全部产品
Search

搜索本产品

    VPN Gateway:Koneksi IPsec-VPN (Gateway VPN)

    文档中心

    VPN Gateway:Koneksi IPsec-VPN (Gateway VPN)

    更新时间:Feb 04, 2026

    Setelah membuat Gateway VPN, Anda perlu mengonfigurasi koneksi IPsec-VPN di Alibaba Cloud dan pusat data lokal untuk menghubungkan pusat data tersebut ke VPC Anda.

    Cara kerja

    Secara default, koneksi IPsec-VPN menggunakan mode dual-tunnel untuk memastikan ketersediaan tinggi dan kelangsungan bisnis.

    • Peran saluran data: Sistem menggunakan dua alamat IP publik berbeda dari gateway VPN untuk membuat dua saluran data. Peran saluran data bersifat tetap.

      • Saluran data 1 (menggunakan alamat IP 1) adalah saluran aktif secara default dan menangani seluruh lalu lintas layanan.

      • Saluran data 2 (menggunakan alamat IP 2) adalah saluran siaga dan tetap dalam status siaga.

    • Pemeriksaan kesehatan dan failover: Sistem secara otomatis melakukan pemeriksaan kesehatan pada saluran aktif. Jika saluran aktif gagal, gateway VPN secara otomatis mengalihkan lalu lintas ke saluran siaga. Setelah saluran aktif pulih, lalu lintas secara otomatis dialihkan kembali.

    • Pemulihan bencana lintas zona:

      • Dua saluran data koneksi IPsec-VPN diterapkan di zona berbeda secara default. Jika satu zona gagal, saluran data di zona lain tetap tersedia, sehingga menyediakan pemulihan bencana lintas zona.

      • Di wilayah yang hanya mendukung satu zona, kedua saluran data diterapkan di zona yang sama. Penerapan ini tidak mendukung pemulihan bencana tingkat zona, tetapi tetap menyediakan redundansi tautan.

    Buat koneksi IPsec-VPN

    Prasyarat

    Sebelum memulai, pastikan Anda telah membuat gateway VPN dan gateway pelanggan.

    1. Konfigurasikan koneksi IPsec-VPN

    Konsol

    Buka halaman Koneksi IPsec di konsol VPC, klik Bind VPN Gateway, lalu konfigurasikan parameter berikut:

    • IPsec Settings: Pilih Region tempat gateway VPN diterapkan.

    • Gateway Settings: Pilih gateway VPN yang ingin Anda sambungkan.

    • Route Settings:

      • Routing Mode:

        • Destination Routing Mode (Default): Lalu lintas diteruskan berdasarkan alamat IP tujuan. Direkomendasikan untuk skenario di mana rute dipelajari melalui BGP atau dikonfigurasi secara statis.

        • Protected Data Flows: Lalu lintas diteruskan berdasarkan alamat IP sumber dan tujuan. Direkomendasikan untuk skenario di mana Anda perlu membatasi komunikasi ke blok CIDR tertentu.

          • Anda harus menentukan Local Network (blok CIDR VPC) dan Remote Network (blok CIDR pusat data lokal).

          • Sistem secara otomatis menghasilkan rute berbasis kebijakan. Dalam rute ini, Source CIDR Block adalah Local Network koneksi, Destination CIDR Block adalah Remote Network koneksi, dan lompatan berikutnya adalah koneksi IPsec-VPN. Rute ini dapat dipublikasikan ke tabel rute VPC, tetapi tidak dipublikasikan secara default.

          • Pastikan konfigurasi interesting traffic pada gateway lokal Anda mencerminkan pengaturan ini (jaringan lokal dan remote ditukar).

          • Untuk menambahkan beberapa segmen jaringan, klik ikon Tambah Add. Beberapa segmen memerlukan IKEv2.

      • Effective Immediately: Pilih Ya untuk mengaktifkan koneksi dengan cepat atau menghindari penundaan lalu lintas. Pilih Tidak jika Anda ingin menghemat sumber daya dan lalu lintas jarang terjadi.

    • Dual-Tunnel Settings:

      • Enable BGP: Menentukan apakah akan menggunakan perutean dinamis BGP.

        • Disabled (Default): Menggunakan perutean statis. Direkomendasikan untuk topologi jaringan sederhana.

        • Enabled: Gunakan perutean dinamis untuk distribusi dan pembelajaran rute otomatis. Prasyarat: Anda harus mengonfigurasi ASN untuk gateway pelanggan terkait.

      • Local ASN: Nomor Sistem Otonom (ASN) untuk sisi Alibaba Cloud (digunakan oleh kedua saluran data).

        • Default: 45104

        • Rentang: 1 hingga 4294967295

        • Rekomendasi: Gunakan ASN privat saat mengonfigurasi ASN untuk perangkat lokal Anda.

    • Konfigurasi Tunnel 1 (Primary) dan Tunnel 2 (Backup):

      • Customer Gateway: Pilih gateway pelanggan yang terkait dengan perangkat lokal Anda. Anda dapat mengaitkan gateway pelanggan yang sama dengan kedua saluran data.

      • Pre-Shared Key: Masukkan kunci pra-bersama yang digunakan untuk otentikasi identitas.

        • Persyaratan: Kunci harus sesuai dengan konfigurasi pada gateway lokal Anda.

        • Konsistensi: Kunci untuk kedua saluran data harus identik.

        • Default: Jika dibiarkan kosong, sistem secara otomatis menghasilkan kunci acak.

      Klik untuk melihat Encryption Configuration

      • IKE Configurations:

        • Version: Disarankan ikev2. Ini menyederhanakan negosiasi SA dan memberikan dukungan lebih baik untuk skenario multi-segmen.

        • Negotiation Mode: Kedua mode memberikan tingkat keamanan yang sama untuk transmisi data setelah negosiasi berhasil.

          • main (Default): Informasi identitas dienkripsi selama negosiasi, menawarkan keamanan lebih tinggi.

          • aggressive: Memberikan negosiasi lebih cepat dan tingkat keberhasilan lebih tinggi.

        • Encryption Algorithm: Pilih algoritma enkripsi untuk negosiasi Fase 1.

          • Persyaratan: Harus sesuai dengan konfigurasi pada gateway lokal.

          • Algoritma yang didukung: aes128 (default), aes192, aes256, des, dan 3des.

          • Rekomendasi: Gunakan algoritma AES (aes128, aes192, aes256), terutama untuk koneksi dengan bandwidth ≥ 200 Mbps.

            • AES: Menyediakan enkripsi kuat dengan performa efisien (dampak rendah terhadap latensi dan throughput).

            • 3des: Tidak direkomendasikan. Algoritma ini intensif secara komputasi dan membatasi performa forwarding dibandingkan AES.

        • Authentication Algorithm: Pilih algoritma autentikasi untuk negosiasi Fase 1.

          • Persyaratan: Harus sesuai dengan konfigurasi pada gateway lokal.

          • Algoritma yang didukung: sha1 (default), md5, sha256, sha384, dan sha512.

          • Catatan: Jika perangkat lokal Anda memerlukan algoritma Fungsi Pseudo-Acak (PRF), pastikan algoritma tersebut sesuai dengan algoritma autentikasi yang dipilih.

        • DH Group (Perfect Forward Secrecy): Pilih algoritma pertukaran kunci Diffie-Hellman untuk negosiasi Fase 1.

          group1, group2 (default), group5, dan group14 masing-masing merepresentasikan DH1, DH2, DH5, dan DH14 dari grup DH.

        • SA Life Cycle (seconds): Menentukan masa berlaku Asosiasi Keamanan (SA) Fase 1. Nilai default adalah 86400. Rentang nilai adalah 0 to 86400.

        • LocalId: Pengidentifikasi untuk sisi Alibaba Cloud dari saluran data.

          • Default: Alamat IP saluran data.

          • Format: Mendukung alamat IP atau FQDN (misalnya, example.aliyun.com). Spasi tidak diperbolehkan.

          • Rekomendasi: Gunakan alamat IP pribadi.

