このトピックでは、プライベートVPNゲートウェイ (以下「VPNゲートウェイ」と呼びます) を使用して、データセンターと仮想プライベートクラウド (VPC) 間のプライベート接続を暗号化する方法について説明します。 データセンターとVPC間のプライベート接続を暗号化するには、VPNゲートウェイのBGPルーティングを設定し、データセンターをVPCに接続する仮想ボーダールーター (VBR) の静的ルーティングを設定します。
背景情報
静的ルーティングとBGPルーティングを使用してプライベート接続を暗号化する前に、プライベート接続の暗号化方法と構成方法を理解することをお勧めします。 詳細については、「設定方法の概要」をご参照ください。
シナリオ
このトピックでは、上記のシナリオを例として使用します。 企業は杭州にデータセンターを所有し、中国 (杭州) リージョンにVPC (VPC1) がデプロイされています。 アプリケーションは、VPC1のElastic Compute Service (ECS) インスタンスにデプロイされます。 ビジネスの成長により、企業はExpress connect回路とCloud enterprise Network (CEN) を介してデータセンターをVPC1に接続したいと考えています。 さらに、セキュリティ上の懸念から、企業はデータセンターとVPC1間の接続を暗号化したいと考えています。
データセンターがCENおよびExpress Connect回線を介してVPC1に接続された後、企業はVPC1にVPNゲートウェイを作成し、VPNゲートウェイとオンプレミスのゲートウェイデバイスとの間にIPsec-VPN接続を確立できます。 次に、企業はVPNゲートウェイのBGPルーティングを設定し、VBRの静的ルーティングを設定してプライベート接続を暗号化できます。
準備
プライベートVPNゲートウェイを使用する前に、アカウントマネージャーまたはから必要な権限を申請する必要があります。
チケットを起票して権限を取得します。
データセンターとネットワークインスタンスのネットワークを計画する必要があります。 データセンターのCIDRブロックがネットワークインスタンスのCIDRブロックと重複しないようにしてください。 次の表に、この例のCIDRブロックを示します。
項目
CIDRブロック
IPアドレス
VPC1
プライマリCIDRブロック: 10.0.0.0/16
vSwitch1のCIDRブロック: 10.0.0.0/24
vSwitch2のCIDRブロック: 10.0.1.0/24
ECS1: 10.0.1.1
ECS2: 10.0.1.2
VBR
10.0.0.0/30
VLAN ID: 201
Alibaba Cloud側のIPv4アドレス: 10.0.0.2/30
ユーザー側のIPv4アドレス: 10.0.0.1/30
この例では、ユーザ側のIPv4アドレスは、データセンタ内のゲートウェイデバイスのIPv4アドレスである。
データセンター
プライマリCIDRブロック: 192.168.0.0/16
サブネット1: 192.168.0.0/24
サブ2: 192.168.1.0/24
クライアント: 192.168.1.1
オンプレミスゲートウェイデバイス
10.0.0.0/30
192.168.0.0/24
VPN IPアドレス: 192.168.0.251
VPN IPアドレスは、VPNゲートウェイに接続されるオンプレミスゲートウェイ装置のインタフェースのIPアドレスを指す。
Express Connect回路に接続されたインターフェイスのIPアドレス: 10.0.0.1/30
自律システム番号 (ASN): 65530
VPC1は中国 (杭州) リージョンにデプロイされ、アプリケーションはVPC1のECSインスタンスにデプロイされます。 詳細については、「VPC の作成と管理」をご参照ください。
中国 (杭州) リージョンのVPC1に、Enterprise Editionトランジットルーターをサポートする異なるゾーンに少なくとも2つのvSwitchが含まれていることを確認します。 さらに、各vSwitchには少なくとも1つのアイドルIPアドレスが必要です。 これにより、VPC1をCENインスタンスにアタッチできます。 詳細については、「VPCの接続」をご参照ください。
この例では、VPC1には2つのvSwitch (vSwitch1とvSwitch2) が含まれています。 vSwitch1はゾーンHにデプロイされ、vSwitch2はゾーンIにデプロイされます。ECSインスタンスはvSwitch2にデプロイされます。 vSwitch1は、VPNゲートウェイを関連付けるためにのみ使用されます。
説明VPCを作成するときは、VPNゲートウェイ用の専用vSwitchをVPCに作成することを推奨します。 これにより、vSwitchはVPNゲートウェイにプライベートIPアドレスを割り当てることができます。
データセンターのゲートウェイデバイスを確認します。 標準のIKEv1およびIKEv2プロトコルをサポートしていることを確認します。 ゲートウェイデバイスがIKEv1およびIKEv2プロトコルをサポートしているかどうかを確認するには、ゲートウェイベンダーに連絡してください。
VPC1のECSインスタンスに適用されるセキュリティグループルールと、データセンターのクライアントに適用されるアクセスコントロールリスト (ACL) ルールに注意してください。 ルールにより、VPC1のECSインスタンスがデータセンターのクライアントと通信できるようにします。 詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。
手順
ステップ1: Express Connect回路の展開
データセンターをAlibaba Cloudに接続するには、Express Connect回路をデプロイする必要があります。
Express Connect回路を作成します。
中国 (杭州) リージョンのExpress Connect回線を申請する必要があります。 詳細については、「Express Connect回線を介した専用接続の作成と管理」または「ホスト接続の概要」をご参照ください。
この例では、Express Connect回路を介した専用接続が作成されます。
VBRを作成します。
左側のナビゲーションウィンドウで、仮想ボーダールーター (VBR).
上部のナビゲーションバーで、VBRを作成するリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
仮想ボーダールーター (VBR)ページをクリックします。VBRの作成.
VBRの作成パネルで、次の表に示すパラメーターを設定し、OK.
次の表に、主要なパラメーターのみを示します。 詳細については、「VBRの作成と管理」をご参照ください。
パラメーター
説明
[アカウント]
VBRが作成されるAlibaba Cloudアカウントを指定します。 この例では、[現在のアカウント] が選択されています。
名前
VBR の名前。 この例では、VBRが入力されます。
エクスプレスコネクト回路
VBRに関連付けるExpress Connect回路のタイプを選択します。 この例では、Dedicated Physical Connectionが選択され、ステップ1で作成されたExpress Connect回路が選択されています。Express Connect回路を作成します。 中国 (杭州) リージョンのExpress Connect回線を申請する必要があります。 詳細については、「Express Connect回線を介した専用接続の作成と管理」または「ホスト接続の概要」を参照してください。 この例では、Express Connect回路を介した専用接続が作成されます。
VLAN ID
VBR の VLAN ID 。 この例では、201が入力されます。
説明VBRのVLAN IDが、オンプレミスゲートウェイデバイスがExpress connect回路に接続するために使用するインターフェイスのVLAN IDと同じであることを確認します。
VBR帯域幅の値の設定
VBRの最大帯域幅。
IPv4アドレス (Alibaba Cloud Gateway)
VBRのIPv4アドレスを指定して、VPCとデータセンター間のトラフィックをルーティングします。 この例では、10.0.0.2が入力されます。
IPv4アドレス (データセンターゲートウェイ)
データセンターのゲートウェイデバイスのIPv4アドレスを指定します。 この例では、10.0.0.1が入力されます。
サブネットマスク (IPv4)
データセンターのVBRおよびゲートウェイデバイスに指定するIPv4アドレスのサブネットマスク。 この例では、255.255.255.252が入力されます。
VBRのカスタムルートを追加します。
オンプレミスCIDRブロックをAlibaba Cloudにアドバタイズするカスタムルートを追加します。
[仮想ボーダールーター (VBR)] ページで、VBRのIDをクリックします。
ルートタブをクリックし、ルートを追加.
ルートエントリの追加パネル、次のパラメータを設定し、OK.
パラメーター
説明
ネクストホップタイプ
次のホップタイプ。 [物理接続インターフェイス] を選択します。
宛先CIDRブロック
データセンターのCIDRブロック。
この例では、192.168.0.0/16を入力します。
次ホップ
次のホップ。 ステップ1で作成したExpress Connect回路を選択します。Express Connect回路を作成します。 中国 (杭州) リージョンのExpress Connect回線を申請する必要があります。 詳細については、「Express Connect回線を介した専用接続の作成と管理」または「ホスト接続の概要」を参照してください。 この例では、Express Connect回路を介した専用接続が作成されます。
オンプレミスゲートウェイデバイスを設定します。
VPC1宛てのトラフィックをデータセンターからExpress Connect回路にルーティングするには、次のルートをオンプレミスゲートウェイに追加する必要があります。
次の構成は参照だけのためです。 コマンドは、ネットワークデバイスベンダーに基づいて変化し得る。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。
ip route 10.0.0.0 255.255.0.0 10.0.0.2
手順2: CENインスタンスの設定
VPC1とVBRをCENインスタンスにアタッチする必要があります。 その後、データセンターとVPC1はCENを介して相互に通信できます。
CENインスタンスを作成します。
インスタンスページをクリックします。CENインスタンスの作成.
CENインスタンスの作成ダイアログボックスで、以下のパラメーターを設定し、OK.
名前: CENインスタンスの名前を入力します。
この例では、CENが使用されています。
説明: CENインスタンスの説明を入力します。
この例では、CEN-for-test-private-VPN-Gatewayが使用されています。
VPC1をCENインスタンスにアタッチします。
インスタンスページで作成されたCENインスタンスのIDをクリックします。ステップ1.CENインスタンスを作成します。 CEN consoleCENコンソールにログインします。 [インスタンス] ページで、[CENインスタンスの作成] をクリックします。 [CENインスタンスの作成] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。 名前: CENインスタンスの名前を入力します。 この例では、CENが使用されます。 説明: CENインスタンスの説明を入力します。 この例では、CEN-for-test-private-VPN-Gatewayが使用されています。
VPCのセクション基本設定タブをクリックし、
アイコンが表示されます。 
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ネットワークタイプ
アタッチするネットワークインスタンスのタイプを選択します。
この例では、VPCが選択されています。
リージョン
ネットワークインスタンスがデプロイされているリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
トランジットルーター
選択したリージョンにトランジットルーターが自動的に作成されます。
リソース所有者ID
ネットワークインスタンスが属するAlibaba Cloudアカウントを選択します。
この例では、[現在のアカウント] が選択されています。
課金方法
この例では、デフォルト値 [従量課金] が選択されています。
詳細については、「課金」をご参照ください。
添付ファイル名
ネットワーク接続の名前を入力します。
この例では、VPC1-testが使用されます。
ネットワークインスタンス
接続するネットワークインスタンスのIDを選択します。
この例では、VPC1が選択されています。
VSwitch
トランジットルーターでサポートされているゾーンにデプロイされているvSwitchを選択します。
Enterprise Editionトランジットルーターが1つのゾーンのみをサポートするリージョンにデプロイされている場合は、そのゾーンでvSwitchを選択します。
Enterprise Editionトランジットルーターが複数のゾーンをサポートするリージョンにデプロイされている場合は、少なくとも2つのvSwitchを選択します。 2つのvSwitchは異なるゾーンにある必要があります。 2つのvSwitchはゾーンディザスタリカバリをサポートしており、VPCとトランジットルーター間の中断のないデータ伝送を保証します。
データをより短い距離で送信できるため、ネットワークの待ち時間を短縮し、ネットワークパフォーマンスを向上させるために、各ゾーンでvSwitchを選択することをお勧めします。
詳細については、「VPC接続の作成」をご参照ください。
詳細設定
デフォルトでは、システムは次の高度な機能を自動的に有効にします。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、VPC接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトルートテーブルに基づいてVPCのトラフィックを転送します。
システムルートをトランジットルーターのデフォルトルートテーブルに伝播する
この機能を有効にすると、VPCのシステムルートがトランジットルーターのデフォルトルートテーブルにアドバタイズされます。 これにより、VPCはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。
トランジットルーターへのルートを自動的に作成し、現在の VPC のすべてのルートテーブルに追加する
この機能を有効にすると、VPCのすべてのルートテーブルに10.0.0.0/8、172.16.0.0/12、192.168.0.0/16の3つのルートが自動的に追加されます。 ルートの次のホップはVPCを指します。 ルートは、VPCからトランジットルーターにIPv4トラフィックを転送するために使用されます。 デフォルトでは、トランジットルーターはVPCへのルートをアドバタイズしません。
重要そのようなルートが既にVPCのルートテーブルにある場合、システムはこのルートをアドバタイズできません。 VPC接続を指すルートをVPCのルートテーブルに手動で追加する必要があります。 そうしないと、VPCとトランジットルーター間でネットワーク通信を確立できません。 そのようなルートが存在するかどうかを確認するには、[詳細設定] の下にある [ルートの確認] をクリックします。
VPCがIPv6トラフィックを入力して転送するには、VPC接続のルート同期を有効にするか、接続の作成後にルートテーブルにVPC接続を指すIPv6ルートエントリを手動で追加する必要があります。
この例では、デフォルト設定が使用されています。
VBRをCENインスタンスにアタッチします。
[ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ネットワークタイプ
アタッチするネットワークインスタンスのタイプを選択します。
この例では、仮想ボーダールーター (VBR) が選択されています。
リージョン
ネットワークインスタンスがデプロイされているリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
トランジットルーター
選択したリージョンのトランジットルーターが表示されます。
リソース所有者ID
ネットワークインスタンスが属するAlibaba Cloudアカウントを選択します。
この例では、[現在のアカウント] が選択されています。
添付ファイル名
ネットワーク接続の名前を入力します。
この例では、VBR-testが使用されます。
ネットワークインスタンス
接続するネットワークインスタンスのIDを選択します。
この例では、ステップ1で作成されたVBRが選択されます。
詳細設定
デフォルトでは、システムは次の高度な機能を自動的に有効にします。
トランジットルーターのデフォルトルートテーブルに関連付ける
この機能を有効にすると、VBR接続はトランジットルーターのデフォルトルートテーブルに自動的に関連付けられます。 トランジットルーターは、デフォルトのルートテーブルに基づいてVBRのトラフィックを転送します。
トランジットルーターのデフォルトルートテーブルへのシステムルートの伝播
この機能を有効にすると、VBRのシステムルートがトランジットルーターのデフォルトルートテーブルに通知されます。 このようにして、VBRはトランジットルーターに接続されている他のネットワークインスタンスと通信できます。
VBRへのルートの伝播
この機能を有効にすると、VBRへのVBR接続に関連付けられているトランジットルータールートテーブルのルートが自動的にアドバタイズされます。
この例では、デフォルト設定が使用されています。
ステップ3: VPNゲートウェイのデプロイ
上記の手順を完了すると、データセンターはプライベート接続でVPC1に接続されます。 ただし、プライベート接続は暗号化されません。 プライベート接続を暗号化するには、VPC1にVPNゲートウェイをデプロイする必要があります。
VPNゲートウェイを作成します。
上部のナビゲーションバーで、VPNゲートウェイを作成するリージョンを選択します。
VPNゲートウェイと関連付けられるVPCは、同じリージョンに属している必要があります。 この例では、中国 (杭州) リージョンが選択されています。
VPN Gatewayページをクリックします。VPN Gateway の作成.
購入ページで、次のパラメーターを設定し、今すぐ購入、そして支払いを完了します。
パラメーター
説明
名前
VPNゲートウェイの名前を入力します。
この例では、VPNGateway1が入力されます。
リージョン
VPNゲートウェイをデプロイするリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
ゲートウェイタイプ
VPNゲートウェイのタイプを選択します。
この例では、[標準] が選択されています。
ネットワークタイプ
VPN gatewayのネットワークタイプを選択します。
この例では、[プライベート] が選択されています。
トンネル
リージョン内のIPsec-VPN接続でサポートされているトンネルモードが表示されます。
[VPC]
VPNゲートウェイを関連付けるVPCを選択します。
この例では、VPC1が選択されています。
VSwitch
VPC1からvSwitchを選択します。
シングルトンネルを選択した場合、vSwitchを1つだけ指定する必要があります。
デュアルトンネルを選択した場合、2つのvSwitchを指定する必要があります。
IPsec-VPN機能を有効にすると、IPsec-VPN接続を介してVPCと通信するためのインターフェイスとして、2つのvSwitchのそれぞれにelastic network interface (ENI) が作成されます。 各ENIはvSwitchで1つのIPアドレスを占有します。
説明システムはデフォルトでvSwitchを選択します。 デフォルトのvSwitchを変更または使用できます。
VPNゲートウェイの作成後、VPNゲートウェイに関連付けられているvSwitchを変更することはできません。 VPN gatewayの詳細ページで、VPN gatewayに関連付けられているvSwitch、vSwitchが属するゾーン、およびENIをvSwitchで表示できます。
vSwitch 2
VPC1から別のvSwitchを選択します。
Single-tunnelを選択した場合は、このパラメーターを無視します。
最大帯域幅
VPNゲートウェイの最大帯域幅値を選択します。 単位は、Mbit/s です。
トラフィック
VPN gatewayの課金方法を選択します。 デフォルト値: Pay-by-data-transfer
詳細については、「課金」をご参照ください。
IPsec-VPN
プライベートVPNゲートウェイはIPsec-VPN機能のみをサポートします。
この例では、IPsec-VPN機能にデフォルト値Enableが選択されています。
有効期間
課金サイクルを選択します。 デフォルト値:時間単位
サービスにリンクされたロール
[サービスにリンクされたロールの作成] をクリックします。 その後、システムは自動的にサービスにリンクされたロールAliyunServiceRoleForVpnを作成します。
VPN gatewayは、他のクラウドリソースにアクセスするためにこの役割を引き受けます。 詳細については、「AliyunServiceRoleForVpn」をご参照ください。
[作成済み] が表示されている場合、サービスにリンクされたロールが作成され、再度作成する必要はありません。
VPN gatewayページに戻り、作成したVPN gatewayのプライベートIPアドレスを確認して記録します。 このIPアドレスは、IPsec-VPN接続を設定するときに使用されます。
新しく作成されたVPN gatewayは [準備中] 状態です。 約1〜5分後、それは通常状態に入る。 [正常] 状態は、VPNゲートウェイが初期化され、使用可能な状態であることを示します。
カスタマーゲートウェイを作成します。
左側のナビゲーションウィンドウで、.
カスタマーゲートウェイページをクリックします。カスタマーゲートウェイの作成.
カスタマーゲートウェイの作成パネル、次のパラメータを設定し、OK.
以下のコンテンツは、主要なパラメータのみを説明します。 詳細については、「カスタマーゲートウェイの作成」をご参照ください。
名前:カスタマーゲートウェイの名前を入力します。
この例では、Customer-Gatewayが入力されます。
IPアドレス: VPN gatewayに接続するオンプレミスデバイスのVPN IPアドレスを入力します。
この例では、192.168.0.251が入力されます。
ASN: オンプレミスゲートウェイデバイスのASNを入力します。
この例では、65530はemteredです。
IPsec-VPN接続を作成します。
左側のナビゲーションウィンドウで、.
VPN 接続ページをクリックします。VPN 接続の作成.
IPsec接続の作成ページで、IPsec-VPN接続のパラメーターを設定し、OK.
次の表に、主要なパラメーターのみを示します。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
パラメーター
説明
名前
IPsec-VPN 接続の名前。
この例では、IPsecConnection1が入力されます。
VPNゲートウェイ
作成したVPNゲートウェイ。
この例では、VPNGateway1が選択されている。
カスタマーゲートウェイ
作成したカスタマーゲートウェイ。
この例では、Customer-Gatewayが選択されています。
ルーティングモード
ルーティングモード。
この例では、宛先ルーティングモードが選択されています。
すぐに有効
接続のネゴシエーションをすぐに開始するかどうかを指定します。 有効な値:
はい: 設定が完了するとすぐにネゴシエーションが開始されます。
No: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。
この例では、はいが選択されています。
事前共有キー
事前共有キー。The pre-shared key.
値を入力しない場合、システムは事前共有キーとしてランダムな16ビット文字列を生成します。
重要オンプレミスのゲートウェイデバイスとIPsec-VPN接続が同じ事前共有キーを使用していることを確認します。
この例では、fddsFF123 **** が入力されます。
暗号化設定
この例では、IKE ConfigurationsセクションのVersionパラメーターにikev2が選択されています。 その他のパラメータにはデフォルト値が使用されます。
BGP設定
BGPを有効にするかどうかを指定します。 この例では、BGPは有効です。 次のパラメーターを設定します。
トンネルCIDRブロック: IPsecトンネルのCIDRブロック。
CIDRブロックは169.254.0.0/16に収まる必要があります。 CIDRブロックのサブネットマスクの長さは30ビットである必要があります。
この例では、169.254.10.0/30を入力します。
ローカルBGP IPアドレス: VPNゲートウェイ側のBGP IPアドレス。
このIPアドレスは、トンネルのCIDRブロック内にある必要があります。
この例では、169.254.10.1が入力されます。 データセンター側のBGP IPアドレスは169.254.10.2です。
ローカルASN: VPNゲートウェイ側のASN。
この例では、65531が入力されます。
説明プライベートASNを使用して、BGP経由でデータセンターへの接続を確立することを推奨します。 プライベートASNの有効範囲については、関連ドキュメントを参照してください。
ヘルスチェック
この例では、デフォルト設定を使用します。
IPsec-VPN接続を作成したら、OKで、設立済みダイアログボックス。
VPNゲートウェイの自動BGP広告を有効にします。
自動BGP広告が有効になり、VPNゲートウェイとオンプレミスゲートウェイデバイスの間にピアリング接続が確立された後、VPNゲートウェイはデータセンターのCIDRブロックを学習してVPC1に広告します。 また、VPN gatewayは、VPC1のシステムルートテーブル内のルートをオンプレミスゲートウェイデバイスにアドバタイズします。
左側のナビゲーションウィンドウで、 を選択します。
[VPN gateway] ページで、管理するVPNゲートウェイを見つけ、[自動ルート広告の有効化] 列で自動ルート広告機能を有効にします。
オンプレミスゲートウェイデバイスのIPsec設定をダウンロードします。
左側のナビゲーションウィンドウで、.
On theIPsec接続ページ、IPsecConnection1を見つけてクリックピア構成の生成で、アクション列を作成します。
ダウンロードしたIPsec設定をクライアントに保存します。
VPN設定、BGP設定、および静的ルートをオンプレミスのゲートウェイデバイスに追加します。
ダウンロードしたIPsec設定に基づいて、VPN設定、BGP設定、および静的ルートをオンプレミスのゲートウェイデバイスに追加します。
次の構成は参照だけのためです。 コマンドは、ネットワークデバイスベンダーに基づいて変化し得る。 ベンダーに連絡して、特定のコマンドに関する情報を入手してください。
ゲートウェイデバイスのコマンドラインインターフェイス (CLI) を開きます。
次のコマンドを実行して、IKEv2プロポーザルとポリシーを設定します。
crypto ikev2 proposal alicloud encryption aes-cbc-128 //Configure the encryption algorithm. In this example, aes-cbc-128 is used. integrity sha1 //Configure the authentication algorithm. In this example, sha1 is used. group 2 //Configure the DH group. In this example, group 2 is used. exit ! crypto ikev2 policy Pureport_Pol_ikev2 proposal alicloud exit !次のコマンドを実行して、IKEv2キーリングを設定します。
crypto ikev2 keyring alicloud peer alicloud address 10.0.0.167 //Configure the private IP address of the VPN gateway. In this example, 10.0.0.167 is used. pre-shared-key fddsFF123**** //Configure the pre-shared key. In this example, fddsFF123**** is used. exit !次のコマンドを実行して、IKEv2プロファイルを設定します。
crypto ikev2 profile alicloud match identity remote address 10.0.0.167 255.255.255.255 //Configure the private IP address of the VPN gateway. In this example, 10.0.0.167 is used. identity local address 192.168.0.251 //Configure the VPN IP address of the data center. In this example, 192.168.0.251 is used. authentication remote pre-share //Set the authentication mode for the VPC to PSK (pre-shared key). authentication local pre-share //Set the authentication mode of the data center to PSK. keyring local alicloud //Invoke the IKEv2 keyring. exit !次のコマンドを実行して、変換セットを設定します。
crypto ipsec transform-set TSET esp-aes esp-sha-hmac mode tunnel exit !次のコマンドを実行してIPsecプロファイルを設定し、変換セット、Perfect Forward Secrecy (PSF) 、およびIKEv2プロファイルを呼び出します。
crypto ipsec profile alicloud set transform-set TSET set pfs group2 set ikev2-profile alicloud exit !次のコマンドを実行して、IPsecトンネルを設定します。
interface Tunnel100 ip address 169.254.10.2 255.255.255.252 //Configure the tunnel address for the data center. In this example, 169.254.10.2 is used. tunnel source GigabitEthernet1 tunnel mode ipsec ipv4 tunnel destination 10.0.0.167 //Configure the private IP address of the VPN gateway. In this example, 10.0.0.167 is used. tunnel protection ipsec profile alicloud no shutdown exit ! interface GigabitEthernet1 //Configure the IP address of the interface that is used to connect to the VPN gateway. ip address 192.168.0.251 255.255.255.0 negotiation auto !次のコマンドを実行してBGPを設定します。
重要VPCからデータセンターへのトラフィックがVPNゲートウェイの暗号化されたトンネルに確実にルーティングされるようにするには、オンプレミスのゲートウェイデバイスのBGP設定で、データセンターのCIDRブロックよりも小さいCIDRブロックをアドバタイズする必要があります。
この例では、データセンターのCIDRブロックは192.168.0.0/16です。 したがって、オンプレミスゲートウェイデバイスのBGP設定で192.168.0.0/16より小さいCIDRブロックをアドバタイズする必要があります。 この例では、192.168.1.0/24がアドバタイズされます。
router bgp 65530 //Enable BGP and configure the BGP ASN of the data center. In this example, 65530 is used. bgp router-id 169.254.10.2 //Specify the ID of the BGP router. In this example, 169.254.10.2 is used. bgp log-neighbor-changes neighbor 169.254.10.1 remote-as 65531 //Configure the ASN of the BGP peer. In this example, the BGP ASN of the VPN gateway 65531 is used. neighbor 169.254.10.1 ebgp-multihop 10 //Set the EBGP hop-count to 10. ! address-family ipv4 network 192.168.1.0 mask 255.255.255.0 //Advertise the CIDR block of the data center. In this example, 192.168.1.0/24 is advertised. neighbor 169.254.10.1 activate //Activate the BGP peer. exit-address-family !次のコマンドを実行して、静的ルートを設定します。
ip route 10.0.0.167 255.255.255.255 10.0.0.2 //Route traffic from the data center to the VPN gateway to the Express Connect circuit.
ステップ4: VPCとVBRのルートを設定する
上記の手順を完了すると、オンプレミスゲートウェイデバイスとVPNゲートウェイの間に暗号化されたトンネルを確立できます。 データセンターがAlibaba Cloudと通信するときに、VPCとVBRのルートを設定して、トラフィックを暗号化されたトンネルにルーティングする必要があります。
VPC1にカスタムルートを追加します。
左側のナビゲーションウィンドウで、ルートテーブル.
上部のナビゲーションバーで、ルートテーブルが属するリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
[ルートテーブル] ページで、管理するルートテーブルを見つけ、そのIDをクリックします。
この例では、VPC1のシステムルートテーブルのIDがクリックされています。
ルートエントリ一覧タブをクリックし、カスタムルートタブをクリックし、ルートエントリの追加.
ルートエントリの追加パネル、次のパラメータを設定し、OK.
パラメーター
説明
名前
カスタムルートの名前を入力します。
宛先CIDRブロック
カスタムルートの宛先CIDRブロックを入力します。
この例では、IPv4 CIDRブロックが選択され、オンプレミスゲートウェイデバイスのVPN IPアドレス (192.168.0.251/32) が使用されます。
ネクストホップタイプ
ネクストホップのタイプを選択します。
この例では、トランジットルーターが選択されています。
トランジットルーター
カスタムルートのネクストホップを選択します。
この例では、VPC1-testが選択されています。
VBRのカスタムルートを追加します。
左側のナビゲーションウィンドウで、仮想ボーダールーター (VBR).
上部のナビゲーションバーで、VBRがデプロイされているリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
仮想ボーダールーター (VBR)ページで、管理するVBRのIDをクリックします。
ルートタブをクリックし、ルートを追加.
ルートエントリの追加パネル、次のパラメータを設定し、OK.
パラメーター
説明
ネクストホップタイプ
次のホップタイプ。 [物理接続インターフェイス] を選択します。
宛先CIDRブロック
オンプレミスゲートウェイデバイスのVPN IPアドレス。
この例では、192.168.0.251/32を入力します。
次ホップ
次のホップ。 ステップ1で作成したExpress Connect回路を選択します。Express Connect回路を作成します。 中国 (杭州) リージョンのExpress Connect回線を申請する必要があります。 詳細については、「Express Connect回線を介した専用接続の作成と管理」または「ホスト接続の概要」を参照してください。 この例では、Express Connect回路を介した専用接続が作成されます。
ステップ5: ネットワーク接続を確認する
上記の手順を完了すると、データセンターはプライベート接続と暗号化接続を介してVPC1と通信できます。 次のコンテンツでは、データセンターとVPC1間の接続を確認し、プライベート接続がVPNゲートウェイによって暗号化されているかどうかを確認する方法について説明します。
ネットワーク接続を確認します。
ECS 1にログインします。 詳細については、「ECSインスタンスへの接続」をご参照ください。
pingコマンドを実行してデータセンターのクライアントにpingを実行し、データセンターとVPC1間のネットワーク接続を確認します。
ping <the IP address of a client in the data center>エコー応答パケットが返された場合、データセンターはVPC1に接続されています。
プライベート接続が暗号化されているかどうかを確認します。
IPsec-VPN接続の詳細ページでデータ転送のモニタリングデータを表示できる場合は、プライベート接続が暗号化されていることを示します。
上部のナビゲーションバーで、VPN gatewayがデプロイされているリージョンを選択します。
この例では、中国 (杭州) リージョンが選択されています。
左側のナビゲーションウィンドウで、.
[IPsec接続] ページで、ステップ3で作成したIPsec-VPN接続を見つけ、そのIDをクリックします。IPsec-VPN接続を作成します。 左側のナビゲーションウィンドウで、[InterconnectionsVPNIPsec接続] を選択します。 IPsec-VPN接続ページで、[IPsec-VPN接続の作成] をクリックします。 [IPsec接続の作成] ページで、IPsec-VPN接続のパラメーターを設定し、[OK] をクリックします。 次の表に、主要なパラメーターのみを示します。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。 IPsec-VPN接続の名前。The Name of the IPsec-VPN connection. この例では、IPsecConnection1が入力されます。 VPN Gateway作成したVPN gateway。 この例では、VPNGateway1が選択されている。 Customer Gateway作成したカスタマーゲートウェイ。 この例では、Customer-Gatewayが選択されています。 ルーティングモード。The Routing Mode. この例では、宛先ルーティングモードが選択されています。 すぐに接続のネゴシエーションを開始するかどうかを指定します。 有効な値: はい: 設定が完了するとすぐにネゴシエーションが開始されます。 No: インバウンドトラフィックが検出されるとネゴシエーションを開始します。 この例では、Yesが選択されている。 事前共有キー事前共有キー。 値を入力しない場合、システムは事前共有キーとしてランダムな16ビット文字列を生成します。 オンプレミスのゲートウェイデバイスとIPsec-VPN接続が同じ事前共有キーを使用していることを確認します。 この例では、fddsFF123 **** が入力されます。 暗号化構成この例では、IKE構成セクションのVersionパラメータとしてikev2が選択されている。 その他のパラメータにはデフォルト値が使用されます。 BGPを有効にするかどうかを指定します。 この例では、BGPは有効です。 次のパラメーターを設定します。トンネルCIDRブロック: IPsecトンネルのCIDRブロック。 CIDRブロックは169.254.0.0/16に収まる必要があります。 CIDRブロックのサブネットマスクの長さは30ビットである必要があります。 この例では、169.254.10.0/30が入力されます。 ローカルBGP IPアドレス: VPNゲートウェイ側のBGP IPアドレス。 このIPアドレスは、トンネルのCIDRブロック内にある必要があります。 この例では、169.254.10.1が入力されます。 データセンター側のBGP IPアドレスは169.254.10.2です。 ローカルASN: VPNゲートウェイ側のASN。 この例では、65531が入力されます。 プライベートASNを使用して、BGP経由でデータセンターへの接続を確立することを推奨します。 プライベートASNの有効範囲については、関連ドキュメントを参照してください。 ヘルスチェックこの例では、デフォルト設定が使用されます。 IPsec-VPN接続を作成したら、[確立] ダイアログボックスで [OK] をクリックします。
IPsec-VPN接続の詳細ページに移動して、データ転送のモニタリングデータを表示します。