurasikan rute pada Data Center 4 sehingga klien di Data Center 4 dapat mengakses jaringan lain melalui firewall Cisco.

    Setelah menyelesaikan langkah-langkah sebelumnya, Data Center 1, Data Center 2, dan VPC1 dapat berkomunikasi satu sama lain. Data Center 3, Data Center 4, dan VPC2 juga dapat berkomunikasi satu sama lain. Namun, Data Center 1, Data Center 2, dan VPC1 tidak dapat berkomunikasi dengan Data Center 3, Data Center 4, dan VPC2.

    Langkah 5: Konfigurasikan CEN

    Gunakan CEN untuk mengaktifkan komunikasi antara Data Center 1, Data Center 2, VPC1, Data Center 3, Data Center 4, dan VPC2.

    1. Buat instance Cloud Enterprise Network (CEN). Untuk informasi lebih lanjut, lihat Buat instance CEN.

    2. Buat transit router di masing-masing wilayah China (Shanghai) dan US (Silicon Valley). Untuk informasi lebih lanjut, lihat Buat transit router.

      Saat membuat transit router, gunakan pengaturan default.

    3. Buat koneksi VPC.

      Hubungkan VPC1 dengan transit router di China (Shanghai) dan hubungkan VPC2 dengan transit router di US (Silicon Valley).

      1. Di halaman detail CEN, klik tab Basic Information > Transit Router. Temukan transit router di wilayah China (Shanghai) dan klik Create Connection di kolom Actions.

      2. Di halaman Connection with Peer Network Instance, atur parameter berikut dan klik OK.

        Tabel berikut hanya menjelaskan parameter utama. Gunakan nilai default untuk parameter lainnya. Untuk informasi lebih lanjut, lihat Gunakan transit router edisi perusahaan untuk membuat koneksi VPC.

        Parameter

        VPC1

        VPC2

        Instance Type

        Pilih Virtual Private Cloud (VPC).

        Region

        Pilih China (Shanghai).

        Dalam contoh ini, US (Silicon Valley) dipilih.

        Resource Owner ID

        Pilih Current Account.

        Attachment Name

        Dalam contoh ini, VPC1_Connection digunakan.

        Dalam contoh ini, VPC2_Connection digunakan.

        Network Instance

        Pilih VPC1.

        Pilih VPC2.

        vSwitch

        Dalam contoh ini, vSwitch1 dipilih di Zona E dan vSwitch2 dipilih di Zona F.

        Pastikan setiap vSwitch yang dipilih memiliki alamat IP idle.Jika VPC tidak memiliki vSwitch di zona yang didukung oleh transit router, atau jika vSwitch tidak memiliki alamat IP idle, Anda perlu membuat vSwitch baru. Untuk informasi lebih lanjut, lihat Buat dan kelola vSwitches.

        Dalam contoh ini, vSwitch1 dipilih di Zona A dan vSwitch2 dipilih di Zona B.

        Pastikan setiap vSwitch yang dipilih memiliki alamat IP idle.Jika VPC tidak memiliki vSwitch di zona yang didukung oleh transit router, atau jika vSwitch tidak memiliki alamat IP idle, Anda perlu membuat vSwitch baru. Untuk informasi lebih lanjut, lihat Buat dan kelola vSwitches.

        Advanced Settings

        Dalam contoh ini, pengaturan default digunakan.

    4. Buat koneksi antar wilayah.

      VPC1 dan VPC2 berada di wilayah yang berbeda. Anda harus membuat koneksi antar wilayah untuk mengaktifkan komunikasi antara VPC1 dan VPC2.

      1. Di halaman detail instance CEN, pilih Basic Information > Bandwidth Plans dan klik Allocate Bandwidth for Inter-region Communication.

      2. Di halaman Connection with Peer Network Instance, atur parameter berikut dan klik OK.

        Parameter

        Deskripsi

        Instance Type

        Dalam contoh ini, Inter-region Connection dipilih.

        Region

        Pilih China (Shanghai).

        Peer Region

        Pilih US (Silicon Valley).

        Bandwidth Allocation Mode

        Pilih Pay-By-Data-Transfer. Anda akan dikenakan biaya berdasarkan transfer data dan tagihan dikeluarkan oleh Cloud Data Transfer (CDT).

        Bandwidth

        Tentukan nilai bandwidth maksimum untuk koneksi antar wilayah. Unit: Mbit/s.

        Default Line Type

        Nilai default: Gold. Dalam contoh ini, nilai tersebut digunakan.

        Advanced Settings

        Gunakan pengaturan default. Semua fitur lanjutan diaktifkan.

    5. Iklankan rute pusat data ke transit router.

      Setelah membuat koneksi antar wilayah, hanya VPC1 dan VPC2 yang dapat berkomunikasi satu sama lain. Anda harus mengiklankan rute pusat data ke transit router untuk mengaktifkan komunikasi antara Data Center 1, Data Center 2, Data Center 3, dan Data Center 4.

