すべてのプロダクト
Search
ドキュメントセンター

VPN Gateway:プライベートVPNゲートウェイを使用してプライベート接続を暗号化する

最終更新日:Dec 17, 2024

Express Connect回線とcloud Enterprise Network (CEN) を介してデータセンターと仮想プライベートクラウド (VPC) 間にプライベート接続を確立した後、プライベート接続は暗号化されません。 これは、セキュリティリスクを引き起こす。 ネットワークセキュリティを向上させるために、プライベートVPNゲートウェイを使用して、Express Connect回線を介したプライベート接続 (以下、プライベート接続と呼びます) を暗号化できます。 このトピックでは、暗号化されたプライベート接続の原理と設定方法について説明します。

重要

プライベートネットワーク上で暗号化されたトンネルを確立する場合は、プライベートIPsec-VPN接続をトランジットルーター (TR) に関連付けることをお勧めします。 詳細については、「複数のプライベートIPsec-VPN接続を作成して負荷分散を実装する」をご参照ください。

制御ポリシー機能の動作

Express Connect回線とCENを介してデータセンターとVPCの間にプライベート接続を確立すると、プライベートVPNゲートウェイとオンプレミスゲートウェイデバイスの間に暗号化されたトンネルを確立できます。 データセンターとVPC間のネットワークトラフィックを暗号化されたトンネルにルーティングするルートを設定できます。 このように、トンネルを介して送信されるネットワークトラフィックは暗号化される。

私网连接方案概述

次の例では、プライベート接続の暗号化方法について説明します。 この例では、プライベート接続を使用して、データセンターのクライアントがVPCのElastic Compute Service (ECS) インスタンスにアクセスします。

流量传输说明

いいえ

ノード

説明

1

クライアント

  1. クライアントは要求を開始する。

  2. クライアントは、ルートテーブルを照会し、要求パケットをオンプレミスゲートウェイ装置に転送する。

2

オンプレミスゲートウェイデバイス

  1. オンプレミスゲートウェイデバイスが要求パケットを受信した後、オンプレミスゲートウェイデバイスは、宛先IPアドレスおよびIPsec構成に基づいて、要求パケットを暗号化し、カプセル化する。

    リクエストパケットが暗号化されてカプセル化された後、宛先IPアドレスはVPNゲートウェイのプライベートIPアドレスに変わります。

  2. オンプレミスゲートウェイ装置は、ルートテーブルを照会し、新しい宛先IPアドレスに基づいて、要求パケットを仮想ボーダールータ (VBR) に転送する。

3

VBR

VBRがリクエストパケットを受信した後、VBRはルートテーブルを照会し、リクエストパケットをCENインスタンスに転送します。

4

CENインスタンス

CENインスタンスがリクエストパケットを受信すると、CENインスタンスはルートテーブルを照会し、リクエストパケットをVPCに転送します。

5

VPC

VPCがリクエストパケットを受信すると、VPCはルートテーブルにクエリを実行し、リクエストパケットをVPNゲートウェイに転送します。

エリア6

VPN ゲートウェイ

  1. VPNゲートウェイが要求パケットを受信した後、VPNゲートウェイは、要求パケットを復号化し、再カプセル化する。

  2. VPNゲートウェイはルートテーブルを照会し、リクエストパケットの宛先IPアドレスに基づいてリクエストパケットをECSインスタンスに転送します。

7

ECS インスタンス

  1. ECSインスタンスがリクエストパケットを受信すると、ECSインスタンスは応答パケットをクライアントに送信します。

  2. ECSインスタンスはルートテーブルを照会し、応答パケットの宛先IPアドレスに基づいてVPNゲートウェイに応答パケットを転送します。

8

VPN ゲートウェイ

  1. VPNゲートウェイが応答パケットを受信した後、VPNゲートウェイは、応答パケットを暗号化し、カプセル化する。

    応答パケットが暗号化され、カプセル化された後、その宛先IPアドレスは、オンプレミスゲートウェイ装置のVPN IPアドレスに変化する。

  2. VPNゲートは, ルートテーブルを検索し, 新しい目的地のIPアドレスに基づいて VPCへ向かう.

9

VPC

VPC が反応パケットを受信した後, VPCはルートテーブルを検索し, 回答パケットを CENインスタンスに向上する.

10

CEN

CENインスタンスが反応パケットを受信した後, CENインスタンスがルートテーブルを検出する.

11

VBR

VBR が回答パケットを受信した後, VBRはルートテーブルを検討し, 回答パケットをオンアプリケーションゲートデバイスに向上する.

12

オンプレミスゲートウェイデバイス

  1. アプリケーションのゲートウェイデバイスが反応パケットを受信した後, インターフェースパッケージを回復する.

  2. オンプレミスゲートウェイ装置は、ルートテーブルを照会し、応答パケットの宛先IPアドレスに基づいて応答パケットをクライアントに転送する。

設定方法

プライベートVPNゲートウェイを使用してプライベート接続を暗号化するには、VPNゲートウェイと、VPNゲートウェイに接続されているVBRをさまざまな方法で設定できます。 下記の表は, 設定方法の間の差異を記述し, タリオルへのリンクを提供する.

設定方法

説明

チュートリアル

VPN 接続の後で通信に対応する

方法 1

VBRおよびVPNゲートウェイの静的ルーティングを設定します。

正定的なルートを使うためのインタビュー

  • また, 個人的な接続は暗号化されていない.

  • データセンターとVPCの間の個人的な接続は中断される.

    VPN ゲートに広告されるルートを手動を手動させることができる. ルートを撤回すると、VPCはExpress Connect回線とCENを介してデータセンターに接続されます。

方法 2

  • VBRの静的ルーティングを設定します。

  • VPNゲートウェイのボーダーゲートウェイプロトコル (BGP) 動的ルーティングを設定します。

説明

静的ルーティングがVPNゲートウェイに設定されている場合、VBRのBGP動的ルーティングを設定できません。

静的ルーティングとBGPルーティングを使用したプライベート接続の暗号化

  • プライベート接続は暗号化されなくなりました。

  • システムは、VPNゲートウェイでアドバタイズされるBGP動的ルートを自動的に撤回します。

  • VPCは、Express Connect回線とCENを介してデータセンターに接続されます。

方法 3

VBRおよびVPNゲートウェイのBGP動的ルーティングを設定します。

BGPルーティングを使用したプライベート接続の暗号化

  • プライベート接続は暗号化されなくなりました。

  • システムは、VPNゲートウェイでアドバタイズされるBGP動的ルートを自動的に撤回します。

  • VPCは、Express Connect回線とCENを介してデータセンターに接続されます。