Cara membuat koneksi IPsec-VPN dual-tunnel yang dikaitkan dengan router transit - VPN Gateway

Anda dapat membuat koneksi IPsec-VPN untuk menetapkan saluran komunikasi terenkripsi antara pusat data dan router transit. Topik ini menjelaskan cara membuat dan mengelola koneksi IPsec-VPN dalam mode dual-tunnel.

Prasyarat

Sebelum membuat koneksi IPsec-VPN, kami menyarankan Anda memahami arsitektur jaringan koneksi IPsec-VPN dalam mode dual-tunnel.
Selesaikan semua langkah prasyarat yang dijelaskan dalam prosedur.

Buat koneksi IPsec-VPN

Masuk ke Konsol Gateway VPN.
Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.
Pada halaman IPsec Connections, klik Bind CEN.

Pada halaman Create IPsec-VPN Connection (CEN), konfigurasikan koneksi IPsec-VPN seperti dijelaskan di bawah ini, lalu klik OK.

Konfigurasi dasar

Catatan

Saat Anda membuat gateway VPN atau koneksi IPsec-VPN yang dikaitkan dengan router transit untuk pertama kalinya, sistem secara otomatis membuat peran terkait layanan AliyunServiceRoleForVpn. Peran ini memungkinkan gateway VPN mengakses sumber daya cloud lainnya, seperti elastic network interfaces (ENIs) dan grup keamanan, yang diperlukan untuk membuat gateway VPN atau koneksi IPsec-VPN. Sistem tidak akan membuat ulang peran tersebut jika sudah ada. Untuk informasi selengkapnya tentang AliyunServiceRoleForVpn, lihat AliyunServiceRoleForVpn.

Konfigurasi	Deskripsi
Name	Tentukan nama untuk koneksi IPsec-VPN.
Region	Pilih wilayah router transit yang akan disambungkan. Koneksi IPsec-VPN dibuat di wilayah yang sama dengan router transit.
Resource Group	Pilih kelompok sumber daya untuk instans CEN. Jika Anda membiarkan parameter ini kosong, sistem akan menampilkan instans CEN di semua kelompok sumber daya.
Gateway Type	Pilih jenis jaringan untuk koneksi IPsec-VPN. Public (default): Koneksi IPsec-VPN dibuat melalui Internet. Private: Koneksi IPsec-VPN dibuat melalui jaringan pribadi untuk mengenkripsi lalu lintas pribadi.
Attach CEN	Pilih akun yang memiliki router transit. Attach To Current Account: Jika Anda memilih opsi ini, tentukan instans Cloud Enterprise Network (CEN) yang dimiliki oleh akun Anda. Saat koneksi IPsec-VPN dibuat, sistem secara otomatis menyambungkannya ke router transit di wilayah saat ini dari instans CEN. Attach To Another Account: Jika Anda memilih opsi ini, koneksi IPsec-VPN tidak akan disambungkan ke router transit secara default setelah dibuat. Di halaman produk koneksi IPsec-VPN, berikan otorisasi lintas akun. Kemudian, sambungkan koneksi IPsec-VPN ke router transit di akun lain. Jika otorisasi lintas akun tidak diberikan, koneksi IPsec-VPN hanya dapat disambungkan ke router transit yang dimiliki oleh akun Anda. Catatan Untuk mengubah router transit yang disambungkan, pertama-tama lepaskan koneksi VPN dari router transit saat ini. Kemudian, buat koneksi VPN pada router transit baru.
CEN Instance ID	Pilih instans CEN tempat router transit berada. Sistem menampilkan ID instans dan blok CIDR dari router transit yang dibuat oleh instans CEN di wilayah saat ini. Koneksi IPsec-VPN akan disambungkan ke router transit tersebut. Catatan Parameter ini wajib diisi hanya ketika Bind CEN diatur ke Current Account.
Routing Mode	Pilih mode perutean untuk koneksi IPsec-VPN. Destination Routing Mode (default): Merutekan dan meneruskan lalu lintas berdasarkan alamat IP tujuan. Protected Data Flows: Merutekan dan meneruskan lalu lintas berdasarkan alamat IP sumber dan tujuan. Jika Anda memilih Protected Data Flows, konfigurasikan Local Network dan Remote Network. Setelah koneksi IPsec-VPN dikonfigurasi, sistem secara otomatis menambahkan rute berbasis tujuan ke tabel rute koneksi IPsec-VPN. Secara default, rute tersebut diiklankan ke tabel rute router transit yang dikaitkan dengan koneksi IPsec-VPN.
Local Network	Jika Routing Mode diatur ke Protected Data Flows, Anda harus memasukkan blok CIDR di sisi Alibaba Cloud yang akan disambungkan ke pusat data. Negosiasi Fase 2 didasarkan pada aliran data yang dilindungi di kedua sisi. Kami menyarankan agar Anda menjaga nilai Local Network di sisi Alibaba Cloud sama dengan jaringan remote di sisi pusat data. Klik ikon di sebelah kanan kotak teks untuk menambahkan beberapa blok CIDR di sisi Alibaba Cloud. Catatan Jika Anda mengonfigurasi beberapa blok CIDR, Anda harus mengatur Versi IKE ke ikev2.
Remote Network	Jika Routing Mode diatur ke Protected Data Flows, masukkan blok CIDR pusat data lokal. Negosiasi Fase 2 didasarkan pada aliran data yang dilindungi di kedua sisi. Pastikan bahwa Remote Network di sisi Alibaba Cloud sesuai dengan jaringan lokal pusat data. Klik ikon di sebelah kanan kotak teks untuk menambahkan beberapa blok CIDR di sisi pusat data. Catatan Jika Anda mengonfigurasi beberapa blok CIDR, atur Versi IKE ke ikev2.
Immediately Effective	Tentukan apakah konfigurasi koneksi IPsec-VPN langsung berlaku. Yes (default): Sistem segera memulai negosiasi IPsec setelah konfigurasi selesai. No: Sistem memulai negosiasi IPsec hanya ketika lalu lintas terdeteksi.

Konfigurasi terowongan

Penting

Saat Anda membuat koneksi IPsec-VPN dalam mode dual-tunnel, konfigurasikan dua terowongan dan pastikan keduanya aktif. Jika Anda hanya mengonfigurasi atau menggunakan satu terowongan, Anda tidak dapat memanfaatkan kemampuan redundansi tautan dan pemulihan bencana zonal dari koneksi IPsec-VPN.

Parameter	Deskripsi
Enable BGP	Jika koneksi IPsec-VPN menggunakan Border Gateway Protocol (BGP), aktifkan BGP. BGP dinonaktifkan secara default. Sebelum menggunakan perutean dinamis BGP, pastikan perangkat gateway lokal Anda mendukung BGP. Selain itu, pahami cara kerja perutean dinamis BGP dan batasannya.
Local ASN	Setelah mengaktifkan fitur Border Gateway Protocol (BGP), masukkan nomor sistem otonom (ASN) untuk sisi Alibaba Cloud dari terowongan. Kedua terowongan menggunakan ASN yang sama. Nilai default: 45104. Nilai yang valid: 1 To 4294967295. Catatan Gunakan ASN pribadi untuk membuat koneksi BGP dengan Alibaba Cloud. Untuk informasi lebih lanjut tentang rentang ASN pribadi, lihat dokumentasi terkait.
Customer Gateway	Pilih gateway pelanggan yang akan dikaitkan dengan terowongan.
Pre-shared Key	Kunci autentikasi untuk terowongan. Kunci ini mengotentikasi terowongan dan peer-nya. Jika Anda tidak menentukan kunci pra-bersama, sistem akan menghasilkan string acak sepanjang 16 karakter sebagai kunci pra-bersama. Setelah membuat koneksi IPsec-VPN, Anda dapat melihat kunci pra-bersama yang dihasilkan sistem dengan mengklik tombol Edit terowongan. Untuk informasi selengkapnya, lihat Ubah konfigurasi terowongan. Penting Pastikan terowongan dan peer-nya menggunakan kunci pra-bersama yang sama. Jika tidak, komunikasi terowongan tidak dapat dibuat.

Konfigurasi enkripsi

Konfigurasi	Deskripsi
Encryption Configuration: IKE Configuration
IKE Version	Pilih versi IKE. ikev1 ikev2 (default) Dibandingkan dengan IKEv1, IKEv2 menyederhanakan negosiasi SA dan memberikan dukungan yang lebih baik untuk skenario yang menggunakan beberapa blok CIDR.
Negotiation Mode	Mode negosiasi. Nilai yang valid: main (default): Mode utama memberikan keamanan yang lebih tinggi selama negosiasi. aggressive: Mode agresif lebih cepat dan memiliki tingkat keberhasilan yang lebih tinggi selama negosiasi. Kedua mode mendukung tingkat keamanan yang sama untuk transmisi data.
Encryption Algorithm	Algoritma enkripsi yang digunakan dalam negosiasi Fase 1. Algoritma yang didukung: aes (aes128, default), aes192, aes256, des, dan 3des. Catatan Gunakan algoritma aes, aes192, atau aes256. Jangan gunakan algoritma des atau 3des. Advanced Encryption Standard (AES) adalah algoritma kriptografi kunci simetris yang menyediakan enkripsi dan dekripsi yang kuat. AES memastikan transmisi data yang aman dan memiliki sedikit dampak pada latensi jaringan, throughput, dan kinerja penerusan. 3des adalah Triple Data Encryption Algorithm. Algoritma ini memerlukan waktu enkripsi yang lama, memiliki kompleksitas algoritma yang tinggi, dan menggunakan sumber daya komputasi yang signifikan. Dibandingkan dengan AES, 3des mengurangi kinerja penerusan.
Authentication Algorithm	Algoritma autentikasi yang digunakan dalam negosiasi Fase 1. Nilai yang valid: sha1 (default), md5, sha256, sha384, dan sha512. Catatan
DH Group	Algoritma pertukaran kunci Diffie-Hellman (DH) untuk negosiasi Fase 1. group1: Grup DH 1. group2 (default): Grup DH 2. group5: DH group 5. group14: Grup DH 14.
Security Association Lifetime (seconds)	Atur masa pakai SA dari Fase 1. Satuannya adalah detik. Nilai default adalah 86400. Rentang nilai yang valid adalah 0 To 86400.
LocalId	Masukkan pengidentifikasi untuk terowongan untuk negosiasi Fase 1. Nilai default adalah alamat IP gateway terowongan. Parameter ini hanya digunakan untuk mengidentifikasi Alibaba Cloud dalam negosiasi koneksi IPsec-VPN. Identitas dapat berupa alamat IP atau Fully Qualified Domain Name (FQDN). Nilai tidak boleh mengandung spasi. Gunakan alamat IP pribadi sebagai identitas lokal. Jika LocalId berupa FQDN, seperti example.aliyun.com, ID peer koneksi IPsec-VPN pada perangkat gateway lokal harus cocok dengan nilai LocalId. Mode negosiasi yang direkomendasikan adalah aggressive (mode agresif).
RemoteId	Masukkan pengidentifikasi untuk peer untuk negosiasi Fase 1. Nilai default adalah alamat IP gateway pelanggan yang terkait. Parameter ini hanya berfungsi sebagai pengidentifikasi perangkat gateway lokal selama negosiasi IPsec-VPN. Identitas dapat berupa alamat IP atau FQDN, dan tidak boleh mengandung spasi. Gunakan alamat IP pribadi sebagai identitas peer. Jika RemoteId berupa FQDN, seperti example.aliyun.com, identitas lokal pada perangkat gateway lokal harus cocok dengan nilai RemoteId. Atur mode negosiasi ke aggressive (mode agresif).
Encryption Configuration: IPsec Configuration
Encryption Algorithm	Algoritma enkripsi untuk negosiasi Fase 2. Nilai yang valid: aes (aes128, default), aes192, aes256, des, dan 3des. Catatan Gunakan algoritma aes, aes192, atau aes256. Jangan gunakan algoritma des atau 3des. Advanced Encryption Standard (AES) adalah algoritma kriptografi kunci simetris yang menyediakan enkripsi dan dekripsi yang kuat. AES memastikan transmisi data yang aman dan memiliki sedikit dampak pada latensi jaringan, throughput, dan kinerja penerusan. 3des adalah Triple Data Encryption Algorithm. Algoritma ini memerlukan waktu enkripsi yang lama, memiliki kompleksitas algoritma yang tinggi, dan menggunakan sumber daya komputasi yang signifikan. Dibandingkan dengan AES, 3des mengurangi kinerja penerusan.
Authentication Algorithm	Algoritma autentikasi yang digunakan dalam negosiasi Fase 2. Nilai yang valid: sha1 (default), md5, sha256, sha384, dan sha512.
DH Group	Algoritma pertukaran kunci Diffie-Hellman (DH) untuk negosiasi Fase 2. disabled: Tidak menggunakan algoritma pertukaran kunci DH. Jika perangkat gateway lokal tidak mendukung Perfect Forward Secrecy (PFS), pilih disabled. Jika Anda memilih grup apa pun selain disabled, fitur PFS diaktifkan secara default. Fitur ini memastikan bahwa kunci diperbarui selama setiap renegosiasi. Anda juga harus mengaktifkan PFS pada perangkat gateway lokal. group1: Grup DH 1. group2 (default): Grup DH 2. group5: DH group 5. group14: Grup DH 14.
SA Lifetime (seconds)	Atur masa pakai SA yang dinegosiasikan dalam Fase 2. Satuan: detik. Nilai default: 86400. Rentang nilai: 0 To 86400.
DPD	Pilih apakah akan mengaktifkan fitur Dead Peer Detection (DPD). Fitur ini diaktifkan secara default. Saat fitur DPD diaktifkan, koneksi IPsec-VPN mengirim paket DPD untuk memeriksa apakah peer aktif. Jika tidak ada tanggapan dari peer dalam waktu tertentu, koneksi gagal. Koneksi IPsec-VPN kemudian menghapus Internet Security Association and Key Management Protocol (ISAKMP) SA, SA IPsec, dan terowongan IPsec. Jika terjadi timeout DPD, koneksi IPsec-VPN secara otomatis memulai negosiasi terowongan baru. Timeout paket DPD adalah 30 detik.
NAT Traversal	Pilih apakah akan mengaktifkan fitur penelusuran terjemahan alamat jaringan (NAT). Secara default, fitur penelusuran NAT diaktifkan. Setelah mengaktifkan penelusuran NAT, inisiator tidak memeriksa port UDP selama negosiasi Internet Key Exchange (IKE) dan dapat secara otomatis mendeteksi perangkat gateway NAT di sepanjang terowongan IPsec.

BGP Configuration

Jika Anda mengaktifkan BGP untuk koneksi IPsec-VPN, Anda dapat mengonfigurasi blok CIDR dan alamat IP untuk sisi Alibaba Cloud dari terowongan BGP. Jika Anda tidak mengaktifkan BGP saat membuat koneksi IPsec-VPN, Anda dapat mengaktifkan BGP untuk terowongan dan menambahkan konfigurasi yang diperlukan setelah koneksi IPsec-VPN dibuat.

Parameter

Deskripsi

Tunnel CIDR Block

Masukkan blok CIDR terowongan.

Blok CIDR terowongan harus berupa blok CIDR /30 dalam rentang 169.254.0.0/16. Blok CIDR tidak boleh 169.254.0.0/30, 169.254.1.0/30, 169.254.2.0/30, 169.254.3.0/30, 169.254.4.0/30, 169.254.5.0/30, 169.254.6.0/30, atau 169.254.169.252/30.

Catatan

Kedua terowongan koneksi IPsec-VPN harus menggunakan blok CIDR terowongan yang berbeda.

Local BGP IP address

Masukkan alamat IP BGP ujung lokal terowongan.

Alamat IP ini harus berada dalam blok CIDR terowongan.

Konfigurasi lanjutan

Saat Anda membuat koneksi IPsec-VPN dan langsung menyambungkannya ke router transit di akun Anda, sistem memilih tiga fitur lanjutan berikut secara default untuk membantu Anda mengonfigurasi perutean. Anda juga dapat menghapus pilihan fitur-fitur ini dan menyesuaikan konektivitas jaringan menggunakan berbagai fitur perutean router transit.

Item konfigurasi	Deskripsi
Advertise Routes	Setelah Anda mengaktifkan fitur ini, sistem secara otomatis mengiklankan rute dari tabel rute router transit yang dikaitkan dengan koneksi IPsec-VPN ke tabel rute BGP koneksi IPsec-VPN. Catatan Fitur ini hanya berlaku jika perutean dinamis BGP digunakan antara koneksi IPsec-VPN dan pusat data Anda. Anda juga dapat menonaktifkan fitur ini menggunakan pengaturan Advertise Routes. Untuk informasi selengkapnya, lihat Nonaktifkan sinkronisasi rute.
Automatically Associate With The Default Route Table Of The TransitRouter	Mengaktifkan fitur ini akan mengaitkan koneksi IPsec-VPN dengan tabel rute default router transit. Router transit menggunakan tabel rute default untuk meneruskan lalu lintas dari koneksi IPsec-VPN.
Automatically Propagate System Routes To The Default Route Table Of The TransitRouter	Setelah fitur ini diaktifkan, sistem mengiklankan rute di tabel rute berbasis tujuan dan tabel rute BGP koneksi IPsec-VPN ke tabel rute default router transit.

Setelah koneksi IPsec-VPN dibuat, temukan koneksi IPsec-VPN yang dituju di halaman IPsec Connections, lalu klik Download Configuration di kolom Actions.
Di kotak dialog IPsec-VPN Connection Configuration, salin konfigurasi dan simpan secara lokal. Gunakan konfigurasi ini untuk mengonfigurasi perangkat gateway lokal Anda.

Langkah selanjutnya

Konfigurasikan rute untuk koneksi IPsec-VPN.
Menggunakan konfigurasi koneksi IPsec-VPN yang telah diunduh, konfigurasikan perangkat gateway lokal.

Lihat informasi terowongan koneksi IPsec-VPN

Setelah membuat koneksi IPsec-VPN, Anda dapat melihat status dan informasi kedua terowongan di halaman detail koneksi IPsec-VPN.

Masuk ke Konsol Gateway VPN.
Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.
Di bilah navigasi atas, pilih wilayah koneksi IPsec-VPN.
Di halaman IPsec Connections, temukan koneksi IPsec-VPN dan klik ID-nya.

Di halaman detail koneksi IPsec-VPN, lihat status dan informasi kedua terowongan.

Bidang	Deskripsi
Tunnel/Tunnel ID	ID terowongan.
Gateway IP Address	Alamat IP gateway yang ditetapkan sistem ke terowongan, digunakan untuk membuat terowongan terenkripsi.
Pre-shared Key	Kunci pra-bersama yang digunakan oleh terowongan. Kunci pra-bersama dienkripsi secara default. Anda dapat melihat kunci pra-bersama dengan mengarahkan pointer ke View.
Tunnel CIDR Block	Jika perutean dinamis BGP diaktifkan untuk terowongan, bidang ini menampilkan blok CIDR terowongan BGP.
Local BGP IP Address	Jika perutean dinamis BGP diaktifkan untuk terowongan, bidang ini menampilkan alamat IP BGP di sisi Alibaba Cloud.
Connection Status	Status negosiasi IPsec-VPN terowongan. Jika negosiasi IPsec-VPN berhasil, konsol menampilkan Phase 2 Negotiations Succeeded. Jika negosiasi IPsec-VPN gagal, konsol menampilkan pesan kegagalan. Pecahkan masalah berdasarkan pesan tersebut. Untuk informasi selengkapnya, lihat Pemecahan masalah koneksi IPsec-VPN.
Customer Gateway	Instans gateway pelanggan yang dikaitkan dengan terowongan. Gateway pelanggan dikonfigurasi dengan alamat IP dan ASN BGP di sisi pusat data.
Status	Status terowongan. Nilai yang valid: Normal Updating Deleting

Kelola koneksi IPsec-VPN

Ubah konfigurasi terowongan

Setelah membuat koneksi IPsec-VPN, Anda dapat mengubah konfigurasi terowongannya.

Masuk ke Konsol Gateway VPN.
Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.
Di bilah navigasi atas, pilih wilayah koneksi IPsec-VPN.
Di halaman IPsec Connections, temukan koneksi IPsec-VPN dan klik ID-nya.
Di tab Tunnel halaman detail koneksi IPsec-VPN, temukan terowongan yang dituju, lalu di kolom Actions, klik Edit.
Di halaman edit, ubah konfigurasi terowongan dan klik OK.
Untuk informasi selengkapnya tentang item konfigurasi terowongan, lihat Konfigurasi terowongan.

Ubah koneksi IPsec-VPN

Jika koneksi IPsec-VPN dikaitkan dengan router transit, Anda tidak dapat mengubah router transit atau jenis gateway yang dikaitkan dengan koneksi IPsec-VPN. Anda hanya dapat mengubah parameter Routing Mode dan Immediately Effective.
Jika koneksi IPsec-VPN tidak disambungkan ke router transit, Anda tidak dapat mengubah jenis gateway koneksi IPsec-VPN. Anda hanya dapat mengubah nilai Routing Mode dan Immediately Effective.

Masuk ke Konsol Gateway VPN.
Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.
Di bilah navigasi atas, pilih wilayah koneksi IPsec-VPN.
Di halaman IPsec-VPN Connections, temukan koneksi IPsec-VPN yang dituju dan klik Edit di kolom Actions.
Di halaman Edit IPsec-VPN Connection, ubah nama koneksi IPsec-VPN, Routing Mode, dan nilai Immediately Effective, lalu klik OK.
Untuk informasi selengkapnya tentang parameter, lihat Konfigurasi dasar koneksi IPsec-VPN.

Aktifkan fitur BGP untuk terowongan secara terpisah

Jika Anda tidak mengaktifkan fitur BGP untuk terowongan saat membuat koneksi IPsec-VPN, Anda dapat mengaktifkannya untuk terowongan tersebut secara terpisah setelah koneksi dibuat.

Sebelum mengaktifkan fitur BGP untuk koneksi IPsec-VPN, pastikan instans gateway pelanggan yang terkait dikonfigurasi dengan ASN BGP. Jika tidak, Anda tidak dapat mengaktifkan fitur BGP untuk koneksi IPsec-VPN.

Untuk mengaktifkan fitur BGP, Anda dapat membuat instans gateway pelanggan baru dengan ASN BGP, mengubah terowongan agar menggunakan gateway pelanggan baru tersebut, lalu mengaktifkan fitur BGP untuk terowongan tersebut.

Masuk ke Konsol Gateway VPN.
Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.
Di bilah navigasi atas, pilih wilayah koneksi IPsec-VPN.
Di halaman IPsec Connections, temukan koneksi IPsec-VPN dan klik ID-nya.
Di bagian IPsec Connections halaman detail koneksi IPsec-VPN, klik sakelar di samping Enable BGP.
Di kotak dialog BGP Configuration, tentukan parameter BGP dan klik OK.
Anda harus mengonfigurasi BGP untuk kedua terowongan. Untuk informasi selengkapnya tentang parameter konfigurasi BGP, lihat Pengaturan BGP.
Untuk menonaktifkan BGP untuk koneksi IPsec-VPN, klik sakelar di samping Enable BGP, lalu klik OK di kotak dialog Disable BGP Configuration.

Berikan izin koneksi IPsec-VPN ke instans router transit di akun lain

Jika Anda memilih Cross-account Attachment untuk opsi Attach To CEN saat membuat koneksi IPsec-VPN, Anda harus melakukan langkah-langkah berikut setelah koneksi dibuat untuk memberikan izin router transit lintas akun pada koneksi IPsec-VPN.

Catatan

Sebelum memberikan izin, pastikan koneksi IPsec-VPN belum disambungkan ke router transit. Jika koneksi IPsec-VPN sudah disambungkan ke instans router transit, Anda harus melepaskannya terlebih dahulu. Untuk informasi selengkapnya, lihat Hapus koneksi instans jaringan.

Masuk ke Konsol Gateway VPN.
Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.
Di bilah navigasi atas, pilih wilayah koneksi IPsec-VPN.
Di halaman IPsec-VPN Connections, temukan koneksi IPsec-VPN yang dituju dan klik ID-nya.
Di tab Cloud Enterprise Network Cross-account Authorization halaman detail koneksi IPsec-VPN, klik Cloud Enterprise Network Cross-account Authorization.

Di kotak dialog Join CEN, konfigurasikan parameter berikut dan klik OK.

Item konfigurasi	Catatan
Account ID	ID akun Alibaba Cloud tempat router transit berada.
Peer CEN Instance ID	ID instans Cloud Enterprise Network (CEN) tempat router transit berada.
Payer	Pilih akun yang membayar biaya. CEN Account (default): Akun yang memiliki router transit membayar biaya koneksi dan biaya pemrosesan lalu lintas router transit setelah router transit disambungkan ke koneksi IPsec-VPN. VPN Account: Akun yang memiliki koneksi IPsec-VPN membayar biaya koneksi dan biaya pemrosesan lalu lintas router transit setelah router transit disambungkan ke koneksi IPsec-VPN. Penting Pilih akun pembayaran dengan hati-hati. Mengubah akun pembayaran dapat mengganggu layanan Anda. Untuk informasi selengkapnya, lihat Ubah akun pembayaran untuk instans jaringan. Setelah koneksi IPsec-VPN disambungkan ke router transit, pemilik koneksi IPsec-VPN tetap membayar biaya instans dan biaya lalu lintas untuk koneksi IPsec-VPN.

Kami menyarankan Anda mencatat ID koneksi IPsec-VPN dan ID akun Alibaba Cloud-nya. ID-ID ini diperlukan saat Anda mengaitkan koneksi IPsec-VPN dengan router transit yang dimiliki oleh akun lain. Untuk informasi selengkapnya, lihat Buat koneksi VPN.
Anda dapat melihat ID akun Anda di halaman Manajemen Akun.

Mencabut otorisasi koneksi IPsec-VPN dari instans router transit di akun lain

Jika Anda tidak lagi perlu mengaitkan koneksi IPsec-VPN dengan router transit milik akun Alibaba Cloud lain, Anda dapat mencabut izin koneksi IPsec-VPN dari router transit tersebut. Sebelum mencabut izin, Anda harus memutuskan koneksi IPsec-VPN dari router transit. Untuk informasi selengkapnya, lihat Hapus koneksi instans jaringan.

Hapus koneksi IPsec-VPN

Sebelum menghapus koneksi IPsec-VPN, pastikan koneksi IPsec-VPN telah dilepaskan dari instans router transit. Untuk informasi selengkapnya, lihat Hapus koneksi instans jaringan.

Masuk ke Konsol Gateway VPN.
Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.
Di bilah navigasi atas, pilih wilayah koneksi IPsec-VPN.
Di halaman IPsec-VPN Connections, temukan koneksi IPsec-VPN yang dituju dan klik Delete di kolom Actions.
Di kotak dialog yang muncul, konfirmasi informasinya, lalu klik OK.

Buat dan kelola koneksi IPsec-VPN dengan memanggil operasi API

Anda dapat membuat dan mengelola koneksi IPsec-VPN dengan memanggil operasi API. Anda dapat menggunakan alat seperti Alibaba Cloud SDK (disarankan), Alibaba Cloud CLI, Terraform, atau Resource Orchestration Service. Operasi API berikut tersedia: