Artikel ini menjelaskan cara menggunakan IPsec-VPN (koneksi IPsec pada instans VPN Gateway) dan Cloud Enterprise Network (CEN) untuk membangun jaringan enterprise global berkualitas tinggi dan hemat biaya yang memungkinkan komunikasi any-to-any antara pusat data lokal (IDC) dan VPC di berbagai wilayah.
Skenario
-
Jika Anda belum memiliki instans VPN Gateway publik di Akun Alibaba Cloud, kami merekomendasikan mengaitkan koneksi IPsec-VPN dengan TransitRouter untuk mencapai konektivitas global any-to-any.
-
Jika Anda telah memiliki instans VPN Gateway publik, topik ini menjelaskan cara mencapai konektivitas global any-to-any menggunakan koneksi IPsec-VPN yang dikaitkan dengan gateway tersebut.
Sebuah perusahaan men-deploy beberapa pusat data dan VPC di seluruh dunia. Setelah pusat data terhubung ke VPC melalui koneksi IPsec-VPN yang dikaitkan dengan instans VPN Gateway, setiap pusat data hanya dapat berkomunikasi dengan VPC yang terkait dengannya. Secara default, VPC dan pusat data di wilayah berbeda tidak dapat saling berkomunikasi. Dalam skenario ini, konektivitas antar-situs adalah sebagai berikut:
-
VPC1 dan VPC2 tidak dapat saling berkomunikasi.
-
Pusat data 1 dapat berkomunikasi dengan VPC1 serta dengan pusat data 2 karena keduanya terhubung ke instans VPN Gateway yang sama melalui koneksi IPsec-VPN. Namun, pusat data 1 tidak dapat berkomunikasi dengan pusat data 3, pusat data 4, atau VPC2.
-
Pusat data 2 dapat berkomunikasi dengan VPC1 serta dengan pusat data 1 karena keduanya terhubung ke instans VPN Gateway yang sama melalui koneksi IPsec-VPN. Namun, pusat data 2 tidak dapat berkomunikasi dengan pusat data 3, pusat data 4, atau VPC2.
-
Pusat data 3 dapat berkomunikasi dengan VPC2 serta dengan pusat data 4 karena keduanya terhubung ke instans VPN Gateway yang sama melalui koneksi IPsec-VPN. Namun, pusat data 3 tidak dapat berkomunikasi dengan pusat data 1, pusat data 2, atau VPC1.
-
Pusat data 4 dapat berkomunikasi dengan VPC2 serta dengan pusat data 3 karena keduanya terhubung ke instans VPN Gateway yang sama melalui koneksi IPsec-VPN. Namun, pusat data 4 tidak dapat berkomunikasi dengan pusat data 1, pusat data 2, atau VPC1.
Untuk mengaktifkan komunikasi any-to-any di semua situs global Anda, Anda dapat menggunakan CEN. CEN menyediakan koneksi privat berkualitas tinggi dan latensi rendah antar-VPC serta mendukung propagasi dan pembelajaran rute otomatis. Hal ini menyederhanakan konfigurasi perutean dan memungkinkan konektivitas cepat antar-VPC di wilayah berbeda. Arsitektur ini menghubungkan pusat data di wilayah berbeda melalui VPC yang saling terhubung, sehingga membentuk jaringan global yang sepenuhnya terhubung.
Kami merekomendasikan menggunakan perutean statis saat membuat koneksi IPsec-VPN antara pusat data dan instans VPN Gateway.
Contoh skenario
Contoh ini menunjukkan cara menggabungkan IPsec-VPN dan CEN untuk mengaktifkan komunikasi any-to-any di antara situs global. Perusahaan multinasional memiliki dua pusat data di wilayah China (Shanghai) dan dua di wilayah AS (Silicon Valley). Perusahaan juga memiliki VPC1 di wilayah China (Shanghai) dan VPC2 di wilayah AS (Silicon Valley), dengan aplikasi yang di-deploy pada Instance ECS di kedua VPC tersebut. Seiring ekspansi bisnisnya, perusahaan membutuhkan konektivitas di antara keenam situs berikut: pusat data 1 dan pusat data 2 di wilayah China (Shanghai), pusat data 3 dan pusat data 4 di wilayah AS (Silicon Valley), VPC1, dan VPC2.
Perencanaan Blok CIDR
Saat merencanakan Blok CIDR Anda, pastikan blok tersebut tidak tumpang tindih antar-situs yang perlu saling berkomunikasi.
VPC
|
Nama VPC |
Wilayah VPC |
Blok CIDR VPC |
Alamat IP ECS |
|
VPC1 |
China (Shanghai) |
|
Alamat IP ECS1: 192.168.99.48 |
|
VPC2 |
AS (Silicon Valley) |
|
Alamat IP ECS2: 10.0.10.33 |
Pusat data lokal
|
Nama pusat data |
Wilayah pusat data |
Blok CIDR lokal |
IP publik gateway |
Alamat IP klien |
|
Pusat data 1 |
China (Shanghai) |
172.16.10.0/24 |
|
172.16.10.207 |
|
Pusat data 2 |
China (Shanghai) |
172.16.40.0/24 |
|
172.16.40.60 |
|
Pusat data 3 |
AS (Silicon Valley) |
10.10.10.0/24 |
|
10.10.10.201 |
|
Pusat data 4 |
AS (Silicon Valley) |
10.30.66.0/24 |
|
10.30.66.11 |
Sebelum memulai
-
Anda telah membuat VPC1 di wilayah China (Shanghai) dan VPC2 di wilayah AS (Silicon Valley), serta men-deploy layanan pada Instance ECS di kedua VPC tersebut. Untuk informasi lebih lanjut, lihat Buat VPC dengan Blok CIDR IPv4.
-
Anda telah membuat instans VPN Gateway publik di wilayah China (Shanghai) dan AS (Silicon Valley), serta mengaktifkan fitur IPsec-VPN untuk kedua instans tersebut. Untuk informasi lebih lanjut, lihat Aktifkan IPsec-VPN.
CatatanTopik ini menggunakan instans VPN Gateway yang mendukung koneksi IPsec-VPN dalam mode dual-tunnel. Jika instans VPN Gateway Anda hanya mendukung mode single-tunnel, kami merekomendasikan agar Anda melakukan upgrade. Koneksi IPsec-VPN dalam mode dual-tunnel menyediakan pemulihan bencana tingkat zona ketersediaan. Untuk informasi lebih lanjut, lihat Upgrade koneksi IPsec-VPN ke mode dual-tunnel.
Tabel berikut mencantumkan informasi tentang instans VPN Gateway, instans VPC terkait, dan alamat IP yang dialokasikan sistem. Anda memerlukan alamat IP instans VPN Gateway untuk membuat koneksi IPsec-VPN.
Instance Name
Wilayah
Gateway Type
Jenis Jaringan
Saluran Data
Instans VPC terkait
Alamat IP
VPN Gateway 1
China (Shanghai)
Standard
Publik
Dual-tunnel
VPC1
-
Alamat IPsec 1: 47.XX.XX.87
-
Alamat IPsec 2: 47.XX.XX.78
VPN Gateway 2
AS (Silicon Valley)
Standard
Publik
Dual-tunnel
VPC2
-
Alamat IPsec 1: 47.XX.XX.207
-
Alamat IPsec 2: 47.XX.XX.15
-
Prosedur
Langkah 1: Buat gateway pelanggan
Anda harus membuat gateway pelanggan untuk mendaftarkan alamat IP publik perangkat gateway lokal Anda ke Alibaba Cloud. Gateway VPN memerlukan gateway pelanggan terdaftar untuk membuat koneksi IPsec-VPN dengan pusat data lokal.
Masuk ke Konsol VPN Gateway.
Di panel navigasi kiri, pilih .
-
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat gateway pelanggan.
CatatanGateway pelanggan dan gateway VPN harus berada di wilayah yang sama.
-
Pada halaman Customer Gateway, klik Create Customer Gateway.
-
Pada panel Create Customer Gateway, konfigurasikan gateway pelanggan dengan pengaturan berikut lalu klik OK.
Buat delapan gateway pelanggan untuk mendaftarkan alamat IP publik empat perangkat gateway lokal. Tabel berikut menjelaskan pengaturan yang diperlukan. Gunakan nilai default untuk semua parameter lainnya. Untuk informasi lebih lanjut, lihat gateway pelanggan.
Wilayah
Parameter
Alamat IP
China (Shanghai)
CustomerGateway1
Alamat IP publik pertama perangkat gateway lokal 1: 47.XX.XX.23
CustomerGateway2
Alamat IP publik kedua perangkat gateway lokal 1: 47.XX.XX.32
CustomerGateway3
Alamat IP publik pertama perangkat gateway lokal 2: 47.XX.XX.69
CustomerGateway4
Alamat IP publik kedua perangkat gateway lokal 2: 47.XX.XX.71
AS (Silicon Valley)
CustomerGateway5
Alamat IP publik pertama perangkat gateway lokal 3: 57.XX.XX.11
CustomerGateway6
Alamat IP publik kedua perangkat gateway lokal 3: 47.XX.XX.191
CustomerGateway7
Alamat IP publik pertama perangkat gateway lokal 4: 57.XX.XX.22
CustomerGateway8
Alamat IP publik kedua perangkat gateway lokal 4: 47.XX.XX.234
Langkah 2: Buat koneksi IPsec
Buat dua koneksi IPsec-VPN untuk setiap VPN Gateway. Saat membuat koneksi IPsec-VPN, tentukan pengaturan enkripsi saluran data dan pusat data peer. Setiap koneksi sesuai dengan satu pusat data.
-
Buka halaman Koneksi IPsec-VPN di Konsol VPN Gateway, klik Bind VPN Gateway, lalu konfigurasikan parameter berikut.
-
Tabel berikut mencantumkan parameter utama untuk koneksi IPsec-VPN. Gunakan nilai default untuk semua parameter lainnya. Untuk informasi lebih lanjut, lihat Koneksi IPsec-VPN (Bind VPN Gateway).
Parameter
Koneksi IPsec 1
Koneksi IPsec 2
Koneksi IPsec 3
Koneksi IPsec 4
Name
Masukkan IPsec-VPN Connection 1.
Masukkan IPsec-VPN Connection 2.
Masukkan IPsec-VPN Connection 3.
Masukkan IPsec-VPN Connection 4.
Region
Pilih China (Shanghai).
Pilih China (Shanghai).
Pilih US (Silicon Valley).
Pilih US (Silicon Valley).
Bind VPN Gateway
Pilih VPN Gateway 1.
Pilih VPN Gateway 1.
Pilih VPN Gateway 2.
Pilih VPN Gateway 2.
Routing Mode
Pilih Destination Routing. Dalam skenario ini, mode perutean ini digunakan untuk mengizinkan komunikasi antara beberapa segmen jaringan.
Effective Immediately
Gunakan nilai default Yes. Ini memungkinkan negosiasi IPsec dimulai segera setelah Anda menyelesaikan konfigurasi.
Tunnel 1
Customer Gateway
Pilih Customer Gateway 1.
Pilih Customer Gateway 3.
Pilih Customer Gateway 5.
Pilih Customer Gateway 7.
Pre-Shared Key
PentingKunci pra-bersama koneksi IPsec-VPN harus sama dengan kunci pra-bersama perangkat gateway peer; jika tidak, koneksi IPsec-VPN tidak dapat dibuat.
Masukkan fddsFF111****.
Masukkan fddsFF333****.
Masukkan fddsFF555****.
Masukkan fddsFF777****.
Encryption Settings
Gunakan nilai default untuk parameter lainnya, kecuali berikut ini:
-
Pada bagian IKE Settings, atur DH Group ke group14.
-
Pada bagian IPsec Settings, atur DH Group ke group14.
CatatanAnda perlu memilih parameter enkripsi berdasarkan perangkat gateway lokal untuk memastikan bahwa konfigurasi enkripsi untuk koneksi IPsec sama dengan konfigurasi pada perangkat gateway lokal.
Tunnel 2
Customer Gateway
Pilih Customer Gateway 2.
Pilih Customer Gateway 4.
Pilih Customer Gateway 6.
Pilih Customer Gateway 8.
Pre-Shared Key
Masukkan fddsFF222****.
Masukkan fddsFF444****.
Masukkan fddsFF666****.
Masukkan fddsFF888****.
Encryption Settings
Gunakan nilai default untuk parameter lainnya, kecuali berikut ini:
-
Pada bagian IKE Settings, atur DH Group ke group14.
-
Pada bagian IPsec Settings, atur DH Group ke group14.
CatatanAnda perlu memilih parameter enkripsi berdasarkan perangkat gateway lokal untuk memastikan bahwa konfigurasi enkripsi untuk koneksi IPsec sama dengan konfigurasi pada perangkat gateway lokal.
-
-
Pada kotak dialog Created, klik Cancel.
-
Tetap di halaman IPsec-VPN Connection, temukan koneksi IPsec-VPN yang telah Anda buat, lalu klik Generate Peer Configuration di kolom Actions.
Konfigurasi peer berisi pengaturan yang perlu Anda terapkan ke perangkat gateway lokal Anda.
-
Pada kotak dialog IPsec-VPN Connection Configuration, salin konfigurasi dan simpan secara lokal. Anda akan memerlukan konfigurasi ini untuk mengonfigurasi perangkat gateway lokal Anda nanti.
Setelah menyelesaikan konfigurasi, tabel berikut menunjukkan pemetaan antara VPC, instans gateway VPN, koneksi IPsec-VPN, instans Gateway Pelanggan, dan pusat data.
VPC
VPN Gateway
Koneksi IPsec
Tunnel
Gateway Pelanggan
Pusat data peer
VPC1
VPN Gateway 1
IPsec-VPN Connection 1
active tunnel
Customer Gateway 1
Data Center 1
standby tunnel
Customer Gateway 2
IPsec-VPN Connection 2
active tunnel
Customer Gateway 3
Data Center 2
standby tunnel
Customer Gateway 4
VPC2
VPN Gateway 2
IPsec-VPN Connection 3
active tunnel
Customer Gateway 5
Data Center 3
standby tunnel
Customer Gateway 6
IPsec-VPN Connection 4
active tunnel
Customer Gateway 7
Data Center 4
standby tunnel
Customer Gateway 8
Langkah 3: Konfigurasikan rute VPN Gateway
Setelah membuat koneksi IPsec-VPN, tambahkan rute ke pusat data di instans VPN Gateway. Topik ini menggunakan rute berbasis tujuan sebagai contoh. Untuk informasi lebih lanjut tentang metode perutean lainnya, lihat konfigurasi rute.
Di panel navigasi kiri, pilih .
Di bilah navigasi atas, pilih wilayah tempat instans gateway VPN berada.
-
Pada halaman VPN Gateway, temukan instans VPN Gateway target lalu klik ID instansnya.
-
Klik tab Destination-based Route Table, lalu klik Add Route Entry.
-
Pada panel Add Route Entry, konfigurasikan rute berbasis tujuan, lalu klik OK.
Di VPN Gateway 1, tambahkan rute ke pusat data 1 dan pusat data 2. Di VPN Gateway 2, tambahkan rute ke pusat data 3 dan pusat data 4.
Parameter
VPN Gateway 1
VPN Gateway 2
Destination CIDR Block
Masukkan 172.16.10.0/24 untuk pusat data 1.
Masukkan 172.16.40.0/24 untuk Pusat Data 2.
Masukkan 10.10.0.0/16 untuk pusat data 3.
Masukkan 10.30.0.0/16 untuk pusat data 4.
Next Hop Type
Pilih IPsec-VPN Connection.
Pilih IPsec-VPN Connection.
Pilih IPsec-VPN Connection.
Pilih IPsec-VPN Connection.
Next Hop
Pilih koneksi IPsec-VPN 1.
Pilih koneksi IPsec-VPN 2.
Pilih koneksi IPsec-VPN 3.
Pilih koneksi IPsec-VPN 4.
Advertise to VPC
Gunakan nilai default Yes.
Setelah menambahkan entri rute berbasis tujuan, VPN Gateway secara otomatis mengiklankan rute ke pusat data 1 dan pusat data 2 ke tabel rute sistem VPC1.
Gunakan nilai default Yes.
Setelah menambahkan entri rute berbasis tujuan, VPN Gateway secara otomatis mengiklankan rute ke pusat data 3 dan pusat data 4 ke tabel rute sistem VPC2.
Langkah 4: Konfigurasikan perangkat gateway lokal
Setelah menyelesaikan langkah-langkah sebelumnya, tambahkan konfigurasi VPN dan perutean ke perangkat gateway lokal Anda untuk membuat koneksi IPsec-VPN dengan VPN Gateway. Hal ini memastikan bahwa traffic dari pusat data Anda ke situs lain diarahkan terlebih dahulu melalui saluran aktif dan secara otomatis beralih ke saluran cadangan jika saluran aktif gagal.
Dalam contoh ini, perangkat lunak Adaptive Security Appliance (ASA) 9.19.1 digunakan untuk menjelaskan cara mengonfigurasi firewall Cisco. Perintah dapat berbeda tergantung versi perangkat lunak. Konsultasikan dokumentasi atau vendor Anda berdasarkan lingkungan aktual Anda selama operasi. Untuk informasi lebih lanjut, lihat Konfigurasikan gateway lokal.
Konten berikut berisi informasi produk pihak ketiga yang hanya untuk referensi. Alibaba Cloud tidak memberikan jaminan atau komitmen lainnya terhadap kinerja dan keandalan produk pihak ketiga, atau dampak potensial dari operasi yang dilakukan menggunakan produk tersebut.
Perangkat gateway lokal 1
Masuk ke Antarmuka baris perintah (CLI) firewall Cisco dan masuk ke mode konfigurasi.
ciscoasa> enable Password: ******** #Masukkan password untuk mode enable. ciscoasa# configure terminal #Masuk ke mode konfigurasi. ciscoasa(config)#-
Lihat konfigurasi antarmuka dan rute publik.
Berikut ini contoh konfigurasi antarmuka yang diaktifkan pada firewall Cisco.
ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 #Nama antarmuka GigabitEthernet0/0. security-level 0 ip address 47.XX.XX.23 255.255.255.255 #alamat IP publik yang dikonfigurasi untuk antarmuka GigabitEthernet0/0. ! interface GigabitEthernet0/1 #Antarmuka yang terhubung ke pusat data lokal. nameif private #Nama antarmuka GigabitEthernet0/1. security-level 100 #Tentukan tingkat keamanan untuk antarmuka private yang lebih tinggi daripada antarmuka publik. ip address 172.16.10.217 255.255.255.0 #Alamat IP yang dikonfigurasi untuk antarmuka GigabitEthernet0/1. ! interface GigabitEthernet0/2 nameif outside2 #Nama antarmuka GigabitEthernet0/2. security-level 0 ip address 47.XX.XX.32 255.255.255.255 #alamat IP publik yang dikonfigurasi untuk antarmuka GigabitEthernet0/2. ! route outside1 47.XX.XX.87 255.255.255.255 192.XX.XX.172 #Konfigurasikan rute ke alamat IP publik Saluran Data 1 di sisi Alibaba Cloud. Lompatan berikutnya adalah alamat IP publik. route outside2 47.XX.XX.78 255.255.255.255 192.XX.XX.158 #Konfigurasikan rute ke alamat IP publik Saluran Data 2 di sisi Alibaba Cloud. Lompatan berikutnya adalah alamat IP publik. route private 172.16.10.0 255.255.255.0 172.16.10.216 #Konfigurasikan rute ke pusat data lokal. Aktifkan IKEv2 pada antarmuka publik.
crypto ikev2 enable outside1 crypto ikev2 enable outside2Buat kebijakan IKEv2. Tentukan algoritma autentikasi, algoritma enkripsi, grup DH, dan masa berlaku SA untuk fase IKE. Pengaturan ini harus sesuai dengan konfigurasi Alibaba Cloud.
PentingDi Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk parameter Algoritma Enkripsi, Algoritma Autentikasi, dan Grup DH dalam fase Konfigurasi IKE. Kami merekomendasikan Anda melakukan hal yang sama pada firewall Cisco Anda dan memastikan nilainya sesuai dengan konfigurasi Alibaba Cloud.
crypto ikev2 policy 10 encryption aes #Tentukan algoritma enkripsi. integrity sha #Tentukan algoritma autentikasi. group 14 #Tentukan grup DH. prf sha #Nilai prf harus sama dengan nilai integrity. Di sisi Alibaba Cloud, prf defaultnya sama dengan algoritma autentikasi. lifetime seconds 86400 #Tentukan masa berlaku SA.Buat proposal dan profil IPsec. Tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa berlaku SA untuk fase IPsec. Pengaturan ini harus sesuai dengan konfigurasi Alibaba Cloud.
PentingDi Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk parameter Algoritma Enkripsi, Algoritma Autentikasi, dan Grup DH dalam fase Konfigurasi IPsec. Kami merekomendasikan Anda melakukan hal yang sama pada firewall Cisco Anda dan memastikan nilainya sesuai dengan konfigurasi Alibaba Cloud.
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #Buat proposal IPsec. protocol esp encryption aes #Tentukan algoritma enkripsi. Protokolnya adalah ESP, yang wajib di sisi Alibaba Cloud. protocol esp integrity sha-1 #Tentukan algoritma autentikasi. Protokolnya adalah ESP, yang wajib di sisi Alibaba Cloud. crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #Buat profil IPsec dan terapkan proposal yang dibuat. set ikev2 local-identity address #Atur format ID lokal ke alamat IP agar sesuai dengan format RemoteId di sisi Alibaba Cloud. set pfs group14 #Tentukan PFS dan grup DH. set security-association lifetime seconds 86400 #Tentukan masa berlaku SA berbasis waktu. set security-association lifetime kilobytes unlimited #Nonaktifkan masa berlaku SA berbasis traffic.-
Buat grup saluran data dan tentukan kunci pra-bersama untuk saluran data tersebut. Kunci harus sesuai dengan konfigurasi di Alibaba Cloud.
tunnel-group 47.XX.XX.87 type ipsec-l2l #Tentukan mode enkapsulasi untuk Saluran Data 1 sebagai L2L. tunnel-group 47.XX.XX.87 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF111**** #Tentukan kunci pra-bersama peer untuk Saluran Data 1. Ini adalah kunci pra-bersama di sisi Alibaba Cloud. ikev2 local-authentication pre-shared-key fddsFF111**** #Tentukan kunci pra-bersama lokal untuk Saluran Data 1. Ini harus sesuai dengan kunci yang dikonfigurasi di Alibaba Cloud. ! tunnel-group 47.XX.XX.78 type ipsec-l2l #Tentukan mode enkapsulasi untuk Saluran Data 2 sebagai L2L. tunnel-group 47.XX.XX.78 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF222**** #Tentukan kunci pra-bersama peer untuk Saluran Data 2. Ini adalah kunci pra-bersama di sisi Alibaba Cloud. ikev2 local-authentication pre-shared-key fddsFF222**** #Tentukan kunci pra-bersama lokal untuk Saluran Data 2. Ini harus sesuai dengan kunci yang dikonfigurasi di Alibaba Cloud. ! -
Buat antarmuka saluran data.
interface Tunnel1 #Buat antarmuka untuk Saluran Data 1. nameif ALIYUN1 ip address 169.254.10.2 255.255.255.252 #Tentukan alamat IP antarmuka. tunnel source interface outside1 #Tentukan antarmuka sumber untuk Saluran Data 1 sebagai antarmuka publik GigabitEthernet0/0. tunnel destination 47.XX.XX.87 #Tentukan tujuan saluran data sebagai alamat IP publik Saluran Data 1 di sisi Alibaba Cloud. tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #Terapkan profil IPsec ALIYUN-PROFILE ke Saluran Data 1. no shutdown #Aktifkan antarmuka Saluran Data 1. ! interface Tunnel2 #Buat antarmuka untuk Saluran Data 2. nameif ALIYUN2 ip address 169.254.20.2 255.255.255.252 #Tentukan alamat IP antarmuka. tunnel source interface outside2 #Tentukan antarmuka sumber untuk Saluran Data 2 sebagai antarmuka publik GigabitEthernet0/2. tunnel destination 47.XX.XX.78 #Tentukan tujuan saluran data sebagai alamat IP publik Saluran Data 2 di sisi Alibaba Cloud. tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #Terapkan profil IPsec ALIYUN-PROFILE ke Saluran Data 2. no shutdown #Aktifkan antarmuka Saluran Data 2. ! -
Konfigurasikan rute statis ke situs lain.
Konfigurasikan rute prioritas tinggi untuk traffic dari pusat data 1 ke situs lain melalui antarmuka Saluran Data 1. route ALIYUN1 172.16.40.0 255.255.255.0 47.XX.XX.87 4 #Konfigurasikan rute ke pusat data 2. route ALIYUN1 10.30.0.0 255.255.0.0 47.XX.XX.87 4 #Konfigurasikan rute ke pusat data 4. route ALIYUN1 10.10.0.0 255.255.0.0 47.XX.XX.87 4 #Konfigurasikan rute ke pusat data 3. route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.87 4 #Konfigurasikan rute ke VPC2. route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.87 4 #Konfigurasikan rute ke VPC1. Konfigurasikan rute prioritas rendah untuk traffic dari pusat data 1 ke situs lain melalui antarmuka Saluran Data 2. route ALIYUN2 172.16.40.0 255.255.255.0 47.XX.XX.78 5 route ALIYUN2 10.30.0.0 255.255.0.0 47.XX.XX.78 5 route ALIYUN2 10.10.0.0 255.255.0.0 47.XX.XX.78 5 route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.78 5 route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.78 5 -
Bergantung pada lingkungan jaringan Anda, tambahkan rute di pusat data 1 untuk mengizinkan kliennya mengakses situs lain melalui firewall Cisco.
Perangkat gateway lokal 2
Masuk ke Antarmuka baris perintah (CLI) firewall Cisco dan masuk ke mode konfigurasi.
ciscoasa> enable Password: ******** #Masukkan password untuk mode enable. ciscoasa# configure terminal #Masuk ke mode konfigurasi. ciscoasa(config)#-
Lihat konfigurasi antarmuka dan rute publik.
Berikut ini contoh konfigurasi antarmuka yang diaktifkan pada firewall Cisco.
ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 #Nama antarmuka GigabitEthernet0/0. security-level 0 ip address 47.XX.XX.69 255.255.255.255 #alamat IP publik yang dikonfigurasi untuk antarmuka GigabitEthernet0/0. ! interface GigabitEthernet0/1 #Antarmuka yang terhubung ke pusat data lokal. nameif private #Nama antarmuka GigabitEthernet0/1. security-level 100 #Tentukan tingkat keamanan untuk antarmuka private yang lebih tinggi daripada antarmuka publik. ip address 172.16.40.217 255.255.255.0 #Alamat IP yang dikonfigurasi untuk antarmuka GigabitEthernet0/1. ! interface GigabitEthernet0/2 nameif outside2 #Nama antarmuka GigabitEthernet0/2. security-level 0 ip address 47.XX.XX.71 255.255.255.255 #alamat IP publik yang dikonfigurasi untuk antarmuka GigabitEthernet0/2. ! route outside1 47.XX.XX.87 255.255.255.255 192.XX.XX.172 #Konfigurasikan rute ke alamat IP publik Saluran Data 1 di sisi Alibaba Cloud. Lompatan berikutnya adalah alamat IP publik. route outside2 47.XX.XX.78 255.255.255.255 192.XX.XX.158 #Konfigurasikan rute ke alamat IP publik Saluran Data 2 di sisi Alibaba Cloud. Lompatan berikutnya adalah alamat IP publik. route private 172.16.40.0 255.255.255.0 172.16.40.216 #Konfigurasikan rute ke pusat data lokal. Aktifkan IKEv2 pada antarmuka publik.
crypto ikev2 enable outside1 crypto ikev2 enable outside2Buat kebijakan IKEv2. Tentukan algoritma autentikasi, algoritma enkripsi, grup DH, dan masa berlaku SA untuk fase IKE. Pengaturan ini harus sesuai dengan konfigurasi Alibaba Cloud.
