このトピックでは、データセンターと仮想プライベートクラウド (VPC) 間に複数のプライベートIPsec-VPN接続を作成する方法について説明します。 接続を使用して、データセンターとVPC間のデータ伝送を暗号化し、等価コストマルチパス (ECMP) ルーティングに基づく負荷分散を実装できます。
シナリオ
このトピックでは、上記のシナリオを例として使用します。 企業は上海にデータセンターを所有し、中国 (杭州) リージョンにVPCを作成しました。 アプリケーションは、VPCのECS (Elastic Compute Service) インスタンスにデプロイされます。 企業は、データセンターとVPCの間にプライベート接続を作成したいと考えています。 また、企業は、プライベート接続を暗号化し、その接続を使用してECMPルーティングに基づく負荷分散を実装することを望んでいる。
ネットワーク設計
ネットワーク設定
このトピックでは、次のネットワーク設定を使用します。
データセンターは、2つのExpress Connect回線を介してAlibaba Cloudに接続され、Cloud Enterprise Network (CEN) インスタンスを介してVPCと通信します。 2つのExpress Connect回路は、ネットワークの冗長性とトラフィックを保証します。
データセンターとVPCがExpress Connect回線を介して接続された後、Express Connect回線を介してIPsec-VPN接続を作成できます。 各Express Connect回線で2つのIPsec-VPN接続を作成できます。 接続は、データセンターとVPC間のデータ伝送を暗号化し、ECMPルーティングに基づいてトラフィックの負荷を分散します。
IPsec-VPN接続を作成するときは、ゲートウェイタイプをプライベートに設定する必要があります。
IPsec-VPN接続に関連付けられているリソースは、CENタイプである必要があります。 このように、複数のIPsec − VPN接続がECMP接続を形成することができる。
説明IPsec-VPN接続は、Enterprise Editionトランジットルーターにのみ関連付けることができます。
データセンター、仮想ボーダールーター (VBR) 、およびIPsec-VPN接続は、BGPを使用してルートを自動的に学習し、アドバタイズします。 これにより、ルート構成が容易になる。 IPsec-VPN接続の1つが失敗すると、トラフィックは別のIPsec-VPN接続にリダイレクトされます。 これにより、サービスの信頼性が確保される。
中国サイト
CIDRブロックを計画するときは、データセンターとVPCのCIDRブロックが重複しないようにしてください。
項目 | CIDRブロックとIPアドレス |
VPC | プライマリCIDRブロック: 172.16.0.0/16
|
IPsec-VPN接続 | BGP設定:
|
VBR | VBR1設定:
VBR2設定:
|
オンプレミスゲートウェイデバイスOn-premises gateway devices | オンプレミスゲートウェイデバイスのVPN IPアドレス:
|
プレミスゲートウェイデバイスのBGP設定:
| |
データセンター | VPCに接続するCIDRブロック:
|
準備
開始する前に、次の前提条件が満たされていることを確認してください。
VPCが中国 (杭州) リージョンに作成されます。 アプリケーションはVPCのECSインスタンスにデプロイされます。 詳細については、「」をご参照ください。IPv4 CIDRブロックを持つVPCの作成.
CEN インスタンスが作成されていること。 Enterprise Editionトランジットルーターは、中国 (杭州) および中国 (上海) リージョンに作成されます。 詳細については、「CENインスタンスの作成」および「トランジットルーターの作成」をご参照ください。
重要トランジットルーターを作成するときは、トランジットルーターのCIDRブロックを設定する必要があります。 それ以外の場合、IPsec接続をトランジットルーターに関連付けることはできません。
トランジットルーターを作成した場合は、トランジットルーターのCIDRブロックを設定できます。 詳細については、「トランジットルーターCIDRブロック」をご参照ください。
VPC内のECSインスタンスのセキュリティグループルールを理解しています。 ルールにより、ECSインスタンスがデータセンターと通信できるようにします。 詳細については、「」をご参照ください。セキュリティグループルールの表示とセキュリティグループルールの追加.
手順
ステップ1: Express Connect回路の展開
データセンターをAlibaba Cloudに接続するには、Express Connect回路をデプロイする必要があります。
Express Connect回路で専用接続を作成します。
この例では、Express Connect回線を介した2つの専用接続が中国 (上海) リージョンで作成されています。 Express Connect回路は、Express Connect Circuit 1およびExpress Connect Circuit 2と名付けられています。 詳細については、「Express Connect回線を介した専用接続の作成と管理」をご参照ください。
Express Connect Circuit 2を申請する場合、アクセスポイントに基づいて冗長なExpress Connect回路を指定する必要がある場合があります。
2つのExpress connect回線を同じアクセスポイントに接続する場合は、冗長物理接続IDをExpress Connect回線1のIDに設定します。 このように、2つのExpress Connect回路は異なるアクセスデバイスに接続されます。
2つのExpress Connect回路が異なるアクセスポイントに接続されている場合、冗長なExpress Connect回路を指定する必要はありません。 この場合、冗長物理接続IDを指定する必要はありません。
この例では、Express Connect回路は異なるアクセスポイントに接続されています。
VBRを作成します。
左側のナビゲーションウィンドウで、仮想ボーダールーター (VBR).
上部のナビゲーションバーで、VBRを作成するリージョンを選択します。
この例では、中国 (上海) が選択されています。
仮想ボーダールーター (VBR)ページをクリックします。VBRの作成.