      1. Di halaman detail CEN, klik tab Basic Settings > Transit Router. Temukan transit router di wilayah China (Shanghai) dan klik ID-nya.

      2. Di halaman detail, klik tab Network Routes.

      3. Di tab Network Routes, temukan VPC1 dan rute yang mengarah ke Data Center 1 dan Data Center 2.

      4. Di kolom Advertisement Status dari rute, klik Advertise. Di kotak dialog Advertise Route, konfirmasi informasi rute dan klik OK.

      5. Ulangi langkah-langkah sebelumnya. Pergi ke halaman detail transit router di wilayah US (Silicon Valley). Pada VPC2, iklankan rute yang mengarah ke Data Center 3 dan Data Center 4 ke transit router.

      Iklankan rute Data Center 1 dan Data Center 2

      VPC1-已发布

      Iklankan rute Data Center 3 dan Data Center 4

      VPC2-已发布

    Langkah 6: Uji konektivitas

    Setelah menyelesaikan langkah-langkah sebelumnya, pusat data dan VPC di wilayah yang berbeda dapat berkomunikasi satu sama lain. Konten berikut menjelaskan cara menguji konektivitas jaringan.

    Catatan

    Sebelum pengujian, pastikan Anda memahami aturan grup keamanan yang diterapkan pada instance ECS di VPC dan aturan ACL yang diterapkan pada pusat data. Pastikan aturan tersebut mengizinkan akses timbal balik antara VPC dan pusat data. Untuk informasi lebih lanjut tentang aturan grup keamanan ECS, lihat Kueri aturan grup keamanan dan Tambah aturan grup keamanan.

    Uji konektivitas antara VPC1 dan VPC2, Data Center 1, Data Center 2, Data Center 3, dan Data Center 4.

    1. Masuk ke ECS1 di VPC1. Untuk informasi lebih lanjut, lihat Ikhtisar metode koneksi.

    2. Jalankan perintah ping di ECS1 untuk mengakses klien di jaringan lain.

      ping <alamat IP klien>

      VPC1-1

      VPC1-2

      Seperti yang ditunjukkan pada gambar di atas, jika ECS1 dapat menerima paket balasan echo, itu menunjukkan bahwa VPC1 dapat berkomunikasi dengan jaringan lain.

    Uji konektivitas antara VPC2 dan VPC1, Data Center 1, Data Center 2, Data Center 3, dan Data Center 4.

    1. Masuk ke ECS2 di VPC2. Untuk informasi lebih lanjut, lihat Ikhtisar metode koneksi.

    2. Jalankan perintah ping di ECS2 untuk mengakses klien di jaringan lain.

      ping <alamat IP klien>

      VPC2-1VPC2-2

      Seperti yang ditunjukkan pada gambar di atas, jika ECS2 dapat menerima paket balasan echo, itu menunjukkan bahwa VPC2 dapat berkomunikasi dengan jaringan lain.

    Uji konektivitas antara Data Center 1 dan VPC1, VPC2, Data Center 2, Data Center 3, dan Data Center 4.

    1. Buka CLI pada klien di Data Center 1.

    2. Jalankan perintah ping untuk mengakses klien di jaringan lain.

      ping <alamat IP klien>

      IDC1-1IDC1-2

      Seperti yang ditunjukkan pada gambar di atas, jika klien dapat menerima paket balasan echo, itu menunjukkan bahwa Data Center 1 dapat berkomunikasi dengan jaringan lain.

    Uji konektivitas antara Data Center 2 dan VPC1, VPC2, Data Center 1, Data Center 3, dan Data Center 4.

    1. Buka CLI pada klien di Data Center 2.

    2. Jalankan perintah ping untuk mengakses klien di jaringan lain.

      ping <alamat IP klien>

      IDC2-1

      IDC2-2

      Seperti yang ditunjukkan pada gambar di atas, jika klien dapat menerima paket balasan echo, itu menunjukkan bahwa Data Center 2 dapat berkomunikasi dengan jaringan lain.

    Uji konektivitas antara Data Center 3 dan VPC1, VPC2, Data Center 1, Data Center 2, serta Data Center 4.

    1. Buka CLI pada klien di Data Center 3.

    2. Jalankan perintah ping untuk mengakses klien di jaringan lain.

      ping <alamat IP klien>

      IDC4-1IDC4-2

      Seperti yang ditunjukkan pada gambar di atas, jika klien menerima paket balasan echo, hal ini menunjukkan bahwa Data Center 3 dapat berkomunikasi dengan jaringan lain.

    Uji konektivitas antara Data Center 4 dan VPC1, VPC2, Data Center 1, Data Center 2, serta Data Center 3.

    1. Buka CLI pada klien di Data Center 4.

    2. Jalankan perintah ping untuk mengakses klien di jaringan lain.

      ping <alamat IP klien>

      IDC3-1IDC3-2

      Seperti yang ditunjukkan pada gambar di atas, jika klien menerima paket balasan echo, hal ini menunjukkan bahwa Data Center 4 dapat berkomunikasi dengan jaringan lain.