複数のプライベートIPsec-VPN接続を作成して負荷分散を実装する - VPN Gateway

このトピックでは、データセンターと仮想プライベートクラウド (VPC) 間に複数のプライベートIPsec-VPN接続を作成する方法について説明します。接続を使用して、データセンターとVPC間のデータ伝送を暗号化し、等価コストマルチパス (ECMP) ルーティングに基づく負荷分散を実装できます。

シナリオ

Best practice for associating IPsec-VPN connections with transit routers-private network-scenarios

このトピックでは、上記のシナリオを例として使用します。企業は上海にデータセンターを所有し、中国 (杭州) リージョンにVPCを作成しました。アプリケーションは、VPCのECS (Elastic Compute Service) インスタンスにデプロイされます。企業は、データセンターとVPCの間にプライベート接続を作成したいと考えています。また、企業は、プライベート接続を暗号化し、その接続を使用してECMPルーティングに基づく負荷分散を実装することを望んでいる。

ネットワーク設計

ネットワーク設定

このトピックでは、次のネットワーク設定を使用します。

データセンターは、2つのExpress Connect回線を介してAlibaba Cloudに接続され、Cloud Enterprise Network (CEN) インスタンスを介してVPCと通信します。 2つのExpress Connect回路は、ネットワークの冗長性とトラフィックを保証します。
データセンターとVPCがExpress Connect回線を介して接続された後、Express Connect回線を介してIPsec-VPN接続を作成できます。各Express Connect回線で2つのIPsec-VPN接続を作成できます。接続は、データセンターとVPC間のデータ伝送を暗号化し、ECMPルーティングに基づいてトラフィックの負荷を分散します。
- IPsec-VPN接続を作成するときは、ゲートウェイタイプをプライベートに設定する必要があります。
- IPsec-VPN接続に関連付けられているリソースは、CENタイプである必要があります。このように、複数のIPsec − VPN接続がECMP接続を形成することができる。
  説明
  IPsec-VPN接続は、Enterprise Editionトランジットルーターにのみ関連付けることができます。
データセンター、仮想ボーダールーター (VBR) 、およびIPsec-VPN接続は、BGPを使用してルートを自動的に学習し、アドバタイズします。これにより、ルート構成が容易になる。 IPsec-VPN接続の1つが失敗すると、トラフィックは別のIPsec-VPN接続にリダイレクトされます。これにより、サービスの信頼性が確保される。

中国サイト

重要

CIDRブロックを計画するときは、データセンターとVPCのCIDRブロックが重複しないようにしてください。

項目	CIDRブロックとIPアドレス
VPC	プライマリCIDRブロック: 172.16.0.0/16 vSwitch 1 CIDRブロック: 172.16.10.0/24、ゾーンHにデプロイ vSwitch 2 CIDRブロック: 172.16.20.0/24、ゾーンIにデプロイ vSwitch 1にアタッチされたECSインスタンスのIPアドレス: 172.16.10.1
IPsec-VPN接続	BGP設定: IPsec-VPN接続1: Alibaba Cloud側のトンネルのCIDRブロック、BGP IPアドレス、および自律システム番号 (ASN) は、169.254.10.0/30、169.254.10.1、および45104です。 45104はデフォルト値です。 IPsec-VPN接続2: Alibaba Cloud側のトンネルのCIDRブロック、BGP IPアドレス、およびASNは、それぞれ169.254.11.0/30、169.254.11.1、および45104です。 45104はデフォルト値です。 IPsec-VPN接続3: Alibaba Cloud側のトンネルのCIDRブロック、BGP IPアドレス、およびASNは、それぞれ169.254.12.0/30、169.254.12.1、および45104です。 45104はデフォルト値です。 IPsec-VPN接続4: Alibaba Cloud側のトンネルのCIDRブロック、BGP IPアドレス、およびASNは、それぞれ169.254.13.0/30、169.254.13.1、および45104です。 45104はデフォルト値です。
VBR	VBR1設定: VLAN ID: 201 Alibaba Cloud側のIPv4アドレス: 10.0.0.2/30 ユーザー側のIPv4アドレス: 10.0.0.1/30 この例では、ユーザ側のIPv4アドレスは、オンプレミスゲートウェイ装置1のIPv4アドレスである。 ASN: 45104 VBRのASNはデフォルトで45104です。 VBR2設定: VLAN ID: 202 Alibaba Cloud側のIPv4アドレス: 10.0.1.2/30 ユーザー側のIPv4アドレス: 10.0.1.1/30 この例では、ユーザ側のIPv4アドレスは、オンプレミスゲートウェイ装置2のIPv4アドレスである。 ASN: 45104 VBRのASNはデフォルトで45104です。
オンプレミスゲートウェイデバイスOn-premises gateway devices	オンプレミスゲートウェイデバイスのVPN IPアドレス: オンプレミスゲートウェイデバイス1 VPN IPアドレス1: 192.168.0.1 VPN IPアドレス2: 192.168.1.1 オンプレミスGatewayデバイス2 VPN IPアドレス1: 192.168.1.2 VPN IPアドレス2: 192.168.2.2
オンプレミスゲートウェイデバイスOn-premises gateway devices	プレミスゲートウェイデバイスのBGP設定: オンプレミスゲートウェイデバイス1: データセンター側のトンネルCIDRブロック1、BGP IPアドレス、およびASNは、それぞれ169.254.10.0/30、169.254.10.2、および65530です。データセンター側のトンネルCIDRブロック2、BGP IPアドレス、およびASNは、それぞれ169.254.11.0/30、169.254.11.2、および65530です。オンプレミスGatewayデバイス2: データセンター側のトンネルCIDRブロック1、BGP IPアドレス、およびASNは、それぞれ169.254.12.0/30、169.254.12.2、および65530です。データセンター側のトンネルCIDRブロック2、BGP IPアドレス、およびASNは、それぞれ169.254.13.0/30、169.254.13.2、および65530です。
データセンター	VPCに接続するCIDRブロック: 192.168.0.0/24 192.168.1.0/24 192.168.2.0/24

準備

開始する前に、次の前提条件が満たされていることを確認してください。

VPCが中国 (杭州) リージョンに作成されます。アプリケーションはVPCのECSインスタンスにデプロイされます。詳細については、「」をご参照ください。IPv4 CIDRブロックを持つVPCの作成.
CEN インスタンスが作成されていること。 Enterprise Editionトランジットルーターは、中国 (杭州) および中国 (上海) リージョンに作成されます。詳細については、「CENインスタンスの作成」および「トランジットルーターの作成」をご参照ください。
重要
トランジットルーターを作成するときは、トランジットルーターのCIDRブロックを設定する必要があります。それ以外の場合、IPsec接続をトランジットルーターに関連付けることはできません。
トランジットルーターを作成した場合は、トランジットルーターのCIDRブロックを設定できます。詳細については、「トランジットルーターCIDRブロック」をご参照ください。
VPC内のECSインスタンスのセキュリティグループルールを理解しています。ルールにより、ECSインスタンスがデータセンターと通信できるようにします。詳細については、「」をご参照ください。セキュリティグループルールの表示とセキュリティグループルールの追加.

手順

Best practice for associating IPsec-VPN connections with transit routers-Private-procedure

ステップ1: Express Connect回路の展開

データセンターをAlibaba Cloudに接続するには、Express Connect回路をデプロイする必要があります。

Express Connect回路で専用接続を作成します。
この例では、Express Connect回線を介した2つの専用接続が中国 (上海) リージョンで作成されています。 Express Connect回路は、Express Connect Circuit 1およびExpress Connect Circuit 2と名付けられています。詳細については、「Express Connect回線を介した専用接続の作成と管理」をご参照ください。
Express Connect Circuit 2を申請する場合、アクセスポイントに基づいて冗長なExpress Connect回路を指定する必要がある場合があります。
- 2つのExpress connect回線を同じアクセスポイントに接続する場合は、冗長物理接続IDをExpress Connect回線1のIDに設定します。このように、2つのExpress Connect回路は異なるアクセスデバイスに接続されます。
- 2つのExpress Connect回路が異なるアクセスポイントに接続されている場合、冗長なExpress Connect回路を指定する必要はありません。この場合、冗長物理接続IDを指定する必要はありません。
  この例では、Express Connect回路は異なるアクセスポイントに接続されています。

VBRを作成します。

Express Connectコンソール.
左側のナビゲーションウィンドウで、仮想ボーダールーター (VBR).
上部のナビゲーションバーで、VBRを作成するリージョンを選択します。
この例では、中国 (上海) が選択されています。
仮想ボーダールーター (VBR)ページをクリックします。VBRの作成.

VBR の作成 パネルで、次のパラメーターを設定し、OK をクリックします。

次の情報に基づいて2つのVBRを作成します。 VBRを異なるExpress Connect回路に関連付けます。次の表に、主要なパラメーターのみを示します。その他のパラメータにはデフォルト値が使用されます。詳細については、「VBRの作成と管理」をご参照ください。

パラメーター	説明	VBR1	VBR2
現在のアカウント	現在のAlibaba Cloudアカウントまたは別のAlibaba CloudアカウントのVBRを作成するかどうかを指定します。	この例では、[現在のアカウント] が選択されています。
名前	VBRの名前を入力します。	この例では、`VBR1`が使用される。	この例では、`VBR2`が使用される。
物理接続インターフェイス	VBRに関連付けるExpress Connect回路を選択します。	この例では、Dedicated Physical Connectionが選択され、ステップ 1で作成されたExpress Connect回線1が選択されています。	この例では、Dedicated Physical Connectionが選択され、ステップ 1で作成されたExpress Connect回線2が選択されています。
VLAN ID	VBRのVLAN IDを入力します。説明 VBRのVLAN IDが、オンプレミスゲートウェイデバイスがExpress connect回路に接続するために使用するインターフェイスのVLAN IDと同じであることを確認します。	この例では、`201`が使用されます。	この例では、`202`が使用されます。
VBR 帯域幅値の設定	VBRの最大帯域幅値を指定します。	ビジネス要件に基づいて最大帯域幅値を選択します。
IPv4アドレス (Alibaba Cloud Gateway)	VBRのIPv4アドレスを指定して、VPCからデータセンターにネットワークトラフィックをルーティングします。	この例では、`10.0.0.2`が使用されます。	この例では、`10.0.1.2`が使用されます。
IPv4アドレス (データセンターゲートウェイ)	データセンターのゲートウェイデバイスのIPv4アドレスを指定して、データセンターからVPCにネットワークトラフィックをルーティングします。	この例では、`10.0.0.1`が使用されます。	この例では、`10.0.1.1`が使用されます。
サブネットマスク (IPv4アドレス)	指定したIPv4アドレスのサブネットマスクを入力します。	この例では、`255.255.255.252`が使用されます。	この例では、`255.255.255.252`が使用されます。

VBRごとにBGPグループを設定します。

[仮想ボーダールーター (VBR)] ページで、管理するVBRのIDをクリックします。
詳細ページで、[BGPグループ] タブをクリックします。

[BGPグループ] タブで、[BGPグループの作成] をクリックし、次のパラメーターを設定して、[OK] をクリックします。

次の情報に基づいてBGPグループを設定します。次の表に、主要なパラメーターのみを示します。その他のパラメータにはデフォルト値が使用されます。詳細については、「BGPグループの作成」をご参照ください。

パラメーター	説明	VBR1	VBR2
名前	BGPグループの名前を入力します。	この例では、`VBR1 − BGP`が使用される。	この例では、`VBR2 − BGP`が使用される。
ピアASN	オンプレミスゲートウェイデバイスのASNを入力します。	この例では、`65530`が使用されます。これは、オンプレミスゲートウェイ装置1のASNである。	この例では、`65530`が使用されます。これは、オンプレミスゲートウェイ装置2のASNである。

VBRごとにBGPピアを設定します。

VBRの詳細ページで、[BGPピア] タブをクリックします。
[BGPピア] タブで、[BGPピアの作成] をクリックします。

[BGPピアの作成] パネルで、次のパラメーターを設定し、[OK] をクリックします。

次の情報に基づいてBGPピアを設定します。次の表に、主要なパラメーターのみを示します。その他のパラメータにはデフォルト値が使用されます。詳細については、「BGPピアの作成」をご参照ください。

パラメーター	説明	VBR1	VBR2
BGPグループ	BGP ピアを追加する BGP グループを選択します。	この例では、`VBR1 − BGP`が選択される。	この例では、`VBR2-BGP`が選択されています。
BGPピアIPアドレス	BGP ピアの IP アドレスを入力します。	この例では、IPアドレス`10.0.0.1`が入力されます。これは、オンプレミスゲートウェイデバイス1がExpress connect Circuit 1に接続するために使用するインターフェイスのIPアドレスです。	この例では、IPアドレス`10.0.1.1`が入力されます。これは、オンプレミスゲートウェイデバイス2がExpress connect Circuit 2に接続するために使用するインターフェイスのIPアドレスです。

オンプレミスゲートウェイデバイスのBGPルーティングを設定します。

オンプレミスゲートウェイデバイスのBGPルーティングを構成した後、オンプレミスゲートウェイデバイスとVBRはピアリング接続を確立し、自動的にルートを学習してアドバタイズします。次の構成は参照のためだけに使用されます。コマンドは、ネットワークデバイスベンダーに基づいて変化し得る。ベンダーに連絡して、特定のコマンドに関する情報を入手してください。

# Configure On-premises Gateway Device 1.
router bgp 65530                         //Enable BGP and configure the ASN of the data center. In this example, 65530 is used. 
bgp router-id 10.0.0.1                   //Enter the ID of the BGP router. In this example, 10.0.0.1 is used. 
bgp log-neighbor-changes
neighbor 10.0.0.2 remote-as 45104        //Establish a peering connection to VBR1. 
!
address-family ipv4
network 192.168.0.0 mask 255.255.255.0     //Advertise the CIDR block of the data center. 
network 192.168.1.0 mask 255.255.255.0
network 192.168.2.0 mask 255.255.255.0 
neighbor 10.0.0.2 activate               //Activate the BGP peer. 
exit-address-family
!
# Configure On-premises Gateway Device 2.
router bgp 65530                         //Enable BGP and configure the ASN of the data center. In this example, 65530 is used. 
bgp router-id 10.0.1.1                   //Enter the ID of the BGP router. In this example, 10.0.1.1 is used. 
bgp log-neighbor-changes
neighbor 10.0.1.2 remote-as 45104        //Establish a peering connection to VBR2. 
!
address-family ipv4
network 192.168.0.0 mask 255.255.255.0     //Advertise the CIDR block of the data center. 
network 192.168.1.0 mask 255.255.255.0
network 192.168.2.0 mask 255.255.255.0 
neighbor 10.0.1.2 activate               //Activate the BGP peer. 
exit-address-family
!

手順2: CENインスタンスの設定

Express Connect回路をデプロイすると、データセンターはExpress Connect回路を介してAlibaba Cloudに接続されます。ただし、データセンターとVPCは相互に通信できません。データセンターとVPC間の通信を有効にするには、VBRとVPCをCENインスタンスに接続する必要があります。

VPC接続を作成します。

CENコンソールにログインします。
[インスタンス] ページで、作成したCENインスタンスを見つけ、そのIDをクリックします。
[基本情報] > [トランジットルーター] タブで、管理するトランジットルーターを見つけ、[操作] 列の [接続の作成] をクリックします。

[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。

パラメーター	説明	VPC接続
[インスタンスタイプ]	ネットワークインスタンスのタイプを指定します。	この例では、VPCが選択されています。
リージョン	ネットワークインスタンスのリージョンを選択します。	この例では、中国 (杭州) が選択されています。
トランジットルーター	現在のリージョンのトランジットルーターが自動的に表示されます。
リソース所有者ID	ネットワークインスタンスが現在のAlibaba Cloudアカウントに属するかどうかを指定します。	この例では、[アカウント] が選択されています。
課金方法	VPC接続の課金方法を選択します。デフォルト値: 従量課金トランジットルーターの課金ルールの詳細については、「課金ルール」をご参照ください。
添付ファイル名	VPC接続の名前を入力します。	この例では、`VPCテスト`が使用されています。
ネットワークインスタンス	ネットワークインスタンスを選択します。	この例では、準備セクションで作成されたVPCが選択されています。
vSwitch	トランジットルーターのゾーンにデプロイされているvSwitchを選択します。トランジットルーター (TR) が現在のリージョンで1つのゾーンのみをサポートしている場合、ゾーンでvSwitchを選択する必要があります。 TRが現在のリージョンで複数のゾーンをサポートしている場合は、異なるゾーンにあるvSwitchを少なくとも2つ選択する必要があります。 VPCとTRが通信するとき、vSwitchはゾーンディザスタリカバリを実装するために使用されます。データをより短い距離で送信できるため、ネットワークの待ち時間を短縮し、ネットワークパフォーマンスを向上させるために、各ゾーンでvSwitchを選択することをお勧めします。選択した各vSwitchに少なくとも1つのアイドルIPアドレスがあることを確認します。 VPCにTRがサポートするゾーンにvSwitchがない場合、またはvSwitchにアイドルIPアドレスがない場合は、ゾーンに新しいvSwitchを作成します。詳細については、「vSwitchの作成と管理」をご参照ください。詳細については、「VPC接続の作成」をご参照ください。	この例では、vSwitch 1がゾーンHで選択され、vSwitch 2がゾーンIで選択されています。
詳細設定	高度な機能を有効にするかどうかを指定します。デフォルトでは、すべての高度な機能が有効になります。	この例では、デフォルト設定を使用します。

VBR接続を作成します。

[基本情報] > [トランジットルーター] タブに戻り、管理するトランジットルーターを見つけて、[操作] 列の [接続の作成] をクリックします。

[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。

次の情報に基づいて、VBR1とVBR2のVBR接続を作成します。

パラメーター	説明	VBR1	VBR2
[インスタンスタイプ]	ネットワークインスタンスのタイプを指定します。	この例では、仮想ボーダールーター (VBR) が選択されています。
リージョン	ネットワークインスタンスのリージョンを指定します。	この例では、中国 (上海) が選択されています。
トランジットルーター	現在のリージョンのトランジットルーターが自動的に表示されます。
リソース所有者ID	ネットワークインスタンスが現在のAlibaba Cloudアカウントに属するかどうかを指定します。	この例では、[アカウント] が選択されています。
添付ファイル名	ネットワーク接続の名前を入力します。	この例では、`VBR1-test`が使用されます。	この例では、`VBR2-test`が使用されます。
ネットワークインスタンス	ネットワークインスタンスを選択します。	この例ではVBR1が選択される。	この例では、VBR2が選択される。
詳細設定	高度な機能を有効にするかどうかを指定します。デフォルトでは、すべての高度な機能が有効になります。	この例では、デフォルト設定を使用します。

帯域幅プランを購入します。

VBRに関連付けられたトランジットルーターとVPCに関連付けられたトランジットルーターは、異なるリージョンにデプロイされます。デフォルトでは、このシナリオではVBRはVPCと通信できません。 VBRがリージョン間でVPCと通信できるようにするには、中国 (杭州) リージョンのトランジットルーターと中国 (上海) リージョンのトランジットルーターの間にリージョン間接続を作成する必要があります。

帯域幅プランからリージョン間接続に帯域幅を割り当てることも、リージョン間接続の帯域幅使用量をデータ転送課金で支払うこともできます。この例では、帯域幅プランが使用される。

リージョン間接続を作成する前に、リージョン間通信用の帯域幅を割り当てる帯域幅プランを購入します。

[インスタンス] ページで、管理するCENインスタンスを見つけ、そのIDをクリックします。
CENインスタンスの詳細ページで、[基本情報] > [帯域幅プラン] タブを選択し、[帯域幅プラン (サブスクリプション) の購入] をクリックします。

購入ページで、次のパラメーターを設定し、[今すぐ購入] をクリックして、支払いを完了します。

パラメーター	説明
CEN ID	帯域幅プランを購入するCENインスタンスを選択します。支払いが完了すると、帯域幅プランは自動的にCENインスタンスに関連付けられます。この例では、準備セクションで作成されたCENインスタンスが選択されています。
エリア A	リージョン間通信を有効にするエリアの1つを選択します。中国本土が選択されています。説明帯域幅プランを購入した後、帯域幅プラン用に選択したエリアを変更することはできません。帯域幅プランをサポートするリージョンとエリアの詳細については、「帯域幅プランの操作」をご参照ください。
エリア B	リージョン間通信を有効にする他のエリアを選択します。中国本土が選択されています。
課金方法	帯域幅プランの課金方法を表示します。デフォルトの課金方法は帯域幅課金。帯域幅プランの課金の詳細については、「課金ルール」をご参照ください。
帯域幅	ビジネス要件に基づいて帯域幅の値を選択します。単位は、Mbit/s です。
Bandwidth_package_name	帯域幅プランの名前を入力します。
注文時間	帯域幅プランのサブスクリプション期間を選択します。 [自動更新] を選択すると、システムが帯域幅プランを自動的に更新できるようになります。

リージョン間接続の作成

[インスタンス] ページで、管理するCENインスタンスを見つけ、そのIDをクリックします。
[基本情報] > [帯域幅プラン] タブに移動し、[リージョン接続の設定] をクリックします。

[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。

パラメーター	説明
インスタンスタイプ	この例では、リージョン間接続が選択されています。
リージョン	接続するリージョンを選択します。この例では、中国 (杭州) が選択されています。
トランジットルーター	選択したリージョンのトランジットルーターのIDが自動的に表示されます。
添付ファイル名	リージョン間接続の名前を入力します。この例では、`Cross-Region-test`が使用されています。
ピアリージョン	接続する他のリージョンを選択します。この例では、中国 (上海) が選択されています。
トランジットルーター	選択したリージョンのトランジットルーターのIDが自動的に表示されます。
帯域幅割り当てモード	次のモードがサポートされています。帯域幅プランからの割り当て: 帯域幅リソースは、購入した帯域幅プランから割り当てられます。ペイバイデータ転送: リージョン間接続を介したデータ転送に対して課金されます。この例では、[帯域幅プランからの割り当て] が選択されています。
帯域幅プラン	CENインスタンスに関連付けられている帯域幅プランを選択します。
帯域幅	リージョン間接続の帯域幅の値を指定します。単位は、Mbit/s です。
詳細設定	デフォルトでは、すべての高度な機能が有効になります。この例では、デフォルト設定が使用されています。

ステップ3: IPsec-VPN接続の作成

上記の手順を完了すると、データセンターはプライベート接続を介してVPCと通信できます。ただし、データセンターとVPC間のデータ送信は暗号化されません。データ送信を暗号化するには、データセンターとAlibaba Cloud間にIPsec-VPN接続を作成する必要があります。

VPN Gatewayコンソール.

カスタマーゲートウェイを作成します。

IPsec-VPN接続を作成する前に、オンプレミスのゲートウェイデバイスに関する情報をAlibaba Cloudに提供するカスタマーゲートウェイを作成する必要があります。

左側のナビゲーションウィンドウで、相互接続 > VPN > カスタマーゲートウェイ.
上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
VPN Gatewayは、クロスボーダーIPsec-VPN接続をサポートしていません。したがって、カスタマーゲートウェイがデプロイされているリージョンを選択するときは、近くのアクセスの原則に従って、データセンターに最も近いリージョンを選択する必要があります。この例では、中国 (上海) が選択されています。
クロスボーダー接続の詳細については、VPNゲートウェイとは.
カスタマーゲートウェイページをクリックします。カスタマーゲートウェイの作成.

カスタマーゲートウェイの作成 パネルで、次のパラメーターを設定し、OK をクリックします。

次の情報に基づいて、中国 (上海) リージョンに4つのカスタマーゲートウェイを作成します。

パラメーター	説明	カスタマーゲートウェイ1	カスタマーゲートウェイ2	カスタマーゲートウェイ3	カスタマーゲートウェイ4
名前	各カスタマーゲートウェイの名前を入力します。	`顧客-Gateway1`	`顧客-ゲートウェイ2`	`顧客-ゲートウェイ3`	`顧客-Gateway4`
IP アドレス	Alibaba Cloudに接続するオンプレミスゲートウェイデバイスのパブリックIPアドレスを入力します。	この例では、`192.168.0.1`、オンプレミスゲートウェイ装置1の第1のVPN IPアドレスが入力される。	この例では、`192.168.1.1`、オンプレミスゲートウェイ装置1の第2のVPN IPアドレスが入力される。	この例では、`192.168.1.2`、オンプレミスゲートウェイ装置2の第1のVPN IPアドレスが入力される。	この例では、`192.168.2.2`、オンプレミスゲートウェイ装置2の第2のVPN IPアドレスが入力される。
ASN	オンプレミスゲートウェイデバイスのBGP ASNを入力します。	この例では`65530`が使用されています。

IPsec-VPN接続を作成します。

カスタマーゲートウェイを作成したら、Alibaba Cloudとデータセンター間にIPsec-VPN接続を作成する必要があります。

左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.
上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。
IPsec-VPN接続とカスタマーゲートウェイは、同じリージョンに作成する必要があります。この例では、中国 (上海) が選択されています。
VPN 接続ページをクリックします。VPN 接続の作成.

VPN 接続の作成 ページで、次のパラメーターを設定し、OK をクリックします。

次の情報に基づいて、中国 (上海) リージョンで4つのIPsec-VPN接続を作成します。 IPsec-VPN接続の使用に対して課金されます。詳細については、次をご参照ください：請求。

パラメーター	説明	IPsec-VPN接続1	IPsec-VPN接続2	IPsec-VPN接続3	IPsec-VPN接続4
名前	各IPsec-VPN接続の名前を入力します。	`IPsec-VPN接続1`	`IPsec-VPN接続2`	`IPsec-VPN接続3`	`IPsec-VPN接続4`
リソースの関連付け	IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。	この例では、CENが選択されています。
ゲートウェイタイプ	IPsec-VPN接続のネットワークタイプを選択します。	この例では、プライベートが選択されています。
CEN インスタンス ID	CENインスタンスを選択します。	この例では、準備セクションで作成されたCENインスタンスが選択されています。
トランジットルーター	IPsec-VPN接続に関連付けるトランジットルーターを選択します。	IPsec-VPN接続が作成されているリージョンのトランジットルーターが自動的に選択されます。
ゾーン	IPsec-VPN接続を作成するゾーンを選択します。 IPsec-VPN接続がトランジットルーターをサポートするゾーンに作成されていることを確認します。	この例では、上海ゾーンFが選択されています。説明このシナリオでは、異なるゾーンにIPsec-VPN接続を展開してディザスタリカバリを実装することを推奨します。		この例では、上海ゾーンGが選択されています。
カスタマーゲートウェイ	IPsec-VPN接続に関連付けるカスタマーゲートウェイを選択します。	Customer-Gateway1	Customer-Gateway2	Customer-Gateway3	Customer-Gateway4
ルーティングモード	ルーティングモードを選択します。	この例では、宛先ルーティングモードが選択されています。
今すぐ有効化有効	IPsec-VPN接続の設定を直ちに適用するかどうかを選択します。有効な値： IPsec-VPN接続を作成するときに [有効な即時] パラメーターをはいに設定すると、設定が完了した直後にネゴシエーションが開始されます。 IPsec-VPN接続を作成するときに [有効な即時] パラメーターをいいえに設定すると、インバウンドトラフィックが検出されたときにネゴシエーションが開始されます。	この例では、はいが選択されています。
事前共有鍵	オンプレミスのゲートウェイデバイスの認証に使用される事前共有キーを入力します。キーの長さは1〜100文字である必要があり、数字、文字、および次の特殊文字を含めることができます。`~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ \| ; : ' , . < > / ?` 事前共有キーを指定しない場合、システムは事前共有キーとしてランダムな16文字の文字列を生成します。 IPsec-VPN接続の作成後、[操作] 列の [編集] をクリックして、IPsec-VPN接続用に生成された事前共有キーを表示できます。詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」の「IPsec-VPN接続の変更」セクションをご参照ください。重要 IPsec-VPN接続とピアゲートウェイデバイスは、同じ事前共有キーを使用する必要があります。そうしないと、システムはIPsec-VPN接続を確立できません。	`fddsFF123 ****`	`fddsFF456 ****`	`fddsFF789 ****`	`fddsFF901 ****`
EncryptionConfiguration	IKE設定とIPsec設定を含む暗号化設定を設定します。	この例では、ikev1が使用され、他のパラメータはデフォルト設定を使用します。詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
BGP 設定	BGPを有効にするかどうかを指定します。デフォルトでは、BGPは無効になっています。	この例では、BGPは有効です。
トンネル CIDR ブロック	IPsecトンネリングに使用されるCIDRブロックを指定します。 CIDRブロックは169.254.0.0/16に収まる必要があります。 CIDRブロックのサブネットマスクの長さは30ビットである必要があります。	`169.254.10.0/30`	`169.254.11.0/30`	`169.254.12.0/30`	`169.254.13.0/30`
ローカル BGP IP アドレス	各IPsec-VPN接続のBGP IPアドレスを入力します。このIPアドレスは、IPsecトンネリングのCIDRブロック内にある必要があります。	`169.254.10.1`	`169.254.11.1`	`169.254.12.1`	`169.254.13.1`
ローカル ASN	IPsec-VPN接続のASNを入力します。	`45104`	`45104`	`45104`	`45104`
ヘルスチェック	ヘルスチェック機能を有効にするかどうかを指定します。ヘルスチェック機能はデフォルトで無効になっています。	この例では、ヘルスチェック機能は無効です。

IPsec-VPN接続が作成された後、システムは各IPsec-VPN接続にプライベートゲートウェイIPアドレスを割り当てます。ゲートウェイIPアドレスは、IPsec-VPN接続のAlibaba Cloud側のエンドポイントです。次の図に示すように、詳細ページでIPsec-VPN接続のゲートウェイIPアドレスを確認できます。 View private IP addresses

次の表に、IPsec-VPN接続1、IPsec-VPN接続2、IPsec-VPN接続3、およびIPsec-VPN接続4に割り当てられるゲートウェイIPアドレスを示します。

IPsec-VPN接続	ゲートウェイIPアドレス
IPsec-VPN 接続 1	192.168.168.1
IPsec-VPN接続2	192.168.168.2
IPsec-VPN接続3	192.168.168.3
IPsec-VPN接続4	192.168.168.4

説明

IPsec-VPN接続をトランジットルーターに関連付けた後にのみ、ゲートウェイIPアドレスがIPsec-VPN接続に割り当てられます。 IPsec-VPN接続を作成するときに、[関連付けリソース] を [関連付けしない] または [VPN Gateway] に設定した場合、システムはIPsec-VPN接続にゲートウェイIPアドレスを割り当てません。
プライベートIPsec-VPN接続がトランジットルーターに関連付けられた後、システムはIPsec-VPN接続のゲートウェイIPアドレスをトランジットルーターのルートテーブルに自動的にアドバタイズします。

IPsec-VPN接続のピア設定をダウンロードします。
VPN 接続 ページに移動し、作成したIPsec-VPN接続を見つけて、操作列の [ピア構成の生成] をクリックします。
4つのIPsec-VPN接続のピア設定をオンプレミスのコンピューターにダウンロードして、オンプレミスのゲートウェイデバイスにVPN設定を追加するときに設定を使用できるようにします。

VPN設定とBGP設定をオンプレミスのゲートウェイデバイスに追加します。

IPsec-VPN接続が作成されたら、次の手順を実行して、オンプレミスゲートウェイデバイス1およびオンプレミスゲートウェイデバイス2にダウンロードしたピア設定にVPNおよびBGP設定を追加します。これにより、データセンターはIPsec-VPN接続を介してAlibaba Cloudと通信できます。

次の構成は参照だけのためです。コマンドは、ネットワークデバイスベンダーに基づいて変化し得る。ベンダーに連絡して、特定のコマンドに関する情報を入手してください。

オンプレミスゲートウェイデバイスのCLIを開きます。

次のコマンドを実行して、isakmpポリシーを設定します。

//Add the following configuration to the two on-premises gateway devices:
crypto isakmp policy 1 
authentication pre-share      //Configure the authentication method. In this example, pre-shared keys are used for authentication. 
encryption aes                //Configure the encryption algorithm. In this example, aes is used. 
hash sha                      //Configure the authentication algorithm. In this example, sha is used. 
group  2                      //Configure the DH group. In this example, group2 is used. 
lifetime 86400

次のコマンドを実行して、事前共有キーを設定します。

//Add the following configuration to On-premises Gateway Device 1:
crypto keyring keyring1 
    pre-shared-key address 192.168.168.1 key fddsFF123****
crypto keyring keyring2 
    pre-shared-key address 192.168.168.2 key fddsFF456****

//Add the following configuration to On-premises Gateway Device 2:
crypto keyring keyring1 
    pre-shared-key address 192.168.168.3  key fddsFF789****
crypto keyring keyring2 
    pre-shared-key address 192.168.168.4  key fddsFF901****

次のコマンドを実行して、ikev1プロファイルを設定します。

//Add the following configuration to On-premises Gateway Device 1:
crypto isakmp profile profile1 
    keyring keyring1 
    match identity address 192.168.168.1 255.255.255.255 
crypto isakmp profile profile2 
    keyring keyring2 
    match identity address 192.168.168.2 255.255.255.255
//Add the following configuration to On-premises Gateway Device 2:
crypto isakmp profile profile1 
    keyring keyring1 
    match identity address 192.168.168.3 255.255.255.255  
crypto isakmp profile profile2 
    keyring keyring2 
    match identity address 192.168.168.4 255.255.255.255

次のコマンドを実行してIPsecプロトコルを設定します。

//Add the following configuration to the two on-premises gateway devices:
crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac 
mode tunnel

次のコマンドを実行してIPsecプロファイルを設定します。

//Add the following configuration to the two on-premises gateway devices:
crypto ipsec profile IPSEC_PROFILE1
    set transform-set ipsecpro64
    set isakmp-profile profile1
crypto ipsec profile IPSEC_PROFILE2
    set transform-set ipsecpro64
    set isakmp-profile profile2

次のコマンドを実行してIPsecトンネリングを設定します。

//Add the following configuration to On-premises Gateway Device 1:
interface Tunnel100
ip address 169.254.10.2 255.255.255.252    //Specify the tunnel IP address of IPsec-VPN Connection 1 on On-premises Gateway Device 1. In this example, 169.254.10.2 is used. 
tunnel source GigabitEthernet1
tunnel mode ipsec ipv4
tunnel destination 192.168.168.1            //Specify the private IP address of IPsec-VPN Connection 1 on the Alibaba Cloud side. In this example, 192.168.168.1 is used. 
tunnel protection ipsec profile IPSEC_PROFILE1
no shutdown
exit
!
interface GigabitEthernet1                 //Configure the IP address of the interface that is used to establish IPsec-VPN Connection 1. 
ip address 192.168.0.1 255.255.255.0
negotiation auto
!
interface Tunnel101
ip address 169.254.11.2 255.255.255.252    //Specify the tunnel IP address of IPsec-VPN Connection 2 on On-premises Gateway Device 1. In this example, 169.254.11.2 is used. 
tunnel source GigabitEthernet2
tunnel mode ipsec ipv4
tunnel destination 192.168.168.2            //Specify the private IP address of IPsec-VPN Connection 2 on the Alibaba Cloud side. In this example, 192.168.168.2 is used. 
tunnel protection ipsec profile IPSEC_PROFILE2
no shutdown
exit
!
interface GigabitEthernet2                 //Configure the IP address of the interface that is used to establish IPsec-VPN Connection 2. 
ip address 192.168.1.1 255.255.255.0
negotiation auto
!
//Add the following configuration to On-premises Gateway Device 2:
interface Tunnel100
ip address 169.254.12.2 255.255.255.252    //Specify the tunnel IP address of IPsec-VPN Connection 3 on On-premises Gateway Device 2. In this example, 169.254.12.2 is used. 
tunnel source GigabitEthernet1
tunnel mode ipsec ipv4
tunnel destination 192.168.168.3            //Specify the private IP address of IPsec-VPN Connection 3 on the Alibaba Cloud side. In this example, 192.168.168.3 is used. 
tunnel protection ipsec profile IPSEC_PROFILE1
no shutdown
exit
!
interface GigabitEthernet1                 //Configure the IP address of the interface that is used to establish IPsec-VPN Connection 3. 
ip address 192.168.1.2 255.255.255.0
negotiation auto
!

interface Tunnel101
ip address 169.254.13.2 255.255.255.252    //Specify the tunnel IP address of IPsec-VPN Connection 4 on On-premises Gateway Device 2. In this example, 169.254.13.2 is used. 
tunnel source GigabitEthernet2
tunnel mode ipsec ipv4
tunnel destination 192.168.168.4            //Specify the private IP address of IPsec-VPN Connection 4 on the Alibaba Cloud side. In this example, 192.168.168.4 is used. 
tunnel protection ipsec profile IPSEC_PROFILE2
no shutdown
exit
!
interface GigabitEthernet2                 //Configure the IP address of the interface that is used to establish IPsec-VPN Connection 4. 
ip address 192.168.2.2 255.255.255.0
negotiation auto
!

次のコマンドを実行してBGPを設定します。

//Add the following configuration to On-premises Gateway Device 1:
router bgp 65530                         
neighbor 169.254.10.1 remote-as 45104    //Configure the ASN of the BGP peer. In this example, the BGP ASN of IPsec-VPN Connection 1 is used, which is 45104. 
neighbor 169.254.10.1 ebgp-multihop 10   //Set the eBGP hop-count to 10.   
neighbor 169.254.11.1 remote-as 45104    //Configure the ASN of the BGP peer. In this example, the BGP ASN of IPsec-VPN Connection 2 is used, which is 45104. 
neighbor 169.254.11.1 ebgp-multihop 10   //Set the eBGP hop-count to 10. 
!
address-family ipv4 
neighbor 169.254.10.1 activate           //Activate the BGP peers. 
neighbor 169.254.11.1 activate 
exit-address-family
!
//Add the following configuration to On-premises Gateway Device 2:
router bgp 65530                         
neighbor 169.254.12.1 remote-as 45104    //Configure the ASN of the BGP peer. In this example, the BGP ASN of IPsec-VPN Connection 3 is used, which is 45104. 
neighbor 169.254.12.1 ebgp-multihop 10   //Set the eBGP hop-count to 10.  
neighbor 169.254.13.1 remote-as 45104    //Configure the ASN of the BGP peer. In this example, the BGP ASN of IPsec-VPN Connection 4 is used, which is 45104. 
neighbor 169.254.13.1 ebgp-multihop 10   //Set the eBGP hop-count to 10.  
!
address-family ipv4 
neighbor 169.254.12.1 activate           //Activate the BGP peers. 
neighbor 169.254.13.1 activate
exit-address-family
!

手順4: ルートとルーティングポリシーの設定

上記の設定を完了した後、IPsec-VPN接続が期待どおりに機能するように、Alibaba Cloudにルートとルーティングポリシーを追加する必要があります。また、データセンターとAlibaba Cloud間のトラフィックを暗号化されたトンネルにルーティングする必要があります。

カスタムルートをVBRに追加します。

データセンター宛てのトラフィックをExpress Connect回線にルーティングします。

Express Connectコンソール.
左側のナビゲーションウィンドウで、仮想ボーダールーター (VBR).
上部のナビゲーションバーで、VBRがデプロイされているリージョンを選択します。
この例では、中国 (上海) が選択されています。
仮想ボーダールーター (VBR)ページで、管理するVBRのIDをクリックします。
ルートタブをクリックし、ルートを追加.

[ルートの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。

ルート1とルート2をVBR1に追加する。ルート3とルート4をVBR2に追加する。

パラメーター	説明	ルート1	ルート2	ルート3	ルート4
ネクストホップタイプ	[物理接続インターフェイス] を選択します。
宛先CIDRブロック	オンプレミスゲートウェイデバイスのVPN IPアドレスを入力します。	オンプレミスゲートウェイデバイス1のVPN IPアドレス1: `192.168.0.1/32`	オンプレミスゲートウェイデバイス1のVPN IPアドレス2: `192.168.1.1/32`	オンプレミスゲートウェイデバイス2のVPN IPアドレス1: `192.168.1.2/32`	オンプレミスゲートウェイデバイス2のVPN IPアドレス1: `192.168.2.2/32`
次ホップ	Express Connect回路を選択します。	Express Connect Circuit 1を選択します。	Express Connect Circuit 1を選択します。	Express Connect Circuit 2を選択します。	Express Connect Circuit 2を選択します。

CENインスタンスにルーティングポリシーを追加します。

CENコンソール.
[インスタンス] ページで、CENインスタンスのIDをクリックします。
[基本情報] > [トランジットルーター] を選択し、中国 (上海) のトランジットルーターを見つけて、トランジットルーターのIDをクリックします。
トランジットルーターの詳細ページで、[ルートテーブル] タブをクリックし、[ルートマップ] をクリックします。

[ルートマップ] タブで、[ルートマップの追加] をクリックします。 [ルートマップの追加] ページで、次のパラメーターを設定し、[OK] をクリックします。

次の表の情報に基づいて、4つのルーティングポリシーをCENに追加します。次のセクションでは、4つのルーティングポリシーについて説明します。

ルーティングポリシー1: データセンターは、VBRおよびIPsec-VPN接続を介してVPCからCIDRブロックを学習します。 VPC宛てのトラフィックがIPsec-VPN接続にルーティングされるようにするには、ルーティングポリシー1を作成して、VBRによってアドバタイズされるCIDRブロックの優先度がIPsec-VPN接続によってアドバタイズされるCIDRブロックの優先度よりも低くなるようにする必要があります。
ルーティングポリシー2: CENインスタンスがVBRとIPsec-VPN接続を介して同じCIDRブロックを学習した場合、VBRによってアドバタイズされたCIDRブロックの優先度が高くなります。 VBRによってアドバタイズされたデータセンタールートを拒否するには、ルーティングポリシー2を作成する必要があります。これにより、データセンター宛てのトラフィックがIPsec-VPN接続に確実にルーティングされます。
ルーティングポリシー3とルーティングポリシー4: VBR接続を作成すると、CENは送信方向に適用されるルーティングポリシーをトランジットルーターのルートテーブルに追加します。ルーティングポリシーの優先度は5000で、ポリシーアクションはDenyです。ルーティングポリシーにより、同じトランジットルーターに接続されているVBR、Cloud Connect Network (CCN) インスタンス、およびIPsec-VPN接続が相互に通信できなくなります。
ルーティングポリシー3とルーティングポリシー4を追加して、CENがIPsec-VPN接続のゲートウェイIPアドレスを通知できるようにする必要があります。

次の表に、主要なパラメーターのみを示します。その他のパラメーターの詳細については、「ルーティングポリシーの概要」をご参照ください。

パラメーター	説明	ルーティングポリシー1	ルーティングポリシー2	ルーティングポリシー3	ルーティングポリシー4
ルーティングポリシー優先度	ルーティングポリシーの優先度の値を入力します。	この例では、`5`が使用されます。	この例では、`10`が使用されます。	この例では、`15`が使用されます。	この例では、`20`が使用されます。
リージョン	ルーティングポリシーを適用するリージョンを選択します。	この例では、中国 (上海) が選択されています。
関連ルートテーブル	ルーティングポリシーに関連付けるルートテーブルを選択します。	この例では、現在のトランジットルーターのデフォルトルートテーブルが選択されています。
方向	ルーティングポリシーを適用する方向を選択します。	この例では、[Egress Regional Gateway] が選択されています。	この例では、Ingress Regional Gatewayが選択されています。	この例では、[Egress Regional Gateway] が選択されています。	この例では、[Egress Regional Gateway] が選択されています。
マッチ条件	ルーティングポリシーの一致条件を設定します。	次の一致条件を設定します。ソースインスタンスID: VPCのIDを入力します。宛先インスタンスID: VBR1とVBR2のIDを入力します。ルートプレフィックス: `172.16.10.0/24`および`172.16.20.0/24`と入力し、[完全一致] を選択します。	次の一致条件を設定します。ソースインスタンスID: VBR1とVBR2のIDを入力します。ルートプレフィックス: `192.168.0.0/24`、`192.168.10.0/24`、`192.168.20.0/24`と入力し、[完全一致] を選択します。	次の一致条件を設定します。宛先インスタンスID: VBR1のIDを入力します。ルートプレフィックス: `192.168.168.1/32`と`192.168.168.2/32`を入力し、[完全一致] を選択します。	次の一致条件を設定します。宛先インスタンスID: VBR2のIDを入力します。ルートプレフィックス: `192.168.168.3/32`と`192.168.168.4/32`を入力し、[完全一致] を選択します。
ルーティングポリシーアクション	ルーティングポリシーのアクションを選択します。	この例では、[許可] が選択されています。	この例では、[拒否] が選択されています。	この例では、[許可] が選択されています。	この例では、[許可] が選択されています。
ポリシーエントリの追加	許可されているルートの優先度を指定します。	この例では、Prepend AS Pathが選択され、`65525`、`65526`、`65527`が入力されます。これにより、VBRがデータセンターにアドバタイズするVPC CIDRブロックの優先度が低下します。	非該当	非該当	非該当

手順 5：ネットワーク接続のテスト

ルートを設定すると、データセンターはプライベート接続と暗号化接続を介してVPCと通信できます。データセンターとVPC間のトラフィックは、4つのIPsec-VPN接続を使用して、ECMPルーティングに基づいて負荷分散されます。このセクションでは、ネットワーク接続をテストする方法と、トラフィックの負荷分散に4つのIPsec-VPN接続が使用されているかどうかを確認する方法について説明します。

ネットワーク接続をテストします。
1. VPCのECSインスタンスにログインします。詳細については、「ECSインスタンス接続のガイドライン」をご参照ください。
2. ECSインスタンスでpingコマンドを実行し、データセンターのクライアントにアクセスします。
```
ping <IP address of the client in the data center>
```
  ECSインスタンスがエコー応答メッセージを受信した場合、データセンターはVPCと通信できます。
トラフィックが負荷分散されているかどうかを確認します。
データセンターの複数のクライアントからECSインスタンスにリクエストを送信するか、iPerf3を使用してECSインスタンスにリクエストを送信します。 IPsec-VPN接続1、IPsec-VPN接続2、IPsec-VPN接続3、およびIPsec-VPN接続4の詳細ページでトラフィックモニタリングデータを表示できる場合、データセンターとVPC間のトラフィックは4つのIPsec-VPN接続を介して負荷分散されます。 iPerf3のインストール方法と使用方法の詳細については、「Express Connect回路のパフォーマンスのテスト」をご参照ください。
1. VPN Gatewayコンソールにログインします。
2. 上部のナビゲーションバーで、IPsec-VPN接続が作成されているリージョンを選択します。
3. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > IPsec 接続 を選択します。
4. IPsec 接続 ページで、管理するIPsec-VPN接続のIDをクリックします。
  IPsec-VPN接続の詳細ページに移動し、モニター タブでデータ転送のモニタリングデータを表示します。

ルーティング設定

このトピックでは、デフォルトのルーティング設定を使用して、IPsec-VPN接続、VPC接続、VBR接続、およびリージョン間接続を作成します。デフォルトのルーティング設定を使用すると、CENは自動的にルートを学習して配布し、データセンターがVPCと通信できるようにします。次のセクションでは、デフォルトのルーティング設定について説明します。

IPsec-VPN接続

IPsec-VPN接続を作成するときにIPsec-VPN接続をトランジットルーターに関連付けると、システムは自動的に次のルーティング設定をIPsec-VPN接続に適用します。

IPsec-VPN接続は、トランジットルーターのデフォルトルートテーブルに関連付けられています。トランジットルーターは、デフォルトのルートテーブルに基づいてIPsec-VPN接続からトラフィックを転送します。
IPsec-VPN接続用に構成した宛先ベースのルートと、BGP動的ルーティングを使用してIPsec-VPN接続を介してデータセンターから学習したルートは、トランジットルーターの既定のルートテーブルに自動的に反映されます。
トランジットルーターは、デフォルトのルートテーブル内のルートをIPsec-VPN接続に関連付けられたBGPルートテーブルに自動的に伝播します。
BGP動的ルーティングを使用してIPsec-VPN接続を介してVPCから学習されたルートは、自動的にデータセンターに伝播されます。

VPC 接続

VPC接続を作成するときに (すべての高度な機能が有効になっている) デフォルトのルーティング設定を使用すると、システムは自動的に次のルーティング設定をVPCに適用します。

トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、VPC接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。トランジットルーターは、デフォルトルートテーブルに基づいてVPCのトラフィックを転送します。
トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播
この機能を有効にすると、VPCのシステムルートがトランジットルーターのデフォルトルートテーブルにアドバタイズされます。これにより、VPCはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。
トランジットルーターをポイントし、現在のVPCのすべてのルートテーブルに追加するルートを自動的に作成します
この機能を有効にすると、VPCのすべてのルートテーブルに10.0.0.0/8、172.16.0.0/12、192.168.0.0/16の3つのルートが自動的に追加されます。ルートはVPC接続を指しています。

VBR 接続

VBR接続を作成するときに (すべての高度な機能が有効になっている) デフォルトのルーティング設定を使用すると、システムは自動的に次のルーティング設定をVBRに適用します。

トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、VBR接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。トランジットルーターは、デフォルトのルートテーブルに基づいてVBRのトラフィックを転送します。
トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播
この機能を有効にすると、VBRのシステムルートがトランジットルーターのデフォルトルートテーブルに自動的に通知されます。
VBRへのルートの伝播
この機能を有効にすると、VBRへのVBR接続に関連付けられているルートテーブルのルートが自動的にアドバタイズされます。

リージョン間接続

リージョン間接続を作成するときにデフォルトのルーティング設定 (すべての高度な機能が有効になっている) を使用すると、システムは自動的に次のルーティング設定をリージョン間接続に適用します。

トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、リージョン間接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。トランジットルーターは、デフォルトのルートテーブルを使用して、ネットワークトラフィックをリージョン間で転送します。
システムルートをトランジットルーターのデフォルトルートテーブルに伝播する
この機能が有効になった後、リージョン間接続は、接続されたリージョン内のトランジットルーターのデフォルトルートテーブルに関連付けられます。
ピアリージョンへルートを自動的にアドバタイズする
この機能を有効にすると、現在のリージョンのトランジットルーターのルートテーブルのルートが、リージョン間通信のためにピアのトランジットルーターのルートテーブルに自動的に通知されます。トランジットルータのルートテーブルは、リージョン間接続に関連付けられたルートテーブルを参照する。

ルートを表示

コンソールでルートを確認できます。

トランジットルーターのルートの詳細については、「Enterprise Editionトランジットルーターのルートの表示」をご参照ください。
VPCのルートの詳細については、「ルートテーブルの作成と管理」をご参照ください。
VBRのルートの詳細については、次の手順を実行します。
1. Express Connect コンソールにログインします。
2. 左側のナビゲーションウィンドウで、[仮想ボーダールーター (VBR)] をクリックします。
3. 上部のナビゲーションバーで、VBRがデプロイされているリージョンを選択します。
4. [仮想ボーダールーター (VBR)] ページで、管理するVBRのIDをクリックします。
  VBRの詳細ページで、[ルート] タブのVBRのカスタムルート、BGPルート、およびCENルートを表示します。
IPsec-VPN接続のルートを表示するには、IPsec-VPN接続の詳細ページに移動します。
1. VPN Gatewayコンソールにログインします。
2. 上部のナビゲーションバーで、IPsec-VPN接続が作成されているリージョンを選択します。
3. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > IPsec 接続 を選択します。
4. IPsec 接続 ページで、管理するIPsec-VPN接続のIDをクリックします。
  IPsec-VPN接続の詳細ページに移動し、BGP ルートテーブルタブでルート情報を表示します。