IPsec接続が転送ルータに関連付けられた後、データセンタと転送ルータとの間にIPsec − VPN接続を確立することができる。 このようにして、データセンターは転送ルータを使用して他のネットワークにアクセスできます。
前提条件
データセンターと転送ルータ間にIPsec-VPN接続を確立する前に、次の前提条件が満たされていることを確認してください。
パブリックIPsec接続を転送ルータに関連付ける場合、パブリックIPアドレスをデータセンターのゲートウェイデバイスに割り当てる必要があります。
データセンターのゲートウェイデバイスに2つのパブリックIPアドレスを設定することを推奨します。 または、データセンターに2つのゲートウェイデバイスをデプロイし、各ゲートウェイデバイスにパブリックIPアドレスを設定することもできます。 この方法で、高可用性のIPsec-VPN接続を作成できます。
データセンターのゲートウェイデバイスは、転送ルータとのIPsec-VPN接続を確立するために、IKEv1またはIKEv2プロトコルをサポートする必要があります。
データセンターのCIDRブロックは、アクセスするネットワークのCIDRブロックと重複しません。
アクセスするネットワークに対してアクセス制御リスト (ACL) などのセキュリティポリシーが設定されている場合、セキュリティポリシーはデータセンターからのアクセスを許可する必要があります。
制限事項
特定のリージョンでのみ、IPsec接続を転送ルータに関連付けることができます。 サポートされるリージョンの詳細については、「IPsec-VPN機能をサポートするリージョン」をご参照ください。
IPsec接続が転送ルータに関連付けられているシナリオでは、IPsec接続はEnterprise Edition転送ルータにのみ関連付けることができます。
手順
シーケンス番号 | 関連ドキュメント | 説明 |
1 | 転送ルータは、Cloud Enterprise Network (CEN) インスタンスにデプロイされます。 転送ルータを作成する前に、CENインスタンスを作成する必要があります。 | |
2 | 転送ルータの作成 | 転送ルータは、ネットワークトラフィックを転送するために使用されるリージョン内の重要なネットワーク要素です。 転送ルータを使用する前に、データセンターがデプロイされているリージョンまたはデータセンターに近いリージョンに転送ルータを作成する必要があります。 重要 転送ルータを作成するときは、転送ルータのCIDRブロックを設定する必要があります。 それ以外の場合、IPsec接続を転送ルータに関連付けることはできません。 転送ルータを作成した場合は、転送ルータのCIDRブロックを設定できます。 詳細については、「転送ルータCIDRブロック」をご参照ください。 |
3 | カスタマーゲートウェイを作成し、IPアドレスやBorder gateway Protocol (BGP) 自律システム番号 (ASN) などのデータセンターのゲートウェイデバイスに関する情報をAlibaba Cloudのカスタマーゲートウェイに追加する必要があります。 | |
4 | IPsec-VPN接続は、データセンターと転送ルータ間の暗号化されたデータ送信トンネルです。 IPsec-VPN接続を作成するときは、リソースの関連付け パラメーターを CEN または 関連付け禁止 に設定します。 | |
5 | IPsec-VPN接続を確立するためにIPsec接続とネゴシエートできるように、データセンターのゲートウェイデバイスにVPN設定を追加する必要があります。 | |
6 | IPsec-VPN接続用のデータセンターを指すルートを設定し、そのルートを転送ルータのルートテーブルにアドバタイズする必要があります。 このようにして、データセンターを転送ルータに接続できます。 | |
7 | ネットワーク接続をテストする | データセンターのサーバーにログインし、pingコマンドを実行して、アクセスするネットワーク内のサーバーのプライベートIPアドレスをpingします。 |