All Products
Search
Document Center

VPN Gateway:Koneksi IPsec (VPN Gateway)

Last Updated:May 14, 2026

Setelah membuat VPN Gateway, Anda perlu mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud dan di pusat data lokal untuk menghubungkan pusat data tersebut ke VPC Anda.

Cara kerja

Secara default, koneksi IPsec-VPN Alibaba Cloud menggunakan mode dual-tunnel (satu terowongan aktif dan satu terowongan cadangan) untuk menyediakan redundansi tautan dan memastikan ketersediaan tinggi.

  • Terowongan aktif (alamat IPsec 1): Membawa seluruh lalu lintas layanan.

  • Terowongan cadangan (alamat IPsec 2): Tetap dalam mode siaga dan secara otomatis mengambil alih jika terowongan aktif gagal.

  • Peran tetap: Peran aktif dan cadangan tidak dapat diubah.

  • Pemeriksaan kesehatan: Sistem secara otomatis memeriksa konektivitas terowongan aktif, melakukan failover saat mendeteksi gangguan, dan kembali ke terowongan utama setelah terowongan tersebut pulih.

  • Pemulihan bencana lintas zona: Kedua terowongan diterapkan di zona yang berbeda secara default untuk menyediakan pemulihan bencana lintas zona. Untuk wilayah yang hanya mendukung satu zona, kedua terowongan diterapkan di zona yang sama. Penerapan ini tidak mendukung pemulihan bencana tingkat zona, tetapi tetap menyediakan redundansi tautan.

    VPN Gateway single-tunnel lama hanya dapat membuat koneksi IPsec-VPN single-tunnel. Kami sangat menyarankan Anda untuk upgrade ke mode dual-tunnel.

Buat koneksi IPsec-VPN

Sebelum membuat koneksi IPsec-VPN, pastikan Anda telah membuat VPN Gateway dan customer gateway.

VPN gateway Enhanced (konsol)

Buka halaman Koneksi IPsec di konsol VPN Gateway, klik Bind VPN Gateway, lalu konfigurasikan parameter berikut:

  • Name: Masukkan nama deskriptif, misalnya dev-dc01-backup (lingkungan-pengenal_peer-tujuan).

  • Region: Pilih wilayah tempat VPN Gateway diterapkan.

  • Gateway Type: Pilih Enhanced IPsec-VPN.

  • Billing: Secara default, jalur BGP (Multi-ISP) digunakan, dan penagihan didasarkan pada CDT. Anda menerima kuota gratis bulanan sebesar 220 GB (20 GB/bulan di wilayah Tiongkok daratan dan 200 GB/bulan di wilayah luar Tiongkok daratan).

  • Bind VPN Gateway: Pilih VPN Gateway target.

  • Routing Mode:

    • Destination Routing Mode (Default): Meneruskan traffic berdasarkan alamat IP tujuan. Mode ini cocok untuk skenario sederhana.

    • Protected Data Flows: Meneruskan traffic berdasarkan alamat IP sumber dan tujuan. Terowongan VPN hanya mentransmisikan traffic yang sesuai dengan aliran yang ditentukan.

      Jika Anda memilih mode ini, Anda harus mengonfigurasi Local Network (blok CIDR di VPC yang perlu berkomunikasi) dan Remote Network (blok CIDR di pusat data lokal yang perlu berkomunikasi).

      Setelah koneksi IPsec dikonfigurasi, sistem secara otomatis menghasilkan destination route. Destination CIDR Block rute ini adalah Remote Network dari koneksi IPsec, dan lompatan berikutnya mengarah ke koneksi IPsec. Rute ini dapat dipublikasikan ke tabel rute VPC, tetapi tidak dipublikasikan secara default.

      • Saat Anda mengonfigurasi protected data flows di perangkat gateway lokal Anda, pastikan blok CIDR konsisten dengan pengaturan di sisi Alibaba Cloud, tetapi dengan jaringan lokal dan remote saling ditukar.

      • Anda dapat menambahkan beberapa blok CIDR dengan mengklik ikon 添加. Jika Anda mengonfigurasi beberapa blok CIDR, Anda harus mengatur versi IKE ke IKEv2.

  • Effective Immediately: Pilih Ya untuk aktivasi langsung atau mencegah penundaan traffic. Pilih Tidak untuk menghemat sumber daya jika traffic jarang terjadi.

  • BGP Configuration: Lihat Aktifkan atau nonaktifkan BGP.

  • Tunnel Configuration: Lihat Konfigurasi terowongan dan enkripsi untuk detail mengenai konfigurasi parameter untuk Tunnel 1 (Primary) dan Tunnel 1 (Backup).

VPN gateway Traditional (konsol)

Buka halaman Koneksi IPsec di konsol VPN Gateway, klik Bind VPN Gateway, lalu konfigurasikan parameter berikut:

  • Name: Masukkan nama deskriptif, misalnya dev-dc01-backup (lingkungan-pengenal_peer-tujuan).

  • Region: Pilih wilayah tempat VPN Gateway diterapkan.

  • Gateway Type: Pilih Standard VPN Gateway.

  • Bind VPN Gateway: Pilih VPN Gateway target.

  • Routing Mode:

    • Destination Routing Mode (Default): Meneruskan traffic berdasarkan alamat IP tujuan. Mode ini cocok untuk skenario sederhana.

    • Protected Data Flows: Meneruskan traffic berdasarkan alamat IP sumber dan tujuan. Terowongan VPN hanya mentransmisikan traffic yang sesuai dengan aliran yang ditentukan.

      Jika Anda memilih mode ini, Anda harus mengonfigurasi Local Network (blok CIDR di VPC yang perlu berkomunikasi) dan Remote Network (blok CIDR di pusat data lokal yang perlu berkomunikasi).

      Setelah koneksi IPsec dikonfigurasi, sistem secara otomatis menghasilkan policy-based route: Source CIDR Block adalah Local Network dari koneksi IPsec, Destination CIDR Block adalah Remote Network dari koneksi IPsec, dan lompatan berikutnya mengarah ke koneksi IPsec. Rute ini dapat dipublikasikan ke tabel rute VPC secara opsional, tetapi tidak dipublikasikan secara default.

      • Saat Anda mengonfigurasi protected data flows di perangkat gateway lokal Anda, pastikan blok CIDR konsisten dengan pengaturan di sisi Alibaba Cloud, tetapi dengan jaringan lokal dan remote saling ditukar.

      • Anda dapat menambahkan beberapa blok CIDR dengan mengklik ikon 添加. Jika Anda mengonfigurasi beberapa blok CIDR, Anda harus mengatur versi IKE ke IKEv2.

  • Effective Immediately: Pilih Ya untuk aktivasi langsung atau mencegah penundaan traffic. Pilih Tidak untuk menghemat sumber daya jika traffic jarang terjadi.

  • BGP Configuration: Lihat Aktifkan atau nonaktifkan BGP.

  • Tunnel Configuration: Lihat Konfigurasi terowongan dan enkripsi untuk detail mengenai konfigurasi parameter untuk Tunnel 1 (Primary) dan Tunnel 1 (Backup).

API

Panggil operasi CreateVpnConnection untuk membuat koneksi IPsec-VPN.

Langkah selanjutnya

Untuk mengaktifkan komunikasi antara VPC dan pusat data lokal Anda, lengkapi langkah-langkah berikut setelah membuat koneksi IPsec-VPN:

  1. Konfigurasikan rute.

  2. Konfigurasikan perangkat gateway lokal Anda: Gunakan konfigurasi peer yang telah Anda unduh untuk menyelesaikan konfigurasi IPsec dan BGP (jika diaktifkan) di perangkat gateway lokal Anda, seperti firewall atau router.

Aktifkan atau nonaktifkan BGP

Sebelum mengaktifkan BGP untuk koneksi IPsec-VPN, pastikan Autonomous System Number (ASN) untuk jaringan lokal Anda telah dikonfigurasi di customer gateway terkait.

Berikut adalah parameter BGP untuk koneksi IPsec-VPN:

  • Local ASN: ASN untuk sisi Alibaba Cloud setelah BGP diaktifkan. Kedua terowongan menggunakan ASN yang sama. Nilai default: 45104. Rentang nilai: 1 hingga 4294967295. Kami menyarankan menggunakan ASN privat saat Anda mengonfigurasi ASN untuk perangkat lokal Anda.

  • Tunnel CIDR Block: Segmen alamat interkoneksi yang digunakan untuk peering BGP. Setiap terowongan pada VPN Gateway harus memiliki blok CIDR unik. Blok tersebut harus merupakan subnet /30 dalam 169.254.0.0/16 dan tidak boleh 169.254.0.0/30, 169.254.1.0/30, 169.254.2.0/30, 169.254.3.0/30, 169.254.4.0/30, 169.254.5.0/30, atau 169.254.169.252/30.

  • Local BGP IP address: Alamat IP BGP untuk sisi Alibaba Cloud, yang harus termasuk dalam blok CIDR terowongan. Misalnya, jika blok CIDR adalah 169.254.10.0/30, Anda dapat menggunakan 169.254.10.1.

Untuk informasi tentang dukungan fitur BGP, prinsip pengumuman rute, dan batasan, lihat Perutean BGP untuk VPN Gateway.

Konsol

Aktifkan BGP

  • Saat membuat koneksi IPsec-VPN, Anda dapat mengaktifkan BGP Configuration dan mengonfigurasi Local ASN, Tunnel CIDR Block, dan Local BGP IP address untuk mengaktifkan fitur BGP.

  • Untuk koneksi IPsec-VPN yang sudah ada, buka halaman detail instans dan modifikasi BGP Configuration di bagian IPsec Connections.

    Pastikan ASN telah dikonfigurasi untuk customer gateway. Jika tidak, Anda harus menghapus dan membuat ulang customer gateway serta koneksi IPsec-VPN.

Nonaktifkan BGP

Di halaman detail koneksi IPsec-VPN, nonaktifkan BGP Configuration di bagian IPsec Connections.

API

  • Saat membuat koneksi IPsec-VPN baru, atur parameter EnableTunnelsBgp pada operasi CreateVpnConnection untuk mengaktifkan BGP, dan konfigurasikan opsi BGP untuk setiap terowongan dengan mengatur parameter TunnelOptionsSpecification -> TunnelBgpConfig.

  • Untuk koneksi IPsec-VPN yang sudah ada, atur parameter EnableTunnelsBgp pada operasi ModifyVpnConnectionAttribute untuk mengaktifkan atau menonaktifkan BGP, dan konfigurasikan opsi BGP untuk setiap terowongan dengan mengatur parameter TunnelOptionsSpecification -> TunnelBgpConfig.

Terowongan dan enkripsi

Setiap konfigurasi terowongan terdiri dari tiga bagian:

  1. Basic Settings:

    • Customer Gateway: Pilih customer gateway yang merepresentasikan perangkat gateway lokal Anda. Kedua terowongan dapat dikaitkan dengan customer gateway yang sama.

    • Pre-Shared Key: Kunci yang digunakan untuk otentikasi identitas. Kunci untuk kedua terowongan harus persis sama dengan konfigurasi di perangkat gateway lokal Anda. Jika Anda membiarkannya kosong, sistem akan secara otomatis menghasilkan kunci acak.

  2. Encryption Configuration:

    • Enhanced IPsec-VPN: Mendukung mode kompatibilitas multi-algoritma. Sistem memilih beberapa konfigurasi enkripsi secara default dan secara otomatis menegosiasikan algoritma dengan perangkat gateway lokal jika perangkat tersebut juga mendukung mode kompatibilitas multi-algoritma.

    • Traditional VPN Gateway: Anda harus menentukan konfigurasi algoritma tunggal yang sesuai dengan algoritma yang didukung oleh perangkat gateway lokal Anda.

    Parameter

    Deskripsi

    IKE Configurations

    Version

    Kami menyarankan IKEv2. IKEv2 menyederhanakan proses negosiasi SA dan memberikan dukungan lebih baik untuk skenario dengan beberapa blok CIDR.

    Negotiation Mode

    main (Default): Main mode. Mode ini mengenkripsi informasi identitas selama negosiasi, sehingga lebih aman dibandingkan aggressive mode.

    aggressive: Aggressive mode. Mode ini melakukan negosiasi lebih cepat dan memiliki tingkat keberhasilan lebih tinggi.

    Kedua mode menyediakan tingkat keamanan yang sama untuk transmisi data setelah negosiasi berhasil.

    Encryption Algorithm

    Algoritma enkripsi yang digunakan untuk negosiasi Fase 1.

    • Enhanced IPsec-VPN: Mendukung AES128, AES128-GCM-16, AES192, AES256, AES256-GCM-16, DES, dan 3DES.

      • Disarankan: AES128-GCM-16 dan AES256-GCM-16 untuk performa dan keamanan lebih tinggi.

      • Tidak disarankan: DES, 3DES.

    • Traditional VPN Gateway:

      • Dibandingkan Enhanced IPsec-VPN, AES128-GCM-16 dan AES256-GCM-16 tidak didukung.

      • Untuk instans dengan bandwidth 200 Mbps atau lebih tinggi, kami menyarankan menggunakan algoritma enkripsi AES128, AES192, atau AES256. Kami tidak menyarankan menggunakan algoritma enkripsi 3DES.

        • AES adalah algoritma enkripsi kunci simetris yang menyediakan enkripsi dan dekripsi berkekuatan tinggi dengan dampak minimal terhadap latensi jaringan, throughput, dan performa forwarding.

        • 3DES adalah Triple Data Encryption Algorithm. Algoritma ini intensif secara komputasi dan memiliki waktu enkripsi lebih lama, sehingga mengurangi performa forwarding dibandingkan AES.

    Authentication Algorithm

    Algoritma autentikasi yang digunakan untuk negosiasi Fase 1.

    Algoritma yang didukung: sha1 (default), md5, sha256, sha384, dan sha512.

    Saat Anda menambahkan konfigurasi VPN pada beberapa perangkat gateway lokal, Anda mungkin perlu menentukan algoritma PRF. Algoritma PRF harus sama dengan algoritma autentikasi fase IKE.

    DH Group (Perfect Forward Secrecy)

    Algoritma pertukaran kunci Diffie-Hellman untuk negosiasi Fase 1.

    • disabled: Tidak menggunakan algoritma pertukaran kunci DH.

      • Pilih disabled untuk klien yang tidak mendukung PFS.

      • Jika Anda memilih grup apa pun selain disabled, Perfect Forward Secrecy (PFS) diaktifkan secara default. Ini mengharuskan kunci diperbarui selama setiap renegosiasi, sehingga klien terkait juga harus mengaktifkan PFS.

    • group1-group24: Nomor grup DH yang lebih tinggi memberikan keamanan lebih besar tetapi berdampak lebih besar pada performa. Konfirmasi grup DH mana yang didukung oleh perangkat VPN peer Anda, lalu prioritaskan grup ECDH (Group 19, 20, 21) dari daftar grup yang umumnya didukung.

      Traditional VPN Gateway hanya mendukung group1, group2, group5, dan group14.

    SA Life Cycle (seconds)

    Masa berlaku Security Association (SA) Fase 1. Default: 86400. Rentang: 0 hingga 86400.

    LocalId

    Pengenal untuk ujung lokal terowongan. Secara default, alamat IP terowongan digunakan.

    Parameter ini hanya berfungsi sebagai pengenal untuk sisi Alibaba Cloud selama negosiasi koneksi IPsec-VPN. Nilainya dapat berupa alamat IP atau Fully Qualified Domain Name (FQDN) dan tidak boleh mengandung spasi. Kami menyarankan menggunakan alamat IP pribadi sebagai pengenal lokal.

    Jika Anda menggunakan FQDN untuk LocalId, seperti example.aliyun.com, ID peer di perangkat gateway lokal harus sesuai dengan nilai LocalId, dan kami menyarankan mengatur mode negosiasi ke aggressive.

    RemoteId

    Pengenal untuk ujung remote terowongan. Secara default, alamat IP customer gateway terkait digunakan.

    Parameter ini hanya berfungsi sebagai pengenal untuk perangkat gateway lokal selama negosiasi koneksi IPsec-VPN. Nilainya dapat berupa alamat IP atau FQDN (Fully Qualified Domain Name) dan tidak boleh mengandung spasi. Kami menyarankan menggunakan alamat IP pribadi sebagai pengenal remote.

    Jika Anda menggunakan FQDN untuk RemoteId, seperti example.aliyun.com, ID lokal di perangkat gateway lokal harus sesuai dengan nilai RemoteId, dan kami menyarankan mengatur mode negosiasi ke aggressive.

    IPsec Configurations

    Encryption Algorithm

    Konfigurasikan pengaturan untuk negosiasi Fase 2. Anda dapat merujuk ke opsi yang sesuai di IKE Configurations Fase 1 untuk deskripsi.

    Authentication Algorithm

    DH Group (Perfect Forward Secrecy)

    SA Life Cycle (seconds)

    DPD

    DPD (Dead Peer Detection). Kami menyarankan agar fitur ini selalu diaktifkan (default). Fitur ini mendeteksi kegagalan peer secara cepat dan memicu failover, yang penting untuk memastikan ketersediaan tinggi.

    Setelah DPD diaktifkan, koneksi IPsec-VPN mengirim paket DPD untuk memeriksa apakah perangkat peer aktif. Jika tidak ada respons valid yang diterima dalam waktu tertentu, peer dianggap terputus. Sistem menghapus ISAKMP SA dan IPsec SA terkait, serta menghapus terowongan keamanan. Setelah timeout DPD, koneksi IPsec-VPN secara otomatis memulai kembali negosiasi terowongan. Periode timeout paket DPD adalah 30 detik.

    Untuk beberapa instans VPN Gateway yang ada yang menggunakan IKEv2 untuk koneksi IPsec-VPN, periode timeout DPD mungkin 130 detik atau 3600 detik. Dalam kasus ini, Anda dapat upgrade instans VPN Gateway ke versi terbaru.

    NAT Traversal

    Kami menyarankan agar fitur ini tetap diaktifkan (default). Saat diaktifkan, proses negosiasi IKE melewati verifikasi nomor port UDP dan dapat mendeteksi perangkat gateway NAT di saluran komunikasi terenkripsi.

  3. BGP Configuration: Opsi ini hanya tersedia setelah BGP diaktifkan. Untuk informasi lebih lanjut, lihat Aktifkan atau nonaktifkan BGP.

Konsol

  • Saat membuat koneksi IPsec-VPN, Anda dapat langsung mengonfigurasi parameter terkait terowongan.

  • Untuk koneksi IPsec-VPN yang sudah ada, klik Instance ID dari koneksi IPsec-VPN target untuk membuka halaman detail. Di kolom Actions terowongan target, klik Edit untuk memodifikasi konfigurasi terowongan.

Penting

Saat membuat koneksi IPsec-VPN dalam mode dual-tunnel, pastikan kedua terowongan dikonfigurasi dan tersedia. Jika Anda hanya mengonfigurasi atau menggunakan satu terowongan, Anda tidak dapat memanfaatkan kemampuan redundansi tautan aktif-cadangan dan pemulihan bencana tingkat zona dari koneksi IPsec-VPN.

API

Panggil operasi ModifyTunnelAttribute untuk memodifikasi konfigurasi terowongan.

Modifikasi koneksi IPsec-VPN

Jika koneksi IPsec-VPN sudah dikaitkan dengan instans VPN Gateway, Anda tidak dapat mengubah instans terkait. Anda hanya dapat memodifikasi pengaturan Routing Mode dan Effective Immediately dari koneksi IPsec-VPN.

Konsol

  1. Buka halaman Koneksi IPsec di konsol VPC, alihkan ke wilayah target, lalu klik Edit di kolom Actions koneksi IPsec-VPN target.

  2. Di halaman Modify IPsec-VPN Connection, modifikasi pengaturan seperti nama koneksi dan segmen jaringan, lalu klik OK.

    Untuk deskripsi detail parameter, lihat Buat koneksi IPsec-VPN.

API

Panggil operasi ModifyVpnConnectionAttribute untuk memodifikasi konfigurasi koneksi IPsec-VPN.

Hapus koneksi IPsec-VPN

Konsol

  1. Buka halaman Koneksi IPsec di konsol VPC, alihkan ke wilayah target, lalu klik Delete di kolom Actions koneksi IPsec-VPN target.

  2. Di kotak dialog yang muncul, konfirmasi informasi, lalu klik OK.

API

Panggil operasi DeleteVpnConnection untuk menghapus koneksi IPsec-VPN.

Penagihan

FAQ

Negosiasi Fase 1 gagal

Jika Anda telah menyelesaikan konfigurasi IPsec di Alibaba Cloud dan pusat data lokal Anda, periksa masalah umum berikut:

  1. Ketidaksesuaian pre-shared key: Verifikasi pre-shared key di gateway Alibaba Cloud dan gateway lokal. Keduanya harus identik, termasuk huruf besar/kecil dan karakter khusus.

  2. Ketidaksesuaian parameter IKE: Pastikan semua parameter IKE (Versi, Mode Negosiasi, Algoritma Enkripsi, Algoritma Autentikasi, Grup DH) sama persis di kedua sisi.

  3. Konektivitas jaringan: Konfirmasi bahwa alamat IP publik gateway lokal Anda dapat dijangkau. Pastikan tidak ada kebijakan firewall atau ISP yang memblokir port UDP 500 dan 4500.

Terowongan aktif tetapi tidak ada konektivitas

Negosiasi terowongan yang berhasil hanya mengonfirmasi bahwa saluran terenkripsi telah dibangun. Transmisi data bergantung pada hal berikut:

  1. Konfigurasi rute: Verifikasi bahwa tabel rute di VPC Alibaba Cloud dan pusat data lokal Anda mengarahkan traffic ke koneksi IPsec-VPN dengan benar.

  2. Security group dan network ACL: Pastikan aturan security group untuk Instance ECS Anda mengizinkan traffic ICMP atau layanan lain dari jaringan lokal.

  3. Kebijakan firewall lokal: Periksa apakah firewall lokal Anda mengizinkan traffic dari blok CIDR VPC.

Mengapa saya tidak dapat mengaktifkan BGP?

Hal ini terjadi karena customer gateway yang Anda kaitkan dengan koneksi IPsec-VPN tidak memiliki Autonomous System Number (ASN) yang dikonfigurasi. Anda harus menghapus koneksi IPsec-VPN saat ini, membuat customer gateway baru yang memiliki ASN yang dikonfigurasi, lalu menggunakan customer gateway baru tersebut untuk membuat koneksi IPsec-VPN.

Bisakah Terowongan 2 menjadi terowongan aktif?

Tidak. Terowongan 1 (menggunakan alamat IP VPN Gateway 1) tetap sebagai terowongan aktif, dan Terowongan 2 (menggunakan alamat IP VPN Gateway 2) tetap sebagai terowongan cadangan. Peran ini tidak dapat diubah.

Bisakah saya membuat koneksi IPsec-VPN single-tunnel?

Mode single-tunnel adalah fitur lama. Koneksi IPsec-VPN yang baru dibuat tidak lagi mendukung mode single-tunnel.

Untuk VPN Gateway Traditional single-tunnel yang sudah ada, kami sangat menyarankan Anda untuk upgrade koneksi IPsec-VPN ke mode dual-tunnel.

Langkah-langkah berikut menjelaskan cara membuat koneksi IPsec-VPN untuk instans single-tunnel lama (tidak disarankan):

Membuat koneksi IPsec-VPN untuk instans VPN Gateway single-tunnel

1. Konfigurasikan koneksi IPsec

Sebelum membuat koneksi IPsec-VPN, pastikan Anda telah membuat customer gateway.

Konsol

Buka halaman Koneksi IPsec di konsol VPN Gateway, klik Bind VPN Gateway, lalu konfigurasikan parameter berikut:

IPsec Settings
  • Pilih Region tempat VPN Gateway diterapkan dan pilih instans yang sesuai.

  • Routing Mode:

    • Destination Routing Mode (Default): Meneruskan traffic berdasarkan alamat IP tujuan. Mode ini cocok untuk skenario di mana rute dipelajari secara dinamis melalui BGP atau dikonfigurasi secara statis di VPN Gateway. Mode ini mudah dikonfigurasi.

    • Protected Data Flows: Meneruskan traffic berdasarkan alamat IP sumber dan tujuan. Mode ini cocok untuk skenario jaringan kompleks di mana Anda ingin mengizinkan komunikasi hanya antara segmen jaringan tertentu. Jika Anda memilih mode ini, Anda harus mengonfigurasi Local Network (blok CIDR di VPC yang perlu berkomunikasi) dan Remote Network (blok CIDR di pusat data lokal yang perlu berkomunikasi).

      Setelah koneksi IPsec dikonfigurasi, sistem secara otomatis menghasilkan policy-based route: Source CIDR Block adalah Local Network dari koneksi IPsec, Destination CIDR Block adalah Remote Network dari koneksi IPsec, dan lompatan berikutnya mengarah ke koneksi IPsec. Anda dapat mempublikasikan rute ke tabel rute VPC secara opsional (tidak dipublikasikan secara default).

      • Saat Anda mengonfigurasi protected data flows di perangkat gateway lokal Anda, pastikan blok CIDR konsisten dengan pengaturan di sisi Alibaba Cloud, tetapi dengan jaringan lokal dan remote saling ditukar.

      • Anda dapat menambahkan beberapa blok CIDR dengan mengklik ikon 添加. Jika Anda mengonfigurasi beberapa blok CIDR, Anda harus mengatur versi IKE ke IKEv2.

  • Effective Immediately: Pilih Ya untuk aktivasi langsung atau mencegah penundaan traffic. Pilih Tidak untuk menghemat sumber daya jika traffic jarang terjadi.

Basic Settings
  • Customer Gateway: Pilih customer gateway yang merepresentasikan perangkat gateway lokal Anda. Kedua terowongan dapat dikaitkan dengan customer gateway yang sama.

  • Pre-Shared Key: Kunci yang digunakan untuk otentikasi identitas. Kunci untuk kedua terowongan harus persis sama dengan konfigurasi di perangkat gateway lokal Anda. Jika Anda membiarkannya kosong, sistem akan secara otomatis menghasilkan kunci acak.

  • BGP Configuration: Menentukan apakah akan menggunakan perutean dinamis BGP.

    • Disabled (Default): Menggunakan perutean statis. Mode ini cocok untuk topologi jaringan sederhana.

    • Enabled: Mode ini cocok untuk topologi jaringan kompleks yang memerlukan pengumuman dan pembelajaran rute otomatis. Prasyarat: ASN harus dikonfigurasi untuk customer gateway terkait.

  • Local ASN: ASN untuk sisi Alibaba Cloud setelah BGP diaktifkan. Nilai default adalah 45104. Nilainya dapat berupa bilangan bulat dari 1 hingga 4294967295. Kami menyarankan menggunakan ASN privat saat Anda mengonfigurasi ASN untuk perangkat lokal Anda.

  • Encryption Configuration: Lihat Konfigurasi terowongan dan enkripsi.

  • Health Check: Fitur ini dinonaktifkan secara default. Untuk koneksi IPsec-VPN yang tidak dalam konfigurasi aktif-cadangan, kami tidak menyarankan mengonfigurasi pemeriksaan kesehatan. Jika Anda mengonfigurasi pemeriksaan kesehatan, pastikan Destination IP Address mendukung balasan ICMP dan tambahkan entri rute di pusat data lokal Anda. Tujuan rute ini harus berupa Source IP Address dengan subnet mask 32-bit, dan lompatan berikutnya harus mengarah ke koneksi IPsec-VPN agar fitur pemeriksaan kesehatan berfungsi sebagaimana mestinya.

API

Panggil operasi CreateVpnConnection untuk membuat koneksi IPsec-VPN.

2. Konfigurasikan rute gateway VPN dan VPC

Konfigurasikan rute seperti yang dijelaskan di Konfigurasikan rute.

3. Konfigurasikan gateway lokal

Selesaikan konfigurasi IPsec dan BGP (jika diaktifkan) di perangkat gateway lokal Anda berdasarkan konfigurasi peer yang telah Anda unduh. Untuk petunjuk detail, rujuk dokumentasi perangkat Anda. Sebagai contoh, lihat Konfigurasikan perangkat gateway lokal.