Membuat dan mengelola koneksi IPsec-VPN dalam mode satu-terowongan - VPN Gateway

Anda dapat membuat koneksi IPsec-VPN untuk menetapkan komunikasi terenkripsi antara pusat data lokal Anda dan virtual private cloud (VPC) melalui koneksi IPsec-VPN. Panduan ini menjelaskan cara membuat dan mengelola koneksi IPsec-VPN dalam mode satu-terowongan.

Informasi latar belakang

Saat membuat koneksi IPsec-VPN, Anda dapat mengaktifkan atau menonaktifkan fitur berikut:

DPD: Dead Peer Detection (DPD).
Setelah mengaktifkan DPD, koneksi IPsec-VPN akan mengirimkan paket DPD untuk memeriksa keberadaan peer. Jika tidak ada respons dari peer dalam periode waktu tertentu, koneksi gagal, dan Internet Security Association and Key Management Protocol (ISAKMP) SA, IPsec SA, serta terowongan IPsec dihapus. Sistem kemudian secara otomatis memulai negosiasi ulang IPsec-VPN.
Fitur ini diaktifkan secara default.
NAT Traversal: Penjelajahan Alamat Jaringan (NAT).
Setelah mengaktifkan NAT Traversal, penginisiasi tidak perlu memeriksa port UDP selama negosiasi Internet Key Exchange (IKE) dan dapat secara otomatis mendeteksi perangkat gateway NAT di sepanjang terowongan IPsec.
Fitur ini diaktifkan secara default.
BGP: Protokol Gateway Perbatasan (BGP) perutean dinamis.
Setelah mengaktifkan BGP, koneksi IPsec-VPN secara otomatis mempelajari dan mengiklankan rute, mempermudah pemeliharaan jaringan dan konfigurasi.
Perutean dinamis BGP dinonaktifkan secara default.
Health Check: Fitur pemeriksaan kesehatan koneksi IPsec-VPN.
Dalam skenario di mana gateway VPN yang sama digunakan untuk membuat koneksi IPsec-VPN aktif dan cadangan, Anda dapat mengonfigurasi pemeriksaan kesehatan untuk memeriksa konektivitas. Sistem mengirimkan paket Internet Control Message Protocol (ICMP) ke alamat IP tujuan untuk memverifikasi konektivitas. Jika koneksi aktif gagal, koneksi cadangan secara otomatis mengambil alih, meningkatkan ketersediaan layanan.
Catatan
Jika koneksi IPsec-VPN gagal dalam pemeriksaan kesehatan, sistem mereset terowongan IPsec. Dalam skenario tanpa koneksi aktif/cadangan, kami merekomendasikan menggunakan fitur DPD sebagai ganti pemeriksaan kesehatan untuk memeriksa konektivitas.
Fitur pemeriksaan kesehatan dinonaktifkan secara default.

Jika gateway VPN menggunakan versi terbaru, semua fitur seperti DPD, NAT Traversal, perutean dinamis BGP, dan pemeriksaan kesehatan didukung. Jika tidak, hanya fitur yang didukung oleh versi saat ini dari gateway VPN yang dapat digunakan.

Untuk memeriksa apakah gateway VPN adalah versi terbaru, gunakan tombol Upgrade. Jika bukan versi terbaru, Anda dapat meningkatkannya dengan mengklik tombol Upgrade. Untuk informasi lebih lanjut, lihat Tingkatkan Gateway VPN.

Prasyarat

Sebelum membuat koneksi IPsec-VPN, pastikan Anda memahami prosedur penggunaan dan telah menyelesaikan semua langkah persiapan. Untuk informasi lebih lanjut, lihat Prosedur.

Buat koneksi IPsec-VPN

Masuk ke Konsol Gateway VPN.
Di panel navigasi sisi kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.
Di halaman IPsec Connections, klik Bind VPN Gateway.

Di halaman Create Ipsec Connection (VPN), konfigurasikan koneksi IPsec-VPN sesuai dengan informasi yang disediakan, lalu klik OK.

