静的ルートを使用して Express Connect 回線経由のプライベートトラフィックを暗号化および転送する - VPN Gateway

このトピックでは、静的ルート、仮想ボーダールーター (VBR)、および IPsec-VPN 接続を構成して、Express Connect 回線経由のプライベートトラフィックを暗号化および転送する方法について説明します。

背景情報

開始する前に、Express Connect 回線経由でプライベートトラフィックがどのように暗号化および転送されるかについて理解しておくことをお勧めします。詳細については、「Express Connect 回線経由のプライベート接続を暗号化する」をご参照ください。
お客様のゲートウェイデバイスが BGP 動的ルーティングをサポートしている場合は、VBR とプライベート IPsec-VPN 接続の両方で BGP 動的ルーティングを構成して、Express Connect 回線経由のプライベートトラフィックを暗号化および転送することをお勧めします。詳細については、「BGP 動的ルーティングを使用して Express Connect 回線経由のプライベートトラフィックを暗号化および転送する」をご参照ください。

ユースケース

次の図は、ユースケースを示しています。ある企業が杭州にデータセンターを所有し、中国 (杭州) リージョンに VPC をデプロイしています。アプリケーションは、VPC 内の Elastic Compute Service (ECS) インスタンスにデプロイされています。ビジネスを拡大するために、企業はデータセンターをクラウドに接続したいと考えています。セキュリティコンプライアンス要件を満たすために、企業は Express Connect 回線と転送ルーターを使用して、プライベート接続を介してデータセンターと VPC 間でデータを交換する必要があります。さらに、データ漏洩やデータ改ざんを防ぐために、企業は Express Connect 回線経由で Alibaba Cloud にデータを送信する前にデータを暗号化したいと考えています。

データセンターは、Express Connect 回線を使用して VPC に接続されています。このシナリオでは、企業はカスタマーゲートウェイデバイスと転送ルーターの間にプライベート IPsec-VPN 接続を作成し、IPsec-VPN 接続を通過するトラフィックを暗号化してデータセキュリティを確保できます。

ネットワーク設計

重要

データセンターとネットワークインスタンスのネットワークを設計する場合は、それらのネットワークが重複しないようにしてください。

ルーティングメカニズム

Express Connect 回線経由でプライベートトラフィックを暗号化および転送するには、データセンターと VPC が Express Connect 回線ではなく、プライベート IPsec-VPN 接続を介してデータを交換するようにしてください。この目標を達成するために、この例では次のルートが追加されます。

VPC からデータセンターへのトラフィックの場合:
転送ルーターは、VBR およびプライベート IPsec-VPN 接続からデータセンターを指すルートを学習できます。デフォルトでは、VBR から学習したルートの方が優先順位が高くなります。その結果、VPC からデータセンターへのトラフィックは Express Connect 回線経由で転送されるため、暗号化できません。
この問題を回避するために、この例ではデータセンター CIDR ブロックに異なるサブネットマスクを使用しています。データセンター CIDR ブロックを VBR に追加する場合は、マスク長が短いことを確認してください。データセンター CIDR ブロックをプライベート IPsec-VPN 接続のルートテーブルに追加する場合は、マスク長が長いことを確認してください。
たとえば、データセンターの CIDR ブロックが 192.168.0.0/16 であるとします。 VPC に接続されているクライアント CIDR ブロックは 192.168.20.0/24 です。この場合、データセンター CIDR ブロック 192.168.0.0/16 を VBR に追加し、クライアント CIDR ブロック 192.168.20.0/24 をプライベート IPsec-VPN 接続のルートテーブルに追加します。こうすることで、転送ルーターがプライベート IPsec-VPN 接続から学習したルートの方が優先順位が高くなります。 VPC からデータセンターのクライアントへのトラフィックは、優先的に暗号化され、プライベート IPsec-VPN 接続経由で転送されます。
データセンターから VPC へのトラフィックの場合:
VPC を指すルートをデータセンターに追加します。 Express Connect 回線とプライベート IPsec-VPN 接続をネクストホップとして指定します。次に、ルートの優先順位を変更して、プライベート IPsec-VPN 接続を指すルートの優先順位が高くなるようにします。データセンターから VPC へのトラフィックは、優先的に暗号化され、プライベート IPsec-VPN 接続経由で転送されます。

説明

これにより、プライベート IPsec-VPN 接続が閉じている場合でも、データセンターと VPC は Express Connect 回線と転送ルーターを介してデータを交換できます。ただし、この場合、データは暗号化されません。

サブネット化

ネットワーク項目	サブネット化	IP アドレス
VPC	プライマリ CIDR ブロック: 172.16.0.0/16 ゾーン H にデプロイされた vSwitch 1: 172.16.10.0/24 ゾーン H にデプロイされた vSwitch 2: 172.16.20.0/24 ゾーン J にデプロイされた vSwitch 3: 172.16.30.0/24	ECS 1: 172.16.10.225 ECS 2: 172.16.10.226
VBR	10.0.0.0/30	VLAN ID: 0 IPv4 アドレス (Alibaba Cloud 側): 10.0.0.1/30 IPv4 アドレス (データセンター側): 10.0.0.2/30 この例では、データセンター側の IPv4 アドレスは、カスタマーゲートウェイデバイスの IPv4 アドレスです。
データセンター	クライアント CIDR ブロック: 192.168.20.0/24	クライアント IP アドレス: 192.168.20.6
データセンター	カスタマーゲートウェイデバイスの CIDR ブロック: 10.0.0.0/30 192.168.10.0/24 192.168.40.0/24	VPN IP アドレス 1: 192.168.10.136 VPN IP アドレス 2: 192.168.40.159 VPN IP アドレスは、カスタマーゲートウェイデバイスがプライベート IPsec-VPN 接続を介して転送ルーターに接続するために使用するポートの IP アドレスです。 Express Connect 回線に接続されているポートの IP アドレス: 10.0.0.2/30

前提条件

中国 (杭州) リージョンに VPC が作成され、アプリケーションが VPC 内の ECS インスタンスにデプロイされています。詳細については、「IPv4 CIDR ブロックを使用して VPC を作成する」をご参照ください。
カスタマーゲートウェイデバイスは、プライベート IPsec-VPN 接続を確立するための IKEv1 および IKEv2 プロトコルをサポートしています。ゲートウェイデバイスが IKEv1 および IKEv2 プロトコルをサポートしているかどうかを確認するには、ゲートウェイベンダーにお問い合わせください。

手順

ステップ 1: Express Connect 回線と転送ルーターを使用してデータセンターを VPC に接続する

ステップ a: Express Connect 回線をデプロイする

Express Connect 回線をデプロイして、データセンターを Alibaba Cloud に接続します。

Express Connect 回線を申請します。
中国 (杭州) リージョンで Express Connect 回線を申請します。詳細については、「クラシックモード」または「ホステッド接続の概要」をご参照ください。この例では、Express Connect 回線経由の専用接続が作成されます。

VBR を作成します。

Express Connect コンソールにログオンします。
左側のナビゲーションウィンドウで、[仮想ボーダールーター (VBR)] をクリックします。
上部のナビゲーションバーで、[中国 (杭州)] リージョンを選択します。
VBR と Express Connect 回線が同じリージョンにデプロイされていることを確認してください。
[仮想ボーダールーター (VBR)] ページで、[VBR の作成] をクリックします。

[VBR の作成] パネルで、次のパラメーターを設定し、[OK] をクリックします。

次の表では、一部のパラメーターのみを説明しています。その他のパラメーターはデフォルト値を使用します。詳細については、「VBR の作成と管理」をご参照ください。

パラメーター	説明
名前	この例では、`VBR` が使用されます。
物理接続情報	この例では、[専用物理接続] が選択され、デプロイした Express Connect 回線が選択されます。
VLAN ID	この例では、`0` が使用されます。
Alibaba Cloud 側 IPv4 アドレス	この例では、`10.0.0.1` が入力されます。
データセンター側 IPv4 アドレス	この例では、`10.0.0.2` が入力されます。
IPv4 サブネットマスク	この例では、`255.255.255.252` が使用されます。

データセンターを指すルートを VBR に追加します。

[仮想ボーダールーター (VBR)] ページで、VBR の ID をクリックします。
[ルート] タブをクリックします。 [カスタムルートエントリ] タブで、[ルートの追加] をクリックします。

[ルートの追加] パネルで、次のパラメーターを構成し、[OK] をクリックします。

パラメーター	例
ネクストホップタイプ	[Express Connect 回線] を選択します。
宛先 CIDR ブロック	データセンター CIDR ブロック `192.168.0.0/16` を入力します。
ネクストホップ	デプロイした Express Connect 回線を選択します。

重要

データセンターを指すルートを VBR に追加する場合は、マスク長が短いことを確認してください。こうすることで、転送ルートがプライベート IPsec-VPN 接続から学習するルートは、現在のルートよりも具体的になり、優先順位が高くなります。

VPC を指すルートをカスタマーゲートウェイデバイスに追加する

説明

この例では、ソフトウェア Adaptive Security Appliance (ASA) 9.19.1 を使用して、Cisco ファイアウォールの構成方法を説明します。コマンドは、ソフトウェアのバージョンによって異なる場合があります。操作中は、実際の環境に基づいてドキュメントまたはベンダーに相談してください。詳細については、「ローカルゲートウェイを構成する」をご参照ください。

次のコンテンツには、サードパーティ製品情報が含まれています。これは参照用です。 Alibaba Cloud は、サードパーティ製品のパフォーマンスと信頼性、またはこれらの製品を使用して実行される操作の潜在的な影響について、保証またはその他の形式のコミットメントを行いません。

ciscoasa> enable
Password: ********             // イネーブルモードに入るためのパスワードを入力します。
ciscoasa# configure terminal   // 構成モードに入ります。
ciscoasa(config)#   

// Cisco ファイアウォールでインターフェイスが構成され、有効になっていることを確認します。 この例では、次のインターフェイス構成が使用されます。
ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/0                // VBR に接続するインターフェイス。
 nameif VBR                                 // GigabitEthernet 0/0 インターフェイスの名前。
 security-level 0
 ip address 10.0.0.1 255.255.255.252        // GigabitEthernet0/0 インターフェイスの IP アドレス。
!
interface GigabitEthernet0/2                // データセンターに接続するインターフェイス。
 nameif private                             // GigabitEthernet 0/2 インターフェイスの名前。
 security-level 100                         // データセンターに接続するインターフェイスのセキュリティレベルが、Alibaba Cloud に接続するインターフェイスのセキュリティレベルよりも低いことを確認します。
 ip address 192.168.50.215 255.255.255.0    // GigabitEthernet0/2 インターフェイスの IP アドレス。
!
interface GigabitEthernet0/3                // プライベート IPsec-VPN トンネル 1 に接続するインターフェイス。
 nameif VPN-IP1                             // GigabitEthernet0/3 インターフェイスの名前。
 security-level 0
 ip address 192.168.10.136 255.255.255.0    // GigabitEthernet0/3 インターフェイスのプライベート IP アドレス。
!
interface GigabitEthernet0/4                // プライベート IPsec-VPN トンネル 2 に接続するインターフェイス。
 nameif VPN-IP2                             // GigabitEthernet0/4 インターフェイスの名前。
 security-level 0
 ip address 192.168.40.159  255.255.255.0   // GigabitEthernet0/4 インターフェイスのプライベート IP アドレス。
!

// VPC (172.16.0.0/16) を指す静的ルートを追加します。
route VBR 172.16.0.0 255.255.0.0 10.0.0.2     
   
// データセンターのクライアントを指すルートを追加します。
route private 192.168.0.0 255.255.0.0 192.168.50.216

ステップ b: 転送ルーターを構成する

データセンターが Express Connect 回線を介して Alibaba Cloud に接続された後、データセンターと VPC 間でデータを交換するために転送ルーターを構成する必要があります。

CEN インスタンスを作成する。
[CEN インスタンスの作成] ダイアログボックスで、[CEN のみを作成] をクリックし、名前を入力し、その他のパラメーターにはデフォルト設定を使用します。
Enterprise Edition 転送ルーターを作成する。
中国 (杭州) リージョンに転送ルーターを作成して、VBR と VPC を接続します。その他のパラメーターにはデフォルト設定を使用します。

VPC 接続を作成します。

CEN の詳細ページで、[基本情報] > [転送ルーター] タブをクリックします。中国 (杭州) リージョンにある転送ルーターを見つけ、[アクション] 列の [接続の作成] をクリックします。

[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを構成し、[OK] をクリックして VPC を転送ルーターに接続します。

次の表では、一部のパラメーターのみを説明しています。その他のパラメーターはデフォルト値を使用します。詳細については、「Enterprise Edition 転送ルーターを使用して VPC 接続を作成する」をご参照ください。

パラメーター	説明
インスタンスタイプ	[仮想プライベートクラウド (VPC)] を選択します。
リージョン	[中国 (杭州)] を選択します。
アタッチメント名	`VPC-Attachment` を入力します。
ネットワークインスタンス	VPC を選択します。
VSwitch	転送ルーターのゾーンにデプロイされている vSwitch を選択します。この例では、vSwitch 2 と vSwitch 3 が選択されています。リージョンに複数のゾーンがある場合は、少なくとも 2 つのゾーンを選択し、各ゾーンで 1 つの vSwitch を選択します。アイドル状態の vSwitch を選択することをお勧めします。
詳細設定	この例では、デフォルト設定が使用されます。すべての詳細機能が有効になっています。

[さらに接続を作成] をクリックして、[ピアネットワークインスタンスとの接続] ページに戻ります。

VBR 接続を作成します。

[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを構成し、[OK] をクリックして VBR を転送ルーターに接続します。次の表では、一部のパラメーターのみを説明しています。その他のパラメーターはデフォルト値を使用します。詳細については、「VBR を Enterprise Edition 転送ルーターに接続する」をご参照ください。

パラメーター	説明
インスタンスタイプ	[仮想ボーダールーター (VBR)] を選択します。
リージョン	[中国 (杭州)] を選択します。
アタッチメント名	この例では `VBR-Attachment` と入力します。
ネットワークインスタンス	この例では VBR を選択します。
詳細設定	この例では、デフォルト設定が使用されます。すべての詳細機能が有効になっています。

ステップ c: 接続性をテストする

上記の構成が完了すると、データセンターは VPC に接続されます。接続性をテストするには、次の手順を実行します。

説明

VPC 内の ECS インスタンスのセキュリティグループルールと、データセンターのクライアントのアクセス制御ルールをよく理解していることを確認してください。ルールで、VPC 内の ECS インスタンスがデータセンターのクライアントと通信できることを確認してください。詳細については、「セキュリティグループルールを表示する」および「セキュリティグループルールを追加する」をご参照ください。

データセンターのアクセス制御ルールでは、ICMP メッセージと VPC からのアクセスを許可する必要があります。 ECS インスタンスのセキュリティグループルールでは、ICMP メッセージとデータセンターの CIDR ブロックからのアクセスを許可する必要があります。

VPC 内の ECS 1 に接続します。詳細については、「接続方法の概要」をご参照ください。
ping コマンドを実行して、データセンターのクライアントを ping します。
```
ping <データセンターのクライアントの IP アドレス>
```
前の図に示すように、ECS 1 が応答を受信できる場合、データセンターと VPC は接続されています。

ステップ 2: Express Connect 回線経由の専用接続を暗号化する

データセンターが VPC に接続された後、カスタマーゲートウェイデバイスと転送ルーターの間にプライベート IPsec-VPN 接続を作成し、ルートを構成して、データセンターと VPC 間のプライベート IPsec-VPN 接続経由でトラフィックを暗号化および転送できます。

ステップ a: プライベート IPsec-VPN 接続を作成する

転送ルーターの CIDR ブロック 10.10.10.0/24 を追加します。詳細については、「転送ルーター CIDR ブロック」をご参照ください。
プライベート IPsec-VPN 接続を作成するために、転送ルーター CIDR ブロックからゲートウェイ IP アドレスが割り当てられます。転送ルーター CIDR ブロックは、通信に使用されるデータセンターおよび VPC の CIDR ブロックと重複してはなりません。
2 つのカスタマーゲートウェイを作成して、カスタマーゲートウェイデバイスの 2 つの VPN IP アドレスを Alibaba Cloud に登録します。
1. VPN ゲートウェイコンソールにログオンします。
2. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > カスタマーゲートウェイ を選択します。
3. カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。
4. [カスタマーゲートウェイの作成] パネルで、次のパラメーターを設定し、[OK] をクリックします。
  次の表では、一部のパラメーターのみを説明しています。その他のパラメーターはデフォルト値を使用します。詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。
  - カスタマーゲートウェイ 1
    - 名前: Customer-Gateway1 を入力します。
    - IP アドレス: カスタマーゲートウェイデバイスの VPN IP アドレスの 1 つである 192.168.10.136 を入力します。
  - カスタマーゲートウェイ 2
    - 名前: Customer-Gateway2 を入力します。
    - IP アドレス: カスタマーゲートウェイデバイスのもう 1 つの VPN IP アドレスである 192.168.40.159 を入力します。

IPsec-VPN 接続を作成します。

左側のナビゲーションウィンドウで、[相互接続] > [VPN] > IPsec 接続 を選択します。
IPsec 接続 ページで、[CEN のバインド] をクリックします。

[IPsec-vpn 接続の作成 (CEN)] ページで、パラメーターを構成し、[OK] をクリックします。次の表でパラメーターについて説明します。

次の表では、主要なパラメーターのみを説明しています。その他のパラメーターにはデフォルト値が使用されます。詳細については、「デュアルトンネルモードで IPsec-VPN 接続を作成および管理する」をご参照ください。

パラメーター	IPsec-VPN 接続
名前	`IPsecConnection` を入力します。
リージョン	関連付ける転送ルーターが属するリージョンを選択します。 IPsec-VPN 接続は、転送ルーターと同じリージョンに作成されます。
ゲートウェイタイプ	[プライベート] を選択します。
CEN のバインド	[現在のアカウント] を選択します。
CEN インスタンス ID	ステップ b で作成した CEN インスタンスの ID を入力します。システムは、現在のリージョンに CEN インスタンスによって作成された転送ルーターの ID と CIDR ブロックを表示します。 IPsec-VPN 接続は、転送ルーターに関連付けられます。
トランジットルーター	システムは、現在のリージョンにある CEN インスタンスの転送ルーターを自動的に表示します。
ルーティングモード	この例では、トラフィックルーティングを制御するために [宛先ルーティングモード] が選択されています。
トンネル 1
カスタマーゲートウェイ	`Customer-Gateway1` を選択します。
事前共有鍵	この例では `fddsFF111****` が使用されます。重要 IPsec-VPN 接続とピアゲートウェイデバイスは、同じ事前共有鍵を使用する必要があります。そうしないと、システムは IPsec-VPN 接続を確立できません。
暗号化構成	次のパラメーターを除き、パラメーターのデフォルト値を使用します。 [IKE 構成] セクションの [DH グループ] パラメーターを [group14] に設定します。 [IPsec 構成] セクションの [DH グループ] パラメーターを [group14] に設定します。説明 IPsec 接続の暗号化構成がオンプレミスゲートウェイデバイスの暗号化構成と同じになるように、オンプレミスゲートウェイデバイスに基づいて暗号化パラメーターを選択する必要があります。
トンネル 2
カスタマーゲートウェイ	`Customer-Gateway2` を選択します。
事前共有鍵	この例では `fddsFF222****` が使用されます。
暗号化構成	次のパラメーターを除き、パラメーターのデフォルト値を使用します。 [IKE 構成] セクションの [DH グループ] パラメーターを [group14] に設定します。 [IPsec 構成] セクションの [DH グループ] パラメーターを [group14] に設定します。説明 IPsec 接続の暗号化構成がオンプレミスゲートウェイデバイスの暗号化構成と同じになるように、オンプレミスゲートウェイデバイスに基づいて暗号化パラメーターを選択する必要があります。
詳細構成	この例では、デフォルト設定が使用されます。すべての詳細機能が有効になっています。

IPsec-VPN 接続の詳細ページで、カスタマーゲートウェイデバイスへのプライベート IPsec-VPN 接続の作成に使用されるゲートウェイ IP アドレスを確認できます。网关IP地址

[IPsec 接続] ページで、作成した IPsec-VPN 接続を見つけ、[アクション] 列の [ピア構成の生成] をクリックします。
IPsec ピアの構成とは、IPsec-VPN 接続の作成時に追加する必要がある VPN 構成のことです。この例では、VPN 構成をデータセンターのゲートウェイデバイスに追加する必要があります。
[IPsec 接続構成] ダイアログボックスで、構成をコピーしてオンプレミスマシンに保存します。データセンターのゲートウェイデバイスを構成する際には、これらの構成が必要です。

カスタマーゲートウェイデバイスを構成します。

IPsec-VPN 接続を作成した後、Alibaba Cloud とカスタマーゲートウェイデバイスの間にプライベート IPsec-VPN 接続を確立できるように、カスタマーゲートウェイデバイスに VPN 構成を追加する必要があります。

クリックして、カスタマーゲートウェイデバイスの構成を表示します。

Cisco ファイアウォールの CLI にログオンし、構成モードに入ります。

ciscoasa> enable
Password: ********             // イネーブルモードに入るためのパスワードを入力します。
ciscoasa# configure terminal   // 構成モードに入ります。
ciscoasa(config)#

インターフェイス構成とルート構成を表示します。

Cisco ファイアウォールでインターフェイスが構成され、有効になっていることを確認します。この例では、次のインターフェイス構成が使用されます。

ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/3                // プライベート IPsec-VPN トンネル 1 に接続するインターフェイス。
 nameif VPN-IP1                             // GigabitEthernet0/3 インターフェイスの名前。
 security-level 0
 ip address 192.168.10.136 255.255.255.0    // GigabitEthernet0/3 インターフェイスのプライベート IP アドレス。
!
interface GigabitEthernet0/4                // プライベート IPsec-VPN トンネル 2 に接続するインターフェイス。
 nameif VPN-IP2                             // GigabitEthernet0/4 インターフェイスの名前。
 security-level 0
 ip address 192.168.40.159  255.255.255.0   // GigabitEthernet0/4 インターフェイスのプライベート IP アドレス。
!

// プライベート IPsec-VPN 接続を作成するために、転送ルーターの CIDR ブロック (IPsec-VPN 接続のゲートウェイ IP アドレス) を指すルートを追加します。
route VBR 10.10.10.49 255.255.255.255 10.0.0.2   // Alibaba Cloud 側のトンネル 1 のプライベート IP アドレスを指すルートを構成します。
route VBR 10.10.10.50 255.255.255.255 10.0.0.2   // Alibaba Cloud 側のトンネル 2 のプライベート IP アドレスを指すルートを構成します。

インターフェイスで IKEv2 を有効にします。
```
crypto ikev2 enable VPN-IP1
crypto ikev2 enable VPN-IP2
```
IKEv2 ポリシーを作成し、Cisco ファイアウォールの IKE フェーズで認証アルゴリズム、暗号化アルゴリズム、DH グループ、および SA ライフタイムを指定します。値は Alibaba Cloud の値と同じである必要があります。
重要
Alibaba Cloud で IPsec-VPN 接続を構成する場合、IKE フェーズの暗号化アルゴリズム、認証アルゴリズム、DH グループには 1 つの値しか指定できません。 Cisco ファイアウォールの IKE フェーズでは、暗号化アルゴリズム、認証アルゴリズム、DH グループに 1 つの値のみを指定することをお勧めします。値は Alibaba Cloud の値と同じである必要があります。
```
crypto ikev2 policy 10     
 encryption aes             // 暗号化アルゴリズムを指定します。
 integrity sha              // 認証アルゴリズムを指定します。
 group 14                   // DH グループを指定します。
 prf sha                    // prf パラメーターの値は、integrity パラメーターの値と同じである必要があります。 デフォルトでは、これらの値は Alibaba Cloud で同じです。
 lifetime seconds 86400     // SA ライフタイムを指定します。
```

IPsec プロポーザルとプロファイルを作成し、Cisco ファイアウォールの IPsec フェーズで暗号化アルゴリズム、認証アルゴリズム、DH グループ、および SA ライフタイムを指定します。値は Alibaba Cloud の値と同じである必要があります。

重要

Alibaba Cloud で IPsec-VPN 接続を構成する場合、IPsec フェーズの暗号化アルゴリズム、認証アルゴリズム、DH グループには 1 つの値しか指定できません。 Cisco ファイアウォールの IPsec フェーズでは、暗号化アルゴリズム、認証アルゴリズム、DH グループに 1 つの値のみを指定することをお勧めします。値は Alibaba Cloud の値と同じである必要があります。

crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    // IPsec プロポーザルを作成します。
 protocol esp encryption aes                         // 暗号化アルゴリズムを指定します。 Alibaba Cloud では Encapsulating Security Payload (ESP) プロトコルが使用されています。 したがって、ESP プロトコルを使用してください。
 protocol esp integrity sha-1                        // 認証アルゴリズムを指定します。 Alibaba Cloud では ESP プロトコルが使用されています。 したがって、ESP プロトコルを使用してください。
crypto ipsec profile ALIYUN-PROFILE                  
 set ikev2 ipsec-proposal ALIYUN-PROPOSAL            // IPsec プロファイルを作成し、作成されたプロポーザルを適用します。
 set ikev2 local-identity address                    // ローカル ID の形式を IP アドレスに設定します。これは Alibaba Cloud のリモート ID の形式と同じです。
 set pfs group14                                     // Perfect Forward Secrecy (PFS) と DH グループを指定します。
 set security-association lifetime seconds 86400     // 時間ベースの SA ライフタイムを指定します。
 set security-association lifetime kilobytes unlimited // トラフィックベースの SA ライフタイムを無効にします。

トンネルグループを作成し、トンネルの事前共有鍵を指定します。これは Alibaba Cloud 側と同じである必要があります。

tunnel-group 10.10.10.49 type ipsec-l2l                    // トンネル 1 の暗号化モードを l2l に設定します。
tunnel-group 10.10.10.49 ipsec-attributes             
 ikev2 remote-authentication pre-shared-key fddsFF111****  // トンネル 1 のピア事前共有鍵を指定します。これは Alibaba Cloud 側の事前共有鍵です。
 ikev2 local-authentication pre-shared-key fddsFF111**** // トンネル 1 のローカル事前共有鍵を指定します。これは Alibaba Cloud と同じである必要があります。
!
tunnel-group 10.10.10.50 type ipsec-l2l                    // トンネル 2 の暗号化モードを l2l に設定します。
tunnel-group 10.10.10.50 ipsec-attributes
 ikev2 remote-authentication pre-shared-key fddsFF222****  // トンネル 2 のピア事前共有鍵を指定します。これは Alibaba Cloud 側の事前共有鍵です。
 ikev2 local-authentication pre-shared-key fddsFF222****   // トンネル 2 のローカル事前共有鍵を指定します。これは Alibaba Cloud と同じである必要があります。
!

トンネルインターフェイスを作成します。

interface Tunnel1                                  // トンネル 1 のインターフェイスを作成します。
 nameif ALIYUN1
 ip address 169.254.10.2 255.255.255.252           // インターフェイスの IP アドレスを指定します。
 tunnel source interface VPN-IP1                   // トンネル 1 のソースアドレスを GigabitEthernet0/3 の IP アドレスとして指定します。
 tunnel destination 10.10.10.49                    // トンネル 1 の宛先アドレスを Alibaba Cloud 側のトンネル 1 のプライベート IP アドレスとして指定します。
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ALIYUN-PROFILE    // トンネル 1 に IPsec プロファイル ALIYUN-PROFILE を適用します。
 no shutdown                                       // トンネル 1 のインターフェイスを有効にします。
!
interface Tunnel2                                  // トンネル 2 のインターフェイスを作成します。
 nameif ALIYUN2                
 ip address 169.254.20.2 255.255.255.252           // インターフェイスの IP アドレスを指定します。
 tunnel source interface VPN-IP2                   // トンネル 2 のソースアドレスを GigabitEthernet0/4 の IP アドレスとして指定します。
 tunnel destination 10.10.10.50                    // トンネル 2 の宛先アドレスを Alibaba Cloud 側のトンネル 2 のプライベート IP アドレスとして指定します。
 tunnel mode ipsec ipv4                            
 tunnel protection ipsec profile ALIYUN-PROFILE // トンネル 2 に IPsec プロファイル ALIYUN-PROFILE を適用します。
 no shutdown                                       // トンネル 2 のインターフェイスを有効にします。
!

上記の手順を完了すると、データセンターと Alibaba Cloud の間にプライベート IPsec-VPN 接続を確立できます。 IPsec-VPN 接続の詳細ページで接続ステータスを確認できます。プライベート IPsec-VPN 接続が作成されない場合は、それに応じてトラブルシューティングを行ってください。詳細については、「IPsec-VPN 接続のセルフサービス診断」をご参照ください。协商状态

ステップ b: ルートを構成する

プライベート IPsec-VPN 接続が作成された後も、データはデータセンターと VPC 間の Express Connect 回線経由で転送されます。また、データは暗号化されていません。プライベート IPsec-VPN 接続経由でデータを暗号化および転送するには、ルートを追加する必要があります。

カスタマーゲートウェイデバイスのルートを変更します。

// プライベート IPsec-VPN 接続経由でトラフィックを転送するために VPC を指すルートを追加します。
route ALIYUN1 172.16.0.0 255.255.0.0 10.10.10.49 4        
route ALIYUN2 172.16.0.0 255.255.0.0 10.10.10.50 5 

// Express Connect 回線を指す静的ルートの優先順位を変更します。 プライベート IPsec-VPN 接続を指す静的ルートの優先順位よりも低いことを確認してください。
route VBR 172.16.0.0 255.255.0.0 10.0.0.2  10

重要

このシナリオでは、データセンターから VPC へのトラフィックは、優先的にトンネル 1 経由で転送されます。トンネル 1 がダウンしている場合、トラフィックはトンネル 2 経由で転送されます。 VPC からデータセンターへのトラフィックは、ランダムなトンネル経由で転送します。

IPsec-VPN 接続のデータセンターを指すルートを追加します。

VPN ゲートウェイコンソールにログオンします。
左側のナビゲーションウィンドウで、[相互接続] > [VPN] > IPsec 接続 を選択します。
上部のナビゲーションバーで、[中国 (杭州)] リージョンを選択します。
IPsec 接続 ページで、管理する IPsec-VPN 接続を見つけて、その ID をクリックします。
宛先ベースルーティング タブで、ルートエントリの追加 をクリックします。

ルートエントリの追加 パネルで、次のパラメーターを構成し、OK をクリックします。

重要

データセンターを指すルートを追加する場合は、その宛先 CIDR ブロックが VBR に追加されたルートの宛先 CIDR ブロックよりも具体的であることを確認してください。こうすることで、転送ルーターがプライベート IPsec-VPN 接続から学習してデータセンターにトラフィックをルーティングするルートの優先順位が高くなります。

パラメーター	CIDR ブロック 1	CIDR ブロック 2	CIDR ブロック 3
宛先 CIDR ブロック	`192.168.10.0/24` を入力します。	`192.168.20.0/24` を入力します。	`192.168.40.0/24` を入力します。
ネクストホップの種類	[IPsec-VPN 接続] を選択します。
ネクストホップ	作成した IPsec-VPN 接続を選択します。

転送ルーターのカスタムルートを追加します。

上記のルートを追加した後、プライベート IPsec-VPN 接続は中断されます。この場合、カスタマーゲートウェイデバイスの VPN IP アドレスを指す特定のルートを転送ルートのルートテーブルに追加し、ネクストホップを VBR に設定して、プライベート IPsec-VPN 接続を再作成する必要があります。

CEN コンソールの ルートテーブル タブで、[ルートエントリ] タブをクリックし、[ルートエントリの追加] をクリックします。

[ルートエントリの追加] ダイアログボックスで、パラメーターを構成し、[OK] をクリックします。次の表でパラメーターについて説明します。

パラメーター	CIDR ブロック 1	CIDR ブロック 2
宛先 CIDR	カスタマーゲートウェイデバイスの VPN IP アドレスの 1 つである `192.168.10.136/32` を入力します。	カスタマーゲートウェイデバイスのもう 1 つの VPN IP アドレスである `192.168.40.159/32` を入力します。
ブラックホールルートかどうか	[いいえ] を選択します。
ネクストホップ接続	VBR-Attachment を選択します。

ステップ c: 暗号化設定を確認する

構成が完了した後、IPsec-VPN 接続の詳細ページでデータ転送の詳細を表示できる場合、トラフィックは暗号化されています。

VPC 内の ECS 1 に接続します。 ping コマンドを実行して、データセンターの CIDR ブロックにあるクライアントを ping します。
```
ping <データセンターのクライアントの IP アドレス> -s 1000 -c 10000
```
- -s 1000: 1,000 バイトを送信します。
- -c 10000: 10,000 件のリクエストを継続的に送信します。
VPN ゲートウェイコンソールにログオンします。
上部のナビゲーションバーで、[中国 (杭州)] リージョンを選択します。
左側のナビゲーションウィンドウで、[相互接続] > [VPN] > IPsec 接続 を選択します。
[IPsec 接続] ページで、作成した IPsec-VPN 接続を見つけて、その ID をクリックします。
IPsec-VPN 接続の詳細ページに移動して、データ転送の詳細を表示します。