このトピックでは、データセンターと仮想プライベートクラウド (VPC) 間にインターネット経由で複数のIPsec-VPN接続を作成し、その接続を使用して等価マルチパス (ECMP) ルーティングに基づく負荷分散を実装する方法について説明します。
背景情報
このトピックでは、上記のシナリオを例として使用します。 企業は杭州にデータセンターを所有し、中国 (上海) リージョンにVPCを作成しました。 アプリケーションは、VPCのECS (Elastic Compute Service) インスタンスにデプロイされます。 企業では、VPN Gatewayを使用して、データセンターとVPCが暗号化された接続を介して通信できるようにします。 また、ECMPルーティングに基づく負荷分散を実装するために、データセンターとVPCの間に複数の暗号化接続を作成したいと考えています。
これを行うには、企業はデータセンターとAlibaba Cloudの間に複数のIPsec-VPN接続を作成し、IPsec-VPN接続とVPCを同じCloud enterprise Network (CEN) インスタンスに接続する必要があります。 このようにして、データセンターとVPCは暗号化された接続を介して通信でき、ECMPルーティングに基づく負荷分散を実装できます。
ネットワーク設計
ネットワーク設定
このトピックでは、次のネットワーク設定を使用します。
IPsec-VPN接続の ゲートウェイタイプ パラメーターを [パブリック] に設定します。 これにより、データセンターとAlibaba Cloud間のIPsec-VPN接続がインターネット経由で作成されます。
IPsec-VPN接続のAssociate ResourceパラメーターをCENに設定します。 このように、IPsec − VPN接続は、ECMPルーティングのために集約される。
IPsec経由のBGP動的ルーティングを設定します。
CIDR ブロック
CIDRブロックを計画するときは、データセンターとVPCのCIDRブロックが重複しないようにしてください。
リソース | CIDRブロックとIPアドレス |
VPC | プライマリCIDRブロック: 10.0.0.0/16。
|
IPsec-VPN接続 | BGP設定:
|
オンプレミスゲートウェイデバイス | オンプレミスゲートウェイデバイスのパブリックIPアドレス
|
オンプレミスゲートウェイデバイスのBGP設定:
| |
データセンター | VPCに接続するCIDRブロック:
|
前提条件
開始する前に、次の操作を実行します。
中国 (上海) リージョンにVPCが作成されます。 アプリケーションはVPCのECSインスタンスにデプロイされます。 詳細については、「」をご参照ください。IPv4 CIDRブロックを持つVPCの作成.
CEN インスタンスが作成されていること。 Enterprise Editionトランジットルーターは、中国 (杭州) および中国 (上海) リージョンに作成されます。 詳細については、「CENインスタンスの作成」および「トランジットルーターの作成」をご参照ください。
重要トランジットルーターを作成するときは、トランジットルーターのCIDRブロックを設定する必要があります。 それ以外の場合、IPsec接続をトランジットルーターに関連付けることはできません。
トランジットルーターを作成した場合は、トランジットルーターのCIDRブロックを設定できます。 詳細については、「トランジットルーターCIDRブロック」をご参照ください。
VPC内のECSインスタンスのセキュリティグループルールを理解しています。 ルールにより、ECSインスタンスがデータセンターと通信できるようにします。 詳細については、「」をご参照ください。セキュリティグループルールの表示とセキュリティグループルールの追加.
手順
ステップ1: カスタマーゲートウェイの作成
IPsec-VPN接続を作成する前に、オンプレミスのゲートウェイデバイスに関する情報をAlibaba Cloudに提供するカスタマーゲートウェイを作成する必要があります。
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、カスタマーゲートウェイのリージョンを選択します。
VPN Gatewayは、クロスボーダーIPsec-VPN接続をサポートしていません。 したがって、カスタマーゲートウェイがデプロイされているリージョンを選択するときは、近くのアクセスの原則に従って、データセンターに最も近いリージョンを選択する必要があります。 この例では、中国 (杭州) が選択されています。
クロスボーダー接続の詳細については、「イントラボーダー接続」をご参照ください。
カスタマーゲートウェイページをクリックします。カスタマーゲートウェイの作成.
カスタマーゲートウェイの作成パネル、次のパラメータを設定し、OK.
中国 (杭州) リージョンで次の設定を使用する3つのカスタマーゲートウェイを作成します。 他のパラメーターにはデフォルト値を使用します。 詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。
パラメーター
説明
カスタマーゲートウェイ1
カスタマーゲートウェイ2
カスタマーゲートウェイ3
名前
各カスタマーゲートウェイの名前を入力します。
Customer-Gateway1を入力します。
Customer-Gateway2を入力します。
Customer-Gateway3を入力します。
IP アドレス
Alibaba Cloudに接続するオンプレミスゲートウェイデバイスのパブリックIPアドレスを入力します。
オンプレミスゲートウェイデバイス1のパブリックIPアドレスを入力します: 11.XX. XX.1。
オンプレミスゲートウェイデバイス2のパブリックIPアドレス (11.XX. XX.2) を入力します。
オンプレミスゲートウェイデバイス3のパブリックIPアドレス: 11.XX. XX.3を入力します。
ASN
オンプレミスゲートウェイデバイスのBGP ASNを入力します。
この例では、65530が使用されます。
ステップ2: IPsec-VPN接続の作成
カスタマーゲートウェイを作成したら、Alibaba Cloudとデータセンター間にIPsec-VPN接続を作成する必要があります。
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
IPsec-VPN接続とカスタマーゲートウェイは、同じリージョンに作成する必要があります。 この例では、中国 (杭州) が選択されています。
IPsec 接続ページをクリックします。VPN 接続の作成.
VPN 接続の作成ページで、次の表に記載されているパラメーターを設定し、OK.
中国 (杭州) リージョンで次の設定を使用する3つのIPsec-VPN接続を作成します。 他のパラメーターにはデフォルト値を使用します。 詳細については、「トランジットルーターに関連付けられたIPsec-VPN接続の作成と管理」をご参照ください。
パラメーター
説明
IPsec-VPN接続1
IPsec-VPN接続2
IPsec-VPN接続3
名前
IPsec-VPN接続の名前を入力します。
IPsec-VPN接続1を入力します。
IPsec-VPN接続2を入力します。
IPsec-VPN接続3を入力します。
リソースの関連付け
IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。
この例では、CENが選択されています。
ゲートウェイタイプ
IPsec-VPN接続で使用されるゲートウェイのタイプを選択します。
この例では、パブリック が選択されています。
CEN インスタンス ID
CENインスタンスを選択します。
この例では、準備セクションで作成されたCENインスタンスが選択されています。
トランジットルーター
IPsec-VPN接続に関連付けるトランジットルーター。
システムは、IPsec-VPN接続が作成されているリージョンでトランジットルーターを自動的に選択します。
ゾーン
IPsec-VPN接続が作成されているゾーンを選択します。 IPsec-VPN接続が、トランジットルーターをサポートするゾーンに作成されていることを確認します。
この例では、杭州ゾーンHが選択されています。
ルーティングモード
ルーティングモード。
この例では、宛先ルーティングモードが選択されています。
説明BGPを使用する場合は、Routing ModeパラメーターをDestination Routing Modeに設定することを推奨します。
今すぐ有効化有効
IPsec-VPN接続の設定を直ちに適用するかどうかを選択します。 有効な値:
IPsec-VPN接続を作成するときに [有効な即時] パラメーターを はい に設定すると、設定が完了した直後にネゴシエーションが開始されます。
IPsec-VPN接続を作成するときに [有効な即時] パラメーターを いいえ に設定すると、インバウンドトラフィックが検出されたときにネゴシエーションが開始されます。
この例では、はいが選択されています。
カスタマーゲートウェイ
IPsec-VPN接続に関連付けるカスタマーゲートウェイを選択します。
Customer-Gateway1を選択します。
Customer-Gateway2を選択します。
Customer-Gateway3を選択します。
事前共有鍵
オンプレミスのゲートウェイデバイスの認証に使用される事前共有キーを入力します。
キーの長さは1〜100文字である必要があり、数字、文字、および次の特殊文字を含めることができます。
~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?。 キーにスペースを含めることはできません。事前共有キーを指定しない場合、事前共有キーとして16文字の文字列がランダムに生成されます。 IPsec-VPN接続の作成後、IPsec-VPN接続の [操作] 列の [編集] をクリックして、IPsec-VPN接続用に生成された事前共有キーを表示できます。 詳細については、このトピックの「IPsec-VPN接続の変更」をご参照ください。
重要IPsec-VPN接続とピアゲートウェイデバイスは、同じ事前共有キーを使用する必要があります。 そうしないと、システムはIPsec-VPN接続を確立できません。
fddsFF123 **** と入力します。
fddsFF456 **** と入力します。
fddsFF789 **** と入力します。
BGPの有効化
BGPを有効にするかどうかを指定します。 デフォルトでは、BGPは無効になっています。
この例では、BGPは有効です。
ローカル ASN
IPsec-VPN接続のASNを入力します。
65531を入力します。
65531を入力します。
65531を入力します。
暗号化設定
IKE設定とIPsec設定を含む暗号化設定を設定します。
次のパラメーターを除いて、パラメーターのデフォルト値を使用します。
IKE設定セクションのDHグループパラメーターをgroup14に設定します。
IPsec設定セクションのDHグループパラメーターをgroup14に設定します。
説明IPsec接続の暗号化設定がオンプレミスゲートウェイデバイスの暗号化設定と同じになるように、オンプレミスゲートウェイデバイスに基づいて暗号化パラメーターを選択する必要があります。
BGP設定
トンネル CIDR ブロック
IPsecトンネルで使用されるCIDRブロックを入力します。
CIDRブロックは169.254.0.0/16に該当する必要があります。 CIDRブロックのサブネットマスクの長さは30ビットである必要があります。 CIDRブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、または169.254.169.252/30にすることはできません。
169.254.10.0/30と入力します。
169.254.11.0/30と入力します。
169.254.12.0/30と入力します。
ローカル BGP IP アドレス
IPsec-VPN接続のBGP IPアドレスを入力します。
IPアドレスは、IPsecトンネルのCIDRブロックに該当する必要があります。
169.254.10.1を入力します。
169.254.11.1を入力します。
169.254.12.1を入力します。
高度な設定
IPsec-VPN接続のルートを自動的にアドバタイズして学習する高度な機能を有効にするかどうかを指定します。 高度な機能はデフォルトで有効になっています。
この例では、高度な機能が有効になっています。
IPsec-VPN接続が作成された後、システムは各IPsec-VPN接続にゲートウェイIPアドレスを割り当てます。 ゲートウェイIPアドレスは、IPsec-VPN接続のAlibaba Cloud側のエンドポイントです。 次の図に示すように、詳細ページでIPsec-VPN接続のゲートウェイIPアドレスを確認できます。
次の表に、IPsec-VPN接続1、IPsec-VPN接続2、およびIPsec-VPN接続3に割り当てられるゲートウェイIPアドレスを示します。
IPsec-VPN接続
ゲートウェイIPアドレス
IPsec-VPN 接続 1
120.XX.XX.191
IPsec-VPN接続2
47.XX.XX.213
IPsec-VPN接続3
47.XX。XX.161
説明IPsec-VPN接続をトランジットルーターに関連付けた後にのみ、ゲートウェイIPアドレスがIPsec-VPN接続に割り当てられます。 IPsec-VPN接続を作成するときに、リソースの関連付け を 関連付け禁止 または VPN Gateway に設定した場合、システムはIPsec-VPN接続にゲートウェイIPアドレスを割り当てません。
VPN 接続ページで、作成したIPsec-VPN接続を見つけ、ピア設定の生成で、操作列を作成します。
3つのIPsec-VPN接続の構成をオンプレミスマシンにダウンロードして、オンプレミスゲートウェイデバイスにVPN構成を追加するときに構成を使用できるようにします。
手順3: オンプレミスゲートウェイデバイスの設定
IPsec-VPN接続が作成されたら、次の手順を実行して、オンプレミスゲートウェイデバイス (オンプレミスゲートウェイデバイス1、オンプレミスゲートウェイデバイス2、およびオンプレミスゲートウェイデバイス3) にダウンロードしたIPsec-VPN接続設定にVPNおよびBGP設定を追加します。 これにより、データセンターはIPsec-VPN接続を介してAlibaba Cloudと通信できます。
この例では、ソフトウェア適応型セキュリティアプライアンス (ASA) 9.19.1を使用して、Ciscoファイアウォールを設定する方法を説明します。 コマンドはソフトウェアのバージョンによって異なります。 運用中は、実際の環境に基づいてドキュメントまたはベンダーを参照してください。 詳細については、「ローカルゲートウェイの設定」をご参照ください。
次のコンテンツには、サードパーティの製品情報が含まれています。 Alibaba Cloudは、サードパーティ製品のパフォーマンスと信頼性、またはこれらの製品を使用して実行される運用の潜在的な影響について、保証またはその他の形態のコミットメントを行いません。
オンプレミスゲートウェイデバイスを設定します。
オンプレミスGatewayデバイス1の設定例
CiscoファイアウォールのCLIにログインし、設定モードを入力します。
ciscoasa> enable Password: ******** # Enter the password for entering the enable mode. ciscoasa# configure terminal # Enter the configuration mode. ciscoasa(config)#インターフェイスの設定を表示します。
インターフェイスが設定され、Ciscoファイアウォールで有効になっていることを確認します。 この例では、次のインターフェイス設定が使用されます。
# View the interface configurations of On-premises Gateway Device 1. ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 # The interface that connects to the Internet. nameif outside1 # The name of the GigabitEthernet 0/0 interface. security-level 0 ip address 11.XX.XX.1 255.255.255.255 # The public IP address of the GigabitEthernet 0/0 interface. ! interface GigabitEthernet0/1 # The interface that connects to the data center. nameif private # The name of the GigabitEthernet 0/1 interface. security-level 100 # The security level of the private interface that connects to the data center, which is lower than that of a public interface. ip address 192.168.50.216 255.255.255.0 # The IP address of the GigabitEthernet 0/1 interface. !パブリックインターフェイスのIKEv2機能を有効にします。
# Add the following configurations to On-premises Gateway Device 1: crypto ikev2 enable outside1 # Enable the IKEv2 feature for the interface outside1 of On-premises Gateway Device 1, which is a public interface.IKEv2ポリシーを作成し、IKEフェーズで認証アルゴリズム、暗号化アルゴリズム、Diffie-Hellman (DH) グループ、およびセキュリティアソシエーション (SA) の有効期間を指定します。 値はAlibaba Cloud側の値と同じである必要があります。
# Add the following configurations to On-premises Gateway Device 1: crypto ikev2 policy 10 encryption aes # Specify the encryption algorithm. integrity sha # Specify the authentication algorithm. group 14 # Specify the DH group. prf sha # The value of the prf parameter must be the same as that of the integrity parameter. By default, these values are the same on the Alibaba Cloud side. lifetime seconds 86400 # Specify the SA lifetime.IPsecの提案とプロファイルを作成し、CiscoファイアウォールのIPsecフェーズで暗号化アルゴリズム、認証アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloud側の値と同じである必要があります。
# Add the following configurations to On-premises Gateway Device 1: crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL # Create an IPsec proposal. protocol esp encryption aes # Specify the encryption algorithm. The Encapsulating Security Payload (ESP) protocol is used on the Alibaba Cloud side. Therefore, use the ESP protocol. protocol esp integrity sha-1 # Specify the authentication algorithm. The ESP protocol is used on the Alibaba Cloud side. Therefore, use the ESP protocol. crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL # Create an IPsec profile and apply the proposal that is created. set ikev2 local-identity address # Set the format of the local ID to IP address, which is the same as the format of the remote ID on the Alibaba Cloud side. set pfs group14 # Specify the Perfect Forward Secrecy (PFS) and DH group. set security-association lifetime seconds 86400 # Specify the time-based SA lifetime. set security-association lifetime kilobytes unlimited # Disable the traffic-based SA lifetime.トンネルグループを作成し、トンネルの事前共有キーを指定します。これはAlibaba Cloud側と同じである必要があります。
# Add the following configurations to On-premises Gateway Device 1: tunnel-group 120.XX.XX.191 type ipsec-l2l # Set the encapsulation mode of the tunnel to l2l. tunnel-group 120.XX.XX.191 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF123**** # Specify the peer pre-shared key for the tunnel, which is the pre-shared key on the Alibaba Cloud side. ikev2 local-authentication pre-shared-key fddsFF123**** # Specify the local pre-shared key for the tunnel, which must be the same as that on the Alibaba Cloud side. !トンネルインターフェイスを作成します。
# Add the following configurations to On-premises Gateway Device 1: interface Tunnel1 # Create an interface for the tunnel. nameif ALIYUN1 ip address 169.254.10.2 255.255.255.252 # Specify the IP address of the interface. tunnel source interface outside1 # Specify the IP address of the GigabitEthernet 0/0 interface as the source address of the tunnel. tunnel destination 120.XX.XX.191 # Specify the public IP address of IPsec-VPN Connection 1 on the Alibaba Cloud side as the destination address of the tunnel. tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE # Apply the IPsec profile ALIYUN-PROFILE on the tunnel. no shutdown # Enable the interface for the tunnel. !ルートを設定します。
# Add the following configurations to On-premises Gateway Device 1: route outside1 120.XX.XX.191 255.255.255.255 192.XX.XX.172 # Configure a route that points to the public IP address of IPsec-VPN Connection 1 on the Alibaba Cloud side. The next hop is an external IP address. route private 192.168.0.0 255.255.255.0 192.168.50.215 # The route that points to the data center. route private 192.168.1.0 255.255.255.0 192.168.50.215 route private 192.168.2.0 255.255.255.0 192.168.50.215 router bgp 65530 address-family ipv4 unicast neighbor 169.254.10.1 remote-as 65531 # Specify the BGP peer, which is the BGP IP address of IPsec-VPN Connection 1 on the Alibaba Cloud side. neighbor 169.254.10.1 ebgp-multihop 255 neighbor 169.254.10.1 activate # Activate the BGP peer. network 192.168.0.0 mask 255.255.255.0 # Advertise the CIDR block of the data center. network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 exit-address-family
オンプレミスGatewayデバイス2の設定例
CiscoファイアウォールのCLIにログインし、設定モードを入力します。
ciscoasa> enable Password: ******** # Enter the password for entering the enable mode. ciscoasa# configure terminal # Enter the configuration mode. ciscoasa(config)#インターフェイスの設定を表示します。
インターフェイスが設定され、Ciscoファイアウォールで有効になっていることを確認します。 この例では、次のインターフェイス設定が使用されます。
# View the interface configurations of On-premises Gateway Device 2. ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 # The interface used to connect to the Internet. nameif outside1 # The name of the GigabitEthernet 0/0 interface. security-level 0 ip address 11.XX.XX.2 255.255.255.255 # The public IP address of the GigabitEthernet 0/0 interface. ! interface GigabitEthernet0/1 # The interface that connects to the data center. nameif private # The name of the GigabitEthernet 0/1 interface. security-level 100 # The security level of the private interface that connects to the data center, which is lower than that of a public interface. ip address 192.168.50.218 255.255.255.0 # The IP address of the GigabitEthernet 0/1 interface. !パブリックインターフェイスのIKEv2機能を有効にします。
# Add the following configurations to On-premises Gateway Device 2: crypto ikev2 enable outside1 # Enable the IKEv2 feature for the interface outside1 of On-premises Gateway Device 2, which is a public interface.IKEv2ポリシーを作成し、IKEフェーズで認証アルゴリズム、暗号化アルゴリズム、DHグループ、SA有効期間を指定します。 値はAlibaba Cloud側の値と同じである必要があります。
# Add the following configurations to On-premises Gateway Device 2: crypto ikev2 policy 10 encryption aes # Specify the encryption algorithm. integrity sha # Specify the authentication algorithm. group 14 # Specify the DH group. prf sha # The value of the prf parameter must be the same as that of the integrity parameter. By default, these values are the same on the Alibaba Cloud side. lifetime seconds 86400 # Specify the SA lifetime.IPsecの提案とプロファイルを作成し、CiscoファイアウォールのIPsecフェーズで暗号化アルゴリズム、認証アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloud側の値と同じである必要があります。
# Add the following configurations to On-premises Gateway Device 2: crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL # Create an IPsec proposal. protocol esp encryption aes # Specify the encryption algorithm. The ESP protocol is used on the Alibaba Cloud side. Therefore, use the ESP protocol. protocol esp integrity sha-1 # Specify the authentication algorithm. The ESP protocol is used on the Alibaba Cloud side. Therefore, use the ESP protocol. crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL # Create an IPsec profile and apply the proposal that is created. set ikev2 local-identity address # Set the format of the local ID to IP address, which is the same as the format of the remote ID on the Alibaba Cloud side. set pfs group14 # Specify the PFS and DH group. set security-association lifetime seconds 86400 # Specify the time-based SA lifetime. set security-association lifetime kilobytes unlimited # Disable the traffic-based SA lifetime.