このトピックでは、プライベートVPNゲートウェイ (以下「VPNゲートウェイ」と呼びます) を使用して、データセンターと仮想プライベートクラウド (VPC) 間のプライベート接続を暗号化する方法について説明します。 データセンターとVPC間のプライベート接続を暗号化するには、VPNゲートウェイと、データセンターをVPCに接続する仮想ボーダールーター (VBR) のBGPルーティングを設定します。
背景情報
静的ルーティングとBGPルーティングを使用してプライベート接続を暗号化する前に、プライベート接続の暗号化方法と構成方法を理解することをお勧めします。 詳細については、「設定方法の概要」をご参照ください。
シナリオ
このトピックでは、上記のシナリオを例として使用します。 企業は杭州にデータセンターを所有し、中国 (杭州) リージョンにVPC (VPC1) がデプロイされています。 アプリケーションは、VPC1のElastic Compute Service (ECS) インスタンスにデプロイされます。 ビジネスの成長により、企業はExpress connect回路とCENを介してVPC1をデータセンターに接続したいと考えています。 さらに、企業はセキュリティ上の懸念から、VPC1とデータセンター間の接続を暗号化したいと考えています。
VPC1がCENおよびExpress Connect回線を介してデータセンターに接続された後、企業はVPC1にVPNゲートウェイを作成し、VPNゲートウェイとオンプレミスのゲートウェイデバイスとの間にIPsec-VPN接続を確立できます。 次に、企業はVBRゲートウェイとVPNゲートウェイの両方のBGPルーティングを設定して、プライベート接続を暗号化できます。
準備
プライベートVPNゲートウェイを使用する前に、アカウントマネージャーまたはから必要な権限を申請する必要がありますチケットを起票して権限を取得します。
データセンターとネットワークインスタンスのネットワークを計画する必要があります。 データセンターのCIDRブロックがネットワークインスタンスのCIDRブロックと重複しないようにしてください。 次の表に、この例のCIDRブロックを示します。
項目
CIDRブロック
IP アドレス
VPC1
プライマリCIDRブロック: 10.0.0.0/16
vSwitch1が属するCIDRブロック: 10.0.0.0/24
vSwitch2が属するCIDRブロック: 10.0.1.0/24
ECS1: 10.0.1.1
ECS2: 10.0.1.2
VBR
10.0.0.0/30
VLAN ID: 201
Alibaba Cloud側のIPv4アドレス: 10.0.0.2/30
ユーザー側のIPv4アドレス: 10.0.0.1/30
この例では、ユーザ側のIPv4アドレスは、データセンタ内のゲートウェイデバイスのIPv4アドレスである。
自律システム番号 (ASN): 45104
デフォルトでは、VBRのASNは45104です。 ASNは変更できません。
データセンター
プライマリCIDRブロック: 192.168.0.0/16
サブネット1: 192.168.0.0/24
サブ2: 192.168.1.0/24
クライアント: 192.168.1.1
オンプレミスゲートウェイデバイス
10.0.0.0/30
192.168.0.0/24
VPN IPアドレス: 192.168.0.251
VPN IPアドレスは、VPNゲートウェイに接続されるオンプレミスゲートウェイ装置のインタフェースのIPアドレスを指す。
Express Connect回路に接続されたインターフェイスのIPアドレス: 10.0.0.1
ASN: 65530
VPC1は中国 (杭州) リージョンにデプロイされ、アプリケーションはVPC1のECSインスタンスにデプロイされます。 詳細については、「VPC の作成と管理」をご参照ください。
中国 (杭州) リージョンのVPC1に、Enterprise Editionトランジットルーターをサポートする異なるゾーンに少なくとも2つのvSwitchが含まれていることを確認します。 さらに、各vSwitchには少なくとも1つのアイドルIPアドレスが必要です。 これにより、VPC1をCENインスタンスにアタッチできます。 詳細については、「VPCの接続」をご参照ください。
この例では、VPC1には2つのvSwitch (vSwitch1とvSwitch2) が含まれています。 vSwitch1はゾーンHにデプロイされ、vSwitch2はゾーンIにデプロイされます。ECSインスタンスはvSwitch2にデプロイされます。 vSwitch1は、VPNゲートウェイを関連付けるためにのみ使用されます。
説明VPCを作成するときは、VPNゲートウェイ用の専用vSwitchをVPCに作成することを推奨します。 これにより、vSwitchはVPNゲートウェイにプライベートIPアドレスを割り当てることができます。
データセンターのゲートウェイデバイスを確認します。 標準のIKEv1およびIKEv2プロトコルをサポートしていることを確認します。 ゲートウェイデバイスがIKEv1およびIKEv2プロトコルをサポートしているかどうかを確認するには、ゲートウェイベンダーに連絡してください。
VPC1のECSインスタンスに適用されるセキュリティグループルールと、データセンターのクライアントに適用されるアクセスコントロールリスト (ACL) ルールに注意してください。 ルールにより、VPC1のECSインスタンスがデータセンターのクライアントと通信できるようにします。 詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。
手順
ステップ1: Express Connect回路のデプロイ
データセンターをAlibaba Cloudに接続するには、Express Connect回路をデプロイする必要があります。
Express Connect回路を作成します。
中国 (杭州) リージョンのExpress Connect回線を申請する必要があります。 詳細については、「Express Connect回線を介した専用接続の作成と管理」または「ホスト接続の概要」をご参照ください。
この例では、Express Connect回路を介した専用接続が作成されます。
VBRを作成します。
左側のナビゲーションウィンドウで、仮想ボーダールーター (VBR).
上部のナビゲーションバーで、VBRを作成するリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
仮想ボーダールーター (VBR)ページをクリックします。VBRの作成.
[VBRの作成] パネルで、次のパラメーターを設定し、[OK] をクリックします。
次の表に、主要なパラメーターのみを示します。 その他のパラメーターの詳細については、「VBRの作成と管理」をご参照ください。
項目
説明
[アカウント]
この例では、[現在のアカウント] が選択されています。
Name
この例では、VBRが使用されます。
物理接続インターフェイス
この例では、Dedicated Physical Connectionが選択され、ステップ1で作成されたExpress Connect回路が選択されています。
VLAN ID
この例では、201が使用されます。
説明VBRのVLAN IDが、オンプレミスゲートウェイデバイスがExpress connect回路に接続するために使用するインターフェイスのVLAN IDと同じであることを確認します。
VBR帯域幅の値の設定
VBRの最大帯域幅値を指定します。
Alibaba Cloud側のゲートウェイのピアIPv4アドレス
この例では、10.0.0.2が使用されます。
お客様側のゲートウェイのピアIPv4アドレス
この例では、10.0.0.1が使用されます。
サブネットマスク (IPv4アドレス)
この例では、255.255.255.252が使用されます。
VBRのBGPグループを設定します。
[仮想ボーダールーター (VBR)] ページで、管理するVBRのIDをクリックします。
詳細ページで、[BGPグループ] タブをクリックします。
[BGPグループ] タブで、[BGPグループの作成] をクリックし、次のパラメーターを設定して、[OK] をクリックします。
次のセクションでは、主要なパラメータについてのみ説明します。 その他のパラメーターの詳細については、「BGPの設定と管理」をご参照ください。
名前: BGPグループの名前を入力します。 この例では、VBR-BGPが入力されます。
ピアASN: オンプレミスゲートウェイデバイスのASNを入力します。 この例では、65530が使用されます。
VBRのBGPピアを設定します。
VBRの詳細ページで、[BGPピア] タブをクリックします。
[BGPピア] タブで、[BGPピアの作成] をクリックします。
[BGPピアの作成] パネルで、次のパラメーターを設定し、[OK] をクリックします。
BGPグループ: BGPグループを選択します。
この例では、VBR-BGPが選択されています。
BGPピアIPアドレス: BGPピアのIPアドレスを入力します。
この例では、IPアドレス10.0.0.1が入力されます。 これは、オンプレミスゲートウェイデバイスがExpress connect回路に接続するために使用するインターフェイスのIPアドレスです。
オンプレミスゲートウェイデバイスのBGPルーティングを設定します。
次の構成は参照のためだけに使用されます。 コマンドは、ネットワークデバイスベンダーに基づいて変化し得る。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。
router bgp 65530 //Enable BGP and configure the ASN of the data center. In this example, 65530 is used. bgp router-id 10.0.0.1 //Enter the ID of the BGP router. In this example, 10.0.0.1 is used. bgp log-neighbor-changes neighbor 10.0.0.2 remote-as 45104 //Establish a peering connection to the VBR. ! address-family ipv4 network 192.168.0.0 mask 255.255.0.0 //Advertise the CIDR block of the data center. neighbor 10.0.0.2 activate //Activate the BGP peer. exit-address-family !
手順2: CENインスタンスの設定
VPC1とVBRをCENインスタンスにアタッチする必要があります。 その後、データセンターとVPC1はCENを介して相互に通信できます。
CEN インスタンスを作成します。
インスタンスページをクリックします。CENインスタンスの作成.
CENインスタンスの作成ダイアログボックスで、以下のパラメーターを設定し、OK.
名前: CENインスタンスの名前を入力します。
この例では、CENが使用されています。
説明: CENインスタンスの説明を入力します。
この例では、CEN-for-test-private-VPN-Gatewayが使用されています。
VPC1をCENインスタンスにアタッチする
VPCのセクション基本設定タブをクリックし、
アイコンが表示されます。 
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ネットワークタイプ
アタッチするネットワークインスタンスのタイプを選択します。
この例では、VPCが選択されています。
リージョン
ネットワークインスタンスがデプロイされているリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
トランジットルーター
選択したリージョンにトランジットルーターが自動的に作成されます。
リソース所有者ID
ネットワークインスタンスが属するAlibaba Cloudアカウントを選択します。
この例では、[現在のアカウント] が選択されています。
課金方法
この例では、デフォルト値 [従量課金] が選択されています。
詳細については、「課金」をご参照ください。
添付ファイル名
ネットワーク接続の名前を入力します。
この例では、VPC1-testが使用されます。
ネットワークインスタンス
接続するネットワークインスタンスのIDを選択します。
この例では、VPC1が選択されています。
VSwitch
トランジットルーターでサポートされているゾーンにデプロイされているvSwitchを選択します。
Enterprise Editionトランジットルーターが1つのゾーンのみをサポートするリージョンにデプロイされている場合は、そのゾーンでvSwitchを選択します。
Enterprise Editionトランジットルーターが複数のゾーンをサポートするリージョンにデプロイされている場合は、少なくとも2つのvSwitchを選択します。 2つのvSwitchは異なるゾーンにある必要があります。 2つのvSwitchはゾーンディザスタリカバリをサポートしており、VPCとトランジットルーター間の中断のないデータ伝送を保証します。
データをより短い距離で送信できるため、ネットワークの待ち時間を短縮し、ネットワークパフォーマンスを向上させるために、各ゾーンでvSwitchを選択することをお勧めします。
詳細については、「VPC接続の作成」をご参照ください。
詳細設定
デフォルトでは、システムは次の高度な機能を自動的に有効にします。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、VPC接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトルートテーブルに基づいてVPCのトラフィックを転送します。
システムルートをトランジットルーターのデフォルトルートテーブルに伝播する
この機能を有効にすると、VPCのシステムルートがトランジットルーターのデフォルトルートテーブルにアドバタイズされます。 これにより、VPCはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。
トランジットルーターへのルートを自動的に作成し、現在の VPC のすべてのルートテーブルに追加する
この機能を有効にすると、VPCのすべてのルートテーブルに10.0.0.0/8、172.16.0.0/12、192.168.0.0/16の3つのルートが自動的に追加されます。 ルートの次のホップはVPCを指します。 ルートは、VPCからトランジットルーターにIPv4トラフィックを転送するために使用されます。 デフォルトでは、トランジットルーターはVPCへのルートをアドバタイズしません。
重要そのようなルートが既にVPCのルートテーブルにある場合、システムはこのルートをアドバタイズできません。 VPC接続を指すルートをVPCのルートテーブルに手動で追加する必要があります。 そうしないと、VPCとトランジットルーター間でネットワーク通信を確立できません。 そのようなルートが存在するかどうかを確認するには、[詳細設定] の下にある [ルートの確認] をクリックします。
VPCがIPv6トラフィックを入力して転送するには、VPC接続のルート同期を有効にするか、接続の作成後にルートテーブルにVPC接続を指すIPv6ルートエントリを手動で追加する必要があります。
この例では、デフォルト設定が使用されています。
VBRをCENインスタンスにアタッチします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ネットワークタイプ
アタッチするネットワークインスタンスのタイプを選択します。
この例では、仮想ボーダールーター (VBR) が選択されています。
リージョン
ネットワークインスタンスがデプロイされているリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
トランジットルーター
選択したリージョンのトランジットルーターが表示されます。
リソース所有者ID
ネットワークインスタンスが属するAlibaba Cloudアカウントを選択します。
この例では、[現在のアカウント] が選択されています。
添付ファイル名
ネットワーク接続の名前を入力します。
この例では、VBR-testが使用されます。
ネットワークインスタンス
接続するネットワークインスタンスのIDを選択します。
この例では、ステップ1で作成されたVBRが選択されます。
詳細設定
デフォルトでは、システムは次の高度な機能を自動的に有効にします。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、VBR接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトのルートテーブルに基づいてVBRのトラフィックを転送します。
トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播
この機能を有効にすると、VBRのシステムルートがトランジットルーターのデフォルトルートテーブルに通知されます。 このようにして、VBRはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。
VBRへのルートの伝播
この機能を有効にすると、VBRへのVBR接続に関連付けられているトランジットルータールートテーブルのルートが自動的にアドバタイズされます。
この例では、デフォルト設定が使用されています。
ステップ3: VPNゲートウェイのデプロイ
上記の手順を完了すると、データセンターはプライベート接続でVPC1に接続されます。 ただし、プライベート接続は暗号化されません。 プライベート接続を暗号化するには、VPC1にVPNゲートウェイをデプロイする必要があります。
VPN ゲートウェイを作成します。
- VPN Gatewayコンソールにログインします。
上部のナビゲーションバーで、VPNゲートウェイを作成するリージョンを選択します。
VPNゲートウェイと関連付けられるVPCは、同じリージョンに属している必要があります。 この例では、中国 (杭州) リージョンが選択されています。
- VPN Gateway ページで、[VPN Gateway の作成] をクリックします。
購入ページで、次のパラメーターを設定し、今すぐ購入、そして支払いを完了します。
パラメーター
説明
名前
VPNゲートウェイの名前を入力します。
この例では、VPNGateway1が入力されます。
リージョン
VPNゲートウェイをデプロイするリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
ゲートウェイタイプ
VPNゲートウェイのタイプを選択します。
この例では、[標準] が選択されています。
ネットワークタイプ
VPN gatewayのネットワークタイプを選択します。
この例では、[プライベート] が選択されています。
トンネル
リージョン内のIPsec-VPN接続でサポートされているトンネルモードが表示されます。
[VPC]
VPNゲートウェイを関連付けるVPCを選択します。
この例では、VPC1が選択されています。
VSwitch
VPC1からvSwitchを選択します。
シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。
デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。
IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。
説明システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。
VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。
vSwitch 2
VPC1から別のvSwitchを選択します。
Single-tunnelを選択した場合は、このパラメーターを無視します。
最大帯域幅
VPNゲートウェイの最大帯域幅値を選択します。 単位は、Mbit/s です。
トラフィック
VPN gatewayの課金方法を選択します。 デフォルト値: Pay-by-data-transfer
詳細については、「課金」をご参照ください。
IPsec-VPN
プライベートVPNゲートウェイはIPsec-VPN機能のみをサポートします。
この例では、IPsec-VPN機能にデフォルト値Enableが選択されています。
有効期間
課金サイクルを選択します。 デフォルト値:時間単位
サービスにリンクされたロール
[サービスにリンクされたロールの作成] をクリックします。 その後、システムは自動的にサービスにリンクされたロールAliyunServiceRoleForVpnを作成します。
VPN gatewayは、他のクラウドリソースにアクセスするためにこの役割を引き受けます。 詳細については、「AliyunServiceRoleForVpn」をご参照ください。
[作成済み] が表示されている場合、サービスにリンクされたロールが作成され、再度作成する必要はありません。
VPN gatewayページに戻り、作成したVPN gatewayのプライベートIPアドレスを確認して記録します。 このIPアドレスは、IPsec-VPN接続を設定するときに使用されます。
新しく作成されたVPN gatewayは [準備中] 状態です。 約1〜5分後、それは通常状態に入る。 [正常] 状態は、VPNゲートウェイが初期化され、使用可能な状態であることを示します。
カスタマーゲートウェイを作成します。
- 左側のナビゲーションウィンドウで、 を選択します。
- カスタマーゲートウェイ ページで、[カスタマーゲートウェイの作成] をクリックします。
カスタマーゲートウェイの作成パネル、次のパラメータを設定し、OK.
以下のコンテンツは、主要なパラメータのみを説明します。 詳細については、「カスタマーゲートウェイの作成」をご参照ください。
名前: カスタマーゲートウェイの名前。
この例では、Customer-Gatewayが入力されます。
IPアドレス: VPNゲートウェイに接続するオンプレミスデバイスのVPN IPアドレス。
この例では、192.168.0.251が入力されます。
ASN: オンプレミスゲートウェイデバイスのASN。
この例では、65530はemteredです。
IPsec-VPN 接続を作成します。
- 左側のナビゲーションウィンドウで、 を選択します。
- VPN 接続 ページで、[VPN 接続の作成] をクリックします。
[IPsec接続の作成] ページで、次の情報に基づいてIPsec-VPN接続を設定し、[OK] をクリックします。
次の表に、主要なパラメーターのみを示します。 その他のパラメーターの詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
項目
説明
Name
IPsec-VPN接続の名前を入力します。
この例では、IPsecConnection1が使用されています。
VPNゲートウェイ
作成したVPNゲートウェイを選択します。
この例では、VPNGateway1が選択されている。
カスタマーゲートウェイ
作成したカスタマーゲートウェイを選択します。
この例では、Customer-Gatewayが選択されています。
ルーティングモード
ルーティングモードを選択します。
この例では、宛先ルーティングモードが選択されています。
すぐに有効
すぐに交渉を開始するかどうかを指定します。
Yes: 設定完了後に接続ネゴシエーションを開始します。
No: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。
この例では、はいが選択されています。
事前共有キー
事前共有キーを入力します。
値を入力しない場合、システムは事前共有キーとしてランダムな16ビット文字列を生成します。
重要オンプレミスのデバイスとIPsec-VPN接続が同じ事前共有キーを使用していることを確認します。
この例では、fddsFF123 **** が使用されます。
高度な設定
この例では、IKE ConfigurationsセクションのVersionパラメーターにikev2が選択されています。 その他のパラメータにはデフォルト値が使用されます。
BGP設定
この例では、BGP設定が有効になっています。 以下の内容は、パラメータについて説明する。
トンネルCIDRブロック: IPsecトンネルのCIDRブロックを入力します。
CIDRブロックは169.254.0.0/16に収まる必要があります。 CIDRブロックのサブネットマスクの長さは30ビットである必要があります。
この例では、169.254.10.0/30を入力します。
ローカルBGP IPアドレス: VPNゲートウェイ側のBGP IPアドレスを入力します。
このIPアドレスは、IPsecトンネルのCIDRブロック内にある必要があります。
この例では、169.254.10.1が入力されます。 データセンター側のBGP IPアドレスは169.254.10.2です。
ローカルASN: VPNゲートウェイ側でASNを入力します。 デフォルト値: 45104
この例では、デフォルト値45104が使用されます。
重要VBRとVPNゲートウェイの両方にBGPルーティングを設定する場合は、VPNゲートウェイ側のASNがVBRのASNと同じであることを確認してください。 これにより、ルート管理が容易になる。
ヘルスチェック
この例では、デフォルト設定を使用します。
IPsec-VPN接続を作成したら、[確立] ダイアログボックスで [OK] をクリックします。
VPNゲートウェイの自動BGP広告を有効にします。
自動BGP広告が有効になり、VPNゲートウェイとオンプレミスゲートウェイデバイスの間にピアリング接続が確立された後、VPNゲートウェイはデータセンターのCIDRブロックを学習してVPC1に広告します。 また、VPN gatewayは、VPC1のシステムルートテーブル内のルートをオンプレミスゲートウェイデバイスにアドバタイズします。
左側のナビゲーションウィンドウで、.
VPNゲートウェイページ、VPNGateway1を見つけて選択
> 自動 BGP 伝播を有効にするで、アクション列を作成します。 では、自動 BGP 伝播を有効にするメッセージ, クリックOK.
オンプレミスゲートウェイデバイスのIPsec設定をダウンロードします。
左側のナビゲーションウィンドウで、.
IPsec接続ページ、IPsecConnection1を見つけてクリックピア構成の生成で、アクション列を作成します。
ダウンロードしたIPsec設定をクライアントに保存します。
VPN設定、BGP設定、および静的ルートをオンプレミスのゲートウェイデバイスに追加します。
ダウンロードしたIPsec-VPN接続の設定に基づいて、VPN設定、BGP設定、および静的ルートをオンプレミスのゲートウェイデバイスに追加します。
次の構成は参照だけのためです。 コマンドは、ネットワークデバイスベンダーに基づいて変化し得る。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。
オンプレミスゲートウェイデバイスのCLIを開きます。
次のコマンドを実行して、IKEv2の提案とポリシーを設定します。
crypto ikev2 proposal alicloud encryption aes-cbc-128 //Configure the encryption algorithm. In this example, aes-cbc-128 is used. integrity sha1 //Configure the authentication algorithm. In this example, sha1 is used. group 2 //Configure the DH group. In this example, group 2 is used. exit ! crypto ikev2 policy Pureport_Pol_ikev2 proposal alicloud exit !次のコマンドを実行して、IKEv2キーリングを設定します。
crypto ikev2 keyring alicloud peer alicloud address 10.0.0.167 //Configure the private IP address of the VPN gateway. In this example, 10.0.0.167 is used. pre-shared-key fddsFF123**** //Configure the pre-shared key. In this example, fddsFF123**** is used. exit !次のコマンドを実行して、IKEv2プロファイルを設定します。
crypto ikev2 profile alicloud match identity remote address 10.0.0.167 255.255.255.255 //Configure the private IP address of the VPN gateway. In this example, 10.0.0.167 is used. identity local address 192.168.0.251 //Configure the VPN IP address of the data center. In this example, 192.168.0.251 is used. authentication remote pre-share //Set the authentication mode for the VPC to PSK (pre-shared key). authentication local pre-share //Set the authentication mode of the data center to PSK. keyring local alicloud //Invoke the IKEv2 keyring. exit !次のコマンドを実行して変換を設定します。
crypto ipsec transform-set TSET esp-aes esp-sha-hmac mode tunnel exit !次のコマンドを実行してIPsecプロファイルを設定し、変換セット、Perfect Forward Secrecy (PSF) 、およびIKEv2プロファイルを呼び出します。
crypto ipsec profile alicloud set transform-set TSET set pfs group2 set ikev2-profile alicloud exit !次のコマンドを実行して、IPsecトンネルを設定します。
interface Tunnel100 ip address 169.254.10.2 255.255.255.252 //Configure the tunnel address for the data center. In this example, 169.254.10.2 is used. tunnel source GigabitEthernet1 tunnel mode ipsec ipv4 tunnel destination 10.0.0.167 //Configure the private IP address of the VPN gateway. In this example, 10.0.0.167 is used. tunnel protection ipsec profile alicloud no shutdown exit ! interface GigabitEthernet1 //Configure the IP address of the interface that is used to connect to the VPN gateway. ip address 192.168.0.251 255.255.255.0 negotiation auto !次のコマンドを実行して、BGPルーティングプロトコルを設定します。
重要VPCからデータセンターへのトラフィックがVPNゲートウェイの暗号化されたトンネルに確実にルーティングされるようにするには、オンプレミスのゲートウェイデバイスのBGP設定で、データセンターのCIDRブロックよりも小さいCIDRブロックをアドバタイズする必要があります。
この例では、データセンターのCIDRブロックは192.168.0.0/16です。 したがって、オンプレミスゲートウェイデバイスのBGP設定で192.168.0.0/16より小さいCIDRブロックをアドバタイズする必要があります。 この例では、192.168.1.0/24がアドバタイズされます。
router bgp 65530 //Enable BGP and configure the ASN of the data center. In this example, 65530 is used. neighbor 169.254.10.1 remote-as 45104 //Configure the ASN of the BGP peer. In this example, the ASN of the VPN gateway 45104 is used. neighbor 169.254.10.1 ebgp-multihop 10 //Set the EBGP hop-count to 10. ! address-family ipv4 network 192.168.1.0 mask 255.255.255.0 //Advertise the CIDR block of the data center. In this example, 192.168.1.0/24 is advertised. neighbor 169.254.10.1 activate //Activate the BGP peer. exit-address-family !次のコマンドを実行して、静的ルートを設定します。
ip route 10.0.0.167 255.255.255.255 10.0.0.2 //Route traffic from the data center to the VPN gateway to the Express Connect circuit.
手順4: VPC、VBR、およびCENインスタンスのルートとルーティングポリシーの設定
上記の手順を完了すると、オンプレミスゲートウェイデバイスとVPNゲートウェイの間に暗号化されたトンネルを確立できます。 データセンターがAlibaba Cloudと通信するときに、VPC、VBR、およびCENインスタンスのルートとルーティングポリシーを設定して、トラフィックを暗号化されたトンネルにルーティングする必要があります。
VPC1にカスタムルートを追加します。
左側のナビゲーションウィンドウで、ルートテーブル.
上部のナビゲーションバーで、ルートテーブルが属するリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
[ルートテーブル] ページで、管理するルートテーブルを見つけ、そのIDをクリックします。
この例では、VPC1のシステムルートテーブルのIDがクリックされています。
ルートエントリ一覧タブをクリックし、カスタムルートタブをクリックし、ルートエントリの追加.
ルートエントリの追加パネル、次のパラメータを設定し、OK.
パラメーター
説明
名前
カスタムルートの名前を入力します。
宛先CIDRブロック
カスタムルートの宛先CIDRブロックを入力します。
この例では、IPv4 CIDRブロックが選択され、オンプレミスゲートウェイデバイスのVPN IPアドレス (192.168.0.251/32) が使用されます。
ネクストホップタイプ
ネクストホップのタイプを選択します。
この例では、トランジットルーターが選択されています。
トランジットルーター
カスタムルートのネクストホップを選択します。
この例では、VPC1-testが選択されています。
VBRのカスタムルートを追加します。
左側のナビゲーションウィンドウで、仮想ボーダールーター (VBR).
上部のナビゲーションバーで、VBRがデプロイされているリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
仮想ボーダールーター (VBR)ページで、管理するVBRのIDをクリックします。
ルートタブをクリックし、ルートを追加.
[ルートの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。
CENインスタンスのルーティングポリシーを設定します。
上記の設定を完了すると、データセンターはVBRとVPNゲートウェイの両方からVPC1のCIDRブロックを学習します。 Alibaba CloudからデータセンターへのトラフィックがVPNゲートウェイの暗号化されたトンネルを介してVPC1に優先的にルーティングされるようにするには、CENインスタンスのルーティングポリシーを設定する必要があります。 ルーティングポリシーは、VBRによってデータセンターにアドバタイズされたVPC CIDRブロックの優先度が、VPNゲートウェイによってデータセンターにアドバタイズされたVPC CIDRブロックの優先度よりも低くなるようにするために使用されます。
を選択し、管理するトランジットルーターのIDを見つけてクリックします。
トランジットルーターの詳細ページで、[ルートテーブル] タブをクリックし、[ルートマップ] をクリックします。
[ルートマップ] タブで、[ルートマップの追加] をクリックします。 [ルートマップの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。
次の表に、主要なパラメーターのみを示します。 その他のパラメーターの詳細については、「ルーティングポリシーの概要」をご参照ください。
項目
説明
ルーティングポリシー優先度
ルーティングポリシーの優先度の値を入力します。
この例では、5が入力されます。
[リージョン]
ルーティングポリシーを適用するリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
関連ルートテーブル
ルーティングポリシーに関連付けるルートテーブルを選択します。
この例では、現在のトランジットルーターのデフォルトルートテーブルが選択されています。
方向
ルーティングポリシーを適用する方向を選択します。
この例では、[地域ゲートウェイにインポート] が選択されています。
Match Condition
Configure match conditions for the routing policy.
In this example, the following match conditions are used:
ソースインスタンスID: VPC1のIDを入力します。
宛先インスタンスID: VBRのIDを入力します。
ルートプレフィックス: 10.0.1.0/24および10.0.0.0/24と入力します。
Routing Policy Action
ルーティングポリシーのアクションを選択します。
この例では、[許可] が選択されています。
ポリシーエントリの追加
許可されているルートの優先度を指定します。
この例では、[追加されたASパス] が選択され、65525、65526、および65527が入力されます。 これにより、VBRがデータセンターにアドバタイズするVPC CIDRブロックの優先度が低下します。
ステップ5: ネットワーク接続を確認する
上記の手順を完了すると、データセンターはプライベート接続と暗号化接続を介してVPC1と通信できます。 次のコンテンツでは、データセンターとVPC1間の接続を確認し、プライベート接続がVPNゲートウェイによって暗号化されているかどうかを確認する方法について説明します。
ネットワーク接続を確認します。
ECS 1にログインします。 詳細については、「ECSインスタンスへの接続」をご参照ください。
pingコマンドを実行してデータセンターのクライアントにpingを実行し、データセンターとVPC1間のネットワーク接続を確認します。
ping <the IP address of a client in the data center>エコー応答パケットが返された場合、データセンターはVPC1に接続されています。
プライベート接続が暗号化されているかどうかを確認します。
IPsec-VPN接続の詳細ページでデータ転送のモニタリングデータを表示できる場合は、プライベート接続が暗号化されていることを示します。
- VPN Gatewayコンソールにログインします。
上部のナビゲーションバーで、VPN gatewayがデプロイされているリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
- 左側のナビゲーションウィンドウで、 を選択します。
[IPsec接続] ページで、ステップ3で作成したIPsec-VPN接続を見つけ、そのIDをクリックします。
IPsec-VPN接続の詳細ページに移動して、データ転送のモニタリングデータを表示します。