Konfigurasi Dasar

Parameter	Deskripsi
Name	Masukkan nama untuk koneksi IPsec-VPN.
Region	Pilih wilayah tempat gateway VPN yang akan dikaitkan dengan koneksi IPsec-VPN ditempatkan. Koneksi IPsec-VPN dibuat di wilayah yang sama dengan gateway VPN.
Resource Group	Pilih grup sumber daya tempat gateway VPN milik. Jika Anda membiarkan parameter ini kosong, sistem akan menampilkan gateway VPN di semua grup sumber daya.
Bind VPN Gateway	Pilih gateway VPN yang akan dikaitkan dengan koneksi IPsec-VPN.
Routing Mode	Pilih mode perutean untuk koneksi IPsec-VPN. Destination Routing Mode (default): merute dan meneruskan lalu lintas berdasarkan alamat IP tujuan. Protected Data Flows: merute dan meneruskan lalu lintas berdasarkan alamat IP sumber dan tujuan. Jika Anda memilih Protected Data Flows, Anda harus mengonfigurasi Local Network dan Remote Network. Setelah koneksi IPsec-VPN dikonfigurasi, sistem secara otomatis menambahkan rute berbasis kebijakan ke tabel rute berbasis kebijakan gateway VPN. Secara default, rute berbasis kebijakan tidak diiklankan. Anda dapat menentukan apakah akan mengiklankan rute ke tabel rute VPC berdasarkan kebutuhan Anda. Untuk informasi lebih lanjut, lihat Iklankan rute berbasis kebijakan. Catatan Jika koneksi IPsec-VPN dikaitkan dengan gateway VPN dan gateway VPN tersebut merupakan versi sebelumnya, Anda tidak perlu memilih mode perutean.
Local Network	Jika Routing Mode disetel ke Protected Data Flows, masukkan blok CIDR VPC yang akan dihubungkan ke pusat data. Negosiasi Fase-2 didasarkan pada aliran data yang dilindungi di kedua sisi. Kami merekomendasikan agar Anda menentukan blok CIDR yang sama untuk Local Network dan jaringan remote di sisi pusat data. Klik ikon di sebelah kanan kotak teks untuk menambahkan beberapa blok CIDR VPC. Catatan Jika Anda mengonfigurasi beberapa blok CIDR, Anda harus menyetel ikev2 sebagai versi IKE.
Remote Network	Jika Routing Mode disetel ke Protected Data Flows, masukkan blok CIDR pusat data yang akan dihubungkan ke VPC. Negosiasi Fase-2 didasarkan pada aliran data yang dilindungi di kedua sisi. Kami merekomendasikan agar Anda menentukan blok CIDR yang sama untuk Remote Network dan jaringan lokal di sisi pusat data. Klik ikon di sebelah kanan kotak teks untuk menambahkan beberapa blok CIDR pusat data. Catatan Jika Anda mengonfigurasi beberapa blok CIDR, Anda harus menyetel ikev2 sebagai versi IKE.
Effective Immediately	Tentukan apakah akan segera memulai negosiasi IPsec. Yes (default): memulai negosiasi IPsec segera setelah konfigurasi selesai. No: memulai negosiasi IPsec hanya ketika lalu lintas terdeteksi.
Customer Gateway	Pilih gateway pelanggan yang akan dikaitkan dengan koneksi IPsec-VPN.
Pre-shared Key	Masukkan kunci autentikasi untuk koneksi IPsec-VPN. Kunci ini digunakan untuk autentikasi identitas antara gateway VPN dan pusat data. Kunci harus memiliki panjang 1 hingga 100 karakter dan dapat berisi angka, huruf besar, huruf kecil, dan karakter khusus berikut: ~`!@#$%^&()_-+={}[]\\|;:',.<>/?. Kunci tidak boleh berisi spasi.. Jika Anda tidak menentukan kunci pra-berbagi, sistem secara acak menghasilkan string 16 karakter sebagai kunci pra-berbagi. Setelah koneksi IPsec-VPN dibuat, Anda dapat mengklik Edit* untuk melihat kunci pra-berbagi yang dihasilkan oleh sistem. Untuk informasi lebih lanjut, lihat Modifikasi koneksi IPsec-VPN. Penting Kunci pra-berbagi yang dikonfigurasi di kedua sisi koneksi IPsec-VPN harus sama. Jika tidak, koneksi IPsec-VPN tidak dapat dibuat.
Enable BGP	Jika Anda ingin menggunakan perutean BGP untuk koneksi IPsec-VPN, nyalakan Aktifkan BGP. Secara default, Aktifkan BGP dimatikan. Sebelum Anda menggunakan perutean dinamis BGP, kami merekomendasikan agar Anda mempelajari lebih lanjut tentang cara kerjanya dan batasannya. Untuk informasi lebih lanjut, lihat Konfigurasikan perutean dinamis BGP.
Local ASN	Masukkan nomor sistem otonom (ASN) koneksi IPsec-VPN di sisi Alibaba Cloud. Nilai default: 45104. Nilai valid: 1 To 4294967295. Anda dapat memasukkan ASN dalam dua segmen dan memisahkan 16 bit pertama dari 16 bit berikutnya dengan titik (.). Masukkan angka di setiap segmen dalam format desimal. Contohnya, jika Anda memasukkan 123.456, ASN adalah 123 × 65536 + 456 = 8061384. Catatan Kami merekomendasikan agar Anda menggunakan ASN pribadi untuk menetapkan koneksi dengan Alibaba Cloud melalui BGP. Untuk informasi lebih lanjut tentang rentang valid ASN pribadi, lihat dokumentasi terkait.

Pengaturan Enkripsi

Parameter	Deskripsi
Encryption Settings: IKE Configurations
Version	Pilih versi IKE. ikev1 ikev2 (default) Dibandingkan dengan IKEv1, IKEv2 menyederhanakan negosiasi SA dan memberikan dukungan yang lebih baik untuk skenario di mana beberapa blok CIDR digunakan. Kami merekomendasikan agar Anda menggunakan IKEv2.
Negotiation Mode	Pilih mode negosiasi. main (default): mode utama. Mode ini memberikan keamanan yang lebih tinggi selama negosiasi. aggressive: mode agresif. Mode ini lebih cepat dan memiliki tingkat keberhasilan yang lebih tinggi selama negosiasi. Mode mendukung tingkat keamanan yang sama untuk transmisi data.
Encryption Algorithm	Pilih algoritma enkripsi yang digunakan dalam negosiasi Fase 1. Algoritma enkripsi dapat berupa aes (aes128, default), aes192, aes256, des, atau 3des. Catatan Jika bandwidth gateway VPN adalah 200 Mbps atau lebih tinggi, kami merekomendasikan agar Anda menggunakan algoritma enkripsi aes, aes192, atau aes256. Kami tidak merekomendasikan agar Anda menggunakan algoritma enkripsi 3des. Advanced Encryption Standard (AES) adalah algoritma enkripsi kunci simetris yang memberikan enkripsi dan dekripsi tingkat tinggi. AES memiliki sedikit dampak pada latensi jaringan, throughput, dan kinerja penerusan sambil memastikan keamanan transmisi data. 3des adalah algoritma enkripsi data tiga kali lipat. Dibutuhkan waktu lama untuk mengenkripsi data dan memiliki kompleksitas algoritma yang tinggi serta jumlah komputasi yang besar. Dibibandingkan dengan AES, 3DES mengurangi kinerja penerusan.
Authentication Algorithm	Pilih algoritma autentikasi yang digunakan dalam negosiasi Fase 1. Algoritma autentikasi dapat berupa sha1 (default), md5, sha256, sha384, atau sha512. Catatan Saat Anda menambahkan konfigurasi VPN ke perangkat gateway lokal Anda, Anda mungkin perlu menentukan algoritma Probabilistic Random Forest (PRF). Pastikan bahwa algoritma PRF juga digunakan sebagai algoritma autentikasi dalam negosiasi IKE.
DH Group	Pilih algoritma pertukaran kunci Diffie-Hellman (DH) yang digunakan dalam negosiasi Fase 1. group1: Grup DH 1. group2 (default): Grup DH 2. group5: Grup DH 5. group14: Grup DH 14.
Lifecycle (seconds)	Tentukan siklus hidup SA setelah negosiasi Fase 1 berhasil. Unit: detik. Nilai default: 86400. Nilai valid: 0 To 86400.
LocalId	Masukkan pengenal koneksi IPsec-VPN di sisi Alibaba Cloud. Nilai default adalah alamat IP gateway VPN. Parameter ini hanya digunakan untuk mengidentifikasi Alibaba Cloud dalam negosiasi IPsec-VPN. Anda dapat menggunakan alamat IP atau nama domain lengkap (FQDN) sebagai ID. Nilai tidak boleh berisi spasi. Kami merekomendasikan agar Anda menggunakan alamat IP pribadi sebagai pengenal koneksi IPsec-VPN di sisi Alibaba Cloud. Jika Anda menggunakan FQDN sebagai LocalId, misalnya, example.aliyun.com, ID peer dari koneksi IPsec-VPN di sisi pusat data harus sama dengan nilai LocalId. Kami merekomendasikan agar Anda memilih aggressive (mode agresif) sebagai mode negosiasi.
RemoteId	Masukkan pengenal koneksi IPsec-VPN di sisi pusat data. Nilai default adalah alamat IP gateway pelanggan. Parameter ini hanya digunakan untuk mengidentifikasi pusat data dalam negosiasi IPsec-VPN. Anda dapat menggunakan alamat IP atau FQDN sebagai ID. Nilai tidak boleh berisi spasi. Kami merekomendasikan agar Anda menggunakan alamat IP pribadi sebagai pengenal koneksi IPsec-VPN di sisi pusat data. Jika Anda menggunakan FQDN sebagai RemoteId, misalnya, example.aliyun.com, ID lokal dari koneksi IPsec-VPN di sisi pusat data harus sama dengan nilai RemoteId. Kami merekomendasikan agar Anda memilih aggressive (mode agresif) sebagai mode negosiasi.
Encryption Settings: Ipsec Configurations
Encryption Algorithm	Pilih algoritma enkripsi yang digunakan dalam negosiasi Fase 2. Algoritma enkripsi dapat berupa aes (aes128, default), aes192, aes256, des, atau 3des. Catatan Jika bandwidth gateway VPN adalah 200 Mbps atau lebih tinggi, kami merekomendasikan agar Anda menggunakan algoritma enkripsi aes, aes192, atau aes256. Kami tidak merekomendasikan agar Anda menggunakan algoritma enkripsi 3des. Advanced Encryption Standard (AES) adalah algoritma enkripsi kunci simetris yang memberikan enkripsi dan dekripsi tingkat tinggi. AES memiliki sedikit dampak pada latensi jaringan, throughput, dan kinerja penerusan sambil memastikan keamanan transmisi data. 3des adalah algoritma enkripsi data tiga kali lipat. Dibutuhkan waktu lama untuk mengenkripsi data dan memiliki kompleksitas algoritma yang tinggi serta jumlah komputasi yang besar. Dibandingkan dengan AES, 3DES mengurangi kinerja penerusan.
Authentication Algorithm	Pilih algoritma autentikasi yang digunakan dalam negosiasi Fase 2. Algoritma autentikasi dapat berupa sha1 (default), md5, sha256, sha384, atau sha512.
DH Group	Pilih algoritma pertukaran kunci DH yang digunakan dalam negosiasi Fase 2. disabled: tidak menggunakan algoritma pertukaran kunci DH. Jika klien tidak mendukung Perfect Forward Secrecy (PFS), pilih disabled. Jika Anda memilih grup selain disabled, fitur PFS diaktifkan secara default. Dengan cara ini, kunci baru diperlukan untuk setiap renegosiasi. Klien juga harus mengaktifkan fitur PFS. group1: Grup DH 1. group2 (default): Grup DH 2. group5: Grup DH 5. group14: Grup DH 14.
Lifecycle (seconds)	Tentukan siklus hidup SA setelah negosiasi Fase 2 berhasil. Unit: detik. Nilai default: 86400. Nilai valid: 0 To 86400.
DPD	Tentukan apakah akan mengaktifkan fitur DPD. Secara default, fitur DPD diaktifkan. Periode timeout paket DPD adalah 30 detik. Catatan Dalam skenario di mana koneksi IPsec-VPN menggunakan IKEv2, periode timeout DPD beberapa gateway VPN yang ada mungkin 130 detik atau 3.600 detik. Anda dapat memperbarui gateway VPN Anda ke versi terbaru.
NAT Traversal	Tentukan apakah akan mengaktifkan fitur penjelajahan NAT. Secara default, fitur penjelajahan NAT diaktifkan.

BGP Configuration

Jika Anda mengaktifkan BGP untuk koneksi IPsec-VPN, tentukan blok CIDR terowongan BGP dan alamat IP BGP di sisi Alibaba Cloud.

Parameter

Deskripsi

Tunnel CIDR Block

Masukkan blok CIDR terowongan IPsec.

Blok CIDR harus berupa subnet dengan subnet mask /30 dalam blok CIDR 169.254.0.0/16. Blok CIDR tidak boleh 169.254.0.0/30, 169.254.1.0/30, 169.254.2.0/30, 169.254.3.0/30, 169.254.4.0/30, 169.254.5.0/30, atau 169.254.169.252/30.

Local BGP IP address

Masukkan alamat IP BGP koneksi IPsec-VPN di sisi Alibaba Cloud.

Alamat IP ini harus berada dalam blok CIDR terowongan IPsec.

Pemeriksaan Kesehatan

Secara default, fitur pemeriksaan kesehatan dinonaktifkan. Aktifkan fitur ini sebelum menambahkan konfigurasi pemeriksaan kesehatan.

Penting

Setelah mengonfigurasi pemeriksaan kesehatan untuk koneksi IPsec-VPN, tambahkan rute ke pusat data. Tetapkan blok CIDR tujuan ke Source IP Address, subnet mask menjadi 32 bit, dan hop berikutnya ke koneksi IPsec-VPN. Ini memastikan bahwa fitur pemeriksaan kesehatan berfungsi dengan baik.

Parameter	Deskripsi
Destination IP Address	Masukkan alamat IP pusat data yang dapat berkomunikasi dengan VPC berdasarkan koneksi IPsec-VPN. Catatan Pastikan bahwa alamat IP tujuan mendukung respons ICMP.
Source IP Address	Masukkan alamat IP VPC yang dapat berkomunikasi dengan pusat data berdasarkan koneksi IPsec-VPN.
Retry Interval	Tentukan interval ulangi pemeriksaan kesehatan. Unit: detik. Nilai default: 3.
Number of Retries	Masukkan jumlah percobaan ulang pemeriksaan kesehatan. Nilai default: 3.

Tag

Saat membuat koneksi IPsec-VPN, Anda dapat menambahkan tag untuk mempermudah agregasi dan pencarian sumber daya. Untuk informasi lebih lanjut, lihat Tag.

Parameter	Deskripsi
Tag Key	Kunci tag koneksi IPsec-VPN. Anda dapat memilih atau memasukkan kunci tag.
Tag Value	Pilih atau masukkan nilai tag. Anda dapat meninggalkan nilai tag kosong.

Untuk mengonfigurasi rute gateway VPN nanti, klik Cancel di kotak dialog yang muncul.
Di halaman IPsec Connections, temukan koneksi IPsec-VPN yang ingin Anda kelola, dan klik Download Configuration di kolom Actions.
Di kotak dialog IPsec-VPN Connection Configuration, salin konfigurasi dan simpan ke jalur lokal. Gunakan konfigurasi tersebut untuk mengonfigurasi perangkat gateway lokal Anda.

Apa yang Harus Dilakukan Selanjutnya

Konfigurasikan Rute Gateway VPN.
Konfigurasikan Perangkat Gateway Lokal Anda berdasarkan konfigurasi koneksi IPsec-VPN yang Anda unduh.

Kelola Koneksi IPsec-VPN

Modifikasi Koneksi IPsec-VPN

Anda tidak dapat memodifikasi gateway VPN dan gateway pelanggan yang dikaitkan dengan koneksi IPsec-VPN. Namun, Anda dapat memodifikasi mode perutean, kunci pra-berbagi, dan pengaturan enkripsi.

Masuk ke Konsol Gateway VPN.
Di panel navigasi sisi kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.
Di bilah navigasi atas, pilih wilayah koneksi IPsec-VPN.
Di halaman Ipsec Connections, temukan koneksi IPsec-VPN yang ingin Anda modifikasi dan klik Operation Edit di kolom.
Di halaman Edit Ipsec Connection, modifikasi nama, pengaturan enkripsi, dan blok CIDR koneksi IPsec-VPN, lalu klik OK.
Untuk informasi lebih lanjut tentang parameter, lihat Buat Koneksi IPsec-VPN.

Hapus Koneksi IPsec-VPN

Masuk ke Konsol Gateway VPN.
Di panel navigasi sisi kiri, pilih Cross-network Interconnection > VPN > IPsec Connections.
Di bilah navigasi atas, pilih wilayah koneksi IPsec-VPN.
Di halaman Ipsec Connections, temukan koneksi IPsec-VPN yang ingin Anda hapus dan klik Operation Delete di kolom.
Di kotak dialog yang muncul, konfirmasikan informasi dan klik OK.

Buat dan kelola koneksi IPsec-VPN dengan memanggil API

Anda dapat memanggil API untuk membuat dan mengelola koneksi IPsec-VPN menggunakan Alibaba Cloud SDK (direkomendasikan), Alibaba Cloud CLI, Terraform, atau Resource Orchestration Service. Operasi API berikut tersedia: