このトピックでは、データセンターと仮想プライベートクラウド (VPC) 間のインターネット経由で複数の IPsec-VPN 接続を作成し、これらの接続を使用して等コストマルチパス (ECMP) ルーティングに基づくロードバランシングを実装する方法について説明します。
背景情報
このトピックでは、上記のシナリオを例として使用します。ある企業が杭州にデータセンターを所有し、中国 (上海) リージョンに VPC を作成しました。アプリケーションは、VPC 内の Elastic Compute Service (ECS) インスタンスにデプロイされています。企業は VPN Gateway を使用して、データセンターと VPC が暗号化された接続を介して通信できるようにしたいと考えています。また、企業はデータセンターと VPC の間に複数の暗号化接続を作成して、ECMP ルーティングに基づくロードバランシングを実装したいと考えています。
これを行うには、企業はデータセンターと Alibaba Cloud の間に複数の IPsec-VPN 接続を作成し、IPsec-VPN 接続と VPC を同じ Cloud Enterprise Network (CEN) インスタンスに接続する必要があります。このようにして、データセンターと VPC は暗号化された接続を介して通信でき、ECMP ルーティングに基づくロードバランシングを実装できます。
ネットワーク設計
ネットワーク設定
このトピックでは、次のネットワーク設定を使用します。
IPsec-VPN 接続の ゲートウェイタイプ パラメーターを [パブリック] に設定します。このようにして、データセンターと Alibaba Cloud 間の IPsec-VPN 接続はインターネット経由で作成されます。
IPsec-VPN 接続の関連リソースパラメーターを CEN に設定します。このようにして、IPsec-VPN 接続は ECMP ルーティングのために集約されます。
IPsec 経由の BGP 動的ルーティングを構成します。
CIDR ブロック
CIDR ブロックを計画する際は、データセンターと VPC の CIDR ブロックが重複していないことを確認してください。
リソース | CIDR ブロックと IP アドレス |
リソース | CIDR ブロックと IP アドレス |
VPC | プライマリ CIDR ブロック: 10.0.0.0/16。
|
IPsec-VPN 接続 | BGP 構成:
|
オンプレミスゲートウェイデバイス | オンプレミスゲートウェイデバイスのパブリック IP アドレス
|
オンプレミスゲートウェイデバイスの BGP 構成:
| |
データセンター | VPC に接続される CIDR ブロック:
|
前提条件
開始する前に、次の操作を実行します。
中国 (上海) リージョンに VPC が作成されています。アプリケーションは VPC 内の ECS インスタンスにデプロイされています。 詳細については、「IPv4 CIDR ブロックを持つ VPC を作成する」をご参照ください。
CEN インスタンスが作成されています。Enterprise Edition 転送ルータが中国 (杭州) リージョンと中国 (上海) リージョンに作成されています。詳細については、「CEN インスタンスを作成する」および「転送ルータを作成する」をご参照ください。
転送ルータを作成する際は、転送ルータの CIDR ブロックを構成する必要があります。そうしないと、IPsec 接続を転送ルータに関連付けることができません。
転送ルータを作成済みの場合は、転送ルータの CIDR ブロックを構成できます。詳細については、「転送ルータの CIDR ブロック」をご参照ください。
VPC 内の ECS インスタンスのセキュリティグループルールを理解しています。ルールで ECS インスタンスがデータセンターと通信できるようになっていることを確認してください。 詳細については、「セキュリティグループルールを表示する」および「セキュリティグループルールを追加する」をご参照ください。
手順
手順 1: カスタマーゲートウェイを作成する
IPsec-VPN 接続を作成する前に、カスタマーゲートウェイを作成して、オンプレミスゲートウェイデバイスに関する情報を Alibaba Cloud に提供する必要があります。
VPN Gateway コンソール にログインします。
左側のナビゲーション ウィンドウで、 を選択します。
上部のナビゲーションバーで、カスタマーゲートウェイのリージョンを選択します。
ニアバイアクセス原則に従い、カスタマーゲートウェイをデプロイするリージョンを選択する際は、データセンターに最も近いリージョンを選択する必要があります。この例では、[中国 (杭州)] が選択されています。
カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。
カスタマーゲートウェイの作成 パネルで、次のパラメーターを構成し、OK をクリックします。
中国 (杭州) リージョンに、次の構成を使用する 3 つのカスタマーゲートウェイを作成します。その他のパラメーターにはデフォルト値を使用します。詳細については、「カスタマーゲートウェイを作成および管理する」をご参照ください。
パラメーター
説明
カスタマーゲートウェイ 1
カスタマーゲートウェイ 2
カスタマーゲートウェイ 3
パラメーター
説明
カスタマーゲートウェイ 1
カスタマーゲートウェイ 2
カスタマーゲートウェイ 3
名前
各カスタマーゲートウェイの名前を入力します。
Customer-Gateway1 と入力します。
Customer-Gateway2 と入力します。
Customer-Gateway3 と入力します。
IP アドレス
Alibaba Cloud に接続するオンプレミスゲートウェイデバイスのパブリック IP アドレスを入力します。
オンプレミスゲートウェイデバイス 1 のパブリック IP アドレス 11.XX.XX.1 を入力します。
オンプレミスゲートウェイデバイス 2 のパブリック IP アドレス 11.XX.XX.2 を入力します。
オンプレミスゲートウェイデバイス 3 のパブリック IP アドレス 11.XX.XX.3 を入力します。
ASN
オンプレミスゲートウェイデバイスの BGP ASN を入力します。
この例では、65530 が使用されています。
手順 2: IPsec-VPN 接続を作成する
カスタマーゲートウェイを作成したら、Alibaba Cloud とデータセンターの間に IPsec-VPN 接続を作成する必要があります。
VPN Gateway コンソール にログインします。
左側のナビゲーション ウィンドウで、 を選択します。
IPsec 接続 ページで、[CEN をバインド] をクリックします。
[IPsec-VPN 接続 (CEN) の作成] ページで、次の表に記載されているパラメーターを構成し、OK をクリックします。
中国 (杭州) リージョンに、次の構成を使用する 3 つの IPsec-VPN 接続を作成します。その他のパラメーターにはデフォルト値を使用します。詳細については、「シングルトンネルモードで IPsec-VPN 接続を作成および管理する」をご参照ください。
パラメーター
説明
IPsec-VPN 接続 1
IPsec-VPN 接続 2
IPsec-VPN 接続 3
パラメーター
説明
IPsec-VPN 接続 1
IPsec-VPN 接続 2
IPsec-VPN 接続 3
[名前]
IPsec-VPN 接続の名前を入力します。
IPsec-VPN 接続 1 と入力します。
IPsec-VPN 接続 2 と入力します。
IPsec-VPN 接続 3 と入力します。
[リージョン]
関連付ける転送ルータが属するリージョンを選択します。
IPsec-VPN 接続は、転送ルータと同じリージョンに作成されます。
この例では、[中国 (杭州)] が選択されています。
ゲートウェイタイプ
IPsec-VPN 接続で使用されるゲートウェイの種類を選択します。
この例では、パブリック が選択されています。
[CEN をバインド]
関連付ける転送ルータが属するアカウントを選択します。
この例では [現在のアカウント] が選択されています。
CEN インスタンス ID
CEN インスタンスを選択します。
この例では、「準備」セクションで作成された CEN インスタンスが選択されています。
システムは、現在のリージョンで CEN インスタンスによって作成された転送ルータの ID と CIDR ブロックを表示します。IPsec-VPN 接続は、転送ルータに関連付けられます。
トランジットルーター
IPsec-VPN 接続に関連付ける転送ルータ。
システムは、IPsec-VPN 接続が作成されるリージョン内の転送ルータを自動的に選択します。
ゾーン
IPsec-VPN 接続を作成するゾーンを選択します。IPsec-VPN 接続は、転送ルータをサポートするゾーンに作成されていることを確認してください。
この例では、[杭州ゾーン H] が選択されています。
ルーティングモード
ルーティングモード。
この例では、[宛先ルーティングモード] が選択されています。
BGP を使用する場合は、[ルーティングモード] パラメーターを [宛先ルーティングモード] に設定することをお勧めします。
今すぐ有効化
IPsec-VPN 接続の設定をすぐに適用するかどうかを選択します。有効な値:
はい: 構成が完了するとすぐにネゴシエーションが開始されます。
いいえ: トラフィックが入るとネゴシエーションが行われます。
この例では、はい が選択されています。
カスタマーゲートウェイ
IPsec-VPN 接続に関連付けるカスタマーゲートウェイを選択します。
Customer-Gateway1 を選択します。
Customer-Gateway2 を選択します。
Customer-Gateway3 を選択します。
事前共有鍵
オンプレミスゲートウェイデバイスの認証に使用される事前共有鍵を入力します。
鍵は 1 ~ 100 文字で、数字、大文字、小文字、および次の特殊文字を含めることができます:
~`!@#$%^&*()_-+={}[]\|;:',.<>/?。鍵にスペース文字を含めることはできません。事前共有鍵を指定しない場合、システムは 16 文字のランダムな文字列を事前共有鍵として生成します。IPsec 接続を作成した後、[編集] をクリックして、システムによって生成された事前共有鍵を表示できます。詳細については、「IPsec 接続を変更する」をご参照ください。
IPsec-VPN 接続とピアゲートウェイデバイスは、同じ事前共有鍵を使用する必要があります。そうしないと、システムは IPsec-VPN 接続を確立できません。
fddsFF123**** と入力します。
fddsFF456**** と入力します。
fddsFF789**** と入力します。
[BGP を有効にする]
BGP を有効にするかどうかを指定します。デフォルトでは、BGP は無効になっています。
この例では、BGP は有効になっています。
ローカル ASN
IPsec-VPN 接続の ASN を入力します。
65531 と入力します。
65531 と入力します。
65531 と入力します。
[暗号化設定]
IKE 構成と IPsec 構成を含む暗号化構成を設定します。
次のパラメーターを除き、パラメーターのデフォルト値を使用します。
[DH グループ] [IKE 構成] セクションのパラメーターを [group14] に設定します。
[DH グループ] [IPsec 構成] セクションのパラメーターを [group14] に設定します。
オンプレミスゲートウェイデバイスに基づいて暗号化パラメーターを選択し、IPsec 接続の暗号化構成がオンプレミスゲートウェイデバイスの暗号化構成と同じになるようにする必要があります。
[BGP 構成]
トンネル CIDR ブロック
IPsec トンネルで使用される CIDR ブロックを入力します。
CIDR ブロックは 169.254.0.0/16 に含まれている必要があります。CIDR ブロックのマスクは 30 ビットの長さである必要があります。CIDR ブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または 169.254.169.252/30 にすることはできません。
169.254.10.0/30 と入力します。
169.254.11.0/30 と入力します。
169.254.12.0/30 と入力します。
ローカル BGP IP アドレス
IPsec-VPN 接続の BGP IP アドレスを入力します。
IP アドレスは、IPsec トンネルの CIDR ブロックに含まれている必要があります。
169.254.10.1 と入力します。
169.254.11.1 と入力します。
169.254.12.1 と入力します。
[詳細設定]
IPsec-VPN 接続のルートを自動的にアドバタイズおよび学習するための詳細機能を有効にするかどうかを指定します。詳細機能はデフォルトで有効になっています。
この例では、詳細機能は有効になっています。
IPsec-VPN 接続が作成されると、システムは各 IPsec-VPN 接続にゲートウェイ IP アドレスを割り当てます。ゲートウェイ IP アドレスは、IPsec-VPN 接続の Alibaba Cloud 側のエンドポイントです。次の図に示すように、詳細ページで IPsec-VPN 接続のゲートウェイ IP アドレスを表示できます。
次の表は、IPsec-VPN 接続 1、IPsec-VPN 接続 2、および IPsec-VPN 接続 3 に割り当てられたゲートウェイ IP アドレスを示しています。
IPsec-VPN 接続
ゲートウェイ IP アドレス
IPsec-VPN 接続
ゲートウェイ IP アドレス
IPsec-VPN 接続 1
120.XX.XX.191
IPsec-VPN 接続 2
47.XX.XX.213
IPsec-VPN 接続 3
47.XX.XX.161
システムは、IPsec-VPN 接続を転送ルータに関連付けた後にのみ、IPsec-VPN 接続にゲートウェイ IP アドレスを割り当てます。
IPsec-VPN 接続 ページに戻り、作成した IPsec-VPN 接続を見つけて、ピア設定の生成操作 列の をクリックします。
3 つの IPsec-VPN 接続の構成をオンプレミスマシンにダウンロードして、オンプレミスゲートウェイデバイスに VPN 構成を追加する際に使用できるようにします。
手順 3: オンプレミスゲートウェイデバイスを構成する
IPsec-VPN 接続を作成したら、次の手順を実行して、ダウンロードした IPsec-VPN 接続構成の VPN および BGP 構成をオンプレミスゲートウェイデバイス (オンプレミスゲートウェイデバイス 1、オンプレミスゲートウェイデバイス 2、およびオンプレミスゲートウェイデバイス 3) に追加します。これにより、データセンターは IPsec-VPN 接続を介して Alibaba Cloud と通信できます。
この例では、ソフトウェア Adaptive Security Appliance (ASA) 9.19.1 を使用して、Cisco ファイアウォールの構成方法を説明します。コマンドはソフトウェアのバージョンによって異なる場合があります。操作中は、実際の環境に基づいてドキュメントまたはベンダーに相談してください。詳細については、「ローカルゲートウェイを構成する」をご参照ください。
次のコンテンツには、サードパーティ製品情報が含まれています。これは参照用です。Alibaba Cloud は、サードパーティ製品のパフォーマンスと信頼性、またはこれらの製品を使用して実行される操作の潜在的な影響について、保証またはその他の形式のコミットメントを行いません。
オンプレミスゲートウェイデバイスを構成します。
オンプレミスゲートウェイデバイス 1 の構成例オンプレミスゲートウェイデバイス 2 の構成例オンプレミスゲートウェイデバイス 3 の構成例Cisco ファイアウォールの CLI にログインし、構成モードに入ります。
ciscoasa> enable Password: ******** # イネーブルモードに入るためのパスワードを入力します。 ciscoasa# configure terminal # 構成モードに入ります。 ciscoasa(config)#インターフェース構成を表示します。
Cisco ファイアウォールでインターフェースが構成され、有効になっていることを確認します。この例では、次のインターフェース構成が使用されています。
# オンプレミスゲートウェイデバイス 1 のインターフェース構成を表示します。 ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 # インターネットに接続するインターフェース。 nameif outside1 # GigabitEthernet 0/0 インターフェースの名前。 security-level 0 ip address 11.XX.XX.1 255.255.255.255 # GigabitEthernet 0/0 インターフェースのパブリック IP アドレス。 ! interface GigabitEthernet0/1 # データセンターに接続するインターフェース。 nameif private # GigabitEthernet 0/1 インターフェースの名前。 security-level 100 # データセンターに接続するプライベートインターフェースのセキュリティレベル。これはパブリックインターフェースのセキュリティレベルよりも低くなっています。 ip address 192.168.50.216 255.255.255.0 # GigabitEthernet 0/1 インターフェースの IP アドレス。 !パブリックインターフェースの IKEv2 機能を有効にします。
# オンプレミスゲートウェイデバイス 1 に次の構成を追加します。 crypto ikev2 enable outside1 # オンプレミスゲートウェイデバイス 1 のインターフェース outside1 (パブリックインターフェース) の IKEv2 機能を有効にします。IKEv2 ポリシーを作成し、IKE フェーズの認証アルゴリズム、暗号化アルゴリズム、Diffie-Hellman (DH) グループ、およびセキュリティアソシエーション (SA) の有効期間を指定します。値は Alibaba Cloud 側と同じである必要があります。
# オンプレミスゲートウェイデバイス 1 に次の構成を追加します。 crypto ikev2 policy 10 encryption aes # 暗号化アルゴリズムを指定します。 integrity sha # 認証アルゴリズムを指定します。 group 14 # DH グループを指定します。 prf sha # prf パラメーターの値は integrity パラメーターの値と同じである必要があります。デフォルトでは、Alibaba Cloud 側でこれらの値は同じです。 lifetime seconds 86400 # SA の有効期間を指定します。IPsec プロポーザルとプロファイルを作成し、Cisco ファイアウォールの IPsec フェーズの暗号化アルゴリズム、認証アルゴリズム、DH グループ、および SA の有効期間を指定します。値は Alibaba Cloud 側と同じである必要があります。
# オンプレミスゲートウェイデバイス 1 に次の構成を追加します。 crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL # IPsec プロポーザルを作成します。 protocol esp encryption aes # 暗号化アルゴリズムを指定します。Alibaba Cloud 側では Encapsulating Security Payload (ESP) プロトコルが使用されています。したがって、ESP プロトコルを使用します。 protocol esp integrity sha-1 # 認証アルゴリズムを指定します。Alibaba Cloud 側では ESP プロトコルが使用されています。したがって、ESP プロトコルを使用します。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL # IPsec プロファイルを作成し、作成したプロポーザルを適用します。 set ikev2 local-identity address # ローカル ID の形式を IP アドレスに設定します。これは Alibaba Cloud 側のリモート ID の形式と同じです。 set pfs group14 # Perfect Forward Secrecy (PFS) と DH グループを指定します。 set security-association lifetime seconds 86400 # 時間ベースの SA の有効期間を指定します。 set security-association lifetime kilobytes unlimited # トラフィックベースの SA の有効期間を無効にします。トンネルグループを作成し、トンネルの事前共有鍵を指定します。これは Alibaba Cloud 側と同じである必要があります。
# オンプレミスゲートウェイデバイス 1 に次の構成を追加します。 tunnel-group 120.XX.XX.191 type ipsec-l2l # トンネルのカプセル化モードを l2l に設定します。 tunnel-group 120.XX.XX.191 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF123**** # トンネルのピア事前共有鍵を指定します。これは Alibaba Cloud 側の事前共有鍵です。 ikev2 local-authentication pre-shared-key fddsFF123**** # トンネルのローカル事前共有鍵を指定します。これは Alibaba Cloud 側と同じである必要があります。 !トンネルインターフェースを作成します。
# オンプレミスゲートウェイデバイス 1 に次の構成を追加します。 interface Tunnel1 # トンネルのインターフェースを作成します。 nameif ALIYUN1 ip address 169.254.10.2 255.255.255.252 # インターフェースの IP アドレスを指定します。 tunnel source interface outside1 # GigabitEthernet 0/0 インターフェースの IP アドレスをトンネルのソースアドレスとして指定します。 tunnel destination 120.XX.XX.191 # Alibaba Cloud 側の IPsec-VPN 接続 1 のパブリック IP アドレスをトンネルの宛先アドレスとして指定します。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE # トンネルに IPsec プロファイル ALIYUN-PROFILE を適用します。 no shutdown # トンネルのインターフェースを有効にします。 !ルートを構成します。
# オンプレミスゲートウェイデバイス 1 に次の構成を追加します。 route outside1 120.XX.XX.191 255.255.255.255 192.XX.XX.172 # Alibaba Cloud 側の IPsec-VPN 接続 1 のパブリック IP アドレスを指すルートを構成します。ネクストホップは外部 IP アドレスです。 route private 192.168.0.0 255.255.255.0 192.168.50.215 # データセンターを指すルート。 route private 192.168.1.0 255.255.255.0 192.168.50.215 route private 192.168.2.0 255.255.255.0 192.168.50.215 router bgp 65530 address-family ipv4 unicast neighbor 169.254.10.1 remote-as 65531 # BGP ピアを指定します。これは Alibaba Cloud 側の IPsec-VPN 接続 1 の BGP IP アドレスです。 neighbor 169.254.10.1 ebgp-multihop 255 neighbor 169.254.10.1 activate # BGP ピアをアクティブにします。 network 192.168.0.0 mask 255.255.255.0 # データセンターの CIDR ブロックをアドバタイズします。 network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 exit-address-family
Cisco ファイアウォールの CLI にログインし、構成モードに入ります。
ciscoasa> enable Password: ******** # イネーブルモードに入るためのパスワードを入力します。 ciscoasa# configure terminal # 構成モードに入ります。 ciscoasa(config)#インターフェース構成を表示します。
Cisco ファイアウォールでインターフェースが構成され、有効になっていることを確認します。この例では、次のインターフェース構成が使用されています。
# オンプレミスゲートウェイデバイス 2 のインターフェース構成を表示します。 ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 # インターネットに接続するために使用されるインターフェース。 nameif outside1 # GigabitEthernet 0/0 インターフェースの名前。 security-level 0 ip address 11.XX.XX.2 255.255.255.255 # GigabitEthernet 0/0 インターフェースのパブリック IP アドレス。 ! interface GigabitEthernet0/1 # データセンターに接続するインターフェース。 nameif private # GigabitEthernet 0/1 インターフェースの名前。 security-level 100 # データセンターに接続するプライベートインターフェースのセキュリティレベル。これはパブリックインターフェースのセキュリティレベルよりも低くなっています。 ip address 192.168.50.218 255.255.255.0 # GigabitEthernet 0/1 インターフェースの IP アドレス。 !パブリックインターフェースの IKEv2 機能を有効にします。
# オンプレミスゲートウェイデバイス 2 に次の構成を追加します。 crypto ikev2 enable outside1 # オンプレミスゲートウェイデバイス 2 のインターフェース outside1 (パブリックインターフェース) の IKEv2 機能を有効にします。IKEv2 ポリシーを作成し、IKE フェーズの認証アルゴリズム、暗号化アルゴリズム、DH グループ、および SA の有効期間を指定します。値は Alibaba Cloud 側と同じである必要があります。
# オンプレミスゲートウェイデバイス 2 に次の構成を追加します。 crypto ikev2 policy 10 encryption aes # 暗号化アルゴリズムを指定します。 integrity sha # 認証アルゴリズムを指定します。 group 14 # DH グループを指定します。 prf sha # prf パラメーターの値は integrity パラメーターの値と同じである必要があります。デフォルトでは、Alibaba Cloud 側でこれらの値は同じです。 lifetime seconds 86400 # SA の有効期間を指定します。IPsec プロポーザルとプロファイルを作成し、Cisco ファイアウォールの IPsec フェーズの暗号化アルゴリズム、認証アルゴリズム、DH グループ、および SA の有効期間を指定します。値は Alibaba Cloud 側と同じである必要があります。
# オンプレミスゲートウェイデバイス 2 に次の構成を追加します。 crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL # IPsec プロポーザルを作成します。 protocol esp encryption aes # 暗号化アルゴリズムを指定します。Alibaba Cloud 側では ESP プロトコルが使用されています。したがって、ESP プロトコルを使用します。 protocol esp integrity sha-1 # 認証アルゴリズムを指定します。Alibaba Cloud 側では ESP プロトコルが使用されています。したがって、ESP プロトコルを使用します。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL # IPsec プロファイルを作成し、作成したプロポーザルを適用します。 set ikev2 local-identity address # ローカル ID の形式を IP アドレスに設定します。これは Alibaba Cloud 側のリモート ID の形式と同じです。 set pfs group14 # PFS と DH グループを指定します。 set security-association lifetime seconds 86400 # 時間ベースの SA の有効期間を指定します。 set security-association lifetime kilobytes unlimited # トラフィックベースの SA の有効期間を無効にします。トンネルグループを作成し、トンネルの事前共有鍵を指定します。これは Alibaba Cloud 側と同じである必要があります。
# オンプレミスゲートウェイデバイス 2 に次の構成を追加します。 tunnel-group 47.XX.XX.213 type ipsec-l2l # トンネルのカプセル化モード l2l を指定します。 tunnel-group 47.XX.XX.213 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF456**** # トンネルのピア事前共有鍵を指定します。これは Alibaba Cloud 側の事前共有鍵です。 ikev2 local-authentication pre-shared-key fddsFF456**** # トンネルのローカル事前共有鍵を指定します。これは Alibaba Cloud 側と同じである必要があります。 !トンネルインターフェースを作成します。
# オンプレミスゲートウェイデバイス 2 に次の構成を追加します。 interface Tunnel1 # トンネルのインターフェースを作成します。 nameif ALIYUN1 ip address 169.254.11.2 255.255.255.252 # インターフェースの IP アドレスを指定します。 tunnel source interface outside1 # GigabitEthernet 0/0 インターフェースの IP アドレスをトンネルのソースアドレスとして指定します。 tunnel destination 47.XX.XX.213 # Alibaba Cloud 側の IPsec-VPN 接続 2 のパブリック IP アドレスをトンネルの宛先アドレスとして指定します。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE # トンネルに IPsec プロファイル ALIYUN-PROFILE を適用します。 no shutdown # トンネルのインターフェースを有効にします。 !ルートを構成します。
# オンプレミスゲートウェイデバイス 2 に次の構成を追加します。 route outside1 47.XX.XX.213 255.255.255.255 192.XX.XX.173 # Alibaba Cloud 側のオンプレミスゲートウェイデバイス 2 のパブリック IP アドレスを指すルートを構成します。ネクストホップは外部パブリック IP アドレスです。 route private 192.168.0.0 255.255.255.0 192.168.50.217 # データセンターを指すルート。 route private 192.168.1.0 255.255.255.0 192.168.50.217 route private 192.168.2.0 255.255.255.0 192.168.50.217 router bgp 65530 address-family ipv4 unicast neighbor 169.254.11.1 remote-as 65531 # BGP ピアを指定します。これは Alibaba Cloud 側のオンプレミスゲートウェイデバイス 2 の BGP IP アドレスです。 neighbor 169.254.11.1 ebgp-multihop 255 neighbor 169.254.11.1 activate # BGP ピアをアクティブにします。 network 192.168.0.0 mask 255.255.255.0 # データセンターの CIDR ブロックをアドバタイズします。 network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 exit-address-family
Cisco ファイアウォールの CLI にログインし、構成モードに入ります。
ciscoasa> enable Password: ******** # イネーブルモードに入るためのパスワードを入力します。 ciscoasa# configure terminal # 構成モードに入ります。 ciscoasa(config)#インターフェース構成を表示します。
Cisco ファイアウォールでインターフェースが構成され、有効になっていることを確認します。この例では、次のインターフェース構成が使用されています。
# オンプレミスゲートウェイデバイス 3 のインターフェース構成を表示します。 ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 # インターネットに接続するために使用されるインターフェース。 nameif outside1 # GigabitEthernet 0/0 インターフェースの名前。 security-level 0 ip address 11.XX.XX.3 255.255.255.255 # GigabitEthernet 0/0 インターフェースのパブリック IP アドレス。 ! interface GigabitEthernet0/1 # データセンターに接続するインターフェース。 nameif private # GigabitEthernet 0/1 インターフェースの名前。 security-level 100 # データセンターに接続するプライベートインターフェースのセキュリティレベル。これはパブリックインターフェースのセキュリティレベルよりも低くなっています。 ip address 192.168.50.213 255.255.255.0 # GigabitEthernet 0/1 インターフェースの IP アドレス。 !パブリックインターフェースの IKEv2 機能を有効にします。
# オンプレミスゲートウェイデバイス 3 に次の構成を追加します。 crypto ikev2 enable outside1 # オンプレミスゲートウェイデバイス 3 のインターフェース outside1 (パブリックインターフェース) の IKEv2 機能を有効にします。IKEv2 ポリシーを作成し、IKE フェーズの認証アルゴリズム、暗号化アルゴリズム、DH グループ、および SA の有効期間を指定します。値は Alibaba Cloud 側と同じである必要があります。
# オンプレミスゲートウェイデバイス 3 に次の構成を追加します。 crypto ikev2 policy 10 encryption aes # 暗号化アルゴリズムを指定します。 integrity sha # 認証アルゴリズムを指定します。 group 14 # DH グループを指定します。 prf sha # prf パラメーターの値は integrity パラメーターの値と同じである必要があります。デフォルトでは、Alibaba Cloud 側でこれらの値は同じです。 lifetime seconds 86400 # SA の有効期間を指定します。IPsec プロポーザルとプロファイルを作成し、Cisco ファイアウォールの IPsec フェーズの暗号化アルゴリズム、認証アルゴリズム、DH グループ、および SA の有効期間を指定します。値は Alibaba Cloud 側と同じである必要があります。
# オンプレミスゲートウェイデバイス 3 に次の構成を追加します。 crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL # IPsec プロポーザルを作成します。 protocol esp encryption aes # 暗号化アルゴリズムを指定します。Alibaba Cloud 側では ESP プロトコルが使用されています。したがって、ESP プロトコルを使用します。 protocol esp integrity sha-1 # 認証アルゴリズムを指定します。Alibaba Cloud 側では ESP プロトコルが使用されています。したがって、ESP プロトコルを使用します。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL # IPsec プロファイルを作成し、作成したプロポーザルを適用します。 set ikev2 local-identity address # ローカル ID の形式を IP アドレスに設定します。これは Alibaba Cloud 側のリモート ID の形式と同じです。 set pfs group14 # PFS と DH グループを指定します。 set security-association lifetime seconds 86400 # 時間ベースの SA の有効期間を指定します。 set security-association lifetime kilobytes unlimited # トラフィックベースの SA の有効期間を無効にします。トンネルグループを作成し、トンネルの事前共有鍵を指定します。これは Alibaba Cloud 側と同じである必要があります。
# オンプレミスゲートウェイデバイス 3 に次の構成を追加します。 tunnel-group 47.XX.XX.161 type ipsec-l2l # トンネルのカプセル化モード l2l を指定します。 tunnel-group 47.XX.XX.161 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF789**** # トンネルのピア事前共有鍵を指定します。これは Alibaba Cloud 側の事前共有鍵です。 ikev2 local-authentication pre-shared-key fddsFF789**** # トンネルのローカル事前共有鍵を指定します。これは Alibaba Cloud 側と同じである必要があります。 !トンネルインターフェースを作成します。
# オンプレミスゲートウェイデバイス 3 に次の構成を追加します。 interface Tunnel1 # トンネルのインターフェースを作成します。 nameif ALIYUN1 ip address 169.254.12.2 255.255.255.252 # インターフェースの IP アドレスを指定します。 tunnel source interface outside1 # GigabitEthernet 0/0 インターフェースの IP アドレスをトンネルのソースアドレスとして指定します。 tunnel destination 47.XX.XX.161 # Alibaba Cloud 側のオンプレミスゲートウェイデバイス 3 のパブリック IP アドレスをトンネルの宛先アドレスとして指定します。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE # トンネルに IPsec プロファイル ALIYUN-PROFILE を適用します。 no shutdown # トンネルのインターフェースを有効にします。 !ルートを構成します。
# オンプレミスゲートウェイデバイス 3 に次の構成を追加します。 route outside1 47.XX.XX.161 255.255.255.255 192.XX.XX.174 # Alibaba Cloud 側のオンプレミスゲートウェイデバイス 3 のパブリック IP アドレスを指すルートを構成します。ネクストホップは外部 IP アドレスです。 route private 192.168.0.0 255.255.255.0 192.168.50.214 # データセンターを指すルート。 route private 192.168.1.0 255.255.255.0 192.168.50.214 route private 192.168.2.0 255.255.255.0 192.168.50.214 router bgp 65530 address-family ipv4 unicast neighbor 169.254.12.1 remote-as 65531 # BGP ピアを指定します。これは Alibaba Cloud 側のオンプレミスゲートウェイデバイス 3 の BGP IP アドレスです。 neighbor 169.254.12.1 ebgp-multihop 255 neighbor 169.254.12.1 activate # BGP ピアをアクティブにします。 network 192.168.0.0 mask 255.255.255.0 # データセンターの CIDR ブロックをアドバタイズします。 network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 exit-address-family
上記の構成が完了すると、データセンターと Alibaba Cloud の間に IPsec-VPN 接続を確立できます。データセンターからのルートは、BGP 動的ルーティングを介して IPsec-VPN 接続の [BGP ルートテーブル] に伝播されます。
ネットワーク環境に基づいてデータセンターにルートを追加します。ルートは、ネットワークトラフィックがデータセンターから VPC に、オンプレミスゲートウェイデバイス 1、オンプレミスゲートウェイデバイス 2、およびオンプレミスゲートウェイデバイス 3 を介して同時に送信されることを許可する必要があります。特定のコマンドについては、ベンダーにお問い合わせください。
手順 4: VPC 接続を作成する
IPsec-VPN 接続を作成すると、IPsec-VPN 接続は自動的に転送ルータに関連付けられます。CEN コンソールにログインし、VPC 接続を作成し、VPC を転送ルータに関連付ける必要があります。これにより、データセンターは VPC と通信できます。
CEN コンソール にログインします。
インスタンス ページで、管理する CEN インスタンスの ID をクリックします。
タブで、中国 (上海) リージョンの転送ルータを見つけて、[操作] 列の [接続の作成] をクリックします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
次の表に基づいて、中国 (上海) リージョンの VPC を転送ルータに関連付けます。その他のパラメーターにはデフォルト値を使用します。詳細については、「VPC を接続する」をご参照ください。
パラメーター
説明
VPC 接続
パラメーター
説明
VPC 接続
[インスタンスタイプ]
転送ルータに接続するネットワークインスタンスのタイプを選択します。
この例では、[VPC] が選択されています。
[リージョン]
ネットワークインスタンスのリージョンを選択します。
この例では、[中国 (上海)] が選択されています。
[転送ルータ]
システムは現在のリージョンの転送ルータを自動的に表示します。
[リソースオーナー ID]
ネットワークインスタンスが現在の Alibaba Cloud アカウントに属しているかどうかを指定します。
この例では、[あなたのアカウント] が選択されています。
[課金方法]
VPC 接続の課金方法を選択します。デフォルト値: [従量課金制]。転送ルータの課金ルールの詳細については、「課金ルール」をご参照ください。
[接続名]
VPC 接続の名前。
この例では、VPC-connection が使用されています。
[ネットワークインスタンス]
ネットワークインスタンスを選択します。
この例では、中国 (上海) リージョンに作成された VPC が使用されています。
[vSwitch]
転送ルータのゾーンにデプロイされている vSwitch を選択します。
転送ルータが現在のリージョンで 1 つのゾーンのみをサポートしている場合は、そのゾーンの vSwitch を選択する必要があります。
転送ルータが現在のリージョンで複数のゾーンをサポートしている場合は、異なるゾーンにある少なくとも 2 つの vSwitch を選択する必要があります。VPC と転送ルータが通信する場合、これら 2 つの vSwitch はゾーンレベルのディザスタリカバリを実装できます。
データがより短い距離で送信できるため、ネットワーク遅延を削減し、ネットワークパフォーマンスを向上させるために、各ゾーンで vSwitch を選択することをお勧めします。
選択した各 vSwitch にアイドル状態の IP アドレスがあることを確認してください。VPC に転送ルータでサポートされているゾーンに vSwitch がない場合、または vSwitch にアイドル状態の IP アドレスがない場合は、新しい vSwitch を作成する必要があります。詳細については、「vSwitch を作成および管理する」をご参照ください。
この例では、ゾーン F で vSwitch 1 が選択され、ゾーン G で vSwitch 2 が選択されています。
[詳細設定]
詳細機能を有効にするかどうかを指定します。デフォルトでは、すべての詳細機能が有効になっています。
この例では、デフォルト設定が使用されています。
手順 5: リージョン間接続を作成する
IPsec-VPN 接続に関連付けられた転送ルータと VPC に関連付けられた転送ルータは、異なるリージョンにデプロイされています。デフォルトでは、このシナリオではデータセンターは VPC と通信できません。データセンターがリージョンをまたいで VPC と通信できるようにするには、中国 (杭州) リージョンの転送ルータと中国 (上海) リージョンの転送ルータの間にリージョン間接続を作成する必要があります。
[インスタンス] ページで、管理する CEN インスタンスを見つけて、その ID をクリックします。
タブに移動し、[リージョン接続の設定] をクリックします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
次の表に基づいてリージョン間接続を作成します。その他のパラメーターにはデフォルト値を使用します。詳細については、「リージョン間接続を作成する」をご参照ください。
パラメーター
説明
パラメーター
説明
[インスタンスタイプ]
この例では、[リージョン間接続] が選択されています。
[リージョン]
接続するリージョンのいずれかを選択します。
この例では、[中国 (杭州)] が選択されています。
[転送ルータ]
選択したリージョンにある転送ルータの ID が自動的に表示されます。
[接続名]
リージョン間接続の名前を入力します。
この例では、Cross-Region-test が使用されています。
[ピアリージョン]
接続するもう一方のリージョンを選択します。
この例では、[中国 (上海)] が選択されています。
[転送ルータ]
選択したリージョンにある転送ルータの ID が自動的に表示されます。
[帯域幅割り当てモード]
次のモードがサポートされています。
[帯域幅プランから割り当てる]: 帯域幅は帯域幅プランから割り当てられます。
[データ転送ごとの支払い]: リージョン間接続を介したデータ転送に対して課金されます。
この例では、[データ転送ごとの支払い] が選択されています。
[帯域幅]
リージョン間接続の最大帯域幅値を指定します。単位: Mbit/s。
[デフォルトの回線タイプ]
リージョン間接続の回線タイプを選択します。
[詳細設定]
デフォルト設定を使用します。すべての詳細機能が有効になっています。
リージョン間接続が作成されると、システムは自動的にルートをアドバタイズおよび学習します。IPsec-VPN 接続は BGP 動的ルーティングを使用して VPC からデータセンターへのルートを伝播し、データセンターから転送ルータへのルートも伝播して、データセンターと VPC 間のネットワーク通信を実装します。詳細については、「ルーティング構成」をご参照ください。
手順 6: 接続性をテストする
リージョン間接続を作成すると、データセンターと VPC 間のトラフィックは 3 つの IPsec-VPN 接続を使用してロードバランスされます。このセクションでは、ネットワーク接続をテストする方法と、3 つの IPsec-VPN 接続がトラフィックのロードバランスに使用されているかどうかを確認する方法について説明します。
ネットワーク接続をテストします。
接続された VPC 内の ECS インスタンスにログインします。詳細については、「ECS インスタンスに接続する」をご参照ください。
ping コマンドを ECS インスタンスで実行して、データセンター内のクライアントにアクセスします。
ping <データセンター内のクライアントの IP アドレス>ECS インスタンスがエコー応答メッセージを受信した場合、データセンターは VPC と通信できます。
負荷が分散されているかどうかを確認します。
データセンター内の複数のクライアントを使用して、VPC 内の ECS インスタンスに継続的にリクエストを送信します。次に、3 つの IPsec-VPN 接続の詳細ページに移動して、トラフィック監視データを表示します。すべての詳細ページにトラフィック監視データが表示されている場合、3 つの IPsec-VPN 接続がトラフィックのロードバランスに使用されています。
VPN Gateway コンソール にログインします。
上部のナビゲーションバーで、IPsec-VPN 接続が作成されるリージョンを選択します。
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで、管理する IPsec-VPN 接続を見つけて、その ID をクリックします。
IPsec-VPN 接続の詳細ページに移動し、モニター タブでトラフィック監視データを表示します。
ルーティング構成
このトピックでは、デフォルトのルーティング構成を使用して、IPsec-VPN 接続、VPC 接続、およびリージョン間接続を作成します。デフォルトのルーティング構成を使用すると、CEN は自動的にルートを学習および配布して、データセンターが VPC と通信できるようにします。次のセクションでは、デフォルトのルーティング構成について説明します。
IPsec-VPN 接続
IPsec-VPN 接続を作成するときに IPsec-VPN 接続を転送ルータに関連付け、すべての詳細機能を有効にすると、システムは自動的に次のルーティング構成を IPsec-VPN 接続に適用します。
IPsec-VPN 接続は、転送ルータのデフォルトルートテーブルに関連付けられています。転送ルータは、デフォルトルートテーブルに基づいて IPsec-VPN 接続からのトラフィックを転送します。
IPsec-VPN 接続用に構成した宛先ベースのルートと、BGP 動的ルーティングを使用して IPsec-VPN 接続を介してデータセンターから学習したルートは、転送ルータのデフォルトルートテーブルに自動的に伝播されます。
転送ルータは、デフォルトルートテーブル内のルートを IPsec-VPN 接続に関連付けられた BGP ルートテーブルに自動的に伝播します。
BGP 動的ルーティングを使用して IPsec-VPN 接続を介して VPC から学習したルートは、データセンターに自動的に伝播されます。
VPC
VPC を作成するときにすべての詳細機能が有効になっている場合、システムは自動的に次のルーティング構成を VPC に適用します。
[転送ルータのデフォルトルートテーブルに関連付ける]
この機能を有効にすると、VPC 接続は自動的に転送ルータのデフォルトルートテーブルに関連付けられます。転送ルータは、デフォルトルートテーブルに基づいて VPC のトラフィックを転送します。
[システムルートを転送ルータのデフォルトルートテーブルに伝播する]
この機能を有効にすると、VPC のシステムルートが転送ルータのデフォルトルートテーブルにアドバタイズされます。これにより、VPC は転送ルータに接続されている他のネットワークインスタンスと通信できます。
[転送ルータを指すルートを自動的に作成し、現在の VPC のすべてのルートテーブルに追加する]
この機能を有効にすると、システムは次の 3 つのルート (10.0.0.0/8、172.16.0.0/12、および 192.168.0.0/16) を VPC のすべてのルートテーブルに自動的に追加します。ルートは VPC 接続を指します。
このようなルートが VPC のルートテーブルに既に存在する場合、システムはこのルートをアドバタイズできません。VPC 接続を指すルートを VPC のルートテーブルに手動で追加する必要があります。そうしないと、VPC と転送ルータの間でネットワーク通信を確立できません。
このようなルートが存在するかどうかを確認するには、[詳細設定] の下の [ルートの確認] をクリックします。
リージョン間接続
リージョン間接続を作成するときにすべての詳細機能が有効になっている場合、システムは自動的に次のルーティング構成をリージョン間接続に適用します。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、リージョン間接続は自動的に 転送ルータ のデフォルトルートテーブルに関連付けられます。転送ルータは、デフォルトルートテーブルを使用してリージョン間でネットワークトラフィックを転送します。
システムルートをトランジットルーターのデフォルトルートテーブルに伝播する
この機能を有効にすると、リージョン間接続は接続されたリージョンにある転送ルータのデフォルトルートテーブルに関連付けられます。
ピアリージョンへルートを自動的にアドバタイズする
この機能を有効にすると、現在のリージョンの 転送ルータ のルートテーブル内のルートは、リージョン間通信のためにピア 転送ルータ のルートテーブルに自動的にアドバタイズされます。転送ルータのルートテーブルとは、リージョン間接続に関連付けられているルートテーブルを指します。
ルートエントリ
このセクションでは、転送ルータ、IPsec-VPN 接続、VPC、およびオンプレミスゲートウェイデバイスで使用されるルートエントリについて説明します。ルートエントリは Alibaba Cloud 管理コンソールで確認できます。
転送ルータのルートの詳細については、「Enterprise Edition 転送ルータのルートを表示する」をご参照ください。
VPC のルートの詳細については、「ルートテーブルを作成および管理する」をご参照ください。
IPsec-VPN 接続のルートエントリを表示するには、IPsec-VPN 接続の詳細ページに移動します。
VPN Gateway コンソール にログインします。
上部のナビゲーションバーで、IPsec-VPN 接続が作成されるリージョンを選択します。
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで、IPsec-VPN 接続を見つけて、その ID をクリックします。
IPsec-VPN 接続の詳細ページに移動し、BGP ルートテーブル タブでルートエントリを表示します。
