IPsec-VPNとCENを使用して高品質のグローバルネットワークを構築する - VPN Gateway

このトピックでは、VPN GatewayとCloud Enterprise Network (CEN) を使用してデータセンターをAlibaba Cloudに接続し、高品質で費用対効果の高いクロスボーダーエンタープライズネットワークを構築する方法について説明します。

始める前に

開始する前に、次の要件が満たされていることを確認してください。

仮想プライベートクラウド (VPC) が作成され、アプリケーションがVPCにデプロイされます。詳細については、「VPCの作成と管理」をご参照ください。
ゲートウェイ装置が各オフィスに配備され、静的パブリックIPアドレスが各ゲートウェイ装置に割り当てられる。
CEN インスタンスが作成されていること。詳細については、「CEN インスタンス」をご参照ください。
CEN帯域幅プランが購入され、リージョン間通信用の帯域幅が割り当てられます。詳細については、「帯域幅プランの使用」および「クロスリージョン接続の帯域幅の管理」をご参照ください。
接続するCIDRブロックが重複しないようにしてください。

このタスクについて

国際企業は、シリコンバレーに2つのオフィス、上海に2つのオフィスを持っています。同社は、米国 (シリコンバレー) リージョンでVPC1を、中国 (上海) リージョンでVPC2を作成しました。アプリケーションは各VPCにデプロイされます。事業発展のため、同社は次のネットワークを接続したいと考えています: 上海とシリコンバレーのオフィスのネットワーク、VPC1、およびVPC2。次の表に、ネットワークのCIDRブロックを示します。


ネットワーク	CIDRブロック
シリコンバレーのOffice1	10.10.10.0/24
Office2 (シリコンバレー)	10.10.20.0/24
米国 (シリコンバレー) のVPC1	172.16.0.0/16
上海のOffice3	10.20.10.0/24
上海のOffice4	10.20.20.0/24
中国 (上海) のVPC2	192.168.0.0/16

上の図に示すように、VPNゲートウェイ (VPNgateway1) を使用してOffice1およびOffice2をVPC1に接続し、別のVPNゲートウェイ (VPNgateway2) を使用してOffice3およびOffice4をVPC2に接続できます。次に、VPC1とVPC2を同じCENインスタンスにアタッチして、クロスボーダー通信を有効にできます。

手順

ステップ1: IPsec-VPN接続を作成してOffice1およびOffice2をVPC1に接続する

米国 (シリコンバレー) リージョンでIPsec-VPN接続を作成し、Office1およびOffice2をVPC1に接続するには、次の操作を実行します。

VPC1でVPNゲートウェイを作成します。
次のパラメーターを設定します。
- 名前: VPN gatewayの名前を入力します。この例では、VPNgateway1が使用される。
- リージョン：米国 (シリコンバレー)を選択します。
- VPC: 米国 (シリコンバレー) リージョンのVPCを選択します。
- VSwitchの指定: [いいえ] を選択します。
- 最大帯域幅: 10 Mbit/sを選択します。
- Traffic: Select Pay-by-data-transfer.
- IPsec-VPN: [有効化] を選択します。
- SSL-VPN: [無効] を選択します。
- 期間: 時間単位を選択します。
- サービスにリンクされたロール: [サービスにリンクされたロールの作成] をクリックすると、サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。
  説明 VPN gatewayが他のクラウドリソースにアクセスする役割を引き受ける方法の詳細については、「AliyunServiceRoleForVpn」をご参照ください。
  [作成済み] が表示されている場合、サービスにリンクされたロールが作成され、再度作成する必要はありません。
詳細については、「VPNゲートウェイの作成と管理」をご参照ください。
2つのカスタマーゲートウェイを作成し、Office1およびOffice2のゲートウェイデバイスのパブリックIPアドレスをカスタマーゲートウェイに登録します。パブリックIPアドレスは、IPsec-VPN接続の作成に使用されます。
Office1のカスタマーゲートウェイを作成するには、次のパラメーターを設定します。
- 名前：カスタマーゲートウェイの名前を入力します。この例では、customer_gt1が使用されます。
- IPアドレス: Office1のゲートウェイデバイスの静的パブリックIPアドレスを入力します。この例では、1.1.XX.XXが使用されます。
Office2のカスタマーゲートウェイを作成するには、次のパラメーターを設定します。
- 名前：カスタマーゲートウェイの名前を入力します。この例では、customer_gt2が使用されます。
- IPアドレス: Office2のゲートウェイデバイスの静的パブリックIPアドレスを入力します。この例では、2.2.XX.XXが使用されます。
詳細については、「カスタマーゲートウェイの作成」をご参照ください。
2つのIPsec-VPN接続を作成して、Office1およびOffice2のゲートウェイデバイスをVPNgateway1に接続します。
Office1とVPNgateway1の間にIPsec-VPN接続を作成するには、次のパラメーターを設定します。
- 名前：IPsec-VPN 接続の名前を入力します。この例では、IPsec1が使用されます。
- VPN Gateway: 米国 (シリコンバレー) リージョンで作成したVPN gatewayを選択します。この例では、VPNgateway1が選択される。
- Customer Gateway : 接続するカスタマーゲートウェイを選択します。この例では、customer_gt1が選択されています。
- ルーティングモード: [保護されたデータフロー] を選択します。
- ローカルネットワーク: オフィスに接続するVPCのCIDRブロックを入力します。この例では、172.16.0.0/16を入力します。
- リモートネットワーク: VPCに接続するOffice1のCIDRブロックを入力します。この例では、10.10.10.0/24を入力します。
- すぐに有効: すぐにネゴシエートするかどうかを指定します。この例では、はいが選択されています。
  - Yes: 設定完了後に接続ネゴシエーションを開始します。
  - No: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。
- 事前共有キー: VPNgateway1とcustomer_gt1間のID検証用の事前共有キーを入力します。この例では、123456が入力されます。
その他のパラメーターにはデフォルト設定を使用します。
次のパラメーターを設定して、Office2とVPNgateway1の間にIPsec-VPN接続を作成します。
- 名前：IPsec-VPN 接続の名前を入力します。この例では、IPsec2が使用される。
- VPN Gateway: 米国 (シリコンバレー) リージョンで作成したVPN gatewayを選択します。この例では、VPNgateway1が選択される。
- Customer Gateway : 接続するカスタマーゲートウェイを選択します。この例では、customer_gt2が選択されています。
- ルーティングモード: [保護されたデータフロー] を選択します。
- ローカルネットワーク: オフィスに接続するVPCのCIDRブロックを入力します。この例では、172.16.0.0/16を入力します。
- リモートネットワーク: VPCに接続するOffice1のCIDRブロックを入力します。この例では、10.10.20.0/24を入力します。
- すぐに有効: すぐにネゴシエートするかどうかを指定します。この例では、はいが選択されています。
  - Yes: 設定完了後に接続ネゴシエーションを開始します。
  - No: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。
- 事前共有キー: VPNgateway1とcustomer_gt2間のID検証用の事前共有キーを入力します。この例では、123456が入力されます。
その他のパラメーターにはデフォルト設定を使用します。
詳細については、「IPsec-VPN接続の作成と管理」をご参照ください。
Office1およびOffice2のゲートウェイデバイスにIPsec-VPN接続の設定をロードします。
詳細については、「ローカルゲートウェイの設定」をご参照ください。
VPNgateway1でルートを設定します。
VPNgateway1に次のルートを設定して、Office1宛てのネットワークトラフィックをルーティングします。
- 宛先CIDRブロック: 宛先のプライベートCIDRブロックを入力します。この例では、10.10.10.0/24を入力します。
- ネクストホップタイプ：[IPsec 接続] を選択します。
- ネクストホップ: IPsec-VPN接続を選択します。この例では、IPsec1が選択されている。
- VPCにパブリッシュ: このルートをVPC1のルートテーブルに自動的にアドバタイズするかどうかを指定します。この例では、はいが選択されています。
  - Yes: VPCのルートテーブルへのルートを自動的にアドバタイズします。この値を選択することを推奨します。
  - No: VPCのルートテーブルへのルートをアドバタイズしません。
- 重み: 重みを指定します。この例では、0が指定されています。
VPNgateway1に次のルートを設定して、Office2宛てのネットワークトラフィックをルーティングします。
- 宛先CIDRブロック: 宛先のプライベートCIDRブロックを入力します。この例では、10.10.10.0/24を入力します。
- ネクストホップタイプ：[IPsec 接続] を選択します。
- ネクストホップ: IPsec-VPN接続を選択します。この例では、IPsec2が選択されている。
- VPCにパブリッシュ: このルートをVPC1のルートテーブルに自動的にアドバタイズするかどうかを指定します。この例では、はいが選択されています。
  - Yes: VPCのルートテーブルへのルートを自動的にアドバタイズします。この値を選択することを推奨します。
  - No: VPCのルートテーブルへのルートをアドバタイズしません。
- 重み: 重みを指定します。この例では、0が指定されています。
Office1、Office2、VPNgateway1、VPC1のルートテーブルを次の図に示します。

ステップ2: IPsec-VPN接続を作成してOffice3およびOffice4をVPC2に接続する

中国 (上海) リージョンでIPsec-VPN接続を作成し、Office3およびOffice4をVPC2に接続するには、次の操作を実行します。

VPC2でVPNゲートウェイを作成します。
次のパラメーターを設定します。
- 名前: VPN gatewayの名前を入力します。この例では、VPNgateway2が使用される。
- リージョン：米国 (シリコンバレー)を選択します。
- VPC: 米国 (シリコンバレー) リージョンのVPCを選択します。
- VSwitchの指定: [いいえ] を選択します。
- 最大帯域幅: 10 Mbit/sを選択します。
- トラフィック: [データ転送課金] を選択します。
- IPsec-VPN: [有効化] を選択します。
- SSL-VPN: [無効] を選択します。
- 期間: 時間単位を選択します。
- サービスにリンクされたロール: [サービスにリンクされたロールの作成] をクリックすると、サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。
  説明 VPN gatewayが他のクラウドリソースにアクセスする役割を引き受ける方法の詳細については、「AliyunServiceRoleForVpn」をご参照ください。
  [作成済み] が表示されている場合、サービスにリンクされたロールが作成され、再度作成する必要はありません。
詳細については、「VPNゲートウェイの作成と管理」をご参照ください。
2つのカスタマーゲートウェイを作成し、Office3およびOffice4のゲートウェイデバイスのパブリックIPアドレスをカスタマーゲートウェイに登録します。パブリックIPアドレスは、IPsec-VPN接続の作成に使用されます。
Office3のカスタマーゲートウェイを作成するには、次のパラメーターを設定します。
- 名前：カスタマーゲートウェイの名前を入力します。この例では、customer_gt3が使用されます。
- IPアドレス: Office3のゲートウェイデバイスの静的パブリックIPアドレスを入力します。この例では、3.3.XX.XXが使用されます。
Office4のカスタマーゲートウェイを作成するには、次のパラメーターを設定します。
- 名前：カスタマーゲートウェイの名前を入力します。この例では、customer_gt4が使用されます。
- IPアドレス: Office4のゲートウェイデバイスの静的パブリックIPアドレスを入力します。この例では、4.4.XX.XXが入力されます。
詳細については、「カスタマーゲートウェイの作成」をご参照ください。
2つのIPsec-VPN接続を作成して、Office3およびOffice4のゲートウェイデバイスをVPNgateway2に接続します。
Office3とVPNgateway2の間にIPsec-VPN接続を作成するには、次のパラメーターを設定します。
- 名前：IPsec-VPN 接続の名前を入力します。この例では、IPsec3が使用される。
- VPN Gateway: 中国 (上海) リージョンで作成したVPN gatewayを選択します。この例では、VPNgateway2が選択される。
- Customer Gateway : 接続するカスタマーゲートウェイを選択します。この例では、customer_gt3が選択されています。
- ルーティングモード: [保護されたデータフロー] を選択します。
- ローカルネットワーク: オフィスに接続するVPCのCIDRブロックを入力します。この例では、192.168.0.0/16を入力します。
- リモートネットワーク: VPCに接続するOffice3のCIDRブロックを入力します。この例では、10.20.10.0/24を入力します。
- すぐに有効: すぐにネゴシエートするかどうかを指定します。この例では、はいが選択されています。
  - Yes: 設定完了後に接続ネゴシエーションを開始します。
  - No: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。
- 事前共有キー: VPNgateway2とcustomer_gt3間のID検証用の事前共有キーを入力します。この例では、123456が入力されます。
その他のパラメーターにはデフォルト設定を使用します。
次のパラメーターを設定して、Office4とVPNgateway2の間にIPsec-VPN接続を作成します。
- 名前：IPsec-VPN 接続の名前を入力します。この例では、IPsec4が使用される。
- VPN Gateway: 中国 (上海) リージョンで作成したVPN gatewayを選択します。この例では、VPNgateway2が選択される。
- Customer Gateway : 接続するカスタマーゲートウェイを選択します。この例では、customer_gt4が選択されています。
- ルーティングモード: 保護されたデータフローを選択します。
- ローカルネットワーク: オフィスに接続するVPCのCIDRブロックを入力します。この例では、192.168.0.0/16を入力します。
- リモートネットワーク: VPCに接続するOffice4のCIDRブロックを入力します。この例では、10.20.20.0/24を入力します。
- すぐに有効: すぐにネゴシエートするかどうかを指定します。この例では、はいが選択されています。
  - Yes: 設定完了後に接続ネゴシエーションを開始します。
  - No: インバウンドトラフィックが検出されると、ネゴシエーションを開始します。
- 事前共有キー: VPNgateway2とcustomer_gt4間のID検証用の事前共有キーを入力します。この例では、654321が入力されます。
その他のパラメーターにはデフォルト設定を使用します。
詳細については、「IPsec-VPN接続の作成と管理」をご参照ください。
Office3およびOffice4のゲートウェイデバイスにIPsec-VPN接続の設定をロードします。
詳細については、「ローカルゲートウェイの設定」をご参照ください。
VPNgateway2でルートを設定します。
VPNgateway2に次のルートを設定して、Office3宛てのネットワークトラフィックをルーティングします。
- 宛先CIDRブロック: 宛先のプライベートCIDRブロックを入力します。この例では、10.20.10.0/24を入力します。
- ネクストホップタイプ：[IPsec 接続] を選択します。
- ネクストホップ: IPsec-VPN接続を選択します。この例では、IPsec3が選択されている。
- VPCにパブリッシュ: このルートをVPC2のルートテーブルに自動的にアドバタイズするかどうかを指定します。この例では、はいが選択されています。
  - Yes: VPCのルートテーブルへのルートを自動的にアドバタイズします。この値を選択することを推奨します。
  - No: VPCのルートテーブルへのルートをアドバタイズしません。
- 重み: 重みを指定します。この例では、0が指定されています。
VPNgateway2に次のルートを設定して、Office4宛てのネットワークトラフィックをルーティングします。
- 宛先CIDRブロック: 宛先のプライベートCIDRブロックを入力します。この例では、10.20.20.0/24を入力します。
- ネクストホップタイプ：[IPsec 接続] を選択します。
- ネクストホップ: IPsec-VPN接続を選択します。この例では、IPsec4が選択されている。
- VPCにパブリッシュ: このルートをVPC2のルートテーブルに自動的にアドバタイズするかどうかを指定します。この例では、はいが選択されています。
  - Yes: VPCのルートテーブルへのルートを自動的にアドバタイズします。この値を選択することを推奨します。
  - No: VPCのルートテーブルへのルートをアドバタイズしません。
- 重み: 重みを指定します。この例では、0が指定されています。
Office3、Office4、VPNgateway2、およびVPC2のルートテーブルを次の図に示します。

手順3: VPC1とVPC2を同じCENインスタンスにアタッチする

オフィスをVPCに接続した後、VPC1とVPC2を同じCENインスタンスにアタッチする必要があります。

説明この例では、以前のバージョンのCENコンソールが使用されています。詳細については、「以前のコンソールバージョンの使用状況に関する注意事項」をご参照ください。

CEN コンソールにログインします。
[インスタンス] ページで、管理するCENインスタンスを見つけ、そのIDをクリックします。
[ネットワーク] タブをクリックし、[ネットワークの接続] をクリックします。
[当アカウント] タブをクリックします。
次のパラメーターを設定し、[OK] をクリックします。
- ネットワークタイプ：VPC を選択します。
- リージョン：米国 (シリコンバレー)を選択します。
- ネットワーク: VPC1を選択します。
上記の操作を繰り返して、VPC2を同じCENインスタンスにアタッチします。

ステップ4: CENインスタンスへのルートの広告

CENインスタンスにアタッチされている他のVPCがオフィスを指すルートを学習できるようにするには、米国 (シリコンバレー) および中国 (上海) リージョンのVPCのルートをCENインスタンスにアドバタイズする必要があります。詳細については、「CENへのルートの広告」をご参照ください。

次の図は、ルートがアドバタイズされた後のCENルートテーブルを示しています。

ステップ5: ゲートウェイデバイスでルートを設定する

ルートがCENインスタンスにアドバタイズされた後、Office1およびOffice2のゲートウェイデバイスでOffice3およびOffice4を指すルートを設定する必要があります。また、Office3およびOffice4のゲートウェイデバイスでOffice1およびOffice2を指すルートを設定する必要があります。

次の表の設定は参照専用です。構成は、ゲートウェイ装置の製造業者に基づいて変わり得る。


オフィス	ルート
Office1	`ipルート192.168.0.0/16 5.5.XX.XX ipルート10.20.10.0/24 5.5.XX.XX ipルート10.20.20.0/24 5.5.XX.XX ip route 10.10.20.0/24 5.5.XX.XX #5.5.XX.XXは、VPNgateway1のパブリックIPアドレスです。`
Office2	`ipルート192.168.0.0/16 5.5.XX.XX ipルート10.20.10.0/24 5.5.XX.XX ipルート10.20.20.0/24 5.5.XX.XX ip route 10.10.10.0/24 5.5.XX.XX #5.5.XX.XXは、VPNgateway1のパブリックIPアドレスです。`
Office3	`ipルート172.16.0.0/16 6.6.XX.XX ipルート10.10.10.0/24 6.6.XX.XX ipルート10.10.20.0/24 6.6.XX.XX ip route 10.20.20.0/24 6.6.XX.XX #6.6.XX.XXは、VPNgateway2のパブリックIPアドレスです。`
Office4	`ipルート172.16.0.0/16 6.6.XX.XX ipルート10.10.10.0/24 6.6.XX.XX ipルート10.10.20.0/24 6.6.XX.XX ip route 10.20.10.0/24 6.6.XX.XX #6.6.XX.XXは、VPNgateway2のパブリックIPアドレスです。`

オフィスのルート表を次の図に示します。オフィスのルートテーブル

ステップ6: 接続をテストする

この例では、Office1のクライアントを使用して、Office2、Office3、およびOffice4のクライアントにアクセスし、接続をテストします。

Office1のクライアントでCLIを開きます。
pingコマンドを実行して、Office2、Office3、およびOffice4のクライアントにpingを実行します。エコー応答パケットが返された場合、接続が確立されたことを示します。