All Products
Search

This Product

    VPN Gateway:Meningkatkan koneksi IPsec-VPN ke mode dual-tunnel

    Document Center

    VPN Gateway:Meningkatkan koneksi IPsec-VPN ke mode dual-tunnel

    Last Updated:Jun 22, 2026

    Koneksi IPsec-VPN dalam mode dual-tunnel menggunakan satu saluran data aktif dan satu saluran data standby untuk menyediakan high availability. Jika saluran data aktif gagal, lalu lintas secara otomatis dialihkan ke saluran data standby. Topik ini menjelaskan cara meningkatkan koneksi IPsec-VPN ke mode dual-tunnel.

    Latar Belakang

    Sebelum meningkatkan koneksi IPsec-VPN ke mode dual-tunnel, kami menyarankan agar Anda memahami topologi jaringan dan jalur lalu lintas pada mode dual-tunnel. Untuk informasi selengkapnya, lihat [Deprecated] Associate a VPN gateway.

    Perubahan bandwidth setelah peningkatan

    • Untuk instans gateway VPN single-tunnel dengan bandwidth 100 Mbps atau kurang:

      IPsec-VPN Tunnel Mode

      Bandwidth puncak outbound

      Bandwidth puncak inbound

      Sebelum peningkatan

      Bandwidth instans gateway VPN.

      100 Mbps.

      Setelah peningkatan

      Bandwidth instans gateway VPN.

      Bandwidth instans gateway VPN.

    • Untuk instans gateway VPN single-tunnel dengan bandwidth lebih dari 100 Mbps, bandwidth puncak tidak berubah setelah peningkatan dan sesuai dengan bandwidth instans.

    Wilayah dan zona yang didukung

    Anda dapat meningkatkan koneksi IPsec-VPN ke mode dual-tunnel di wilayah dan zona berikut.

    Catatan

    Anda dapat memanggil operasi DescribeVpnGatewayAvailableZones untuk mengkueri zona yang mendukung koneksi IPsec-VPN dual-tunnel di wilayah tertentu. Jika zona yang tercantum dalam tabel berbeda dengan informasi yang dikembalikan oleh operasi DescribeVpnGatewayAvailableZones, maka zona yang dikembalikan oleh operasi DescribeVpnGatewayAvailableZones yang berlaku.

    Wilayah

    Zona

    China (Hangzhou)

    K, J, I, H, G

    China (Shanghai)

    L, M, N, A, B, E, F, G

    China (Nanjing - Local Region)

    A

    China (Shenzhen)

    A (Tidak lagi tersedia untuk pembelian), C, E, D, F

    China (Heyuan)

    A, B

    China (Guangzhou)

    A, B

    China (Qingdao)

    B, C

    China (Beijing)

    F, E, H, G, A, C, J, I, L, K

    China (Zhangjiakou)

    A, B, C

    China (Hohhot)

    A, B

    China (Ulanqab)

    A, B, C

    China (Chengdu)

    A, B

    China (Hong Kong)

    B, C, D

    Singapore

    A, B, C

    Thailand (Bangkok)

    A

    Japan (Tokyo)

    A, B, C

    South Korea (Seoul)

    A

    Philippines (Manila)

    A

    Indonesia (Jakarta)

    A, B, C

    Malaysia (Kuala Lumpur)

    A, B

    UK (London)

    A, B

    Germany (Frankfurt)

    A, B, C

    US (Silicon Valley)

    A, B

    US (Virginia)

    A, B

    Mexico

    A

    SAU (Riyadh - Partner Region)

    A, B

    UAE (Dubai)

    A

    Prasyarat

    Sebelum meningkatkan koneksi IPsec-VPN ke mode dual-tunnel, pastikan persyaratan berikut terpenuhi:

    • Peran terkait layanan AliyunServiceRoleForVpn harus dibuat untuk Akun Alibaba Cloud Anda.

      Selama peningkatan, sistem perlu mengasumsikan peran terkait layanan AliyunServiceRoleForVpn untuk men-deploy sumber daya VPN Gateway. Di halaman pembelian VPN Gateway, verifikasi bahwa peran terkait layanan AliyunServiceRoleForVpn telah dibuat untuk Akun Alibaba Cloud Anda:

      • Jika statusnya Created, peran tersebut sudah ada dan tidak diperlukan tindakan lebih lanjut.

      • Jika ditampilkan Create Service-linked Role, klik Create Service-linked Role. Sistem akan secara otomatis membuat peran terkait layanan AliyunServiceRoleForVpn. Untuk informasi selengkapnya, lihat AliyunServiceRoleForVpn.

      服务关联角色-EN

    • Instans gateway VPN tidak boleh memiliki fitur IPsec-VPN dan SSL-VPN yang diaktifkan secara bersamaan.

      Jika fitur IPsec-VPN dan SSL-VPN diaktifkan secara bersamaan pada instans gateway VPN, Anda dapat menurunkan spesifikasi instans untuk menonaktifkan salah satu fitur tersebut. Untuk informasi selengkapnya, lihat Downgrade a VPN gateway.

      Sebelum menonaktifkan suatu fitur, pastikan tidak ada koneksi IPsec-VPN atau server SSL yang ada pada instans gateway VPN. Untuk informasi selengkapnya, lihat Delete an IPsec-VPN connection atau Delete an SSL server.

    • Tabel rute berbasis kebijakan atau berbasis tujuan dari instans gateway VPN tidak boleh berisi entri rute yang bertentangan yang mengarah ke koneksi IPsec-VPN berbeda.

      Tabel berikut menjelaskan skenario dan memberikan solusi.

      Tabel rute

      Blok CIDR sumber

      Blok CIDR tujuan

      Next Hop

      Dapat ditingkatkan

      Solusi

      Tabel rute berbasis kebijakan

      10.10.10.0/24

      172.16.10.0/24

      IPsec-VPN connection 1

      Tidak

      Tabel rute berbasis kebijakan berisi dua entri rute yang memiliki blok CIDR sumber dan tujuan yang sama tetapi mengarah ke koneksi IPsec-VPN berbeda.

      Hapus salah satu entri rute, atau ubah blok CIDR sumber atau tujuan dari salah satu entri rute tersebut. Untuk informasi selengkapnya, lihat [Deprecated] Policy-based routes (for traditional VPN gateways only).

      10.10.10.0/24

      172.16.10.0/24

      IPsec-VPN connection 2

      Tabel rute berbasis tujuan

      Tidak berlaku

      192.168.10.0/24

      IPsec-VPN connection 3

      Tidak

      Tabel rute berbasis tujuan berisi dua entri rute yang memiliki blok CIDR tujuan yang sama tetapi mengarah ke koneksi IPsec-VPN berbeda.

      Hapus salah satu entri rute, atau ubah blok CIDR tujuan dari salah satu entri rute tersebut. Untuk informasi selengkapnya, lihat Route configurations (associate a VPN gateway).

      Tidak berlaku

      192.168.10.0/24

      IPsec-VPN connection 4

    • Tabel rute VPC yang terkait dengan instans gateway VPN tidak boleh berisi entri rute yang blok CIDR tujuannya merupakan subnet dari Client CIDR Block server SSL atau subnet dari Client CIDR Block server IPsec, dan lompatan berikutnya adalah instans gateway VPN.

      Contohnya, Client CIDR Block server SSL adalah 192.168.10.0/24. Dalam kasus ini, tabel rute VPC yang terkait dengan gateway VPN tidak boleh berisi entri rute yang blok CIDR tujuannya merupakan subnet seperti 192.168.10.0/25 atau 192.168.10.0/26 dan lompatan berikutnya adalah instans gateway VPN.

      Anda dapat mengelola rute kustom dalam tabel rute VPC. Untuk informasi selengkapnya, lihat Create and manage a route table.

    • Jika beberapa koneksi IPsec-VPN dengan BGP dibuat pada instans gateway VPN, blok CIDR saluran data BGP-nya harus unik.

      Anda dapat mengubah blok CIDR saluran data BGP. Untuk informasi selengkapnya, lihat Modify an IPsec-VPN connection.

    • Anda harus memilih dua VSwitch dari VPC yang terkait dengan instans gateway VPN dan memastikan VSwitch tersebut memiliki cukup alamat IP yang tersedia.

      • Zona tempat VSwitch berada harus mendukung mode dual-tunnel untuk koneksi IPsec-VPN. Untuk informasi tentang zona yang didukung, lihat Supported regions and zones.

      • Jika beberapa zona di wilayah saat ini mendukung mode dual-tunnel untuk koneksi IPsec-VPN, dua VSwitch yang Anda pilih harus berada di zona berbeda untuk menerapkan disaster recovery tingkat zona pada koneksi IPsec-VPN. Setiap VSwitch harus memiliki minimal dua alamat IP yang tersedia.

      • Jika hanya satu zona di wilayah saat ini yang mendukung mode dual-tunnel untuk koneksi IPsec-VPN, Anda harus memilih dua VSwitch dari zona tersebut:

        • Jika Anda memilih VSwitch yang sama, pastikan VSwitch tersebut memiliki minimal empat alamat IP yang tersedia.

        • Jika Anda memilih dua VSwitch berbeda, pastikan setiap VSwitch memiliki minimal dua alamat IP yang tersedia.

    Dampak peningkatan

    Peringatan

    Gateway VPN tidak tersedia selama peningkatan, yang mengganggu koneksi yang sedang berjalan. Kami menyarankan melakukan peningkatan selama jendela pemeliharaan untuk menghindari gangguan layanan.

    • Peningkatan memerlukan waktu sekitar 10 menit, selama itu instans gateway VPN tidak dapat meneruskan lalu lintas.

    • Anda tidak dapat melakukan operasi apa pun pada instans gateway VPN selama peningkatan.

    Prosedur

    1. Masuk ke Konsol gateway VPN.

    2. Di bilah navigasi atas, pilih wilayah tempat instans gateway VPN berada.

    3. Di halaman VPN Gateways, temukan instans gateway VPN target dan klik ID instans tersebut.

    4. Di pojok kanan atas halaman detail instans, klik Enable Zone Redundancy.

    5. Di kotak dialog Enable Zone Redundancy, pilih VSwitch dan jalankan Pemeriksaan Awal. Setelah Anda memastikan lingkungan memenuhi prasyarat dan memahami risiko peningkatan, klik Enable.

      • Jika Pemeriksaan Awal gagal, atasi masalah berdasarkan prasyarat. Untuk informasi selengkapnya, lihat Prasyarat.

      • Setelah Anda mengklik Enable, sistem segera memulai peningkatan. Tunggu hingga peningkatan selesai.

    Langkah selanjutnya

    • Jika VPC yang terkait dengan instans gateway VPN terhubung ke Cloud Enterprise Network (CEN), dan tabel rute VPC berisi entri rute kustom yang mengarah ke instans gateway VPN dan telah dipublikasikan ke CEN, status entri rute tersebut berubah menjadi tidak dipublikasikan setelah peningkatan selesai. Anda perlu mempublikasikan ulang entri rute tersebut ke CEN. Untuk informasi selengkapnya, lihat Publish a route to a transit router.

    • Jika fitur IPsec-VPN dipertahankan untuk instans gateway VPN, setelah peningkatan, saluran data standby tidak tersedia secara default. Anda harus mengonfigurasi perangkat gateway peer untuk mengaktifkannya. Untuk informasi selengkapnya, lihat Get started with traditional VPN gateways dan Connect a VPC to a data center (dual-tunnel mode and BGP routing).

      • Setelah peningkatan, instans gateway VPN memiliki dua alamat IPsec: alamat aslinya dan alamat baru yang dialokasikan oleh sistem. Kedua alamat IP ini digunakan untuk membuat dua saluran data terenkripsi. Di daftar instans Konsol Gateway VPN, kolom IP Address menampilkan dua alamat IP publik, IPsec Address 1 dan IPsec Address 2, yang masing-masing sesuai dengan saluran data aktif dan standby.

      • Setelah peningkatan, koneksi IPsec-VPN memiliki satu saluran data aktif dan satu saluran data standby. Secara default, kedua saluran data tersebut terkait dengan gateway pelanggan yang sama. Saluran data aktif adalah saluran data yang sudah ada sebelum peningkatan, dan konfigurasinya tetap tidak berubah. Saluran data standby tidak tersedia secara default. Di tab Tunnel halaman detail koneksi IPsec-VPN, status koneksi Tunnel 1 (aktif) dan Tunnel 2 (standby) adalah Phase 1 IKE-SA negotiation failed.

    • Jika fitur SSL-VPN dipertahankan untuk instans gateway VPN, konfigurasi SSL-VPN tetap tidak berubah setelah peningkatan. Anda dapat mengaktifkan fitur IPsec-VPN untuk instans gateway VPN dan membuat koneksi IPsec-VPN dalam mode dual-tunnel. Untuk informasi selengkapnya, lihat Procedure dan IPsec-VPN connections (associate a VPN gateway).

      Setelah peningkatan, alamat IP gateway VPN dialihfungsikan sebagai alamat SSL dan digunakan secara eksklusif untuk fitur SSL-VPN. Setelah Anda mengaktifkan fitur IPsec-VPN, sistem mengalokasikan ulang dua alamat IPsec ke instans gateway VPN untuk membuat koneksi IPsec-VPN dalam mode dual-tunnel. Di daftar instans gateway VPN, Anda dapat melihat bidang SSL Address untuk memastikan alamat koneksi SSL-VPN tetap dipertahankan.

    Penting

    Saat menggunakan koneksi IPsec-VPN dalam mode dual-tunnel, pastikan kedua saluran data aktif dan standby tersedia. Jika Anda hanya mengonfigurasi atau menggunakan salah satu saluran data, koneksi IPsec-VPN tidak dapat menyediakan redundansi aktif-standby atau disaster recovery tingkat zona.