全部产品
Search

搜索本产品

    VPN Gateway:Buat dan kelola server IPsec

    文档中心

    VPN Gateway:Buat dan kelola server IPsec

    更新时间:Jul 06, 2025

    VPN Gateway memungkinkan Anda menetapkan koneksi IPsec-VPN antara server IPsec dan Alibaba Cloud menggunakan aplikasi VPN bawaan di perangkat seluler yang menjalankan iOS. Server IPsec mengontrol jaringan dan sumber daya yang dapat diakses melalui perangkat seluler Anda.

    Prasyarat

    • Anda telah memahami batasan dan prasyarat untuk server IPsec. Untuk informasi lebih lanjut, lihat bagian Batasan dan Prasyarat dari topik "Konfigurasi server IPsec-VPN".

    • Sebuah gateway VPN telah dibuat dan fitur SSL-VPN diaktifkan untuk gateway tersebut. Untuk informasi lebih lanjut, lihat Buat dan Kelola Gateway VPN.

    Buat server IPsec

    1. Masuk ke Konsol Gateway VPN.

    2. Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec-VPN Server.

    3. Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat server IPsec.

      Wilayah yang Mendukung Server IPsec

      Cina (Hangzhou), Cina (Shanghai), Cina (Nanjing - Wilayah Lokal), Cina (Qingdao), Cina (Beijing), Cina (Zhangjiakou), Cina (Hohhot), Cina (Ulanqab), Cina (Shenzhen), Cina (Heyuan), Cina (Guangzhou), Cina (Chengdu), Cina (Hong Kong), Jepang (Tokyo), Korea Selatan (Seoul), Singapura, Malaysia (Kuala Lumpur), Indonesia (Jakarta), Filipina (Manila), Thailand (Bangkok), Jerman (Frankfurt), Inggris (London), AS (Virginia), AS (Silicon Valley), UEA (Dubai), Meksiko, SAU (Riyadh - Wilayah Mitra)

    4. Pada halaman IPsec-VPN Server, klik Create IPsec-VPN Server.

    5. Pada halaman Create IPsec-VPN Server, konfigurasikan parameter-parameter sesuai tabel berikut dan klik OK.

      Parameter

      Deskripsi

      Name

      Nama server IPsec.

      Resource Group

      Grup sumber daya tempat gateway VPN milik.

      Server IPsec dan gateway VPN terkait harus termasuk dalam grup sumber daya yang sama.

      VPN Gateway

      Gateway VPN yang ingin Anda asosiasikan dengan server IPsec.

      Catatan

      Setelah Anda membuat server IPsec, Anda tidak dapat mengubah gateway VPN terkait.

      Local Network

      Blok CIDR dari jaringan yang ingin Anda hubungkan menggunakan koneksi IPsec-VPN.

      Blok CIDR dapat berupa blok CIDR dari virtual private cloud (VPC), vSwitch, atau pusat data yang terhubung ke VPC menggunakan sirkuit Express Connect.

      Klik Add Local Network untuk menambahkan lebih banyak blok CIDR.

      Client CIDR Block

      Blok CIDR yang digunakan klien untuk terhubung ke server SSL. Alamat IP dari blok CIDR dialokasikan ke kontroler antarmuka jaringan virtual (NIC) klien. Jangan masukkan blok CIDR privat klien. Saat klien mengakses jaringan tujuan menggunakan koneksi IPsec-VPN, gateway VPN mengalokasikan alamat IP dari blok CIDR klien ke klien.

      Penting

      • Pastikan bahwa blok CIDR klien tidak tumpang tindih dengan blok CIDR lokal atau blok CIDR vSwitch di VPC.

      • Pastikan bahwa jumlah alamat IP dalam blok CIDR klien setidaknya empat kali lipat dari jumlah maksimum koneksi SSL-VPN yang didukung oleh gateway VPN.

        Sebagai contoh, jika Anda menentukan 192.168.0.0/24 sebagai blok CIDR klien, sistem pertama-tama membagi blok CIDR subnet dengan subnet mask 30 dari 192.168.0.0/24, seperti 192.168.0.4/30. Subnet ini menyediakan hingga empat alamat IP. Kemudian, sistem mengalokasikan alamat IP dari 192.168.0.4/30 ke klien dan menggunakan tiga alamat IP lainnya untuk memastikan komunikasi jaringan. Dalam kasus ini, satu klien mengonsumsi empat alamat IP. Oleh karena itu, untuk memastikan bahwa alamat IP dapat dialokasikan ke klien Anda, Anda harus memastikan bahwa jumlah alamat IP dalam blok CIDR klien setidaknya empat kali lipat dari jumlah maksimum koneksi SSL-VPN yang didukung oleh gateway VPN terkait.

      Pre-Shared Key

      Kunci pra-berbagi server IPsec. Kunci ini digunakan untuk otentikasi antara server IPsec dan klien. Kunci harus memiliki panjang 1 hingga 100 karakter.

      Jika Anda tidak menentukan kunci pra-berbagi, sistem secara acak menghasilkan string 16-bit sebagai kunci pra-berbagi. Untuk melihat kunci pra-berbagi yang dihasilkan sistem untuk server IPsec setelah dibuat, buka halaman Server IPsec-VPN, temukan server IPsec yang ingin Anda kelola, lalu klik Edit di kolom Tindakan. Untuk informasi lebih lanjut, lihat bagian Modifikasi server IPsec dari topik ini.

      Penting

      Kunci otentikasi klien harus sama dengan kunci pra-berbagi server IPsec. Jika tidak, Anda tidak dapat menetapkan koneksi antara klien dan server IPsec.

      Effective Immediately

      Menentukan apakah akan segera memulai negosiasi untuk koneksi. Nilai valid:

      • Yes: segera memulai negosiasi setelah konfigurasi selesai.

      • No: memulai negosiasi saat lalu lintas arah masuk terdeteksi.

      Advanced Configuration: IKE Configurations

      Version

      Versi protokol Internet Key Exchange (IKE). Nilai valid:

      • ikev1

      • ikev2

      IKEv1 dan IKEv2 didukung. Dibandingkan dengan IKEv1, IKEv2 menyederhanakan proses negosiasi dan memberikan dukungan yang lebih baik untuk skenario di mana beberapa subnet digunakan. Kami merekomendasikan agar Anda memilih IKEv2.

      LocalId

      Pengenal server IPsec. Nilai default adalah alamat SSL dari gateway VPN. Jika gateway VPN menggunakan mode single-tunnel, alamat SSL adalah alamat IP publik dari gateway VPN.

      Anda dapat memasukkan alamat IP atau nama domain lengkap (FQDN). Nilai parameter ini harus sama dengan Remote ID dari klien IPsec peer.

      Kami merekomendasikan agar Anda memasukkan alamat IP.

      RemoteId

      Pengenal klien. Anda dapat memasukkan alamat IP atau FQDN. Nilai parameter ini harus sama dengan Local ID dari klien IPsec peer. Kami merekomendasikan agar Anda memasukkan alamat IP.

    Modifikasi server IPsec

    1. Masuk ke Konsol Gateway VPN.

    2. Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec-VPN Server.

    3. Di bilah menu atas, pilih wilayah server IPsec.

    4. Pada halaman IPsec-VPN Server, temukan server IPsec yang ingin Anda kelola. Klik Edit di kolom Actions.

    5. Pada halaman Edit IPsec-VPN Server, modifikasi konfigurasi server IPsec dan klik OK.

      Untuk informasi lebih lanjut tentang deskripsi parameter, lihat bagian Buat Server IPsec dari topik ini.

    Hapus server IPsec

    Jika Anda menghapus server IPsec, koneksi antara server IPsec dan klien akan ditutup secara otomatis.

    1. Masuk ke Konsol Gateway VPN.

    2. Di panel navigasi sebelah kiri, pilih Cross-network Interconnection > VPN > IPsec-VPN Server.

    3. Di bilah menu atas, pilih wilayah server IPsec.

    4. Pada halaman IPsec-VPN Server, temukan server IPsec yang ingin Anda hapus. Klik Delete di kolom Actions.

    5. Dalam pesan Delete IPsec-VPN Server, konfirmasi informasi dan klik OK.

    Buat dan kelola server IPsec dengan memanggil operasi API

    VPN Gateway memungkinkan Anda memanggil operasi API untuk membuat, memodifikasi, dan menghapus server IPsec menggunakan alat seperti Alibaba Cloud SDK (direkomendasikan), Alibaba Cloud CLI, Terraform, dan Resource Orchestration Service (ROS). Operasi API berikut dapat dipanggil untuk mengelola server IPsec: