このトピックでは、サードパーティのSD-WANアプライアンスをトランジットルーターに接続して、データセンターと仮想プライベートクラウド (VPC) 間のネットワーク通信を確立する方法について説明します。
例:
このトピックでは、サードパーティ製のSD-WANアプライアンスを使用します。 サードパーティのSD-WANアプライアンスに関する情報は、参考用です。 Alibaba Cloudは、サードパーティツールのパフォーマンスと信頼性、またはこれらのツールを使用することによる潜在的な影響を保証するものではありません。
ある企業には、中国 (上海) リージョンに2つのデータセンター (IDC1とIDC2) とVPC (VPC1) があり、中国 (杭州) リージョンに別のVPC (VPC2) があります。 IDC1、IDC2、VPC1、およびVPC2間の通信を有効にする必要があります。 同社が提案している解決策は、サードパーティのSD-WANアプライアンスを使用してIDC1およびIDC2をAlibaba Cloudに接続し、サードパーティのSD-WANアプライアンスにアクセス制御を実装してセキュリティを確保することです。 さらに、Alibaba Cloudとデータセンター間の自動ルート広告と学習を有効にして、O&Mワークロードを削減したいと考えています。
これらの目標を達成するために、会社はVPNアタッチメントを作成することにより、サードパーティのSD-WANアプライアンスをトランジットルーターに接続できます。 データセンターは、サードパーティのSD-WANアプライアンスとトランジットルーターを使用して、トランジットルーターに接続されているVPCと通信できます。 さらに、ボーダーゲートウェイプロトコル (BGP) は、トランジットルーター、サードパーティのSD-WAN機器、IDC1、およびIDC2に対して有効になり、自動ルート広告と学習が可能になります。
中国サイト
ネットワーク要件
このトピックのセキュリティVPCなど、VPCにElastic Compute Service (ECS) インスタンスを作成します。 次に、対応するイメージをインストールして、サードパーティのSD-WANアプライアンスをECSインスタンスにデプロイします。
この例では、イメージFortiGate V6.2.4がセキュリティVPCのECSインスタンスにインストールされています。
プライベートVPNゲートウェイを使用するVPNアタッチメントを作成して、サードパーティのSD-WANアプライアンスをトランジットルーターに接続します。
サードパーティのSD-WANアプライアンスとトランジットルーター間でBGPを有効にして、自動ルート広告と学習を許可します。
サードパーティのSD-WANアプライアンスとIDC1の間、およびサードパーティのSD-WANアプライアンスとIDC2の間にIPsec-VPN接続を作成します。 これにより、IDC1とIDC2はAlibaba Cloudに接続できます。
Auto Discovery VPN (ADVPN) を使用して、サードパーティのSD-WANアプライアンスとIDC1およびIDC2の間にIPsec-VPN接続のフルメッシュを作成します。 ADVPNの詳細については、「Fortinet Documents Library」をご参照ください。
サードパーティSD-WANアプライアンスと2つのオンプレミスゲートウェイデバイス (オンプレミスゲートウェイ1とオンプレミスゲートウェイ2) はすべてBGPを使用します。 内部BGP (iBGP) 隣接関係が確立された後、ルートは自動的に広告され、学習される。
オンプレミスゲートウェイ1とオンプレミスゲートウェイ2はどちらもフォーティネットからのもので、画像FortiGate V6.2.4がインストールされています。
CIDR ブロック
CIDRブロックが互いに重ならないようにしてください。
表 1. 基本的なCIDRブロック設定
リソース | CIDRブロックとIPアドレス |
サービスVPC (VPC1) |
|
サービスVPC (VPC2) |
|
セキュリティVPC |
|
IDC1 |
|
IDC2 |
|
表 2. BGP設定
リソース | BGP自律システム番号 (ASN) | ローカルBGP IPアドレス | ピアBGP IPアドレス |
サードパーティ製SD-WANアプライアンスと中継ルータ間のBGP設定 | |||
IPsec-VPN接続 | 65531 | 169.254.20.1 | 169.254.20.2 |
サードパーティ製SD-WANアプライアンス | 65534 | 169.254.20.2 | 169.254.20.1 |
サードパーティ製SD-WANアプライアンスとIDC1間のBGP設定 | |||
IDC1 | 65534 | 169.254.10.10 | 169.254.10.1 |
サードパーティ製SD-WANアプライアンス | 65534 | 169.254.10.1 | 169.254.10.10 |
サードパーティ製SD-WANアプライアンスとIDC2間のBGP設定 | |||
IDC2 | 65534 | 169.254.10.11 | 169.254.10.1 |
サードパーティ製SD-WANアプライアンス | 65534 | 169.254.10.1 | 169.254.10.11 |
前提条件
開始する前に、次の前提条件が満たされていることを確認してください。
サービスVPC (VPC1) とセキュリティVPCが中国 (上海) リージョンに作成されます。 サービスVPC (VPC2) が中国 (杭州) リージョンに作成されます。 ワークロードを実行するために、VPCにECSインスタンスがデプロイされます。 詳細については、「IPv4 CIDRブロックを持つVPCの作成」をご参照ください。
ビジネス要件に基づいて、VPC1およびVPC2のECSインスタンスにワークロードをデプロイします。
サードパーティのSD-WANアプライアンスをセキュリティVPCのECSインスタンスにデプロイするために使用されるイメージをインストールします。 この例では、画像FortiGate V6.2.4が使用される。 サードパーティのSD-WANアプライアンスにパブリックIPアドレスが割り当てられていることを確認します。 Alibaba Cloud Marketplaceからイメージを購入できます。 詳細については、「Alibaba Cloud Marketplaceイメージ」をご参照ください。
Cloud Enterprise Network (CEN) インスタンスが作成されます。 詳細については、「CENインスタンスの作成」をご参照ください。
手順
ステップ1: トランジットルーターの作成
CENインスタンスを使用してデータセンターをVPCに接続する前に、中国 (上海) および中国 (杭州) リージョンにトランジットルーターをデプロイし、中国 (上海) リージョンのトランジットルーターにCIDRブロックを割り当てる必要があります。
CENコンソールにログインします。
[インスタンス] ページで、[前提条件] で作成したCENインスタンスを選択し、[CENインスタンスID] をクリックします。
タブで、トランジットルーターの作成をクリックします。
トランジットルーターの作成 ダイアログボックスで、パラメーターを設定し、OK をクリックします。 下表にパラメーターを示します。
次の表に、このトピックに密接に関連するパラメーターのみを示します。 他のパラメータは、そのデフォルト値に維持される。 詳細については、「トランジットルーターCIDRブロック」をご参照ください。
パラメーター
説明
中国 (上海)
中国 (杭州)
リージョン
トランジットルーターを作成するリージョンを選択します。
この例では、中国 (上海) が選択されています。
この例では、中国 (杭州) が選択されています。
エディション
トランジットルーターのエディション。
選択したリージョンでサポートされているトランジットルーターのエディションが自動的に表示されます。
マルチキャストの有効化
マルチキャストを有効にするかどうかを指定します。
この例では、デフォルト設定が使用されています。 マルチキャストは無効です。
名前
トランジットルーターの名前を入力します。
この例では、TR-Shanghaiが入力されます。
この例では、TR-Hangzhouが入力されます。
TR CIDRブロック
トランジットルーターのCIDRブロックを指定します。
カスタムCIDRブロックを指定できます。 CIDRブロックは、ルーター上のループバックインターフェイスのCIDRブロックと同様に機能します。 CIDRブロック内のIPアドレスは、IPsec-VPN接続に割り当てることができます。 詳細については、「トランジットルーターCIDRブロック」をご参照ください。
この例では、10.10.10.0/24を入力します。
この例では、CIDRブロックは指定されていません。
ステップ2: VPCをトランジットルーターに接続する
データセンターがトランジットルーターを使用してVPCと通信できるようにするには、VPC1、セキュリティVPC、およびVPC2を目的のリージョンのトランジットルーターに接続します。
[インスタンス] ページで、[前提条件] で作成したCENインスタンスを選択し、[CENインスタンスID] をクリックします。
On theタブで作成したトランジットルーターインスタンスを見つけます。ステップ1をクリックし、アクションで、接続の作成列を作成します。
On theピアネットワークインスタンスとの接続ページで、次の情報に基づいてVPC接続を設定し、OK.
次の表に、このトピックに密接に関連するパラメーターのみを示します。 他のパラメータは、そのデフォルト値に維持される。 詳細については、「トランジットルーターCIDRブロック」をご参照ください。
パラメーター
説明
サービスVPC (VPC1)
セキュリティVPC
サービスVPC (VPC2)
[インスタンスタイプ]
ネットワークインスタンスのタイプを選択します。
この例では、VPCが選択されています。
この例では、VPCが選択されています。
この例では、VPCが選択されています。
リージョン
ネットワークインスタンスのリージョンを選択します。
この例では、中国 (上海) が選択されています。
この例では、中国 (上海) が選択されています。
この例では、中国 (杭州) が選択されています。
トランジットルーター
選択したリージョンのトランジットルーターが自動的に表示されます。
リソース所有者UID
ネットワークインスタンスが現在のAlibaba Cloudアカウントに属するかどうかを指定します。
この例では、[現在のアカウント] が選択されています。
この例では、[現在のアカウント] が選択されています。
この例では、[現在のアカウント] が選択されています。
課金方法
VPC接続の課金方法。 デフォルト値: 従量課金 トランジットルーターの課金ルールの詳細については、「課金ルール」をご参照ください。
接続名
VPC接続の名前を入力します。
この例では、Service VPC1接続が入力されます。
この例では、セキュリティVPC接続が入力されています。
この例では、サービスVPC2接続が入力されます。
ネットワークインスタンス
ネットワークインスタンスを選択します。
この例では、VPC1が選択されています。
この例では、セキュリティVPCが選択されています。
この例では、VPC2が選択されています。
vSwitch
トランジットルーターのゾーンにデプロイされているvSwitchを選択します。
Enterprise Editionトランジットルーターが1つのゾーンのみをサポートするリージョンにデプロイされている場合は、そのゾーンでvSwitchを選択します。
Enterprise Editionトランジットルーターが複数のゾーンをサポートするリージョンにデプロイされている場合は、少なくとも2つのvSwitchを選択します。 2つのvSwitchは異なるゾーンにある必要があります。 2つのvSwitchはゾーンディザスタリカバリをサポートしており、VPCとトランジットルーター間の中断のないデータ伝送を保証します。
データをより短い距離で送信できるため、ネットワークの待ち時間を短縮し、ネットワークパフォーマンスを向上させるために、各ゾーンでvSwitchを選択することをお勧めします。
選択した各vSwitchに少なくとも1つのアイドルIPアドレスがあることを確認します。 VPCにTRがサポートするゾーンにvSwitchがない場合、またはvSwitchにアイドルIPアドレスがない場合は、ゾーンに新しいvSwitchを作成します。 詳細については、「vSwitchの作成と管理」をご参照ください。
この例では、上海ゾーンFのvSwitch 1と上海ゾーンGのvSwitch 2が選択されています。
この例では、上海ゾーンFのvSwitch 1と上海ゾーンGのvSwitch 2が選択されています。
この例では、杭州ゾーンIのvSwitch 1と杭州ゾーンHのvSwitch 2が選択されています。
高度な設定
高度な機能を有効にするかどうかを指定します。
この例では、デフォルト設定を使用します。 高度な機能が有効になります。
この例では、デフォルト設定を使用します。 高度な機能が有効になります。
この例では、デフォルト設定を使用します。 高度な機能が有効になります。
ステップ3: リージョン間接続の作成
VPC1とセキュリティVPCは同じリージョンにデプロイされているため、デフォルトで相互に通信できます。 VPC1とVPC2が接続されているトランジットルーターは、異なるリージョンにあります。 したがって、VPC1とセキュリティVPCはVPC2と通信できません。 それらの間の通信を有効にするには、中国 (杭州) と中国 (上海) にデプロイされているトランジットルーター間のリージョン間接続を作成する必要があります。
[CENインスタンス] ページで、管理するCENインスタンスを見つけ、IDをクリックします。
タブで、[リージョン間通信の帯域幅の割り当て] をクリックします。
[ピアネットワークインスタンスに接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
次の表を参照してパラメーターを設定し、他のパラメーターはデフォルト値のままにします。 詳細については、「リージョン間接続の作成」をご参照ください。
パラメーター
説明
[インスタンスタイプ]
[リージョン間接続] を選択します。
リージョン
接続するリージョンを選択します。
この例では、中国 (杭州) が選択されています。
トランジットルーター
選択したリージョンのトランジットルーターのIDが自動的に表示されます。
接続名
リージョン間接続の名前を入力します。
この例では、Inter-region connectionが入力されています。
ピアリージョン
接続する他のリージョンを選択します。
この例では、中国 (上海) が選択されています。
トランジットルーター
選択したリージョンのトランジットルーターのIDが自動的に表示されます。
帯域幅プラン
次のモードがサポートされています。
帯域幅プランからの割り当て: 購入した帯域幅プランから帯域幅を割り当てます。
ペイバイデータ転送: リージョン間接続で使用されるトラフィックによって課金されます。
この例では、[ペイバイデータ転送] が選択されています。
帯域幅
リージョン間接続の帯域幅の値を指定します。 単位は、Mbit/s です。
デフォルトのリンクタイプ
デフォルトのリンクタイプを使用します。
高度な設定
すべての高度な機能を有効にして、デフォルト値を維持します。
ステップ4: VPN添付ファイルを作成する
上記の手順を完了すると、VPC1、VPC2、およびセキュリティVPCは相互に通信できます。 ただし、トランジットルーターとセキュリティVPCは、データセンターからルートを学習できません。 サードパーティSD-WANアプライアンスがルートを学習できるようにするには、サードパーティSD-WANアプライアンスとトランジットルーターの間、およびサードパーティSD-WANアプライアンスとデータセンターの間にVPN接続を作成する必要があります。 次いで、サードパーティSD-WANアプライアンスは、VPNアタッチメントを介してトランジットルータにルートをアドバタイズすることができる。
VPN Gatewayコンソールにログインします。
カスタマーゲートウェイを作成します。
サードパーティSD-WANアプライアンスとトランジットルーターの間にVPN添付ファイルを作成する前に、カスタマーゲートウェイをデプロイし、サードパーティSD-WANアプライアンスをAlibaba Cloudに登録する必要があります。
左側のナビゲーションウィンドウで、を選択します。
上部のナビゲーションバーで、カスタマーゲートウェイのリージョンを選択します。
サードパーティSD-WANアプライアンスがデプロイされているリージョンを選択します。 この例では、中国 (上海) が選択されています。
カスタマーゲートウェイページで、カスタマーゲートウェイの作成をクリックします。
カスタマーゲートウェイの作成パネルで、パラメーターを設定し、OKをクリックします。
次の表に、このトピックに密接に関連するパラメーターのみを示します。 他のパラメータはデフォルト値のままにできます。 詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。
パラメーター
説明
カスタマーゲートウェイ
名前
カスタマーゲートウェイの名前を入力します。
この例では、Customer-Gatewayが入力されます。
IP アドレス
サードパーティのSD-WANアプライアンスがVPN添付ファイルを作成するために使用するIPアドレスを入力します。
この例では、サードパーティSD-WANアプライアンスのプライベートIPアドレス172.16.0.15が入力されます。
ASN
サードパーティのSD-WANアプライアンスで使用されるBGP ASNを入力します。
この例では、65534が入力されます。
IPsec-VPN接続を作成します。
カスタマーゲートウェイを作成したら、Alibaba CloudでIPsec-VPN接続を作成する必要があります。 トランジットルーターは、IPsec-VPN接続を使用してサードパーティのSD-WANアプライアンスに接続します。
左側のナビゲーションウィンドウで、を選択します。
上部のメニューバーで、IPsec-VPN接続のリージョンを選択します。
IPsec-VPN接続とカスタマーゲートウェイは、同じリージョンで作成する必要があります。 この例では、中国 (上海) が選択されています。
VPN 接続ページで、VPN 接続の作成をクリックします。
VPN 接続の作成 ページで、IPsec-VPN接続のパラメーターを設定し、OK をクリックします。 下表にパラメーターを示します。
IPsec-VPN接続を作成すると料金が発生します。 IPsec-VPN接続の課金の詳細については、「 課金の説明」をご参照ください。
パラメーター
説明
IPsec-VPN接続
名前
IPsec-VPN接続の名前を入力します。
この例では、IPsec接続が入力されます。
関連リソース
IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。
この例では、CENが選択されています。
ゲートウェイタイプ
IPsec-VPN接続で使用するゲートウェイのタイプを選択します。
この例では、プライベート が選択されています。
セキュリティVPCはすでにトランジットルーターに接続されています。 サードパーティSD-WANアプライアンスは、プライベートネットワーク接続を介してトランジットルーターに接続できます。
CENインスタンスID
CENインスタンスを選択します。
この例では、前提条件で作成したCENインスタンスが選択されています。
トランジットルーター
IPsec-VPN接続に関連付けるトランジットルーターを選択します。
IPsec-VPN接続のリージョンのトランジットルーターが自動的に選択されます。
Zone
IPsec-VPN接続を作成するゾーンを選択します。 IPsec-VPN接続がトランジットルーターをサポートするゾーンに作成されていることを確認します。
この例では、上海ゾーンFが選択されています。
ルーティングモード
ルーティングモードを選択します。
この例では、宛先ルーティングモードが選択されています。
すぐに有効
IPsecネゴシエーションをすぐに開始するかどうかを指定します。 有効な値:
はい: 設定が有効になった後、すぐにIPsecネゴシエーションを開始します。
No: トラフィックが検出されるとネゴシエーションを開始します。
この例では、はいが選択されています。
カスタマーゲートウェイ
IPsec-VPN接続に関連付けるカスタマーゲートウェイを選択します。
この例では、Customer-Gatewayが選択されています。
事前共有キー
オンプレミスのゲートウェイデバイスの認証に使用される事前共有キーを入力します。
キーの長さは1〜100文字である必要があり、数字、文字、および次の特殊文字を含めることができます。
~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?。 キーにスペースを含めることはできません。事前共有キーを指定しない場合、事前共有キーとして16文字の文字列がランダムに生成されます。 IPsec-VPN接続の作成後、IPsec-VPN接続の [操作] 列の [編集] をクリックして、IPsec-VPN接続用に生成された事前共有キーを表示できます。 詳細については、このトピックの「IPsec-VPN接続の変更」をご参照ください。
重要IPsec-VPN接続とピアゲートウェイデバイスは、同じ事前共有キーを使用する必要があります。 そうしないと、システムはIPsec-VPN接続を確立できません。
この例では、fddsFF123 **** が入力されます。
BGPの有効化
BGPを有効にするかどうかを指定します。 デフォルトでは、BGPは無効になっています。
この例では、BGPは有効です。
ローカルASN
IPsec-VPN接続のASNを入力します。 デフォルト値: 45104 有効な値: 1 ~ 4294967295
この例では、65531が入力されます。
暗号化設定
IKE設定とIPsec設定を含むカスタム暗号化設定を指定します。
以下のパラメーターを設定します。 他のパラメータはデフォルト値のままにします。
[IKE設定] で、[暗号化アルゴリズム] として [des] を選択します。
[IPsec設定] で、[暗号化アルゴリズム] として [des] を選択します。
説明IPsec接続の暗号化設定がオンプレミスゲートウェイデバイスの暗号化設定と同じになるように、オンプレミスゲートウェイデバイスに基づいて暗号化パラメーターを選択する必要があります。
BGP設定
トンネル CIDR ブロック