          • Persyaratan FQDN: Jika Anda menggunakan FQDN, pastikan ID peer pada gateway lokal sesuai dengan nilai ini, dan atur Negotiation Mode ke aggressive.

        • RemoteId: Pengidentifikasi untuk sisi lokal dari saluran data.

          • Default: Alamat IP gateway pelanggan terkait.

          • Format: Mendukung alamat IP atau FQDN (misalnya, example.aliyun.com). Spasi tidak diperbolehkan.

          • Rekomendasi: Gunakan alamat IP pribadi.

          • Persyaratan FQDN: Jika Anda menggunakan FQDN, pastikan ID lokal pada gateway lokal sesuai dengan nilai ini, dan atur Negotiation Mode ke aggressive.

      • IPsec Configurations:

        • Encryption Algorithm: Pilih algoritma enkripsi untuk negosiasi Fase 2.

          • Algoritma yang didukung: aes128 (default), aes192, aes256, des, dan 3des.

          • Rekomendasi: Kami merekomendasikan penggunaan algoritma AES (aes128, aes192, aes256), terutama untuk koneksi dengan bandwidth ≥ 200 Mbps.

            • AES: Menyediakan enkripsi berkekuatan tinggi dengan performa efisien (dampak rendah terhadap latensi dan throughput).

            • 3des: Tidak direkomendasikan. Algoritma ini intensif secara komputasi dan membatasi performa forwarding dibandingkan AES.

        • Authentication Algorithm: Pilih algoritma autentikasi untuk negosiasi Fase 2. Algoritma yang didukung: sha1 (default), md5, sha256, sha384, dan sha512.

        • DH Group (Perfect Forward Secrecy): Pilih algoritma pertukaran kunci Diffie-Hellman untuk negosiasi Fase 2.

          • disabled: Menonaktifkan PFS. Pilih opsi ini jika klien tidak mendukung Perfect Forward Secrecy (PFS).

          • group1, group2 (default), group5, dan group14: Mengaktifkan PFS (DH1, DH2, DH5, DH14).

            • Persyaratan: Jika diaktifkan, kunci diperbarui selama setiap renegosiasi. Anda juga harus mengaktifkan PFS pada klien terkait.

        • SA Life Cycle (seconds): Menentukan masa pakai Security Association (SA) Fase 2. Nilai defaultnya adalah 86400. Rentang nilainya adalah 0 to 86400.

        • DPD: Pendeteksian Peer Mati.

          • Rekomendasi: Selalu aktifkan DPD (Default). Fitur ini mendeteksi kegagalan peer dalam waktu 30 detik dan memicu failover otomatis, memastikan ketersediaan tinggi.

          • Mekanisme: Sistem mengirim probe DPD. Jika tidak ada respons, peer dianggap terputus, dan saluran data dihentikan. Sistem kemudian mencoba membuat ulang koneksi.

          • Catatan: Gateway VPN lama yang menggunakan IKEv2 mungkin memiliki timeout 130 atau 3600 detik. Lakukan peningkatan ke versi terbaru untuk mendapatkan timeout standar 30 detik.

      • NAT Traversal:

        • Rekomendasi: Aktifkan fitur ini (Default).

        • Fungsi: Memungkinkan negosiasi IKE melewati perangkat NAT dengan melewati verifikasi port UDP, memastikan konektivitas melintasi batas NAT.

      Klik untuk melihat BGP Configuration

      Jika Anda telah mengaktifkan BGP, Anda harus menyelesaikan konfigurasi BGP untuk setiap saluran data.

    Konfirmasi konfigurasi

    1. Tinjau konfigurasi, lalu klik OK di bagian bawah halaman.

    2. Pada kotak dialog yang muncul, klik Cancel. Anda dapat mengonfigurasi perutean nanti.

    3. Pada kolom Actions koneksi IPsec-VPN target, klik Generate Peer Configuration. Pada kotak dialog IPsec-VPN Connection Configuration, salin konfigurasi dan simpan secara lokal untuk mengonfigurasi perangkat gateway lokal.

    API

    Panggil operasi CreateVpnConnection untuk membuat koneksi IPsec-VPN.

    2. Konfigurasikan rute gateway VPN dan VPC

    Konfigurasikan rute seperti yang dijelaskan dalam Konfigurasikan rute untuk gateway VPN.

    3. Konfigurasikan perangkat gateway lokal

    Gunakan konfigurasi peer yang Anda unduh pada langkah "Konfigurasikan koneksi IPsec-VPN" untuk menyelesaikan konfigurasi IPsec dan BGP (jika diaktifkan) pada perangkat gateway lokal Anda, seperti firewall atau router. Untuk petunjuk konfigurasi spesifik, lihat dokumentasi perangkat Anda. Lihat Konfigurasikan perangkat gateway lokal sebagai contoh referensi.

    Kelola koneksi IPsec-VPN

    Aktifkan atau nonaktifkan BGP

    Sebelum mengaktifkan BGP untuk koneksi IPsec-VPN, pastikan gateway pelanggan terkait telah dikonfigurasi dengan ASN. Jika belum, Anda harus menghapus dan membuat ulang koneksi IPsec-VPN serta mengaitkannya dengan gateway pelanggan yang telah dikonfigurasi dengan ASN.

    Item konfigurasi BGP berikut terkait dengan koneksi IPsec-VPN:

    • Local ASN: Nomor Sistem Otonom (ASN) untuk sisi Alibaba Cloud (digunakan oleh kedua saluran data).

      • Default: 45104

      • Rentang: 1 hingga 4294967295

      • Rekomendasi: Gunakan ASN privat saat mengonfigurasi ASN untuk perangkat lokal Anda.

    • Tunnel CIDR Block: Subnet /30 dalam169.254.0.0/16 yang digunakan untuk peering BGP.

      • Keunikan: Setiap saluran data pada gateway VPN harus menggunakan blok CIDR yang unik.

      • Blok yang Dikecualikan: Blok berikut dicadangkan dan tidak dapat digunakan:

        • 169.254.0.0/30 hingga 169.254.5.0/30

        • 169.254.169.252/30

    • Local BGP IP address: Alamat IP BGP untuk sisi Alibaba Cloud.

      • Batasan: Harus termasuk dalam Tunnel CIDR Block.

      • Contoh: Jika blok CIDR adalah 169.254.10.0/30, Anda dapat menggunakan 169.254.10.1.

    Untuk detail batasan BGP dan pengumuman rute, lihat Konfigurasikan perutean dinamis BGP.

    Konsol

    Aktifkan BGP

    • Saat membuat koneksi IPsec-VPN, Anda dapat mengaktifkan BGP dengan memilih Enable BGP dan mengonfigurasi Local ASN, Tunnel CIDR Block, dan Local BGP IP address.

    • Untuk koneksi IPsec-VPN yang sudah ada, Anda dapat mengklik Enable BGP di bagian IPsec Connections pada halaman detail instans.

    Nonaktifkan BGP

    Pada halaman detail koneksi IPsec-VPN, di bagian IPsec Connections, matikan sakelar Enable BGP.

    API

    • Saat membuat koneksi IPsec-VPN baru, atur parameter EnableTunnelsBgp dari operasi CreateVpnConnection untuk mengaktifkan BGP, dan konfigurasikan opsi BGP untuk setiap saluran data dengan mengatur parameter TunnelOptionsSpecification -> TunnelBgpConfig.

    • Untuk koneksi IPsec-VPN yang sudah ada, atur parameter EnableTunnelsBgp dari operasi ModifyVpnConnectionAttribute untuk mengaktifkan atau menonaktifkan BGP, dan konfigurasikan opsi BGP untuk setiap saluran data dengan mengatur parameter TunnelOptionsSpecification -> TunnelBgpConfig.

    Ubah konfigurasi saluran data

    Konsol

    1. Buka halaman Koneksi IPsec-VPN di konsol VPC, alihkan ke wilayah target, lalu klik ID koneksi IPsec-VPN target.

    2. Pada halaman detail koneksi IPsec-VPN, temukan saluran data target, lalu pada kolom Actions, klik Edit.

    3. Pada halaman edit, ubah konfigurasi saluran data, lalu klik OK.

    API

    Panggil operasi ModifyTunnelAttribute untuk mengubah konfigurasi saluran data.

    Ubah konfigurasi koneksi IPsec-VPN

    Jika koneksi IPsec-VPN telah disambungkan ke gateway VPN, Anda tidak dapat mengubah gateway VPN terkait. Anda hanya dapat mengubah pengaturan Routing Mode dan Effective Immediately.

    Konsol

    1. Buka halaman Koneksi IPsec-VPN di konsol VPC, alihkan ke wilayah tujuan, lalu klik Edit pada kolom Actions koneksi IPsec-VPN target.

    2. Pada halaman Modify IPsec-VPN Connection, ubah pengaturan seperti nama koneksi IPsec-VPN dan blok CIDR remote, lalu klik OK.

      Untuk deskripsi detail parameter, lihat Buat koneksi IPsec-VPN.

    API

    Panggil operasi ModifyVpnConnectionAttribute untuk mengubah konfigurasi koneksi IPsec-VPN.

    Hapus koneksi IPsec-VPN

    Konsol

    1. Buka halaman Koneksi IPsec-VPN di konsol VPC, alihkan ke wilayah tujuan, lalu klik Delete pada kolom Actions koneksi IPsec-VPN target.

    2. Pada kotak dialog yang muncul, konfirmasi informasi, lalu klik OK.

    API

    Panggil operasi DeleteVpnConnection untuk menghapus koneksi IPsec-VPN.

    Penagihan

    Koneksi IPsec-VPN tidak dikenai biaya. Namun, Anda dikenai biaya untuk gateway VPN terkait. Untuk informasi selengkapnya, lihat Penagihan IPsec-VPN.

    FAQ

    Mengapa status saluran data menunjukkan "Phase 1 Negotiation Failed"?

    Jika Anda telah mengonfigurasi kedua sisi, periksa masalah umum berikut:

    1. Ketidaksesuaian kunci pra-bersama: Verifikasi kunci pra-bersama di gateway Alibaba Cloud dan gateway lokal. Keduanya harus identik, termasuk huruf besar/kecil dan karakter khusus.

    2. Ketidaksesuaian parameter IKE: Pastikan semua parameter IKE (Versi, Mode Negosiasi, Algoritma Enkripsi/Autentikasi, Grup DH) benar-benar sesuai di kedua sisi.

    3. Konektivitas jaringan: Konfirmasi bahwa IP publik gateway lokal Anda dapat dijangkau. Pastikan tidak ada kebijakan firewall atau ISP yang memblokir port UDP 500 dan 4500.

    Status saluran data normal, tetapi saya tidak dapat melakukan ping ke server di ujung lain. Mengapa?

    Negosiasi Fase 2 yang berhasil menegaskan bahwa saluran data terenkripsi telah dibuat, tetapi tidak menjamin transmisi data. Periksa konfigurasi berikut:

    1. Konfigurasi rute: Verifikasi bahwa tabel rute di VPC Alibaba Cloud dan pusat data lokal Anda mengarahkan lalu lintas ke koneksi IPsec-VPN dengan benar.

    2. Grup keamanan dan ACL jaringan: Pastikan aturan grup keamanan untuk instans ECS Anda mengizinkan lalu lintas ICMP atau layanan dari blok CIDR lokal.

    3. Kebijakan firewall lokal: Konfirmasi bahwa firewall lokal Anda mengizinkan lalu lintas dari blok CIDR VPC.

    Mengapa opsi "Enable BGP" tidak tersedia?

    Opsi ini dinonaktifkan jika gateway pelanggan terkait tidak dikonfigurasi dengan Nomor Sistem Otonom (ASN).

    Solusi:

    1. Hapus koneksi IPsec-VPN saat ini.

    2. Buat gateway pelanggan baru dan pastikan Anda mengonfigurasi ASN.

    3. Buat ulang koneksi IPsec-VPN menggunakan gateway pelanggan baru.

    Dapatkah saya menjadikan Saluran data 2 sebagai saluran aktif?

    Tidak. Peran saluran data bersifat tetap dan tidak dapat diubah:

    • Saluran data 1 (Alamat IP 1) selalu menjadi saluran aktif.

    • Saluran data 2 (Alamat IP 2) selalu menjadi saluran siaga.

    Dapatkah saya membuat koneksi IPsec-VPN single-tunnel?

    Bergantung pada jenis Gateway VPN Anda:

    • Gateway VPN baru: Tidak. Instans yang baru dibeli hanya mendukung koneksi IPsec-VPN dual-tunnel.

    • Gateway single-tunnel yang sudah ada: Ya. Anda dapat terus membuat koneksi single-tunnel untuk instans ini.

    Buat koneksi IPsec-VPN untuk Gateway VPN single-tunnel

    1. Konfigurasikan koneksi IPsec-VPN

    Sebelum memulai, pastikan Anda telah membuat gateway pelanggan.

    Konsol

    Buka halaman Koneksi IPsec di konsol VPN, klik Bind VPN Gateway, lalu lengkapi konfigurasi berikut:

    • IPsec Settings: Pilih Region tempat gateway VPN diterapkan.

    • Gateway Settings: Pilih gateway VPN yang ingin Anda sambungkan.

    • Route Settings:

      • Routing Mode:

        • Destination Routing Mode (Default): Lalu lintas diteruskan berdasarkan alamat IP tujuan. Direkomendasikan untuk skenario di mana rute dipelajari melalui BGP atau dikonfigurasi secara statis.

        • Protected Data Flows: Lalu lintas diteruskan berdasarkan alamat IP sumber dan tujuan. Direkomendasikan untuk skenario di mana Anda perlu membatasi komunikasi ke blok CIDR tertentu.

          • Anda harus menentukan Local Network (blok CIDR VPC) dan Remote Network (blok CIDR pusat data lokal).

          • Sistem secara otomatis menghasilkan rute berbasis kebijakan. Dalam rute ini, Source CIDR Block adalah Local Network koneksi, Destination CIDR Block adalah Remote Network koneksi, dan lompatan berikutnya adalah koneksi IPsec-VPN. Rute ini dapat dipublikasikan ke tabel rute VPC, tetapi tidak dipublikasikan secara default.

          • Pastikan konfigurasi interesting traffic pada gateway lokal Anda mencerminkan pengaturan ini (jaringan lokal dan remote ditukar).

          • Untuk menambahkan beberapa segmen jaringan, klik ikon Tambah Add. Beberapa segmen memerlukan IKEv2.

      • Effective Immediately: Pilih Ya untuk mengaktifkan koneksi dengan cepat atau menghindari penundaan lalu lintas. Pilih Tidak jika Anda ingin menghemat sumber daya dan lalu lintas jarang terjadi.

    • Tunnel Settings:

      • Enable BGP: Menentukan apakah akan menggunakan Konfigurasikan perutean dinamis BGP.

        • Disabled (Default): Menggunakan perutean statis. Direkomendasikan untuk topologi jaringan sederhana.

        • Enabled: Gunakan perutean dinamis untuk distribusi dan pembelajaran rute otomatis. Prasyarat: Anda harus mengonfigurasi ASN untuk gateway pelanggan terkait.

      • Local ASN: Nomor Sistem Otonom (ASN) untuk sisi Alibaba Cloud (digunakan oleh kedua saluran data).

        • Default: 45104

        • Rentang: 1 hingga 4294967295

        • Rekomendasi: Kami merekomendasikan penggunaan ASN privat saat mengonfigurasi ASN untuk perangkat lokal Anda.

      • Customer Gateway: Pilih gateway pelanggan yang terkait dengan perangkat lokal Anda. Anda dapat mengaitkan gateway pelanggan yang sama dengan kedua saluran data.

      • Pre-Shared Key: Masukkan kunci pra-bersama yang digunakan untuk otentikasi identitas.

        • Persyaratan: Kunci harus sesuai dengan konfigurasi pada gateway lokal Anda.

        • Konsistensi: Kunci untuk kedua saluran data harus identik.

        • Default: Jika dibiarkan kosong, sistem secara otomatis menghasilkan kunci acak.

      Klik untuk melihat Encryption Configuration

      • IKE Configurations:

        • Version: Disarankan ikev2. Ini menyederhanakan negosiasi SA dan memberikan dukungan lebih baik untuk skenario multi-segmen.

        • Negotiation Mode: Kedua mode memberikan tingkat keamanan yang sama untuk transmisi data setelah negosiasi berhasil.

          • main (Default): Informasi identitas dienkripsi selama negosiasi, menawarkan keamanan lebih tinggi.

          • aggressive: Memberikan negosiasi lebih cepat dan tingkat keberhasilan lebih tinggi.

        • Encryption Algorithm: Pilih algoritma enkripsi untuk negosiasi Fase 1.

          • Persyaratan: Harus sesuai dengan konfigurasi pada gateway lokal.

          • Algoritma yang didukung: aes128 (default), aes192, aes256, des, dan 3des.

          • Rekomendasi: Gunakan algoritma AES (aes128, aes192, aes256), terutama untuk koneksi dengan bandwidth ≥ 200 Mbps.

            • AES: Menyediakan enkripsi kuat dengan performa efisien (dampak rendah terhadap latensi dan throughput).

            • 3des: Tidak direkomendasikan. Algoritma ini intensif secara komputasi dan membatasi performa forwarding dibandingkan AES.

        • Authentication Algorithm: Pilih algoritma autentikasi untuk negosiasi Fase 1.

          • Persyaratan: Harus sesuai dengan konfigurasi pada gateway lokal.

          • Algoritma yang didukung: sha1 (default), md5, sha256, sha384, dan sha512.

          • Catatan: Jika perangkat lokal Anda memerlukan algoritma Fungsi Pseudo-Acak (PRF), pastikan algoritma tersebut sesuai dengan algoritma autentikasi yang dipilih.

        • DH Group (Perfect Forward Secrecy): Pilih algoritma pertukaran kunci Diffie-Hellman untuk negosiasi Fase 1.

          group1, group2 (default), group5, dan group14 masing-masing merepresentasikan DH1, DH2, DH5, dan DH14 dari grup DH.

        • SA Life Cycle (seconds): Menentukan masa berlaku Asosiasi Keamanan (SA) Fase 1. Nilai default adalah 86400. Rentang nilai adalah 0 to 86400.

        • LocalId: Pengidentifikasi untuk sisi Alibaba Cloud dari saluran data.

          • Default: Alamat IP saluran data.

          • Format: Mendukung alamat IP atau FQDN (misalnya, example.aliyun.com). Spasi tidak diperbolehkan.

          • Rekomendasi: Gunakan alamat IP pribadi.

          • Persyaratan FQDN: Jika Anda menggunakan FQDN, pastikan ID peer pada gateway lokal sesuai dengan nilai ini, dan atur Negotiation Mode ke aggressive.

        • RemoteId: Pengidentifikasi untuk sisi lokal dari saluran data.

          • Default: Alamat IP gateway pelanggan terkait.

          • Format: Mendukung alamat IP atau FQDN (misalnya, example.aliyun.com). Spasi tidak diperbolehkan.

          • Rekomendasi: Gunakan alamat IP pribadi.

          • Persyaratan FQDN: Jika Anda menggunakan FQDN, pastikan ID lokal pada gateway lokal sesuai dengan nilai ini, dan atur Negotiation Mode ke aggressive.

      • IPsec Configurations:

        • Encryption Algorithm: Pilih algoritma enkripsi untuk negosiasi Fase 2.

          • Algoritma yang didukung: aes128 (default), aes192, aes256, des, dan 3des.

          • Rekomendasi: Gunakan algoritma AES (aes128, aes192, aes256), terutama untuk koneksi dengan bandwidth ≥ 200 Mbps.

            • AES: Menyediakan enkripsi kuat dengan performa efisien (dampak rendah terhadap latensi dan throughput).

            • 3des: Tidak direkomendasikan. Algoritma ini intensif secara komputasi dan membatasi performa forwarding dibandingkan AES.

        • Authentication Algorithm: Pilih algoritma autentikasi untuk negosiasi Fase 2. Algoritma yang didukung: sha1 (default), md5, sha256, sha384, dan sha512.

        • DH Group (Perfect Forward Secrecy): Pilih algoritma pertukaran kunci Diffie-Hellman untuk negosiasi Fase 2.

          • disabled: Menonaktifkan PFS. Pilih opsi ini jika klien tidak mendukung Perfect Forward Secrecy (PFS).

          • group1, group2 (default), group5, dan group14: Mengaktifkan PFS (DH1, DH2, DH5, DH14).

            • Persyaratan: Jika diaktifkan, kunci diperbarui selama setiap renegosiasi. Anda juga harus mengaktifkan PFS pada klien terkait.

        • SA Life Cycle (seconds): Menentukan masa berlaku Asosiasi Keamanan (SA) Fase 2. Nilai default adalah 86400. Rentang nilainya adalah 0 to 86400.

        • DPD: Pendeteksian Peer Mati.

          • Rekomendasi: Selalu aktifkan DPD (Default). Fitur ini mendeteksi kegagalan peer dalam waktu 30 detik dan memicu failover otomatis, memastikan ketersediaan tinggi.

          • Mekanisme: Sistem mengirim probe DPD. Jika tidak ada respons, peer dianggap terputus, dan saluran data dihentikan. Sistem kemudian mencoba membuat ulang koneksi.

          • Catatan: Gateway VPN lama yang menggunakan IKEv2 mungkin memiliki timeout 130 atau 3600 detik. Lakukan peningkatan ke versi terbaru untuk mendapatkan timeout standar 30 detik.

        • NAT Traversal:

          • Rekomendasi: Aktifkan fitur ini (Default).

          • Fungsi: Memungkinkan negosiasi IKE melewati perangkat NAT dengan melewati verifikasi port UDP, memastikan konektivitas melintasi batas NAT.

      Klik untuk melihat BGP Configuration

      Jika Anda telah mengaktifkan BGP, Anda harus menyelesaikan konfigurasi BGP untuk saluran data tersebut.

      Klik untuk melihat Health Check

      Fitur ini dinonaktifkan secara default.

      • Rekomendasi: Jangan mengonfigurasi pemeriksaan kesehatan untuk koneksi IPsec-VPN dalam skenario non-active/standby.

      • Persyaratan konfigurasi: Jika Anda memilih untuk mengaktifkan fitur ini, Anda harus memenuhi kriteria berikut:

        • Dukungan ICMP: Alamat IP tujuan harus mendukung balasan ICMP.

        • Rute Lokal: Anda harus menambahkan rute spesifik di pusat data lokal Anda untuk memastikan probe berfungsi dengan benar.

          • CIDR Tujuan: Alamat IP sumber pemeriksaan kesehatan.

          • Masker subnet: 32-bit (/32).

          • Lompatan berikutnya: Koneksi IPsec-VPN.

    Konfirmasi konfigurasi

    1. Tinjau konfigurasi, lalu klik OK di bagian bawah halaman.

    2. Pada kotak dialog yang muncul, klik Cancel untuk mengonfigurasi perutean nanti.

    3. Pada kolom Actions koneksi IPsec-VPN target, klik Generate Peer Configuration, salin konfigurasi, lalu simpan secara lokal untuk mengonfigurasi perangkat gateway lokal.

    API

    Panggil operasi CreateVpnConnection untuk membuat koneksi IPsec-VPN.

    2. Konfigurasikan rute gateway VPN dan VPC

    Konfigurasikan rute seperti yang dijelaskan dalam Konfigurasikan rute untuk gateway VPN.

    3. Konfigurasikan perangkat gateway lokal

    Gunakan konfigurasi peer yang Anda unduh pada langkah "Konfigurasikan koneksi IPsec-VPN" untuk menyelesaikan konfigurasi IPsec dan BGP (jika diaktifkan) pada perangkat gateway lokal Anda, seperti firewall atau router. Untuk petunjuk konfigurasi spesifik, lihat dokumentasi perangkat Anda. Lihat Konfigurasikan perangkat gateway lokal sebagai contoh referensi.