このトピックでは、パブリックVPNゲートウェイを使用して、仮想プライベートクラウド (VPC) とデータセンター間にデュアルトンネルモードでIPsec-VPN接続を作成する方法について説明します。 IPsec-VPN接続は、VPCとデータセンター間の暗号化通信を有効にし、接続の高可用性を確保します。 さらに、Border Gateway Protocol (BGP) を使用して自動ルート学習を可能にします。これにより、ネットワークのO&Mが簡素化され、構成エラーのリスクが軽減されます。
前提条件
IPsec-VPN接続がVPNゲートウェイに関連付けられている場合、パブリックIPアドレスをデータセンターのゲートウェイデバイスに割り当てる必要があります。
デュアルトンネルモードをサポートするリージョンでは、データセンターのゲートウェイデバイスに2つのパブリックIPアドレスを設定することを推奨します。 または、データセンターに2つのゲートウェイデバイスをデプロイし、各ゲートウェイデバイスにパブリックIPアドレスを設定することもできます。 この方法で、高可用性のIPsec-VPN接続を作成できます。 デュアルトンネルモードをサポートするリージョンの詳細については、「 [アップグレード通知] IPsec-VPN接続がデュアルトンネルモードをサポートする」をご参照ください。
データセンターのゲートウェイデバイスは、トランジットルーターとのIPsec-VPN接続を確立するために、IKEv1またはIKEv2プロトコルをサポートする必要があります。
データセンターのCIDRブロックは、アクセスするネットワークのCIDRブロックと重複しません。
BGP動的ルーティングをサポートするリージョン
地域 | リージョン |
アジア太平洋 | 中国 (杭州) 、中国 (上海) 、 中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (深セン) 、中国 (香港) 、日本 (東京) 、シンガポール、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (バージニア) 、米国 (シリコンバレー) |
中東 | UAE (ドバイ) |
例
この例では、以下のシナリオが使用される。 企業が中国 (フフホト) リージョンにVPCを作成しました。 VPCのプライマリCIDRブロックは192.168.0.0/16です。 企業はフフホトにデータセンターを持っています。 ビジネス開発により、データセンターのCIDRブロック172.16.0.0/16内のデバイスはVPCにアクセスする必要があります。 この要件を満たすために、企業はVPCとデータセンター間にIPsec-VPN接続を作成できます。 IPsec-VPN接続を使用すると、VPCとデータセンター間の暗号化通信を有効にし、接続の高可用性を確保できます。
BGPトンネルCIDRブロック
この例では、データセンターとVPCはBGPを使用して、ルートを自動的に学習してアドバタイズします。 次の表に、データセンターとIPsec-VPN接続のBGPトンネルCIDRブロックを示します。
IPsec-VPN接続がBGP動的ルーティングを使用する場合、2つのトンネルのローカル ASNは同じでなければなりません。 2つのトンネルのピアASNは異なる場合がありますが、同じピアASNを使用することをお勧めします。
項目 | IPsecトンネル | BGP ASN | BGPトンネルCIDRブロック | BGP IPアドレス |
IPsec-VPN接続 | アクティブトンネル | 65530 | 169.254.10.0/30 | 169.254.10.1 |
スタンバイトンネル | 65530 | 169.254.20.0/30 | 169.254.20.1 | |
データセンター | アクティブトンネル | 65500 | 169.254.10.0/30 | 169.254.10.2 |
スタンバイトンネル | 65500 | 169.254.20.0/30 | 169.254.20.2 |
準備
VPCは中国 (Hohhot) リージョンで作成され、ワークロードはVPCのElastic Compute Service (ECS) インスタンスにデプロイされます。 詳細については、「」をご参照ください。IPv4 CIDRブロックを持つVPCの作成.
VPC内のECSインスタンスに設定されているセキュリティグループルールとデータセンターのアクセス制御ルールにより、データセンターとVPCは相互に通信できます。 ECSインスタンスのセキュリティグループルールの詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。
手続き
ステップ1: VPNゲートウェイの作成
VPN Gatewayコンソールにログインします。
上部のナビゲーションバーで、VPNゲートウェイを作成するリージョンを選択します。
データセンターがアクセスする必要があるVPNゲートウェイとVPCは、同じリージョンにある必要があります。
VPN Gatewayページで、VPN Gateway の作成 をクリックします。
購入ページで、次のパラメーターを設定し、今すぐ購入 をクリックして、支払いを完了します。
パラメーター
説明
例
名前
VPN gatewayの名前を入力します。
この例では、VPNGWが使用される。
リソースグループ
VPN gatewayが属するリソースグループを選択します。
このパラメーターを空のままにすると、VPN gatewayはデフォルトのリソースグループに属します。
この例では、このパラメータは空のままです。
リージョン
VPNゲートウェイを作成するリージョンを選択します。
この例では、中国 (フフホト) が選択されています。
ゲートウェイタイプ
ゲートウェイタイプを選択します。
この例では、[標準] が選択されています。
ネットワークタイプ
VPNゲートウェイのネットワークタイプを選択します。
パブリック: VPNゲートウェイを使用して、インターネット経由でVPN接続を確立できます。
プライベート: VPNゲートウェイを使用して、プライベートネットワーク経由でVPN接続を確立できます。
この例では、[公開] が選択されています。
トンネル
トンネルモードを選択します。 有効な値:
デュアルトンネル
シングルトンネル
シングルトンネルモードとデュアルトンネルモードの詳細については、「 [アップグレード通知] IPsec-VPN接続がデュアルトンネルモードをサポート」をご参照ください。
この例では、デフォルト値Dual-tunnelが使用されています。
VPC
VPNゲートウェイに関連付けるVPCを選択します。
この例では、中国 (フフホト) リージョンにデプロイされたVPCが選択されています。
VSwitch
選択したVPCからvSwitchを選択します。
シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。
デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。
IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。
説明システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。
VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。
この例では、VPCのvSwitchが選択されています。
vSwitch 2
選択したVPCから別のvSwitchを選択します。
関連するVPCの異なるゾーンに2つのvSwitchを指定して、IPsec-VPN接続のゾーン間でディザスタリカバリを実装します。
1つのゾーンのみをサポートするリージョンの場合、ゾーン間のディザスタリカバリはサポートされません。 IPsec-VPN接続の高可用性を実装するには、ゾーンに2つのvSwitchを指定することを推奨します。 最初のものと同じvSwitchを選択することもできます。
説明VPCに1つのvSwitchのみがデプロイされている場合は、vSwitchを作成します。 詳細については、「vSwitchの作成と管理」をご参照ください。
この例では、VPC内の別のvSwitchが選択されています。
ピーク帯域幅
VPN gatewayの最大帯域幅値を選択します。 単位は Mbit/s です。
この例では、デフォルト値が使用されます。
トラフィック
VPNゲートウェイの計測方法を選択します。 デフォルト値: Pay-by-data-transfer
詳細については、「課金」をご参照ください。
この例では、デフォルト値が使用されます。
IPsec-VPN
IPsec-VPNを有効にするかどうかを指定します。 デフォルト値: 有効。
この例では、Enableが選択されています。
SSL-VPN
SSL-VPNを有効にするかどうかを指定します。 デフォルト値: 無効。
この例では、[無効] を選択します。
期間
VPN gatewayの課金サイクルを選択します。 デフォルト値: [時間単位] 。
この例では、デフォルト値が使用されます。
サービスにリンクされたロール
[サービスにリンクされたロールの作成] をクリックします。 サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。
VPN gatewayは、他のクラウドリソースにアクセスするためにこの役割を引き受けます。
[作成済み] が表示されている場合、サービスにリンクされたロールが作成され、再度作成する必要はありません。
実際の条件に基づいてこのパラメーターを設定します。
VPN gatewayを作成したら、VPN GatewayページでVPN Gatewayを表示します。
新しく作成されたVPN gatewayは 準備中 状態で、約1〜5分後に 正常 状態に変わります。 ステータスが 正常 に変更されると、VPN gatewayは使用可能になります。
2つの暗号化トンネルを確立するために、各パブリックVPNゲートウェイに2つのパブリックIPアドレスが割り当てられます。 次の表に、VPN gatewayに割り当てられているパブリックIPアドレスを示します。
IPsecトンネル
IPアドレス
トンネル1 (アクティブトンネル)
39.XX.XX.218
トンネル2 (スタンバイトンネル)
182.XX.XX.19
手順2: カスタマーゲートウェイの作成
左側のナビゲーションウィンドウで、
を選択します。上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
接続するカスタマーゲートウェイとVPNゲートウェイが同じリージョンにデプロイされていることを確認してください。
カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。
カスタマーゲートウェイの作成 パネルで、次のパラメーターを設定し、OK をクリックします。
2つの暗号化トンネルを作成するには、2つのカスタマーゲートウェイを作成する必要があります。 次の表に、このトピックに関連するパラメーターのみを示します。 他のパラメータにデフォルト値を使用するか、空のままにすることができます。 詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。
パラメーター
説明
カスタマーゲートウェイ1
カスタマーゲートウェイ2
名前
カスタマーゲートウェイの名前。
CustomerGW1
CustomerGW2
IP アドレス
データセンターのゲートウェイデバイスのパブリックIPアドレス。
211.XX. XX.36
211.XX. XX.71
ASN
データセンターのゲートウェイデバイスのBGP自律システム番号 (ASN) 。
65500
65500
手順3: IPsec-VPN接続の作成
左側のナビゲーションウィンドウで、
を選択します。上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。
IPsec-VPN接続とVPN gatewayが同じリージョンにあることを確認してください。
IPsec 接続 ページで、VPN 接続の作成 をクリックします。
VPN 接続の作成 ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
例
名前
IPsec-VPN接続の名前を入力します。
この例では、IPsec-Connectionが使用されています。
リソースグループ
VPN gatewayが属するリソースグループ。
既定値のリソースグループを選択します。
リソースの関連付け
IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。
この例では、VPN Gatewayが選択されています。
VPNゲートウェイ
IPsec-VPN接続に関連付けるVPNゲートウェイを選択します。
この例では、VPNゲートウェイVPNGWが選択されています。
ルーティングモード
ルーティングモードを選択します。
宛先ルーティングモード: トラフィックは宛先IPアドレスに基づいて転送されます。
保護されたデータフロー: トラフィックは、送信元と送信先のIPアドレスに基づいて転送されます。
この例では、宛先ルーティングモードが選択されています。
説明BGPを使用する場合は、Routing ModeパラメーターをDestination Routing Modeに設定することを推奨します。
今すぐ有効化有効
接続のネゴシエーションをすぐに開始するかどうかを指定します。 有効な値:
はい: 設定完了後にネゴシエーションを開始します。
いいえ: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。
この例では、はいが選択されています。
BGPの有効化
Border Gateway Protocol (BGP) を有効にするかどうかを指定します。 IPsec-VPN接続にBGPルーティングを使用する場合は、[BGPの有効化] をオンにします。 デフォルトでは、Enable BGPはオフになっています。
この例では、BGPは有効です。
ローカル ASN
VPC側のASN。 デフォルト値: 45104 有効な値: 1 ~ 4294967295
この例では、65530が使用されます。
トンネル1
アクティブなトンネルのVPNパラメーターを設定します。
デフォルトでは、トンネル1はアクティブトンネルとして機能し、トンネル2はスタンバイトンネルとして機能します。 この設定は変更できません。
カスタマーゲートウェイ
アクティブなトンネルに関連付けるカスタマーゲートウェイを選択します。
この例では、CustomerGW1が選択されています。
事前共有鍵
アクティブなトンネルの事前共有キーを入力して、IDを検証します。
キーの長さは1〜100文字である必要があり、数字、文字、および次の特殊文字を含めることができます。
~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?
。 キーにスペースを含めることはできません。事前共有キーを指定しない場合、事前共有キーとして16文字の文字列がランダムに生成されます。 IPsec-VPN接続が作成された後、トンネルの [操作] 列の [編集] をクリックして、システムによって生成された事前共有キーを表示できます。 詳細については、このトピックの「トンネルの設定の変更」をご参照ください。
重要IPsec-VPN接続とピアゲートウェイデバイスは、同じ事前共有キーを使用する必要があります。 そうしないと、システムはIPsec-VPN接続を確立できません。
この例では、fddsFF123 **** が使用されます。
暗号化設定
インターネットキー交換 (IKE) 、IPsec、デッドピア検出 (DPD) 、およびNATトラバーサル機能のパラメーター。
この例では、次のものを除くすべてのパラメーターにデフォルト値が使用されます。 詳細については、「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
IKE設定セクションのDHグループパラメーターをgroup14に設定します。
IPsec設定セクションのDHグループパラメーターをgroup14に設定します。
説明IPsec接続の暗号化設定がオンプレミスゲートウェイデバイスの暗号化設定と同じになるように、オンプレミスゲートウェイデバイスに基づいて暗号化パラメーターを選択する必要があります。
BGP 設定
BGPパラメーター。
トンネル CIDR ブロック: アクティブなトンネルのCIDRブロック。
CIDRブロックは169.254.0.0/16に収まる必要があります。 CIDRブロックのサブネットマスクの長さは30ビットである必要があります。
CIDRブロックは169.254.0.0/16に該当する必要があります。 CIDRブロックのマスクは30ビット長でなければなりません。 CIDRブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または169.254.169.252/30にすることはできません。
説明VPNゲートウェイでは、各トンネルのCIDRブロックは一意である必要があります。
ローカル BGP IP アドレス: トンネルのBGP IPアドレス。
IPアドレスは、トンネルのCIDRブロック内にある必要があります。
トンネル CIDR ブロック: 169.254.10.0/30。
ローカル BGP IP アドレス:: 169.254.10.1。
トンネル2
スタンバイトンネルのVPNパラメーターを設定します。
カスタマーゲートウェイ
スタンバイトンネルに関連付けるカスタマーゲートウェイを選択します。
この例では、CustomerGW2が選択されています。
事前共有鍵
スタンバイトンネルの事前共有キーを入力して、IDを検証します。
この例では、fddsFF456 **** が使用されています。
暗号化設定
IKE、IPsec、DPD、およびNATトラバーサル機能のパラメーター。
この例では、次のものを除くすべてのパラメーターにデフォルト値が使用されます。 詳細については、「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
IKE設定セクションのDHグループパラメーターをgroup14に設定します。
IPsec設定セクションのDHグループパラメーターをgroup14に設定します。
説明IPsec接続の暗号化設定がオンプレミスゲートウェイデバイスの暗号化設定と同じになるように、オンプレミスゲートウェイデバイスに基づいて暗号化パラメーターを選択する必要があります。
BGP 設定
BGPパラメーター。
トンネル CIDR ブロック: 169.254.20.0/30。
ローカル BGP IP アドレス: 169.254.20.1。
タグ
IPsec-VPN接続にタグを追加します。
この例では、このパラメータは空のままです。
[作成済み] メッセージで、[OK] をクリックします。
IPsec 接続 ページで、作成したIPsec-VPN接続を見つけ、操作 列の [ピア構成の生成] をクリックします。
IPsecピアの設定は、IPsec-VPN接続を作成するときに追加する必要があるVPN設定を参照します。 この例では、データセンターのゲートウェイデバイスにVPN設定を追加する必要があります。
VPN 接続の構成 ダイアログボックスで、設定をコピーしてオンプレミスのコンピューターに保存します。 設定は、データセンターのゲートウェイデバイスを設定するときに必要です。
手順4: BGP動的ルーティングの有効化
VPNゲートウェイに対してBGP動的ルーティング機能を有効にすると、VPNゲートウェイはデータセンターからルートを学習してVPCに通知することができます。
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。
[VPN Gateway] ページで、作成したVPN Gatewayを見つけ、[自動ルート広告の有効化] 列でスイッチをオンにします。
手順5: データセンターのゲートウェイデバイスの設定
Alibaba CloudでIPsec-VPN接続を作成した後、データセンターのゲートウェイデバイスにVPNおよびルーティング設定を追加して、ゲートウェイデバイスがIPsec-VPN接続に接続できるようにする必要があります。 その後、ネットワークトラフィックはデフォルトでアクティブなトンネルからVPCに送信されます。 アクティブなトンネルが故障した場合、システムは自動的にトラフィックをスタンバイトンネルに切り替えます。
この例では、ソフトウェア適応型セキュリティアプライアンス (ASA) 9.19.1を使用して、Ciscoファイアウォールを設定する方法を説明します。 コマンドはソフトウェアのバージョンによって異なります。 運用中は、実際の環境に基づいてドキュメントまたはベンダーを参照してください。 詳細については、「ローカルゲートウェイの設定」をご参照ください。
次のコンテンツには、サードパーティの製品情報が含まれています。 Alibaba Cloudは、サードパーティ製品のパフォーマンスと信頼性、またはこれらの製品を使用して実行される運用の潜在的な影響について、保証またはその他の形態のコミットメントを行いません。
CiscoファイアウォールのCLIにログインし、設定モードを入力します。
ciscoasa> enable Password: ******** # Enter the password for entering the enable mode. ciscoasa# configure terminal # Enter the configuration mode. ciscoasa(config)#
インターフェイスの設定を表示します。
インターフェイスが設定され、Ciscoファイアウォールで有効になっていることを確認します。 この例では、次のインターフェイス設定が使用されます。
# View the interface configurations of On-premises Gateway Device 1. ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 # The name of the GigabitEthernet 0/0 interface. security-level 0 ip address 211.XX.XX.36 255.255.255.255 # The public IP address of the GigabitEthernet 0/0 interface. ! interface GigabitEthernet0/1 # The interface that connects to the data center. nameif private # The name of the GigabitEthernet 0/1 interface. security-level 100 # The security level of the private interface that connects to the data center, which is lower than that of a public interface. ip address 172.16.50.217 255.255.255.0 # The IP address of the GigabitEthernet 0/1 interface. ! # View the interface configurations of On-premises Gateway Device 2. ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 # The name of the GigabitEthernet 0/0 interface. security-level 0 ip address 211.XX.XX.71 255.255.255.255 # The public IP address of the GigabitEthernet 0/0 interface. ! interface GigabitEthernet0/1 # The interface that connects to the data center. nameif private # The name of the GigabitEthernet 0/1 interface. security-level 100 # The security level of the private interface that connects to the data center, which is lower than that of a public interface. ip address 172.16.40.218 255.255.255.0 # The IP address of the GigabitEthernet 0/1 interface. !
パブリックインターフェイスのIKEv2機能を有効にします。
# Add the following configurations to On-premises Gateway Devices 1 and 2: crypto ikev2 enable outside1 # Enable the IKEv2 feature for the interface outside1, which is a public interface.
IKEv2ポリシーを作成し、IKEフェーズで認証アルゴリズム、暗号化アルゴリズム、Diffie-Hellman (DH) グループ、およびセキュリティアソシエーション (SA) の有効期間を指定します。 値はAlibaba Cloudの値と同じである必要があります。
# Add the following configurations to On-premises Gateway Devices 1 and 2: crypto ikev2 policy 10 encryption aes # Specify the encryption algorithm. integrity sha # Specify the authentication algorithm. group 14 # Specify the DH group. prf sha # The value of the prf parameter must be the same as that of the integrity parameter. By default, these values are the same on Alibaba Cloud. lifetime seconds 86400 # Specify the SA lifetime.
IPsecの提案とプロファイルを作成し、CiscoファイアウォールのIPsecフェーズで暗号化アルゴリズム、認証アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloudの値と同じである必要があります。
# Add the following configurations to On-premises Gateway Devices 1 and 2: crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL # Create an IPsec proposal. protocol esp encryption aes # Specify the encryption algorithm. The Encapsulating Security Payload (ESP) protocol is used on Alibaba Cloud. Therefore, use the ESP protocol. protocol esp integrity sha-1 # Specify the authentication algorithm. The Encapsulating Security Payload (ESP) protocol is used on Alibaba Cloud. Therefore, use the ESP protocol. crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL # Create an IPsec profile and apply the proposal that is created. set ikev2 local-identity address # Set the format of the local ID to IP address, which is the same as the format of the remote ID on Alibaba Cloud. set pfs group14 # Specify the Perfect Forward Secrecy (PFS) and DH group. set security-association lifetime seconds 86400 # Specify the time-based SA lifetime. set security-association lifetime kilobytes unlimited # Disable the traffic-based SA lifetime.
トンネルグループを作成し、トンネルの事前共有キーを指定します。これはAlibaba Cloudと同じである必要があります。
# Add the following configurations to On-premises Gateway Device 1: tunnel-group 39.XX.XX.218 type ipsec-l2l # Specify the encapsulation mode l2l for Tunnel 1. tunnel-group 39.XX.XX.218 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF123**** # Specify the peer pre-shared key for Tunnel 1, which is the pre-shared key on Alibaba Cloud. ikev2 local-authentication pre-shared-key fddsFF123**** # Specify the local pre-shared key for Tunnel 1, which must be the same as that on Alibaba Cloud. ! # Add the following configurations to On-premises Gateway Device 2: tunnel-group 182.XX.XX.19 type ipsec-l2l # Specify the encapsulation mode l2l for Tunnel 2. tunnel-group 182.XX.XX.19 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF456**** # Specify the peer pre-shared key for Tunnel 2, which is the pre-shared key on Alibaba Cloud. ikev2 local-authentication pre-shared-key fddsFF456**** # Specify the local pre-shared key for Tunnel 2, which must be the same as that on Alibaba Cloud. !
トンネルインターフェイスを作成します。
# Add the following configurations to On-premises Gateway Device 1: interface Tunnel1 # Create an interface for Tunnel 1. nameif ALIYUN1 ip address 169.254.10.2 255.255.255.252 # Specify the IP address of the interface. tunnel source interface outside1 # Specify the IP address of the GigabitEthernet 0/0 interface as the source address of Tunnel 1. tunnel destination 39.XX.XX.218 # Specify the public IP address of Tunnel 1 on Alibaba Cloud as the destination address of Tunnel 1. tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE # Apply the IPsec profile ALIYUN-PROFILE on Tunnel 1. no shutdown # Enable the interface for Tunnel 1. ! # Add the following configurations to On-premises Gateway Device 2: interface Tunnel1 # Create an interface for Tunnel 2. nameif ALIYUN1 ip address 169.254.20.2 255.255.255.252 # Specify the IP address of the interface. tunnel source interface outside1 # Specify the IP address of the GigabitEthernet 0/0 interface as the source address of Tunnel 2. tunnel destination 182.XX.XX.19 # Specify the public IP address of Tunnel 2 on Alibaba Cloud as the destination address of Tunnel 2. tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE # Apply the IPsec profile ALIYUN-PROFILE on Tunnel 2. no shutdown # Enable the interface for Tunnel 2. !
ルートを設定します。
# Add the following configurations to Gateway Device 1 in the data center. route outside1 39.XX.XX.218 255.255.255.255 192.XX.XX.172 # Configure a route that points to the public IP address of Tunnel 1 on the Alibaba Cloud side. The next hop is an external IP address. route private 172.16.0.0 255.255.0.0 172.16.50.216 # Configure a route that points to the data center. router bgp 65500 address-family ipv4 unicast neighbor 169.254.10.1 remote-as 65530 # Specify the BGP peer, which is the IP address of Tunnel 1 on the Alibaba Cloud side. neighbor 169.254.10.1 ebgp-multihop 255 neighbor 169.254.10.1 activate # Activate the BGP peer. network 172.16.0.0 mask 255.255.0.0 # Advertise the CIDR block of the data center. exit-address-family # Add the following configurations to Gateway Device 2 in the data center. route outside1 182.XX.XX.19 255.255.255.255 192.XX.XX.123 # Configure a route that points to the public IP address of Tunnel 2 on the Alibaba Cloud side. The next hop is an external public IP address. route private 172.16.0.0 255.255.0.0 172.16.40.219 # Configure a route that points to the data center. router bgp 65500 address-family ipv4 unicast neighbor 169.254.20.1 remote-as 65530 # Specify the BGP peer, which is the IP address of Tunnel 2 on the Alibaba Cloud side. neighbor 169.254.20.1 ebgp-multihop 255 neighbor 169.254.20.1 activate # Activate the BGP peer. network 172.16.0.0 mask 255.255.0.0 # Advertise the CIDR block of the data center. exit-address-family
上記の設定を完了すると、データセンターとVPNゲートウェイの間にIPsec-VPN接続が確立されます。 データセンターとVPNゲートウェイは、BGPを介して互いにルートを学習できます。
ネットワーク環境に基づいてデータセンターにルートを追加します。 このルートでは、ネットワークトラフィックをデータセンターからVPCに優先的にオンプレミスゲートウェイデバイス1を介して送信できるようにする必要があります。 オンプレミスゲートウェイ装置1がダウンした場合、オンプレミスゲートウェイ装置2が自動的に引き継ぐ。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。
ステップ6: ネットワーク接続のテスト
VPCとデータセンター間のネットワーク接続をテストします。
VPC の ECS インスタンスにログインします。 ECSインスタンスにログインする方法の詳細については、接続方法の概要.
ECSインスタンスで
ping
コマンドを実行し、データセンターのサーバーにpingを実行して、データセンターのアクセシビリティをテストします。ECSインスタンスにエコー応答パケットが返された場合、VPCがデータセンターと通信できることを示します。
ping <Private IP address of a server in the data center>
IPsec-VPN接続の高可用性をテストします。
VPC の ECS インスタンスにログインします。 ECSインスタンスにログインする方法の詳細については、接続方法の概要.
次のコマンドを実行して、ECSインスタンスからデータセンターにパケットを連続的に送信します。
ping <Private IP address of a server in the data center> -c 10000
IPsec-VPN接続のアクティブなトンネルを閉じます。
アクティブトンネルを閉じるには、アクティブトンネルの事前共有キーを変更します。 アクティブなトンネルは、トンネルの両側が異なる事前共有鍵を使用するときに閉じられる。
アクティブなトンネルが閉じられた後、ECSインスタンスのトラフィックステータスを確認できます。 トラフィックが中断されてから再開された場合は、アクティブなトンネルがダウンした後にスタンバイトンネルが自動的に引き継ぐことを示します。