All Products
Search

This Product

    VPN Gateway:Koneksi IPsec-VPN (dilampirkan ke TR)

    Document Center

    VPN Gateway:Koneksi IPsec-VPN (dilampirkan ke TR)

    Last Updated:Jun 22, 2026

    Saat melampirkan koneksi IPsec-VPN ke router transit (TR), Anda tidak perlu membuat VPN gateway di cloud. Cukup konfigurasikan koneksi IPsec-VPN untuk menghubungkan TR ke pusat data lokal Anda.

    Cara kerja

    • Koneksi IPsec-VPN yang dilampirkan ke TR beroperasi dalam mode dual-tunnel

      • Active-active: Kedua tunnel secara otomatis membentuk tautan ECMP (Equal-Cost Multipath Routing) untuk mengirimkan traffic secara bersamaan, sehingga memungkinkan load balancing.

      • Pemulihan bencana tingkat zona ketersediaan: Secara default, kedua tunnel ditempatkan di zona ketersediaan yang berbeda guna menyediakan pemulihan bencana lintas zona. Untuk wilayah yang hanya mendukung satu zona ketersediaan, kedua tunnel ditempatkan di zona ketersediaan yang sama. Dalam kasus ini, pemulihan bencana tingkat zona tidak didukung, tetapi redundansi tautan tetap tersedia.

    • Transmisi Trafik

      • Traffic egress: Saat kedua tunnel tersedia, keduanya membentuk tautan ECMP. Traffic didistribusikan berdasarkan algoritma hash dan tidak dijamin terdistribusi merata di antara kedua tunnel. Jika salah satu tunnel gagal, sistem secara otomatis mengalihkan traffic ke tunnel lainnya.

      • Traffic ingress: Jalur traffic bergantung pada konfigurasi perutean pusat data lokal Anda. Kami menyarankan Anda mengonfigurasi perutean ECMP untuk mengirimkan traffic ke cloud melalui kedua tunnel guna memastikan simetri jalur dengan traffic egress. Jika pusat data lokal Anda dikonfigurasi dengan rute active-standby atau mengirimkan traffic untuk blok CIDR tertentu hanya melalui satu tunnel, perutean asimetris dapat mencegah traffic balik mencapai pusat data lokal melalui jalur yang diharapkan.

    • Prinsip perutean

      • Kami menyarankan Anda menggunakan perutean dinamis BGP. Jika menggunakan perutean statis, pastikan gateway lokal Anda mendukung ECMP statis. Jika tidak, Anda tidak dapat mencapai load balancing ECMP untuk traffic dari pusat data lokal ke cloud, yang mengakibatkan jalur asimetris.

      • Kedua tunnel harus menggunakan protokol perutean yang sama (keduanya BGP atau keduanya perutean statis).

      • Saat menggunakan BGP, kedua tunnel harus menggunakan nomor sistem otonom lokal (ASN) yang sama. Kami juga menyarankan Anda menggunakan ASN peer yang sama untuk kedua tunnel.

    Buat koneksi IPsec-VPN

    Sebelum memulai, pastikan bahwa:

    Konsol

    Buka halaman Koneksi IPsec di konsol vpn gateway, klik Bind CEN, lalu konfigurasikan parameter berikut:

    • Name: Gunakan konvensi penamaan yang konsisten dan mudah dibaca, seperti {project}-{env}-{type}.

    • Region: Pilih wilayah tempat router transit tujuan ditempatkan.

    • Gateway Type:

    • Tunnel Bandwidth:

      Fitur bandwidth 3 Gbps sedang dalam pratinjau undangan saja. Untuk menggunakan fitur ini, hubungi manajer akun Anda.

      • Standard: Bandwidth 1 Gbps per tunnel.

      • Large: Bandwidth 3 Gbps per tunnel.

    • Bind CEN:

      • Same Account: Lampirkan koneksi IPsec-VPN ke TR yang dimiliki oleh akun saat ini.

      • Cross Account: Lampirkan koneksi IPsec-VPN ke TR yang dimiliki oleh akun lain. Setelah koneksi IPsec-VPN dibuat, Anda harus melakukan langkah-langkah berikut untuk menyelesaikan pelampiran:

        1. Di halaman Koneksi IPsec akun Anda, berikan izin cross-account pada koneksi IPsec-VPN kepada TR.

        2. Di akun peer, buat koneksi VPN cross-account.

    • CEN Instance ID: Pilih instans Cloud Enterprise Network (CEN) tempat TR berada.

      Parameter ini wajib hanya jika Anda mengatur Bind CEN ke Same Account.

    • Routing Mode:

      • Destination Routing Mode (default): Meneruskan traffic berdasarkan alamat IP tujuan. Mode ini cocok untuk skenario sederhana.

      • Protected Data Flows: Meneruskan traffic berdasarkan alamat IP sumber dan tujuan. Hanya traffic yang sesuai dengan aliran yang ditentukan yang dikirimkan melalui tunnel VPN.

        Jika Anda memilih mode ini, Anda harus mengonfigurasi Local Network (blok CIDR di VPC yang perlu berkomunikasi) dan Remote Network (blok CIDR di pusat data lokal yang perlu berkomunikasi).

        Setelah koneksi IPsec-VPN dikonfigurasi, sistem secara otomatis menghasilkan entri rute berbasis kebijakan. Source CIDR Block adalah Local Network koneksi IPsec-VPN, dan Destination CIDR Block adalah Remote Network koneksi IPsec-VPN. Lompatan berikutnya mengarah ke koneksi IPsec-VPN. Anda dapat mengumumkan entri rute ini ke tabel rute VPC. Opsi ini dinonaktifkan secara default.

        • Saat Anda mengonfigurasi aliran data terlindungi di perangkat gateway lokal Anda, pastikan blok CIDR-nya konsisten dengan sisi Alibaba Cloud, tetapi dengan jaringan lokal dan remote saling ditukar.

        • Anda dapat mengklik ikon 添加 di sebelah kanan kotak teks untuk menambahkan beberapa blok CIDR. Jika Anda mengonfigurasi beberapa blok CIDR, Anda harus mengatur versi IKE ke ikev2.

    • Effective Immediately: Saat membuat koneksi IPsec-VPN, pilih Yes. Saat memodifikasi koneksi IPsec-VPN yang sudah ada:

      • Yes: Sistem segera memutus tunnel IPsec saat ini dan memulai negosiasi IKE baru dengan parameter baru untuk membangun kembali tunnel. Hal ini menyebabkan gangguan traffic singkat.

      • No: Konfigurasi baru tidak langsung diterapkan. Sebaliknya, parameter baru digunakan selama negosiasi ulang berikutnya, yang terjadi ketika masa berlaku SA (Security Association) saat ini berakhir. Hingga saat itu, tunnel tetap beroperasi dengan konfigurasi lama.

    • Advanced Configuration (including route table association and route forwarding): Kami menyarankan Anda memilih semua opsi.

      • Automatic Advertising: Mengaktifkan fitur sinkronisasi rute untuk TR. Fitur ini secara otomatis mengumumkan rute dari tabel rute TR ke tabel rute koneksi IPsec-VPN.

      • Automatically Associate with Default Route Table of Transit Router: Traffic yang masuk ke TR dari koneksi IPsec-VPN diteruskan berdasarkan tabel rute default TR.

      • Automatically Advertise System Routes to Default Route Table of Transit Router: Mengaktifkan fitur pembelajaran rute untuk TR. TR secara otomatis mempelajari rute dari tabel rute koneksi IPsec-VPN.

    • BGP Configurations: Untuk informasi lebih lanjut, lihat Aktifkan atau nonaktifkan BGP.

    • Tunnel Configurations: Untuk informasi lebih lanjut tentang parameter Tunnel 1 (Primary) dan Tunnel 1 (Backup), lihat Konfigurasi tunnel dan enkripsi.

    API

    Panggil operasi CreateVpnAttachment untuk membuat koneksi IPsec-VPN yang dilampirkan ke TR.

    Langkah selanjutnya

    Setelah membuat koneksi IPsec-VPN, Anda harus melakukan langkah-langkah berikut untuk menghubungkan VPC dan pusat data lokal Anda:

    1. Konfigurasikan rute.

    2. Konfigurasikan perangkat gateway lokal Anda: Di perangkat gateway pusat data lokal Anda, seperti firewall atau router, konfigurasikan IPsec dan BGP (jika diaktifkan) agar sesuai dengan pengaturan koneksi IPsec-VPN di Alibaba Cloud.

    Aktifkan atau nonaktifkan BGP

    Sebelum mengaktifkan BGP untuk koneksi IPsec-VPN, pastikan instans gateway pelanggan terkait telah dikonfigurasi dengan nomor sistem otonom lokal (ASN).

    Koneksi IPsec-VPN memiliki parameter BGP berikut:

    • Local ASN: ASN di sisi Alibaba Cloud setelah Anda mengaktifkan BGP. Kedua tunnel menggunakan ASN yang sama. Nilai default: 45104. Nilai valid: 1 hingga 4294967295. Kami menyarankan Anda menggunakan ASN pribadi untuk perangkat lokal peer.

    • Tunnel CIDR Block: Blok CIDR interkoneksi yang digunakan untuk membuat koneksi peering BGP. Dalam satu instans vpn gateway, blok CIDR tunnel untuk setiap tunnel harus unik. Blok CIDR harus merupakan subnet /30 dalam 169.254.0.0/16 dan tidak boleh 169.254.0.0/30, 169.254.1.0/30, 169.254.2.0/30, 169.254.3.0/30, 169.254.4.0/30, 169.254.5.0/30, atau 169.254.169.252/30.

    • Local BGP IP address: Alamat IP BGP di sisi Alibaba Cloud, yang harus berada dalam blok CIDR tunnel. Misalnya, dalam blok CIDR 169.254.10.0/30, Anda dapat menggunakan 169.254.10.1.

    Untuk informasi tentang dukungan fitur BGP, prinsip pengumuman rute, dan batasan, lihat Perutean dinamis BGP (dilampirkan ke TR).

    Konsol

    Aktifkan BGP

    • Saat membuat koneksi IPsec-VPN:

      • Di bagian Dual-Tunnel Settings, aktifkan Enable BGP dan konfigurasikan Local ASN.

      • Di bagian BGP Configuration untuk setiap tunnel, masukkan Tunnel CIDR Block dan Local BGP IP address.

    • Untuk koneksi IPsec-VPN yang sudah ada, buka halaman detailnya dan aktifkan Enable BGP di bagian IPsec Connections.

      Pastikan instans gateway pelanggan telah dikonfigurasi dengan ASN. Jika belum, Anda harus membuat gateway pelanggan baru. Kemudian, di halaman detail koneksi IPsec-VPN, klik Edit di kolom Actions setiap tunnel untuk mengaitkan tunnel tersebut dengan gateway pelanggan baru.

    Nonaktifkan BGP

    Di halaman detail koneksi IPsec-VPN, matikan sakelar untuk BGP Configuration di bagian IPsec Connections.

    API

    • Saat membuat koneksi IPsec-VPN, gunakan parameter EnableTunnelsBgp dari operasi CreateVpnAttachment untuk mengaktifkan BGP, dan gunakan parameter TunnelOptionsSpecification -> TunnelBgpConfig untuk mengonfigurasi opsi BGP untuk setiap tunnel.

    • Untuk koneksi IPsec-VPN yang sudah ada, gunakan parameter EnableTunnelsBgp dari operasi ModifyVpnConnectionAttribute untuk mengaktifkan atau menonaktifkan BGP, dan gunakan parameter TunnelOptionsSpecification -> TunnelBgpConfig untuk mengonfigurasi opsi BGP untuk setiap tunnel.

    Konfigurasi tunnel dan enkripsi

    Penting

    Saat membuat koneksi IPsec-VPN dalam mode dual-tunnel, Anda harus mengonfigurasi kedua tunnel dan memastikan keduanya aktif. Jika hanya satu tunnel yang dikonfigurasi atau digunakan, Anda kehilangan redundansi tautan dan pemulihan bencana tingkat zona ketersediaan.

    Saat membuat atau mengedit koneksi IPsec-VPN, Anda harus mengonfigurasi tiga kelompok parameter tunnel berikut:

    1. Basic Settings:

      • Customer Gateway: Pilih instans gateway pelanggan yang merepresentasikan perangkat gateway lokal Anda. Kedua tunnel dapat dikaitkan dengan gateway pelanggan yang sama.

      • Pre-Shared Key: Kunci rahasia yang digunakan untuk autentikasi. Kunci pra-bersama kedua tunnel harus persis sama dengan kunci yang dikonfigurasi di perangkat gateway lokal. Jika Anda mengosongkan parameter ini, sistem akan menghasilkan kunci acak.

    2. Encryption Configuration:

      • IKE Configurations (enkripsi Fase 1)

        Parameter

        Deskripsi

        Version

        Kami menyarankan menggunakan ikev2. Versi ini menyederhanakan proses negosiasi SA dan memberikan dukungan lebih baik untuk skenario dengan beberapa blok CIDR.

        Negotiation Mode

        main (default): Mode utama. Mode ini mengenkripsi informasi identitas selama transmisi dan memberikan keamanan lebih tinggi selama negosiasi dibandingkan mode agresif.

        aggressive: Mode agresif. Mode ini menawarkan negosiasi lebih cepat dan tingkat keberhasilan lebih tinggi.

        Setelah negosiasi berhasil, kedua mode memberikan tingkat keamanan yang sama untuk transmisi data.

        Encryption Algorithm

        Algoritma enkripsi yang digunakan dalam negosiasi Fase 1.

        Algoritma yang didukung: AES128-GCM16 (dalam pratinjau), AES256-GCM16 (dalam pratinjau), AES128, AES192, AES256, DES, dan 3DES (tidak disarankan).

        Algoritma enkripsi AES128-GCM16 dan AES256-GCM16 sedang dalam pratinjau undangan saja. Untuk menggunakannya, hubungi manajer akun Anda.

        Authentication Algorithm

        Algoritma autentikasi yang digunakan dalam negosiasi Fase 1.

        Algoritma yang didukung: sha1 (default), md5, sha256, sha384, dan sha512.

        Saat mengonfigurasi VPN di beberapa perangkat gateway lokal, Anda mungkin perlu menentukan algoritma PRF. Algoritma PRF harus sama dengan algoritma autentikasi IKE.

        DH Group (Perfect Forward Secrecy)

        Pilih algoritma pertukaran kunci Diffie-Hellman (DH) untuk negosiasi Fase 1.

        • disabled: Menonaktifkan algoritma pertukaran kunci DH.

          • Pilih disabled untuk klien yang tidak mendukung perfect forward secrecy (PFS).

          • Jika Anda memilih grup apa pun selain disabled, fitur PFS diaktifkan secara default. Hal ini mengharuskan kunci diperbarui pada setiap negosiasi ulang. Oleh karena itu, Anda juga harus mengaktifkan PFS di perangkat gateway lokal Anda.

        • group1/2/5/14/15-24: Nomor grup DH yang lebih besar menunjukkan keamanan lebih tinggi tetapi juga mengonsumsi lebih banyak sumber daya.

          Dukungan untuk grup DH 15 hingga 24 sedang dalam pratinjau undangan saja. Untuk menggunakan grup ini, hubungi manajer akun Anda.

        SA Life Cycle (seconds)

        Masa berlaku SA (Security Association) yang dibuat dalam Fase 1. Nilai default: 86400. Nilai valid: 0 hingga 86400.

        LocalId

        Identifikasi ujung lokal tunnel. Secara default, alamat IP tunnel digunakan sebagai identifikasi lokal.

        Parameter ini mengidentifikasi titik akhir Alibaba Cloud selama negosiasi koneksi IPsec-VPN. Nilainya dapat berupa alamat IP atau Fully Qualified Domain Name (FQDN) dan tidak boleh mengandung spasi. Kami menyarankan menggunakan alamat IP pribadi sebagai identifikasi ujung lokal tunnel.

        Jika Anda menggunakan FQDN untuk LocalId, seperti example.aliyun.com, ID peer yang dikonfigurasi di perangkat gateway lokal Anda harus sesuai dengan nilai LocalId. Kami menyarankan Anda mengatur mode negosiasi ke aggressive.

        RemoteId

        Identifikasi ujung remote tunnel. Secara default, alamat IP di gateway pelanggan terkait digunakan sebagai identifikasi remote.

        Parameter ini mengidentifikasi perangkat gateway lokal selama negosiasi koneksi IPsec-VPN. Nilainya dapat berupa alamat IP atau Fully Qualified Domain Name (FQDN) dan tidak boleh mengandung spasi. Kami menyarankan menggunakan alamat IP pribadi sebagai identifikasi ujung remote tunnel.

        Jika Anda menggunakan FQDN untuk RemoteId, seperti example.aliyun.com, ID lokal yang dikonfigurasi di perangkat gateway lokal Anda harus sesuai dengan nilai RemoteId. Kami menyarankan Anda mengatur mode negosiasi ke aggressive.

      • IPsec Configurations (enkripsi Fase 2)

        Konfigurasikan parameter untuk negosiasi Fase 2:

        • Encryption Algorithm, Authentication Algorithm, DH Group (Perfect Forward Secrecy), dan SA Life Cycle (seconds): Anda dapat merujuk ke deskripsi opsi yang sesuai di bagian IKE Configurations Fase 1.

        • DPD: Kami menyarankan agar fitur ini tetap diaktifkan. DPD (Dead Peer Detection) memeriksa apakah perangkat peer aktif. Jika peer mengalami timeout (setelah 30 detik), SA dihapus dan negosiasi ulang dimulai secara otomatis.

        • NAT Traversal: Kami menyarankan agar fitur ini tetap diaktifkan. Saat diaktifkan, sistem secara otomatis mendeteksi perangkat NAT selama negosiasi tunnel. Jika perangkat NAT terdeteksi, enkapsulasi UDP 4500 digunakan. Selama transmisi data, validasi port UDP dilewati untuk memastikan paket dengan nomor port yang diubah oleh NAT tetap diterima dengan benar.

    3. BGP Configuration: Opsi ini tersedia hanya setelah BGP diaktifkan. Untuk informasi lebih lanjut, lihat Aktifkan atau nonaktifkan BGP.

    Kelola koneksi IPsec-VPN

    Modifikasi konfigurasi tunnel

    Konsol

    Klik Instance ID koneksi IPsec-VPN target untuk membuka halaman detail. Di kolom Actions tunnel target, klik Edit untuk memodifikasi konfigurasi tunnel.

    Untuk deskripsi setiap parameter, lihat Konfigurasi tunnel dan enkripsi.

    Penting

    Saat membuat koneksi IPsec-VPN dalam mode dual-tunnel, Anda harus mengonfigurasi kedua tunnel dan memastikan keduanya aktif. Jika hanya satu tunnel yang dikonfigurasi atau digunakan, Anda kehilangan redundansi tautan dan pemulihan bencana tingkat zona ketersediaan.

    API

    Panggil operasi ModifyTunnelAttribute untuk memodifikasi konfigurasi tunnel.

    Modifikasi koneksi IPsec-VPN

    • Jika koneksi IPsec-VPN dilampirkan ke instans router transit, Anda tidak dapat memodifikasi instans router transit terkait atau jenis gateway. Anda hanya dapat memodifikasi Routing Mode dan pengaturan Effective Immediately.

    • Jika koneksi IPsec-VPN tidak dilampirkan ke router transit, Anda tidak dapat memodifikasi jenis gateway-nya. Anda hanya dapat memodifikasi Routing Mode dan pengaturan Effective Immediately.

    Konsol

    1. Buka halaman Koneksi IPsec di konsol VPC, alihkan ke wilayah target, lalu klik Edit di kolom Actions koneksi IPsec-VPN target.

    2. Di halaman Modify IPsec-VPN Connection, modifikasi parameter seperti nama dan jaringan yang saling terhubung, lalu klik OK.

      Untuk deskripsi setiap parameter, lihat Buat koneksi IPsec-VPN.

    API

    Panggil operasi ModifyVpnConnectionAttribute untuk memodifikasi konfigurasi koneksi IPsec-VPN.

    Hapus koneksi IPsec-VPN

    Sebelum menghapus koneksi IPsec-VPN, pastikan koneksi tersebut telah dilepas dari instans router transit.

    Konsol

    Buka halaman Koneksi IPsec di konsol VPC, alihkan ke wilayah target, lalu klik Delete di kolom Actions koneksi IPsec-VPN target.

    API

    Panggil operasi DeleteVpnAttachment untuk menghapus koneksi IPsec-VPN.

    Otorisasi TR cross-account

    Konsol

    1. Klik Instance ID koneksi IPsec-VPN target untuk membuka halaman detailnya.

    2. Buka tab Cross-account Authorization dan klik Cross-account Authorization. Di kotak dialog Attach to CEN yang muncul, konfigurasikan parameter berikut:

      • Peer Account UID: Masukkan ID akun utama dari akun peer.

        Bagaimana cara mendapatkan ID Akun Alibaba Cloud (akun utama)?

        Arahkan kursor ke gambar profil di pojok kanan atas konsol untuk mendapatkan ID:

        • Jika Anda masuk dengan akun utama: Klik nama akun Anda di pojok kanan atas konsol dan lihat Account ID di panel tarik-turun yang muncul.

        • Jika Anda masuk sebagai Pengguna RAM: Klik gambar profil Anda di pojok kanan atas. Di panel informasi pengguna yang muncul, pastikan identitas saat ini adalah Pengguna RAM. Di daftar informasi, temukan bidang Main Account ID dan klik ikon salin untuk mendapatkan ID akun utama.

      • Peer CEN Instance ID: Masukkan ID instans CEN tempat TR di akun peer berada.

      • Payer:

    3. Setelah otorisasi berhasil, Anda harus membuat koneksi VPN cross-account di akun peer untuk menyelesaikan pelampiran.

    API

    Masuk ke akun tempat TR berada:

    1. Panggil operasi GrantInstanceToTransitRouter untuk memberikan otorisasi koneksi IPsec-VPN agar dapat menggunakan TR.

    2. Panggil operasi CreateTransitRouterVpnAttachment untuk membuat koneksi VPN.

    Lampiran: Mode single-tunnel (legacy)

    Untuk koneksi IPsec-VPN single-tunnel yang sudah ada dan dilampirkan ke TR, kami sangat menyarankan untuk menghapus dan membuat ulang agar dapat mengaktifkan mode dual-tunnel.

    Prosedur untuk mode single-tunnel mirip dengan mode dual-tunnel, dengan perbedaan utama berikut:

    • Berbeda dengan mode dual-tunnel, semua parameter untuk mode single-tunnel dikonfigurasi di tingkat koneksi. Tidak ada tingkat konfigurasi terpisah untuk tunnel.

    • Mode single-tunnel mendukung fitur pemeriksaan kesehatan, yang dinonaktifkan secara default. Kami tidak menyarankan Anda mengaktifkan pemeriksaan kesehatan dalam skenario non-active/standby. Jika Anda perlu mengonfigurasi pemeriksaan kesehatan, tambahkan entri rute di pusat data lokal Anda dengan tujuan diatur ke Source IP, masker subnet /32, dan lompatan berikutnya mengarah ke koneksi IPsec-VPN. Hal ini memastikan pemeriksaan kesehatan berfungsi dengan benar.

      Parameter

      Deskripsi

      Destination IP Address

      Alamat IP di pusat data lokal Anda yang dapat diakses Alibaba Cloud melalui koneksi IPsec-VPN. Alamat IP ini harus merespons permintaan ICMP.

      Source IP Address

      Alamat IP di sisi Alibaba Cloud yang dapat diakses pusat data lokal Anda melalui koneksi IPsec-VPN.

      Retry Interval

      Interval antara percobaan ulang pemeriksaan kesehatan. Satuan: detik. Nilai default: 3.

      Number of Retries

      Jumlah percobaan ulang pemeriksaan kesehatan. Nilai default: 3.

      Switch Route

      Menentukan apakah entri rute yang diumumkan ditarik jika pemeriksaan kesehatan gagal. Nilai default: Yes.