全部产品
Search

搜索本产品

    VPN Gateway:Tingkatkan gateway VPN untuk mengaktifkan mode dual-tunnel

    文档中心

    VPN Gateway:Tingkatkan gateway VPN untuk mengaktifkan mode dual-tunnel

    更新时间:Nov 10, 2025

    Koneksi IPsec-VPN dalam mode dual-tunnel memiliki satu terowongan aktif dan satu terowongan siaga. Jika terowongan aktif gagal, terowongan siaga mengambil alih untuk memastikan ketersediaan layanan. Topik ini menjelaskan cara meningkatkan gateway VPN agar mendukung mode dual-tunnel.

    Informasi latar belakang

    Sebelum meningkatkan gateway VPN untuk mengaktifkan mode dual-tunnel, kami menyarankan Anda memahami lebih lanjut tentang mode tersebut, termasuk topologi jaringan dan jalur transfer data. Untuk informasi selengkapnya, lihat Kaitkan koneksi IPsec-VPN dengan gateway VPN.

    Perubahan bandwidth setelah peningkatan

    • Jika instance Gateway VPN single-tunnel Anda memiliki spesifikasi bandwidth 100 Mbps atau kurang:

      Mode terowongan IPsec-VPN yang didukung

      Bandwidth puncak dari instance Gateway VPN ke pusat data

      Bandwidth puncak dari pusat data ke instance Gateway VPN

      Sebelum peningkatan

      Spesifikasi bandwidth instance Gateway VPN.

      100 Mbps.

      Setelah peningkatan

      Spesifikasi bandwidth instance Gateway VPN.

      Spesifikasi bandwidth instance Gateway VPN.

    • Jika instance Gateway VPN single-tunnel Anda memiliki spesifikasi bandwidth lebih dari 100 Mbps, bandwidth puncak tetap tidak berubah setelah peningkatan dan sesuai dengan spesifikasi bandwidth instance tersebut.

    Wilayah dan zona yang didukung

    Tabel berikut mencantumkan wilayah dan zona tempat Anda dapat meningkatkan koneksi IPsec-VPN ke mode dual-tunnel.

    Catatan

    Anda dapat memanggil operasi DescribeVpnGatewayAvailableZones untuk mengkueri zona yang mendukung koneksi IPsec-VPN dual-tunnel di wilayah tertentu. Jika zona yang tercantum dalam tabel berbeda dengan informasi yang dikembalikan oleh operasi DescribeVpnGatewayAvailableZones, maka zona yang dikembalikan oleh operasi DescribeVpnGatewayAvailableZones yang berlaku.

    Wilayah

    Zona

    Tiongkok (Hangzhou)

    K, J, I, H, G

    Tiongkok (Shanghai)

    L, M, N, A, B, E, F, G

    Tiongkok (Nanjing - Local Region)

    A

    Tiongkok (Shenzhen)

    A (Tidak lagi tersedia untuk pembelian), C, E, D, F

    Tiongkok (Heyuan)

    A, B

    Tiongkok (Guangzhou)

    A, B

    Tiongkok (Qingdao)

    B, C

    Tiongkok (Beijing)

    F, E, H, G, A, C, J, I, L, K

    Tiongkok (Zhangjiakou)

    A, B, C

    Tiongkok (Hohhot)

    A, B

    Tiongkok (Ulanqab)

    A, B, C

    Tiongkok (Chengdu)

    A, B

    Tiongkok (Hong Kong)

    B, C, D

    Singapura

    A, B, C

    Thailand (Bangkok)

    A

    Jepang (Tokyo)

    A, B, C

    Korea Selatan (Seoul)

    A

    Filipina (Manila)

    A

    Indonesia (Jakarta)

    A, B, C

    Malaysia (Kuala Lumpur)

    A, B

    Inggris (London)

    A, B

    Jerman (Frankfurt)

    A, B, C

    AS (Silicon Valley)

    A, B

    AS (Virginia)

    A, B

    Meksiko

    A

    SAU (Riyadh - Partner Region)

    A, B

    UAE (Dubai)

    A

    Prasyarat

    Sebelum meningkatkan gateway VPN, pastikan persyaratan berikut terpenuhi:

    • Peran terkait layanan AliyunServiceRoleForVpn telah dibuat dalam Akun Alibaba Cloud Anda.

      Selama proses peningkatan, sistem mengasumsikan peran AliyunServiceRoleForVpn untuk men-deploy sumber daya Gateway VPN. Anda dapat membuka halaman pembelian Gateway VPN untuk memeriksa apakah peran terkait layanan AliyunServiceRoleForVpn telah dibuat dalam akun Alibaba Cloud saat ini.

      • Jika Created ditampilkan pada halaman pembelian, berarti peran terkait layanan AliyunServiceRoleForVpn telah dibuat dalam akun Alibaba Cloud Anda.

