このトピックでは、IPsec-VPN接続をトランジットルーターに接続する方法について説明します。 データセンターが同じリージョンの仮想プライベートクラウド (VPC) 、異なるリージョンのVPC、その他のデータセンターなどの他のネットワークと通信できるようにするには、データセンターとトランジットルーターの間にIPsec-VPN接続を確立します。
前提条件
IPsec-トランジットルーターへのVPN接続は、一部のリージョンでのみサポートされています。
一部のリージョンでのみIPsec-VPN接続をトランジットルーターに接続できます。 IPsec-VPN接続をサポートするリージョンの詳細については、「VPN Gatewayのさまざまな機能をサポートするリージョン」をご参照ください。
IPsec-VPN接続をEnterprise Editionトランジットルーターに接続すると、トランジットルーターは、方向がEgress Regional Gateway、priorityが5000、actionがRejectのルーティングポリシーをトランジットルーターのすべてのルートテーブルに自動的に追加します。 このルーティングポリシーは、IPsec-VPN接続、仮想ボーダールーター (VBR) 、およびクラウド接続ネットワーク (CCN) インスタンス間のネットワーク通信を無効にします。
データセンターがすでにIPsec-VPN接続とVPC接続を介してトランジットルーターに接続されているときに、IPsec-VPN接続を使用してデータセンターをトランジットルーターに直接接続する場合、VPC接続とIPsec-VPN接続は負荷分散をサポートしません。
次の表に、リソースのクォータを示します。
項目
デフォルト値
調整可能
トランジットルーターに接続できるIPsec-VPN接続の最大数
50
次のいずれかの方法を使用して、クォータを増やすことができます。
CENコンソールのクォータページでクォータの増加をリクエストします。 詳細については、「CENクォータの管理」をご参照ください。
クォータセンターコンソールでクォータの増加をリクエストします。 詳細については、「アプリケーションを送信してクォータを増やす」をご参照ください。
等しいコストのマルチパス (ECMP) ルーティング用にトランジットルーターがサポートするVPC接続の最大数
16
課金されません
IPsec-VPN接続を接続できるトランジットルーターの最大数
1
課金されません
課金
IPsec-VPN接続をトランジットルーターに接続した後、請求可能な項目には、トランジットルーターへの接続、トランジットルーターのデータ転送、IPsec-VPN接続、データ転送、およびアウトバウンドデータ転送が含まれます。 請求項目は、IPsec-VPN接続のネットワークタイプによって異なります。 次の表に、VPN接続の課金ルールを示します。
インターネットVPN接続の課金ルール
いいえ | 課金項目 | 説明 | 関連ドキュメント |
① | トランジットルーター接続 | トランジットルーターとIPsec-VPN接続間の接続 | |
② | トランジットルーターのデータ転送 | IPsec-VPN接続から中継ルータへのデータ転送 | |
③ | IPsec-VPN接続 | IPsec-VPN接続 | |
④ | データ転送量 | IPsec-VPN接続からデータセンターへのデータ転送 |
プライベートVPN接続の課金ルール
いいえ | 課金項目 | 説明 | 関連ドキュメント |
① | トランジットルーター接続 | VBRとIPsec-VPN接続間の接続 | |
② | トランジットルーターのデータ転送 | VBRからトランジットルーターへのデータ転送 | |
③ | IPsec-VPN接続 | IPsec-VPN接続 | |
④ | アウトバウンドデータ転送 | VBRからデータセンターへのデータ転送 |
手順
IPsec-VPN接続をトランジットルーターに接続する前に、IPsec-VPN接続を作成する必要があります。 IPsec-VPN接続をトランジットルーターに接続して、データセンターがAlibaba Cloudにアクセスできるようにすることができます。 データセンタはまた、IPsec − VPN接続を介してトランジットルータに接続され、トランジットルータに接続された他のネットワークと通信することができる。
Cloud Enterprise Network (CEN) またはVPN GatewayコンソールでIPsec-VPN接続を作成できます。 別のAlibaba Cloudアカウントに属するIPsec-VPN接続を作成できます。 次の図は、Alibaba Cloudアカウントまたは別のAlibaba Cloudアカウントに属するIPsec-VPN接続をCENまたはVPN Gatewayコンソールのトランジットルーターに接続する方法を示しています。
IPsec-VPN接続を作成するときは、カスタマーゲートウェイを指定する必要があります。 IPsec-VPN接続を作成する前に、カスタマーゲートウェイがデプロイされていることを確認してください。
VPN GatewayコンソールでIPsec-VPN接続を作成する場合は、リソースの関連付け を 関連付け禁止 に設定します。
前提条件
IPsec − VPN接続を生成するために適切な方法が選択される。 すべての前提条件が満たされていることを確認します。 詳細については、以下のトピックをご参照ください。
- 重要
トランジットルーターを作成するときは、トランジットルーターのCIDRブロックを指定する必要があります。 IPsec-VPN接続のIPアドレスは、このCIDRブロックから割り当てられます。 詳細については、「トランジットルーターCIDRブロック」をご参照ください。
IPsec-VPN接続をトランジットルーターに接続する
CENコンソールにログインします。
インスタンス ページで、管理するCENインスタンスのIDをクリックします。
タブで、管理するトランジットルーターを見つけて、接続の作成で、アクション列を作成します。
ピアネットワークインスタンスとの接続ページで、パラメーターを設定し、OKをクリックします。
パラメーターは、使用する方法によって異なります。 下表に、各パラメーターを説明します。
説明この操作を実行すると、AliyunServiceRoleForVpnという名前のサービスにリンクされたロールが自動的に作成されます。 このロールにより、VPNゲートウェイはENIやセキュリティグループなどのリソースを管理できます。 サービスにリンクされたロールAliyunServiceRoleForVpnが既に存在する場合、システムはそれを再度作成しません。 詳細については、「AliyunServiceRoleForVpn」をご参照ください。
基本設定
パラメーター
説明
ネットワークタイプ
[VPN] を選択します。
リージョン
トランジットルーターがデプロイされているリージョンを選択します。
トランジットルーター
選択したリージョンのトランジットルーターが表示されます。
リソース所有者ID
トランジットルーターとIPsec-VPN接続が属するAlibaba Cloudアカウントを選択します。
現在または別のAlibaba Cloudアカウントに属するIPsec-VPN接続をトランジットルーターに接続できます。
IPsec-VPN接続とトランジットルーターが同じAlibaba Cloudアカウントに属している場合、[現在のアカウント] を選択します。
IPsec-VPN接続とトランジットルーターが異なるAlibaba Cloudアカウントに属している場合は、[異なるアカウント] を選択し、IPsec-VPN接続が属するAlibaba CloudアカウントのIDを入力します。
個々のリソース
IPsec-VPN接続を作成するか、既存のIPsec-VPN接続を選択します。 有効な値:
リソースの作成: IPsec-VPN接続を作成します。
システムはIPsec-VPN接続を作成し、それをトランジットルーターに接続します。 VPN GatewayコンソールでIPsec-VPN接続を確認し、[編集] をクリックしてIPsec-VPN接続に関する情報を表示します。 詳細については、「IPsec-VPN接続の変更」をご参照ください。
Select Resource: 既存のIPsec-VPN接続を選択します。
添付ファイル名
VPN接続の名前を入力します。
タグ
VPN接続にタグを追加します。
タグキー: タグキーを空の文字列にすることはできません。 タグキーの長さは最大64文字です。 キーの先頭に
acs:またはaliyunを使用することも、http://またはhttps://を使用することもできません。タグ値: タグ値は空の文字列にすることができます。 タグの値の長さは、最大 128 文字です。 タグ値は、
acs:またはaliyunで始まることも、http://またはhttps://を含むこともできません。
VPN接続に1つ以上のタグを追加できます。 タグの詳細については、「タグの管理」をご参照ください。
ゲートウェイタイプ
IPsec-VPN接続のネットワークタイプを選択します。 有効な値:
パブリック: インターネットを介した暗号化された接続。 デフォルト値です。
Private: 暗号化されたプライベート接続。
Zone
ゾーンを選択します。
リソースは選択したゾーンにデプロイされます。
カスタマーゲートウェイ
IPsec-VPN接続を接続するカスタマーゲートウェイを選択します。
ルーティングモード
IPsec-VPN接続のルーティングモードを選択します。 有効な値:
宛先ルーティング: トラフィックは宛先IPアドレスに基づいて転送されます。 デフォルト値です。
フロー保護: トラフィックは、送信元と送信先のIPアドレスに基づいて転送されます。
[フロー保護] を選択した場合、[ローカルCIDRブロック] および [ピアCIDRブロック] パラメーターを設定する必要があります。 VPN接続の設定が完了すると、IPsec-VPN接続に関連付けられたルートテーブルに宛先ベースのルートが自動的に追加されます。 デフォルトでは、宛先ベースのルートは、トランジットルーターのルートテーブルにアドバタイズされます。
すぐに適用
設定が有効になった後、IPsecネゴシエーションをすぐに開始するかどうかを指定します。 有効な値:
はい: 設定完了後すぐにIPsecネゴシエーションを開始します。
いいえ: トラフィックを受信した場合にのみIPsecネゴシエーションを開始します。 デフォルト値です。
事前共有キー
Alibaba Cloudとデータセンター間のID認証に使用される事前共有キーを入力します。
キーの長さは1 ~ 100文字である必要があります。 事前共有キーを指定しない場合、システムは事前共有キーとして16ビットの文字列をランダムに生成します。
IPsec-VPN接続の事前共有キーを表示するには、VPN GatewayコンソールでIPsec-VPN接続を見つけ、[編集] をクリックします。 詳細については、「IPsec-VPN接続の変更」をご参照ください。
重要IPsec-VPN接続とデータセンターで指定されている事前共有キーは同じである必要があります。 それ以外の場合、IPsec-VPN接続は失敗します。
暗号化の設定
パラメーター
説明
IKE設定
エディション
IKEバージョンを選択します。 有効な値:
ikev1
ikev2
IKEv1とIKEv2がサポートされています。 IKEv2は、IKEv1と比較して、セキュリティアソシエーション (SA) ネゴシエーションプロセスを簡素化し、複数のCIDRブロックが使用されるシナリオをより適切にサポートします。 IKEv2を選択することを推奨します。
交渉モード
交渉モードを選択します。 有効な値:
main (デフォルト): このモードは、交渉中に高いセキュリティを提供します。
積極的: このモードは、より迅速な交渉とより高い成功率をサポートします。
モードは、データ伝送のための同じセキュリティレベルをサポートする。
暗号化アルゴリズム
フェーズ1ネゴシエーションの暗号化アルゴリズムを選択します。
aes (デフォルトではaes128) 、aes192、aes256、des、および3desのアルゴリズムがサポートされています。
認証アルゴリズム
フェーズ1ネゴシエーションの認証アルゴリズムを選択します。
sha1 (デフォルト) 、md5、sha256、sha384、およびsha512のアルゴリズムがサポートされています。
DHグループ
フェーズ1ネゴシエーション用のDiffie-Hellman (DH) 鍵交換アルゴリズムを選択します。 有効な値:
group1: DHグループ1
group2 (デフォルト): DHグループ2
group5: DHグループ5
group14: DHグループ14
SAライフタイム (秒)
フェーズ1のネゴシエーションが成功した後、SAの有効期間を入力します。 単位は秒です。 デフォルト値: 86400 有効値: 0 ~ 86400
LocalId
Alibaba CloudのIPsec識別子を入力します。 IPsec識別子は、フェーズ1ネゴシエーションに使用される。 デフォルトの識別子は、IPsec-VPN接続のゲートウェイIPアドレスです。
LocalIdは完全修飾ドメイン名 (FQDN) をサポートしています。 FQDNを使用する場合は、ネゴシエーションモードをアグレッシブに設定することを推奨します。
RemoteId
データセンターにIPsec識別子を入力します。 IPsec識別子は、フェーズ1ネゴシエーションに使用される。 デフォルトの識別子は、カスタマーゲートウェイのパブリックIPアドレスです。
RemoteIdはFQDNをサポートします。 FQDNを使用する場合は、ネゴシエーションモードをアグレッシブに設定することを推奨します。
IPsec設定
暗号化アルゴリズム
フェーズ2ネゴシエーションの暗号化アルゴリズムを選択します。
aes (デフォルトではaes128) 、aes192、aes256、des、および3desのアルゴリズムがサポートされています。
認証アルゴリズム
フェーズ2ネゴシエーションの認証アルゴリズムを選択します。
sha1 (デフォルト) 、md5、sha256、sha384、およびsha512のアルゴリズムがサポートされています。
DHグループ
フェーズ2ネゴシエーションのDHキー交換アルゴリズムを選択します。 有効な値:
disabled: DHキー交換アルゴリズムを使用しません。
完全転送機密 (PFS) をサポートしていないクライアントの場合は、[無効] を選択します。
無効以外の値を選択した場合、PFS機能はデフォルトで有効になります。これには、再ネゴシエーションごとにキーの更新が必要です。 したがって、クライアントでPFSを有効にする必要があります。
group1: DHグループ1
group2 (デフォルト): DHグループ2
group5: DHグループ5
group14: DHグループ14
SAライフタイム (秒)
フェーズ2のネゴシエーションが成功した後、SAの有効期間を入力します。 単位は秒です。 デフォルト値: 86400 有効値: 0 ~ 86400
DPD
デッドピア検出 (DPD) 機能を有効にするかどうかを指定します。
DPDを有効にすると、IPsec-VPN接続のイニシエータがDPDパケットを送信して、ピアの存在と可用性を確認します。 指定された期間内にピアから応答が受信されない場合、接続は失敗します。 ISAKMP SA、IPsec SA、およびIPsecトンネルは削除されます。 この機能はデフォルトで無効になっています。
NATトラバーサル
ネットワークアドレス変換 (NAT) トラバーサル機能を有効にするかどうかを指定します。
NATトラバーサルを有効にすると、イニシエータはIKEネゴシエーション中にUDPポートをチェックせず、IPsecトンネルに沿ってNATゲートウェイデバイスを自動的に検出できます。 この機能はデフォルトで無効になっています。
BGP設定
BGPを有効にすると、IPsec-VPN接続でBGP動的ルーティングを使用して、ルートを自動的に学習およびアドバタイズできます。 これにより、ITメンテナンスコストが削減され、ネットワーク構成エラーが最小限に抑えられます。
BGPはデフォルトで無効になっています。 BGPを設定する前に有効にする必要があります。
パラメーター
説明
トンネルCIDRブロック
IPsecトンネルのCIDRブロックを入力します。
CIDRブロックは169.254.0.0/16に該当する必要があります。 CIDRブロックのサブネットマスクの長さは30ビットである必要があります。 CIDRブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、または169.254.169.252/30にすることはできません。
ローカルBGP IP
IPsec-VPN接続がBGP経由でアクセスできるAlibaba CloudのIPアドレスを入力します。
このIPアドレスは、IPsecトンネルのCIDRブロック内にあります。
ローカルASN
IPsec-VPN接続がAlibaba Cloudで使用する自律システム番号 (ASN) を入力します。 デフォルト値: 45104 有効な値: 1 ~ 4294967295
ASNを2つのセグメントで入力し、最初の16ビットと最後の16ビットをピリオド (.) で区切ることができます。 各セグメントの数値を10進数形式で入力します。
たとえば、123.456を入力すると、ASNは次の式に基づいて計算されます。123 × 65536 + 456 = 8061384。
説明BGP経由でAlibaba Cloudへの接続を確立するには、プライベートASNを使用することを推奨します。 プライベートASNの有効範囲の詳細については、関連するドキュメントを参照してください。
ヘルスチェック
ヘルスチェック機能を有効にすると、データセンターとAlibaba Cloud間のIPsec-VPN接続の接続性が自動的にチェックされます。 ヘルスチェックの結果に基づいてルートが選択され、ネットワークの可用性が高くなります。
ヘルスチェック機能はデフォルトで無効になっています。 ヘルスチェック機能を設定する前に有効にする必要があります。
重要ヘルスチェックの設定が完了したら、宛先CIDRブロックが送信元 IP、サブネットマスクの長さが32ビット、ネクストホップがIPsec-VPN接続のルートを追加します。 これにより、ヘルスチェックを期待どおりに実行できます。
パラメーター
説明
宛先IP
Alibaba CloudがIPsec-VPN接続を介してアクセスできるデータセンターのIPアドレスを入力します。
ソースIP
データセンターがIPsec-VPN接続を介してアクセスできるAlibaba CloudのIPアドレスを入力します。
再試行間隔
2つの連続したヘルスチェックの間隔を入力します。 単位は秒です。 デフォルト値: 3
再試行
ヘルスチェックの再試行回数を入力します。 デフォルト値: 3
スイッチルート
ヘルスチェックに失敗した場合、システムにルートの撤回を許可するかどうかを指定します。 デフォルト値は Yes です。 ルートがヘルスチェックに失敗した場合、ルートは撤回されます。
はいをクリアした場合、ヘルスチェックに失敗した場合、ルートは撤回されません。
拡張設定
IPsec-VPN接続をトランジットルーターに接続すると、次の高度な機能がデフォルトで選択されます。
パラメーター
説明
ルートをVPNに自動的に通知
この機能を有効にすると、トランジットルーターのルートテーブル内のルートがIPsec-VPN接続で使用されるBGPルートテーブルに自動的にアドバタイズされます。
説明この機能は、IPsec-VPN接続とデータセンターでBGP動的ルーティングが有効になっている場合にのみ有効になります。
自動ルート広告をオフにすると、この機能を無効にできます。 詳細については、「」をご参照ください。ルート同期の無効化.
トランジットルーターのデフォルトルートテーブルに自動的に関連付ける
この機能を有効にすると、トランジットルーターとIPsec-VPN接続間の接続がトランジットルーターのデフォルトルートテーブルに関連付けられます。 中継ルータは、IPsec-VPN接続からのトラフィックを転送するために、デフォルトのルートテーブルを照会します。
トランジットルーターのデフォルトルートテーブルにシステムルートを自動的に通知
この機能を有効にすると、トランジットルーターとIPsec-VPN接続間の接続により、IPsec-VPN接続で使用される宛先ルートテーブルのルートとBGPルートテーブルのルートがトランジットルーターのデフォルトルートテーブルにアドバタイズされます。
上記の高度な機能を無効にし、関連する転送やルーティング学習などのカスタムルーティング機能を設定して、ビジネス要件に基づいてネットワーク通信を確立することができます。 詳細については、「ルートの管理」をご参照ください。
VPN接続を別のトランジットルータールートテーブルに関連付ける
IPsec-VPN接続をトランジットルーターに接続した後、VPN接続に関連付けられているトランジットルーターのルートテーブルを変更できます。
VPN接続でルート同期が有効になっている場合、IPsec-VPN接続に通知されたルートは、ルートテーブルが変更された後に自動的に撤回されます。 次に、新しいルートテーブルのルートが、IPsec-VPN接続で使用されるBGPルートテーブルに同期されます。 詳細については、「ルート同期」をご参照ください。
CENコンソールにログインします。
インスタンス ページで、管理するCENインスタンスのIDをクリックします。
タブで、管理するトランジットルーターのIDをクリックします。
リージョン内接続タブで、管理する接続のIDをクリックします。
では、添付ファイルの詳細パネル、见つけて下さい基本情報セクションをクリックし、変更次の関连ルートテーブル.
では、ルートテーブルの変更ダイアログボックスで、ルートテーブルを選択し、OKをクリックします。
API操作を呼び出してIPsec-VPN接続をトランジットルーターにアタッチする
Alibaba Cloudは、Alibaba Cloud SDK (推奨) 、Alibaba Cloud CLI、Terraform、Resource Orchestration Service (ROS) などのAPI操作を呼び出すことで、IPsec-VPN接続をトランジットルーターに接続できるさまざまなツールを提供しています。 詳細については、次のAPIリファレンスをご参照ください。
CreateTransitRouterVpnAttachment: IPsec-VPN接続をトランジットルーターにアタッチします。
UpdateTransitRouterVpnAttachmentAttribute: トランジットルーターとIPsec-VPN接続間の接続の設定を変更します。
ReplaceTransitRouterRouteTableAssociation: ネットワークインスタンス接続を別のトランジットルータールートテーブルに関連付けます。