VPN Gateway:IPsec-VPN (トランジットルーター関連) とExpress Connect回線を使用してアクティブ /スタンバイ接続を構成する

シナリオ

以下のシナリオは、例として使用される。 上海にデータセンターがあり、中国 (杭州) リージョンにVPCをデプロイしています。 アプリケーションとサービスは、VPCのECS (Elastic Compute Service) インスタンスにデプロイされます。 同社は、データセンターとVPCの間にアクティブ /スタンバイ接続を確立したいと考えています。

ネットワーク

ネットワーク設定

このトピックでは、次のネットワーク設定を使用します。

• データセンターは、Express Connect回線とIPsec-VPN接続を介してAlibaba Cloudに接続されています。

  Express Connect回路とIPsec-VPN接続が期待どおりに機能している場合、データセンターとVPC間のすべてのトラフィックはExpress Connect回路を介して転送されます。 Express Connect回路に障害が発生すると、IPsec-VPN接続が引き継ぎます。

• IPsec-VPN接続を作成するときは、[ゲートウェイタイプ] を [パブリック] に設定し、[リソースの関連付け] を [CEN] に設定します。

• BGP動的ルーティングは、データセンター、仮想ボーダールーター (VBR) 、およびIPsec-VPN接続に対して設定され、ルート学習と広告を実装します。 これにより、ルート構成が容易になる。

  特定のリージョンのIPsec-VPN接続のみがBGPをサポートしています。 リージョンの詳細については、「VPN GatewayがBGP動的ルーティングをサポート」をご参照ください。

  重要

  次の内容は、このシナリオでのデータ転送について説明しています。

  • Express Connect回路、IPsec-VPN接続、およびBGP動的ルーティングが期待どおりに機能すると、VPCは、Express Connect回路およびIPsec-VPN接続を介してデータセンターを指すルートを学習できます。 さらに、データセンターは、Express Connect回線とIPsec-VPN接続を介してVPCを指すルートを学習できます。 デフォルトでは、Express Connect回線を介して学習されたルートは、IPsec-VPN接続を介して学習されたルートよりも優先度が高くなります。 そのため、デフォルトでは、VPCとデータセンター間でExpress Connect回線を介してデータが転送されます。

  • Express Connect回線がダウンすると、Express Connect回線を介して学習されたルートが無効になり、IPsec-VPN接続を介して学習されたルートが自動的に有効になります。 データは、VPCとデータセンター間のIPsec-VPN接続を介して転送されます。 Express Connect回路が復旧した後、Express Connect回路が引き継ぎ、IPsec-VPN接続がスタンバイ接続として機能します。

中国サイト

準備

手順

ステップ1: Express Connect回路のデプロイ

データセンターをAlibaba Cloudに接続するには、Express Connect回路をデプロイする必要があります。

1. 専用のExpress Connect回路を作成します。

   この例では、Circuit1という名前の専用のExpress Connect回路が中国 (上海) リージョンに作成されています。 詳細については、「Express Connect回線を介した専用接続の作成と管理」をご参照ください。

2. VBRを作成します。

   1. にログインします。Express Connectコンソール.

   2. 左側のナビゲーションウィンドウで、仮想ボーダールーター (VBR).

   3. 上部のナビゲーションバーで、VBRを作成するリージョンを選択します。

      この例では、中国 (上海) が選択されています。

   4. On the仮想ボーダールーター (VBR)ページをクリックします。VBRの作成.

   5. では、VBRの作成パネル、次のパラメータを設定し、OK.

      次の表に、主要なパラメーターのみを示します。 その他のパラメータにはデフォルト値が使用されます。 詳細については、「VBRの作成と管理」をご参照ください。

      パラメーター	説明	VBR
      アカウントタイプ	VBRのアカウントタイプを選択します。	この例では、[現在のアカウント] が選択されています。
      名前	VBRの名前を入力します。	この例では、VBRが使用されます。
      物理接続情報	VBRに関連付けるExpress Connect回路を選択します。	この例では、Dedicated Physical Connectionが選択され、ステップ1で作成されたExpress Connect回路が選択されています。
      VLAN ID	VBRのVLAN IDを入力します。 説明 VBRのVLAN IDが、オンプレミスゲートウェイデバイスがExpress connect回路に接続するために使用するインターフェイスのVLAN IDと同じであることを確認します。	この例では、201が使用されます。
      VBR帯域幅の値の設定	VBRの最大帯域幅値を指定します。	ビジネス要件に基づいて最大帯域幅値を選択します。
      IPv4アドレス (Alibaba Cloud Gateway)	VPCからデータセンターにネットワークトラフィックをルーティングするためのIPv4アドレスを指定します。	この例では、10.0.0.2が使用されます。
      IPv4アドレス (データセンターゲートウェイ)	データセンターのゲートウェイデバイスのIPv4アドレスを指定して、データセンターからVPCにネットワークトラフィックをルーティングします。	この例では、10.0.0.1が使用されます。
      サブネットマスク (IPv4アドレス)	指定したIPv4アドレスのサブネットマスクを入力します。	この例では、255.255.255.252が使用されます。

3. VBRのBGPグループを設定します。

   1. [仮想ボーダールーター (VBR)] ページで、管理するVBRのIDをクリックします。

   2. 詳細ページで、[BGPグループ] タブをクリックします。

   3. On theBGPグループタブをクリックします。BGPグループの作成次のパラメーターを設定し、OK.

      次の表に、主要なパラメーターのみを示します。 その他のパラメータにはデフォルト値が使用されます。 詳細については、「BGPグループの作成」をご参照ください。

      パラメーター	説明	VBR
      名前	BGPグループの名前を入力します。	この例では、VBR-BGPが使用されます。
      ピアASN	データセンターのゲートウェイデバイスのASNを入力します。	この例では、65530が使用されます。

4. VBRのBGPピアを設定します。

   1. VBRの詳細ページで、[BGPピア] タブをクリックします。

   2. [BGPピア] タブで、[BGPピアの作成] をクリックします。

   3. では、BGPピアの作成パネル、次のパラメータを設定し、OK.

      次の表に、主要なパラメーターのみを示します。 その他のパラメータにはデフォルト値が使用されます。 詳細については、「BGPピアの作成」をご参照ください。

      パラメーター	説明	VBR
      BGPグループ	BGPピアを追加するBGPグループ。	この例では、VBR-BGPが選択されています。
      BGPピアIPアドレス	BGP ピアの IP アドレス。	この例では、IPアドレス10.0.0.1が入力されます。 これは、オンプレミスゲートウェイデバイスがExpress connect回路に接続するために使用するインターフェイスのIPアドレスです。

5. オンプレミスゲートウェイデバイスのBGPルーティングを設定します。

   オンプレミスゲートウェイデバイスのBGPを設定した後、オンプレミスゲートウェイデバイスとVBRはBGPピアとして機能し、自動ルート学習と広告を有効にすることができます。 次の構成は参照のためだけに使用されます。 コマンドは、ネットワークデバイスベンダーに基づいて変化し得る。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。

   router bgp 65530                         //Enable BGP and configure the ASN of the data center. 65530 is used in this example. 65530 is used in this example. 
   bgp router-id 10.0.0.1                   //Enter the ID of the BGP router. In this example, 10.0.0.1 is used. 
   bgp log-neighbor-changes
   neighbor 10.0.0.2 remote-as 45104        //Establish a peering connection to the VBR. 
   !
   address-family ipv4
   network 192.168.0.0 mask 255.255.255.0     //Advertise the CIDR block of the data center. 
   network 192.168.1.0 mask 255.255.255.0
   network 192.168.2.0 mask 255.255.255.0 
   neighbor 10.0.0.2 activate               //Activate the BGP peer. 
   exit-address-family
   !
                           

手順2: CENインスタンスの設定

Express Connect回路をデプロイすると、データセンターはExpress connect回路を介してAlibaba Cloudに接続できます。 ただし、データセンターはVPCと通信できません。 データセンターとVPC間の通信を有効にするには、VBRとVPCをCENインスタンスに接続する必要があります。

1. VPCをCENインスタンスにアタッチします。

   1. CENコンソールにログインします。

   2. [インスタンス] ページで、作成したCENインスタンスを見つけ、そのIDをクリックします。

   3. [基本情報] > [トランジットルーター] タブで、管理するトランジットルーターを見つけ、[操作] 列の [接続の作成] をクリックします。

   4. [ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。

      パラメーター	説明	VPC接続
      [インスタンスタイプ]	ネットワークインスタンスのタイプを指定します。	この例では、VPCが選択されています。
      リージョン	ネットワークインスタンスのリージョンを選択します。	この例では、中国 (杭州) が選択されています。
      トランジットルーター	現在のリージョンのトランジットルーターが自動的に表示されます。
      リソース所有者ID	ネットワークインスタンスが現在のAlibaba Cloudアカウントに属するかどうかを指定します。	この例では、[アカウント] が選択されています。
      課金方法	VPC接続の課金方法を選択します。 デフォルト値: 従量課金 トランジットルーターの課金ルールの詳細については、「課金ルール」をご参照ください。
      添付ファイル名	VPC接続の名前を入力します。	この例では、VPCテストが使用されています。
      ネットワークインスタンス	ネットワークインスタンスを選択します。	この例では、準備セクションで作成されたVPCが選択されています。
      vSwitch	トランジットルーターのゾーンにデプロイされているvSwitchを選択します。 トランジットルーター (TR) が現在のリージョンで1つのゾーンのみをサポートしている場合、ゾーンでvSwitchを選択する必要があります。 TRが現在のリージョンで複数のゾーンをサポートしている場合は、異なるゾーンにあるvSwitchを少なくとも2つ選択する必要があります。 VPCとTRが通信するとき、vSwitchはゾーンディザスタリカバリを実装するために使用されます。 データをより短い距離で送信できるため、ネットワークの待ち時間を短縮し、ネットワークパフォーマンスを向上させるために、各ゾーンでvSwitchを選択することをお勧めします。 選択した各vSwitchに少なくとも1つのアイドルIPアドレスがあることを確認します。 VPCにTRがサポートするゾーンにvSwitchがない場合、またはvSwitchにアイドルIPアドレスがない場合は、ゾーンに新しいvSwitchを作成します。 詳細については、「vSwitchの作成と管理」をご参照ください。 詳細については、「VPC接続の作成」をご参照ください。	この例では、vSwitch 1がゾーンHで選択され、vSwitch 2がゾーンIで選択されています。
      詳細設定	高度な機能を有効にするかどうかを指定します。 デフォルトでは、すべての高度な機能が有効になります。	この例では、デフォルト設定を使用します。

2. VBRをCENインスタンスにアタッチします。

   1. On the基本情報 > トランジットルータータブで、中国 (上海) リージョンのトランジットルーターを見つけ、接続の作成で、アクション列を作成します。

   2. [ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。

      パラメーター	説明	VBR
      [インスタンスタイプ]	ネットワークインスタンスのタイプを指定します。	この例では、仮想ボーダールーター (VBR) が選択されています。
      リージョン	ネットワークインスタンスのリージョンを選択します。	この例では、中国 (上海) が選択されています。
      トランジットルーター	現在のリージョンのトランジットルーターが自動的に表示されます。
      リソース所有者ID	ネットワークインスタンスが現在のAlibaba Cloudアカウントに属するかどうかを指定します。	この例では、[アカウント] が選択されています。
      添付ファイル名	ネットワーク接続の名前を入力します。	この例では、VBR-testが使用されます。
      ネットワークインスタンス	ネットワークインスタンスを選択します。	この例では、VBRが選択されている。
      高度な設定	高度な機能を有効にするかどうかを指定します。 デフォルトでは、すべての高度な機能が有効になります。	この例では、デフォルト設定を使用します。

3. 帯域幅プランを購入します。

   VBRに関連付けられたトランジットルーターとVPCに関連付けられたトランジットルーターは、異なるリージョンにデプロイされます。 デフォルトでは、このシナリオではVBRはVPCと通信できません。 VBRがリージョン間でVPCと通信できるようにするには、中国 (杭州) リージョンのトランジットルーターと中国 (上海) リージョンのトランジットルーターの間にリージョン間接続を作成する必要があります。

   帯域幅プランからリージョン間接続に帯域幅を割り当てることも、リージョン間接続の帯域幅使用量をデータ転送課金で支払うこともできます。 この例では、帯域幅プランが使用される。

   リージョン間接続を作成する前に、リージョン間通信用の帯域幅を割り当てる帯域幅プランを購入します。

   1. [インスタンス] ページで、管理するCENインスタンスを見つけ、そのIDをクリックします。

   2. CENインスタンスの詳細ページで、[基本情報] > [帯域幅プラン] タブを選択し、[帯域幅プラン (サブスクリプション) の購入] をクリックします。

   3. 購入ページで、次のパラメーターを設定し、[今すぐ購入] をクリックして、支払いを完了します。

      パラメーター	説明
      CEN ID	帯域幅プランを購入するCENインスタンスを選択します。 支払いが完了すると、帯域幅プランは自動的にCENインスタンスに関連付けられます。 この例では、準備セクションで作成されたCENインスタンスが選択されています。
      エリア A	リージョン間通信を有効にするエリアの1つを選択します。 中国本土が選択されています。 説明 帯域幅プランを購入した後、帯域幅プラン用に選択したエリアを変更することはできません。 帯域幅プランをサポートするリージョンとエリアの詳細については、「帯域幅プランの操作」をご参照ください。
      エリア B	リージョン間通信を有効にする他のエリアを選択します。 中国本土が選択されています。
      課金方法	帯域幅プランの課金方法を表示します。 デフォルトの課金方法は 帯域幅課金。 帯域幅プランの課金の詳細については、「課金ルール」をご参照ください。
      帯域幅	ビジネス要件に基づいて帯域幅の値を選択します。 単位は、Mbit/s です。
      Bandwidth_package_name	帯域幅プランの名前を入力します。
      注文時間	帯域幅プランのサブスクリプション期間を選択します。 [自動更新] を選択すると、システムが帯域幅プランを自動的に更新できるようになります。

4. リージョン間接続を作成します。

   1. [インスタンス] ページで、管理するCENインスタンスを見つけ、そのIDをクリックします。

   2. [基本情報] > [帯域幅プラン] タブに移動し、[リージョン接続の設定] をクリックします。

   3. [ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。

      パラメーター	説明
      インスタンスタイプ	この例では、リージョン間接続が選択されています。
      リージョン	接続するリージョンを選択します。 この例では、中国 (杭州) が選択されています。
      トランジットルーター	選択したリージョンのトランジットルーターのIDが自動的に表示されます。
      添付ファイル名	リージョン間接続の名前を入力します。 この例では、Cross-Region-testが使用されています。
      ピアリージョン	接続する他のリージョンを選択します。 この例では、中国 (上海) が選択されています。
      トランジットルーター	選択したリージョンのトランジットルーターのIDが自動的に表示されます。
      帯域幅割り当てモード	次のモードがサポートされています。 帯域幅プランからの割り当て: 帯域幅リソースは、購入した帯域幅プランから割り当てられます。 ペイバイデータ転送: リージョン間接続を介したデータ転送に対して課金されます。 この例では、[帯域幅プランからの割り当て] が選択されています。
      帯域幅プラン	CENインスタンスに関連付けられている帯域幅プランを選択します。
      帯域幅	リージョン間接続の帯域幅の値を指定します。 単位は、Mbit/s です。
      詳細設定	デフォルトでは、すべての高度な機能が有効になります。 この例では、デフォルト設定が使用されています。

手順 3：IPsec-VPN 接続を作成する

上記の手順を完了すると、データセンターはExpress Connect回線を介してVPCと通信できます。 次のセクションでは、IPsec-VPN接続を作成する方法について説明します。

1. にログインします。VPN Gatewayコンソール.

2. カスタマーゲートウェイを作成します。

   IPsec-VPN接続を作成する前に、オンプレミスのゲートウェイデバイスに関する情報をAlibaba Cloudに提供するカスタマーゲートウェイを作成する必要があります。

   1. 左側のナビゲーションウィンドウで、相互接続 > VPN > カスタマーゲートウェイ.

   2. 上部のナビゲーションバーで、カスタマーゲートウェイのリージョンを選択します。

      VPN Gatewayは、クロスボーダーIPsec-VPN接続をサポートしていません。 したがって、カスタマーゲートウェイがデプロイされているリージョンを選択するときは、近くのアクセスの原則に従って、データセンターに最も近いリージョンを選択する必要があります。 この例では、中国 (上海) が選択されています。

      クロスボーダー接続の詳細については、VPNゲートウェイとは.

   3. カスタマーゲートウェイページをクリックします。カスタマーゲートウェイの作成.

   4. カスタマーゲートウェイの作成パネル、次のパラメータを設定し、OK.

      パラメーター	説明	カスタマーゲートウェイ
      名前	カスタマーゲートウェイの名前を入力します。	この例では、Customer-Gatewayが使用されています。
      IPアドレス	Alibaba Cloudに接続するオンプレミスゲートウェイデバイスのパブリックIPアドレスを入力します。	この例では、211.XX. XX.68が使用されます。
      ASN	オンプレミスゲートウェイデバイスのBGP ASNを入力します。	この例では、65530が使用されます。

3. IPsec-VPN接続を作成します。

   カスタマーゲートウェイを作成したら、Alibaba CloudからオンプレミスゲートウェイデバイスへのIPsec-VPN接続を作成する必要があります。

   1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.

   2. 上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。

      IPsec-VPN接続とカスタマーゲートウェイは、同じリージョンで作成する必要があります。 この例では、中国 (上海) が選択されています。

   3. VPN 接続ページをクリックします。VPN 接続の作成.

   4. IPsec-VPN接続の作成ページで、IPsec-VPN接続のパラメーターを設定し、OK.

      IPsec-VPN接続の使用に対して課金されます。 詳細については、次をご参照ください： 請求。

      パラメーター	説明	IPsec-VPN接続
      名前	IPsec-VPN接続の名前を入力します。	この例では、IPsecが使用されています。
      リソースの関連付け	IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。	この例では、CENが選択されています。
      ゲートウェイタイプ	IPsec-VPN接続で使用するゲートウェイのタイプを選択します。	この例では、[公開] が選択されています。
      CENインスタンスID	CENインスタンスを選択します。	この例では、準備セクションで作成されたCENインスタンスが選択されています。
      トランジットルーター	IPsec-VPN接続に関連付けるトランジットルーター。	IPsec-VPN接続が作成されているリージョンのトランジットルーターが自動的に選択されます。
      Zone	IPsec-VPN接続を作成するゾーンを選択します。 IPsec-VPN接続がトランジットルーターをサポートするゾーンに作成されていることを確認します。	この例では、上海ゾーンFが選択されています。
      カスタマーゲートウェイ	IPsec-VPN接続に関連付けるカスタマーゲートウェイを選択します。	この例では、Customer-Gatewayが選択されています。
      ルーティングモード	ルーティングモードを選択します。	この例では、宛先ルーティングモードが選択されています。
      すぐに有効	IPsecネゴシエーションをすぐに開始するかどうかを指定します。 有効な値： IPsec-VPN接続を作成するときに [有効な即時] パラメーターを はい に設定すると、設定が完了した直後にネゴシエーションが開始されます。 IPsec-VPN接続を作成するときに [有効な即時] パラメーターを いいえ に設定すると、インバウンドトラフィックが検出されたときにネゴシエーションが開始されます。	この例では、はいが選択されています。
      事前共有キー	オンプレミスのゲートウェイデバイスの認証に使用される事前共有キーを入力します。 キーの長さは1〜100文字である必要があり、数字、文字、および次の特殊文字を含めることができます。~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ? 事前共有キーを指定しない場合、システムは事前共有キーとしてランダムな16文字の文字列を生成します。 IPsec-VPN接続の作成後、[操作] 列の [編集] をクリックして、IPsec-VPN接続用に生成された事前共有キーを表示できます。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」の「IPsec-VPN接続の変更」セクションをご参照ください。 重要 IPsec-VPN接続とピアゲートウェイデバイスは、同じ事前共有キーを使用する必要があります。 そうしないと、システムはIPsec-VPN接続を確立できません。	この例では、fddsFF123 **** が使用されます。
      暗号化設定	IKE設定とIPsec設定を含む暗号化設定を設定します。	この例では、IKE ConfigurationsセクションのVersionパラメーターにikev2が選択されています。 デフォルト値は他のパラメータに使用されます。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
      BGP設定	BGPを有効にするかどうかを指定します。 デフォルトでは、BGPは無効になっています。	このトピックでは、BGPが有効になっています。
      トンネル CIDR ブロック	IPsecトンネルで使用されるCIDRブロックを入力します。 CIDRブロックは169.254.0.0/16に収まる必要があります。 CIDRブロックのサブネットマスクの長さは30ビットである必要があります。	この例では、169.254.10.0/30が使用されます。
      ローカル BGP IP アドレス	IPsec-VPN接続のBGP IPアドレスを入力します。 このIPアドレスは、トンネルのCIDRブロック内にある必要があります。	この例では、169.254.10.1が使用されます。
      ローカル ASN	IPsec-VPN接続のASNを入力します。	この例では、45104が使用されます。
      ヘルスチェック	ヘルスチェック機能を有効にするかどうかを指定します。 ヘルスチェック機能はデフォルトで無効になっています。	このトピックでは、ヘルスチェック機能は無効になっています。

   IPsec-VPN接続が作成された後、システムはデータセンターに接続するためにIPsec-VPN接続にパブリックIPアドレスを割り当てます。 次の図に示すように、詳細ページでIPsec-VPN接続のゲートウェイIPアドレスを確認できます。

   説明

   IPsec-VPN接続をトランジットルーターに関連付けた後にのみ、ゲートウェイIPアドレスがIPsec-VPN接続に割り当てられます。 IPsec-VPN接続を作成するときに、リソースの関連付け を 関連付け禁止 または VPN Gateway に設定した場合、システムはIPsec-VPN接続にゲートウェイIPアドレスを割り当てません。

4. IPsec-VPN接続ピアの設定をダウンロードします。

   [IPsec接続] ページで、作成したIPsec-VPN接続を見つけます。 [操作] 列で、[ピア設定のダウンロード] をクリックします。

5. VPN設定とBGP設定をオンプレミスのゲートウェイデバイスに追加します。

   IPsec-VPN接続が作成されたら、次の手順を実行して、VPNおよびBGP設定をオンプレミスのゲートウェイデバイスに追加します。 これにより、データセンターはIPsec-VPN接続を介してAlibaba Cloudと通信できます。

   次の構成は参照だけのためです。 コマンドは、ネットワークデバイスベンダーに基づいて変化し得る。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。

   1. ゲートウェイデバイスのコマンドラインインターフェイス (CLI) を開きます。

   2. 次のコマンドを実行して、IKEv2プロポーザルとポリシーを設定します。

      crypto ikev2 proposal alicloud  
      encryption aes-cbc-128          //Configure the encryption algorithm. In this example, aes-cbc-128 is used. 
      integrity sha1                  //Configure the authentication algorithm. In this example, sha1 is used. 
      group 2                         //Configure the DH group. In this example, group 2 is used. 
      exit
      !
      crypto ikev2 policy Pureport_Pol_ikev2
      proposal alicloud
      exit
      !
                                      

   3. 次のコマンドを実行して、IKEv2キーリングを設定します。

      
      crypto ikev2 keyring alicloud
      peer alicloud
      address 47.XX.XX.213               //Specify the public IP address of the gateway on the Alibaba Cloud side of the IPsec-VPN connection. In this example, 47.XX.XX.213 is specified. 
      pre-shared-key fddsFF123****     //Configure the pre-shared key. In this example, fddsFF123**** is used. 
      exit
      !
                                      

   4. 次のコマンドを実行して、IKEv2プロファイルを設定します。

      crypto ikev2 profile alicloud
      match identity remote address 47.XX.XX.213 255.255.255.255    //Match the public IP address of the gateway on the Alibaba Cloud side of the IPsec-VPN connection. In this example, 47.XX.XX.213 is matched. 
      identity local address 211.XX.XX.68    //Specify the public IP address of the on-premises gateway device. In this example, 211.XX.XX.68 is used. 
      authentication remote pre-share   //Set the authentication mode of the remote side to PSK. 
      authentication local pre-share    //Set the authentication mode of the data center to PSK. 
      keyring local alicloud            //Invoke the IKEv2 keyring. 
      exit
      !

   5. 次のコマンドを実行して、変換セットを設定します。

      crypto ipsec transform-set TSET esp-aes esp-sha-hmac
      mode tunnel
      exit
      !                               

   6. 次のコマンドを実行してIPsecプロファイルを設定し、変換セット、Perfect Forward Secrecy (PSF) 、およびIKEv2プロファイルを呼び出します。

      crypto ipsec profile alicloud
      set transform-set TSET
      set pfs group2
      set ikev2-profile alicloud
      exit
      !                               

   7. 次のコマンドを実行して、IPsecトンネルを設定します。

      interface Tunnel100
      ip address 169.254.10.2 255.255.255.252    //Specify the IP address of the tunnel on the on-premises gateway device side. In this example, 169.254.10.2 is used. 
      tunnel source GigabitEthernet1
      tunnel mode ipsec ipv4
      tunnel destination 47.XX.XX.213            //Specify the IP address of the tunnel on the Alibaba Cloud side. In this example, 47.XX.XX.213 is used. 
      tunnel protection ipsec profile alicloud
      no shutdown
      exit
      !
      interface GigabitEthernet1                 //Configure the IP address of the interface that is used to connect to the VPN gateway. 
      ip address 211.XX.XX.68 255.255.255.0
      negotiation auto
      !
                                      

   8. 次のコマンドを実行してBGPを設定します。

      //Add the following configuration to On-premises Gateway Device 3:
      router bgp 65530                         
      neighbor 169.254.10.1 remote-as 45104    //Configure the ASN of the BGP peer. In this example, the BGP ASN of the IPsec-VPN connection is used, which is 45104. 
      neighbor 169.254.10.1 ebgp-multihop 10   //Set the eBGP hop-count to 10.   
      !
      address-family ipv4 
      neighbor 169.254.10.1 activate           //Activate the BGP peer. 
      exit-address-family
      !
      
                                      

ステップ 4：ネットワーク接続のテスト

上記の手順を完了すると、データセンターはIPsec-VPN接続またはExpress Connect回路を介してVPCと通信できます。 Express Connect回路とIPsec-VPN接続が期待どおりに機能している場合、データセンターとVPC間のすべてのトラフィックはExpress Connect回路を介して転送されます。 Express Connect回路が期待どおりに機能していない場合、IPsec-VPN接続が引き継ぎます。 次のセクションでは、ネットワーク接続のテスト方法と、アクティブ /スタンバイ接続が確立されているかどうかについて説明します。

1. ネットワーク接続をテストします。

   1. VPCのECSインスタンスにログインします。 詳細については、「ECSインスタンス接続のガイドライン」をご参照ください。

   2. ECSインスタンスでpingコマンドを実行し、データセンターのクライアントにアクセスします。

      ping <IP address of the client in the data center>

      ECSインスタンスがエコー応答メッセージを受信した場合、データセンターはVPCと通信できます。

2. アクティブ /スタンバイ接続が確立されているかどうかをテストします。

   1. データセンターのクライアントからVPCのECSインスタンスにリクエストを継続的に送信するか、iPerf3を使用してクライアントからECSインスタンスにリクエストを送信します。 Iperf3のインストール方法と使用方法の詳細については、「Express Connect回路のパフォーマンスのテスト」をご参照ください。

   2. Alibaba Cloud管理コンソールにログインし、IPsec-VPN接続のモニタリングデータを確認します。

      エラーのないシナリオでは、Express Connect回路がアクティブな接続として機能するため、トラフィックデータは表示されません。

      IPsec-VPN接続の詳細ページに移動するには、次の手順を実行します。

      1. VPN Gatewayコンソールにログインします。

      2. 上部のナビゲーションバーで、IPsec-VPN接続が作成されているリージョンを選択します。

      3. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [IPsec接続] を選択します。

      4. [IPsec接続] ページで、IPsec-VPN接続を見つけ、そのIDをクリックします。

         IPsec-VPN接続の詳細ページに移動し、[モニター] タブでトラフィックモニタリングデータを表示します。

   3. Express Connect回路経由の接続を中断します。

      オンプレミスゲートウェイデバイスのExpress Connect回路に接続されているインターフェイスを無効にして、切り替えを実行できます。 インターフェイスを無効にする方法の詳細については、オンプレミスゲートウェイデバイスのマニュアルを参照してください。

   4. VPN Gatewayコンソールにログインし、IPsec-VPN接続の詳細ページでトラフィックデータを確認します。

      エラーのないシナリオでは、Express Connect回路がダウンした後にIPsec-VPN接続が引き継ぎます。 したがって、トラフィックデータを表示できます。

ルーティング設定

このトピックでは、デフォルトのルーティング設定を使用して、IPsec-VPN接続、VPC接続、VBR接続、およびリージョン間接続を作成します。 デフォルトのルーティング設定を使用すると、CENは自動的にルートを学習して配布し、データセンターがVPCと通信できるようにします。 次のセクションでは、デフォルトのルーティング設定について説明します。

IPsec-VPN接続

IPsec-VPN接続を作成するときにIPsec-VPN接続をトランジットルーターに関連付けると、システムは自動的に次のルーティング設定をIPsec-VPN接続に適用します。

• IPsec-VPN接続は、トランジットルーターのデフォルトルートテーブルに関連付けられています。 トランジットルーターは、デフォルトのルートテーブルに基づいてIPsec-VPN接続からトラフィックを転送します。

• IPsec-VPN接続用に構成した宛先ベースのルートと、BGP動的ルーティングを使用してIPsec-VPN接続を介してデータセンターから学習したルートは、トランジットルーターの既定のルートテーブルに自動的に反映されます。

• トランジットルーターは、デフォルトのルートテーブル内のルートをIPsec-VPN接続に関連付けられたBGPルートテーブルに自動的に伝播します。

• BGP動的ルーティングを使用してIPsec-VPN接続を介してVPCから学習されたルートは、自動的にデータセンターに伝播されます。

VPC

VPC接続を作成するときに (すべての高度な機能が有効になっている) デフォルトのルーティング設定を使用すると、システムは自動的に次のルーティング設定をVPCに適用します。

• トランジットルーターのデフォルトルートテーブルに関連付ける

  この機能を有効にすると、VPC接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトルートテーブルに基づいてVPCのトラフィックを転送します。

• トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播

  この機能を有効にすると、VPCのシステムルートがトランジットルーターのデフォルトルートテーブルにアドバタイズされます。 これにより、VPCはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。

• トランジットルーターをポイントし、現在のVPCのすべてのルートテーブルに追加するルートを自動的に作成

  この機能を有効にすると、VPCのすべてのルートテーブルに10.0.0.0/8、172.16.0.0/12、192.168.0.0/16の3つのルートが自動的に追加されます。 ルートはVPC接続を指しています。

VBR

VBR接続を作成するときに (すべての高度な機能が有効になっている) デフォルトのルーティング設定を使用すると、システムは自動的に次のルーティング設定をVBRに適用します。

• トランジットルーターのデフォルトルートテーブルに関連付ける

  この機能を有効にすると、VBR接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトのルートテーブルに基づいてVBRのトラフィックを転送します。

• トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播

  この機能を有効にすると、VBRのシステムルートがトランジットルーターのデフォルトルートテーブルに自動的に通知されます。

• VBRへのルートの伝播

  この機能を有効にすると、VBRへのVBR接続に関連付けられているルートテーブルのルートが自動的にアドバタイズされます。

リージョン間接続

リージョン間接続を作成するときにデフォルトのルーティング設定 (すべての高度な機能が有効になっている) を使用すると、システムは自動的に次のルーティング設定をリージョン間接続に適用します。

• トランジットルーターのデフォルトルートテーブルに関連付ける

  この機能を有効にすると、リージョン間接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトのルートテーブルを使用して、ネットワークトラフィックをリージョン間で転送します。

• システムルートをトランジットルーターのデフォルトルートテーブルに伝播する

  この機能が有効になった後、リージョン間接続は、接続されたリージョン内のトランジットルーターのデフォルトルートテーブルに関連付けられます。

• ピアリージョンへルートを自動的にアドバタイズする

  この機能を有効にすると、現在のリージョンのトランジットルーターのルートテーブルのルートが、リージョン間通信のためにピアのトランジットルーターのルートテーブルに自動的に通知されます。 トランジットルータのルートテーブルは、リージョン間接続に関連付けられたルートテーブルを参照する。

ルートを表示