IPsecトンネリングに使用されるCIDRブロックを入力します。
CIDRブロックは169.254.0.0/16に収まる必要があります。 CIDRブロックのマスクは30ビット長でなければなりません。
CIDRブロックは169.254.0.0/16に該当する必要があります。 CIDRブロックのサブネットマスクの長さは30ビットである必要があります。 CIDRブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、または169.254.169.252/30にすることはできません。
この例では、169.254.20.0/30を入力します。
ローカル BGP IP アドレス
IPsec-VPN接続のBGP IPアドレスを入力します。
このIPアドレスは、IPsecトンネルのCIDRブロック内にある必要があります。
この例では、169.254.20.1が入力されます。
詳細設定
IPsec-VPN接続の高度な機能を有効または無効にします。
この例では、高度な機能が有効になっています。
IPsec-VPN接続が作成された後、システムは各IPsec-VPN接続にゲートウェイIPアドレスを割り当てます。 ゲートウェイIPアドレスは、IPsec-VPN接続のAlibaba Cloud側のエンドポイントです。 次の図に示すように、IPsec-VPN接続の詳細ページでゲートウェイIPアドレスを確認できます。
説明IPsec-VPN接続をトランジットルーターに関連付けた後にのみ、ゲートウェイIPアドレスがIPsec-VPN接続に割り当てられます。 IPsec-VPN接続の作成時に、IPsec-VPN接続の関連リソースタイプが [バインドされていない] または [VPN Gateway] に設定されている場合、システムはIPsec-VPN接続にゲートウェイIPアドレスを割り当てません。
プライベートIPsec-VPN接続がトランジットルーターに関連付けられた後、システムはIPsec-VPN接続のゲートウェイIPアドレスをトランジットルーターのルートテーブルに自動的にアドバタイズします。
IPsec-VPN接続ピアの設定をダウンロードします。
[IPsec-VPN接続] ページに戻り、作成したIPsec-VPN接続を見つけ、[操作] 列の [ピア構成のダウンロード] をクリックします。
サードパーティのSD-WANアプライアンスにVPNとBGPの設定を追加します。
IPsec-VPN接続を作成した後、IPsecピア設定と次の手順に基づいて、サードパーティSD-WANアプライアンスにVPNおよびBGP設定を追加して、サードパーティSD-WANアプライアンスとトランジットルーター間のVPN接続を作成します。
説明この例では、例としてv6.2.4のFortiGateファイアウォールが使用されています。 コマンドはソフトウェアのバージョンによって異なる場合があるため、実際の環境に基づいてファイアウォールのベンダーに相談するか、ドキュメントを参照できます。 その他の設定例については、「オンプレミスゲートウェイデバイスの設定例」をご参照ください。
次のコンテンツには、サードパーティの製品情報が含まれています。 Alibaba Cloudは、これらの製品のパフォーマンスと信頼性、またはこれらの製品を使用して実行される運用の潜在的な影響を保証またはコミットメントするものではありません。
サードパーティのSD-WANアプライアンスでコマンドラインインターフェイス (CLI) を開きます。
サードパーティのSD-WABアプライアンスのIPsec-VPNフェーズ1ネゴシエーションの設定を追加します (IKE設定) 。
# Add the IPsec-VPN phase 1 configuration for tunnel 1 config vpn ipsec phase1-interface edit "to_aliyun_test1" set interface "port1" # Use port1 to establish a VPN connection to the transit router. set ike-version 2 set peertype any set net-device disable set proposal des-sha1 # Configure the phase 1 encryption algorithm and authentication algorithm. The settings must be consistent with the phase 1 configuration (IKE configuration) on the IPsec-VPN connection side. set localid-type address # Specify the format of the local ID as an IP address, which must be consistent with the format of the Remote ID on the Alibaba Cloud IPsec-VPN connection. set dhgrp 2 # Configure the phase 1 DH group. The settings must be consistent with the phase 1 configuration (IKE configuration) on the IPsec-VPN connection side. set remote-gw 192.168.168.1 # Specify the IP address of the peer of the third-party SD-WAN appliance, which is the gateway IP address of the IPsec-VPN connection. set psksecret fddsFF123**** # Specify the pre-shared key of the tunnel. The pre-shared key on the Alibaba Cloud IPsec-VPN connection side and the third-party SD-WAN appliance side must be consistent. next endサードパーティのSD-WASアプライアンスのIPsec-VPNフェーズ2ネゴシエーションの設定を追加します (IPsec設定) 。
# Add the IPsec-VPN phase 2 configuration for the tunnel config vpn ipsec phase2-interface edit "to_aliyun_test1" set phase1name "to_aliyun_test1" # Associate the tunnel with the phase1-interface. set proposal des-sha1 # Configure the phase 2 encryption algorithm and authentication algorithm. The settings must be consistent with the phase 2 configuration (IPsec configuration) on the IPsec-VPN connection side. set dhgrp 2 # Configure the phase 2 DH group. The settings must be consistent with the phase 2 configuration (IPsec configuration) on the IPsec-VPN connection side. set auto-negotiate enable set keylifeseconds 86400 # Configure the security association lifetime. next endトンネルインターフェイスのBGP IPアドレスを設定します。
config system interface edit "to_aliyun_test1" set ip 169.254.20.2 255.255.255.255 # Configure the BGP IP address of the tunnel interface. set type tunnel # Specify the tunnel port type. set remote-ip 169.254.20.1 255.255.255.255 # Specify the peer BGP IP address of the tunnel. set interface "port1" # Associate the tunnel with port1. next endファイアウォールポリシーを設定します。
config firewall policy edit 1 set name "forti_to_aliyun1" # Configure the security policy from the third-party SD-WAN appliance to Alibaba Cloud. set srcintf "port1" # The source interface is port1. set dstintf "to_aliyun_test1" # The destination interface is the VPN connection tunnel interface. set srcaddr "all" # Match traffic from all source CIDR blocks. set dstaddr "all" # Match traffic to all destination CIDR blocks. set action accept # Allow traffic. set schedule "always" set service "ALL" next edit 2 set name "aliyun_to_forti1" # Configure the security policy from Alibaba Cloud to the third-party SD-WAN appliance. set srcintf "to_aliyun_test1" # The source interface is the VPN connection tunnel interface. set dstintf "port1" # The destination interface is port1. set srcaddr "all" # Match traffic from all source CIDR blocks. set dstaddr "all" # Match traffic to all destination CIDR blocks. set action accept # Allow traffic. set schedule "always" set service "ALL" next endBGP動的ルーティングを設定します。
config router bgp set as 65534 set router-id 172.16.0.15 config neighbor edit "169.254.20.1" # Specify the peer BGP neighbor of the tunnel. set remote-as 65531 next end config network edit 1 set prefix 172.16.0.0 255.255.0.0 # Advertise the CIDR block in the security VPC that needs to communicate with other networks. next end end
手順5: オンプレミスゲートウェイデバイスの設定
オンプレミスGateway 1、オンプレミスGateway 2、およびサードパーティのSD-WANアプライアンスにVPNおよびBGPの設定を追加する必要があります。 次に、オンプレミスゲートウェイ1、オンプレミスゲートウェイ2、およびサードパーティSD-WANアプライアンスは、互いの間でIPsec-VPN接続を確立し、IDC1およびIDC2がVPCと通信することを可能にし、IDC1がIDC2と通信することを可能にすることができる。 次の設定例を参照できます。
Auto Discovery VPN (ADVPN) を使用して、サードパーティのSD-WANアプライアンスとIDC1およびIDC2の間にIPsec-VPN接続のフルメッシュを作成します。 ADVPNの詳細については、「Fortinet Documents Library」をご参照ください。
この例では、例としてv6.2.4のFortiGateファイアウォールが使用されています。 コマンドはソフトウェアのバージョンによって異なる場合があるため、実際の環境に基づいてファイアウォールのベンダーに相談するか、ドキュメントを参照できます。 その他の設定例については、「オンプレミスゲートウェイデバイスの設定例」をご参照ください。
サードパーティのSD-WANアプライアンス
サードパーティSD-WANアプライアンスのUDPポート500および5000が、オンプレミスGateway 1およびオンプレミスGateway 2のパブリックIPアドレスからのアクセスを許可していることを確認します。 詳細については、「セキュリティグループルールの追加」をご参照ください。
サードパーティのSD-WANアプライアンスでCLIを開きます。
次のコマンドを実行して、IPsec-VPNフェーズ1設定を追加します。
config vpn ipsec phase1-interface edit "HUB" # Specify the third-party SD-WAN appliance as the hub. set type dynamic set interface "port1" # Use port1 to establish an IPsec-VPN connection to the data centers. set ike-version 2 # Specify IKEv2. set peertype any set net-device disable # Disable this feature. set proposal des-sha1 # Configure the phase 1 encryption algorithm and authentication algorithm. set add-route disable # Disable automatic route adding. set dpd on-idle set wizard-type hub-fortigate-auto-discovery set auto-discovery-sender enable # Enable this feature on the hub to receive and send spoke-to-spoke tunneling information. set network-overlay enable set network-id 1 set psksecret fddsFF456**** # Specify the pre-shared key. set dpd-retryinterval 60 next end次のコマンドを実行して、IPsec-VPNフェーズ2設定を追加します。
config vpn ipsec phase2-interface edit "HUB" set phase1name "HUB" set proposal des-sha1 # Configure the phase 2 encryption algorithm and authentication algorithm. next end次のコマンドを実行して、IPsec-VPNトンネルIPアドレスを設定します。
config system interface edit "HUB" set vdom "root" set ip 169.254.10.1 255.255.255.255 # Configure the tunnel IP address. set allowaccess ping set type tunnel # Specify the tunnel port type. set remote-ip 169.254.10.254 255.255.255.0 # Specify the peer IP address of the tunnel. set interface "port1" # Associate the tunnel with port1. next end重要169.254.10.254は、スポークで使用されない予約済みIPアドレスです。 IPsec − VPNトンネルは、ポイントツーポイントトンネルである。 ただし、ADVPNトンネルはハブスポーク配布モデルを使用します。 したがって、スポークのipアドレスにremote-IPを設定することはできません。
次のコマンドを実行して、サードパーティのSD-WANアプライアンスでセキュリティポリシーを設定し、データセンター間およびデータセンターとAlibaba Cloud間の通信を許可します。
config firewall policy edit 7 set name "HUB_to_SPOKE" set srcintf "port1" "HUB" "to_aliyun_test1" # The source interfaces are port1, HUB, and to_aliyun_test1. set dstintf "HUB" "port1" "to_aliyun_test1" # The destination interfaces are port1, HUB, and to_aliyun_test1. set action accept # Allow traffic. set srcaddr "all" # Match traffic from all source CIDR blocks. set dstaddr "all" # Match traffic to all destination CIDR blocks. set schedule "always" set service "ALL" next end次のコマンドを実行してBGP設定を追加します。
config router bgp set as 65534 # Specify 65534 as the BGP ASN of the third-party SD-WAN appliance. config neighbor-group # Enable the neighbor-group attribute. edit "HUB_group" set next-hop-self enable set remote-as 65534 # Specify the peer BGP ASN. set additional-path send set route-reflector-client enable # Enable the route reflector feature and specify the third-party SD-WAN appliance as the route reflector. next end config neighbor-range edit 1 set prefix 169.254.10.0 255.255.255.0 # Specify that BGP neighbors who match the prefix list 169.254.10.0/24 can establish iBGP neighbor relationship with the hub. set neighbor-group "HUB_group" next end end
オンプレミスゲートウェイ1
オンプレミスGateway 1でCLIを開きます。
オンプレミスGateway 1がサードパーティSD-WANアプライアンスのパブリックIPアドレスに到達できるように、デフォルトルートを設定します。
# Example: Port1 interface is associated with the public IP address 121.XX.XX.211. Set the default route to the Port1 gateway. config router static edit 1 set device "port1" set distance 5 set gateway 192.168.100.253 next end # To check the routing information, execute the command below. FortiGate-VM64-KVM # get router info routing-table all S* 0.0.0.0/0 [5/0] via 192.168.100.253, port1次のコマンドを実行して、IPsec-VPNのフェーズ1を設定します。
config vpn ipsec phase1-interface edit "hz_sp" set interface "port1" # Establish IPsec-VPN connection via port1 to the third-party SD-WAN appliance. set ike-version 2 # Use IKEv2. set peertype any set net-device disable # Disable net-device feature. set proposal des-sha1 # Set phase 1 encryption and authentication algorithms. set localid "hzoffice1" set dpd on-idle set wizard-type spoke-fortigate-auto-discovery set auto-discovery-receiver enable # Enable auto-discovery receiver for spoke-to-spoke tunneling. set network-overlay enable set network-id 1 set remote-gw 42.XX.XX.129 # Define the public IP address of the hub. set psksecret fddsFF456**** # Enter the pre-shared key, matching the hub's key. set add-route disable # Turn off automatic route addition. next end次のコマンドを入力して、IPsec-VPNのフェーズ2設定を追加します。
config vpn ipsec phase2-interface edit "hz_sp" set phase1name "hz_sp" set proposal des-sha1 # Define phase 2 encryption and authentication algorithms. set auto-negotiate enable # Activate auto-negotiation. next endIPsec-VPNトンネルのIPアドレスを次のコマンドで指定します。
config system interface edit "hz_sp" set vdom "root" set ip 169.254.10.10 255.255.255.255 # Assign the tunnel IP address. set allowaccess ping set type tunnel # Designate the interface as a tunnel. set remote-ip 169.254.10.254 255.255.255.0 # Define the tunnel's peer IP address. set interface "port1" # Link the tunnel to port1. next end config system interface # Create a loopback interface to represent a client in IDC1. edit "loopback" set vdom "root" set ip 192.168.254.100 255.255.255.0 set allowaccess ping set type loopback next end次のコマンドを実行して、オンプレミスGateway 1でセキュリティポリシーを確立します。これにより、データセンター間およびデータセンターとAlibaba Cloud間の通信が可能になります。
config firewall policy edit 3 set name "hz_sp_remote" # Set the security policy for IDC1. set srcintf "hz_sp" "loopback" "port1" # Source interfaces include port1, hz_sp, and loopback. set dstintf "loopback" "hz_sp" "port1" # Destination interfaces include port1, hz_sp, and loopback. set action accept # Permit the traffic flow. set srcaddr "all" # Allow all source CIDR blocks. set dstaddr "all" # Allow all destination CIDR blocks. set schedule "always" set service "ALL" next end次のコマンドを実行してBGP設定を追加します。
config router bgp set as 65534 # Define the BGP ASN for on-premises Gateway 1. set network-import-check disable # Turn off route advertisement validation. config neighbor edit "169.254.10.1" # Initiate iBGP relationship with the third-party SD-WAN appliance. set remote-as 65534 # Set the BGP ASN for the third-party SD-WAN appliance. set additional-path receive next end config network edit 1 set prefix 192.168.254.100 255.255.255.255 # Advertise the client address in IDC1 for VPC and IDC2 connectivity. next end end
オンプレミスGateway 2
オンプレミスゲートウェイ2でCLIを開きます。
オンプレミスゲートウェイ1がサードパーティSD-WANアプライアンスのパブリックIPアドレスにアクセスできるようにするためのデフォルトルートを追加します。
# Example: Port1 is associated with public IP 121.XX.XX.78. Set the default route to the Port1 gateway. config router static edit 1 set device "port1" set distance 5 set gateway 192.168.99.253 next end # To check the routing information, execute: FortiGate-VM64-KVM # get router info routing-table all S* 0.0.0.0/0 [5/0] via 192.168.99.253, port1このコマンドを実行して、IPsec-VPNフェーズ1パラメーターを設定します。
config vpn ipsec phase1-interface edit "hz_sp1" set interface "port1" # Establish IPsec-VPN via port1 to the SD-WAN appliance. set ike-version 2 # Use IKEv2. set peertype any set net-device disable # Disable net-device. set proposal des-sha1 # Set phase 1 encryption and authentication algorithms. set localid "hzoffice2" set dpd on-idle set wizard-type spoke-fortigate-auto-discovery set auto-discovery-receiver enable # Enable auto-discovery for spoke-to-spoke tunneling. set network-overlay enable set network-id 1 set remote-gw 42.XX.XX.129 # Define the hub's public IP. set psksecret fddsFF456**** # Enter the matching pre-shared key. set add-route disable # Turn off automatic route addition. next end次のコマンドを実行して、IPsec-VPNフェーズ2パラメーターを設定します。
config vpn ipsec phase2-interface edit "hz_sp1" set phase1name "hz_sp1" set proposal des-sha1 # Set phase 2 encryption and authentication algorithms. set auto-negotiate enable # Enable auto-negotiation. next end次のコマンドを使用して、IPsec-VPNトンネルIPアドレスを割り当てます。
config system interface edit "hz_sp1" set vdom "root" set ip 169.254.10.11 255.255.255.255 # Set the tunnel IP address. set allowaccess ping set type tunnel # Define tunnel interface type. set remote-ip 169.254.10.254 255.255.255.0 # Specify the tunnel's peer IP address. set interface "port1" # Link the tunnel to port1. next end config system interface # Create a loopback for a simulated IDC2 client. edit "loopback" set vdom "root" set ip 192.168.100.104 255.255.255.0 set allowaccess ping set type loopback end次のコマンドを実行して、データセンター間およびデータセンターとAlibaba Cloud間の通信を有効にするon-premises Gateway 2のセキュリティポリシーを設定します。
config firewall policy edit 3 set name "hz_sp1_remote" # Set the IDC2 security policy. set srcintf "hz_sp1" "loopback" "port1" # Source interfaces: port1, hz_sp1, loopback. set dstintf "loopback" "hz_sp1" "port1" # Destination interfaces: port1, hz_sp1, loopback. set action accept # Permit traffic flow. set srcaddr "all" # Include all source CIDR blocks. set dstaddr "all" # Include all destination CIDR blocks. set schedule "always" set service "ALL" next end次のコマンドを実行してBGP設定を追加します。
config router bgp set as 65534 # Assign the BGP ASN for On-premises Gateway 2. set network-import-check disable # Turn off route advertisement verification. config neighbor edit "169.254.10.1" # Set up iBGP with the SD-WAN appliance. set remote-as 65534 # Define the appliance's BGP ASN. set additional-path receive next end config network edit 1 set prefix 192.168.254.104 255.255.255.255 # Advertise the IDC2 client address for VPC and IDC1 connectivity. next end end
ステップ6: 接続をテストする
上記の手順を完了すると、データセンターはVPCに接続されます。 この手順では、データセンターとVPC間のネットワーク接続をテストする方法を示します。
接続テストを実行する前に、VPCのECSインスタンスのセキュリティグループルールとデータセンターのアクセス制御ポリシーを理解していることを確認してください。 これらのルールとポリシーが、データセンター間、データセンターとECSインスタンス間、およびECSインスタンス間の通信を許可していることを確認します。 セキュリティグループルールの詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。
IDC1とVPC1、VPC2、およびIDC2間の接続をテストします。
IDC1クライアントでCLIを開きます。
クライアントからpingコマンドを実行して、VPC1のECS1、VPC2のECS1、およびIDC2のクライアントとの接続をテストします。
前の図に示すように、IDC1が返されたメッセージを取得すると、IDC1はVPC1、VPC2、およびIDC2のリソースにアクセスできることを意味します。
IDC2とVPC1、VPC2、およびIDC1間の接続をテストします。
IDC2でクライアントのCLIを開きます。
クライアントからpingコマンドを実行して、VPC1のECS1、VPC2のECS1、およびIDC1のクライアントとの接続をテストします。
前の図に示すように、IDC2が返されたメッセージを取得すると、IDC2はVPC1、VPC2、およびIDC1のリソースにアクセスできることを意味します。
VPC1と2つのIDC間の接続をテストします。
VPC1でECS1インスタンスにログインします。 詳細については、「ECSリモート接続ガイド」をご参照ください。
ECS1インスタンスでpingコマンドを実行して、IDC1およびIDC2のクライアントとの接続をテストします。
ping <IP address of the IDC client>
上の図は、ECS1インスタンスが返されたメッセージを取得すると、VPC1がIDC1およびIDC2のリソースにアクセスできることを示しています。
VPC2と2つのIDC間の接続をテストします。
VPC2でECS1インスタンスにログインします。 詳細については、「ECSリモート接続ガイド」をご参照ください。
ECS1インスタンスでpingコマンドを実行して、IDC1およびIDC2のクライアントとの接続をテストします。
ping <IDCクライアントのIPアドレス>
上の図は、ECS1インスタンスが返されたメッセージを取得すると、VPC2がIDC1およびIDC2のリソースにアクセスできることを示しています。
VPC1とVPC2間の接続をテストします。
VPC1でECS1インスタンスにログインします。 詳細については、ECSリモート接続ガイドを参照してください。
ECS1インスタンスでpingコマンドを実行して、VPC2でECS1インスタンスとの接続をテストします。
ping <ECSインスタンスのIPアドレス>
上の図は、ECS1インスタンスが返されたメッセージを取得するときに、VPC1のECS1がVPC2のリソースにアクセスできることを示しています。
VPC2でECS1インスタンスにログインします。 詳細については、「ECSリモート接続ガイド」をご参照ください。
ECS1インスタンスでpingコマンドを実行して、VPC1でECS1インスタンスとの接続をテストします。
ping <IP address of the ECS instance>
上の図は、ECS1インスタンスが返されたメッセージを取得するため、VPC2がVPC1のリソースにアクセスできることを示しています。