Setelah membuat VPN Gateway, Anda perlu mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud dan di pusat data lokal untuk menghubungkan pusat data tersebut ke VPC Anda.
Cara kerja
Secara default, koneksi IPsec-VPN Alibaba Cloud menggunakan mode dual-tunnel (satu terowongan aktif dan satu terowongan cadangan) untuk menyediakan redundansi tautan dan memastikan ketersediaan tinggi.
Terowongan aktif (alamat IPsec 1): Membawa seluruh lalu lintas layanan.
Terowongan cadangan (alamat IPsec 2): Tetap dalam mode siaga dan secara otomatis mengambil alih jika terowongan aktif gagal.
Peran tetap: Peran aktif dan cadangan tidak dapat diubah.
Pemeriksaan kesehatan: Sistem secara otomatis memeriksa konektivitas terowongan aktif, melakukan failover saat mendeteksi gangguan, dan kembali ke terowongan utama setelah terowongan tersebut pulih.
Pemulihan bencana lintas zona: Kedua terowongan diterapkan di zona yang berbeda secara default untuk menyediakan pemulihan bencana lintas zona. Untuk wilayah yang hanya mendukung satu zona, kedua terowongan diterapkan di zona yang sama. Penerapan ini tidak mendukung pemulihan bencana tingkat zona, tetapi tetap menyediakan redundansi tautan.
VPN Gateway single-tunnel lama hanya dapat membuat koneksi IPsec-VPN single-tunnel. Kami sangat menyarankan Anda untuk upgrade ke mode dual-tunnel.
Buat koneksi IPsec-VPN
Sebelum membuat koneksi IPsec-VPN, pastikan Anda telah membuat VPN Gateway dan customer gateway.
VPN gateway Enhanced (konsol)
Buka halaman Koneksi IPsec di konsol VPN Gateway, klik Bind VPN Gateway, lalu konfigurasikan parameter berikut:
Name: Masukkan nama deskriptif, misalnya
dev-dc01-backup(lingkungan-pengenal_peer-tujuan).Region: Pilih wilayah tempat VPN Gateway diterapkan.
Gateway Type: Pilih Enhanced IPsec-VPN.
Billing: Secara default, jalur BGP (Multi-ISP) digunakan, dan penagihan didasarkan pada CDT. Anda menerima kuota gratis bulanan sebesar 220 GB (20 GB/bulan di wilayah Tiongkok daratan dan 200 GB/bulan di wilayah luar Tiongkok daratan).
Bind VPN Gateway: Pilih VPN Gateway target.
Routing Mode:
Destination Routing Mode (Default): Meneruskan traffic berdasarkan alamat IP tujuan. Mode ini cocok untuk skenario sederhana.
Protected Data Flows: Meneruskan traffic berdasarkan alamat IP sumber dan tujuan. Terowongan VPN hanya mentransmisikan traffic yang sesuai dengan aliran yang ditentukan.
Jika Anda memilih mode ini, Anda harus mengonfigurasi Local Network (blok CIDR di VPC yang perlu berkomunikasi) dan Remote Network (blok CIDR di pusat data lokal yang perlu berkomunikasi).
Setelah koneksi IPsec dikonfigurasi, sistem secara otomatis menghasilkan destination route. Destination CIDR Block rute ini adalah Remote Network dari koneksi IPsec, dan lompatan berikutnya mengarah ke koneksi IPsec. Rute ini dapat dipublikasikan ke tabel rute VPC, tetapi tidak dipublikasikan secara default.
Saat Anda mengonfigurasi protected data flows di perangkat gateway lokal Anda, pastikan blok CIDR konsisten dengan pengaturan di sisi Alibaba Cloud, tetapi dengan jaringan lokal dan remote saling ditukar.
Anda dapat menambahkan beberapa blok CIDR dengan mengklik ikon
. Jika Anda mengonfigurasi beberapa blok CIDR, Anda harus mengatur versi IKE ke IKEv2.
Effective Immediately: Pilih Ya untuk aktivasi langsung atau mencegah penundaan traffic. Pilih Tidak untuk menghemat sumber daya jika traffic jarang terjadi.
BGP Configuration: Lihat Aktifkan atau nonaktifkan BGP.
Tunnel Configuration: Lihat Konfigurasi terowongan dan enkripsi untuk detail mengenai konfigurasi parameter untuk Tunnel 1 (Primary) dan Tunnel 1 (Backup).
VPN gateway Traditional (konsol)
Buka halaman Koneksi IPsec di konsol VPN Gateway, klik Bind VPN Gateway, lalu konfigurasikan parameter berikut:
Name: Masukkan nama deskriptif, misalnya
dev-dc01-backup(lingkungan-pengenal_peer-tujuan).Region: Pilih wilayah tempat VPN Gateway diterapkan.
Gateway Type: Pilih Standard VPN Gateway.
Bind VPN Gateway: Pilih VPN Gateway target.
Routing Mode:
Destination Routing Mode (Default): Meneruskan traffic berdasarkan alamat IP tujuan. Mode ini cocok untuk skenario sederhana.
Protected Data Flows: Meneruskan traffic berdasarkan alamat IP sumber dan tujuan. Terowongan VPN hanya mentransmisikan traffic yang sesuai dengan aliran yang ditentukan.
Jika Anda memilih mode ini, Anda harus mengonfigurasi Local Network (blok CIDR di VPC yang perlu berkomunikasi) dan Remote Network (blok CIDR di pusat data lokal yang perlu berkomunikasi).
Setelah koneksi IPsec dikonfigurasi, sistem secara otomatis menghasilkan policy-based route: Source CIDR Block adalah Local Network dari koneksi IPsec, Destination CIDR Block adalah Remote Network dari koneksi IPsec, dan lompatan berikutnya mengarah ke koneksi IPsec. Rute ini dapat dipublikasikan ke tabel rute VPC secara opsional, tetapi tidak dipublikasikan secara default.
Saat Anda mengonfigurasi protected data flows di perangkat gateway lokal Anda, pastikan blok CIDR konsisten dengan pengaturan di sisi Alibaba Cloud, tetapi dengan jaringan lokal dan remote saling ditukar.
Anda dapat menambahkan beberapa blok CIDR dengan mengklik ikon
. Jika Anda mengonfigurasi beberapa blok CIDR, Anda harus mengatur versi IKE ke IKEv2.
Effective Immediately: Pilih Ya untuk aktivasi langsung atau mencegah penundaan traffic. Pilih Tidak untuk menghemat sumber daya jika traffic jarang terjadi.
BGP Configuration: Lihat Aktifkan atau nonaktifkan BGP.
Tunnel Configuration: Lihat Konfigurasi terowongan dan enkripsi untuk detail mengenai konfigurasi parameter untuk Tunnel 1 (Primary) dan Tunnel 1 (Backup).
API
Panggil operasi CreateVpnConnection untuk membuat koneksi IPsec-VPN.
Langkah selanjutnya
Untuk mengaktifkan komunikasi antara VPC dan pusat data lokal Anda, lengkapi langkah-langkah berikut setelah membuat koneksi IPsec-VPN:
Konfigurasikan perangkat gateway lokal Anda: Gunakan konfigurasi peer yang telah Anda unduh untuk menyelesaikan konfigurasi IPsec dan BGP (jika diaktifkan) di perangkat gateway lokal Anda, seperti firewall atau router.
Aktifkan atau nonaktifkan BGP
Sebelum mengaktifkan BGP untuk koneksi IPsec-VPN, pastikan Autonomous System Number (ASN) untuk jaringan lokal Anda telah dikonfigurasi di customer gateway terkait.
Berikut adalah parameter BGP untuk koneksi IPsec-VPN:
Local ASN: ASN untuk sisi Alibaba Cloud setelah BGP diaktifkan. Kedua terowongan menggunakan ASN yang sama. Nilai default: 45104. Rentang nilai: 1 hingga 4294967295. Kami menyarankan menggunakan ASN privat saat Anda mengonfigurasi ASN untuk perangkat lokal Anda.
Tunnel CIDR Block: Segmen alamat interkoneksi yang digunakan untuk peering BGP. Setiap terowongan pada VPN Gateway harus memiliki blok CIDR unik. Blok tersebut harus merupakan subnet /30 dalam 169.254.0.0/16 dan tidak boleh 169.254.0.0/30, 169.254.1.0/30, 169.254.2.0/30, 169.254.3.0/30, 169.254.4.0/30, 169.254.5.0/30, atau 169.254.169.252/30.
Local BGP IP address: Alamat IP BGP untuk sisi Alibaba Cloud, yang harus termasuk dalam blok CIDR terowongan. Misalnya, jika blok CIDR adalah
169.254.10.0/30, Anda dapat menggunakan169.254.10.1.
Untuk informasi tentang dukungan fitur BGP, prinsip pengumuman rute, dan batasan, lihat Perutean BGP untuk VPN Gateway.
Konsol
Aktifkan BGP
Saat membuat koneksi IPsec-VPN, Anda dapat mengaktifkan BGP Configuration dan mengonfigurasi Local ASN, Tunnel CIDR Block, dan Local BGP IP address untuk mengaktifkan fitur BGP.
Untuk koneksi IPsec-VPN yang sudah ada, buka halaman detail instans dan modifikasi BGP Configuration di bagian IPsec Connections.
Pastikan ASN telah dikonfigurasi untuk customer gateway. Jika tidak, Anda harus menghapus dan membuat ulang customer gateway serta koneksi IPsec-VPN.
Nonaktifkan BGP
Di halaman detail koneksi IPsec-VPN, nonaktifkan BGP Configuration di bagian IPsec Connections.
API
Saat membuat koneksi IPsec-VPN baru, atur parameter EnableTunnelsBgp pada operasi CreateVpnConnection untuk mengaktifkan BGP, dan konfigurasikan opsi BGP untuk setiap terowongan dengan mengatur parameter TunnelOptionsSpecification -> TunnelBgpConfig.
Untuk koneksi IPsec-VPN yang sudah ada, atur parameter EnableTunnelsBgp pada operasi ModifyVpnConnectionAttribute untuk mengaktifkan atau menonaktifkan BGP, dan konfigurasikan opsi BGP untuk setiap terowongan dengan mengatur parameter TunnelOptionsSpecification -> TunnelBgpConfig.
Terowongan dan enkripsi
Setiap konfigurasi terowongan terdiri dari tiga bagian:
Basic Settings:
Customer Gateway: Pilih customer gateway yang merepresentasikan perangkat gateway lokal Anda. Kedua terowongan dapat dikaitkan dengan customer gateway yang sama.
Pre-Shared Key: Kunci yang digunakan untuk otentikasi identitas. Kunci untuk kedua terowongan harus persis sama dengan konfigurasi di perangkat gateway lokal Anda. Jika Anda membiarkannya kosong, sistem akan secara otomatis menghasilkan kunci acak.
Encryption Configuration:
Enhanced IPsec-VPN: Mendukung mode kompatibilitas multi-algoritma. Sistem memilih beberapa konfigurasi enkripsi secara default dan secara otomatis menegosiasikan algoritma dengan perangkat gateway lokal jika perangkat tersebut juga mendukung mode kompatibilitas multi-algoritma.
Traditional VPN Gateway: Anda harus menentukan konfigurasi algoritma tunggal yang sesuai dengan algoritma yang didukung oleh perangkat gateway lokal Anda.
Parameter
Deskripsi
IKE Configurations
Version
Kami menyarankan IKEv2. IKEv2 menyederhanakan proses negosiasi SA dan memberikan dukungan lebih baik untuk skenario dengan beberapa blok CIDR.
Negotiation Mode
main (Default): Main mode. Mode ini mengenkripsi informasi identitas selama negosiasi, sehingga lebih aman dibandingkan aggressive mode.
aggressive: Aggressive mode. Mode ini melakukan negosiasi lebih cepat dan memiliki tingkat keberhasilan lebih tinggi.
Kedua mode menyediakan tingkat keamanan yang sama untuk transmisi data setelah negosiasi berhasil.
Encryption Algorithm
Algoritma enkripsi yang digunakan untuk negosiasi Fase 1.
Enhanced IPsec-VPN: Mendukung AES128, AES128-GCM-16, AES192, AES256, AES256-GCM-16, DES, dan 3DES.
Disarankan: AES128-GCM-16 dan AES256-GCM-16 untuk performa dan keamanan lebih tinggi.
Tidak disarankan: DES, 3DES.
Traditional VPN Gateway:
Dibandingkan Enhanced IPsec-VPN, AES128-GCM-16 dan AES256-GCM-16 tidak didukung.
Untuk instans dengan bandwidth 200 Mbps atau lebih tinggi, kami menyarankan menggunakan algoritma enkripsi AES128, AES192, atau AES256. Kami tidak menyarankan menggunakan algoritma enkripsi 3DES.
AES adalah algoritma enkripsi kunci simetris yang menyediakan enkripsi dan dekripsi berkekuatan tinggi dengan dampak minimal terhadap latensi jaringan, throughput, dan performa forwarding.
3DES adalah Triple Data Encryption Algorithm. Algoritma ini intensif secara komputasi dan memiliki waktu enkripsi lebih lama, sehingga mengurangi performa forwarding dibandingkan AES.
Authentication Algorithm
Algoritma autentikasi yang digunakan untuk negosiasi Fase 1.
Algoritma yang didukung: sha1 (default), md5, sha256, sha384, dan sha512.
Saat Anda menambahkan konfigurasi VPN pada beberapa perangkat gateway lokal, Anda mungkin perlu menentukan algoritma PRF. Algoritma PRF harus sama dengan algoritma autentikasi fase IKE.
DH Group (Perfect Forward Secrecy)
Algoritma pertukaran kunci Diffie-Hellman untuk negosiasi Fase 1.
disabled: Tidak menggunakan algoritma pertukaran kunci DH.
Pilih disabled untuk klien yang tidak mendukung PFS.
Jika Anda memilih grup apa pun selain disabled, Perfect Forward Secrecy (PFS) diaktifkan secara default. Ini mengharuskan kunci diperbarui selama setiap renegosiasi, sehingga klien terkait juga harus mengaktifkan PFS.
group1-group24: Nomor grup DH yang lebih tinggi memberikan keamanan lebih besar tetapi berdampak lebih besar pada performa. Konfirmasi grup DH mana yang didukung oleh perangkat VPN peer Anda, lalu prioritaskan grup ECDH (Group 19, 20, 21) dari daftar grup yang umumnya didukung.
Traditional VPN Gateway hanya mendukung group1, group2, group5, dan group14.
SA Life Cycle (seconds)
Masa berlaku Security Association (SA) Fase 1. Default: 86400. Rentang: 0 hingga 86400.
LocalId
Pengenal untuk ujung lokal terowongan. Secara default, alamat IP terowongan digunakan.
Parameter ini hanya berfungsi sebagai pengenal untuk sisi Alibaba Cloud selama negosiasi koneksi IPsec-VPN. Nilainya dapat berupa alamat IP atau Fully Qualified Domain Name (FQDN) dan tidak boleh mengandung spasi. Kami menyarankan menggunakan alamat IP pribadi sebagai pengenal lokal.
Jika Anda menggunakan FQDN untuk LocalId, seperti example.aliyun.com, ID peer di perangkat gateway lokal harus sesuai dengan nilai LocalId, dan kami menyarankan mengatur mode negosiasi ke aggressive.
RemoteId
Pengenal untuk ujung remote terowongan. Secara default, alamat IP customer gateway terkait digunakan.
Parameter ini hanya berfungsi sebagai pengenal untuk perangkat gateway lokal selama negosiasi koneksi IPsec-VPN. Nilainya dapat berupa alamat IP atau FQDN (Fully Qualified Domain Name) dan tidak boleh mengandung spasi. Kami menyarankan menggunakan alamat IP pribadi sebagai pengenal remote.
Jika Anda menggunakan FQDN untuk RemoteId, seperti example.aliyun.com, ID lokal di perangkat gateway lokal harus sesuai dengan nilai RemoteId, dan kami menyarankan mengatur mode negosiasi ke aggressive.
IPsec Configurations
Encryption Algorithm
Konfigurasikan pengaturan untuk negosiasi Fase 2. Anda dapat merujuk ke opsi yang sesuai di IKE Configurations Fase 1 untuk deskripsi.
Authentication Algorithm
DH Group (Perfect Forward Secrecy)
SA Life Cycle (seconds)
DPD
DPD (Dead Peer Detection). Kami menyarankan agar fitur ini selalu diaktifkan (default). Fitur ini mendeteksi kegagalan peer secara cepat dan memicu failover, yang penting untuk memastikan ketersediaan tinggi.
Setelah DPD diaktifkan, koneksi IPsec-VPN mengirim paket DPD untuk memeriksa apakah perangkat peer aktif. Jika tidak ada respons valid yang diterima dalam waktu tertentu, peer dianggap terputus. Sistem menghapus ISAKMP SA dan IPsec SA terkait, serta menghapus terowongan keamanan. Setelah timeout DPD, koneksi IPsec-VPN secara otomatis memulai kembali negosiasi terowongan. Periode timeout paket DPD adalah 30 detik.
Untuk beberapa instans VPN Gateway yang ada yang menggunakan IKEv2 untuk koneksi IPsec-VPN, periode timeout DPD mungkin 130 detik atau 3600 detik. Dalam kasus ini, Anda dapat upgrade instans VPN Gateway ke versi terbaru.
NAT Traversal
Kami menyarankan agar fitur ini tetap diaktifkan (default). Saat diaktifkan, proses negosiasi IKE melewati verifikasi nomor port UDP dan dapat mendeteksi perangkat gateway NAT di saluran komunikasi terenkripsi.
BGP Configuration: Opsi ini hanya tersedia setelah BGP diaktifkan. Untuk informasi lebih lanjut, lihat Aktifkan atau nonaktifkan BGP.
Konsol
Saat membuat koneksi IPsec-VPN, Anda dapat langsung mengonfigurasi parameter terkait terowongan.
Untuk koneksi IPsec-VPN yang sudah ada, klik Instance ID dari koneksi IPsec-VPN target untuk membuka halaman detail. Di kolom Actions terowongan target, klik Edit untuk memodifikasi konfigurasi terowongan.
Saat membuat koneksi IPsec-VPN dalam mode dual-tunnel, pastikan kedua terowongan dikonfigurasi dan tersedia. Jika Anda hanya mengonfigurasi atau menggunakan satu terowongan, Anda tidak dapat memanfaatkan kemampuan redundansi tautan aktif-cadangan dan pemulihan bencana tingkat zona dari koneksi IPsec-VPN.
API
Panggil operasi ModifyTunnelAttribute untuk memodifikasi konfigurasi terowongan.
Modifikasi koneksi IPsec-VPN
Jika koneksi IPsec-VPN sudah dikaitkan dengan instans VPN Gateway, Anda tidak dapat mengubah instans terkait. Anda hanya dapat memodifikasi pengaturan Routing Mode dan Effective Immediately dari koneksi IPsec-VPN.
Konsol
Buka halaman Koneksi IPsec di konsol VPC, alihkan ke wilayah target, lalu klik Edit di kolom Actions koneksi IPsec-VPN target.
Di halaman Modify IPsec-VPN Connection, modifikasi pengaturan seperti nama koneksi dan segmen jaringan, lalu klik OK.
Untuk deskripsi detail parameter, lihat Buat koneksi IPsec-VPN.
API
Panggil operasi ModifyVpnConnectionAttribute untuk memodifikasi konfigurasi koneksi IPsec-VPN.
Hapus koneksi IPsec-VPN
Konsol
Buka halaman Koneksi IPsec di konsol VPC, alihkan ke wilayah target, lalu klik Delete di kolom Actions koneksi IPsec-VPN target.
Di kotak dialog yang muncul, konfirmasi informasi, lalu klik OK.
API
Panggil operasi DeleteVpnConnection untuk menghapus koneksi IPsec-VPN.
Penagihan
Enhanced IPsec-VPN: Anda hanya dikenai biaya untuk koneksi IPsec-VPN, yang mencakup biaya koneksi dan biaya transfer data Internet.
Traditional VPN Gateway: Koneksi IPsec-VPN itu sendiri tidak dikenai biaya, tetapi Anda dikenai biaya untuk instans VPN Gateway terkait. Untuk informasi lebih lanjut, lihat Penagihan IPsec-VPN.
FAQ
Negosiasi Fase 1 gagal
Jika Anda telah menyelesaikan konfigurasi IPsec di Alibaba Cloud dan pusat data lokal Anda, periksa masalah umum berikut:
Ketidaksesuaian pre-shared key: Verifikasi pre-shared key di gateway Alibaba Cloud dan gateway lokal. Keduanya harus identik, termasuk huruf besar/kecil dan karakter khusus.
Ketidaksesuaian parameter IKE: Pastikan semua parameter IKE (Versi, Mode Negosiasi, Algoritma Enkripsi, Algoritma Autentikasi, Grup DH) sama persis di kedua sisi.
Konektivitas jaringan: Konfirmasi bahwa alamat IP publik gateway lokal Anda dapat dijangkau. Pastikan tidak ada kebijakan firewall atau ISP yang memblokir port UDP 500 dan 4500.
Terowongan aktif tetapi tidak ada konektivitas
Negosiasi terowongan yang berhasil hanya mengonfirmasi bahwa saluran terenkripsi telah dibangun. Transmisi data bergantung pada hal berikut:
Konfigurasi rute: Verifikasi bahwa tabel rute di VPC Alibaba Cloud dan pusat data lokal Anda mengarahkan traffic ke koneksi IPsec-VPN dengan benar.
Security group dan network ACL: Pastikan aturan security group untuk Instance ECS Anda mengizinkan traffic ICMP atau layanan lain dari jaringan lokal.
Kebijakan firewall lokal: Periksa apakah firewall lokal Anda mengizinkan traffic dari blok CIDR VPC.
Mengapa saya tidak dapat mengaktifkan BGP?
Hal ini terjadi karena customer gateway yang Anda kaitkan dengan koneksi IPsec-VPN tidak memiliki Autonomous System Number (ASN) yang dikonfigurasi. Anda harus menghapus koneksi IPsec-VPN saat ini, membuat customer gateway baru yang memiliki ASN yang dikonfigurasi, lalu menggunakan customer gateway baru tersebut untuk membuat koneksi IPsec-VPN.
Bisakah Terowongan 2 menjadi terowongan aktif?
Tidak. Terowongan 1 (menggunakan alamat IP VPN Gateway 1) tetap sebagai terowongan aktif, dan Terowongan 2 (menggunakan alamat IP VPN Gateway 2) tetap sebagai terowongan cadangan. Peran ini tidak dapat diubah.
Bisakah saya membuat koneksi IPsec-VPN single-tunnel?
Mode single-tunnel adalah fitur lama. Koneksi IPsec-VPN yang baru dibuat tidak lagi mendukung mode single-tunnel.
Untuk VPN Gateway Traditional single-tunnel yang sudah ada, kami sangat menyarankan Anda untuk upgrade koneksi IPsec-VPN ke mode dual-tunnel.
Langkah-langkah berikut menjelaskan cara membuat koneksi IPsec-VPN untuk instans single-tunnel lama (tidak disarankan):