VPN Gateway:複数のプライベートIPsec-VPN接続を作成して負荷分散を実装する

背景情報

このトピックでは、上記のシナリオを例として使用します。 企業は上海にデータセンターを所有し、中国 (杭州) リージョンにVPCを作成しました。 アプリケーションは、VPCのECS (Elastic Compute Service) インスタンスにデプロイされます。 企業は、データセンターとVPCの間にプライベート接続を作成したいと考えています。 また、企業は、プライベート接続を暗号化し、その接続を使用してECMPルーティングに基づく負荷分散を実装することを望んでいる。

ネットワーク設計

ネットワーク設定

このトピックでは、次のネットワーク設定を使用します。

• データセンターは、2つのExpress Connect回線を介してAlibaba Cloudに接続され、Cloud Enterprise Network (CEN) インスタンスを介してVPCと通信します。 2つのExpress Connect回路は、ネットワークの冗長性とトラフィックを保証します。

• データセンターとVPCがExpress Connect回線を介して接続された後、Express Connect回線を介してIPsec-VPN接続を作成できます。 各Express Connect回線で2つのIPsec-VPN接続を作成できます。 接続は、データセンターとVPC間のデータ伝送を暗号化し、ECMPルーティングに基づいてトラフィックの負荷を分散します。

  • IPsec-VPN接続を作成するときは、ゲートウェイタイプ を プライベート に設定します。

  • IPsec-VPN接続のAssociate ResourceパラメーターをCENに設定します。 このように、IPsec − VPN接続は、ECMPルーティングのために集約される。

    説明

    IPsec-VPN接続は、CENインスタンスのEnterprise Editionトランジットルーターにのみ関連付けることができます。

• データセンター、仮想ボーダールーター (VBR) 、およびIPsec-VPN接続は、ボーダーゲートウェイプロトコル (BGP) を使用して、ルートを自動的に学習およびアドバタイズします。 これにより、ルーティング構成が容易になる。 IPsec-VPN接続の1つが失敗すると、トラフィックは別のIPsec-VPN接続にリダイレクトされます。 これにより、サービスの信頼性が確保される。

中国サイト

準備

開始する前に、次の前提条件が満たされていることを確認してください。

• VPCが中国 (杭州) リージョンに作成されます。 アプリケーションはVPCのECSインスタンスにデプロイされます。 詳細については、「」をご参照ください。IPv4 CIDRブロックを持つVPCの作成.

• CEN インスタンスが作成されていること。 Enterprise Editionトランジットルーターは、中国 (杭州) および中国 (上海) リージョンに作成されます。 詳細については、「CENインスタンスの作成」および「トランジットルーターの作成」をご参照ください。

  重要

  トランジットルーターを作成するときは、トランジットルーターのCIDRブロックを設定する必要があります。 それ以外の場合、IPsec接続をトランジットルーターに関連付けることはできません。

  トランジットルーターを作成した場合は、トランジットルーターのCIDRブロックを設定できます。 詳細については、「トランジットルーターCIDRブロック」をご参照ください。

手順

ステップ1: Express Connect回路の展開

データセンターをAlibaba Cloudに接続するには、Express Connect回路をデプロイする必要があります。

1. Express Connect回路で専用接続を作成します。

   この例では、Express Connect回線を介した2つの専用接続が中国 (上海) リージョンで作成されています。 Express Connect回路は、Express Connect Circuit 1およびExpress Connect Circuit 2と名付けられています。 詳細については、「Express Connect回線を介した専用接続の作成と管理」をご参照ください。

   Express Connect Circuit 2を申請する場合、アクセスポイントに基づいて冗長なExpress Connect回路を指定する必要がある場合があります。

   • 2つのExpress connect回線を同じアクセスポイントに接続する場合は、冗長物理接続IDをExpress Connect回線1のIDに設定します。 このように、2つのExpress Connect回路は異なるアクセスデバイスに接続されます。

   • 2つのExpress Connect回路が異なるアクセスポイントに接続されている場合、冗長なExpress Connect回路を指定する必要はありません。 この場合、冗長物理接続IDを指定する必要はありません。

     この例では、Express Connect回路は異なるアクセスポイントに接続されています。

2. VBRを作成します。

   1. Express Connectコンソール.

   2. 左側のナビゲーションウィンドウで、仮想ボーダールーター (VBR).

   3. 上部のナビゲーションバーで、VBRを作成するリージョンを選択します。

      この例では、中国 (上海) が選択されています。

   4. 仮想ボーダールーター (VBR)ページをクリックします。VBRの作成.

   5. VBR の作成パネル、次のパラメータを設定し、OK.

      次の情報に基づいて2つのVBRを作成します。 VBRを異なるExpress Connect回路に関連付けます。 次の表に、主要なパラメーターのみを示します。 デフォルト値は他のパラメータに使用されます。 詳細については、「VBRの作成と管理」をご参照ください。

      パラメーター	説明	VBR1	VBR2
      現在のアカウント	現在のAlibaba Cloudアカウントまたは別のAlibaba CloudアカウントのVBRを作成するかどうかを指定します。	この例では、[現在のアカウント] が選択されています。
      名前	VBRの名前を指定します。	この例では、VBR1が使用される。	この例では、VBR2が使用される。
      エクスプレスコネクト回路	VBRに関連付けるExpress Connect回路を選択します。	この例では、Dedicated Physical Connectionが選択され、ステップ1で作成されたExpress Connect Circuit 1が選択されています。	この例では、Dedicated Physical Connectionが選択され、ステップ1で作成されたExpress Connect Circuit 2が選択されています。
      VLAN ID	VBRのVLAN IDを指定します。 説明 VBRのVLAN IDが、オンプレミスゲートウェイデバイスがExpress connect回路に接続するために使用するインターフェイスのVLAN IDと同じであることを確認します。	この例では、201が使用されます。	この例では、202が使用されます。
      VBR 帯域幅値の設定	VBRの最大帯域幅値を指定します。	ビジネス要件に基づいて最大帯域幅値を選択します。
      Alibaba CloudサイドIPv4アドレス	VBRのIPv4アドレスを指定して、VPCからデータセンターにネットワークトラフィックをルーティングします。	この例では、10.0.0.2が使用されます。	この例では、10.0.1.2が使用されます。
      データセンター側IPv4アドレス	データセンターのゲートウェイデバイスのIPv4アドレスを指定して、データセンターからVPCにネットワークトラフィックをルーティングします。	この例では、10.0.0.1が使用されます。	この例では、10.0.1.1が使用されます。
      IPv4サブネットマスク	指定したIPv4アドレスのサブネットマスクを指定します。	この例では、255.255.255.252が使用されます。	この例では、255.255.255.252が使用されます。

3. VBRのBGPグループを設定します。

   1. [仮想ボーダールーター (VBR)] ページで、管理するVBRのIDをクリックします。

   2. 詳細ページで、[BGPグループ] タブをクリックします。

   3. BGPグループタブをクリックします。BGPグループの作成次のパラメーターを設定し、OK.

      次の情報に基づいてBGPグループを設定します。 次の表に、主要なパラメーターのみを示します。 デフォルト値は他のパラメータに使用されます。 詳細については、「BGPグループの作成」をご参照ください。

      パラメーター	説明	VBR1	VBR2
      名前	BGPグループの名前を指定します。	この例では、VBR1 − BGPが使用される。	この例では、VBR2 − BGPが使用される。
      ピアASN	オンプレミスゲートウェイデバイスのASNを指定します。	この例では、65530が使用されます。 これは、オンプレミスゲートウェイ装置1のASNである。	この例では、65530が使用されます。 これは、オンプレミスゲートウェイ装置2のASNである。
      ローカルASN	VBRのASNを指定します。	この例では、45104が使用されます。 これはVBR1のASNである。	この例では、45104が使用されます。 これはVBR2のASNである。

4. VBRごとにBGPピアを設定します。

   1. VBRの詳細ページで、[BGPピア] タブをクリックします。

   2. [BGPピア] タブで、[BGPピアの作成] をクリックします。

   3. BGPピアの作成パネル、次のパラメータを設定し、OK.

      次の情報に基づいてBGPピアを設定します。 次の表に、主要なパラメーターのみを示します。 デフォルト値は他のパラメータに使用されます。 詳細については、「BGPピアの作成」をご参照ください。

      パラメーター	説明	VBR1	VBR2
      BGPグループ	BGPピアを追加するBGPグループ。	この例では、VBR1 − BGPが選択される。	この例では、VBR2-BGPが選択されています。
      BGPピアIPアドレス	BGP ピアの IP アドレス。	この例では、IPアドレス10.0.0.1が使用されます。 これは、オンプレミスゲートウェイデバイス1がExpress connect Circuit 1に接続するために使用するインターフェイスのIPアドレスです。	この例では、IPアドレス10.0.1.1が使用されます。 これは、オンプレミスゲートウェイデバイス2がExpress connect Circuit 2に接続するために使用するインターフェイスのIPアドレスです。

5. オンプレミスゲートウェイデバイスのBGPルーティングを設定します。

   オンプレミスゲートウェイデバイスのBGPルーティングを構成した後、オンプレミスゲートウェイデバイスとVBRはピアリング接続を確立し、自動的にルートを学習してアドバタイズします。

   説明

   この例では、ソフトウェア適応型セキュリティアプライアンス (ASA) 9.19.1を使用して、Ciscoファイアウォールを設定する方法を説明します。 コマンドはソフトウェアのバージョンによって異なります。 運用中は、実際の環境に基づいてドキュメントまたはベンダーを参照してください。 詳細については、「ローカルゲートウェイの設定」をご参照ください。

   次のコンテンツには、サードパーティの製品情報が含まれています。 Alibaba Cloudは、サードパーティ製品のパフォーマンスと信頼性、またはこれらの製品を使用して実行される運用の潜在的な影響について、保証またはその他の形態のコミットメントを行いません。

   # Configure On-premises Gateway Device 1
   interface GigabitEthernet0/3                
    nameif VBR1                             # The name of the interface that is connected to VBR1. 
    security-level 0
    ip address 10.0.0.1 255.255.255.0       # The private IP address of the GigabitEthernet 0/3 interface. 
    no shutdown                             # Enable the interface. 
   !
   
   router bgp 65530                         # Enable BGP and configure the ASN of the data center. In this example, 65530 is used. 
   bgp router-id 10.0.0.1                   # Enter the ID of the BGP router. In this example, 10.0.0.1 is used. 
   
   address-family ipv4 unicast
   neighbor 10.0.0.2 remote-as 45104        # Establish a peering connection to VBR1. 
   neighbor 10.0.0.2 activate               # Activate the BGP peer. 
   network 192.168.0.0 mask 255.255.255.0   # Advertise the CIDR block of the data center. 
   network 192.168.1.0 mask 255.255.255.0
   network 192.168.2.0 mask 255.255.255.0 
   exit-address-family
   !
   # Configure On-premises Gateway Device 2.
   interface GigabitEthernet0/3                
    nameif VBR2                             # The name of the interface that is connected to VBR2. 
    security-level 0
    ip address 10.0.1.1 255.255.255.0       # The private IP address of the GigabitEthernet 0/3 interface. 
    no shutdown                             # Enable the interface. 
   !
   
   router bgp 65530                         // Enable BGP and configure the ASN of the data center. In this example, 65530 is used. 
   bgp router-id 10.0.1.1                   // Enter the ID of the BGP router. In this example, 10.0.1.1 is used. 
   
   address-family ipv4  unicast
   neighbor 10.0.1.2 remote-as 45104        // Establish a peering connection to VBR2. 
   neighbor 10.0.1.2 activate               // Activate the BGP peer. 
   network 192.168.0.0 mask 255.255.255.0   // Advertise the CIDR block of the data center. 
   network 192.168.1.0 mask 255.255.255.0
   network 192.168.2.0 mask 255.255.255.0 
   exit-address-family
   !

手順2: CENインスタンスの設定

Express Connect回路をデプロイすると、データセンターはExpress Connect回路を介してAlibaba Cloudに接続されます。 ただし、データセンターとVPCは相互に通信できません。 データセンターとVPC間の通信を有効にするには、仮想ボーダールーター (VBR) とVPCをCENインスタンスに接続する必要があります。

1. VPC接続を作成します。

   1. CENコンソール.

   2. [インスタンス] ページで、作成したCENインスタンスを見つけ、そのIDをクリックします。

   3. 基本情報 > トランジットルータータブで、中国 (杭州) リージョンで管理するトランジットルーターを見つけ、接続の作成で、アクション列を作成します。

   4. ピアネットワークインスタンスとの接続ページで、以下のパラメーターを設定し、OK.

      次の表に、主要なパラメーターのみを示します。 デフォルト値は他のパラメータに使用されます。 詳細については、「VPC接続の作成」をご参照ください。

      パラメーター	説明	VPC接続
      [インスタンスタイプ]	ネットワークインスタンスのタイプを選択します。	この例では、Virtual Private Cloud (VPC) が選択されています。
      リージョン	ネットワークインスタンスのリージョンを選択します。	この例では、中国 (杭州) が選択されています。
      トランジットルーター	現在のリージョンのトランジットルーターが自動的に表示されます。
      リソース所有者ID	ネットワークインスタンスが現在のAlibaba Cloudアカウントに属するかどうかを指定します。	この例では、[アカウント] が選択されています。
      課金方法	VPC接続の課金方法を選択します。 デフォルト値: 従量課金 トランジットルーターの課金ルールの詳細については、「課金ルール」をご参照ください。
      添付ファイル名	VPC接続の名前を入力します。	この例では、VPC接続が使用されています。
      ネットワークインスタンス	ネットワークインスタンスを選択します。	この例では、準備セクションで作成されたVPCが選択されています。
      vSwitch	トランジットルーターのゾーンにデプロイされているvSwitchを選択します。 トランジットルーター (TR) が現在のリージョンで1つのゾーンのみをサポートしている場合、ゾーンでvSwitchを選択する必要があります。 TRが現在のリージョンで複数のゾーンをサポートしている場合は、異なるゾーンにあるvSwitchを少なくとも2つ選択する必要があります。 VPCとTRが通信するとき、vSwitchはゾーンディザスタリカバリを実装するために使用されます。 データをより短い距離で送信できるため、ネットワークの待ち時間を短縮し、ネットワークパフォーマンスを向上させるために、各ゾーンでvSwitchを選択することをお勧めします。 選択した各vSwitchに少なくとも1つのアイドルIPアドレスがあることを確認します。 VPCにTRがサポートするゾーンにvSwitchがない場合、またはvSwitchにアイドルIPアドレスがない場合は、ゾーンに新しいvSwitchを作成します。 詳細については、「vSwitchの作成と管理」をご参照ください。	この例では、vSwitch 1がゾーンHで選択され、vSwitch 2がゾーンIで選択されています。
      詳細設定	高度な機能を有効にするかどうかを指定します。 デフォルトでは、すべての高度な機能が有効になります。	この例では、デフォルト設定を使用します。

2. VBRをCENインスタンスにアタッチします。

   1. 基本情報 > トランジットルータータブで、中国 (上海) リージョンのトランジットルーターを見つけ、接続の作成で、アクション列を作成します。

   2. ピアネットワークインスタンスとの接続ページで、以下のパラメーターを設定し、OK.

      次の情報に基づいて、VBR1とVBR2のVBR接続を作成します。 次の表に、主要なパラメーターのみを示します。 デフォルト値は他のパラメータに使用されます。 詳細については、「VBRをEnterprise Editionトランジットルーターに接続する」をご参照ください。

      パラメーター	説明	VBR1	VBR2
      [インスタンスタイプ]	ネットワークインスタンスのタイプを選択します。	この例では、仮想ボーダールーター (VBR) が選択されています。
      リージョン	ネットワークインスタンスのリージョンを選択します。	この例では、中国 (上海) が選択されています。
      トランジットルーター	選択したリージョンにトランジットルーターが自動的に表示されます。
      リソース所有者ID	ネットワークインスタンスが現在のAlibaba Cloudアカウントに属するかどうかを指定します。	この例では、[アカウント] が選択されています。
      添付ファイル名	ネットワーク接続の名前を指定します。	この例では、VBR1 − Attachmentが使用される。	この例では、VBR2-Attachmentが使用されます。
      ネットワークインスタンス	ネットワークインスタンスを選択します。	この例では、VBR1が選択される。	この例では、VBR2が選択される。
      詳細設定	高度な機能を有効にするかどうかを指定します。 デフォルトでは、すべての高度な機能が有効になります。	この例では、デフォルト設定を使用します。

3. リージョン間接続を作成します。

   VBRに関連付けられたトランジットルーターとVPCに関連付けられたトランジットルーターは、異なるリージョンにデプロイされます。 デフォルトでは、このシナリオではVBRはVPCと通信できません。 VBRがリージョン間でVPCと通信できるようにするには、中国 (杭州) リージョンのトランジットルーターと中国 (上海) リージョンのトランジットルーターの間にリージョン間接続を作成する必要があります。

   1. [インスタンス] ページで、管理するCENインスタンスを見つけ、そのIDをクリックします。

   2. [基本設定] > [帯域幅プラン] タブに移動し、[リージョン接続の設定] をクリックします。

   3. [ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。

      次の表に基づいてリージョン間接続を作成します。 他のパラメーターにはデフォルト値を使用します。 詳細については、「リージョン間接続の作成」をご参照ください。

      パラメーター	説明
      [インスタンスタイプ]	この例では、Inter-region Connectionが選択されています。
      リージョン	接続するリージョンの1つを選択します。 この例では、中国 (杭州) が選択されています。
      トランジットルーター	選択したリージョンのトランジットルーターのIDが自動的に表示されます。
      添付ファイル名	リージョン間接続の名前を入力します。 この例では、Cross-Region-testが使用されています。
      ピアリージョン	接続する他のリージョンを選択します。 この例では、中国 (上海) が選択されています。
      トランジットルーター	選択したリージョンのトランジットルーターのIDが自動的に表示されます。
      帯域幅割り当てモード	次のモードがサポートされています。 帯域幅プランからの割り当て: 帯域幅は帯域幅プランから割り当てられます。 ペイバイデータ転送: リージョン間接続を介したデータ転送に対して課金されます。 この例では、[ペイ・バイ・データ転送] が選択されています。
      帯域幅	リージョン間接続の最大帯域幅値を指定します。 単位は、Mbit/s です。
      デフォルトの行タイプ	リージョン間接続のラインタイプを選択します。
      詳細設定	デフォルト設定を使用します。 すべての高度な機能が有効になります。

ステップ3: IPsec-VPN接続の作成

上記の手順を完了すると、データセンターはプライベート接続を介してVPCと通信できます。 ただし、データセンターとVPC間のデータ送信は暗号化されません。 データ送信を暗号化するには、データセンターとAlibaba Cloud間にIPsec-VPN接続を作成する必要があります。

1. VPN Gatewayコンソール.

2. カスタマーゲートウェイを作成します。

   IPsec-VPN接続を作成する前に、オンプレミスのゲートウェイデバイスに関する情報をAlibaba Cloudに提供するカスタマーゲートウェイを作成する必要があります。

   1. 左側のナビゲーションウィンドウで、相互接続 > VPN > カスタマーゲートウェイ.

   2. 上部のナビゲーションバーで、カスタマーゲートウェイのリージョンを選択します。

      VPN Gatewayは、クロスボーダーIPsec-VPN接続をサポートしていません。 したがって、カスタマーゲートウェイがデプロイされているリージョンを選択するときは、近くのアクセスの原則に従って、データセンターに最も近いリージョンを選択する必要があります。 この例では、中国 (上海) が選択されています。

      クロスボーダー接続の詳細については、「イントラボーダー接続」をご参照ください。

   3. カスタマーゲートウェイページをクリックします。カスタマーゲートウェイの作成.

   4. カスタマーゲートウェイの作成パネル、次のパラメータを設定し、OK.

      次の情報に基づいて、中国 (上海) リージョンに4つのカスタマーゲートウェイを作成します。 次の表に、主要なパラメーターのみを示します。 デフォルト値は他のパラメータに使用されます。 詳細については、「カスタマーゲートウェイの作成」をご参照ください。

      パラメーター	説明	カスタマーゲートウェイ1	カスタマーゲートウェイ2	カスタマーゲートウェイ3	カスタマーゲートウェイ4
      名前	カスタマーゲートウェイの名前を指定します。	この例では、Customer-Gateway1が使用されています。	この例では、Customer-Gateway2が使用されています。	この例では、Customer-Gateway3が使用されています。	この例では、Customer-Gateway4が使用されています。
      IP アドレス	Alibaba Cloudに接続するオンプレミスゲートウェイデバイスのパブリックIPアドレスを指定します。	この例では、192.168.0.1が使用されます。 これは、オンプレミスゲートウェイ装置1の最初のVPN IPアドレスである。	この例では、192.168.1.1が使用されます。 これは、オンプレミスゲートウェイ装置1の第2のVPN IPアドレスである。	この例では、192.168.1.2が使用されます。 これは、オンプレミスゲートウェイデバイス2の最初のVPN IPアドレスです。	この例では、192.168.2.2が使用されます。 これは、オンプレミスゲートウェイデバイス2の2番目のVPN IPアドレスです。
      ASN	オンプレミスゲートウェイデバイスのBGP ASNを指定します。	この例では、65530が使用されます。

3. IPsec-VPN接続を作成します。

   カスタマーゲートウェイを作成したら、Alibaba Cloudとデータセンター間にIPsec-VPN接続を作成する必要があります。

   1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.

   2. 上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。

      IPsec-VPN接続とカスタマーゲートウェイは、同じリージョンに作成する必要があります。 この例では、中国 (上海) が選択されています。

   3. VPN 接続ページをクリックします。VPN 接続の作成.

   4. VPN 接続の作成ページで、IPsec-VPN接続のパラメーターを設定し、OK.

      次の情報に基づいて、中国 (上海) リージョンで4つのIPsec-VPN接続を作成します。 IPsec-VPN接続の使用に対して課金されます。 詳細については、次をご参照ください： 請求。

      パラメーター	説明	IPsec-VPN接続1	IPsec-VPN接続2	IPsec-VPN接続3	IPsec-VPN接続4
      名前	IPsec-VPN接続の名称を指定します。	この例では、IPsec-VPN接続1が使用されています。	この例では、IPsec − VPN接続2が使用される。	この例では、IPsec − VPN接続3が使用される。	この例では、IPsec − VPN接続4が使用される。
      リソースの関連付け	IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。	この例では、CENが選択されています。
      ゲートウェイタイプ	IPsec-VPN接続のネットワークタイプを選択します。	この例では、プライベート が選択されています。
      CEN インスタンス ID	CENインスタンスを選択します。	この例では、準備セクションで作成されたCENインスタンスが選択されています。
      トランジットルーター	IPsec-VPN接続に関連付けるトランジットルーター。	IPsec-VPN接続が作成されているリージョンのトランジットルーターが自動的に選択されます。
      ゾーン	IPsec-VPN接続を作成するゾーンを選択します。 IPsec-VPN接続がトランジットルーターをサポートするゾーンに作成されていることを確認します。	この例では、上海ゾーンFが選択されています。 説明 このシナリオでは、異なるゾーンにIPsec-VPN接続を展開してディザスタリカバリを実装することを推奨します。		この例では、上海ゾーンGが選択されています。
      ルーティングモード	ルーティングモード。	この例では、宛先ルーティングモードが選択されています。
      今すぐ有効化有効	IPsec-VPN接続の設定を直ちに適用するかどうかを選択します。 有効な値： IPsec-VPN接続を作成するときに [有効な即時] パラメーターを はい に設定すると、設定が完了した直後にネゴシエーションが開始されます。 IPsec-VPN接続を作成するときに [有効な即時] パラメーターを いいえ に設定すると、インバウンドトラフィックが検出されたときにネゴシエーションが開始されます。	この例では、はいが選択されています。
      カスタマーゲートウェイ	IPsec-VPN接続に関連付けるカスタマーゲートウェイを選択します。	この例では、Customer-Gateway1が選択されています。	この例では、Customer-Gateway2が選択されています。	この例では、Customer-Gateway3が選択されています。	この例では、Customer-Gateway4が選択されています。
      事前共有鍵	オンプレミスのゲートウェイデバイスの認証に使用される事前共有キーを指定します。 キーの長さは1〜100文字である必要があり、数字、文字、および次の特殊文字を含めることができます。~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ? 。 キーにスペースを含めることはできません。 事前共有キーを指定しない場合、事前共有キーとして16文字の文字列がランダムに生成されます。 IPsec-VPN接続の作成後、IPsec-VPN接続の [操作] 列の [編集] をクリックして、IPsec-VPN接続用に生成された事前共有キーを表示できます。 詳細については、このトピックの「IPsec-VPN接続の変更」をご参照ください。 重要 IPsec-VPN接続とピアゲートウェイデバイスは、同じ事前共有キーを使用する必要があります。 そうしないと、システムはIPsec-VPN接続を確立できません。	この例では、fddsFF123 **** が使用されます。	この例では、fddsFF456 **** が使用されています。	この例では、fddsFF789 **** が使用されます。	この例では、fddsFF901 **** が使用されています。
      BGPの有効化	BGPを有効にするかどうかを指定します。 デフォルトでは、BGPは無効になっています。	この例では、BGPは有効です。
      ローカル ASN	IPsec-VPN接続のASNを指定します。	この例では、45104が使用されます。	この例では、45104が使用されます。	この例では、45104が使用されます。	この例では、45104が使用されます。
      暗号化設定	IKE設定とIPsec設定を含む暗号化設定を設定します。	次のパラメーターを除いて、デフォルト設定を使用します。 詳細については、「トランジットルーターに関連付けられたIPsec-VPN接続の作成と管理」をご参照ください。 IKE設定セクションのDHグループパラメーターをgroup14に設定します。 IPsec設定セクションのDHグループパラメーターをgroup14に設定します。 説明 IPsec接続の暗号化設定がオンプレミスゲートウェイデバイスの暗号化設定と同じになるように、オンプレミスゲートウェイデバイスに基づいて暗号化パラメーターを選択する必要があります。
      BGP 設定
      トンネル CIDR ブロック	IPsecトンネリングに使用されるCIDRブロックを指定します。 CIDRブロックは169.254.0.0/16に該当する必要があります。 CIDRブロックのサブネットマスクの長さは30ビットである必要があります。 CIDRブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、または169.254.169.252/30にすることはできません。	この例では、169.254.10.0/30が使用されます。	この例では、169.254.11.0/30が使用されます。	この例では、169.254.12.0/30が使用されます。	この例では、169.254.13.0/30が使用されます。
      ローカル BGP IP アドレス	IPsec-VPN接続のBGP IPアドレスを指定します。 IPアドレスは、IPsecトンネルのCIDRブロック内にある必要があります。	この例では、169.254.10.1が使用されます。	この例では、169.254.11.1が使用されます。	この例では、169.254.12.1が使用されます。	この例では、169.254.13.1が使用されます。
      高度な設定	IPsec-VPN接続がルートを自動的にアドバタイズして学習できるようにするための高度な機能を有効にするかどうかを指定します。 デフォルトでは、高度な機能が有効になっています。	この例では、高度な機能が有効になっています。

   IPsec-VPN接続が作成された後、システムは各IPsec-VPN接続にプライベートゲートウェイIPアドレスを割り当てます。 ゲートウェイIPアドレスは、IPsec-VPN接続のAlibaba Cloud側のエンドポイントです。 次の図に示すように、詳細ページでIPsec-VPN接続のゲートウェイIPアドレスを確認できます。

   次の表に、IPsec-VPN接続1、IPsec-VPN接続2、IPsec-VPN接続3、およびIPsec-VPN接続4に割り当てられるゲートウェイIPアドレスを示します。

   IPsec-VPN接続	ゲートウェイIPアドレス
   IPsec-VPN 接続 1	192.168.168.1
   IPsec-VPN接続2	192.168.168.2
   IPsec-VPN接続3	192.168.168.3
   IPsec-VPN接続4	192.168.168.4

   説明

   • IPsec-VPN接続をトランジットルーターに関連付けた後にのみ、ゲートウェイIPアドレスがIPsec-VPN接続に割り当てられます。 IPsec-VPN接続を作成するときに、[関連付けリソース] を [関連付けしない] または [VPN Gateway] に設定した場合、システムはIPsec-VPN接続にゲートウェイIPアドレスを割り当てません。

   • プライベートIPsec-VPN接続がトランジットルーターに関連付けられた後、システムはIPsec-VPN接続のゲートウェイIPアドレスをトランジットルーターのルートテーブルに自動的にアドバタイズします。

4. IPsec-VPN接続ピアの設定をダウンロードします。

   VPN 接続 ページに戻り、作成したIPsec-VPN接続を見つけ、操作 列の ピア設定の生成 をクリックします。

   4つのIPsec-VPN接続のピア設定をオンプレミスのコンピューターにダウンロードして、オンプレミスのゲートウェイデバイスにVPN設定を追加するときに設定を使用できるようにします。

5. VPN設定とBGP設定をオンプレミスのゲートウェイデバイスに追加します。

   IPsec-VPN接続が作成されたら、次の手順を実行して、オンプレミスゲートウェイデバイス1およびオンプレミスゲートウェイデバイス2にダウンロードしたピア設定にVPNおよびBGP設定を追加します。 これにより、データセンターはIPsec-VPN接続を介してAlibaba Cloudと通信できます。

   説明

   この例では、ソフトウェア適応型セキュリティアプライアンス (ASA) 9.19.1を使用して、Ciscoファイアウォールを設定する方法を説明します。 コマンドはソフトウェアのバージョンによって異なります。 運用中は、実際の環境に基づいてドキュメントまたはベンダーを参照してください。 詳細については、「ローカルゲートウェイの設定」をご参照ください。

   次のコンテンツには、サードパーティの製品情報が含まれています。 Alibaba Cloudは、サードパーティ製品のパフォーマンスと信頼性、またはこれらの製品を使用して実行される運用の潜在的な影響について、保証またはその他の形態のコミットメントを行いません。

   オンプレミスGatewayデバイス1の設定

   1. CiscoファイアウォールのCLIにログインし、設定モードを入力します。

      ciscoasa> enable
      Password: ********             # Enter the password for entering the enable mode. 
      ciscoasa# configure terminal   # Enter the configuration mode. 
      ciscoasa(config)#     

   2. インターネットアクセスのインターフェイス設定とルーティング設定を表示します。

      インターフェイスが設定され、Ciscoファイアウォールで有効になっていることを確認します。 この例では、次のインターフェイス設定が使用されます。

      ciscoasa(config)# show running-config interface 
      !
      interface GigabitEthernet0/0
       nameif outside1                            # The name of the GigabitEthernet 0/0 interface. 
       security-level 0
       ip address 192.168.0.1 255.255.255.0       # The private IP address of the GigabitEthernet 0/0 interface. 
      !
      interface GigabitEthernet0/1                
       nameif outside2                             # The name of the GigabitEthernet 0/1 interface. 
       security-level 0                         
       ip address 192.168.1.1 255.255.255.0        # The private IP address of the GigabitEthernet 0/1 interface. 
      !
      interface GigabitEthernet0/2                # The interface that connects to the data center. 
       nameif private                             # The name of the GigabitEthernet 0/2 interface. 
       security-level 100                         # The security level of the private interface that connects to the data center, which is lower than that of a public interface. 
       ip address 192.168.2.215 255.255.255.0     #  The private IP address of the GigabitEthernet 0/2 interface. 
      !
      
      route private 192.168.0.0 255.255.0.0 192.168.2.216          # The route that points to the data center.

   3. パブリックインターフェイスのIKEv2を有効にします。

      crypto ikev2 enable outside1
      crypto ikev2 enable outside2

   4. IKEv2ポリシーを作成し、CiscoファイアウォールのIKEフェーズで認証アルゴリズム、暗号化アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloud側の値と同じである必要があります。

      重要

      Alibaba CloudでIPsec-VPN接続を設定する場合、IKEフェーズで暗号化アルゴリズム、認証アルゴリズム、およびDHグループに指定できる値は1つだけです。 CiscoファイアウォールのIKEフェーズでは、暗号化アルゴリズム、認証アルゴリズム、およびDHグループに1つの値のみを指定することを推奨します。 値はAlibaba Cloud側の値と同じである必要があります。

      crypto ikev2 policy 10     
       encryption aes             # Specify the encryption algorithm. 
       integrity sha              # Specify the authentication algorithm. 
       group 14                   # Specify the DH group. 
       prf sha                    # The value of the prf parameter must be the same as that of the integrity parameter. By default, these values are the same on the Alibaba Cloud side. 
       lifetime seconds 86400     # Specify the SA lifetime.

   5. IPsecの提案とプロファイルを作成し、CiscoファイアウォールのIPsecフェーズで暗号化アルゴリズム、認証アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloud側の値と同じである必要があります。

      重要

      Alibaba CloudでIPsec-VPN接続を設定する場合、IPsecフェーズで暗号化アルゴリズム、認証アルゴリズム、およびDHグループに指定できる値は1つだけです。 CiscoファイアウォールのIPsecフェーズでは、暗号化アルゴリズム、認証アルゴリズム、およびDHグループに1つの値のみを指定することを推奨します。 値はAlibaba Cloud側の値と同じである必要があります。

      crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Create an IPsec proposal. 
       protocol esp encryption aes                         # Specify the encryption algorithm. The Encapsulating Security Payload (ESP) protocol is used on the Alibaba Cloud side. Therefore, use the ESP protocol. 
       protocol esp integrity sha-1                        # Specify the authentication algorithm. The ESP protocol is used on the Alibaba Cloud side. Therefore, use the ESP protocol. 
      crypto ipsec profile ALIYUN-PROFILE                  
       set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Create an IPsec profile and apply the proposal that is created.  
       set ikev2 local-identity address                    # Set the format of the local ID to IP address, which is the same as the format of the remote ID on the Alibaba Cloud side. 
       set pfs group14                                     # Specify the Perfect Forward Secrecy (PFS) and DH group. 
       set security-association lifetime seconds 86400     # Specify the time-based SA lifetime. 
       set security-association lifetime kilobytes unlimited # Disable the traffic-based SA lifetime.

   6. トンネルグループを作成し、トンネルの事前共有キーを指定します。これはAlibaba Cloud側と同じである必要があります。

      tunnel-group 192.168.168.1 type ipsec-l2l                  # Specify the encapsulation mode l2l for Tunnel 1. 
      tunnel-group 192.168.168.1 ipsec-attributes             
       ikev2 remote-authentication pre-shared-key fddsFF123****  # Specify the peer pre-shared key for Tunnel 1, which is the pre-shared key on the Alibaba Cloud side. 
       ikev2 local-authentication pre-shared-key fddsFF123****   # Specify the local pre-shared key for Tunnel 1, which must be the same as that on the Alibaba Cloud side. 
      !
      tunnel-group 192.168.168.2 type ipsec-l2l                  # Specify the encapsulation mode l2l for Tunnel 2. 
      tunnel-group 192.168.168.2 ipsec-attributes
       ikev2 remote-authentication pre-shared-key fddsFF456****  # Specify the peer pre-shared key for Tunnel 2, which is the pre-shared key on the Alibaba Cloud side. 
       ikev2 local-authentication pre-shared-key fddsFF456****   # Specify the local pre-shared key for Tunnel 2, which must be the same as that on the Alibaba Cloud side. 
      !

   7. トンネルインターフェイスを作成します。

      interface Tunnel1                                  # Create an interface for Tunnel 1. 
       nameif ALIYUN1
       ip address 169.254.10.2 255.255.255.252           # Specify the IP address of the interface. 
       tunnel source interface outside1                  # Specify the IP address of the GigabitEthernet 0/0 interface as the source address of Tunnel 1. 
       tunnel destination 192.168.168.1                  # Specify the private IP address of IPsec-VPN Connection 1 on the Alibaba Cloud side as the destination address of Tunnel 1. 
       tunnel mode ipsec ipv4
       tunnel protection ipsec profile ALIYUN-PROFILE    # Apply the IPsec profile ALIYUN-PROFILE on Tunnel 1. 
       no shutdown                                       # Enable the interface for Tunnel 1. 
      !
      interface Tunnel2                                  # Create an interface for Tunnel 2. 
       nameif ALIYUN2                
       ip address 169.254.11.2 255.255.255.252           # Specify the IP address of the interface. 
       tunnel source interface outside2                  # Specify the IP address of the GigabitEthernet 0/2 interface as the source address of Tunnel 2. 
       tunnel destination 192.168.168.2                   # Specify the private IP address of IPsec-VPN Connection 2 on the Alibaba Cloud side as the destination address of Tunnel 2. 
       tunnel mode ipsec ipv4                            
       tunnel protection ipsec profile ALIYUN-PROFILE # Apply the IPsec profile ALIYUN-PROFILE on Tunnel 2. 
       no shutdown                                       # Enable the interface for Tunnel 2. 
      !

   8. IPsec-VPN接続1およびIPsec-VPN接続2をオンプレミスゲートウェイデバイス1のBGPピアとして設定するためのBGP設定を追加します。

      router bgp 65530
       address-family ipv4 unicast
        neighbor 169.254.10.1 remote-as 45104       # Specify the BGP peer, which is the IP address of Tunnel 1 on the Alibaba Cloud side. 
        neighbor 169.254.10.1 ebgp-multihop 255
        neighbor 169.254.10.1 activate              # Activate the BGP peer. 
        neighbor 169.254.11.1 remote-as 45104       # Specify the BGP peer, which is the IP address of Tunnel 2 on the Alibaba Cloud side. 
        neighbor 169.254.11.1 ebgp-multihop 255
        neighbor 169.254.11.1 activate              # Activate the BGP peer. 
        maximum-paths ebgp  5                       # Increase the number of ECMP route entries. 
       exit-address-family

   オンプレミスGatewayデバイス2の設定

   1. CiscoファイアウォールのCLIにログインし、設定モードを入力します。

      ciscoasa> enable
      Password: ********             # Enter the password for entering the enable mode. 
      ciscoasa# configure terminal   # Enter the configuration mode. 
      ciscoasa(config)#     

   2. インターネットアクセスのインターフェイス設定とルーティング設定を表示します。

      インターフェイスが設定され、Ciscoファイアウォールで有効になっていることを確認します。 この例では、次のインターフェイス設定が使用されます。

      ciscoasa(config)# show running-config interface 
      !
      interface GigabitEthernet0/0
       nameif outside1                            # The name of the GigabitEthernet 0/0 interface. 
       security-level 0
       ip address 192.168.1.2 255.255.255.0     #  The private IP address of the GigabitEthernet 0/0 interface. 
      !
      interface GigabitEthernet0/1                
       nameif outside2                            # The name of the GigabitEthernet 0/1 interface. 
       security-level 0                         
       ip address 192.168.2.2 255.255.255.0       # The private IP address of the GigabitEthernet 0/1 interface. 
      !
      interface GigabitEthernet0/2                # The interface that connects to the data center. 
       nameif private                             # The name of the GigabitEthernet 0/2 interface. 
       security-level 100                         # The security level of the private interface that connects to the data center, which is lower than that of a public interface. 
       ip address 192.168.0.217 255.255.255.0   #  The private IP address of the GigabitEthernet 0/2 interface. 
      !
      route private 192.168.0.0 255.255.0.0 192.168.0.218          # The route that points to the data center.

   3. パブリックインターフェイスのIKEv2を有効にします。

      crypto ikev2 enable outside1
      crypto ikev2 enable outside2

   4. IKEv2ポリシーを作成し、CiscoファイアウォールのIKEフェーズで認証アルゴリズム、暗号化アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloud側の値と同じである必要があります。

      重要

      Alibaba CloudでIPsec-VPN接続を設定する場合、IKEフェーズで暗号化アルゴリズム、認証アルゴリズム、およびDHグループに指定できる値は1つだけです。 CiscoファイアウォールのIKEフェーズでは、暗号化アルゴリズム、認証アルゴリズム、およびDHグループに1つの値のみを指定することを推奨します。 値はAlibaba Cloud側の値と同じである必要があります。

      crypto ikev2 policy 10     
       encryption aes             # Specify the encryption algorithm. 
       integrity sha              # Specify the authentication algorithm. 
       group 14                   # Specify the DH group. 
       prf sha                    # The value of the prf parameter must be the same as that of the integrity parameter. By default, these values are the same on the Alibaba Cloud side. 
       lifetime seconds 86400     # Specify the SA lifetime.

   5. IPsecの提案とプロファイルを作成し、CiscoファイアウォールのIPsecフェーズで暗号化アルゴリズム、認証アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloud側の値と同じである必要があります。

      重要

      Alibaba CloudでIPsec-VPN接続を設定する場合、IPsecフェーズで暗号化アルゴリズム、認証アルゴリズム、およびDHグループに指定できる値は1つだけです。 CiscoファイアウォールのIPsecフェーズでは、暗号化アルゴリズム、認証アルゴリズム、およびDHグループに1つの値のみを指定することを推奨します。 値はAlibaba Cloud側の値と同じである必要があります。

      crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Create an IPsec proposal. 
       protocol esp encryption aes                         # Specify the encryption algorithm. The ESP protocol is used on the Alibaba Cloud side. Therefore, use the ESP protocol. 
       protocol esp integrity sha-1                        # Specify the authentication algorithm. The ESP protocol is used on the Alibaba Cloud side. Therefore, use the ESP protocol. 
      crypto ipsec profile ALIYUN-PROFILE                  
       set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Create an IPsec profile and apply the proposal that is created.  
       set ikev2 local-identity address                    # Set the format of the local ID to IP address, which is the same as the format of the remote ID on the Alibaba Cloud side. 
       set pfs group14                                     # Specify the PFS and DH group. 
       set security-association lifetime seconds 86400     # Specify the time-based SA lifetime. 
       set security-association lifetime kilobytes unlimited # Disable the traffic-based SA lifetime.

   6. トンネルグループを作成し、トンネルの事前共有キーを指定します。これはAlibaba Cloud側と同じである必要があります。

      tunnel-group 192.168.168.3 type ipsec-l2l                  # Specify the encapsulation mode l2l for Tunnel 3. 
      tunnel-group 192.168.168.3 ipsec-attributes             
       ikev2 remote-authentication pre-shared-key fddsFF789****  # Specify the peer pre-shared key for Tunnel 3, which is the pre-shared key on the Alibaba Cloud side. 
       ikev2 local-authentication pre-shared-key fddsFF789****   # Specify the local pre-shared key for Tunnel 3, which must be the same as that on the Alibaba Cloud side. 
      !
      tunnel-group 192.168.168.4 type ipsec-l2l                  # Specify the encapsulation mode l2l for Tunnel 4. 
      tunnel-group 192.168.168.4 ipsec-attributes
       ikev2 remote-authentication pre-shared-key fddsFF901****  # Specify the peer pre-shared key for Tunnel 4, which is the pre-shared key on the Alibaba Cloud side. 
       ikev2 local-authentication pre-shared-key fddsFF901****   # Specify the local pre-shared key for Tunnel 4, which must be the same as that on the Alibaba Cloud side. 
      !

   7. トンネルインターフェイスを作成します。

      interface Tunnel1                                  # Create an interface for Tunnel 3. 
       nameif ALIYUN1
       ip address 169.254.12.2 255.255.255.252           # Specify the IP address of the interface. 
       tunnel source interface outside1                  # Specify the IP address of the GigabitEthernet 0/0 interface as the source address of Tunnel 3. 
       tunnel destination 192.168.168.3                  # Specify the private IP address of IPsec-VPN Connection 3 on the Alibaba Cloud side as the destination address of Tunnel 3. 
       tunnel mode ipsec ipv4
       tunnel protection ipsec profile ALIYUN-PROFILE    # Apply the IPsec profile ALIYUN-PROFILE on Tunnel 3. 
       no shutdown                                       # Enable the interface for Tunnel 3. 
      !
      interface Tunnel2                                  # Create an interface for Tunnel 4. 
       nameif ALIYUN2                
       ip address 169.254.13.2 255.255.255.252           # Specify the IP address of the interface. 
       tunnel source interface outside2                  # Specify the IP address of the GigabitEthernet 0/2 interface as the source address of Tunnel 4. 
       tunnel destination 192.168.168.4                  # Specify the private IP address of IPsec-VPN Connection 4 on the Alibaba Cloud side as the destination address of Tunnel 4. 
       tunnel mode ipsec ipv4                            
       tunnel protection ipsec profile ALIYUN-PROFILE    # Apply the IPsec profile ALIYUN-PROFILE on Tunnel 4. 
       no shutdown                                       # Enable the interface for Tunnel 4. 
      !

   8. IPsec-VPN接続3およびIPsec-VPN接続4をオンプレミスゲートウェイデバイス2のBGPピアとして設定するためのBGP設定を追加します。

      router bgp 65530
       address-family ipv4 unicast
        neighbor 169.254.12.1 remote-as 45104       # Specify the BGP peer, which is the IP address of IPsec-VPN Connection 3 on the Alibaba Cloud side. 
        neighbor 169.254.12.1 ebgp-multihop 255
        neighbor 169.254.12.1 activate              # Activate the BGP peer. 
        neighbor 169.254.13.1 remote-as 45104       # Specify the BGP peer, which is the IP address of IPsec-VPN Connection 4 on the Alibaba Cloud side. 
        neighbor 169.254.13.1 ebgp-multihop 255
        neighbor 169.254.13.1 activate              # Activate the BGP peer. 
        maximum-paths ebgp  5                       # Increase the number of ECMP route entries. 
       exit-address-family

6. ネットワーク環境に基づいてデータセンターにルートを追加します。 このルートでは、ネットワークトラフィックをデータセンターからオンプレミスGatewayデバイス1とオンプレミスGatewayデバイス2を介して同時にVPCに送信できるようにする必要があります。 オンプレミスゲートウェイ装置1がダウンした場合、オンプレミスゲートウェイ装置2が自動的に引き継ぐ。 これにより、ECMPを使用してデータセンターからVPCにトラフィックをルーティングできます。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。

手順4: ルートとルーティングポリシーの設定

上記の設定を完了した後、IPsec-VPN接続が期待どおりに機能するように、Alibaba Cloudにルートとルーティングポリシーを追加する必要があります。 また、データセンターとAlibaba Cloud間のトラフィックを暗号化されたトンネルにルーティングする必要があります。

1. VBRにカスタムルートを追加します。

   1. Express Connectコンソール.

   2. 左側のナビゲーションウィンドウで、仮想ボーダールーター (VBR).

   3. 上部のナビゲーションバーで、VBRがデプロイされているリージョンを選択します。

      この例では、中国 (上海) が選択されています。

   4. 仮想ボーダールーター (VBR)ページで、管理するVBRのIDをクリックします。

   5. ルートタブをクリックし、ルートを追加.

   6. ルートを追加パネル、次のパラメータを設定し、OK.

      ルート1とルート2をVBR1に追加する。 ルート3とルート4をVBR2に追加する。

      パラメーター	説明	ルート1	ルート2	ルート3	ルート4
      ネクストホップタイプ	次のホップタイプ。 [物理接続インターフェイス] を選択します。
      宛先CIDRブロック	オンプレミスゲートウェイデバイスのVPN IPアドレスを指定します。	この例では、オンプレミスゲートウェイデバイス1の最初のVPN IPアドレス、192.168.0.1/32が使用されます。	この例では、オンプレミスゲートウェイデバイス1の2番目のVPN IPアドレス、192.168.1.1/32が使用されます。	この例では、オンプレミスゲートウェイデバイス2の最初のVPN IPアドレス192.168.1.2/32が使用されます。	この例では、オンプレミスゲートウェイデバイス2の最初のVPN IPアドレス192.168.2.2/32が使用されます。
      次ホップ	Express Connect回路を選択します。	Express Connect Circuit 1を選択します。	Express Connect Circuit 1を選択します。	Express Connect Circuit 2を選択します。	Express Connect Circuit 2を選択します。

2. CENインスタンスにルーティングポリシーを追加します。

   1. CENコンソール.

   2. インスタンスCENコンソールのページで、作成したCENインスタンスのIDをクリックします。

   3. [基本情報] > [トランジットルーター] タブで、中国 (上海) リージョンのトランジットルーターを見つけ、そのIDをクリックします。

   4. トランジットルーターの詳細ページで、ルートテーブルタブをクリックし、ルーティングポリシー.

   5. [ルートマップ] タブで、[ルートマップの追加] をクリックします。 [ルートマップの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。

      次の表の情報に基づいて、4つのルーティングポリシーをCENに追加します。 次のセクションでは、4つのルーティングポリシーについて説明します。

      • ルーティングポリシー1: データセンターは、VBRおよびIPsec-VPN接続を介してVPCからCIDRブロックを学習します。 VPC宛てのトラフィックがIPsec-VPN接続にルーティングされるようにするには、ルーティングポリシー1を作成して、VBRによってアドバタイズされるCIDRブロックの優先度がIPsec-VPN接続によってアドバタイズされるCIDRブロックの優先度よりも低くなるようにする必要があります。

      • ルーティングポリシー2: CENインスタンスがVBRとIPsec-VPN接続を介して同じCIDRブロックを学習した場合、VBRによってアドバタイズされたCIDRブロックの優先度が高くなります。 VBRによってアドバタイズされたデータセンタールートを拒否するには、ルーティングポリシー2を作成する必要があります。 これにより、データセンター宛てのトラフィックがIPsec-VPN接続に確実にルーティングされます。

      次の表に、主要なパラメーターのみを示します。 詳細については、「ルーティングポリシーの概要」をご参照ください。

      パラメーター	説明	ルーティングポリシー1	ルーティングポリシー2
      ポリシー優先度	ルーティングポリシーの優先度の値を指定します。	この例では、5が使用されます。	この例では、10が使用されます。
      リージョン	ルーティングポリシーを適用するリージョンを選択します。	この例では、中国 (上海) が選択されています。
      関連ルートテーブル	ルーティングポリシーに関連付けるルートテーブルを選択します。	この例では、現在のトランジットルーターのデフォルトルートテーブルが選択されています。
      ポリシーの方向	ルーティングポリシーを適用する方向を選択します。	この例では、[Egress Regional Gateway] が選択されています。	この例では、Ingress Regional Gatewayが選択されています。
      マッチ条件	ルーティングポリシーの一致条件を設定します。	次の一致条件を設定します。 ソースインスタンスID: VPCのIDを指定します。 宛先インスタンスID: VBR1とVBR2のIDを指定します。 ルートプレフィックス: 172.16.10.0/24および172.16.20.0/24と入力し、[完全一致] を選択します。	次の一致条件を設定します。 ソースインスタンスID: VBR1とVBR2のIDを指定します。 ルートプレフィックス: 192.168.0.0/24、192.168.10.0/24、192.168.20.0/24と入力し、[完全一致] を選択します。
      アクションポリシー	ルーティングポリシーのアクションを選択します。	この例では、[許可] が選択されています。	この例では、[拒否] が選択されています。
      ポリシーエントリの追加	許可されているルートの優先度を指定します。	この例では、Prepend AS Pathが選択され、65525、65526、65527が指定されています。 これにより、VBRがデータセンターにアドバタイズするVPC CIDRブロックの優先度が低下します。	非該当

手順 5：ネットワーク接続のテスト

ルートを設定すると、データセンターはプライベート接続と暗号化接続を介してVPCと通信できます。 データセンターとVPC間のトラフィックは、4つのIPsec-VPN接続を使用して、ECMPルーティングに基づいて負荷分散されます。 このセクションでは、ネットワーク接続をテストする方法と、トラフィックの負荷分散に4つのIPsec-VPN接続が使用されているかどうかを確認する方法について説明します。

1. ネットワーク接続をテストします。

   1. 接続されたVPCのECSインスタンスにログインします。 詳細については、「ECSインスタンスへの接続」をご参照ください。

   2. ECSインスタンスでpingコマンドを実行し、データセンターのクライアントにアクセスします。

      ping <IP address of the client in the data center>

      ECSインスタンスがエコー応答メッセージを受信した場合、データセンターはVPCと通信できます。

2. 負荷がバランスしているかどうかを確認します。

   データセンターの複数のクライアントからECSインスタンスにリクエストを送信するか、iPerf3を使用してECSインスタンスにリクエストを送信します。 IPsec-VPN接続1、IPsec-VPN接続2、IPsec-VPN接続3、およびIPsec-VPN接続4の詳細ページでトラフィックモニタリングデータを表示できる場合、データセンターとVPC間のトラフィックは4つのIPsec-VPN接続を介して負荷分散されます。 Iperf3のインストール方法と使用方法の詳細については、「Express Connect回路のパフォーマンスのテスト」をご参照ください。

   1. VPN Gatewayコンソール.

   2. 上部のナビゲーションバーで、IPsec-VPN接続が作成されているリージョンを選択します。

   3. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.

   4. [IPsec 接続] ページで、管理するIPsec-VPN接続を見つけ、そのIDをクリックします。

      IPsec-VPN接続の詳細ページに移動し、モニター タブでトラフィックモニタリングデータを表示します。

ルーティング設定

このトピックでは、デフォルトのルーティング設定を使用して、IPsec-VPN接続、VPC接続、VBR接続、およびリージョン間接続を作成します。 デフォルトのルーティング設定を使用すると、CENは自動的にルートを学習して配布し、データセンターがVPCと通信できるようにします。 次のセクションでは、デフォルトのルーティング設定について説明します。

IPsec-VPN接続

IPsec-VPN接続を作成するときにIPsec-VPN接続をトランジットルーターに関連付けると、システムは自動的に次のルーティング設定をIPsec-VPN接続に適用します。

• IPsec-VPN接続は、トランジットルーターのデフォルトルートテーブルに関連付けられています。 トランジットルーターは、デフォルトのルートテーブルに基づいてIPsec-VPN接続からトラフィックを転送します。

• IPsec-VPN接続用に構成した宛先ベースのルートと、BGP動的ルーティングを使用してIPsec-VPN接続を介してデータセンターから学習したルートは、トランジットルーターの既定のルートテーブルに自動的に反映されます。

• トランジットルーターは、デフォルトのルートテーブル内のルートをIPsec-VPN接続に関連付けられたBGPルートテーブルに自動的に伝播します。

  BGP動的ルーティングを使用してIPsec-VPN接続を介してVPCから学習されたルートは、自動的にデータセンターに伝播されます。

VPC接続

VPCの作成時にデフォルトのルーティング設定 (すべての高度な機能が有効) を使用すると、システムは自動的に次のルーティング設定をVPCに適用します。

• トランジットルーターのデフォルトルートテーブルに関連付ける

  この機能を有効にすると、VPC接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトルートテーブルに基づいてVPCのトラフィックを転送します。

• トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播

  この機能を有効にすると、VPCのシステムルートがトランジットルーターのデフォルトルートテーブルにアドバタイズされます。 これにより、VPCはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。

• トランジットルーターをポイントし、現在のVPCのすべてのルートテーブルに追加するルートを自動的に作成

  この機能を有効にすると、VPCのすべてのルートテーブルに10.0.0.0/8、172.16.0.0/12、192.168.0.0/16の3つのルートが自動的に追加されます。 ルートはVPC接続を指しています。

  重要

  そのようなルートが既にVPCのルートテーブルにある場合、システムはこのルートをアドバタイズできません。 VPC接続を指すルートをVPCのルートテーブルに手動で追加する必要があります。 そうしないと、VPCとトランジットルーター間でネットワーク通信を確立できません。

  そのようなルートが存在するかどうかを確認するには、[詳細設定] の下にある [ルートの確認] をクリックします。

VBR接続

VBR接続を作成するときに (すべての高度な機能が有効になっている) デフォルトのルーティング設定を使用すると、システムは自動的に次のルーティング設定をVBRに適用します。

• トランジットルーターのデフォルトルートテーブルに関連付ける

  この機能を有効にすると、VBR接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトのルートテーブルに基づいてVBRのトラフィックを転送します。

• トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播

  この機能を有効にすると、VBRのシステムルートがトランジットルーターのデフォルトルートテーブルに通知されます。 このようにして、VBRはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。

• VBRへのルートの伝播

  この機能を有効にすると、VBRへのVBR接続に関連付けられているトランジットルータールートテーブルのルートが自動的にアドバタイズされます。

リージョン間接続

リージョン間接続を作成するときにデフォルトのルーティング設定 (すべての高度な機能が有効になっている) を使用すると、システムは自動的に次のルーティング設定をリージョン間接続に適用します。

• トランジットルーターのデフォルトルートテーブルに関連付ける

  この機能を有効にすると、リージョン間接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトのルートテーブルを使用して、ネットワークトラフィックをリージョン間で転送します。

• システムルートをトランジットルーターのデフォルトルートテーブルに伝播する

  この機能が有効になった後、リージョン間接続は、接続されたリージョン内のトランジットルーターのデフォルトルートテーブルに関連付けられます。

• ピアリージョンへルートを自動的にアドバタイズする

  この機能を有効にすると、現在のリージョンのトランジットルーターのルートテーブルのルートが、リージョン間通信のためにピアのトランジットルーターのルートテーブルに自動的に通知されます。 トランジットルータのルートテーブルは、リージョン間接続に関連付けられたルートテーブルを参照する。

ルートの表示