データセンターが同じリージョンの仮想プライベートクラウド (VPC) 、別のリージョンのVPC、その他のデータセンターなどの他のネットワークと通信できるようにするには、データセンターと中継ルーターの間にIPsec-VPN接続を確立します。 このトピックでは、IPsec-VPN接続をトランジットルーターに接続する方法について説明します。
制限事項
Enterprise EditionトランジットルーターのみがVPN接続をサポートしています。
トランジットルーターに接続できるのは、特定のリージョンのIPsec-VPN接続のみです。 詳細については、「IPsec-VPNをサポートするリージョン」をご参照ください。
VPN接続のデュアルトンネルモードはベータテスト中です。 VPN接続は、タイ (バンコク) 、フィリピン (マニラ) 、ドイツ (フランクフルト) 、英国 (ロンドン) 、中国 (ウランカブ) でデュアルトンネルにアップグレードされました。 デュアルトンネルモードを有効にする必要がある場合は、アカウントマネージャーにお問い合わせください。 デュアルトンネルモードの詳細については、「デュアルトンネルモードのトランジットルーターに関連付けられたIPsec-VPN接続の概要」をご参照ください。
VPN接続を作成した後、システムは、方向がEgress Regional Gatewayで、policy Priorityが5000、Policy ActionがRejectのルーティングポリシーを、トランジットルーターのすべてのルートテーブルに自動的に追加します。 このルーティングポリシーは、VPN接続、仮想ボーダールーター (VBR) 接続、およびクラウド接続ネットワーク (CCN) 接続間の通信を拒否します。
データセンターがIPsec-VPN接続を介してトランジットルーターに接続されているとします。 この場合、トランジットルーターへの追加のVPN接続を作成すると、VPCとVPN接続ではトラフィックの負荷分散ができなくなります。
次の表に、リソースクォータを示します。
項目
デフォルト値
調整可能
トランジットルーターに接続できるIPsec-VPN接続の最大数
50
次のいずれかの方法を使用して、クォータを増やすことができます。
CENコンソールのクォータページでクォータの増加をリクエストします。 詳細については、「CENクォータの管理」をご参照ください。
クォータセンターコンソールでクォータの増加をリクエストします。 詳細については、「アプリケーションを送信してクォータを増やす」をご参照ください。
等しいコストのマルチパス (ECMP) ルーティング用にトランジットルーターがサポートするVPC接続の最大数
16
不可
IPsec-VPN接続を接続できるトランジットルーターの最大数
1
不可
課金
VPN接続を使用する場合、請求可能な項目には、トランジットルーター接続、トランジットルーターのデータ転送、IPsec-VPN接続インスタンス料金、データ転送、およびアウトバウンドデータ転送が含まれます。 請求項目は、IPsec-VPN接続のネットワークタイプによって異なります。 次の表に、VPN接続の課金ルールを示します。
インターネットVPN接続の課金ルール
いいえ | 項目 | 説明 | 関連ドキュメント |
① | トランジットルーター接続 | トランジットルーターとIPsec-VPN接続間の接続 |
|
② | トランジットルーターのデータ転送 | IPsec-VPN接続から中継ルータへのデータ転送 | |
③ | IPsec-VPN接続インスタンス | IPsec-VPN接続 | |
④ | データ転送量 | IPsec-VPN接続からデータセンターへのデータ転送 |
プライベートVPN接続の課金ルール
いいえ | 項目 | 説明 | 関連ドキュメント |
① | トランジットルーター接続 | VBRとIPsec-VPN接続間の接続 |
|
② | トランジットルーターのデータ転送 | VBRからトランジットルーターへのデータ転送 | |
③ | IPsec-VPN接続 | IPsec-VPN接続 | |
④ | アウトバウンドデータ転送 | VBRからデータセンターへのデータ転送 |
手順
IPsec-VPN接続をトランジットルーターに接続する前に、IPsec-VPN接続を作成する必要があります。 IPsec-VPN接続をトランジットルーターに接続して、データセンターがAlibaba Cloudにアクセスできるようにすることができます。 データセンタはまた、IPsec − VPN接続を介してトランジットルータに接続され、トランジットルータに接続された他のネットワークと通信することができる。
Cloud Enterprise Network (CEN) またはVPN GatewayコンソールでIPsec-VPN接続を作成できます。 別のAlibaba Cloudアカウントに属するIPsec-VPN接続を作成できます。 次の図は、Alibaba Cloudアカウントまたは別のAlibaba Cloudアカウントに属するIPsec-VPN接続をCENまたはVPN Gatewayコンソールのトランジットルーターに接続する方法を示しています。
IPsec-VPN接続を作成するときは、カスタマーゲートウェイを指定する必要があります。 IPsec-VPN接続を作成する前に、カスタマーゲートウェイが作成されていることを確認してください。
VPN GatewayコンソールでIPsec-VPN接続を作成するときは、リソースの関連付け を 関連付け禁止 に設定します。
前提条件
VPN接続を作成する前に、状況に合った適切なモードを選択してください。 VPN接続を作成する前に、すべての前提条件が満たされていることを確認します。 詳細については、以下のトピックをご参照ください。
単一トンネルモード
- 重要
トランジットルーターを作成するときは、トランジットルーターのCIDRブロックを指定する必要があります。 IPsec-VPN接続のIPアドレスは、このCIDRブロックから割り当てられます。 トランジットルーターのCIDRブロックの詳細については、「トランジットルーターのCIDRブロック」をご参照ください。
二重トンネルモード
- 重要
トランジットルーターを作成するときは、トランジットルーターのCIDRブロックを指定する必要があります。 IPsec-VPN接続のIPアドレスは、このCIDRブロックから割り当てられます。 トランジットルーターのCIDRブロックの詳細については、「トランジットルーターのCIDRブロック」をご参照ください。
VPN接続の作成
CENコンソールにログインします。
インスタンス ページで、管理するCENインスタンスのIDをクリックします。
タブで、ターゲットリージョンのトランジットルーターインスタンスを見つけます。 [操作] 列で、[ネットワークインスタンス接続の作成] をクリックします。
ネットワークインスタンスの接続ページで、次の情報に基づいてVPN接続情報を設定し、作成の確認.
IPsec-VPN接続を作成する手順に応じて、異なる設定項目を設定する必要があります。 以下に、参照用のすべての設定項目を示します。
説明この操作を初めて実行すると、AliyunServiceRoleForVpnという名前のサービスにリンクされたロールが自動的に作成されます。 このロールにより、VPNゲートウェイはENIやセキュリティグループなどのリソースを管理できます。 サービスにリンクされたロールAliyunServiceRoleForVpnが既に存在する場合、システムはそれを再度作成しません。 AliyunServiceRoleForVpnの詳細については、「AliyunServiceRoleForVpn」をご参照ください。
単一トンネルモード
基本情報
パラメーター
説明
[インスタンスタイプ]
[VPN] を選択します。
リージョン
トランジットルーターがデプロイされているリージョンを選択します。
トランジットルーター
選択したリージョンのトランジットルーターが表示されます。
リソース所有者ID
トランジットルーターとIPsec-VPN接続が属するAlibaba Cloudアカウントを選択します。
現在または別のAlibaba Cloudアカウントに属するIPsec-VPN接続をトランジットルーターに接続できます。
IPsec-VPN接続とトランジットルーターが同じAlibaba Cloudアカウントに属している場合、[現在のアカウント] を選択します。
IPsec-VPN接続とトランジットルーターが異なるAlibaba Cloudアカウントに属している場合は、[異なるアカウント] を選択し、IPsec-VPN接続が属するAlibaba CloudアカウントのIDを入力します。
個々のリソース
IPsec-VPN接続を作成するか、既存のIPsec-VPN接続を選択します。 有効な値:
リソースの作成: IPsec-VPN接続を作成します。
システムはIPsec-VPN接続を作成し、それをトランジットルーターに接続します。 VPN GatewayコンソールでIPsec-VPN接続を確認し、[編集] をクリックしてIPsec-VPN接続に関する情報を表示します。 詳細については、「IPsec-VPN接続の変更」をご参照ください。
Select Resource: 既存のIPsec-VPN接続を選択します。
添付ファイル名
VPN接続の名前を入力します。
タグ
VPN接続にタグを追加します。
タグキー: タグキーの長さは最大64文字です。 空の文字列にすることも、
acs:またはaliyunで始まることも、http://またはhttps://を含むこともできません。タグ値: タグ値は、最大長128文字の空の文字列にすることができます。
acs:またはaliyunで始まることも、http://またはhttps://を含むこともできません。
VPN接続に1つ以上のタグを追加できます。 タグの詳細については、「タグの管理」をご参照ください。
ゲートウェイタイプ
IPsec-VPN接続のネットワークタイプを選択します。 有効な値:
パブリック: インターネットを介した暗号化された接続。 デフォルト値です。
Private: 暗号化されたプライベート接続。
ゾーン
ゾーンを選択します。
リソースは選択したゾーンにデプロイされます。
カスタマーゲートウェイ
IPsec-VPN接続を接続するカスタマーゲートウェイを選択します。
ルーティングモード
IPsec-VPN接続のルーティングモードを選択します。 有効な値:
宛先ルーティング: トラフィックは宛先IPアドレスに基づいて転送されます。 デフォルト値です。
フロー保護: トラフィックは、送信元と送信先のIPアドレスに基づいて転送されます。
[フロー保護] を選択した場合、[ローカルCIDRブロック] および [ピアCIDRブロック] パラメーターを設定する必要があります。 VPN接続の設定が完了すると、IPsec-VPN接続に関連付けられたルートテーブルに宛先ベースのルートが自動的に追加されます。 デフォルトでは、宛先ベースのルートは、トランジットルーターのルートテーブルにアドバタイズされます。
すぐに適用
設定が有効になった後、IPsecネゴシエーションをすぐに開始するかどうかを指定します。 有効な値:
はい: 設定完了後すぐにIPsecネゴシエーションを開始します。
いいえ: トラフィックを受信した場合にのみIPsecネゴシエーションを開始します。 デフォルト値です。
事前共有キー
Alibaba Cloudとデータセンター間のID認証に使用される事前共有キーを入力します。
キーの長さは1 ~ 100文字である必要があります。 事前共有キーを指定しない場合、システムは事前共有キーとして16ビットの文字列をランダムに生成します。
IPsec-VPN接続の事前共有キーを表示するには、VPN GatewayコンソールでIPsec-VPN接続を見つけ、[編集] をクリックします。 詳細については、「IPsec-VPN接続の変更」をご参照ください。
重要IPsec-VPN接続とデータセンターで指定されている事前共有キーは同じである必要があります。 それ以外の場合、IPsec-VPN接続は失敗します。
暗号化の設定
パラメーター
説明
IKE設定
エディション
IKEプロトコルのバージョンを選択します。 有効な値:
ikev1
ikev2 (デフォルト)
IKEv1とIKEv2がサポートされています。 IKEv2は、IKEv1と比較して、セキュリティアソシエーション (SA) ネゴシエーションプロセスを簡素化し、複数のCIDRブロックが使用されるシナリオをより適切にサポートします。 IKEv2を選択することを推奨します。
交渉モード
交渉モードを選択します。 有効な値:
main (デフォルト): このモードは、交渉中に高いセキュリティを提供します。
積極的: このモードは、より迅速な交渉とより高い成功率をサポートします。
モードは、データ伝送のための同じセキュリティレベルをサポートする。
暗号化アルゴリズム
フェーズ1ネゴシエーションの暗号化アルゴリズムを選択します。
aes (デフォルトではaes128) 、aes192、aes256、des、および3desのアルゴリズムがサポートされています。
認証アルゴリズム
フェーズ1ネゴシエーションの認証アルゴリズムを選択します。
sha1 (デフォルト) 、md5、sha256、sha384、およびsha512のアルゴリズムがサポートされています。
DHグループ
フェーズ1ネゴシエーション用のDiffie-Hellman (DH) 鍵交換アルゴリズムを選択します。 有効な値:
group1: DHグループ1
group2 (デフォルト): DHグループ2
group5: DHグループ5
group14: DHグループ14
SAライフタイム (秒)
フェーズ1のネゴシエーションが成功した後、SAの有効期間を入力します。 単位は秒です。 デフォルト値: 86400 有効な値: 0〜86400
LocalId
Alibaba CloudのIPsec識別子を入力します。 IPsec識別子は、フェーズ1ネゴシエーションに使用される。 デフォルトの識別子は、IPsec-VPN接続のゲートウェイIPアドレスです。
LocalIdは完全修飾ドメイン名 (FQDN) をサポートしています。 FQDNを使用する場合は、ネゴシエーションモードをアグレッシブに設定することを推奨します。
RemoteId
データセンターにIPsec識別子を入力します。 IPsec識別子は、フェーズ1ネゴシエーションに使用される。 デフォルトの識別子は、カスタマーゲートウェイのパブリックIPアドレスです。
RemoteIdはFQDNをサポートします。 FQDNを使用する場合は、ネゴシエーションモードをアグレッシブに設定することを推奨します。
IPsec設定
暗号化アルゴリズム
フェーズ2ネゴシエーションの暗号化アルゴリズムを選択します。
aes (デフォルトではaes128) 、aes192、aes256、des、および3desのアルゴリズムがサポートされています。
認証アルゴリズム
フェーズ2ネゴシエーションの認証アルゴリズムを選択します。
sha1 (デフォルト) 、md5、sha256、sha384、およびsha512のアルゴリズムがサポートされています。
DHグループ
フェーズ2ネゴシエーションのDHキー交換アルゴリズムを選択します。 有効な値:
disabled: DHキー交換アルゴリズムを使用しません。
完全転送機密 (PFS) をサポートしていないクライアントの場合は、[無効] を選択します。
無効以外の値を選択した場合、PFS機能はデフォルトで有効になります。これには、再ネゴシエーションごとにキーの更新が必要です。 したがって、クライアントでPFSを有効にする必要があります。
group1: DHグループ1
group2 (デフォルト): DHグループ2
group5: DHグループ5
group14: DHグループ14
SAライフタイム (秒)
フェーズ2のネゴシエーションが成功した後、SAの有効期間を入力します。 単位は秒です。 デフォルト値: 86400 有効値: 0 ~ 86400
DPD
デッドピア検出 (DPD) 機能を有効にするかどうかを指定します。
DPDを有効にすると、IPsec-VPN接続のイニシエータがDPDパケットを送信して、ピアの存在と可用性を確認します。 指定された期間内にピアから応答が受信されない場合、接続は失敗します。 ISAKMP SA、IPsec SA、およびIPsecトンネルは削除されます。 この機能はデフォルトで無効になっています。
NATトラバーサル
ネットワークアドレス変換 (NAT) トラバーサル機能を有効にするかどうかを指定します。
NATトラバーサルを有効にすると、イニシエータはIKEネゴシエーション中にUDPポートをチェックせず、IPsecトンネルに沿ってNATゲートウェイデバイスを自動的に検出できます。 この機能はデフォルトで無効になっています。
BGP設定
BGPを有効にすると、IPsec-VPN接続では、Border Gateway Protocol (BGP) 動的ルーティングを使用して、ルートを自動的に学習およびアドバタイズできます。 これにより、ITメンテナンスコストが削減され、ネットワーク構成エラーが最小限に抑えられます。
BGPはデフォルトで無効になっています。 BGPを設定する前に有効にする必要があります。
パラメーター
説明
トンネルCIDRブロック
IPsecトンネルのトンネルCIDRブロックを入力します。
トンネルCIDRブロックは169.254.0.0/16に該当する必要があります。 トンネルCIDRブロックのサブネットマスクの長さは30ビットである必要があります。 トンネルCIDRブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、または169.254.169.252/30にすることはできません。
ローカルBGP IP
IPsec-VPN接続がBGP経由でアクセスできるAlibaba CloudのIPアドレスを入力します。
このIPアドレスは、IPsecトンネルのCIDRブロック内にあります。
ローカルASN
IPsec-VPN接続がAlibaba Cloudで使用する自律システム番号 (ASN) を入力します。 デフォルト値: 45104 有効な値: 1 ~ 4294967295
ASNを2つのセグメントで入力し、最初の16ビットと最後の16ビットをピリオド (.) で区切ることができます。 各セグメントの数値を10進数形式で入力します。
たとえば、123.456を入力すると、ASNは次の式に基づいて計算されます。123 × 65536 + 456 = 8061384。
説明BGP経由でAlibaba Cloudへの接続を確立するには、プライベートASNを使用することを推奨します。 プライベートASNの有効範囲の詳細については、関連するドキュメントを参照してください。
ヘルスチェック
ヘルスチェック機能を有効にすると、データセンターとAlibaba Cloud間のIPsec-VPN接続の接続性が自動的にチェックされます。 ヘルスチェックの結果に基づいてルートが選択され、ネットワークの可用性が高くなります。
ヘルスチェック機能はデフォルトで無効になっています。 ヘルスチェック機能を設定する前に有効にする必要があります。
重要ヘルスチェックの設定が完了したら、宛先CIDRブロックが送信元 IP、サブネットマスクの長さが32ビット、ネクストホップがIPsec-VPN接続のルートを追加します。 これにより、ヘルスチェックを期待どおりに実行できます。
パラメーター
説明
宛先IP
Alibaba CloudがIPsec-VPN接続を介してアクセスできるデータセンターのIPアドレスを入力します。
ソースIP
データセンターがIPsec-VPN接続を介してアクセスできるAlibaba CloudのIPアドレスを入力します。
再試行間隔
2つの連続したヘルスチェックの間隔を入力します。 単位は秒です。 デフォルト値: 3
再試行
ヘルスチェックの再試行回数を入力します。 デフォルト値: 3
スイッチルート
ヘルスチェックに失敗した場合、システムにルートの撤回を許可するかどうかを指定します。 デフォルト値は Yes です。 ルートがヘルスチェックに失敗した場合、ルートは撤回されます。
はいをクリアした場合、ヘルスチェックに失敗した場合、ルートは撤回されません。
詳細設定
IPsec-VPN接続をトランジットルーターに接続すると、次の高度な機能がデフォルトで選択されます。
パラメーター
説明
ルートをVPNに自動的に通知
この機能を有効にすると、トランジットルーターのルートテーブル内のルートがIPsec-VPN接続で使用されるBGPルートテーブルに自動的にアドバタイズされます。
説明この機能は、IPsec-VPN接続とデータセンターでBGP動的ルーティングが有効になっている場合にのみ有効になります。
自動ルート広告をオフにすると、この機能を無効にできます。 詳細については、「」をご参照ください。ルート同期の無効化.
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、トランジットルーターとIPsec-VPN接続間の接続がトランジットルーターのデフォルトルートテーブルに関連付けられます。 中継ルータは、IPsec-VPN接続からのトラフィックを転送するために、デフォルトのルートテーブルを照会します。
システムルートをトランジットルーターのデフォルトルートテーブルにアドバタイズ
この機能を有効にすると、トランジットルーターとIPsec-VPN接続間の接続により、IPsec-VPN接続で使用される宛先ルートテーブルのルートとBGPルートテーブルのルートがトランジットルーターのデフォルトルートテーブルにアドバタイズされます。
上記の高度な機能を無効にし、関連する転送やルーティング学習などのカスタムルーティング機能を設定して、ビジネス要件に基づいてネットワーク通信を確立することができます。 詳細については、「ルートの管理」をご参照ください。
二重トンネルモード
基本情報
パラメーター
説明
[インスタンスタイプ]
[VPN] を選択します。
リージョン
トランジットルーターがデプロイされているリージョンを選択します。
トランジットルーター
選択したリージョンのトランジットルーターが表示されます。
リソース所有者ID
トランジットルーターとIPsec-VPN接続が属するAlibaba Cloudアカウントを選択します。
現在または別のAlibaba Cloudアカウントに属するIPsec-VPN接続をトランジットルーターに接続できます。
IPsec-VPN接続とトランジットルーターが同じAlibaba Cloudアカウントに属している場合、[現在のアカウント] を選択します。
IPsec-VPN接続とトランジットルーターが異なるAlibaba Cloudアカウントに属している場合は、[異なるアカウント] を選択し、IPsec-VPN接続が属するAlibaba CloudアカウントのIDを入力します。
個々のリソース
IPsec-VPN接続を作成するか、既存のIPsec-VPN接続を選択します。 有効な値:
リソースの作成: IPsec-VPN接続を作成します。
システムはIPsec-VPN接続を作成し、それをトランジットルーターに接続します。 VPN GatewayコンソールでIPsec-VPN接続を確認し、[編集] をクリックしてIPsec-VPN接続に関する情報を表示します。 詳細については、「IPsec-VPN接続の変更」をご参照ください。
Select Resource: 既存のIPsec-VPN接続を選択します。
添付ファイル名
VPN接続の名前を入力します。
ゲートウェイタイプ
IPsec-VPN接続のネットワークタイプを選択します。 有効な値:
パブリック: インターネットを介した暗号化された接続。 デフォルト値です。
Private: 暗号化されたプライベート接続。
ルーティングモード
IPsec-VPN接続のルーティングモードを選択します。 有効な値:
宛先ルーティング: トラフィックは宛先IPアドレスに基づいて転送されます。 デフォルト値です。
フロー保護: トラフィックは、送信元と送信先のIPアドレスに基づいて転送されます。
[フロー保護] を選択した場合、[ローカルCIDRブロック] および [ピアCIDRブロック] パラメーターを設定する必要があります。 VPN接続の設定が完了すると、IPsec-VPN接続に関連付けられたルートテーブルに宛先ベースのルートが自動的に追加されます。 デフォルトでは、宛先ベースのルートは、トランジットルーターのルートテーブルにアドバタイズされます。
すぐに適用
設定が有効になった後、IPsecネゴシエーションをすぐに開始するかどうかを指定します。 有効な値:
はい: 設定完了後すぐにIPsecネゴシエーションを開始します。
いいえ: トラフィックを受信した場合にのみIPsecネゴシエーションを開始します。 デフォルト値です。
BGP の有効化
オフ: 静的ルートは手動で設定する必要があります。 デフォルト値です。
オン: ルートは、BGP動的ルーティングを使用してIPsec-VPN接続を介して動的に学習およびアドバタイズされます。
ローカルASN
BGP設定を [オン] にした場合にのみ、この項目を設定します。 BGPが無効の場合は不要です。
IPsec-VPN接続の自律システム番号 (ASN) を入力します。 デフォルト値は45104で、有効範囲は1〜4294967295です。
ASNを2つのセグメントで入力し、最初の16ビットと最後の16ビットをピリオド (.) で区切ることができます。 各セグメントの数値を10進数形式で入力します。
たとえば、123.456を入力すると、ASNは次の式に基づいて計算されます。123 × 65536 + 456 = 8061384。
説明Alibaba CloudとのBGP接続にはプライベートASNを使用することを推奨します。 プライベートASNの有効範囲の詳細については、関連するドキュメントを参照してください。
トンネル設定
デュアルトンネルモードでは、tunnel 1とTunnel 2の両方を設定して、可用性を確保する必要があります。 単一のトンネルを設定または使用しても、アクティブ /スタンバイトンネルの冗長性とゾーン間のディザスタリカバリ機能は提供されません。
パラメーター
説明
カスタマーゲートウェイ
トンネルに関連付けられるカスタマーゲートウェイ。
事前共有キー
トンネルとピア間のIDを検証するために使用される事前共有キー。
キーの長さは1〜100文字である必要があり、数字、文字、および次の特殊文字を含めることができます。
~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?。 キーにスペースを含めることはできません。事前共有キーを指定しない場合、事前共有キーとして16文字の文字列がランダムに生成されます。 IPsec-VPN接続が作成された後、トンネルの [操作] 列の [編集] をクリックして、システムによって生成された事前共有キーを表示できます。 詳細については、このトピックの「トンネルの設定の変更」をご参照ください。
重要トンネルとピアが同じ事前共有キーを使用していることを確認します。 そうでなければ、トンネル通信を確立できない。
暗号化設定
パラメーター
説明
暗号化設定: IKE設定
バージョン
IKEバージョン。 有効な値:
ikev1
ikev2 (デフォルト)
IKEv2は、IKEv1と比較して、SAネゴシエーションを簡素化し、複数のCIDRブロック間で通信が確立されるシナリオをより適切にサポートします。 IKEv2の使用を推奨します。
交渉モード
交渉モード。 デフォルト値: main。 有効な値:
main: このモードは交渉中に高いセキュリティを提供します。
積極的: このモードはより速い交渉をサポートし、より高い成功率をサポートします。
両方のモードでネゴシエートされた接続は、データ伝送のための同じレベルのセキュリティを保証する。
暗号化アルゴリズム
フェーズ1ネゴシエーションで使用する暗号化アルゴリズムを選択します。
有効な値: aes、aes192、aes256、des、3des。 デフォルト値: aes。AES-128を指定します。
説明推奨: aes、aes192、およびaes256。 推奨なし: desおよび3des。
AES (Advanced Encryption Standard) は、高レベルの暗号化および復号化を提供する対称鍵暗号化アルゴリズムである。 AESは安全なデータ伝送を保証し、ネットワーク遅延、スループット、転送パフォーマンスにほとんど影響を与えません。
トリプルDES (3DES) は、その3層暗号化技術を通じて強化されたセキュリティを提供します。 3DES暗号化は、AESと比較して計算量が多く、時間がかかり、転送性能が低下する。
認証アルゴリズム
フェーズ1ネゴシエーションで使用する認証アルゴリズムを選択します。
サポートされているアルゴリズムは、sha1 (デフォルト) 、md5、sha256、sha384、およびsha512です。
説明オンプレミスのゲートウェイデバイスにVPN設定を追加する場合は、確率的ランダムフォレスト (PRF) アルゴリズムを指定する必要があります。 PRFアルゴリズムは、IKE構成における認証アルゴリズムと一致することができる。
DHグループ
フェーズ1ネゴシエーションで使用されるDiffie-Hellman (DH) キー交換アルゴリズム。 デフォルト値: group2 有効な値:
group1: DHグループ1。
group2: DHグループ2。
group5: DHグループ5。
グループ14: DHグループ14。
SAライフサイクル (秒)
フェーズ1交渉が成功した後のSAの存続期間。 単位: 秒デフォルト値: 86400。 有効値: 0 ~ 86400
LocalId
フェーズ1ネゴシエーションのトンネルの識別子を入力します。 デフォルト値は、トンネルのゲートウェイIPアドレスです。
このパラメーターは、IPsec-VPNネゴシエーションでAlibaba Cloudを識別するためにのみ使用されます。 IDとしてIPアドレスまたは完全修飾ドメイン名 (FQDN) を使用できます。 値にスペースを含めることはできません。 プライベートIPアドレスを使用することを推奨します。
LocalIdパラメーターをFQDN (s example.aliyun.comなど) に設定した場合、オンプレミスゲートウェイデバイスのIPsec-VPN接続のピアIDは、LocalIdパラメーターの値と同じである必要があります。 この場合、ネゴシエーションモードをアグレッシブに設定することを推奨します。
RemoteId
フェーズ1ネゴシエーションのピアの識別子を入力します。 デフォルト値は、カスタマーゲートウェイのIPアドレスです。
このパラメーターは、IPsec-VPNネゴシエーションでオンプレミスゲートウェイデバイスを識別するためにのみ使用されます。 IDとしてIPアドレスまたはFQDNを使用できます。 値にスペースを含めることはできません。 プライベートIPアドレスを使用することを推奨します。
RemoteIdパラメーターをFQDN (s example.aliyun.comなど) に設定した場合、オンプレミスゲートウェイデバイスのローカルIDはRemoteIdパラメーターの値と同じである必要があります。 この場合、ネゴシエーションモードをアグレッシブに設定することを推奨します。
暗号化設定: IPsec設定
暗号化アルゴリズム
フェーズ2ネゴシエーションで使用する暗号化アルゴリズムを選択します。
有効な値: aes、aes192、aes256、des、3des。 デフォルトでは、aesの値はAES-128を指定します。
説明推奨: aes、aes192、およびaes256。 推奨なし: desおよび3des。
AES (Advanced Encryption Standard) は、高レベルの暗号化および復号化を提供する対称鍵暗号化アルゴリズムである。 AESは安全なデータ伝送を保証し、ネットワーク遅延、スループット、転送パフォーマンスにほとんど影響を与えません。
トリプルDES (3DES) は、その3層暗号化技術を通じて強化されたセキュリティを提供します。 3DES暗号化は、AESと比較して計算量が多く、時間がかかり、転送性能が低下する。
認証アルゴリズム
フェーズ2ネゴシエーションで使用する認証アルゴリズムを選択します。
サポートされているアルゴリズムは、sha1 (デフォルト) 、md5、sha256、sha384、およびsha512です。
DHグループ
フェーズ2ネゴシエーションで使用されるDH鍵交換アルゴリズム。 デフォルト値: group2 有効な値:
disabled: DHキー交換アルゴリズムを使用しません。
ピアのローカルゲートウェイデバイスがPFSをサポートしていない場合は、[無効] を選択します。
無効以外の値を選択した場合、PFSはデフォルトで有効になります。 この場合、交渉ごとに鍵が更新される。 したがって、ピアのローカルゲートウェイデバイスのPFSを有効にする必要があります。
group1: DHグループ1。
group2: DHグループ2。
group5: DHグループ5。
グループ14: DHグループ14。
SAライフサイクル (秒)
フェーズ2の交渉が成功した後、SAのライフタイムを入力します。 単位: 秒デフォルト値: 86400。 有効値: 0 ~ 86400
DPD
デッドピア検出 (DPD) 機能を有効にするかどうかを指定します。 デフォルトでは、DPD機能は有効です。
DPD機能を有効にすると、IPsec-VPN接続はDPDパケットを送信してピアの存在と可用性を確認します。 指定された期間内にピアから応答が受信されない場合、接続は失敗します。 次に、Internet Security Association and Key Management Protocol (ISAKMP) SA、IPsec SA、およびIPsecトンネルが削除されます。 DPDパケットタイムアウトが発生すると、IPsec-VPN接続は自動的にトンネルとのIPsec-VPNネゴシエーションを再開します。
IKEv1を使用する場合、DPDパケットのタイムアウト時間は30秒です。
IKEv2を使用する場合、DPDパケットのタイムアウト時間は130秒です。
NAT トラバーサル
NATトラバーサル機能を有効にするかどうかを指定します。 デフォルトでは、NATトラバーサル機能は有効になっています。
NATトラバーサルを有効にすると、イニシエータはIKEネゴシエーション中にUDPポートをチェックせず、IPsecトンネルに沿ってNATゲートウェイデバイスを自動的に検出できます。
BGP設定
IPsec-VPN接続でBGPが有効になっている場合、Alibaba Cloud側でBGPトンネルのCIDRブロックとBGPトンネルのIPアドレスを設定できます。 IPsec-VPN接続のBGP動的ルーティングを無効にすると、IPsec-VPN接続の作成後にトンネルに対してこの機能を有効にできます。 詳細については、このトピックの「IPsec-VPN接続の作成後のトンネルのBGP動的ルーティングの有効化」をご参照ください。
パラメーター
説明
トンネル CIDR ブロック
トンネルのCIDRブロックを入力します。
CIDRブロックは169.254.0.0/16に該当する必要があります。 CIDRブロックのマスクは30ビット長でなければなりません。 CIDRブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または169.254.169.252/30にすることはできません。
説明IPsec-VPN接続の2つのトンネルは、異なるCIDRブロックを使用する必要があります。
ローカル BGP IP アドレス
トンネルのBGP IPアドレス。
このIPアドレスは、トンネルのCIDRブロック内にある必要があります。
拡張設定
IPsec-VPN接続をトランジットルーターに接続すると、デフォルトで次の高度な機能が選択されます。
パラメーター
説明
自動広告
この機能を有効にすると、IPsec-VPN接続に関連付けられているトランジットルーターのルートテーブルのルートがIPsec-VPN接続のBGPルートテーブルに自動的にアドバタイズされます。
説明この機能は、IPsec-VPN接続とデータセンターでBGP動的ルーティング機能が有効になっている場合にのみ有効になります。
ルート同期をオフにすると、この機能を無効にできます。 詳細については、ルート同期の無効化セクションを参照してください。ルート同期トピックを使用します。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、IPsec-VPN接続はトランジットルーターのデフォルトルートテーブルに関連付けられます。 中継ルータは、IPsec-VPN接続からのトラフィックを転送するために、デフォルトのルートテーブルを照会します。
システムルートをトランジットルーターのデフォルトルートテーブルにアドバタイズ
この機能を有効にすると、IPsec-VPN接続の宛先ベースのルートテーブルとBGPルートテーブルのルートが、トランジットルーターのデフォルトルートテーブルにアドバタイズされます。
上記の高度な機能を無効にし、トランジットルーターを使用して、ビジネス要件に基づいてネットワーク通信を確立することもできます。 詳細については、「ルートの管理」をご参照ください。
Tags
IPsec-VPN接続を作成するときに、リソースの集約と検索を容易にするために、IPsec-VPN接続にタグを追加できます。 詳細については、「概要」をご参照ください。
パラメーター
説明
タグキー
IPsec-VPN接続のタグキー。 タグキーを選択または入力できます。
タグ値
IPsec-VPN接続のタグ値。 タグ値を選択または入力できます。 タグ値パラメーターは空のままにすることができます。
VPN接続を別のトランジットルータールートテーブルに関連付ける
IPsec-VPN接続をトランジットルーターに接続した後、VPN接続に関連付けられているトランジットルーターのルートテーブルを変更できます。
VPN接続でルート同期が有効になっている場合、IPsec-VPN接続に通知されたルートは、ルートテーブルが変更された後に自動的に撤回されます。 次に、新しいルートテーブルのルートが、IPsec-VPN接続で使用されるBGPルートテーブルに同期されます。 詳細については、「ルート同期」をご参照ください。
CENコンソールにログインします。
インスタンス ページで、管理するCENインスタンスのIDをクリックします。
タブに移動し、ターゲットリージョンのトランジットルーターのIDをクリックします。
リージョン内接続タブで、管理する接続のIDをクリックします。
添付ファイルの詳細パネルで、基本情報セクションを見つけ、関连ルートテーブル横の変更をクリックします。
ルートテーブルの変更ダイアログボックスで、ルータールートテーブルを選択し、OKをクリックします。
APIを呼び出してVPN接続を作成する
VPN接続を作成または変更するには、Alibaba Cloud SDK (推奨) 、Alibaba Cloud CLI、Terraform、Resource Orchestration Serviceなどのツールを使用します。 詳細については、次のAPIリファレンスをご参照ください。
CreateTransitRouterVpnAttachment: IPsec-VPN接続をトランジットルーターにアタッチします。
UpdateTransitRouterVpnAttachmentAttribute: トランジットルーターとIPsec-VPN接続間の設定を変更します。
ReplaceTransitRouterRouteTableAssociation: ネットワークインスタンス接続を別のルーターテーブルに関連付けます。