トンネルグループを作成し、トンネルの事前共有キーを指定します。これはAlibaba Cloud側と同じである必要があります。
# Add the following configurations to On-premises Gateway Device 2: tunnel-group 47.XX.XX.213 type ipsec-l2l # Specify the encapsulation mode l2l for the tunnel. tunnel-group 47.XX.XX.213 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF456**** # Specify the peer pre-shared key for the tunnel, which is the pre-shared key on the Alibaba Cloud side. ikev2 local-authentication pre-shared-key fddsFF456**** # Specify the local pre-shared key for the tunnel, which must be the same as that on the Alibaba Cloud side. !トンネルインターフェイスを作成します。
# Add the following configurations to On-premises Gateway Device 2: interface Tunnel1 # Create an interface for the tunnel. nameif ALIYUN1 ip address 169.254.11.2 255.255.255.252 # Specify the IP address of the interface. tunnel source interface outside1 # Specify the IP address of the GigabitEthernet 0/0 interface as the source address of the tunnel. tunnel destination 47.XX.XX.213 # Specify the public IP address of IPsec-VPN Connection 2 on the Alibaba Cloud side as the destination address of the tunnel. tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE # Apply the IPsec profile ALIYUN-PROFILE on the tunnel. no shutdown # Enable the interface for the tunnel. !ルートを設定します。
# Add the following configurations to On-premises Gateway Device 2: route outside1 47.XX.XX.213 255.255.255.255 192.XX.XX.173 # Configure a route that points to the public IP address of On-premises Gateway Device 2 on the Alibaba Cloud side. The next hop is an external public IP address. route private 192.168.0.0 255.255.255.0 192.168.50.217 # The route that points to the data center. route private 192.168.1.0 255.255.255.0 192.168.50.217 route private 192.168.2.0 255.255.255.0 192.168.50.217 router bgp 65530 address-family ipv4 unicast neighbor 169.254.11.1 remote-as 65531 # Specify the BGP peer, which is the BGP IP address of On-premises Gateway Device 2 on the Alibaba Cloud side. neighbor 169.254.11.1 ebgp-multihop 255 neighbor 169.254.11.1 activate # Activate the BGP peer. network 192.168.0.0 mask 255.255.255.0 # Advertise the CIDR block of the data center. network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 exit-address-family
オンプレミスGatewayデバイス3の設定例
CiscoファイアウォールのCLIにログインし、設定モードを入力します。
ciscoasa> enable Password: ******** # Enter the password for entering the enable mode. ciscoasa# configure terminal # Enter the configuration mode. ciscoasa(config)#インターフェイスの設定を表示します。
インターフェイスが設定され、Ciscoファイアウォールで有効になっていることを確認します。 この例では、次のインターフェイス設定が使用されます。
# View the interface configurations of On-premises Gateway Device 3. ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 # The interface used to connect to the Internet. nameif outside1 # The name of the GigabitEthernet 0/0 interface. security-level 0 ip address 11.XX.XX.3 255.255.255.255 # The public IP address of the GigabitEthernet 0/0 interface. ! interface GigabitEthernet0/1 # The interface that connects to the data center. nameif private # The name of the GigabitEthernet 0/1 interface. security-level 100 # The security level of the private interface that connects to the data center, which is lower than that of a public interface. ip address 192.168.50.213 255.255.255.0 # The IP address of the GigabitEthernet 0/1 interface. !パブリックインターフェイスのIKEv2機能を有効にします。
# Add the following configurations to On-premises Gateway Device 3: crypto ikev2 enable outside1 # Enable the IKEv2 feature for the interface outside1 of On-premises Gateway Device 3, which is a public interface.IKEv2ポリシーを作成し、IKEフェーズで認証アルゴリズム、暗号化アルゴリズム、DHグループ、SA有効期間を指定します。 値はAlibaba Cloud側の値と同じである必要があります。
# Add the following configurations to On-premises Gateway Device 3: crypto ikev2 policy 10 encryption aes # Specify the encryption algorithm. integrity sha # Specify the authentication algorithm. group 14 # Specify the DH group. prf sha # The value of the prf parameter must be the same as that of the integrity parameter. By default, these values are the same on the Alibaba Cloud side. lifetime seconds 86400 # Specify the SA lifetime.IPsecの提案とプロファイルを作成し、CiscoファイアウォールのIPsecフェーズで暗号化アルゴリズム、認証アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloud側の値と同じである必要があります。
# Add the following configurations to On-premises Gateway Device 3: crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL # Create an IPsec proposal. protocol esp encryption aes # Specify the encryption algorithm. The ESP protocol is used on the Alibaba Cloud side. Therefore, use the ESP protocol. protocol esp integrity sha-1 # Specify the authentication algorithm. The ESP protocol is used on the Alibaba Cloud side. Therefore, use the ESP protocol. crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL # Create an IPsec profile and apply the proposal that is created. set ikev2 local-identity address # Set the format of the local ID to IP address, which is the same as the format of the remote ID on the Alibaba Cloud side. set pfs group14 # Specify the PFS and DH group. set security-association lifetime seconds 86400 # Specify the time-based SA lifetime. set security-association lifetime kilobytes unlimited # Disable the traffic-based SA lifetime.トンネルグループを作成し、トンネルの事前共有キーを指定します。これはAlibaba Cloud側と同じである必要があります。
# Add the following configurations to On-premises Gateway Device 3: tunnel-group 47.XX.XX.161 type ipsec-l2l # Specify the encapsulation mode l2l for the tunnel. tunnel-group 47.XX.XX.161 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF789**** # Specify the peer pre-shared key for the tunnel, which is the pre-shared key on the Alibaba Cloud side. ikev2 local-authentication pre-shared-key fddsFF789**** # Specify the local pre-shared key for the tunnel, which must be the same as that on the Alibaba Cloud side. !トンネルインターフェイスを作成します。
# Add the following configurations to On-premises Gateway Device 3: interface Tunnel1 # Create an interface for the tunnel. nameif ALIYUN1 ip address 169.254.12.2 255.255.255.252 # Specify the IP address of the interface. tunnel source interface outside1 # Specify the IP address of the GigabitEthernet 0/0 interface as the source address of the tunnel. tunnel destination 47.XX.XX.161 # Specify the public IP address for On-premises Gateway Device 3 on the Alibaba Cloud side as the destination address of the tunnel. tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE # Apply the IPsec profile ALIYUN-PROFILE on the tunnel. no shutdown # Enable the interface for the tunnel. !ルートを設定します。
# Add the following configurations to On-premises Gateway Device 3: route outside1 47.XX.XX.161 255.255.255.255 192.XX.XX.174 # Configure a route that points to the public IP address of On-premises Gateway Device 3 on the Alibaba Cloud side. The next hop is an external IP address. route private 192.168.0.0 255.255.255.0 192.168.50.214 # The route that points to the data center. route private 192.168.1.0 255.255.255.0 192.168.50.214 route private 192.168.2.0 255.255.255.0 192.168.50.214 router bgp 65530 address-family ipv4 unicast neighbor 169.254.12.1 remote-as 65531 # Specify the BGP peer, which is the BGP IP address of On-premises Gateway Device 3 on the Alibaba Cloud side. neighbor 169.254.12.1 ebgp-multihop 255 neighbor 169.254.12.1 activate # Activate the BGP peer. network 192.168.0.0 mask 255.255.255.0 # Advertise the CIDR block of the data center. network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 exit-address-family
上記の設定を完了すると、データセンターとAlibaba Cloudの間でIPsec-VPN接続を確立できます。 データセンターからのルートは、BGP動的ルーティングを介してIPsec-VPN接続のBGPルートテーブルに伝達されます。
ネットワーク環境に基づいてデータセンターにルートを追加します。 このルートでは、ネットワークトラフィックをデータセンターからVPCに、オンプレミスゲートウェイデバイス1、オンプレミスゲートウェイデバイス2、およびオンプレミスゲートウェイデバイス3を介して同時に送信できるようにする必要があります。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。
ステップ4: VPC接続の作成
IPsec-VPN接続を作成すると、IPsec-VPN接続は自動的にトランジットルーターに関連付けられます。 CENコンソールにログインし、VPC接続を作成し、VPCをトランジットルーターに関連付ける必要があります。 これにより、データセンターはVPCと通信できます。
CENコンソールにログインします。
インスタンス ページで、管理するCENインスタンスのIDをクリックします。
タブで、中国 (上海) リージョンのトランジットルーターを見つけ、[操作] 列の [接続の作成] をクリックします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
次の表に基づいて、中国 (上海) リージョンのVPCをトランジットルーターに関連付けます。 他のパラメーターにはデフォルト値を使用します。 詳細については、「VPCの接続」をご参照ください。
パラメーター
説明
VPC接続
[インスタンスタイプ]
トランジットルーターに接続するネットワークインスタンスのタイプを選択します。
この例では、VPCが選択されています。
リージョン
ネットワークインスタンスのリージョンを選択します。
この例では、中国 (上海) が選択されています。
トランジットルーター
現在のリージョンのトランジットルーターが自動的に表示されます。
リソース所有者ID
ネットワークインスタンスが現在のAlibaba Cloudアカウントに属するかどうかを指定します。
この例では、[アカウント] が選択されています。
課金方法
VPC接続の課金方法を選択します。 デフォルト値: 従量課金 トランジットルーターの課金ルールの詳細については、「課金ルール」をご参照ください。
添付ファイル名
VPC接続の名前。
この例では、VPC接続が使用されています。
ネットワークインスタンス
ネットワークインスタンスを選択します。
この例では、中国 (上海) リージョンで作成されたVPCが使用されます。
vSwitch
トランジットルーターのゾーンにデプロイされているvSwitchを選択します。
トランジットルーター (TR) が現在のリージョンで1つのゾーンのみをサポートしている場合、ゾーンでvSwitchを選択する必要があります。
TRが現在のリージョンで複数のゾーンをサポートしている場合は、異なるゾーンにあるvSwitchを少なくとも2つ選択する必要があります。 VPCとTRが通信するとき、vSwitchはゾーンディザスタリカバリを実装するために使用されます。
データをより短い距離で送信できるため、ネットワークの待ち時間を短縮し、ネットワークパフォーマンスを向上させるために、各ゾーンでvSwitchを選択することをお勧めします。
選択した各vSwitchに少なくとも1つのアイドルIPアドレスがあることを確認します。 VPCにTRがサポートするゾーンにvSwitchがない場合、またはvSwitchにアイドルIPアドレスがない場合は、ゾーンに新しいvSwitchを作成します。 詳細については、「vSwitchの作成と管理」をご参照ください。
この例では、vSwitch 1がゾーンFで選択され、vSwitch 2がゾーンGで選択されています。
詳細設定
高度な機能を有効にするかどうかを指定します。 デフォルトでは、すべての高度な機能が有効になります。
この例では、デフォルト設定が使用されています。
ステップ5: リージョン間接続の作成
IPsec-VPN接続に関連付けられているトランジットルーターとVPCに関連付けられているトランジットルーターは、異なるリージョンにデプロイされています。 デフォルトでは、このシナリオではデータセンターはVPCと通信できません。 データセンターがリージョン間でVPCと通信できるようにするには、中国 (杭州) リージョンのトランジットルーターと中国 (上海) リージョンのトランジットルーターの間にリージョン間接続を作成する必要があります。
[インスタンス] ページで、管理するCENインスタンスを見つけ、そのIDをクリックします。
タブに移動し、[リージョン接続の設定] をクリックします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
次の表に基づいてリージョン間接続を作成します。 他のパラメーターにはデフォルト値を使用します。 詳細については、「リージョン間接続の作成」をご参照ください。
パラメーター
説明
[インスタンスタイプ]
この例では、Inter-region Connectionが選択されています。
リージョン
接続するリージョンの1つを選択します。
この例では、中国 (杭州) が選択されています。
トランジットルーター
選択したリージョンのトランジットルーターのIDが自動的に表示されます。
添付ファイル名
リージョン間接続の名前を入力します。
この例では、Cross-Region-testが使用されています。
ピアリージョン
接続する他のリージョンを選択します。
この例では、中国 (上海) が選択されています。
トランジットルーター
選択したリージョンのトランジットルーターのIDが自動的に表示されます。
帯域幅割り当てモード
次のモードがサポートされています。
帯域幅プランからの割り当て: 帯域幅は帯域幅プランから割り当てられます。
ペイバイデータ転送: リージョン間接続を介したデータ転送に対して課金されます。
この例では、[ペイ・バイ・データ転送] が選択されています。
帯域幅
リージョン間接続の最大帯域幅値を指定します。 単位は、Mbit/s です。
デフォルトの行タイプ
リージョン間接続のラインタイプを選択します。
詳細設定
デフォルト設定を使用します。 すべての高度な機能が有効になります。
リージョン間接続が作成されると、システムは自動的にルートをアドバタイズして学習します。 IPsec-VPN接続は、BGP動的ルーティングを使用してVPCからデータセンターへのルートを伝播し、データセンターからトランジットルーターへのルートも伝播して、データセンターとVPC間のネットワーク通信を実現します。 詳細は、「ルーティング設定」をご参照ください。
ステップ6: 接続をテストする
リージョン間接続を作成すると、データセンターとVPC間のトラフィックは、3つのIPsec-VPN接続を使用して負荷分散されます。 このセクションでは、ネットワーク接続をテストする方法と、トラフィックの負荷分散に3つのIPsec-VPN接続が使用されているかどうかを確認する方法について説明します。
ネットワーク接続をテストします。
接続されたVPCのECSインスタンスにログインします。 詳細については、「ECSインスタンスへの接続」をご参照ください。
ECSインスタンスでpingコマンドを実行し、データセンターのクライアントにアクセスします。
ping <IP address of the client in the data center>ECSインスタンスがエコー応答メッセージを受信した場合、データセンターはVPCと通信できます。
負荷がバランスしているかどうかを確認します。
データセンターの複数のクライアントを使用して、VPCのECSインスタンスにリクエストを継続的に送信します。 次に、3つのIPsec-VPN接続の詳細ページに移動して、トラフィック監視データを表示します。 すべての詳細ページにトラフィック監視データが表示されている場合、3つのIPsec-VPN接続を使用してトラフィックの負荷分散が行われます。
上部のナビゲーションバーで、IPsec-VPN接続が作成されているリージョンを選択します。
左側のナビゲーションウィンドウで、.
[IPsec 接続] ページで、管理するIPsec-VPN接続を見つけ、そのIDをクリックします。
IPsec-VPN接続の詳細ページに移動し、モニター タブでトラフィックモニタリングデータを表示します。
ルーティング設定
このトピックでは、デフォルトのルーティング設定を使用して、IPsec-VPN接続、VPC接続、およびリージョン間接続を作成します。 デフォルトのルーティング設定を使用すると、CENは自動的にルートを学習して配布し、データセンターがVPCと通信できるようにします。 次のセクションでは、デフォルトのルーティング設定について説明します。
IPsec-VPN接続
IPsec-VPN接続を作成してすべての高度な機能を有効にするときにIPsec-VPN接続をトランジットルーターに関連付けると、システムは自動的に次のルーティング設定をIPsec-VPN接続に適用します。
IPsec-VPN接続は、トランジットルーターのデフォルトルートテーブルに関連付けられています。 トランジットルーターは、デフォルトのルートテーブルに基づいてIPsec-VPN接続からトラフィックを転送します。
IPsec-VPN接続用に構成した宛先ベースのルートと、BGP動的ルーティングを使用してIPsec-VPN接続を介してデータセンターから学習したルートは、トランジットルーターの既定のルートテーブルに自動的に反映されます。
トランジットルーターは、デフォルトのルートテーブル内のルートをIPsec-VPN接続に関連付けられたBGPルートテーブルに自動的に伝播します。
BGP動的ルーティングを使用してIPsec-VPN接続を介してVPCから学習されたルートは、自動的にデータセンターに伝播されます。
VPC
VPCの作成時にすべての高度な機能が有効になっている場合、システムは自動的に次のルーティング設定をVPCに適用します。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、VPC接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトルートテーブルに基づいてVPCのトラフィックを転送します。
トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播
この機能を有効にすると、VPCのシステムルートがトランジットルーターのデフォルトルートテーブルにアドバタイズされます。 これにより、VPCはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。
トランジットルーターをポイントし、現在のVPCのすべてのルートテーブルに追加するルートを自動的に作成
この機能を有効にすると、VPCのすべてのルートテーブルに10.0.0.0/8、172.16.0.0/12、192.168.0.0/16の3つのルートが自動的に追加されます。 ルートはVPC接続を指しています。
重要そのようなルートが既にVPCのルートテーブルにある場合、システムはこのルートをアドバタイズできません。 VPC接続を指すルートをVPCのルートテーブルに手動で追加する必要があります。 そうしないと、VPCとトランジットルーター間でネットワーク通信を確立できません。
そのようなルートが存在するかどうかを確認するには、[詳細設定] の下にある [ルートの確認] をクリックします。
インターリージョン接続
リージョン間接続を作成するときにすべての高度な機能が有効になっている場合、システムは自動的に次のルーティング設定をリージョン間接続に適用します。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、リージョン間接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトのルートテーブルを使用して、ネットワークトラフィックをリージョン間で転送します。
システムルートをトランジットルーターのデフォルトルートテーブルに伝播する
この機能が有効になった後、リージョン間接続は、接続されたリージョン内のトランジットルーターのデフォルトルートテーブルに関連付けられます。
ピアリージョンへルートを自動的にアドバタイズする
この機能を有効にすると、現在のリージョンのトランジットルーターのルートテーブルのルートが、リージョン間通信のためにピアのトランジットルーターのルートテーブルに自動的に通知されます。 トランジットルータのルートテーブルは、リージョン間接続に関連付けられたルートテーブルを参照する。
ルートエントリ
このセクションでは、トランジットルーター、IPsec-VPN接続、VPC、およびオンプレミスゲートウェイデバイスで使用されるルートエントリについて説明します。 ルートエントリは、Alibaba Cloud管理コンソールで確認できます。
トランジットルーターのルートの詳細については、「Enterprise Editionトランジットルーターのルートの表示」をご参照ください。
VPCのルートの詳細については、「ルートテーブルの作成と管理」をご参照ください。
IPsec-VPN接続のルートエントリを表示するには、IPsec-VPN接続の詳細ページに移動します。
VPN Gatewayコンソールにログインします。
上部のナビゲーションバーで、IPsec-VPN接続が作成されているリージョンを選択します。
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで、IPsec-VPN接続を見つけ、そのIDをクリックします。
IPsec-VPN接続の詳細ページに移動し、BGP ルートテーブルタブでルートエントリを表示します。