すべてのプロダクト
Search
ドキュメントセンター

VPN Gateway:シングルトンネルモードでIPsec-VPN接続を使用してVPCをデータセンターに接続し、BGP動的ルーティングを有効にする

最終更新日:Nov 25, 2024

このトピックでは、パブリックVPNゲートウェイを使用して仮想プライベートクラウド (VPC) とデータセンター間にシングルトンネルモードでIPsec-VPN接続を確立する方法、およびVPCとデータセンターのボーダーゲートウェイプロトコル (BGP) 動的ルーティングを設定してルートを自動的に学習する方法について説明します。 これにより、VPCとデータセンターは互いにリソースを共有できます。 これにより、ネットワークメンテナンスコストとネットワーク構成エラーが削減されます。

前提条件

  • IPsec-VPN接続をパブリックVPNゲートウェイに関連付ける前に、データセンターのゲートウェイデバイスにパブリックIPアドレスが割り当てられます。

  • データセンターのゲートウェイデバイスは、トランジットルーターとのIPsec-VPN接続を確立するために、IKEv1またはIKEv2プロトコルをサポートする必要があります。

  • データセンターのCIDRブロックは、アクセスするネットワークのCIDRブロックと重複しません。

BGP動的ルーティングをサポートするリージョン

地域

リージョン

アジア太平洋

中国 (杭州) 、中国 (上海) 、

中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (深セン) 、中国 (香港) 、日本 (東京) 、シンガポール、オーストラリア (シドニー) クロージングダウン、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ)

ヨーロッパおよびアメリカ

ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (バージニア) 、米国 (シリコンバレー)

中東

UAE (ドバイ)

シナリオ

以下のシナリオは、例として使用される。 企業がドイツ (フランクフルト) リージョンにVPCを作成しました。 VPCのプライベートCIDRブロックは10.0.0.0/8で、自律システム番号 (ASN) は65530です。 企業はフランクフルトにデータセンターを持っています。 データセンターのパブリックIPアドレスは2.XX. XX.2、プライベートCIDRブロックは172.17.0.0/16、ASNは65531です。 企業は、ビジネス開発のためにVPCとデータセンターの間に接続を確立したいと考えています。

IPsec-VPNを使用して、VPCとデータセンター間の接続を確立し、BGP動的ルーティングを設定できます。 設定が完了すると、VPCとデータセンターは自動的にルートを学習し、BGP動的ルーティングを使用して相互に通信できます。 これにより、ネットワークメンテナンスコストとネットワーク構成エラーが削減されます。

説明

自律システム (AS) は、システムで使用されるルーティングプロトコルを独立して決定する小さなユニットです。 このユニットは、独立した管理可能なネットワークユニットです。 これは、1人以上のネットワーク管理者によって制御される単純なネットワークまたはネットワークグループからなることができる。 各ASは、ASNと呼ばれるグローバル一意識別子を有する。

架构图

準備

  • ドイツ (フランクフルト) リージョンにVPCが作成され、クラウドサービスがVPCにデプロイされます。 詳細については、「IPv4 CIDRブロックを持つVPCの作成」をご参照ください。

  • VPN Gatewayを使用する前に、VPCのECSインスタンスに適用されるセキュリティグループルールを読んで理解する必要があります。 セキュリティグループルールで、データセンターのゲートウェイデバイスがクラウドリソースにアクセスできるようにします。 詳細については、「」をご参照ください。セキュリティグループルールの表示セキュリティグループルールの追加.

手順

本地数据中心和VPC(BGP)-配置流程

手順 1: VPN ゲートウェイの作成

  1. VPN gatewayコンソールにログインします。

  2. VPN Gatewayページをクリックします。VPN Gateway の作成.

  3. 購入ページで、次の表に記載されているパラメーターを設定し、今すぐ購入、そして支払いを完了します。

    次の表に、このトピックに関連するパラメーターのみを示します。 他のパラメータのデフォルト値を使用することも、空のままにすることもできます。 詳細については、「VPN gatewayの作成と管理」をご参照ください。

    パラメーター

    説明

    リージョン

    VPNゲートウェイを作成するリージョン。

    VPNゲートウェイとVPCが同じリージョンにあることを確認してください。 この例では、ドイツ (フランクフルト) が選択されています。

    ゲートウェイタイプ

    ゲートウェイの種類。

    デフォルト値: 標準

    ネットワークタイプ

    ネットワークタイプ。 この例では、[公開] が選択されています。

    トンネル

    このリージョンでサポートされているトンネルモードが表示されます。 有効な値:

    • シングルトンネル

    • デュアルトンネル

    詳細については、「 [アップグレード通知] IPsec-VPN接続がデュアルトンネルモードをサポート」をご参照ください。

    [VPC]

    VPNゲートウェイを作成するVPC。 この例では、ドイツ (フランクフルト) リージョンで作成されたVPCが選択されています。

    VSwitch

    選択したVPCからvSwitchを選択します。

    • シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。

    • デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。

      IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。

    説明
    • システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。

    • VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。

    vSwitch 2

    TunnelsパラメーターにSingle-tunnelを選択した場合は、このパラメーターを無視します。

    IPsec-VPN

    IPsec-VPNを有効にするかどうかを指定します。 この例では、[有効化] が選択されています。

    SSL-VPN

    SSL-VPNを有効にするかどうかを指定します。 この例では、[無効] が選択されています。

新しく作成されたVPN gatewayは 準備中 状態で、約1〜5分後に 正常 状態に変わります。 VPN gatewayの状態が 正常 に変わった後、VPN gatewayは使用できる状態になります。 VPNゲートウェイが作成されると、VPN接続を確立するためにパブリックIPアドレスがゲートウェイに自動的に割り当てられます。VPN网关公网IP地址

説明

既存のVPNゲートウェイを使用する場合は、必ず最新バージョンに更新してください。 デフォルトでは、既存のVPNゲートウェイが最新バージョンでない場合、BGP動的ルーティング機能は使用できません。

VPN gatewayの詳細ページの [アップグレード] ボタンを表示することで、VPN gatewayが最新バージョンであるかどうかを確認できます。 VPN gatewayが最新バージョンでない場合は、[アップグレード] をクリックしてVPN gatewayをアップグレードします。 詳細については、「VPNゲートウェイのアップグレード」をご参照ください。

ステップ2: BGP動的ルーティングを有効にする

BGPは、異なるAS間でルーティング情報を交換するために使用される。 BGP動的ルーティング機能を使用するには、VPNゲートウェイのBGP動的ルーティング機能を有効にする必要があります。

  1. 左側のナビゲーションウィンドウで、相互接続 > VPN > VPN Gateway.

  2. 上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。

  3. [VPN Gateway] ページで、作成したVPN Gatewayを見つけ、[自動ルート広告の有効化] 列でスイッチをオンにします。

    BGP動的ルーティング機能を有効にすると、VPN Gatewayは自動的にBGPルートをVPCにアドバタイズします。路由自动传播

ステップ3: カスタマーゲートウェイの作成

カスタマーゲートウェイを作成して、データセンターのパブリックIPアドレスとBGP ASをAlibaba Cloudに登録できます。

  1. 左側のナビゲーションウィンドウで、相互接続 > VPN > カスタマーゲートウェイ.

  2. 上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。

    説明

    接続するカスタマーゲートウェイとVPNゲートウェイは、同じリージョンにデプロイする必要があります。

  3. カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。

  4. [カスタマーゲートウェイの作成] パネルで、次の表に示すパラメーターを設定し、[OK] をクリックします。

    次の表に、このトピックに関連するパラメーターのみを示します。 他のパラメータのデフォルト値を使用することも、空のままにすることもできます。 詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。

    パラメーター

    説明

    IPアドレス

    データセンターのゲートウェイデバイスのパブリックIPアドレス。 この例では、2.XX. XX.2が使用されます。

    ASN

    データセンターのゲートウェイデバイスのASN。 この例では、65531が使用されます。

ステップ4: IPsec-VPN接続の作成

  1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.

  2. 上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。

    説明

    IPsec-VPN接続は、手順1で作成したVPN gatewayと同じリージョンに作成する必要があります。

  3. IPsec 接続ページをクリックします。VPN 接続の作成.

  4. VPN 接続の作成ページで、次の表に記載されているパラメーターを設定し、OK.

    次の表に、このトピックに関連するパラメーターのみを示します。 他のパラメータのデフォルト値を使用することも、空のままにすることもできます。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。

    パラメーター

    説明

    リソースの関連付け

    IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。

    この例では、VPN Gatewayが選択されています。

    VPNゲートウェイ

    IPsec-VPN接続に関連付けるVPNゲートウェイ。

    この例では、ステップ1で作成されたVPN gatewayが選択されています。

    ルーティングモード

    ルーティングモードを選択します。

    有効な値: 宛先ルーティングモードまたは保護されたデータフロー。 IPsec-VPN接続でBGP動的ルーティングが使用されている場合は、[宛先ルーティングモード] を選択することを推奨します。 この例では、宛先ルーティングモードが選択されています。

    すぐに有効

    接続のネゴシエーションをすぐに開始するかどうかを指定します。

    • はい: 設定が完了するとすぐにネゴシエーションが開始されます。

    • No: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。

    この例では、はいが選択されています。

    カスタマーゲートウェイ

    IPsec-VPN接続に関連付けるカスタマーゲートウェイ。

    この例では、ステップ3で作成されたカスタマーゲートウェイが選択されています。

    事前共有キー

    認証に使用される事前共有キー。

    事前共有キーは、IPsec-VPN接続に関連付けられたVPNゲートウェイとデータセンターのゲートウェイデバイスの両方で同じである必要があります。 この例では、123456 **** が使用されます。

    BGPの有効化

    Border Gateway Protocol (BGP) を有効にするかどうかを指定します。 IPsec-VPN接続にBGPルーティングを使用する場合は、[BGPの有効化] をオンにします。 デフォルトでは、Enable BGPはオフになっています。

    この例では、Enable BGPがオンになっています。

    ローカル ASN

    トンネルのローカルASN。 デフォルト値: 45104

    この例では、65530が使用されます。

    暗号化設定

    次のパラメーターを除いて、パラメーターのデフォルト値を使用します。

    • IKE設定セクションのDHグループパラメーターをgroup14に設定します。

    • IPsec設定セクションのDHグループパラメーターをgroup14に設定します。

      説明

      IPsec-VPN接続の暗号化設定がデータセンターのゲートウェイデバイスの暗号化設定と一致するように、データセンターのゲートウェイデバイスに基づいて [暗号化設定] セクションのパラメーターを設定する必要があります。

    BGP設定

    • トンネルCIDRブロック

      IPsecトンネルのCIDRブロック。 この例では、169.254.10.0/30が使用されます。

    • ローカルBGP IPアドレス

      VPC側のBGP IPアドレス。 IPアドレスは、IPsecトンネルのCIDRブロック内にある必要があります。 この例では、169.254.10.1が使用されます。

  5. [作成済み] メッセージで、[OK] をクリックします。

手順5: データセンターのゲートウェイデバイスにVPN設定を追加する

IPsec-VPN接続を作成したら、データセンターのゲートウェイデバイスにVPN設定を追加して、VPCとデータセンターの間にVPN接続を確立する必要があります。

  1. データセンターのゲートウェイデバイスに追加するVPN設定をダウンロードします。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」トピックの「IPsec-VPN接続の構成のダウンロード」をご参照ください。

  2. データセンターのゲートウェイデバイスにVPN設定を追加します。 詳細については、「シングルトンネルモードでのIPsec-VPN設定の設定」をご参照ください。

    CiscoファイアウォールデバイスへのIPsec-VPN設定の読み込みトピックの

    IPsec-VPN接続が作成されると、BGP動的ルーティングに基づいてルートが自動的にアドバタイズされます。

    • データセンターのゲートウェイデバイスでBGP動的ルーティングを使用してデータセンターのCIDRブロックをアドバタイズすると、Alibaba CloudのVPNゲートウェイは、データセンターからVPCのシステムルートテーブルに学習されたルートを自動的にアドバタイズします。 [動的ルート] タブで、システムルートテーブルのルート情報を表示できます。

    • Alibaba CloudのVPN Gatewayは、VPCのシステムルートテーブルからシステムルートを自動的に学習し、データセンターのゲートウェイデバイスへのルートを自動的にアドバタイズします。本地网关路由表

ステップ6: 接続をテストする

  1. VPCのElastic Compute Service (ECS) インスタンスにログインします。 ECSインスタンスへのログイン方法の詳細については、「接続方法の概要」をご参照ください。

  2. pingコマンドを実行して、データセンターのクライアントにアクセスし、接続を確認します。

    結果は、VPCのECSインスタンスがデータセンターのクライアントにアクセスできることを示しています。VPC 访问本地IDC

  3. データセンターのクライアントにログインします。

  4. pingコマンドを実行して、VPC内のECSインスタンスにアクセスし、接続を確認します。

    結果は、データセンターのクライアントがVPCのECSインスタンスにアクセスできることを示しています。本地IDC访问VPC