IPsec-VPN とは

IPsec-VPN は、柔軟なトラフィックルーティング方法を提供し、VPN ポリシーの設定と維持を可能にするルートベースのネットワーク接続テクノロジーです。また、インターネットキー交換 (IKE) とインターネットプロトコルセキュリティ (IPsec) を使用してデータ転送を暗号化します。 IPsec-VPN を使用すると、Alibaba Cloud と企業のデータセンターまたはオフィスネットワークの間に安全で信頼性の高いネットワーク接続を確立できます。

説明

Alibaba Cloud VPN Gateway は、中国本土のポリシーと規制に準拠したサービスを提供しています。 VPN Gateway を使用して、国境内の接続のみを確立できます。詳細については、「クロスボーダー接続と国境内の接続とは」をご参照ください。

ネットワーク接続シナリオ

IPsec-VPN 接続は、VPN ゲートウェイと転送ルータという以下のタイプのリソースに関連付けることができます。ネットワーク接続シナリオは、関連付けられたリソースのタイプによって異なります。

VPN ゲートウェイに IPsec-VPN 接続を関連付ける

転送ルータに IPsec-VPN 接続を関連付ける

IPsec-VPN を使用して、企業のデータセンターまたはオフィスネットワークと仮想プライベートクラウド (VPC) の間に接続を確立できます。この方法で、データセンターまたはオフィスネットワークから VPC 内のリソースにアクセスできます。

IPsec-VPN を使用して、企業のデータセンターまたはオフィスネットワークと Alibaba Cloud 上の転送ルータの間に接続を確立できます。この方法で、データセンターまたはオフィスネットワークは、転送ルータに接続されている他のネットワークと通信し、それらのネットワーク内のリソース (異なるリージョンにある他のデータセンターや VPC など) にアクセスできます。転送ルータの詳細については、「CEN とは」をご参照ください。

IPsec-VPN コンポーネント

VPN ゲートウェイに IPsec-VPN 接続を関連付ける

転送ルータに IPsec-VPN 接続を関連付ける

コンポーネント	説明
VPN Gateway	IPsec-VPN を使用する前に、VPN ゲートウェイを購入し、VPN ゲートウェイで IPsec-VPN を有効にする必要があります。 VPN ゲートウェイを購入すると、Alibaba Cloud が VPN リソースをデプロイします。
カスタマーゲートウェイ	カスタマーゲートウェイは、Alibaba Cloud 上に作成されるリソースです。 IP アドレスや BGP ASN など、オンプレミスゲートウェイデバイスに関する情報を Alibaba Cloud に登録するために使用されます。
IPsec-VPN 接続	IPsec-VPN 接続は、データセンターと VPC 間の暗号化された通信チャネルです。 IPsec-VPN 接続を使用して、データセンターがアクセスするネットワークを制御できます。 IPsec-VPN 接続には、データの暗号化と転送に使用される 2 つのトンネルが含まれています。
オンプレミスゲートウェイデバイス	オンプレミスゲートウェイデバイスとは、データセンター内の物理デバイス (ほとんどの場合、ゲートウェイデバイス) またはアプリケーションを指します。オンプレミスゲートウェイデバイスは、ピアとネゴシエートして IPsec-VPN 接続を確立できるように、VPN 機能をサポートしている必要があります。説明説明を簡単にするために、以下のセクションでは、「データセンター」という用語を使用して、Alibaba Cloud と IPsec-VPN 接続を確立する必要があるデータセンターまたはオフィスネットワークを指します。

コンポーネント	説明
転送ルータ	転送ルータは、Cloud Enterprise Network (CEN) のコンポーネントです。同じリージョン内および Alibaba Cloud 上のリージョンをまたがるネットワークを接続するために使用されます。
カスタマーゲートウェイ	カスタマーゲートウェイは、Alibaba Cloud 上に作成されるリソースです。 IP アドレスや BGP ASN など、オンプレミスゲートウェイデバイスに関する情報を Alibaba Cloud に登録するために使用されます。
IPsec-VPN 接続	IPsec-VPN 接続は、データセンターと転送ルータ間の暗号化された通信チャネルです。 IPsec-VPN 接続を使用して、データセンターがアクセスするネットワークを制御できます。 IPsec-VPN 接続には、データの暗号化と転送に使用される 2 つのトンネルが含まれています。
オンプレミスゲートウェイデバイス	オンプレミスゲートウェイデバイスとは、データセンター内の物理デバイス (ほとんどの場合、ゲートウェイデバイス) またはアプリケーションを指します。オンプレミスゲートウェイデバイスは、ピアとネゴシエートして IPsec-VPN 接続を確立できるように、VPN 機能をサポートしている必要があります。説明説明を簡単にするために、以下のセクションでは、「データセンター」という用語を使用して、Alibaba Cloud と IPsec-VPN 接続を確立する必要があるデータセンターまたはオフィスネットワークを指します。

デュアルトンネルモード

デフォルトでは、IPsec-VPN 接続には 2 つの暗号化トンネルがあります。複数のゾーンを持つリージョンでは、異なるゾーンにトンネルをデプロイして、ゾーンディザスタリカバリを実装できます。中国 (南京 - ローカルリージョン) など、リージョンにゾーンが 1 つしかない場合、2 つのトンネルは同じゾーンにデプロイされます。この場合、クロスゾーンディザスタリカバリはサポートされていません。ただし、一方のトンネルがダウンした場合でも、もう一方のトンネルが引き継ぐことができます。

VPN ゲートウェイに関連付けられた IPsec-VPN 接続には、A-S モードで動作する 2 つの暗号化トンネルがあります。デフォルトでは、トラフィックはアクティブなトンネルのみを介して転送されます。アクティブなトンネルに障害が発生した場合、スタンバイトンネルが引き継ぎます。詳細については、「[アップグレードのお知らせ] IPsec-VPN 接続がデュアルトンネルモードをサポート」をご参照ください。
転送ルータに関連付けられた IPsec-VPN 接続には、等価コストマルチパス (ECMP) ルーティング用の 2 つのトンネルがあります。両方のトンネルがデータの転送に使用されます。一方のトンネルがダウンすると、トラフィックはもう一方のトンネルに切り替えられます。詳細については、「デュアルトンネルモードで転送ルータに関連付けられている IPsec-VPN 接続の概要」をご参照ください。

重要

IPsec-VPN 接続を作成する場合は、2 つのトンネルを設定し、それらが使用可能であることを確認する必要があります。トンネルの 1 つだけを設定または使用する場合、アクティブ/スタンバイトンネルに基づく IPsec-VPN 接続の冗長性とゾーンディザスタリカバリはサポートされません。さらに、VPN Gateway の SLA は保証されません。

VPN ゲートウェイに IPsec-VPN 接続を関連付ける

転送ルータに IPsec-VPN 接続を関連付ける

説明

既存の VPN ゲートウェイに関連付けられている一部の IPsec-VPN 接続は、シングルトンネルモードのみをサポートしています。シングルトンネル IPsec-VPN 接続は、トンネルに障害が発生すると中断される可能性があります。デュアルトンネルモードを使用するために、できるだけ早く既存の VPN ゲートウェイをアップグレードすることをお勧めします。デュアルトンネル IPsec-VPN 接続のアクティブトンネルに障害が発生した場合、スタンバイトンネルが引き継ぎます。デュアルトンネルモードを使用するためのアップグレード方法の詳細については、「デュアルトンネルモードを有効にするために VPN ゲートウェイをアップグレードする」をご参照ください。

説明

転送ルータに関連付けられたシングルトンネル IPsec-VPN 接続は、高可用性ではありません。この操作によってネットワーク接続が損なわれない場合は、これらの接続を削除してから、デュアルトンネル IPsec-VPN 接続を作成することをお勧めします。

機能比較

次の表は、上記の 2 つのシナリオにおける IPsec-VPN 接続の機能を比較したものです。

項目	VPN ゲートウェイに IPsec-VPN 接続を関連付ける	転送ルータに IPsec-VPN 接続を関連付ける

項目	VPN ゲートウェイに IPsec-VPN 接続を関連付ける	転送ルータに IPsec-VPN 接続を関連付ける
ネットワーク接続	データセンターは、VPN ゲートウェイに関連付けられている VPC とのみ通信できます。	データセンターは、転送ルータを使用して VPC と通信したり、転送ルータに接続されている他のネットワークと通信したりできます。
サポートされている暗号化アルゴリズム	国際標準に準拠した商用暗号アルゴリズム	国際標準に準拠した商用暗号アルゴリズム
IPsec-VPN 接続でサポートされているトンネルモード	デュアルトンネルモード説明一部の既存の VPN ゲートウェイの IPsec-VPN 接続は、シングルトンネルモードのみをサポートしています。シングルトンネル IPsec-VPN 接続をデュアルトンネル IPsec-VPN 接続にアップグレードすることをお勧めします。詳細については、「デュアルトンネルモードを有効にするために VPN ゲートウェイをアップグレードする」をご参照ください。	デュアルトンネルモード説明シングルトンネル IPsec-VPN 接続は、高可用性ではありません。この操作によってネットワーク接続が損なわれない場合は、これらの接続を削除してから、デュアルトンネル IPsec-VPN 接続を作成することをお勧めします。
各 IPsec-VPN 接続でサポートされる最大帯域幅	1,000 Mbit/s。説明一部のリージョンでは、VPN ゲートウェイでサポートされる最大帯域幅は 500 Mbit/s です。リージョンの詳細については、「VPN ゲートウェイの作成と管理」トピックの「制限」セクションをご参照ください。	デュアルトンネルモードでは、IPsec-VPN 接続は最大 2,000 Mbit/s をサポートします。各トンネルは最大 1,000 Mbit/s をサポートします。シングルトンネルモードでは、IPsec-VPN 接続は最大 1,000 Mbit/s をサポートします。他の方法を使用して、IPsec-VPN 接続の帯域幅を増やすことができます。詳細については、「VPN ゲートウェイに関する FAQ」トピックの「IPsec-VPN 接続の最大帯域幅を増やすにはどうすればよいですか？」セクションをご参照ください。
1 秒あたりに転送されるパケット数	VPN ゲートウェイを介して 1 秒あたりに転送できる送受信パケットの総数は 120,000 です。各パケットのサイズは 256 バイトです。説明 VPN ゲートウェイに複数の IPsec-VPN 接続がある場合、これらの接続を介して 1 秒あたりに転送される送受信パケットの合計は 120,000 を超えてはなりません。各パケットのサイズは 256 バイトです。	デュアルトンネルモードでは、1 つのトンネルを介して 1 秒あたりに転送できる送受信パケットの総数は 120,000 です。各パケットのサイズは 256 バイトです。シングルトンネルモードでは、IPsec-VPN 接続を介して 1 秒あたりに転送できる送受信パケットの総数は 120,000 です。各パケットのサイズは 256 バイトです。
高可用性を実装するために使用される方法	A-S 接続。	ECMP ルーティング。
シナリオ	データセンターを VPC に接続する VPC を別の VPC に接続する高可用性 A-S 接続を使用してデータセンターを VPC に接続する複数のオフィスネットワークを接続する Express Connect 回線を介したプライベート接続を暗号化する詳細については、「IPsec-VPN 接続を VPN ゲートウェイに関連付ける」をご参照ください。	データセンターを VPC に接続する高可用性 ECMP 接続を使用してデータセンターを VPC に接続する複数のオフィスネットワークを接続する Express Connect 回線を介したプライベート接続を暗号化する詳細については、「IPsec-VPN 接続を転送ルータに関連付ける」をご参照ください。