IPsec-VPNは、柔軟なトラフィックルーティング方法を提供し、VPNポリシーを設定および維持できるルートベースのネットワーク接続テクノロジーです。 また、インターネット鍵交換 (IKE) とインターネットプロトコルセキュリティ (IPsec) を使用してデータ送信を暗号化します。 IPsec-VPNを使用して、Alibaba Cloudと企業のデータセンターまたはオフィスネットワークとの間に安全で信頼性の高いネットワーク接続を確立できます。
Alibaba Cloud VPN Gatewayは、中国本土のポリシーおよび規制に準拠したサービスを提供します。 VPN Gatewayを使用して、境界内接続のみを確立できます。 詳細については、「Intra-border connections」トピックの「Intra-border connections」セクションをご参照ください。
ネットワーク接続シナリオ
IPsec-VPN接続を次のタイプのリソースに関連付けることができます: VPNゲートウェイとトランジットルーター。 ネットワーク接続シナリオは、関連するリソースのタイプによって異なります。
IPsec-VPN接続とVPNゲートウェイの関連付け
IPsec-VPNを使用して、企業のデータセンターまたはオフィスネットワークと仮想プライベートクラウド (VPC) との間に接続を確立できます。 これにより、データセンターまたはオフィスネットワークからVPCのリソースにアクセスできます。
IPsec-VPN接続とトランジットルーターの関連付け
IPsec-VPNを使用して、企業のデータセンターまたはオフィスネットワークとAlibaba Cloud上のトランジットルーター間の接続を確立できます。 このようにして、データセンターまたはオフィスネットワークは、トランジットルーターに接続された他のネットワークと通信し、それらのネットワーク内のリソースにアクセスできます。 トランジットルーターの詳細については、CENとは何ですか?
IPsec-VPNコンポーネント
IPsec-VPN接続とVPNゲートウェイの関連付け
コンポーネント | 説明 |
VPN ゲートウェイ | IPsec-VPNを使用する前に、VPNゲートウェイを購入し、VPNゲートウェイのIPsec-VPNを有効にする必要があります。 VPNゲートウェイを購入すると、Alibaba CloudはVPNリソースをデプロイします。 |
カスタマーゲートウェイ | カスタマーゲートウェイは、Alibaba Cloud上に作成されたリソースです。 IPアドレスやBGP ASNなど、オンプレミスゲートウェイデバイスに関する情報をAlibaba Cloudに登録するために使用されます。 |
IPsec-VPN接続 | IPsec-VPN接続は、データセンターとVPC間の暗号化された通信チャネルです。 IPsec-VPN接続を使用して、データセンターがアクセスするネットワークを制御できます。 IPsec-VPN接続には、データの暗号化と送信に使用される1つまたは2つのトンネルが含まれています。 |
オンプレミスゲートウェイデバイス | オンプレミスのゲートウェイ装置とは、物理的な装置 (ほとんどの場合、ゲートウェイ装置) やデータセンタ内のアプリケーションを指す。 オンプレミスのゲートウェイデバイスは、ピアと交渉してIPsec-VPN接続を確立できるように、VPN機能をサポートする必要があります。 説明 説明を簡単にするために、以下のセクションでは「データセンター」という用語を使用して、Alibaba CloudとのIPsec-VPN接続を確立する必要があるデータセンターまたはオフィスネットワークを指します。 |
IPsec-VPN接続とトランジットルーターの関連付け
コンポーネント | 説明 |
トランジットルーター | トランジットルーターは、Cloud Enterprise Network (CEN) のコンポーネントです。 同じでネットワークを接続することを使用します Alibaba Cloud上のリージョンおよび複数のリージョンを含みます。 |
カスタマーゲートウェイ | カスタマーゲートウェイは、Alibaba Cloud上に作成されたリソースです。 IPアドレスやBGP ASNなど、オンプレミスゲートウェイデバイスに関する情報をAlibaba Cloudに登録するために使用されます。 |
IPsec-VPN接続 | IPsec-VPN接続は、データセンターとトランジットルーター間の暗号化された通信チャネルです。 IPsec-VPN接続を使用して、データセンターがアクセスするネットワークを制御できます。 IPsec-VPN接続には、データの暗号化と送信に使用される1つのトンネルが含まれています。 |
オンプレミスゲートウェイデバイス | オンプレミスのゲートウェイ装置とは、物理的な装置 (ほとんどの場合、ゲートウェイ装置) やデータセンタ内のアプリケーションを指す。 オンプレミスのゲートウェイデバイスは、ピアと交渉してIPsec-VPN接続を確立できるように、VPN機能をサポートする必要があります。 説明 説明を簡単にするために、以下のセクションでは「データセンター」という用語を使用して、Alibaba CloudとのIPsec-VPN接続を確立する必要があるデータセンターまたはオフィスネットワークを指します。 |
トンネルモード
IPsec-VPNは次のトンネルモードをサポートします。 ネットワーク接続シナリオに基づいてトンネルモードを選択します。
二重トンネルモード
このモードでは、IPsec-VPN接続にアクティブ /スタンバイモードで動作する2つの暗号化されたトンネルがあります。 デフォルトでは、トラフィックはアクティブなトンネルを介してのみ転送されます。 アクティブトンネルに障害が発生すると、スタンバイトンネルが引き継ぎます。 2つのトンネルは、ゾーンディザスタリカバリを実装するために異なるゾーンに展開されます。
中国 (南京ローカルリージョン) など、デュアルトンネルモードをサポートするゾーンが1つしかないリージョンの場合、ゾーンディザスタリカバリはサポートされません。
デュアルトンネルIPsec-VPN接続を作成するときは、2つのトンネルを設定し、それらが使用可能であることを確認する必要があります。 トンネルの1つのみを設定または使用する場合、アクティブ /スタンバイトンネルおよびゾーンディザスタリカバリに基づくIPsec-VPN接続の冗長性はサポートされません。 さらに、 VPN GatewayのSLAは保証されていません。
単一トンネルモード
このモードでは、IPsec-VPN接続には暗号化されたトンネルが1つしかなく、クラウドの内外のトラフィックはこのトンネルを介してのみ転送されます。
デュアルトンネルIPsec-VPN接続とVPNゲートウェイの関連付け
IPsec-VPN接続がデュアルトンネルモードをサポートするようになりました。 一部の既存のVPNゲートウェイ上のIPsec-VPN接続は、シングルトンネルモードのみをサポートします。 単一トンネルIPsec-VPN接続は、トンネルに障害が発生すると中断される可能性があります。 既存のVPNゲートウェイをアップグレードして、できるだけ早い機会にデュアルトンネルモードを使用することを推奨します。 デュアルトンネルIPsec-VPN接続のアクティブトンネルに障害が発生した場合、スタンバイトンネルが引き継ぎます。 デュアルトンネルモードの詳細については、「 [アップグレード通知] IPsec-VPN接続がデュアルトンネルモードをサポート」をご参照ください。
シングルトンネルIPsec-VPN接続とVPNゲートウェイの関連付け
このシナリオでは、IPsec-VPN接続はシングルトンネルモードのみをサポートします。 高可用性を確保するために、複数のIPsec-VPN接続を作成できます。
機能の比較
次の表は、上記の2つのシナリオでのIPsec-VPN接続の機能を比較しています。
項目 | IPsec-VPN接続とVPNゲートウェイの関連付け | IPsec-VPN接続とトランジットルーターの関連付け |
ネットワーク接続 | データセンターは、VPNゲートウェイに関連付けられているVPCとのみ通信できます。 | データセンターは、トランジットルーターまたはトランジットルーターに接続されている他のネットワークを使用してVPCと通信できます。 |
サポートされる暗号化アルゴリズム | 国際規格に準拠した商用暗号アルゴリズム | 国際規格に準拠した商用暗号アルゴリズム |
IPsec-VPN接続でサポートされるトンネルモード | 二重トンネルモード 説明 一部の既存のVPNゲートウェイ上のIPsec-VPN接続は、シングルトンネルモードのみをサポートします。 シングルトンネルIPsec-VPN接続をデュアルトンネルIPsec-VPN接続にアップグレードすることを推奨します。 詳細については、「VPN gatewayのアップグレードによるデュアルトンネルモードの有効化」をご参照ください。 | 単一トンネルモード |
各IPsec-VPN接続でサポートされる最大帯域幅 | 1,000 Mbit/s。 説明 一部のリージョンでVPN Gatewayがサポートする最大帯域幅は500 Mbit/sです。 リージョンの詳細については、「VPNゲートウェイの作成と管理」トピックの制限セクションを参照してください。 | デフォルト値: 1,000 Mbit/s。 他の方法を使用して、IPsec-VPN接続の帯域幅を増やすことができます。 詳細については、「」をご参照ください。IPsec-VPN接続の最大帯域幅を増やすにはどうすればよいですか? 「VPNゲートウェイに関するFAQ」トピックのセクション。 |
各IPsec-VPN接続を介して送信できる1秒あたりの最大パケット数 | 120,000 (パケットあたり256バイト) | 120,000 (パケットあたり256バイト) |
高可用性の実装に使用するメソッド | アクティブ /スタンバイ接続 | 等しいコストのマルチパス (ECMP) ルーティング |
シナリオ |
詳細については、「IPsec-VPN接続とVPN Gatewayの関連付け」をご参照ください。 |
詳細については、「IPsec-VPN接続とトランジットルーターの関連付け」をご参照ください。 |