VBR の作成 パネルで、次のパラメーターを設定し、OK をクリックします。
次の情報に基づいて2つのVBRを作成します。 VBRを異なるExpress Connect回路に関連付けます。 次の表に、主要なパラメーターのみを示します。 その他のパラメータにはデフォルト値が使用されます。 詳細については、「VBRの作成と管理」をご参照ください。
パラメーター
説明
VBR1
VBR2
現在のアカウント
現在のAlibaba Cloudアカウントまたは別のAlibaba CloudアカウントのVBRを作成するかどうかを指定します。
この例では、[現在のアカウント] が選択されています。
名前
VBRの名前を入力します。
この例では、VBR1が使用される。
この例では、VBR2が使用される。
物理接続インターフェイス
VBRに関連付けるExpress Connect回路を選択します。
この例では、Dedicated Physical Connectionが選択され、ステップ1で作成されたExpress Connect回線1が選択されています。
この例では、Dedicated Physical Connectionが選択され、ステップ1で作成されたExpress Connect回線2が選択されています。
VLAN ID
VBRのVLAN IDを入力します。
説明VBRのVLAN IDが、オンプレミスゲートウェイデバイスがExpress connect回路に接続するために使用するインターフェイスのVLAN IDと同じであることを確認します。
この例では、201が使用されます。
この例では、202が使用されます。
VBR 帯域幅値の設定
VBRの最大帯域幅値を指定します。
ビジネス要件に基づいて最大帯域幅値を選択します。
IPv4アドレス (Alibaba Cloud Gateway)
VBRのIPv4アドレスを指定して、VPCからデータセンターにネットワークトラフィックをルーティングします。
この例では、10.0.0.2が使用されます。
この例では、10.0.1.2が使用されます。
IPv4アドレス (データセンターゲートウェイ)
データセンターのゲートウェイデバイスのIPv4アドレスを指定して、データセンターからVPCにネットワークトラフィックをルーティングします。
この例では、10.0.0.1が使用されます。
この例では、10.0.1.1が使用されます。
サブネットマスク (IPv4アドレス)
指定したIPv4アドレスのサブネットマスクを入力します。
この例では、255.255.255.252が使用されます。
この例では、255.255.255.252が使用されます。
VBRごとにBGPグループを設定します。
[仮想ボーダールーター (VBR)] ページで、管理するVBRのIDをクリックします。
詳細ページで、[BGPグループ] タブをクリックします。
[BGPグループ] タブで、[BGPグループの作成] をクリックし、次のパラメーターを設定して、[OK] をクリックします。
次の情報に基づいてBGPグループを設定します。 次の表に、主要なパラメーターのみを示します。 その他のパラメータにはデフォルト値が使用されます。 詳細については、「BGPグループの作成」をご参照ください。
パラメーター
説明
VBR1
VBR2
名前
BGPグループの名前を入力します。
この例では、VBR1 − BGPが使用される。
この例では、VBR2 − BGPが使用される。
ピアASN
オンプレミスゲートウェイデバイスのASNを入力します。
この例では、65530が使用されます。 これは、オンプレミスゲートウェイ装置1のASNである。
この例では、65530が使用されます。 これは、オンプレミスゲートウェイ装置2のASNである。
VBRごとにBGPピアを設定します。
VBRの詳細ページで、[BGPピア] タブをクリックします。
[BGPピア] タブで、[BGPピアの作成] をクリックします。
[BGPピアの作成] パネルで、次のパラメーターを設定し、[OK] をクリックします。
次の情報に基づいてBGPピアを設定します。 次の表に、主要なパラメーターのみを示します。 その他のパラメータにはデフォルト値が使用されます。 詳細については、「BGPピアの作成」をご参照ください。
パラメーター
説明
VBR1
VBR2
BGPグループ
BGP ピアを追加する BGP グループを選択します。
この例では、VBR1 − BGPが選択される。
この例では、VBR2-BGPが選択されています。
BGPピアIPアドレス
BGP ピアの IP アドレスを入力します。
この例では、IPアドレス10.0.0.1が入力されます。 これは、オンプレミスゲートウェイデバイス1がExpress connect Circuit 1に接続するために使用するインターフェイスのIPアドレスです。
この例では、IPアドレス10.0.1.1が入力されます。 これは、オンプレミスゲートウェイデバイス2がExpress connect Circuit 2に接続するために使用するインターフェイスのIPアドレスです。
オンプレミスゲートウェイデバイスのBGPルーティングを設定します。
オンプレミスゲートウェイデバイスのBGPルーティングを構成した後、オンプレミスゲートウェイデバイスとVBRはピアリング接続を確立し、自動的にルートを学習してアドバタイズします。 次の構成は参照のためだけに使用されます。 コマンドは、ネットワークデバイスベンダーに基づいて変化し得る。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。
# Configure On-premises Gateway Device 1. router bgp 65530 //Enable BGP and configure the ASN of the data center. In this example, 65530 is used. bgp router-id 10.0.0.1 //Enter the ID of the BGP router. In this example, 10.0.0.1 is used. bgp log-neighbor-changes neighbor 10.0.0.2 remote-as 45104 //Establish a peering connection to VBR1. ! address-family ipv4 network 192.168.0.0 mask 255.255.255.0 //Advertise the CIDR block of the data center. network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 neighbor 10.0.0.2 activate //Activate the BGP peer. exit-address-family ! # Configure On-premises Gateway Device 2. router bgp 65530 //Enable BGP and configure the ASN of the data center. In this example, 65530 is used. bgp router-id 10.0.1.1 //Enter the ID of the BGP router. In this example, 10.0.1.1 is used. bgp log-neighbor-changes neighbor 10.0.1.2 remote-as 45104 //Establish a peering connection to VBR2. ! address-family ipv4 network 192.168.0.0 mask 255.255.255.0 //Advertise the CIDR block of the data center. network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 neighbor 10.0.1.2 activate //Activate the BGP peer. exit-address-family !
手順2: CENインスタンスの設定
Express Connect回路をデプロイすると、データセンターはExpress Connect回路を介してAlibaba Cloudに接続されます。 ただし、データセンターとVPCは相互に通信できません。 データセンターとVPC間の通信を有効にするには、VBRとVPCをCENインスタンスに接続する必要があります。
VPC接続を作成します。
CENコンソールにログインします。
[インスタンス] ページで、作成したCENインスタンスを見つけ、そのIDをクリックします。
タブで、管理するトランジットルーターを見つけ、[操作] 列の [接続の作成] をクリックします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
VPC接続
[インスタンスタイプ]
ネットワークインスタンスのタイプを指定します。
この例では、VPCが選択されています。
リージョン
ネットワークインスタンスのリージョンを選択します。
この例では、中国 (杭州) が選択されています。
トランジットルーター
現在のリージョンのトランジットルーターが自動的に表示されます。
リソース所有者ID
ネットワークインスタンスが現在のAlibaba Cloudアカウントに属するかどうかを指定します。
この例では、[アカウント] が選択されています。
課金方法
VPC接続の課金方法を選択します。 デフォルト値: 従量課金 トランジットルーターの課金ルールの詳細については、「課金ルール」をご参照ください。
添付ファイル名
VPC接続の名前を入力します。
この例では、VPCテストが使用されています。
ネットワークインスタンス
ネットワークインスタンスを選択します。
この例では、準備セクションで作成されたVPCが選択されています。
vSwitch
トランジットルーターのゾーンにデプロイされているvSwitchを選択します。
トランジットルーター (TR) が現在のリージョンで1つのゾーンのみをサポートしている場合、ゾーンでvSwitchを選択する必要があります。
TRが現在のリージョンで複数のゾーンをサポートしている場合は、異なるゾーンにあるvSwitchを少なくとも2つ選択する必要があります。 VPCとTRが通信するとき、vSwitchはゾーンディザスタリカバリを実装するために使用されます。
データをより短い距離で送信できるため、ネットワークの待ち時間を短縮し、ネットワークパフォーマンスを向上させるために、各ゾーンでvSwitchを選択することをお勧めします。
選択した各vSwitchに少なくとも1つのアイドルIPアドレスがあることを確認します。 VPCにTRがサポートするゾーンにvSwitchがない場合、またはvSwitchにアイドルIPアドレスがない場合は、ゾーンに新しいvSwitchを作成します。 詳細については、「vSwitchの作成と管理」をご参照ください。
詳細については、「VPC接続の作成」をご参照ください。
この例では、vSwitch 1がゾーンHで選択され、vSwitch 2がゾーンIで選択されています。
詳細設定
高度な機能を有効にするかどうかを指定します。 デフォルトでは、すべての高度な機能が有効になります。
この例では、デフォルト設定を使用します。
VBR接続を作成します。
タブに戻り、管理するトランジットルーターを見つけて、[操作] 列の [接続の作成] をクリックします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
次の情報に基づいて、VBR1とVBR2のVBR接続を作成します。
パラメーター
説明
VBR1
VBR2
[インスタンスタイプ]
ネットワークインスタンスのタイプを指定します。
この例では、仮想ボーダールーター (VBR) が選択されています。
リージョン
ネットワークインスタンスのリージョンを指定します。
この例では、中国 (上海) が選択されています。
トランジットルーター
現在のリージョンのトランジットルーターが自動的に表示されます。
リソース所有者ID
ネットワークインスタンスが現在のAlibaba Cloudアカウントに属するかどうかを指定します。
この例では、[アカウント] が選択されています。
添付ファイル名
ネットワーク接続の名前を入力します。
この例では、VBR1-testが使用されます。
この例では、VBR2-testが使用されます。
ネットワークインスタンス
ネットワークインスタンスを選択します。
この例ではVBR1が選択される。
この例では、VBR2が選択される。
詳細設定
高度な機能を有効にするかどうかを指定します。 デフォルトでは、すべての高度な機能が有効になります。
この例では、デフォルト設定を使用します。
帯域幅プランを購入します。
VBRに関連付けられたトランジットルーターとVPCに関連付けられたトランジットルーターは、異なるリージョンにデプロイされます。 デフォルトでは、このシナリオではVBRはVPCと通信できません。 VBRがリージョン間でVPCと通信できるようにするには、中国 (杭州) リージョンのトランジットルーターと中国 (上海) リージョンのトランジットルーターの間にリージョン間接続を作成する必要があります。
帯域幅プランからリージョン間接続に帯域幅を割り当てることも、リージョン間接続の帯域幅使用量をデータ転送課金で支払うこともできます。 この例では、帯域幅プランが使用される。
リージョン間接続を作成する前に、リージョン間通信用の帯域幅を割り当てる帯域幅プランを購入します。
[インスタンス] ページで、管理するCENインスタンスを見つけ、そのIDをクリックします。
CENインスタンスの詳細ページで、 タブを選択し、[帯域幅プラン (サブスクリプション) の購入] をクリックします。
購入ページで、次のパラメーターを設定し、[今すぐ購入] をクリックして、支払いを完了します。
パラメーター
説明
CEN ID
帯域幅プランを購入するCENインスタンスを選択します。
支払いが完了すると、帯域幅プランは自動的にCENインスタンスに関連付けられます。
この例では、準備セクションで作成されたCENインスタンスが選択されています。
エリア A
リージョン間通信を有効にするエリアの1つを選択します。
中国本土が選択されています。
説明帯域幅プランを購入した後、帯域幅プラン用に選択したエリアを変更することはできません。
帯域幅プランをサポートするリージョンとエリアの詳細については、「帯域幅プランの操作」をご参照ください。
エリア B
リージョン間通信を有効にする他のエリアを選択します。
中国本土が選択されています。
課金方法
帯域幅プランの課金方法を表示します。 デフォルトの課金方法は 帯域幅課金。
帯域幅プランの課金の詳細については、「課金ルール」をご参照ください。
帯域幅
ビジネス要件に基づいて帯域幅の値を選択します。 単位は、Mbit/s です。
Bandwidth_package_name
帯域幅プランの名前を入力します。
注文時間
帯域幅プランのサブスクリプション期間を選択します。
[自動更新] を選択すると、システムが帯域幅プランを自動的に更新できるようになります。
リージョン間接続の作成
[インスタンス] ページで、管理するCENインスタンスを見つけ、そのIDをクリックします。
タブに移動し、[リージョン接続の設定] をクリックします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
インスタンスタイプ
この例では、リージョン間接続が選択されています。
リージョン
接続するリージョンを選択します。
この例では、中国 (杭州) が選択されています。
トランジットルーター
選択したリージョンのトランジットルーターのIDが自動的に表示されます。
添付ファイル名
リージョン間接続の名前を入力します。
この例では、Cross-Region-testが使用されています。
ピアリージョン
接続する他のリージョンを選択します。
この例では、中国 (上海) が選択されています。
トランジットルーター
選択したリージョンのトランジットルーターのIDが自動的に表示されます。
帯域幅割り当てモード
次のモードがサポートされています。
帯域幅プランからの割り当て: 帯域幅リソースは、購入した帯域幅プランから割り当てられます。
ペイバイデータ転送: リージョン間接続を介したデータ転送に対して課金されます。
この例では、[帯域幅プランからの割り当て] が選択されています。
帯域幅プラン
CENインスタンスに関連付けられている帯域幅プランを選択します。
帯域幅
リージョン間接続の帯域幅の値を指定します。 単位は、Mbit/s です。
詳細設定
デフォルトでは、すべての高度な機能が有効になります。 この例では、デフォルト設定が使用されています。
ステップ3: IPsec-VPN接続の作成
上記の手順を完了すると、データセンターはプライベート接続を介してVPCと通信できます。 ただし、データセンターとVPC間のデータ送信は暗号化されません。 データ送信を暗号化するには、データセンターとAlibaba Cloud間にIPsec-VPN接続を作成する必要があります。
カスタマーゲートウェイを作成します。
IPsec-VPN接続を作成する前に、オンプレミスのゲートウェイデバイスに関する情報をAlibaba Cloudに提供するカスタマーゲートウェイを作成する必要があります。
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
VPN Gatewayは、クロスボーダーIPsec-VPN接続をサポートしていません。 したがって、カスタマーゲートウェイがデプロイされているリージョンを選択するときは、近くのアクセスの原則に従って、データセンターに最も近いリージョンを選択する必要があります。 この例では、中国 (上海) が選択されています。
クロスボーダー接続の詳細については、VPNゲートウェイとは.
カスタマーゲートウェイページをクリックします。カスタマーゲートウェイの作成.
カスタマーゲートウェイの作成 パネルで、次のパラメーターを設定し、OK をクリックします。
次の情報に基づいて、中国 (上海) リージョンに4つのカスタマーゲートウェイを作成します。
パラメーター
説明
カスタマーゲートウェイ1
カスタマーゲートウェイ2
カスタマーゲートウェイ3
カスタマーゲートウェイ4
名前
各カスタマーゲートウェイの名前を入力します。
顧客-Gateway1
顧客-ゲートウェイ2
顧客-ゲートウェイ3
顧客-Gateway4
IP アドレス
Alibaba Cloudに接続するオンプレミスゲートウェイデバイスのパブリックIPアドレスを入力します。
この例では、192.168.0.1、オンプレミスゲートウェイ装置1の第1のVPN IPアドレスが入力される。
この例では、192.168.1.1、オンプレミスゲートウェイ装置1の第2のVPN IPアドレスが入力される。
この例では、192.168.1.2、オンプレミスゲートウェイ装置2の第1のVPN IPアドレスが入力される。
この例では、192.168.2.2、オンプレミスゲートウェイ装置2の第2のVPN IPアドレスが入力される。
ASN
オンプレミスゲートウェイデバイスのBGP ASNを入力します。
この例では65530が使用されています。
IPsec-VPN接続を作成します。
カスタマーゲートウェイを作成したら、Alibaba Cloudとデータセンター間にIPsec-VPN接続を作成する必要があります。
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。
IPsec-VPN接続とカスタマーゲートウェイは、同じリージョンに作成する必要があります。 この例では、中国 (上海) が選択されています。
VPN 接続ページをクリックします。VPN 接続の作成.
VPN 接続の作成 ページで、次のパラメーターを設定し、OK をクリックします。
次の情報に基づいて、中国 (上海) リージョンで4つのIPsec-VPN接続を作成します。 IPsec-VPN接続の使用に対して課金されます。 詳細については、次をご参照ください: 請求。
パラメーター
説明
IPsec-VPN接続1
IPsec-VPN接続2
IPsec-VPN接続3
IPsec-VPN接続4
名前
各IPsec-VPN接続の名前を入力します。
IPsec-VPN接続1
IPsec-VPN接続2
IPsec-VPN接続3
IPsec-VPN接続4
リソースの関連付け
IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。
この例では、CENが選択されています。
ゲートウェイタイプ
IPsec-VPN接続のネットワークタイプを選択します。
この例では、プライベート が選択されています。
CEN インスタンス ID
CENインスタンスを選択します。
この例では、準備セクションで作成されたCENインスタンスが選択されています。
トランジットルーター
IPsec-VPN接続に関連付けるトランジットルーターを選択します。
IPsec-VPN接続が作成されているリージョンのトランジットルーターが自動的に選択されます。
ゾーン
IPsec-VPN接続を作成するゾーンを選択します。 IPsec-VPN接続がトランジットルーターをサポートするゾーンに作成されていることを確認します。
この例では、上海ゾーンFが選択されています。
説明このシナリオでは、異なるゾーンにIPsec-VPN接続を展開してディザスタリカバリを実装することを推奨します。
この例では、上海ゾーンGが選択されています。
カスタマーゲートウェイ
IPsec-VPN接続に関連付けるカスタマーゲートウェイを選択します。
Customer-Gateway1
Customer-Gateway2
Customer-Gateway3
Customer-Gateway4
ルーティングモード
ルーティングモードを選択します。
この例では、宛先ルーティングモードが選択されています。
今すぐ有効化有効
IPsec-VPN接続の設定を直ちに適用するかどうかを選択します。 有効な値:
IPsec-VPN接続を作成するときに [有効な即時] パラメーターを はい に設定すると、設定が完了した直後にネゴシエーションが開始されます。
IPsec-VPN接続を作成するときに [有効な即時] パラメーターを いいえ に設定すると、インバウンドトラフィックが検出されたときにネゴシエーションが開始されます。
この例では、はいが選択されています。
事前共有鍵
オンプレミスのゲートウェイデバイスの認証に使用される事前共有キーを入力します。
キーの長さは1〜100文字である必要があり、数字、文字、および次の特殊文字を含めることができます。
~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?
事前共有キーを指定しない場合、システムは事前共有キーとしてランダムな16文字の文字列を生成します。 IPsec-VPN接続の作成後、[操作] 列の [編集] をクリックして、IPsec-VPN接続用に生成された事前共有キーを表示できます。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」の「IPsec-VPN接続の変更」セクションをご参照ください。
重要IPsec-VPN接続とピアゲートウェイデバイスは、同じ事前共有キーを使用する必要があります。 そうしないと、システムはIPsec-VPN接続を確立できません。
fddsFF123 ****
fddsFF456 ****
fddsFF789 ****
fddsFF901 ****
EncryptionConfiguration
IKE設定とIPsec設定を含む暗号化設定を設定します。
この例では、ikev1が使用され、他のパラメータはデフォルト設定を使用します。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
BGP 設定
BGPを有効にするかどうかを指定します。 デフォルトでは、BGPは無効になっています。
この例では、BGPは有効です。
トンネル CIDR ブロック
IPsecトンネリングに使用されるCIDRブロックを指定します。
CIDRブロックは169.254.0.0/16に収まる必要があります。 CIDRブロックのサブネットマスクの長さは30ビットである必要があります。
169.254.10.0/30
169.254.11.0/30
169.254.12.0/30
169.254.13.0/30
ローカル BGP IP アドレス
各IPsec-VPN接続のBGP IPアドレスを入力します。
このIPアドレスは、IPsecトンネリングのCIDRブロック内にある必要があります。
169.254.10.1
169.254.11.1
169.254.12.1
169.254.13.1
ローカル ASN
IPsec-VPN接続のASNを入力します。
45104
45104
45104
45104
ヘルスチェック
ヘルスチェック機能を有効にするかどうかを指定します。 ヘルスチェック機能はデフォルトで無効になっています。
この例では、ヘルスチェック機能は無効です。
IPsec-VPN接続が作成された後、システムは各IPsec-VPN接続にプライベートゲートウェイIPアドレスを割り当てます。 ゲートウェイIPアドレスは、IPsec-VPN接続のAlibaba Cloud側のエンドポイントです。 次の図に示すように、詳細ページでIPsec-VPN接続のゲートウェイIPアドレスを確認できます。
次の表に、IPsec-VPN接続1、IPsec-VPN接続2、IPsec-VPN接続3、およびIPsec-VPN接続4に割り当てられるゲートウェイIPアドレスを示します。
IPsec-VPN接続
ゲートウェイIPアドレス
IPsec-VPN 接続 1
192.168.168.1
IPsec-VPN接続2
192.168.168.2
IPsec-VPN接続3
192.168.168.3
IPsec-VPN接続4
192.168.168.4
説明IPsec-VPN接続をトランジットルーターに関連付けた後にのみ、ゲートウェイIPアドレスがIPsec-VPN接続に割り当てられます。 IPsec-VPN接続を作成するときに、[関連付けリソース] を [関連付けしない] または [VPN Gateway] に設定した場合、システムはIPsec-VPN接続にゲートウェイIPアドレスを割り当てません。
プライベートIPsec-VPN接続がトランジットルーターに関連付けられた後、システムはIPsec-VPN接続のゲートウェイIPアドレスをトランジットルーターのルートテーブルに自動的にアドバタイズします。
IPsec-VPN接続のピア設定をダウンロードします。
VPN 接続 ページに移動し、作成したIPsec-VPN接続を見つけて、操作 列の [ピア構成の生成] をクリックします。
4つのIPsec-VPN接続のピア設定をオンプレミスのコンピューターにダウンロードして、オンプレミスのゲートウェイデバイスにVPN設定を追加するときに設定を使用できるようにします。
VPN設定とBGP設定をオンプレミスのゲートウェイデバイスに追加します。
IPsec-VPN接続が作成されたら、次の手順を実行して、オンプレミスゲートウェイデバイス1およびオンプレミスゲートウェイデバイス2にダウンロードしたピア設定にVPNおよびBGP設定を追加します。 これにより、データセンターはIPsec-VPN接続を介してAlibaba Cloudと通信できます。
次の構成は参照だけのためです。 コマンドは、ネットワークデバイスベンダーに基づいて変化し得る。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。
オンプレミスゲートウェイデバイスのCLIを開きます。
次のコマンドを実行して、isakmpポリシーを設定します。
//Add the following configuration to the two on-premises gateway devices: crypto isakmp policy 1 authentication pre-share //Configure the authentication method. In this example, pre-shared keys are used for authentication. encryption aes //Configure the encryption algorithm. In this example, aes is used. hash sha //Configure the authentication algorithm. In this example, sha is used. group 2 //Configure the DH group. In this example, group2 is used. lifetime 86400
次のコマンドを実行して、事前共有キーを設定します。
//Add the following configuration to On-premises Gateway Device 1: crypto keyring keyring1 pre-shared-key address 192.168.168.1 key fddsFF123**** crypto keyring keyring2 pre-shared-key address 192.168.168.2 key fddsFF456**** //Add the following configuration to On-premises Gateway Device 2: crypto keyring keyring1 pre-shared-key address 192.168.168.3 key fddsFF789**** crypto keyring keyring2 pre-shared-key address 192.168.168.4 key fddsFF901****
次のコマンドを実行して、ikev1プロファイルを設定します。
//Add the following configuration to On-premises Gateway Device 1: crypto isakmp profile profile1 keyring keyring1 match identity address 192.168.168.1 255.255.255.255 crypto isakmp profile profile2 keyring keyring2 match identity address 192.168.168.2 255.255.255.255 //Add the following configuration to On-premises Gateway Device 2: crypto isakmp profile profile1 keyring keyring1 match identity address 192.168.168.3 255.255.255.255 crypto isakmp profile profile2 keyring keyring2 match identity address 192.168.168.4 255.255.255.255
次のコマンドを実行してIPsecプロトコルを設定します。
//Add the following configuration to the two on-premises gateway devices: crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac mode tunnel
次のコマンドを実行してIPsecプロファイルを設定します。
//Add the following configuration to the two on-premises gateway devices: crypto ipsec profile IPSEC_PROFILE1 set transform-set ipsecpro64 set isakmp-profile profile1 crypto ipsec profile IPSEC_PROFILE2 set transform-set ipsecpro64 set isakmp-profile profile2
次のコマンドを実行してIPsecトンネリングを設定します。
//Add the following configuration to On-premises Gateway Device 1: interface Tunnel100 ip address 169.254.10.2 255.255.255.252 //Specify the tunnel IP address of IPsec-VPN Connection 1 on On-premises Gateway Device 1. In this example, 169.254.10.2 is used. tunnel source GigabitEthernet1 tunnel mode ipsec ipv4 tunnel destination 192.168.168.1 //Specify the private IP address of IPsec-VPN Connection 1 on the Alibaba Cloud side. In this example, 192.168.168.1 is used. tunnel protection ipsec profile IPSEC_PROFILE1 no shutdown exit ! interface GigabitEthernet1 //Configure the IP address of the interface that is used to establish IPsec-VPN Connection 1. ip address 192.168.0.1 255.255.255.0 negotiation auto ! interface Tunnel101 ip address 169.254.11.2 255.255.255.252 //Specify the tunnel IP address of IPsec-VPN Connection 2 on On-premises Gateway Device 1. In this example, 169.254.11.2 is used. tunnel source GigabitEthernet2 tunnel mode ipsec ipv4 tunnel destination 192.168.168.2 //Specify the private IP address of IPsec-VPN Connection 2 on the Alibaba Cloud side. In this example, 192.168.168.2 is used. tunnel protection ipsec profile IPSEC_PROFILE2 no shutdown exit ! interface GigabitEthernet2 //Configure the IP address of the interface that is used to establish IPsec-VPN Connection 2. ip address 192.168.1.1 255.255.255.0 negotiation auto ! //Add the following configuration to On-premises Gateway Device 2: interface Tunnel100 ip address 169.254.12.2 255.255.255.252 //Specify the tunnel IP address of IPsec-VPN Connection 3 on On-premises Gateway Device 2. In this example, 169.254.12.2 is used. tunnel source GigabitEthernet1 tunnel mode ipsec ipv4 tunnel destination 192.168.168.3 //Specify the private IP address of IPsec-VPN Connection 3 on the Alibaba Cloud side. In this example, 192.168.168.3 is used. tunnel protection ipsec profile IPSEC_PROFILE1 no shutdown exit ! interface GigabitEthernet1 //Configure the IP address of the interface that is used to establish IPsec-VPN Connection 3. ip address 192.168.1.2 255.255.255.0 negotiation auto ! interface Tunnel101 ip address 169.254.13.2 255.255.255.252 //Specify the tunnel IP address of IPsec-VPN Connection 4 on On-premises Gateway Device 2. In this example, 169.254.13.2 is used. tunnel source GigabitEthernet2 tunnel mode ipsec ipv4 tunnel destination 192.168.168.4 //Specify the private IP address of IPsec-VPN Connection 4 on the Alibaba Cloud side. In this example, 192.168.168.4 is used. tunnel protection ipsec profile IPSEC_PROFILE2 no shutdown exit ! interface GigabitEthernet2 //Configure the IP address of the interface that is used to establish IPsec-VPN Connection 4. ip address 192.168.2.2 255.255.255.0 negotiation auto !
次のコマンドを実行してBGPを設定します。
//Add the following configuration to On-premises Gateway Device 1: router bgp 65530 neighbor 169.254.10.1 remote-as 45104 //Configure the ASN of the BGP peer. In this example, the BGP ASN of IPsec-VPN Connection 1 is used, which is 45104. neighbor 169.254.10.1 ebgp-multihop 10 //Set the eBGP hop-count to 10. neighbor 169.254.11.1 remote-as 45104 //Configure the ASN of the BGP peer. In this example, the BGP ASN of IPsec-VPN Connection 2 is used, which is 45104. neighbor 169.254.11.1 ebgp-multihop 10 //Set the eBGP hop-count to 10. ! address-family ipv4 neighbor 169.254.10.1 activate //Activate the BGP peers. neighbor 169.254.11.1 activate exit-address-family ! //Add the following configuration to On-premises Gateway Device 2: router bgp 65530 neighbor 169.254.12.1 remote-as 45104 //Configure the ASN of the BGP peer. In this example, the BGP ASN of IPsec-VPN Connection 3 is used, which is 45104. neighbor 169.254.12.1 ebgp-multihop 10 //Set the eBGP hop-count to 10. neighbor 169.254.13.1 remote-as 45104 //Configure the ASN of the BGP peer. In this example, the BGP ASN of IPsec-VPN Connection 4 is used, which is 45104. neighbor 169.254.13.1 ebgp-multihop 10 //Set the eBGP hop-count to 10. ! address-family ipv4 neighbor 169.254.12.1 activate //Activate the BGP peers. neighbor 169.254.13.1 activate exit-address-family !
手順4: ルートとルーティングポリシーの設定
上記の設定を完了した後、IPsec-VPN接続が期待どおりに機能するように、Alibaba Cloudにルートとルーティングポリシーを追加する必要があります。 また、データセンターとAlibaba Cloud間のトラフィックを暗号化されたトンネルにルーティングする必要があります。
カスタムルートをVBRに追加します。
データセンター宛てのトラフィックをExpress Connect回線にルーティングします。
左側のナビゲーションウィンドウで、仮想ボーダールーター (VBR).
上部のナビゲーションバーで、VBRがデプロイされているリージョンを選択します。
この例では、中国 (上海) が選択されています。
仮想ボーダールーター (VBR)ページで、管理するVBRのIDをクリックします。
ルートタブをクリックし、ルートを追加.
[ルートの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。
ルート1とルート2をVBR1に追加する。 ルート3とルート4をVBR2に追加する。
パラメーター
説明
ルート1
ルート2
ルート3
ルート4
ネクストホップタイプ
[物理接続インターフェイス] を選択します。
宛先CIDRブロック
オンプレミスゲートウェイデバイスのVPN IPアドレスを入力します。
オンプレミスゲートウェイデバイス1のVPN IPアドレス1: 192.168.0.1/32
オンプレミスゲートウェイデバイス1のVPN IPアドレス2: 192.168.1.1/32
オンプレミスゲートウェイデバイス2のVPN IPアドレス1: 192.168.1.2/32
オンプレミスゲートウェイデバイス2のVPN IPアドレス1: 192.168.2.2/32
次ホップ
Express Connect回路を選択します。
Express Connect Circuit 1を選択します。
Express Connect Circuit 1を選択します。
Express Connect Circuit 2を選択します。
Express Connect Circuit 2を選択します。
CENインスタンスにルーティングポリシーを追加します。
[インスタンス] ページで、CENインスタンスのIDをクリックします。
を選択し、中国 (上海) のトランジットルーターを見つけて、トランジットルーターのIDをクリックします。
トランジットルーターの詳細ページで、[ルートテーブル] タブをクリックし、[ルートマップ] をクリックします。
[ルートマップ] タブで、[ルートマップの追加] をクリックします。 [ルートマップの追加] ページで、次のパラメーターを設定し、[OK] をクリックします。
次の表の情報に基づいて、4つのルーティングポリシーをCENに追加します。 次のセクションでは、4つのルーティングポリシーについて説明します。
ルーティングポリシー1: データセンターは、VBRおよびIPsec-VPN接続を介してVPCからCIDRブロックを学習します。 VPC宛てのトラフィックがIPsec-VPN接続にルーティングされるようにするには、ルーティングポリシー1を作成して、VBRによってアドバタイズされるCIDRブロックの優先度がIPsec-VPN接続によってアドバタイズされるCIDRブロックの優先度よりも低くなるようにする必要があります。
ルーティングポリシー2: CENインスタンスがVBRとIPsec-VPN接続を介して同じCIDRブロックを学習した場合、VBRによってアドバタイズされたCIDRブロックの優先度が高くなります。 VBRによってアドバタイズされたデータセンタールートを拒否するには、ルーティングポリシー2を作成する必要があります。 これにより、データセンター宛てのトラフィックがIPsec-VPN接続に確実にルーティングされます。
ルーティングポリシー3とルーティングポリシー4: VBR接続を作成すると、CENは送信方向に適用されるルーティングポリシーをトランジットルーターのルートテーブルに追加します。 ルーティングポリシーの優先度は5000で、ポリシーアクションはDenyです。 ルーティングポリシーにより、同じトランジットルーターに接続されているVBR、Cloud Connect Network (CCN) インスタンス、およびIPsec-VPN接続が相互に通信できなくなります。
ルーティングポリシー3とルーティングポリシー4を追加して、CENがIPsec-VPN接続のゲートウェイIPアドレスを通知できるようにする必要があります。
次の表に、主要なパラメーターのみを示します。 その他のパラメーターの詳細については、「ルーティングポリシーの概要」をご参照ください。
パラメーター
説明
ルーティングポリシー1
ルーティングポリシー2
ルーティングポリシー3
ルーティングポリシー4
ルーティングポリシー優先度
ルーティングポリシーの優先度の値を入力します。
この例では、5が使用されます。
この例では、10が使用されます。
この例では、15が使用されます。
この例では、20が使用されます。
リージョン
ルーティングポリシーを適用するリージョンを選択します。
この例では、中国 (上海) が選択されています。
関連ルートテーブル
ルーティングポリシーに関連付けるルートテーブルを選択します。
この例では、現在のトランジットルーターのデフォルトルートテーブルが選択されています。
方向
ルーティングポリシーを適用する方向を選択します。
この例では、[Egress Regional Gateway] が選択されています。
この例では、Ingress Regional Gatewayが選択されています。
この例では、[Egress Regional Gateway] が選択されています。
この例では、[Egress Regional Gateway] が選択されています。
マッチ条件
ルーティングポリシーの一致条件を設定します。
次の一致条件を設定します。
ソースインスタンスID: VPCのIDを入力します。
宛先インスタンスID: VBR1とVBR2のIDを入力します。
ルートプレフィックス: 172.16.10.0/24および172.16.20.0/24と入力し、[完全一致] を選択します。
次の一致条件を設定します。
ソースインスタンスID: VBR1とVBR2のIDを入力します。
ルートプレフィックス: 192.168.0.0/24、192.168.10.0/24、192.168.20.0/24と入力し、[完全一致] を選択します。
次の一致条件を設定します。
宛先インスタンスID: VBR1のIDを入力します。
ルートプレフィックス: 192.168.168.1/32と192.168.168.2/32を入力し、[完全一致] を選択します。
次の一致条件を設定します。
宛先インスタンスID: VBR2のIDを入力します。
ルートプレフィックス: 192.168.168.3/32と192.168.168.4/32を入力し、[完全一致] を選択します。
ルーティングポリシーアクション
ルーティングポリシーのアクションを選択します。
この例では、[許可] が選択されています。
この例では、[拒否] が選択されています。
この例では、[許可] が選択されています。
この例では、[許可] が選択されています。
ポリシーエントリの追加
許可されているルートの優先度を指定します。
この例では、Prepend AS Pathが選択され、65525、65526、65527が入力されます。 これにより、VBRがデータセンターにアドバタイズするVPC CIDRブロックの優先度が低下します。
非該当
非該当
非該当
手順 5:ネットワーク接続のテスト
ルートを設定すると、データセンターはプライベート接続と暗号化接続を介してVPCと通信できます。 データセンターとVPC間のトラフィックは、4つのIPsec-VPN接続を使用して、ECMPルーティングに基づいて負荷分散されます。 このセクションでは、ネットワーク接続をテストする方法と、トラフィックの負荷分散に4つのIPsec-VPN接続が使用されているかどうかを確認する方法について説明します。
ネットワーク接続をテストします。
VPCのECSインスタンスにログインします。 詳細については、「ECSインスタンス接続のガイドライン」をご参照ください。
ECSインスタンスでpingコマンドを実行し、データセンターのクライアントにアクセスします。
ping <IP address of the client in the data center>
ECSインスタンスがエコー応答メッセージを受信した場合、データセンターはVPCと通信できます。
トラフィックが負荷分散されているかどうかを確認します。
データセンターの複数のクライアントからECSインスタンスにリクエストを送信するか、iPerf3を使用してECSインスタンスにリクエストを送信します。 IPsec-VPN接続1、IPsec-VPN接続2、IPsec-VPN接続3、およびIPsec-VPN接続4の詳細ページでトラフィックモニタリングデータを表示できる場合、データセンターとVPC間のトラフィックは4つのIPsec-VPN接続を介して負荷分散されます。 iPerf3のインストール方法と使用方法の詳細については、「Express Connect回路のパフォーマンスのテスト」をご参照ください。
VPN Gatewayコンソールにログインします。
上部のナビゲーションバーで、IPsec-VPN接続が作成されているリージョンを選択します。
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで、管理するIPsec-VPN接続のIDをクリックします。
IPsec-VPN接続の詳細ページに移動し、モニター タブでデータ転送のモニタリングデータを表示します。
ルーティング設定
このトピックでは、デフォルトのルーティング設定を使用して、IPsec-VPN接続、VPC接続、VBR接続、およびリージョン間接続を作成します。 デフォルトのルーティング設定を使用すると、CENは自動的にルートを学習して配布し、データセンターがVPCと通信できるようにします。 次のセクションでは、デフォルトのルーティング設定について説明します。
IPsec-VPN接続
IPsec-VPN接続を作成するときにIPsec-VPN接続をトランジットルーターに関連付けると、システムは自動的に次のルーティング設定をIPsec-VPN接続に適用します。
IPsec-VPN接続は、トランジットルーターのデフォルトルートテーブルに関連付けられています。 トランジットルーターは、デフォルトのルートテーブルに基づいてIPsec-VPN接続からトラフィックを転送します。
IPsec-VPN接続用に構成した宛先ベースのルートと、BGP動的ルーティングを使用してIPsec-VPN接続を介してデータセンターから学習したルートは、トランジットルーターの既定のルートテーブルに自動的に反映されます。
トランジットルーターは、デフォルトのルートテーブル内のルートをIPsec-VPN接続に関連付けられたBGPルートテーブルに自動的に伝播します。
BGP動的ルーティングを使用してIPsec-VPN接続を介してVPCから学習されたルートは、自動的にデータセンターに伝播されます。
VPC 接続
VPC接続を作成するときに (すべての高度な機能が有効になっている) デフォルトのルーティング設定を使用すると、システムは自動的に次のルーティング設定をVPCに適用します。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、VPC接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトルートテーブルに基づいてVPCのトラフィックを転送します。
トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播
この機能を有効にすると、VPCのシステムルートがトランジットルーターのデフォルトルートテーブルにアドバタイズされます。 これにより、VPCはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。
トランジットルーターをポイントし、現在のVPCのすべてのルートテーブルに追加するルートを自動的に作成します
この機能を有効にすると、VPCのすべてのルートテーブルに10.0.0.0/8、172.16.0.0/12、192.168.0.0/16の3つのルートが自動的に追加されます。 ルートはVPC接続を指しています。
VBR 接続
VBR接続を作成するときに (すべての高度な機能が有効になっている) デフォルトのルーティング設定を使用すると、システムは自動的に次のルーティング設定をVBRに適用します。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、VBR接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトのルートテーブルに基づいてVBRのトラフィックを転送します。
トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播
この機能を有効にすると、VBRのシステムルートがトランジットルーターのデフォルトルートテーブルに自動的に通知されます。
VBRへのルートの伝播
この機能を有効にすると、VBRへのVBR接続に関連付けられているルートテーブルのルートが自動的にアドバタイズされます。
リージョン間接続
リージョン間接続を作成するときにデフォルトのルーティング設定 (すべての高度な機能が有効になっている) を使用すると、システムは自動的に次のルーティング設定をリージョン間接続に適用します。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、リージョン間接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトのルートテーブルを使用して、ネットワークトラフィックをリージョン間で転送します。
システムルートをトランジットルーターのデフォルトルートテーブルに伝播する
この機能が有効になった後、リージョン間接続は、接続されたリージョン内のトランジットルーターのデフォルトルートテーブルに関連付けられます。
ピアリージョンへルートを自動的にアドバタイズする
この機能を有効にすると、現在のリージョンのトランジットルーターのルートテーブルのルートが、リージョン間通信のためにピアのトランジットルーターのルートテーブルに自動的に通知されます。 トランジットルータのルートテーブルは、リージョン間接続に関連付けられたルートテーブルを参照する。
ルートを表示
コンソールでルートを確認できます。
トランジットルーターのルートの詳細については、「Enterprise Editionトランジットルーターのルートの表示」をご参照ください。
VPCのルートの詳細については、「ルートテーブルの作成と管理」をご参照ください。
VBRのルートの詳細については、次の手順を実行します。
Express Connect コンソール にログインします。
左側のナビゲーションウィンドウで、[仮想ボーダールーター (VBR)] をクリックします。
上部のナビゲーションバーで、VBRがデプロイされているリージョンを選択します。
[仮想ボーダールーター (VBR)] ページで、管理するVBRのIDをクリックします。
VBRの詳細ページで、[ルート] タブのVBRのカスタムルート、BGPルート、およびCENルートを表示します。
IPsec-VPN接続のルートを表示するには、IPsec-VPN接続の詳細ページに移動します。
VPN Gatewayコンソールにログインします。
上部のナビゲーションバーで、IPsec-VPN接続が作成されているリージョンを選択します。
左側のナビゲーションウィンドウで、
を選択します。IPsec 接続 ページで、管理するIPsec-VPN接続のIDをクリックします。
IPsec-VPN接続の詳細ページに移動し、BGP ルートテーブルタブでルート情報を表示します。