      • Jika Create Service-linked Role ditampilkan pada halaman pembelian, klik Create Service-linked Role. Sistem kemudian akan secara otomatis membuat peran terkait layanan AliyunServiceRoleForVpn. Untuk informasi selengkapnya, lihat AliyunServiceRoleForVpn.

      服务关联角色-EN

    • IPsec-VPN dan SSL-VPN tidak diaktifkan secara bersamaan.

      Jika IPsec-VPN dan SSL-VPN keduanya diaktifkan, Anda dapat menurunkan spesifikasi gateway VPN untuk menonaktifkan salah satu fitur tersebut. Untuk informasi selengkapnya, lihat bagian Downgrade pada topik "Upgrade atau downgrade gateway VPN".

      Sebelum menonaktifkan IPsec-VPN atau SSL-VPN, pastikan tidak ada koneksi IPsec-VPN atau server SSL yang aktif pada gateway VPN. Untuk informasi selengkapnya, lihat bagian Delete an IPsec-VPN connection pada topik "Buat dan kelola koneksi IPsec-VPN dalam mode single-tunnel" atau Delete an SSL server.

    • Rute dengan Blok CIDR sumber dan Blok CIDR tujuan yang sama dalam tabel rute berbasis kebijakan atau berbasis tujuan tidak mengarah ke koneksi IPsec-VPN yang berbeda.

      Tabel berikut menyediakan beberapa skenario contoh beserta solusinya.

      Tabel rute

      Blok CIDR sumber

      Blok CIDR tujuan

      Next hop

      Dukungan peningkatan

      Solusi

      Tabel rute berbasis kebijakan

      10.10.10.0/24

      172.16.10.0/24

      IPsec-VPN Connection 1

      Tidak.

      Anda tidak dapat meningkatkan gateway VPN karena rute dalam tabel rute berbasis kebijakan memiliki Blok CIDR sumber dan Blok CIDR tujuan yang sama tetapi mengarah ke koneksi IPsec-VPN yang berbeda.

      Hapus salah satu rute tersebut, atau ubah Blok CIDR sumber atau Blok CIDR tujuan untuk salah satu rute tersebut. Untuk informasi selengkapnya, lihat Configure policy-based routes.

      10.10.10.0/24

      172.16.10.0/24

      IPsec-VPN Connection 2

      Tabel rute berbasis tujuan

      N/A

      192.168.10.0/24

      IPsec-VPN Connection 3

      Tidak.

      Anda tidak dapat meningkatkan gateway VPN karena rute dalam tabel rute berbasis tujuan memiliki Blok CIDR tujuan yang sama tetapi mengarah ke koneksi IPsec-VPN yang berbeda.

      Hapus salah satu rute tersebut, atau ubah Blok CIDR tujuan untuk salah satu rute tersebut. Untuk informasi selengkapnya, lihat Manage destination-based routes.

      N/A

      192.168.10.0/24

      IPsec-VPN Connection 4

    • Tabel rute dalam virtual private cloud (VPC) yang dikaitkan dengan gateway VPN tidak boleh berisi rute seperti ini: Blok CIDR tujuan merupakan subnet dari Client CIDR Block server SSL, atau subnet dari Client CIDR Block server IPsec, dan lompatan berikutnya adalah gateway VPN.

      Sebagai contoh, jika Client CIDR Block server SSL adalah 192.168.10.0/24, tabel rute dalam VPC yang dikaitkan dengan gateway VPN tidak boleh berisi rute seperti ini: Blok CIDR tujuan merupakan subnet dari 192.168.10.0/24, misalnya 192.168.10.0/25 atau 192.168.10.0/26, dan lompatan berikutnya adalah gateway VPN.

      Anda dapat mengelola rute kustom dalam tabel rute VPC. Untuk informasi selengkapnya, lihat Create and manage a route table.

    • Blok CIDR terowongan Protokol Gateway Perbatasan (BGP) dari setiap koneksi IPsec-VPN harus unik jika terdapat beberapa koneksi IPsec-VPN pada gateway VPN dan semua koneksi IPsec-VPN menggunakan BGP.

      Anda dapat mengubah blok CIDR terowongan BGP. Untuk informasi selengkapnya, lihat bagian Modify an IPsec-VPN connection pada topik "Buat dan kelola koneksi IPsec-VPN dalam mode single-tunnel".

    • Dua vSwitch ditentukan dalam VPC yang dikaitkan dengan gateway VPN, dan vSwitch tersebut memiliki alamat IP idle yang cukup.

      • Pastikan zona tempat vSwitch dideploy mendukung mode dual-tunnel. Untuk informasi selengkapnya, lihat bagian Supported regions and zones pada topik ini.

      • Jika beberapa zona di wilayah saat ini mendukung mode dual-tunnel, dua vSwitch yang Anda tentukan harus berada di zona yang berbeda untuk menerapkan pemulihan bencana lintas zona untuk koneksi IPsec-VPN. Setiap vSwitch harus memiliki setidaknya dua alamat IP idle.

      • Jika hanya satu zona di wilayah saat ini yang mendukung mode dual-tunnel, Anda perlu menentukan dua vSwitch di zona ini:

        • Jika Anda menentukan vSwitch yang sama, pastikan vSwitch tersebut memiliki setidaknya empat alamat IP idle.

        • Jika Anda menentukan dua vSwitch yang berbeda, pastikan setiap vSwitch memiliki setidaknya dua alamat IP idle.

    Catatan penggunaan selama proses peningkatan

    Peringatan

    Gateway VPN tidak tersedia selama proses peningkatan. Koneksi yang ada akan terputus. Kami menyarankan agar Anda melakukan peningkatan selama jendela pemeliharaan jaringan untuk mencegah gangguan layanan.

    • Peningkatan memerlukan waktu sekitar 10 menit. Selama periode ini, gateway VPN tidak dapat meneruskan lalu lintas.

    • Anda tidak dapat mengelola gateway VPN selama proses peningkatan.

    Prosedur

    1. Masuk ke Konsol gateway VPN.

    2. Di bilah menu atas, pilih wilayah gateway VPN.

    3. Pada halaman VPN Gateways, klik ID gateway VPN yang ingin Anda kelola.

    4. Di pojok kanan atas halaman detail, klik Enable Zone Redundancy.

    5. Pada kotak dialog Enable Zone Redundancy, tentukan vSwitch dan aktifkan verifikasi lingkungan. Pastikan persyaratan terpenuhi lalu klik Enable.

      • Jika verifikasi lingkungan gagal, rujuk bagian Prerequisites pada topik ini untuk pemecahan masalah.

      • Setelah Anda mengklik Enable, sistem akan memulai proses peningkatan.

    Langkah selanjutnya

    • Dalam skenario di mana VPC yang dikaitkan dengan gateway VPN terhubung ke Cloud Enterprise Network (CEN), jika terdapat rute kustom yang mengarah ke gateway VPN dalam tabel rute VPC dan telah diiklankan ke CEN, rute tersebut tidak lagi diiklankan setelah peningkatan selesai. Dalam kasus ini, Anda perlu mengiklankan kembali rute tersebut ke CEN. Untuk informasi selengkapnya, lihat Advertise routes to a transit router.

      2024-02-22_16-46-49

    • Jika fitur IPsec-VPN tetap diaktifkan, terowongan siaga koneksi IPsec-VPN tidak tersedia secara default setelah peningkatan selesai. Anda perlu mengonfigurasi perangkat gateway peer untuk mengaktifkan terowongan siaga. Untuk informasi selengkapnya, lihat Connect a VPC to a data center in dual-tunnel mode dan Connect a VPC to a data center in dual-tunnel and BGP routing mode.

      • Setelah peningkatan selesai, gateway VPN memiliki dua alamat IP, salah satunya adalah alamat IP yang dimiliki gateway VPN sebelum peningkatan. Alamat lainnya dialokasikan oleh sistem. Kedua alamat IP tersebut digunakan untuk membuat terowongan terenkripsi.升级-VPN网关.png

      • Setelah peningkatan selesai, setiap koneksi IPsec-VPN memiliki satu terowongan aktif dan satu terowongan siaga. Secara default, terowongan tersebut dikaitkan dengan gateway pelanggan yang sama. Terowongan yang sudah ada sebelum peningkatan berfungsi sebagai terowongan aktif dan konfigurasinya tetap tidak berubah. Terowongan siaga tidak tersedia secara default.升级-隧道.png

    • Jika fitur SSL-VPN tetap diaktifkan, konfigurasi SSL-VPN tetap tidak berubah setelah peningkatan selesai. Anda dapat mengaktifkan fitur IPsec-VPN dan membuat koneksi IPsec-VPN dalam mode dual-tunnel. Untuk informasi selengkapnya, lihat bagian Procedure pada topik "Enable IPsec-VPN" dan Create and manage IPsec-VPN connections in dual-tunnel mode.

      Setelah peningkatan selesai, alamat IP gateway VPN hanya digunakan oleh fitur SSL-VPN. Setelah Anda mengaktifkan fitur IPsec-VPN, sistem akan mengalokasikan ulang dua alamat IP ke gateway VPN dan memungkinkan Anda membuat koneksi IPsec-VPN dalam mode dual-tunnel.升级-SSL.png

    Penting

    Saat menggunakan koneksi IPsec-VPN dual-tunnel, pastikan terowongan aktif dan terowongan siaga tersedia. Jika Anda hanya mengonfigurasi atau menggunakan salah satu terowongan, redundansi koneksi IPsec-VPN berbasis terowongan aktif/siaga dan pemulihan bencana lintas zona tidak didukung.