Mengelola koneksi IPsec-VPN single-tunnel yang terhubung ke router transit - VPN Gateway

Koneksi IPsec-VPN yang terhubung ke router transit telah ditingkatkan ke mode dual-tunnel. Anda tidak dapat lagi membuat koneksi IPsec-VPN single-tunnel. Topik ini menjelaskan cara mengelola dan memodifikasi koneksi IPsec-VPN single-tunnel yang sudah ada.

Memodifikasi koneksi IPsec-VPN

Jika koneksi IPsec-VPN terhubung ke router transit, Anda tidak dapat memodifikasi router transit terkait, zona, atau jenis gateway. Namun, Anda dapat memodifikasi gateway pelanggan terkait, mode perutean, kunci pra-bersama, dan konfigurasi enkripsi.
Jika koneksi IPsec-VPN tidak terhubung ke sumber daya apa pun, Anda tidak dapat memodifikasi jenis gateway. Namun, Anda dapat memodifikasi gateway pelanggan, mode perutean, kunci pra-bersama, dan konfigurasi enkripsi.

Masuk ke Konsol Gateway VPN.
Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.
Di bilah navigasi atas, pilih wilayah koneksi IPsec-VPN.
Pada halaman IPsec Connections, temukan koneksi IPsec-VPN yang ingin Anda kelola, lalu klik Edit di kolom Actions.

Pada halaman Edit IPsec-VPN Connection, modifikasi nama, konfigurasi enkripsi, dan blok CIDR koneksi IPsec-VPN, lalu klik OK.

Konfigurasi dasar

Item konfigurasi	Deskripsi
Routing Mode	Pilih mode perutean untuk koneksi IPsec-VPN. Destination-based Routing Mode (default): Merutekan dan meneruskan lalu lintas berdasarkan alamat IP tujuan. Policy-based Routing Mode: Merutekan dan meneruskan lalu lintas secara tepat berdasarkan alamat IP sumber dan tujuan. Jika Anda memilih Policy-based Routing Mode, Anda harus mengonfigurasi Local CIDR Block dan Remote CIDR Block. Setelah koneksi IPsec-VPN dikonfigurasi, sistem secara otomatis menambahkan rute berbasis tujuan ke tabel rute koneksi IPsec-VPN. Rute tersebut diiklankan ke tabel rute router transit yang terkait dengan koneksi IPsec-VPN secara default.
Local CIDR Block	Jika Anda mengatur Routing Mode ke Policy-based Routing Mode, masukkan blok CIDR di sisi Alibaba Cloud yang perlu berkomunikasi dengan pusat data. Selama negosiasi Fase 2, kami merekomendasikan agar Local CIDR Block di sisi Alibaba Cloud sama dengan blok CIDR jarak jauh di sisi pusat data. Klik ikon di sebelah kanan kotak teks untuk menambahkan beberapa blok CIDR di sisi Alibaba Cloud yang perlu berkomunikasi dengan pusat data. Catatan Jika Anda mengonfigurasi beberapa blok CIDR, Anda harus mengatur versi IKE ke ikev2.
Remote CIDR Block	Jika Anda mengatur Routing Mode ke Policy-based Routing Mode, masukkan blok CIDR pusat data yang perlu berkomunikasi dengan Alibaba Cloud. Selama negosiasi Fase 2, kami merekomendasikan agar Remote CIDR Block di sisi Alibaba Cloud sama dengan blok CIDR lokal di sisi pusat data. Klik ikon di sebelah kanan kotak teks untuk menambahkan beberapa blok CIDR pusat data yang perlu berkomunikasi dengan Alibaba Cloud. Catatan Jika Anda mengonfigurasi beberapa blok CIDR, Anda harus mengatur versi IKE ke ikev2.
Effective Immediately	Menentukan apakah konfigurasi koneksi IPsec-VPN langsung berlaku. Yes (default): Sistem segera memulai negosiasi IPsec setelah konfigurasi selesai. No: Sistem memulai negosiasi IPsec hanya ketika lalu lintas terdeteksi.
Customer Gateway	Pilih gateway pelanggan untuk dikaitkan dengan koneksi IPsec-VPN.
Pre-Shared Key	Masukkan kunci autentikasi untuk koneksi IPsec-VPN. Kunci ini digunakan untuk otentikasi identitas antara instans router transit dan pusat data. Kunci dapat memiliki panjang 1 hingga 100 karakter dan dapat berisi angka, huruf, serta karakter khusus berikut: ~`!@#$%^&()_-+={}[]\\|;:',.<>/?. Kunci tidak boleh mengandung spasi. Penting* Kunci pra-bersama di kedua sisi koneksi IPsec-VPN harus sama. Jika tidak, koneksi IPsec-VPN tidak dapat dibuat.
Enable BGP	Jika Anda ingin menggunakan perutean dinamis BGP untuk koneksi IPsec-VPN, aktifkan sakelar ini. BGP dinonaktifkan secara default. Sebelum menggunakan perutean dinamis BGP, kami merekomendasikan agar Anda memahami cara kerjanya dan batasannya. Untuk informasi selengkapnya, lihat Konfigurasi perutean dinamis BGP.
Local ASN	Nomor sistem otonom (ASN) koneksi IPsec-VPN di sisi Alibaba Cloud. Parameter ini wajib diisi jika Anda mengaktifkan Protokol Gateway Perbatasan (BGP). Nilai default: 45104. Rentang nilai: 1 To 4294967295. Catatan Kami merekomendasikan agar Anda menggunakan nomor AS privat untuk membuat koneksi BGP dengan Alibaba Cloud. Untuk informasi mengenai rentang nomor AS privat, lihat dokumentasi terkait.

Konfigurasi enkripsi

Konfigurasi	Deskripsi
Encryption Configurations: IKE Configurations
Version	Pilih versi IKE. ikev1 ikev2 (default) Dibandingkan dengan IKEv1, IKEv2 menyederhanakan proses negosiasi asosiasi keamanan (SA) dan memberikan dukungan yang lebih baik untuk beberapa blok CIDR. Kami merekomendasikan agar Anda menggunakan IKEv2.
Negotiation Mode	Pilih mode negosiasi. main (default): Mode utama memberikan keamanan tinggi selama negosiasi. aggressive: Mode agresif lebih cepat dan memiliki tingkat keberhasilan yang lebih tinggi. Kedua mode memberikan keamanan yang sama untuk transmisi data setelah negosiasi berhasil.
Encryption Algorithm	Pilih algoritma enkripsi untuk negosiasi Fase 1. Algoritma enkripsi berikut didukung: aes (aes128, default), aes192, aes256, des, dan 3des. Catatan Gunakan algoritma aes, aes192, atau aes256. Jangan gunakan algoritma des atau 3des. Advanced Encryption Standard (AES) adalah algoritma kriptografi kunci simetris yang menyediakan enkripsi dan dekripsi kuat. AES menjamin transmisi data yang aman dan memiliki dampak kecil terhadap latensi jaringan, throughput, dan kinerja penerusan. 3des adalah Triple Data Encryption Algorithm. Algoritma ini memerlukan waktu enkripsi yang lama, memiliki kompleksitas algoritma tinggi, dan menggunakan sumber daya komputasi yang signifikan. Dibandingkan dengan AES, 3des mengurangi kinerja penerusan.
Authentication Algorithm	Pilih algoritma autentikasi untuk negosiasi Fase 1. Algoritma autentikasi berikut didukung: sha1 (default), md5, sha256, sha384, dan sha512.
DH Group	Pilih algoritma pertukaran kunci Diffie-Hellman untuk negosiasi Fase 1. group1: DH1 dalam grup DH. group2 (default): DH2 dalam grup DH. group5: DH5 dalam grup DH. group14: DH14 dalam grup DH.
SA Lifetime (seconds)	Tentukan masa pakai SA setelah negosiasi Fase 1 berhasil. Satuan: detik. Nilai default: 86400. Rentang valid: 0 To 86400.
LocalId	Pengidentifikasi sisi Alibaba Cloud dari koneksi IPsec-VPN. Digunakan untuk negosiasi Fase 1. Nilai default adalah alamat IP gateway koneksi IPsec-VPN. Parameter ini hanya berfungsi sebagai pengidentifikasi Alibaba Cloud dalam negosiasi koneksi IPsec-VPN dan tidak memiliki tujuan lain. Nilainya dapat berupa alamat IP atau Nama Domain yang Memenuhi Syarat Penuh (FQDN) dan tidak boleh mengandung spasi. Kami merekomendasikan agar Anda menggunakan alamat IP pribadi sebagai pengidentifikasi sisi Alibaba Cloud. Jika Anda menggunakan FQDN untuk LocalId, seperti example.aliyun.com, ID jarak jauh koneksi IPsec-VPN di sisi pusat data harus sama dengan nilai LocalId. Kami merekomendasikan agar Anda mengatur mode negosiasi ke aggressive.
RemoteId	Pengidentifikasi sisi pusat data dari koneksi IPsec-VPN. Digunakan untuk negosiasi Fase 1. Nilai default adalah alamat IP gateway pelanggan. Parameter ini hanya berfungsi sebagai pengidentifikasi pusat data dalam negosiasi koneksi IPsec-VPN dan tidak memiliki tujuan lain. Nilainya dapat berupa alamat IP atau FQDN dan tidak boleh mengandung spasi. Kami merekomendasikan agar Anda menggunakan alamat IP pribadi sebagai pengidentifikasi sisi pusat data. Jika Anda menggunakan FQDN untuk RemoteId, seperti example.aliyun.com, ID lokal koneksi IPsec-VPN di sisi pusat data harus sama dengan nilai RemoteId. Kami merekomendasikan agar Anda mengatur mode negosiasi ke aggressive.
Encryption Configurations: IPsec Configurations
Encryption Algorithm	Pilih algoritma enkripsi untuk negosiasi Fase 2. Algoritma enkripsi berikut didukung: aes (aes128, default), aes192, aes256, des, dan 3des. Catatan Gunakan algoritma aes, aes192, atau aes256. Jangan gunakan algoritma des atau 3des. Advanced Encryption Standard (AES) adalah algoritma kriptografi kunci simetris yang menyediakan enkripsi dan dekripsi kuat. AES menjamin transmisi data yang aman dan memiliki dampak kecil terhadap latensi jaringan, throughput, dan kinerja penerusan. 3des adalah Triple Data Encryption Algorithm. Algoritma ini memerlukan waktu enkripsi yang lama, memiliki kompleksitas algoritma tinggi, dan menggunakan sumber daya komputasi yang signifikan. Dibandingkan dengan AES, 3des mengurangi kinerja penerusan.
Authentication Algorithm	Pilih algoritma autentikasi untuk negosiasi Fase 2. Algoritma autentikasi berikut didukung: sha1 (default), md5, sha256, sha384, dan sha512.
DH Group	Pilih algoritma pertukaran kunci Diffie-Hellman untuk negosiasi Fase 2. disabled: Algoritma pertukaran kunci DH tidak digunakan. Untuk klien yang tidak mendukung Perfect Forward Secrecy (PFS), pilih disabled. Jika Anda memilih grup apa pun selain disabled, PFS diaktifkan secara default. Hal ini mengharuskan kunci diperbarui selama setiap renegosiasi. Oleh karena itu, klien juga harus mengaktifkan PFS. group1: DH1 dalam grup DH. group2 (default): DH2 dalam grup DH. group5: DH5 dalam grup DH. group14: DH14 dalam grup DH.
SA Lifetime (seconds)	Tentukan masa pakai SA setelah negosiasi Fase 2 berhasil. Satuan: detik. Nilai default: 86400. Rentang valid: 0 To 86400.
DPD	Menentukan apakah akan mengaktifkan Dead Peer Detection (DPD). DPD diaktifkan secara default. Setelah Anda mengaktifkan DPD, koneksi IPsec-VPN mengirim pesan DPD untuk memeriksa apakah perangkat peer aktif. Jika tidak ada tanggapan yang diterima dalam periode tertentu, peer dianggap terputus. Koneksi IPsec-VPN kemudian menghapus ISAKMP SA dan IPsec SA yang sesuai, serta terowongan keamanan juga dihapus. Setelah waktu habis DPD, koneksi IPsec-VPN secara otomatis memulai kembali negosiasi terowongan IPsec-VPN. Periode waktu habis DPD adalah 30 detik.
NAT Traversal	Menentukan apakah akan mengaktifkan penelusuran Translasi Alamat Jaringan (NAT). Penelusuran NAT diaktifkan secara default. Setelah Anda mengaktifkan penelusuran NAT, verifikasi nomor port UDP dihapus dari proses negosiasi IKE. Hal ini juga membantu Anda menemukan perangkat gateway NAT dalam saluran komunikasi terenkripsi.

BGP Configuration

Jika Anda mengaktifkan BGP untuk koneksi IPsec-VPN, Anda harus menentukan blok CIDR terowongan BGP dan alamat IP BGP di sisi Alibaba Cloud.

Item konfigurasi

Deskripsi

Tunnel CIDR Block

Masukkan blok CIDR untuk terowongan IPsec.

Blok CIDR terowongan harus berupa subnet /30 dalam 169.254.0.0/16. Blok tersebut tidak boleh berupa 169.254.0.0/30, 169.254.1.0/30, 169.254.2.0/30, 169.254.3.0/30, 169.254.4.0/30, 169.254.5.0/30, 169.254.6.0/30, atau 169.254.169.252/30.

Local BGP IP address

Masukkan alamat IP BGP untuk sisi Alibaba Cloud dari koneksi IPsec-VPN.

Alamat ini harus merupakan alamat IP dalam blok CIDR terowongan.

Pemeriksaan kesehatan

Pemeriksaan kesehatan dinonaktifkan secara default. Sebelum menambahkan konfigurasi pemeriksaan kesehatan, aktifkan fitur pemeriksaan kesehatan terlebih dahulu.

Penting

Setelah Anda mengonfigurasi pemeriksaan kesehatan untuk koneksi IPsec-VPN, tambahkan entri rute di sisi pusat data. Atur blok CIDR tujuan ke Source IP Address dengan masker subnet 32 bit, dan atur lompatan berikutnya ke koneksi IPsec-VPN. Hal ini memastikan bahwa fitur pemeriksaan kesehatan berfungsi sebagaimana mestinya.

Item konfigurasi	Deskripsi
Destination IP Address	Masukkan alamat IP pusat data yang dapat diakses dari sisi Alibaba Cloud melalui koneksi IPsec-VPN. Catatan Pastikan alamat IP tujuan mendukung balasan ICMP.
Source IP Address	Masukkan alamat IP di sisi Alibaba Cloud yang dapat diakses dari pusat data melalui koneksi IPsec-VPN.
Retry Interval	Pilih interval pengulangan pemeriksaan kesehatan. Satuan: detik. Nilai default: 3.
Number of Retries	Pilih jumlah pengulangan pemeriksaan kesehatan. Nilai default: 3.
Switch Route	Menentukan apakah sistem diizinkan mencabut rute yang diiklankan setelah pemeriksaan kesehatan gagal. Nilai default: Yes. Artinya, setelah pemeriksaan kesehatan gagal, sistem diizinkan mencabut rute yang diiklankan. Jika Anda menghapus centang pada kotak Yes, sistem tidak akan mencabut rute yang diiklankan setelah pemeriksaan kesehatan gagal.

Berikan otorisasi lintas akun dari koneksi IPsec-VPN ke instans router transit

Jika Anda memilih Cross-account Attachment untuk Cloud Enterprise Network Option saat membuat koneksi IPsec-VPN, Anda harus memberikan otorisasi ke router transit lintas akun setelah koneksi dibuat. Untuk melakukannya, ikuti langkah-langkah berikut.

Catatan

Sebelum memberikan otorisasi, pastikan koneksi IPsec-VPN belum terhubung ke router transit. Jika koneksi IPsec-VPN sudah terhubung ke router transit, lepaskan terlebih dahulu. Untuk informasi selengkapnya, lihat Hapus koneksi instans jaringan.

Masuk ke Konsol Gateway VPN.
Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.
Di bilah navigasi atas, pilih wilayah koneksi IPsec-VPN.
Pada halaman IPsec Connections, temukan koneksi IPsec-VPN target, lalu klik ID-nya.
Pada halaman produk koneksi IPsec-VPN, klik tab CEN Cross-account Authorization, lalu klik CEN Cross-account Authorization.

Pada kotak dialog Join Cloud Enterprise Network, konfigurasikan parameter berikut, lalu klik OK.

Item konfigurasi	Deskripsi
Peer Account UID	ID akun Alibaba Cloud tempat instans router transit berada.
Peer CEN Instance ID	ID instans CEN tempat instans router transit berada.
Payer	Pilih pihak yang membayar biaya. CEN User (default): Akun pemilik instans router transit membayar biaya koneksi dan biaya transfer data untuk router transit setelah koneksi IPsec-VPN terhubung. VPN User: Akun pemilik koneksi IPsec-VPN membayar biaya koneksi dan biaya transfer data untuk router transit setelah koneksi IPsec-VPN terhubung. Penting Pilih pembayar dengan hati-hati. Mengubah pembayar dapat memengaruhi layanan Anda. Untuk informasi selengkapnya, lihat Ubah pembayar untuk instans jaringan. Akun pemilik koneksi IPsec-VPN tetap membayar biaya instans dan biaya transfer data untuk koneksi IPsec-VPN setelah terhubung ke instans router transit.

Catat ID koneksi IPsec-VPN dan ID akun Alibaba Cloud tempat koneksi IPsec-VPN berada. Anda memerlukan informasi ini untuk membuat koneksi VPN nanti. Untuk informasi selengkapnya, lihat Buat koneksi VPN.
Anda dapat melihat ID akun di halaman Manajemen Akun.

Cabut otorisasi lintas akun dari koneksi IPsec-VPN ke instans router transit

Jika koneksi IPsec-VPN tidak lagi perlu terhubung ke router transit lintas akun, Anda dapat mencabut otorisasi tersebut.

Jika router transit lintas akun sudah terhubung ke koneksi IPsec-VPN, lepaskan terlebih dahulu. Untuk informasi selengkapnya, lihat Hapus koneksi instans jaringan.

Hapus koneksi IPsec-VPN

Jika koneksi IPsec-VPN terhubung ke router transit, pastikan koneksi tersebut telah dilepaskan dari router transit sebelum melanjutkan. Untuk informasi selengkapnya, lihat Hapus koneksi instans jaringan.

Masuk ke Konsol Gateway VPN.
Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.
Di bilah navigasi atas, pilih wilayah koneksi IPsec-VPN.
Pada halaman IPsec Connections, temukan koneksi IPsec-VPN target, lalu klik Delete di kolom Actions.
Pada kotak dialog yang muncul, konfirmasi informasi, lalu klik OK.

Kelola koneksi IPsec-VPN dengan memanggil operasi API

Anda dapat mengelola koneksi IPsec-VPN dengan memanggil operasi API menggunakan alat seperti Alibaba Cloud SDK (direkomendasikan), Alibaba Cloud CLI, Terraform, dan Resource Orchestration Service. Untuk informasi selengkapnya mengenai operasi API, lihat topik berikut: