すべてのプロダクト
Search

このプロダクト

    VPN Gateway:IPsec-VPNとExpress Connect回路を使用してアクティブ /スタンバイ接続を構成する

    ドキュメントセンター

    VPN Gateway:IPsec-VPNとExpress Connect回路を使用してアクティブ /スタンバイ接続を構成する

    最終更新日:Oct 22, 2024

    このトピックでは、IPsec-VPNとExpress Connect回路を使用して、データセンターと仮想プライベートクラウド (VPC) 間のアクティブ /スタンバイ接続を設定する方法について説明します。

    シナリオ

    このトピックでは、次のシナリオを使用して、IPsec-VPNとExpress Connect回路の両方を使用してデータセンターをVPCに接続する方法を示します。 企業は杭州にデータセンターを持ち、中国 (杭州) リージョンにVPC1をデプロイしています。 VPC1では、相互作用とデータ分析のためにElastic Compute Service (ECS) などのクラウドサービスがデプロイされます。 同社は、データセンターとVPC1の間にアクティブ /スタンバイ接続を確立したいと考えています。 次のセクションでは、接続について説明します。

    • 接続1: Express Connect回路を作成し、Cloud Enterprise Network (CEN) を使用してデータセンターをVPC1に接続します。

    • 接続2: VPNゲートウェイを独立したVPC (VPC2) に関連付けます。 VPC2にはサービスがデプロイされておらず、IPsec-VPN接続を介してデータセンターをクラウドに接続するためのトランジットノードとしてのみ機能します。 その後、データセンターはIPsec-VPN接続とCENを介してVPC1に接続できます。

      • Express Connect回路とIPsec-VPN接続が期待どおりに機能している場合、VPC1はExpress Connect回路とIPsec-VPN接続を介してデータセンターを指すルートを学習できます。 デフォルトでは、Express Connect回線を介して学習されたルートは、IPsec-VPN接続を介して学習されたルートよりも優先度が高くなります。 したがって、デフォルトでは、データはExpress Connect回路を介してVPC1からデータセンターに転送されます。

      • Express Connect回線がダウンすると、Express Connect回線から学習したルートは撤回され、IPsec-VPN接続を介して学習したルートは自動的に有効になります。 データは、IPsec-VPN接続を介してVPC1からデータセンターに転送されます。 Express Connect回路が復旧すると、Express Connect回路が引き継ぎ、IPsec-VPN接続がスタンバイ接続として機能します。

    主备链路架构图2.0

    準備

    • データセンターとネットワークインスタンスのルーティングプロトコルを計画する必要があります。 このトピックでは、次のルーティングプロトコルを使用します。

      • 静的ルーティングは、データセンターゲートウェイとVPNゲートウェイの間で使用されます。

      • データセンターのゲートウェイデバイスと仮想ボーダールータ (VBR) の間では、ボーダゲートウェイプロトコル (BGP) の動的ルーティングが使用されます。

        説明

        VPNゲートウェイがスタンバイ接続として機能し、Express Connect回路がアクティブ接続として機能するシナリオでは、次のようになります。

        • VPNゲートウェイが独立したVPC (たとえば、このトピックのVPC2) に関連付けられている場合、VBRはBGP動的ルーティングを使用する必要があります。 VPNゲートウェイは、静的ルーティングまたはBGP動的ルーティングを使用できます。

        • VPNゲートウェイがサービスがデプロイされているVPCに関連付けられている場合 (このトピックのVPC1など) 、VBRゲートウェイとVPNゲートウェイの両方でBGP動的ルーティングを使用する必要があります。

    • データセンターとネットワークインスタンスのネットワークを計画する必要があります。 データセンターのCIDRブロックがネットワークインスタンスのCIDRブロックと重複しないようにしてください。 このトピックでは、次のCIDRブロックが使用されます。

      アイテム

      CIDRブロック

      IPアドレス

      VPC1

      192.168.0.0/16

      ECSインスタンスのIPアドレス: 192.168.20.161

      VPC2

      10.0.0.0/16

      非該当

      VBR

      10.1.0.0/30

      • VLAN ID: 0

      • Alibaba Cloud側のIPv4アドレス: 10.1.0.1/30

      • お客様側のIPv4アドレス: 10.1.0.2/30

        このトピックでは、顧客側のデバイスはデータセンターのゲートウェイデバイスを指します。

      データセンター

      172.16.0.0/16

      クライアントのIPアドレス: 172.16.1.188

      データセンターゲートウェイ

      10.1.0.0/30

      • パブリックIPアドレス: 211.XX. XX.68

      • Express Connect回路に接続されたインターフェイスのIPアドレス: 10.1.0.2/30

      • BGP自律システム番号 (ASN): 65530

    • VPC1とVPC2は中国 (杭州) リージョンで作成されます。 ビジネスインタラクションとデータ分析に使用されるクラウドサービスはVPC1にデプロイされています。 VPC2にはサービスがデプロイされていません。 VPC2はVPNゲートウェイに関連付けられており、データセンターとVPC1間のトランジットVPCとして機能します。 詳細については、「VPCの作成と管理」をご参照ください。

    • データセンターのゲートウェイデバイスを確認します。 標準のIKEv1およびIKEv2プロトコルをサポートしていることを確認します。 ゲートウェイがIKEv1およびIKEv2プロトコルをサポートしているかどうかを確認するには、ゲートウェイの製造元にお問い合わせください。

    • 静的IPアドレスは、データセンタ内のゲートウェイデバイスに割り当てられる。

    • VPC1のECSインスタンスのセキュリティグループルールを理解しています。 ルールにより、データセンターがVPC1のECSインスタンスにアクセスできるようにしてください。 詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。

    手順

    物理专线和VPN配置步骤

    ステップ1: Express Connect回路のデプロイ

    1. Express Connect回路を作成します。

      中国 (杭州) リージョンのExpress Connect回線を申請する必要があります。 詳細については、「Express Connect回線を介した専用接続の作成と管理」または「ホスト接続の概要」をご参照ください。

    2. VBRを作成します。

      1. Express Connectコンソール.

      2. 左側のナビゲーションウィンドウで、仮想ボーダールーター (VBR).

      3. 上部のナビゲーションバーで、VBRを作成するリージョンを選択します。

        この例では、中国 (杭州) リージョンが選択されています。

      4. 仮想ボーダールーター (VBR)ページをクリックします。VBRの作成.

      5. VBR の作成パネル、次のパラメータを設定し、OK.

        • 現在のアカウント: 現在のアカウントを選択します。

        • 名前: この例ではVBRが使用されます。

        • 物理接続インターフェイス: Express Connect回路を選択します。

        • VLAN ID: このパラメーターを0に設定します。

        • VBR 帯域幅値の設定: VBRの最大帯域幅を指定します。

        • IPv4アドレス (Alibaba Cloud Gateway): このパラメーターを10.1.0.1に設定します。

        • IPv4アドレス (データセンターゲートウェイ): このパラメーターを10.1.0.2に設定します。

        • サブネットマスク (IPv4): このパラメーターを255.255.255.252に設定します。

    3. BGPグループを設定します。

      1. [仮想ボーダールーター (VBR)] ページで、管理するVBRのIDをクリックします。

      2. 詳細ページで、[BGPグループ] タブをクリックします。

      3. BGP グループの作成次のパラメーターを設定し、OK.

        • 名前: BGPグループの名前を入力します。 この例では、テストが使用されます。

        • ピアASN: データセンターのゲートウェイデバイスのASNを入力します。 この例では、65530が使用されます。

        • BGPキー: BGPグループのキーを入力します。 この例では、このパラメーターは設定されていません。

        • 説明: BGPグループの説明を入力します。 この例では、テストが使用されます。

    4. BGPピアを設定します。

      1. VBRの詳細ページで、[BGPピア] タブをクリックします。

      2. [BGPピア] タブで、[BGPピアの作成] をクリックします。

      3. BGP ピアの作成パネル、次のパラメータを設定し、OK.

        • BGPグループ: BGPグループを選択します。 この例では、testという名前のBGPグループが使用されます。

        • BGPピアIP: BGPピアのIPアドレスを入力します。 この例では、10.1.0.2が使用されます。これは、データセンターのゲートウェイデバイスのポートIPアドレスです。

    ステップ2: VPNゲートウェイのデプロイ

    1. VPNゲートウェイを作成します。

      1. VPN Gatewayコンソール.

      2. 上部のナビゲーションバーで、中国 (杭州)リージョンを使用します。

      3. VPN Gatewayページをクリックします。VPN Gateway の作成.

      4. 購入ページで、次のパラメーターを設定し、今すぐ購入、そして支払いを完了します。

        • 名前: VPN gatewayの名前を入力します。

        • リージョン: VPNゲートウェイをデプロイするリージョンを選択します。

          この例では、VPNゲートウェイはVPC2に関連付けられています。 VPC2とVPN gatewayが同じリージョンにデプロイされていることを確認します。 この例では、中国 (杭州) リージョンが選択されています。

        • ゲートウェイのタイプ: 作成するNATゲートウェイのタイプを選択します。 この例では、標準 が選択されています。

        • ネットワークタイプ: VPN gatewayのネットワークタイプを選択します。 この例では、[パブリック] が選択されています。

        • トンネル: リージョンのIPsec-VPN接続でサポートされているモードが表示されます。

        • [VPC]: VPNゲートウェイをデプロイするVPCを選択します。 この例ではVPC2が選択されています。

        • VSwitch: VPCからvSwitchを選択します。

          • シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。

          • デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。

            IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。

          説明

          • システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。

          • VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。

        • vSwitch 2: VPCから別のvSwitchを選択します。

          IPsec-VPN接続がシングルトンネルモードを使用する場合は、このパラメーターを無視します。

        • 最大帯域幅: VPN gatewayの最大帯域幅を指定します。 帯域幅は、インターネットを介したデータ転送に使用される。

        • トラフィック: デフォルトでは、VPNゲートウェイはデータ転送課金方式を使用します。 詳細については、「課金」をご参照ください。

        • IPsec-VPN: IPsec-VPN機能を有効または無効にできます。 この機能を有効にすると、データセンターとVPC間、または2つのVPC間の接続を確立できます。 この例では、[有効化] が選択されています。

        • SSL-VPN: SSL-VPN機能を有効または無効にできます。 この機能を有効にすると、場所に関係なくクライアントからVPCに接続できます。 この例では、[無効] が選択されています。

        • 期間: デフォルトでは、VPNゲートウェイは1時間ごとに課金されます。

        • サービスにリンクされたロール: [サービスにリンクされたロールの作成] をクリックすると、サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。

          詳細については、「AliyunServiceRoleForVpn」をご参照ください。 [作成済み] が表示されている場合は、サービスにリンクされたロールが既に作成されており、再度作成する必要はありません。

      5. VPN Gatewayページで、VPNゲートウェイのパブリックIPアドレスを確認して記録し、データセンターのルート設定を追加します。

        新しく作成されたVPN gatewayは 準備中 状態です。 約1〜5分後、それは正常状態に入る。 正常 状態は、VPNゲートウェイが初期化され、使用可能な状態であることを示します。

    2. カスタマーゲートウェイを作成します。

      1. 左側のナビゲーションウィンドウで、相互接続 > VPN > カスタマーゲートウェイ.

      2. カスタマーゲートウェイページをクリックします。カスタマーゲートウェイの作成.

      3. カスタマーゲートウェイの作成パネル、次のパラメータを設定し、OK.

        • 名前:カスタマーゲートウェイの名前を入力します。

        • IP アドレス: VPC2に接続するデータセンターのゲートウェイデバイスのパブリックIPアドレスを入力します。 この例では、211.XX. XX.68が使用されます。

        • ASN: データセンターのゲートウェイデバイスのASNを入力します。 この例では、このパラメーターは設定されていません。

        • 説明: カスタマーゲートウェイの説明を入力します。

    3. IPsec-VPN接続を作成します。

      1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.

      2. VPN 接続ページをクリックします。VPN 接続の作成.

      3. VPN 接続の作成ページで、IPsec-VPN接続のパラメーターを設定し、OK.

        • 名前:IPsec-VPN 接続の名前を入力します。

        • リソースの関連付け: IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。 この例では、VPN Gatewayが選択されています。

        • VPN Gateway: 作成したVPN gatewayを選択します。

        • カスタマーゲートウェイ: 作成したカスタマーゲートウェイを選択します。

        • ルーティングモード: ルーティングモードを選択します。 この例では、宛先ルーティングモードが選択されています。

        • 今すぐ有効化: すぐに交渉を開始するかどうかを選択します。 この例では、いいえ が選択されています。

          • はい: 設定完了後にネゴシエーションを開始します。

          • いいえ: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。

        • 事前共有鍵: 事前共有キーを入力します。 データセンターのゲートウェイデバイスの事前共有キーは、この値と同じでなければなりません。 この例では、デフォルトでランダムな値が使用されます。

        • 暗号化設定: この例では、IKEv1が使用され、他のパラメーターはデフォルト設定を使用します。

        詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。

    4. VPNゲートウェイでルートを設定します。

      データセンターのルートをVPC2にアドバタイズするには、VPNゲートウェイを使用する必要があります。

      1. IPsec-VPN接続の作成後、OKで、設立済みダイアログボックスで、VPNゲートウェイのルートをアドバタイズします。

      2. 左側のナビゲーションウィンドウで、相互接続 > VPN > VPN Gateway.

      3. [VPN Gateway] ページで、作成したVPN gatewayを見つけ、IDをクリックします。

      4. 宛先ベースルーティングタブをクリックします。ルートエントリの追加.

      5. ルートエントリの追加パネル、次のパラメータを設定し、OK.

        • 宛先 CIDR ブロック: データセンターのCIDRブロックを入力します。 この例では、172.16.0.0/16が使用されます。

        • ネクストホップの種類: VPN 接続 を選択します。

        • ネクストホップ: 作成したIPsec-VPN接続を選択します。

        • VPC に公開: 新しいルートをVPC2のルートテーブルに自動的に広告するかどうかを指定します。 この例では、はいが選択されています。

        • 重み: ルートの重みを選択します。 この例では、高い優先度を示す100が使用される。

          説明

          VPNゲートウェイに同じ宛先CIDRブロックを持つルートが含まれている場合、これらのルートの重みを同時に100するように指定することはできません。

    5. VPN設定をデータセンターゲートウェイに追加します。

      1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.

      2. IPsec 接続ページでIPsec-VPN接続を見つけ、ピア設定の生成で、操作列を作成します。

      3. IPsec接続設定をデータセンターゲートウェイに追加します。 詳細については、「オンプレミスゲートウェイデバイスの設定」をご参照ください。

    手順3: CENインスタンスの設定

    Express Connect回路とVPNゲートウェイを設定した後、VPC1、VPC2、およびVBRをCloud Enterprise Network (CEN) インスタンスに接続する必要があります。 CENインスタンスはデータセンターをVPC1に接続できます。

    1. CENインスタンスを作成します。

      1. CENコンソール.

      2. インスタンスページをクリックします。CEN インスタンスの作成.

      3. CEN インスタンスの作成 ダイアログボックスで、次のパラメーターを設定し、OK をクリックします。

        • 名前: CENインスタンスの名前を入力します。

        • 説明: CENインスタンスの説明を入力します。

    2. トランジットルーターを作成します。

      VPCとVBRが属するリージョンにトランジットルーターを作成します。 トランジットルーターは、VPCとVBRをCENに接続するために使用されます。

      1. インスタンスページで、管理するCENインスタンスのIDをクリックします。

      2. 選択基本情報 > トランジットルーターをクリックし、トランジットルーターの作成.

      3. トランジットルーターの作成ダイアログボックスでパラメーターを設定し、OK.

        次の情報に基づいて、中国 (杭州) リージョンにトランジットルーターを作成します。

        パラメーター

        説明

        中国 (杭州)

        リージョン

        トランジットルーターを作成するリージョンを選択します。

        この例では、中国 (杭州) が選択されています。

        エディション

        トランジットルーターのエディション。

        選択したリージョンでサポートされているトランジットルーターのエディションが自動的に表示されます。

        マルチキャストの有効化

        マルチキャストを有効にするかどうかを指定します。

        この例では、デフォルト設定が使用されています。 マルチキャストは無効です。

        名前

        トランジットルーターの名前を入力します。

        この例では、トランジットルーターにカスタム名が指定されています。

        説明

        トランジットルーターの説明を入力します。

        この例では、トランジットルーターにカスタム記述が指定されています。

        TR アドレスセグメント

        トランジットルーターのCIDRブロックを入力します。

        詳細については、「トランジットルーターCIDRブロック」をご参照ください。

        この例では、トランジットルーターにCIDRブロックが指定されていません。

    3. VPC1とVPC2をCENインスタンスにアタッチします。

      1. インスタンスページで、管理するCENインスタンスのIDをクリックします。

      2. 基本情報 > トランジットルータータブでトランジットルーターを見つけます。中国 (杭州)リージョンとクリック接続の作成で、アクション列を作成します。

      3. ピアネットワークインスタンスとの接続 ページで、次のパラメーターを設定し、OK をクリックします。

        次の表に、VPC1およびVPC2のパラメーターを示します。 次の情報に基づいて、VPC1とVPC2をトランジットルーターに接続します。

        説明

        この操作を初めて実行すると、サービスにリンクされたロールAliyunServiceRoleForCENが自動的に作成されます。 このロールにより、トランジットルーターはVPCのvSwitchでENIを作成できます。 詳細については、「AliyunServiceRoleForCEN」をご参照ください。

        パラメーター

        説明

        VPC1

        VPC2

        ネットワークタイプ

        接続するネットワークインスタンスのタイプを選択します。

        仮想プライベートクラウド (VPC)

        仮想プライベートクラウド (VPC)

        リージョン

        目的のVBRインスタンスがデプロイされているリージョン。

        中国 (杭州)

        中国 (杭州)

        トランジットルーター

        選択したリージョンのトランジットルーターのIDが自動的に表示されます。

        リソース所有者 ID

        ネットワークインスタンスが属するAlibaba Cloudアカウントを選択します。

        現在のアカウント

        現在のアカウント

        課金方法

        デフォルト値: 従量課金

        詳細については、「課金」をご参照ください。

        接続名

        ネットワーク接続の名前を入力します。

        VPC1-テスト

        VPC2-テスト

        ネットワーク

        ネットワークインスタンスのIDを選択します。

        VPC1を選択します。

        VPC2を選択します。

        VSwitch

        トランジットルーターのゾーンにデプロイされているvSwitchを選択します。

        • トランジットルーター (TR) が現在のリージョンで1つのゾーンのみをサポートしている場合、ゾーンでvSwitchを選択する必要があります。

        • TRが現在のリージョンで複数のゾーンをサポートしている場合は、異なるゾーンにあるvSwitchを少なくとも2つ選択する必要があります。 VPCとTRが通信するとき、vSwitchはゾーンディザスタリカバリを実装するために使用されます。

          データをより短い距離で送信できるため、ネットワークの待ち時間を短縮し、ネットワークパフォーマンスを向上させるために、各ゾーンでvSwitchを選択することをお勧めします。

        選択した各vSwitchに少なくとも1つのアイドルIPアドレスがあることを確認します。 VPCにTRがサポートするゾーンにvSwitchがない場合、またはvSwitchにアイドルIPアドレスがない場合は、ゾーンに新しいvSwitchを作成します。 詳細については、「vSwitchの作成と管理」をご参照ください。

        詳細については、「VPC接続の作成」をご参照ください。

        ゾーンHでvSwitchを1つ、ゾーンIでvSwitchを1つ選択します。

        ゾーンHでvSwitchを1つ、ゾーンIでvSwitchを1つ選択します。

        詳細設定

        デフォルトでは、次の高度な機能が選択されます。 ビジネス要件に基づいて高度な機能を選択またはクリアできます。

        VPC1およびVPC2のデフォルト設定を維持します。 すべての高度な機能がVPCで有効になっています。

        • トランジットルーターのデフォルトルートテーブルに関連付ける

          この機能を有効にすると、VPC接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトルートテーブルに基づいてVPCのトラフィックを転送します。

        • システムルートをトランジットルーターのデフォルトルートテーブルに伝播する

          この機能を有効にすると、VPCのシステムルートがトランジットルーターのデフォルトルートテーブルにアドバタイズされます。 これにより、VPCはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。

        • トランジットルーターへのルートを自動的に作成し、現在の VPC のすべてのルートテーブルに追加する

          この機能を有効にすると、VPCのすべてのルートテーブルに10.0.0.0/8、172.16.0.0/12、192.168.0.0/16の3つのルートが自動的に追加されます。 ルートの次のホップはVPCを指します。 ルートは、VPCからトランジットルーターにIPv4トラフィックを転送するために使用されます。 デフォルトでは、トランジットルーターはVPCへのルートをアドバタイズしません。

          重要

          • そのようなルートが既にVPCのルートテーブルにある場合、システムはこのルートをアドバタイズできません。 VPC接続を指すルートをVPCのルートテーブルに手動で追加する必要があります。 そうしないと、VPCとトランジットルーター間でネットワーク通信を確立できません。 そのようなルートが存在するかどうかを確認するには、[詳細設定] の下にある [ルートの確認] をクリックします。

          • VPCがIPv6トラフィックを入力して転送するには、VPC接続のルート同期を有効にするか、接続の作成後にルートテーブルにVPC接続を指すIPv6ルートエントリを手動で追加する必要があります。

    4. VBRをCENインスタンスにアタッチします。

      1. インスタンスページで、管理するCENインスタンスのIDをクリックします。

      2. 基本情報 > トランジットルータータブでトランジットルーターを見つけます。中国 (杭州)リージョンとクリック接続の作成で、アクション列を作成します。

      3. ピアネットワークインスタンスとの接続 ページで、次のパラメーターを設定し、OK をクリックします。

        • ネットワークタイプ: 接続するネットワークインスタンスのタイプを選択します。 この例では、仮想ボーダールーター (VBR) が選択されています。

        • リージョン: ネットワークインスタンスがデプロイされているリージョンを選択します。 この例では、中国 (杭州) が選択されています。

        • トランジットルーター: 現在のリージョンのトランジットルーターIDが自動的に表示されます。

        • リソース所有者 ID: ネットワークインスタンスが属するAlibaba Cloudアカウントを選択します。 この例では、現在のアカウント を使用します。

        • 接続名: ネットワークインスタンスの名前を入力します。 この例ではVBRが使用されます。

        • ネットワーク: 接続するネットワークインスタンスのIDを選択します。 この例では、VBRのIDが選択されています。

        • 詳細設定: デフォルトでは、システムは次の詳細機能を自動的に有効にします。 この例では、デフォルト設定を使用します。

          • トランジットルーターのデフォルトルートテーブルに関連付ける

            この機能を有効にすると、VBR接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトのルートテーブルに基づいてVBRのトラフィックを転送します。

          • トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播

            この機能を有効にすると、VBRのシステムルートがトランジットルーターのデフォルトルートテーブルに通知されます。 このようにして、VBRはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。

          • VBRへのルートの伝播

            この機能を有効にすると、VBRへのVBR接続に関連付けられているトランジットルータールートテーブルのルートが自動的にアドバタイズされます。

    5. データセンターのルートをVPC2からCENにアドバタイズします。

      VPNゲートウェイを使用してデータセンターのルートをVPC2にアドバタイズした後、VPC2のルートはデフォルトでNonPublished状態になります。 VPC2からCENへのデータセンターのルートを手動で通知する必要があります。 このようにして、VPC1はVPC2からデータセンターのルートを学習できます。

      1. CENコンソール.

      2. [インスタンス] ページで、管理するCENインスタンスを見つけ、そのIDをクリックします。

      3. 詳細ページで、中国 (杭州) リージョンのトランジットルーターを見つけ、そのIDをクリックします。

      4. トランジットルーターの詳細ページで、ルーティング情報タブをクリックします。

      5. ルーティング情報タブで、VPC2のルートを表示し、目的地がデータセンターであるルートを見つけて、広告で、広告ステータス列を作成します。

      6. パブリッシュルータ メッセージ, クリックOK.

    6. Express Connect回路のヘルスチェックを設定します。

      Express Connect回路のヘルスチェックを設定する必要があります。 プローブパケットは、指定した間隔に基づいてヘルスチェック中に送信されます。 指定された数のプローブパケットが一定期間内に連続して失われた場合、CENインスタンスはIPsec-VPN接続を介してトラフィックをルーティングします。

      1. CENコンソール.

      2. 左側のナビゲーションウィンドウで、ヘルスチェック.

      3. ヘルスチェックページで、VBRのリージョンを選択し、ヘルスチェックの追加.

      4. ヘルスチェックの追加ページ、パラメーターを設定し、OK.

        • インスタンス: VBRがアタッチされているCENインスタンスを選択します。

        • 仮想ボーダールーター (VBR): 監視するVBRを選択します。

        • ソース IP: この例では、自動 IP アドレス が選択されています。

          自動 IP アドレス を選択した場合、システムは100.96.0.0/16 CIDRブロックでIPアドレスを自動的に割り当て、Express Connect回路の接続をプローブします。

        • ターゲット IP: VBRの顧客側のIPアドレスを入力します。

        • プローブ間隔 (秒): ヘルスチェックのためにプローブパケットを送信する時間間隔を指定します。 単位は秒です。 この例では、デフォルト値が使用されます。

        • プローブパケット: 各間隔で送信されるプローブパケットの数を指定します。 単位: クライアント。 この例では、デフォルト値が使用されます。

        • ルートの変更: ルート切り替え機能を有効にするかどうかを指定します。 この例では、デフォルト設定が使用されています。 ルート切り替え機能が有効になっています。

          この機能はデフォルトで無効になっています。 CENインスタンスで冗長ルートが設定されている場合、Express Connect回路でエラーが検出されると、ヘルスチェック機能はすぐに冗長ルートに切り替わります。

          この機能を無効にすると、ヘルスチェックはプロービングのみを実行します。 Express Connect回路でエラーが検出された場合、ルートは切り替えられません。

          警告

          チェックボックスをオフにする前に、他のメカニズムを使用してネットワークトラフィックを冗長ルートに切り替えることができることを確認してください。 それ以外の場合、Express Connect回路に障害が発生すると、ネットワーク接続が中断されます。

    手順4: データセンターゲートウェイの設定

    次のサンプルコードは参照のためだけに提供されます。 コマンドは、ベンダによって異なり得る。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。 

    
#Configure BGP dynamic routing, establish a BGP peering connection to the VBR, and advertise the routes of the data center to Alibaba Cloud.
interface GigabitEthernet 0/12          #The port is used to connect the gateway device of the data center to the Express Connect circuit.
no switchport
ip address 10.1.0.2 255.255.255.252     #The IP address of the port. The IP address must be the same as the IPv4 address of the VBR on the customer side.

router bgp 65530
bgp router-id 10.1.0.2                  
network 172.16.0.0 mask 255.255.0.0     #Advertise the routes of the data center to Alibaba Cloud.
neighbor 10.1.0.1 remote-as 45104       #Establish a peering connection to the VBR.
exit

#Set the priority of the route that points to VPC1 through the VPN gateway. The priority must be lower than that of the BGP route.
ip route 192.168.0.0 255.255.0.0 <The public IP address of the VPN gateway> preference 255
      
# Configure a reverse route for probe packets.
ip route <The source IP address for the health check> 255.255.255.255 10.1.0.1

    手順 5:ネットワーク接続のテスト

    1. データセンターのクライアントでコマンドラインインターフェイス (CLI) を開きます。

    2. pingコマンドを実行して、VPC1のECSインスタンスのIPアドレスをpingします。 ECSインスタンスのIPアドレスは、192.168.0.0/16 CIDRブロック内にあります。 クライアントが応答パケットを受信すると、データセンターがVPC1に接続されていることを示します。

    3. データセンターゲートウェイで、Express Connect回路のポートを無効にし、Express Connect回路接続を停止します。 クライアントでpingコマンドを再度実行して、データセンターとVPC1間の接続をテストします。 応答パケットを受信した場合、スタンバイIPsec-VPN接続が期待どおりに機能していることを示します。