PentingDi Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk parameter Algoritma Enkripsi, Algoritma Autentikasi, dan Grup DH dalam fase Konfigurasi IKE. Kami merekomendasikan Anda melakukan hal yang sama pada firewall Cisco Anda dan memastikan nilainya sesuai dengan konfigurasi Alibaba Cloud.
crypto ikev2 policy 10 encryption aes #Tentukan algoritma enkripsi. integrity sha #Tentukan algoritma autentikasi. group 14 #Tentukan grup DH. prf sha #Nilai prf harus sama dengan nilai integrity. Di sisi Alibaba Cloud, prf defaultnya sama dengan algoritma autentikasi. lifetime seconds 86400 #Tentukan masa berlaku SA.Buat proposal dan profil IPsec. Tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa berlaku SA untuk fase IPsec. Pengaturan ini harus sesuai dengan konfigurasi Alibaba Cloud.
PentingDi Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk parameter Algoritma Enkripsi, Algoritma Autentikasi, dan Grup DH dalam fase Konfigurasi IPsec. Kami merekomendasikan Anda melakukan hal yang sama pada firewall Cisco Anda dan memastikan nilainya sesuai dengan konfigurasi Alibaba Cloud.
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #Buat proposal IPsec. protocol esp encryption aes #Tentukan algoritma enkripsi. Protokolnya adalah ESP, yang wajib di sisi Alibaba Cloud. protocol esp integrity sha-1 #Tentukan algoritma autentikasi. Protokolnya adalah ESP, yang wajib di sisi Alibaba Cloud. crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #Buat profil IPsec dan terapkan proposal yang dibuat. set ikev2 local-identity address #Atur format ID lokal ke alamat IP agar sesuai dengan format RemoteId di sisi Alibaba Cloud. set pfs group14 #Tentukan PFS dan grup DH. set security-association lifetime seconds 86400 #Tentukan masa berlaku SA berbasis waktu. set security-association lifetime kilobytes unlimited #Nonaktifkan masa berlaku SA berbasis traffic.-
Buat grup saluran data dan tentukan kunci pra-bersama untuk saluran data tersebut. Kunci harus sesuai dengan konfigurasi di Alibaba Cloud.
tunnel-group 47.XX.XX.87 type ipsec-l2l #Tentukan mode enkapsulasi untuk Saluran Data 1 sebagai L2L. tunnel-group 47.XX.XX.87 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF333**** #Tentukan kunci pra-bersama peer untuk Saluran Data 1. Ini adalah kunci pra-bersama di sisi Alibaba Cloud. ikev2 local-authentication pre-shared-key fddsFF333**** #Tentukan kunci pra-bersama lokal untuk Saluran Data 1. Ini harus sesuai dengan kunci yang dikonfigurasi di Alibaba Cloud. ! tunnel-group 47.XX.XX.78 type ipsec-l2l #Tentukan mode enkapsulasi untuk Saluran Data 2 sebagai L2L. tunnel-group 47.XX.XX.78 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF444**** #Tentukan kunci pra-bersama peer untuk Saluran Data 2. Ini adalah kunci pra-bersama di sisi Alibaba Cloud. ikev2 local-authentication pre-shared-key fddsFF444**** #Tentukan kunci pra-bersama lokal untuk Saluran Data 2. Ini harus sesuai dengan kunci yang dikonfigurasi di Alibaba Cloud. ! -
Buat antarmuka saluran data.
interface Tunnel1 #Buat antarmuka untuk Saluran Data 1. nameif ALIYUN1 ip address 169.254.11.2 255.255.255.252 #Tentukan alamat IP antarmuka. tunnel source interface outside1 #Tentukan antarmuka sumber untuk Saluran Data 1 sebagai antarmuka publik GigabitEthernet0/0. tunnel destination 47.XX.XX.87 #Tentukan tujuan saluran data sebagai alamat IP publik Saluran Data 1 di sisi Alibaba Cloud. tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #Terapkan profil IPsec ALIYUN-PROFILE ke Saluran Data 1. no shutdown #Aktifkan antarmuka Saluran Data 1. ! interface Tunnel2 #Buat antarmuka untuk Saluran Data 2. nameif ALIYUN2 ip address 169.254.21.2 255.255.255.252 #Tentukan alamat IP antarmuka. tunnel source interface outside2 #Tentukan antarmuka sumber untuk Saluran Data 2 sebagai antarmuka publik GigabitEthernet0/2. tunnel destination 47.XX.XX.78 #Tentukan tujuan saluran data sebagai alamat IP publik Saluran Data 2 di sisi Alibaba Cloud. tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #Terapkan profil IPsec ALIYUN-PROFILE ke Saluran Data 2. no shutdown #Aktifkan antarmuka Saluran Data 2. ! -
Konfigurasikan rute statis ke situs lain.
Konfigurasikan rute prioritas tinggi untuk traffic dari pusat data 2 ke situs lain melalui antarmuka Saluran Data 1. route ALIYUN1 172.16.10.0 255.255.255.0 47.XX.XX.87 4 #Konfigurasikan rute ke pusat data 1. route ALIYUN1 10.30.0.0 255.255.0.0 47.XX.XX.87 4 #Konfigurasikan rute ke pusat data 4. route ALIYUN1 10.10.0.0 255.255.0.0 47.XX.XX.87 4 #Konfigurasikan rute ke pusat data 3. route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.87 4 #Konfigurasikan rute ke VPC2. route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.87 4 #Konfigurasikan rute ke VPC1. Konfigurasikan rute prioritas rendah untuk traffic dari pusat data 2 ke situs lain melalui antarmuka Saluran Data 2. route ALIYUN2 172.16.10.0 255.255.255.0 47.XX.XX.78 5 route ALIYUN2 10.30.0.0 255.255.0.0 47.XX.XX.78 5 route ALIYUN2 10.10.0.0 255.255.0.0 47.XX.XX.78 5 route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.78 5 route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.78 5 -
Bergantung pada lingkungan jaringan Anda, tambahkan rute di pusat data 2 untuk mengizinkan kliennya mengakses situs lain melalui firewall Cisco.
Perangkat gateway lokal 3
Masuk ke Antarmuka baris perintah (CLI) firewall Cisco dan masuk ke mode konfigurasi.
ciscoasa> enable Password: ******** #Masukkan password untuk mode enable. ciscoasa# configure terminal #Masuk ke mode konfigurasi. ciscoasa(config)#-
Lihat konfigurasi antarmuka dan rute publik.
Berikut ini contoh konfigurasi antarmuka yang diaktifkan pada firewall Cisco.
ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 #Nama antarmuka GigabitEthernet0/0. security-level 0 ip address 57.XX.XX.11 255.255.255.255 #alamat IP publik yang dikonfigurasi untuk antarmuka GigabitEthernet0/0. ! interface GigabitEthernet0/1 #Antarmuka yang terhubung ke pusat data lokal. nameif private #Nama antarmuka GigabitEthernet0/1. security-level 100 #Tentukan tingkat keamanan untuk antarmuka private yang lebih tinggi daripada antarmuka publik. ip address 10.10.10.217 255.255.255.0 #Alamat IP yang dikonfigurasi untuk antarmuka GigabitEthernet0/1. ! interface GigabitEthernet0/2 nameif outside2 #Nama antarmuka GigabitEthernet0/2. security-level 0 ip address 57.XX.XX.191 255.255.255.255 #alamat IP publik yang dikonfigurasi untuk antarmuka GigabitEthernet0/2. ! route outside1 47.XX.XX.207 255.255.255.255 192.XX.XX.172 #Konfigurasikan rute ke alamat IP publik Saluran Data 1 di sisi Alibaba Cloud. Lompatan berikutnya adalah alamat IP publik. route outside2 47.XX.XX.15 255.255.255.255 192.XX.XX.158 #Konfigurasikan rute ke alamat IP publik Saluran Data 2 di sisi Alibaba Cloud. Lompatan berikutnya adalah alamat IP publik. route private 10.10.10.0 255.255.255.0 10.10.10.216 #Konfigurasikan rute ke pusat data lokal. Aktifkan IKEv2 pada antarmuka publik.
crypto ikev2 enable outside1 crypto ikev2 enable outside2Buat kebijakan IKEv2. Tentukan algoritma autentikasi, algoritma enkripsi, grup DH, dan masa berlaku SA untuk fase IKE. Pengaturan ini harus sesuai dengan konfigurasi Alibaba Cloud.
PentingDi Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk parameter Algoritma Enkripsi, Algoritma Autentikasi, dan Grup DH dalam fase Konfigurasi IKE. Kami merekomendasikan Anda melakukan hal yang sama pada firewall Cisco Anda dan memastikan nilainya sesuai dengan konfigurasi Alibaba Cloud.
crypto ikev2 policy 10 encryption aes #Tentukan algoritma enkripsi. integrity sha #Tentukan algoritma autentikasi. group 14 #Tentukan grup DH. prf sha #Nilai prf harus sama dengan nilai integrity. Di sisi Alibaba Cloud, prf defaultnya sama dengan algoritma autentikasi. lifetime seconds 86400 #Tentukan masa berlaku SA.Buat proposal dan profil IPsec. Tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa berlaku SA untuk fase IPsec. Pengaturan ini harus sesuai dengan konfigurasi Alibaba Cloud.
PentingDi Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk parameter Algoritma Enkripsi, Algoritma Autentikasi, dan Grup DH dalam fase Konfigurasi IPsec. Kami merekomendasikan Anda melakukan hal yang sama pada firewall Cisco Anda dan memastikan nilainya sesuai dengan konfigurasi Alibaba Cloud.
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #Buat proposal IPsec. protocol esp encryption aes #Tentukan algoritma enkripsi. Protokolnya adalah ESP, yang wajib di sisi Alibaba Cloud. protocol esp integrity sha-1 #Tentukan algoritma autentikasi. Protokolnya adalah ESP, yang wajib di sisi Alibaba Cloud. crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #Buat profil IPsec dan terapkan proposal yang dibuat. set ikev2 local-identity address #Atur format ID lokal ke alamat IP agar sesuai dengan format RemoteId di sisi Alibaba Cloud. set pfs group14 #Tentukan PFS dan grup DH. set security-association lifetime seconds 86400 #Tentukan masa berlaku SA berbasis waktu. set security-association lifetime kilobytes unlimited #Nonaktifkan masa berlaku SA berbasis traffic.-
Buat grup saluran data dan tentukan kunci pra-bersama untuk saluran data tersebut. Kunci harus sesuai dengan konfigurasi di Alibaba Cloud.
tunnel-group 47.XX.XX.207 type ipsec-l2l #Tentukan mode enkapsulasi untuk Saluran Data 1 sebagai L2L. tunnel-group 47.XX.XX.207 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF555**** #Tentukan kunci pra-bersama peer untuk Saluran Data 1. Ini adalah kunci pra-bersama di sisi Alibaba Cloud. ikev2 local-authentication pre-shared-key fddsFF555**** #Tentukan kunci pra-bersama lokal untuk Saluran Data 1. Ini harus sesuai dengan kunci yang dikonfigurasi di Alibaba Cloud. ! tunnel-group 47.XX.XX.15 type ipsec-l2l #Tentukan mode enkapsulasi untuk Saluran Data 2 sebagai L2L. tunnel-group 47.XX.XX.15 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF666**** #Tentukan kunci pra-bersama peer untuk Saluran Data 2. Ini adalah kunci pra-bersama di sisi Alibaba Cloud. ikev2 local-authentication pre-shared-key fddsFF666**** #Tentukan kunci pra-bersama lokal untuk Saluran Data 2. Ini harus sesuai dengan kunci yang dikonfigurasi di Alibaba Cloud. ! -
Buat antarmuka saluran data.
interface Tunnel1 #Buat antarmuka untuk Saluran Data 1. nameif ALIYUN1 ip address 169.254.12.2 255.255.255.252 #Tentukan alamat IP antarmuka. tunnel source interface outside1 #Tentukan antarmuka sumber untuk Saluran Data 1 sebagai antarmuka publik GigabitEthernet0/0. tunnel destination 47.XX.XX.207 #Tentukan tujuan saluran data sebagai alamat IP publik Saluran Data 1 di sisi Alibaba Cloud. tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #Terapkan profil IPsec ALIYUN-PROFILE ke Saluran Data 1. no shutdown #Aktifkan antarmuka Saluran Data 1. ! interface Tunnel2 #Buat antarmuka untuk Saluran Data 2. nameif ALIYUN2 ip address 169.254.22.2 255.255.255.252 #Tentukan alamat IP antarmuka. tunnel source interface outside2 #Tentukan antarmuka sumber untuk Saluran Data 2 sebagai antarmuka publik GigabitEthernet0/2. tunnel destination 47.XX.XX.15 #Tentukan tujuan saluran data sebagai alamat IP publik Saluran Data 2 di sisi Alibaba Cloud. tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #Terapkan profil IPsec ALIYUN-PROFILE ke Saluran Data 2. no shutdown #Aktifkan antarmuka Saluran Data 2. ! -
Konfigurasikan rute statis ke situs lain.
Konfigurasikan rute prioritas tinggi untuk traffic dari pusat data 3 ke situs lain melalui antarmuka Saluran Data 1. route ALIYUN1 172.16.40.0 255.255.255.0 47.XX.XX.207 4 #Konfigurasikan rute ke pusat data 2. route ALIYUN1 10.30.0.0 255.255.0.0 47.XX.XX.207 4 #Konfigurasikan rute ke pusat data 4. route ALIYUN1 172.16.10.0 255.255.255.0 47.XX.XX.207 4 #Konfigurasikan rute ke pusat data 1. route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.207 4 #Konfigurasikan rute ke VPC2. route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.207 4 #Konfigurasikan rute ke VPC1. Konfigurasikan rute prioritas rendah untuk traffic dari pusat data 3 ke situs lain melalui antarmuka Saluran Data 2. route ALIYUN2 172.16.40.0 255.255.255.0 47.XX.XX.15 5 route ALIYUN2 10.30.0.0 255.255.0.0 47.XX.XX.15 5 route ALIYUN2 172.16.10.0 255.255.255.0 47.XX.XX.15 5 route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.15 5 route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.15 5 -
Bergantung pada lingkungan jaringan Anda, tambahkan rute di pusat data 3 untuk mengizinkan kliennya mengakses situs lain melalui firewall Cisco.
Perangkat gateway lokal 4
Masuk ke Antarmuka baris perintah (CLI) firewall Cisco dan masuk ke mode konfigurasi.
ciscoasa> enable Password: ******** #Masukkan password untuk mode enable. ciscoasa# configure terminal #Masuk ke mode konfigurasi. ciscoasa(config)#-
Lihat konfigurasi antarmuka dan rute publik.
Berikut ini contoh konfigurasi antarmuka yang diaktifkan pada firewall Cisco.
ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 #Nama antarmuka GigabitEthernet0/0. security-level 0 ip address 57.XX.XX.22 255.255.255.255 #alamat IP publik yang dikonfigurasi untuk antarmuka GigabitEthernet0/0. ! interface GigabitEthernet0/1 #Antarmuka yang terhubung ke pusat data lokal. nameif private #Nama antarmuka GigabitEthernet0/1. security-level 100 #Tentukan tingkat keamanan untuk antarmuka private yang lebih tinggi daripada antarmuka publik. ip address 10.30.66.217 255.255.255.0 #Alamat IP yang dikonfigurasi untuk antarmuka GigabitEthernet0/1. ! interface GigabitEthernet0/2 nameif outside2 #Nama antarmuka GigabitEthernet0/2. security-level 0 ip address 57.XX.XX.234 255.255.255.255 #alamat IP publik yang dikonfigurasi untuk antarmuka GigabitEthernet0/2. ! route outside1 47.XX.XX.207 255.255.255.255 192.XX.XX.172 #Konfigurasikan rute ke alamat IP publik Saluran Data 1 di sisi Alibaba Cloud. Lompatan berikutnya adalah alamat IP publik. route outside2 47.XX.XX.15 255.255.255.255 192.XX.XX.158 #Konfigurasikan rute ke alamat IP publik Saluran Data 2 di sisi Alibaba Cloud. Lompatan berikutnya adalah alamat IP publik. route private 10.30.66.0 255.255.255.0 10.30.66.216 #Konfigurasikan rute ke pusat data lokal. Aktifkan IKEv2 pada antarmuka publik.
crypto ikev2 enable outside1 crypto ikev2 enable outside2Buat kebijakan IKEv2. Tentukan algoritma autentikasi, algoritma enkripsi, grup DH, dan masa berlaku SA untuk fase IKE. Pengaturan ini harus sesuai dengan konfigurasi Alibaba Cloud.
PentingDi Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk parameter Algoritma Enkripsi, Algoritma Autentikasi, dan Grup DH dalam fase Konfigurasi IKE. Kami merekomendasikan Anda melakukan hal yang sama pada firewall Cisco Anda dan memastikan nilainya sesuai dengan konfigurasi Alibaba Cloud.
crypto ikev2 policy 10 encryption aes #Tentukan algoritma enkripsi. integrity sha #Tentukan algoritma autentikasi. group 14 #Tentukan grup DH. prf sha #Nilai prf harus sama dengan nilai integrity. Di sisi Alibaba Cloud, prf defaultnya sama dengan algoritma autentikasi. lifetime seconds 86400 #Tentukan masa berlaku SA.Buat proposal dan profil IPsec. Tentukan algoritma enkripsi, algoritma autentikasi, grup DH, dan masa berlaku SA untuk fase IPsec. Pengaturan ini harus sesuai dengan konfigurasi Alibaba Cloud.
PentingDi Alibaba Cloud, Anda hanya dapat menentukan satu nilai untuk parameter Algoritma Enkripsi, Algoritma Autentikasi, dan Grup DH dalam fase Konfigurasi IPsec. Kami merekomendasikan Anda melakukan hal yang sama pada firewall Cisco Anda dan memastikan nilainya sesuai dengan konfigurasi Alibaba Cloud.
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #Buat proposal IPsec. protocol esp encryption aes #Tentukan algoritma enkripsi. Protokolnya adalah ESP, yang wajib di sisi Alibaba Cloud. protocol esp integrity sha-1 #Tentukan algoritma autentikasi. Protokolnya adalah ESP, yang wajib di sisi Alibaba Cloud. crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #Buat profil IPsec dan terapkan proposal yang dibuat. set ikev2 local-identity address #Atur format ID lokal ke alamat IP agar sesuai dengan format RemoteId di sisi Alibaba Cloud. set pfs group14 #Tentukan PFS dan grup DH. set security-association lifetime seconds 86400 #Tentukan masa berlaku SA berbasis waktu. set security-association lifetime kilobytes unlimited #Nonaktifkan masa berlaku SA berbasis traffic.-
Buat grup saluran data dan tentukan kunci pra-bersama untuk saluran data tersebut. Kunci harus sesuai dengan konfigurasi di Alibaba Cloud.
tunnel-group 47.XX.XX.207 type ipsec-l2l #Tentukan mode enkapsulasi untuk Saluran Data 1 sebagai L2L. tunnel-group 47.XX.XX.207 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF777**** #Tentukan kunci pra-bersama peer untuk Saluran Data 1. Ini adalah kunci pra-bersama di sisi Alibaba Cloud. ikev2 local-authentication pre-shared-key fddsFF777**** #Tentukan kunci pra-bersama lokal untuk Saluran Data 1. Ini harus sesuai dengan kunci yang dikonfigurasi di Alibaba Cloud. ! tunnel-group 47.XX.XX.15 type ipsec-l2l #Tentukan mode enkapsulasi untuk Saluran Data 2 sebagai L2L. tunnel-group 47.XX.XX.15 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF888**** #Tentukan kunci pra-bersama peer untuk Saluran Data 2. Ini adalah kunci pra-bersama di sisi Alibaba Cloud. ikev2 local-authentication pre-shared-key fddsFF888**** #Tentukan kunci pra-bersama lokal untuk Saluran Data 2. Ini harus sesuai dengan kunci yang dikonfigurasi di Alibaba Cloud. ! -
Buat antarmuka saluran data.
interface Tunnel1 #Buat antarmuka untuk Saluran Data 1. nameif ALIYUN1 ip address 169.254.13.2 255.255.255.252 #Tentukan alamat IP antarmuka. tunnel source interface outside1 #Tentukan antarmuka sumber untuk Saluran Data 1 sebagai antarmuka publik GigabitEthernet0/0. tunnel destination 47.XX.XX.207 #Tentukan tujuan saluran data sebagai alamat IP publik Saluran Data 1 di sisi Alibaba Cloud. tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #Terapkan profil IPsec ALIYUN-PROFILE ke Saluran Data 1. no shutdown #Aktifkan antarmuka Saluran Data 1. ! interface Tunnel2 #Buat antarmuka untuk Saluran Data 2. nameif ALIYUN2 ip address 169.254.23.2 255.255.255.252 #Tentukan alamat IP antarmuka. tunnel source interface outside2 #Tentukan antarmuka sumber untuk Saluran Data 2 sebagai antarmuka publik GigabitEthernet0/2. tunnel destination 47.XX.XX.15 #Tentukan tujuan saluran data sebagai alamat IP publik Saluran Data 2 di sisi Alibaba Cloud. tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #Terapkan profil IPsec ALIYUN-PROFILE ke Saluran Data 2. no shutdown #Aktifkan antarmuka Saluran Data 2. ! -
Konfigurasikan rute statis ke situs lain.
Konfigurasikan rute prioritas tinggi untuk traffic dari pusat data 4 ke situs lain melalui antarmuka Saluran Data 1. route ALIYUN1 172.16.40.0 255.255.255.0 47.XX.XX.207 4 #Konfigurasikan rute ke pusat data 2. route ALIYUN1 10.10.0.0 255.255.0.0 47.XX.XX.207 4 #Konfigurasikan rute ke pusat data 3. route ALIYUN1 172.16.10.0 255.255.255.0 47.XX.XX.207 4 #Konfigurasikan rute ke pusat data 1. route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.207 4 #Konfigurasikan rute ke VPC2. route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.207 4 #Konfigurasikan rute ke VPC1. Konfigurasikan rute prioritas rendah untuk traffic dari pusat data 4 ke situs lain melalui antarmuka Saluran Data 2. route ALIYUN2 172.16.40.0 255.255.255.0 47.XX.XX.15 5 route ALIYUN2 10.10.0.0 255.255.0.0 47.XX.XX.15 5 route ALIYUN2 172.16.10.0 255.255.255.0 47.XX.XX.15 5 route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.15 5 route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.15 5 -
Bergantung pada lingkungan jaringan Anda, tambahkan rute di pusat data 4 untuk mengizinkan kliennya mengakses situs lain melalui firewall Cisco.
Setelah mengonfigurasi perangkat gateway lokal, pusat data 1, pusat data 2, dan VPC1 dapat saling berkomunikasi, serta pusat data 3, pusat data 4, dan VPC2 juga dapat saling berkomunikasi. Namun, komunikasi antara kedua kelompok ini belum terbentuk.
Langkah 5: Konfigurasikan Cloud Enterprise Network (CEN)
Gunakan Cloud Enterprise Network (CEN) untuk menghubungkan pusat data 1, pusat data 2, VPC1, pusat data 3, pusat data 4, dan VPC2.
-
Buat instans CEN. Untuk informasi lebih lanjut, lihat Instans CEN.
-
Buat router transit di wilayah China (Shanghai) dan satu lagi di wilayah AS (Silicon Valley). Untuk informasi lebih lanjut, lihat Buat instans router transit.
Anda dapat menggunakan pengaturan default saat membuat router transit.
-
Buat koneksi lampiran VPC.
Lampirkan VPC1 ke router transit di wilayah China (Shanghai) dan VPC2 ke router transit di wilayah AS (Silicon Valley).
-
Pada halaman detail instans CEN, buka tab . Temukan router transit di wilayah China (Shanghai) lalu klik Create Network Instance Connection di kolom Actions.
-
Konfigurasikan parameter seperti yang ditunjukkan pada tabel berikut lalu klik OK.
Tabel ini mencantumkan parameter utama untuk membuat lampiran VPC. Gunakan nilai default untuk semua parameter lainnya. Untuk informasi lebih lanjut, lihat Gunakan router transit Edisi Enterprise untuk membuat lampiran VPC.
Parameter
Lampiran VPC1
Lampiran VPC2
Network Type
Pilih VPC.
Region
Pilih China (Shanghai).
Pilih US (Silicon Valley).
Account
Pilih Same Account.
Attachment Name
Masukkan VPC1 attachment.
Masukkan VPC2 attachment.
Networks
Pilih VPC1.
Pilih VPC2.
vSwitch
Pilih vSwitch 1 di zona E dan vSwitch 2 di zona F.
Pastikan setiap vSwitch yang dipilih memiliki alamat IP yang tersedia. Jika VPC tidak memiliki vSwitch di zona yang didukung oleh router transit, atau jika vSwitch tidak memiliki alamat IP yang tersedia, Anda harus membuat vSwitch. Untuk informasi lebih lanjut, lihat Buat dan kelola vSwitch.
Pilih vSwitch 1 di zona A dan vSwitch 2 di zona B.
Pastikan setiap vSwitch yang dipilih memiliki alamat IP yang tersedia. Jika VPC tidak memiliki vSwitch di zona yang didukung oleh router transit, atau jika vSwitch tidak memiliki alamat IP yang tersedia, Anda harus membuat vSwitch. Untuk informasi lebih lanjut, lihat Buat dan kelola vSwitch.
Advanced Settings
Gunakan pengaturan default. Semua opsi lanjutan diaktifkan secara default.
-
-
Buat koneksi antar-wilayah.
Karena VPC1 dan VPC2 berada di wilayah berbeda, Anda harus membuat koneksi antar-wilayah untuk mengaktifkan komunikasi di antara keduanya.
-
Pada halaman detail instans CEN, buka tab lalu klik Set Inter-region Bandwidth.
-
Pada halaman Connect Network Instance, konfigurasikan koneksi antar-wilayah sebagai berikut lalu klik OK.
Parameter
Deskripsi
Network Type
Pilih Inter-region Connection.
Region
Pilih China (Shanghai).
Local Region
Pilih US (Silicon Valley).
Bandwidth Allocation Mode
Pilih Pay-By-Data-Transfer. Transfer Data Awan (CDT) membebankan biaya untuk metode penagihan ini.
Bandwidth
Masukkan bandwidth untuk koneksi antar-wilayah. Satuan: Mbit/s.
Default Line Type
Gunakan jenis jalur default, Gold.
Advanced Settings
Semua opsi lanjutan dipilih secara default.
-
-
Publikasikan rute pusat data ke router transit.
Koneksi antar-wilayah hanya memungkinkan VPC1 dan VPC2 berkomunikasi. Untuk mengaktifkan komunikasi di antara semua pusat data, Anda juga harus mempublikasikan rutenya ke router transit.
-
Pada halaman detail instans CEN, buka tab , temukan router transit di wilayah China (Shanghai), lalu klik ID-nya.
-
Pada halaman detail router transit, klik tab Network Instance Route Table.
-
Pada tab Network Instance Route Table, temukan entri rute untuk instans VPC1 yang mengarah ke pusat data 1 dan pusat data 2.
-
Pada kolom Publishing Progress untuk entri rute, klik Publish. Pada kotak dialog PublishRoute, konfirmasi informasi rute lalu klik OK.
-
Ulangi proses tersebut untuk router transit di wilayah AS (Silicon Valley). Untuk instans VPC2, publikasikan rute yang mengarah ke pusat data 3 dan pusat data 4.
Pusat data 1 dan 2
Pada tab Tabel Rute Instans Jaringan router transit, pilih instans jaringan VPC1 dan tabel rutanya. Verifikasi bahwa Status Publikasi untuk dua entri rute VpnGateway, 172.16.10.0/24 dan 172.16.40.0/24, adalah Published.
Pusat data 3 dan 4
Pada tab Tabel Rute Instans Jaringan router transit, pilih instans jaringan VPC2 dan tabel rutanya. Verifikasi bahwa Status Publikasi untuk dua entri rute VpnGateway kustom
10.10.0.0/16dan10.30.0.0/16adalah Published. -
Langkah 6: Uji konektivitas
Langkah-langkah sebelumnya mengaktifkan komunikasi di antara pusat data dan VPC di wilayah berbeda. Bagian ini menjelaskan cara menguji konektivitas.
Sebelum menguji konektivitas, verifikasi bahwa aturan grup keamanan untuk Instance ECS dan aturan ACL untuk pusat data lokal mengizinkan traffic antara pusat data dan VPC. Untuk informasi lebih lanjut tentang aturan grup keamanan, lihat Kueri aturan grup keamanan dan Tambahkan aturan grup keamanan.