このトピックでは、パブリックVPNゲートウェイを使用して仮想プライベートクラウド (VPC) とデータセンター間にシングルトンネルモードでIPsec-VPN接続を確立する方法、およびVPCとデータセンターのボーダーゲートウェイプロトコル (BGP) 動的ルーティングを設定してルートを自動的に学習する方法について説明します。 これにより、VPCとデータセンターは互いにリソースを共有できます。 これにより、ネットワークメンテナンスコストとネットワーク構成エラーが削減されます。
前提条件
IPsec-VPN接続をパブリックVPNゲートウェイに関連付ける前に、データセンターのゲートウェイデバイスにパブリックIPアドレスが割り当てられます。
データセンターのゲートウェイデバイスは、トランジットルーターとのIPsec-VPN接続を確立するために、IKEv1またはIKEv2プロトコルをサポートする必要があります。
データセンターのCIDRブロックは、アクセスするネットワークのCIDRブロックと重複しません。
BGP動的ルーティングをサポートするリージョン
地域 | リージョン |
アジア太平洋 | 中国 (杭州) 、中国 (上海) 、 中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (深セン) 、中国 (香港) 、日本 (東京) 、シンガポール、オーストラリア (シドニー) クロージング、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 、インド (ムンバイ) クロージング |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (バージニア) 、米国 (シリコンバレー) |
中東およびインド | UAE (ドバイ) |
シナリオ
次の図は、このトピックで使用されるシナリオを示しています。 企業がドイツ (フランクフルト) リージョンにVPCを作成しました。 VPCのプライベートCIDRブロックは10.0.0.0/8で、自律システム番号 (ASN) は65530です。 企業はフランクフルトにデータセンターを持っています。 データセンターのパブリックIPアドレスは2.XX. XX.2、プライベートCIDRブロックは172.17.0.0/16、ASNは65531です。 企業は、ビジネス開発のためにVPCとデータセンターの間に接続を確立したいと考えています。
IPsec-VPNを使用して、VPCとデータセンター間の接続を確立し、BGP動的ルーティングを設定できます。 設定が完了すると、VPCとデータセンターは自動的にルートを学習し、BGP動的ルーティングを使用して相互に通信できます。 これにより、ネットワークメンテナンスコストとネットワーク構成エラーが削減されます。
自律システム (AS) は、システムで使用されるルーティングプロトコルを独立して決定する小さなユニットです。 このユニットは、独立した管理可能なネットワークユニットです。 これは、1人以上のネットワーク管理者によって制御される単純なネットワークまたはネットワークグループからなることができる。 各ASは、ASNと呼ばれるグローバル一意識別子を有する。
準備
ドイツ (フランクフルト) リージョンにVPCが作成され、クラウドサービスがVPCにデプロイされます。 詳細については、「」をご参照ください。IPv4 CIDRブロックを持つVPCの作成.
VPN Gatewayを使用する前に、VPCのECSインスタンスに適用されるセキュリティグループルールを読んで理解する必要があります。 セキュリティグループルールで、データセンターのゲートウェイデバイスがクラウドリソースにアクセスできるようにします。 詳細については、「」をご参照ください。セキュリティグループルールの表示とセキュリティグループルールの追加.
手順
手順 1: VPN ゲートウェイの作成
VPN Gatewayページをクリックします。VPN Gateway の作成.
購入ページで、次の表に記載されているパラメーターを設定し、今すぐ購入、そして支払いを完了します。
次の表に、このトピックに関連するパラメーターのみを示します。 他のパラメータのデフォルト値を使用することも、空のままにすることもできます。 詳細については、「VPN gatewayの作成と管理」をご参照ください。
パラメーター
説明
リージョンとゾーン
VPNゲートウェイを作成するリージョン。
VPNゲートウェイとVPCが同じリージョンにあることを確認してください。 この例では、ドイツ (フランクフルト) が選択されています。
ゲートウェイタイプ
ゲートウェイの種類。
デフォルト値: 標準。
ネットワークタイプ
ネットワークタイプ。 この例では、[公開] が選択されています。
トンネル
このリージョンでサポートされているトンネルモードが表示されます。 有効な値:
シングルトンネル
デュアルトンネル
詳細については、「 [アップグレード通知] IPsec-VPN接続がデュアルトンネルモードをサポート」をご参照ください。
[VPC]
VPNゲートウェイを作成するVPC。 この例では、ドイツ (フランクフルト) リージョンで作成されたVPCが選択されています。
VSwitch
選択したVPCからvSwitchを選択します。
シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。
デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。
IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。
説明システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。
VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。
vSwitch 2
TunnelsパラメーターにSingle-tunnelを選択した場合は、このパラメーターを無視します。
IPsec-VPN
IPsec-VPNを有効にするかどうかを指定します。 この例では、[有効化] が選択されています。
SSL-VPN
SSL-VPNを有効にするかどうかを指定します。 この例では、[無効] が選択されています。
新しく作成されたVPN gatewayは 準備中 状態で、約1〜5分後に 正常 状態に変わります。 VPN gatewayの状態が 正常 に変わった後、VPN gatewayは使用できる状態になります。 VPNゲートウェイが作成されると、VPN接続を確立するためにパブリックIPアドレスがゲートウェイに自動的に割り当てられます。
既存のVPNゲートウェイを使用する場合は、必ず最新バージョンに更新してください。 デフォルトでは、既存のVPNゲートウェイが最新バージョンでない場合、BGP動的ルーティング機能は使用できません。
VPN gatewayの詳細ページの [アップグレード] ボタンを表示することで、VPN gatewayが最新バージョンであるかどうかを確認できます。 VPN gatewayが最新バージョンでない場合は、[アップグレード] をクリックしてVPN gatewayをアップグレードします。 詳細については、「VPNゲートウェイのアップグレード」をご参照ください。
ステップ2: BGP動的ルーティングを有効にする
BGPは、異なるAS間でルーティング情報を交換するために使用される。 BGP動的ルーティング機能を使用するには、VPNゲートウェイのBGP動的ルーティング機能を有効にする必要があります。
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。
[VPN Gateway] ページで、作成したVPN Gatewayを見つけ、[自動ルート広告の有効化] 列でスイッチをオンにします。
BGP動的ルーティング機能を有効にすると、VPN Gatewayは自動的にBGPルートをVPCにアドバタイズします。
ステップ3: カスタマーゲートウェイの作成
カスタマーゲートウェイを作成して、データセンターのパブリックIPアドレスとBGP ASをAlibaba Cloudに登録できます。
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
説明接続するカスタマーゲートウェイとVPNゲートウェイは、同じリージョンにデプロイする必要があります。
カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。
[カスタマーゲートウェイの作成] パネルで、次の表に示すパラメーターを設定し、[OK] をクリックします。
次の表に、このトピックに関連するパラメーターのみを示します。 他のパラメータのデフォルト値を使用することも、空のままにすることもできます。 詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。
パラメーター
説明
IPアドレス
データセンターのゲートウェイデバイスのパブリックIPアドレス。 この例では、2.XX. XX.2が使用されます。
ASN
データセンターのゲートウェイデバイスのASN。 この例では、65531が使用されます。
ステップ4: IPsec-VPN接続の作成
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。
説明IPsec-VPN接続は、手順1で作成したVPN gatewayと同じリージョンに作成する必要があります。
IPsec 接続ページをクリックします。VPN 接続の作成.
VPN 接続の作成ページで、次の表に記載されているパラメーターを設定し、OK.
次の表に、このトピックに関連するパラメーターのみを示します。 他のパラメータのデフォルト値を使用することも、空のままにすることもできます。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
パラメーター
説明
リソースの関連付け
IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。
この例では、VPN Gatewayが選択されています。
VPNゲートウェイ
IPsec-VPN接続に関連付けるVPNゲートウェイ。
この例では、ステップ1で作成されたVPN gatewayが選択されています。
ルーティングモード
ルーティングモード。
有効な値: 宛先ルーティングモードまたは保護されたデータフロー。 IPsec-VPN接続でBGP動的ルーティングが使用されている場合は、[宛先ルーティングモード] を選択することを推奨します。 この例では、宛先ルーティングモードが選択されています。
すぐに有効
接続のネゴシエーションをすぐに開始するかどうかを指定します。 有効な値:
はい: IPsec-VPN接続が作成された後、すぐにIPsec-VPNネゴシエーションを開始します。
No: インバウンドトラフィックが検出されると、IPsec-VPNネゴシエーションを開始します。
この例では、はいが選択されています。
カスタマーゲートウェイ
IPsec-VPN接続に関連付けるカスタマーゲートウェイ。
この例では、ステップ3で作成されたカスタマーゲートウェイが選択されています。
事前共有キー
認証に使用される事前共有キー。
事前共有キーは、IPsec-VPN接続に関連付けられたVPNゲートウェイとデータセンターのゲートウェイデバイスの両方で同じである必要があります。 この例では、123456 **** が使用されます。
BGPの有効化
Border Gateway Protocol (BGP) を有効にするかどうかを指定します。 IPsec-VPN接続にBGPルーティングを使用する場合は、[BGPの有効化] をオンにします。 デフォルトでは、Enable BGPはオフになっています。
この例では、Enable BGPがオンになっています。
ローカル ASN
トンネルのローカルASN。 デフォルト値: 45104
この例では、65530が使用されます。
暗号化設定
次のパラメーターを除いて、パラメーターのデフォルト値を使用します。
IKE設定セクションのDHグループパラメーターをgroup14に設定します。
IPsec設定セクションのDHグループパラメーターをgroup14に設定します。
説明IPsec-VPN接続の暗号化設定がデータセンターのゲートウェイデバイスの暗号化設定と一致するように、データセンターのゲートウェイデバイスに基づいて [暗号化設定] セクションのパラメーターを設定する必要があります。
BGP設定
トンネルCIDRブロック
IPsecトンネルのCIDRブロック。 この例では、169.254.10.0/30が使用されます。
ローカルBGP IPアドレス
VPC側のBGP IPアドレス。 IPアドレスは、IPsecトンネルのCIDRブロック内にある必要があります。 この例では、169.254.10.1が使用されます。
[作成済み] メッセージで、[OK] をクリックします。
手順5: データセンターのゲートウェイデバイスにVPN設定を追加する
IPsec-VPN接続を作成したら、データセンターのゲートウェイデバイスにVPN設定を追加して、VPCとデータセンターの間にVPN接続を確立する必要があります。
データセンターのゲートウェイデバイスに追加するVPN設定をダウンロードします。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」トピックの「IPsec-VPN接続の構成のダウンロード」をご参照ください。
データセンターのゲートウェイデバイスにVPN設定を追加します。 詳細については、「シングルトンネルモードでのIPsec-VPN設定の設定」をご参照ください。
CiscoファイアウォールデバイスへのIPsec-VPN設定の読み込みトピックの
IPsec-VPN接続が作成されると、BGP動的ルーティングに基づいてルートが自動的にアドバタイズされます。
データセンターのゲートウェイデバイスでBGP動的ルーティングを使用してデータセンターのCIDRブロックをアドバタイズすると、Alibaba CloudのVPNゲートウェイは、データセンターからVPCのシステムルートテーブルに学習されたルートを自動的にアドバタイズします。 [動的ルート] タブで、システムルートテーブルのルート情報を表示できます。
Alibaba CloudのVPN Gatewayは、VPCのシステムルートテーブルからシステムルートとカスタムルートを自動的に学習し、データセンターのゲートウェイデバイスへのルートを自動的にアドバタイズします。
ステップ6: 接続をテストする
VPCのElastic Compute Service (ECS) インスタンスにログインします。 ECSインスタンスへのログイン方法の詳細については、「接続方法の概要」をご参照ください。
を実行します。Run the
pingコマンドを実行して、データセンターのクライアントにアクセスし、接続を確認します。結果は、VPCのECSインスタンスがデータセンターのクライアントにアクセスできることを示しています。
データセンターのクライアントにログインします。
pingコマンドを実行して、VPC内のECSインスタンスにアクセスし、接続を確認します。結果は、データセンターのクライアントがVPCのECSインスタンスにアクセスできることを示しています。
