すべてのプロダクト
Search
ドキュメントセンター

VPN Gateway:IPsec-VPNとCENを使用して高品質のグローバルネットワークを構築する

最終更新日:Dec 23, 2024

このトピックでは、VPN Gatewayに関連付けられたCloud Enterprise Network (CEN) およびIPsec-VPN接続を使用して、複数のリージョンのデータセンターを世界中の仮想プライベートクラウド (VPC) に接続する方法について説明します。

シナリオ

説明
  • Alibaba CloudアカウントにパブリックVPNゲートウェイがない場合は、IPsec-VPN接続を使用して世界中のネットワーク間の通信を可能にすることを推奨します。

  • Alibaba CloudアカウントにすでにパブリックVPNゲートウェイがある場合は、このトピックを参照して、世界中のネットワーク間の通信を有効にします。

世界中に複数のデータセンターとVPCがあるとします。 VPN Gatewayに関連付けられたIPsec-VPN接続を介してデータセンターをVPCに接続すると、VPCはVPN Gatewayに関連付けられたVPCとのみ通信できます。 デフォルトでは、異なるリージョンのVPCとデータセンターは相互に通信できません。 次の図は、異なるネットワーク間のネットワーク接続を示しています。

image
  • VPC1はVPC2と通信できません。

  • データセンター1はVPC1と通信できます。 データセンター1とデータセンター2は、同じVPNゲートウェイとのIPsec-VPN接続を確立した後、互いに通信できます。 データセンター1は、データセンター3、データセンター4、またはVPC2と通信できません。

  • データセンター2はVPC1と通信できます。 データセンター1とデータセンター2は、同じVPNゲートウェイとのIPsec-VPN接続を確立した後、互いに通信できます。 データセンター2は、データセンター3、データセンター4、またはVPC2と通信できません。

  • データセンター3はVPC2と通信できます。 データセンター3とデータセンター4は、同じVPNゲートウェイとのIPsec-VPN接続を確立した後、互いに通信できます。 データセンター3は、データセンター1、データセンター2、またはVPC1と通信できません。

  • データセンター4はVPC2と通信できます。 データセンター3とデータセンター4は、同じVPNゲートウェイとのIPsec-VPN接続を確立した後、互いに通信できます。 データセンター4は、データセンター1、データセンター2、またはVPC1と通信できません。

世界中のネットワーク間で通信を有効にする場合は、IPsec-VPN接続とCENを併用できます。 CENを使用して、VPC間で高品質で低レイテンシの接続を確立し、自動ルート広告と学習をサポートできます。 これにより、クロスリージョンVPC通信が可能になり、ルート設定が簡素化されます。 世界中のデータセンターは、VPCとCENを使用して相互に通信することもできます。

image
重要

データセンターとVPNゲートウェイ間にIPsec-VPN接続を確立するときは、静的ルーティングの使用を推奨します。

背景情報

次の図は、VPN GatewayとCENに関連付けられたIPsec-VPN接続を使用して、世界中のネットワーク間の通信を可能にする方法を示しています。 上海に2つのデータセンターがあり、シリコンバレーに2つのデータセンターがあるとします。 VPC1は中国 (上海) で作成され、VPC2は米国 (シリコンバレー) で作成されます。 Elastic Compute Service (ECS) インスタンスは、VPC1およびVPC2にデプロイされています。 ビジネス開発により、Data Center 1、Data Center 2、Data Center 3、Data Center 4、VPC1、およびVPC2間の通信を有効にしたいと考えています。 データセンター1とデータセンター2は上海にあり、データセンター3とデータセンター4はシリコンバレーにあります。

image

サブネット

重要

CIDRブロックが互いに重ならないようにしてください。

VPCサブネット

[VPC]

リージョン

VPC CIDRブロック

ECSインスタンスのIPアドレス

VPC1

中国 (上海)

  • VPC: 192.168.0.0/16

  • vSwitch1: 192.168.99.0/24、ゾーンE

  • vSwitch2: 192.168.100.0/24、ゾーンF

ECS1 IPアドレス: 192.168.99.48

VPC2

米国 (シリコンバレー)

  • VPC: 10.0.0.0/16

  • vSwitch1: 10.0.10.0/24、ゾーンF

  • vSwitch 2: ゾーンBの10.0.20.0/24。

ECS2 IPアドレス: 10.0.10.33

データセンターのサブネット

データセンター

リージョン

VPCと通信するCIDRブロック

オンプレミスゲートウェイのIPアドレス

他のネットワークと通信するクライアントIPアドレス

データセンター1

中国 (上海)

172.16.10.0/24

  • オンプレミスゲートウェイのパブリックIPアドレス1: 47.XX. XX.23

  • オンプレミスゲートウェイのパブリックIPアドレス2 1: 47.XX. XX.32

172.16.10.207

データセンター2

中国 (上海)

172.16.40.0/24

  • オンプレミスゲートウェイのパブリックIPアドレス1 2: 47.XX. XX.69

  • オンプレミスゲートウェイ2のパブリックIPアドレス2: 47.XX. XX.71

172.16.40.60

データセンター3

米国 (シリコンバレー)

10.10.10.0/24

  • オンプレミスゲートウェイのパブリックIPアドレス1 3: 57.XX. XX.11

  • オンプレミスゲートウェイのパブリックIPアドレス2 3: 57.XX. XX.191

10.10.10.201

データセンター4

米国 (シリコンバレー)

10.30.66.0/24

  • オンプレミスゲートウェイのパブリックIPアドレス1 4: 57.XX. XX.22

  • オンプレミスゲートウェイのパブリックIPアドレス2 4: 57.XX. XX.234

10.30.66.11

準備

  • VPC1は中国 (上海) で作成され、VPC2は米国 (シリコンバレー) で作成され、ECSインスタンスは両方のVPCにデプロイされます。 詳細については、「」をご参照ください。IPv4 CIDRブロックを持つVPCの作成.

  • 中国 (上海) と米国 (シリコンバレー) のそれぞれにパブリックVPNゲートウェイが作成され、VPNゲートウェイごとにIPsec-VPNが有効になっています。 詳細については、「IPsec-VPNの有効化」をご参照ください。

    説明

    この例では、デュアルトンネルモードをサポートするVPNゲートウェイが使用されています。 VPNゲートウェイがシングルトンネルIPsec-VPN接続のみをサポートしている場合は、VPNゲートウェイをアップグレードしてデュアルトンネルモードを有効にすることを推奨します。 デュアルトンネルモードは、クロスゾーンディザスタリカバリをサポートします。 詳細については、「VPN gatewayのアップグレードによるデュアルトンネルモードの有効化」をご参照ください。

    次の表に、関連付けられたVPCと割り当てられたIPアドレスを含む、VPNゲートウェイに関する情報を示します。 IPアドレスは、IPsec − VPN接続を確立するために使用される。

    VPNゲートウェイ名

    リージョン

    ゲートウェイタイプ

    ネットワークタイプ

    トンネルモード

    関連VPC

    VPNゲートウェイIPアドレス

    VPN Gateway 1

    中国 (上海)

    標準

    パブリック

    デュアルトンネル

    VPC1

    • IPsecのIPアドレス-VPN接続1: 47.XX. XX.87

    • IPsec-VPN接続2のIPアドレス: 47.XX. XX.78

    VPN Gateway 2

    米国 (シリコンバレー)

    標準

    パブリック

    デュアルトンネル

    VPC2

    • IPsec-VPN接続のIPアドレス1: 47.XX. XX.207

    • IPsec-VPN接続2のIPアドレス: 47.XX. XX.15

手順

手順1: カスタマーゲートウェイの作成

オンプレミスのゲートウェイデバイスのパブリックIPアドレスをAlibaba Cloudに登録するには、カスタマーゲートウェイを作成する必要があります。 データセンターは、登録されたパブリックIPアドレスのみを使用して、Alibaba CloudへのIPsec-VPN接続を確立できます。

  1. にログインします。VPN Gatewayコンソール.

  2. 左側のナビゲーションウィンドウで、相互接続 > VPN > カスタマーゲートウェイ.

  3. 上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。

    説明

    接続するカスタマーゲートウェイとVPNゲートウェイは、同じリージョンにデプロイする必要があります。

  4. On theカスタマーゲートウェイページをクリックします。カスタマーゲートウェイの作成.

  5. では、カスタマーゲートウェイの作成パネル、次のパラメータを設定し、OK.

    8つのカスタマーゲートウェイを作成し、4つのオンプレミスゲートウェイの8つのパブリックIPアドレスをAlibaba Cloudに登録する必要があります。 次の表に、主要なパラメーターのみを示します。 他のパラメーターにはデフォルト値を使用します。 詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。

    カスタマーゲートウェイ地域

    カスタマーゲートウェイ名

    カスタマーゲートウェイのIPアドレス

    中国 (上海)

    カスタマーゲートウェイ1

    この例では、パブリックIPアドレス1 47.XX. XX.23がオンプレミスゲートウェイ1に使用されます。

    カスタマーゲートウェイ2

    この例では、パブリックIPアドレス2 47.XX. XX.32がオンプレミスゲートウェイ1に使用されます。

    カスタマーゲートウェイ3

    この例では、パブリックIPアドレス1 47.XX. XX.69がオンプレミスゲートウェイ2に使用されます。

    カスタマーゲートウェイ4

    この例では、パブリックIPアドレス2 47.XX. XX.71がオンプレミスゲートウェイ2に使用されます。

    米国 (シリコンバレー)

    カスタマーゲートウェイ5

    この例では、パブリックIPアドレス1 57.XX. XX.11がオンプレミスゲートウェイ3に使用されます。

    カスタマーゲートウェイ6

    この例では、パブリックIPアドレス2 47.XX. XX.191がオンプレミスゲートウェイ3に使用されます。

    カスタマーゲートウェイ7

    この例では、パブリックIPアドレス1 57.XX. XX.22がオンプレミスゲートウェイ4に使用されます。

    カスタマーゲートウェイ8

    この例では、パブリックIPアドレス2 47.XX. XX.234がオンプレミスゲートウェイ4に使用されます。

手順2: IPsec-VPN接続の作成

各VPNゲートウェイで2つのIPsec-VPN接続を作成する必要があります。 IPsec-VPN接続を作成するときは、トンネル暗号化アルゴリズムとピアデータセンターを指定する必要があります。 各IPsec-VPN接続は1つのデータセンターに対応します。

  1. 左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.

  2. 上部のナビゲーションバーで、IPsec-VPN接続が存在するリージョンを選択します。

  3. On theIPsec 接続ページをクリックします。VPN 接続の作成.

  4. On theVPN 接続の作成ページで、以下のパラメーターを設定し、OK.

    次の表に、主要なパラメーターのみを示します。 他のパラメーターにはデフォルト値を使用します。 詳細については、「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。

    パラメーター

    IPsec-VPN接続1

    IPsec-VPN接続2

    IPsec-VPN接続3

    IPsec-VPN接続4

    名前

    この例では、IPsec1が使用されます。

    この例では、IPsec2が使用される。

    この例では、IPsec3が使用されます。

    この例では、IPsec4が使用されます。

    リソースの関連付け

    VPN Gateway を選択します。

    VPNゲートウェイ

    [VPN Gateway 1] を選択します。

    [VPN Gateway 1] を選択します。

    [VPN Gateway 2] を選択します。

    [VPN Gateway 2] を選択します。

    ルーティングモード

    複数のCIDRブロックが互いに通信する必要があるため、宛先ルーティングモードが選択されています。

    今すぐ有効化有効

    この例では、デフォルト値 はい が選択されています。 IPsecネゴシエーションは、IPsec-VPN接続が作成された直後に開始されます。

    トンネル1

    カスタマーゲートウェイ

    [カスタマーゲートウェイ1] を選択します。

    [カスタマーゲートウェイ3] を選択します。

    [カスタマーゲートウェイ5] を選択します。

    [カスタマーゲートウェイ7] を選択します。

    事前共有鍵

    重要

    IPsec-VPN接続とピアゲートウェイデバイスは、同じ事前共有キーを使用する必要があります。 そうしないと、システムはIPsec-VPN接続を確立できません。

    この例では、fddsFF111 **** が使用されます。

    この例では、fddsFF333 **** が使用されています。

    この例では、fddsFF555 **** が使用されています。

    この例では、fddsFF777 **** が使用されます。

    暗号化設定

    次のパラメーターを除いて、パラメーターのデフォルト値を使用します。

    • IKE設定セクションのDHグループパラメーターをgroup14に設定します。

    • IPsec設定セクションのDHグループパラメーターをgroup14に設定します。

    説明

    IPsec接続の暗号化設定がオンプレミスゲートウェイデバイスの暗号化設定と同じになるように、オンプレミスゲートウェイデバイスに基づいて暗号化パラメーターを選択する必要があります。

    トンネル2

    カスタマーゲートウェイ

    [カスタマーゲートウェイ2] を選択します。

    [カスタマーゲートウェイ4] を選択します。

    [カスタマーゲートウェイ6] を選択します。

    [カスタマーゲートウェイ8] を選択します。

    事前共有鍵

    この例では、fddsFF222 **** が使用されています。

    この例では、fddsFF444 **** が使用されます。

    この例では、fddsFF666 **** が使用されています。

    この例では、fddsFF888 **** が使用されます。

    暗号化設定

    次のパラメーターを除いて、パラメーターのデフォルト値を使用します。

    • IKE設定セクションのDHグループパラメーターをgroup14に設定します。

    • IPsec設定セクションのDHグループパラメーターをgroup14に設定します。

    説明

    IPsec接続の暗号化設定がオンプレミスゲートウェイデバイスの暗号化設定と同じになるように、オンプレミスゲートウェイデバイスに基づいて暗号化パラメーターを選択する必要があります。

  5. では、作成済みメッセージ, クリックOK.

  6. [IPsec接続] ページで、作成したIPsec-VPN接続を見つけ、[操作] 列の [ピア構成の生成] をクリックします。

    IPsecピアの設定は、IPsec-VPN接続を作成するときに追加する必要があるVPN設定を参照します。 この例では、データセンターのゲートウェイデバイスにVPN設定を追加する必要があります。

  7. [IPsec接続の設定] ダイアログボックスで、設定をコピーしてオンプレミスのコンピューターに保存します。 設定は、データセンターのゲートウェイデバイスを設定するときに必要です。

    次の表に、VPC、VPNゲートウェイ、IPsec-VPN接続、データセンター、およびカスタマーゲートウェイ間の関係を示します。

    [VPC]

    VPNゲートウェイ

    IPsec-VPN接続

    トンネル

    トンネルに関連付けられたカスタマーゲートウェイ

    ピアデータセンター

    VPC1

    VPN Gateway 1

    IPsec-VPN 接続 1

    アクティブトンネル

    カスタマーゲートウェイ1

    データセンター1

    スタンバイトンネル

    カスタマーゲートウェイ2

    IPsec-VPN接続2

    アクティブトンネル

    カスタマーゲートウェイ3

    データセンター2

    スタンバイトンネル

    カスタマーゲートウェイ4

    VPC2

    VPN Gateway 2

    IPsec-VPN接続3

    アクティブトンネル

    カスタマーゲートウェイ5

    データセンター3

    スタンバイトンネル

    カスタマーゲートウェイ6

    IPsec-VPN接続4

    アクティブトンネル

    カスタマーゲートウェイ7

    データセンター4

    スタンバイトンネル

    カスタマーゲートウェイ8

手順3: VPNゲートウェイのルートの設定

IPsec-VPN接続を作成した後、VPNゲートウェイ上のデータセンターを指すルートを追加する必要があります。 この例では、宛先ルーティングモードが選択されています。 詳細については、「VPN gatewayのルートの設定」をご参照ください。

  1. 左側のナビゲーションウィンドウで、相互接続 > VPN > VPN Gateway.

  2. 上部のナビゲーションバーで、VPN gatewayが存在するリージョンを選択します。

  3. On theVPN Gatewayページで、管理するVPN gatewayのIDをクリックします。

  4. On the宛先ベースルーティングタブをクリックします。ルートエントリの追加.

  5. では、ルートエントリの追加パネル、次のパラメータを設定し、OK.

    VPN Gateway 1では、データセンター1とデータセンター2を指すルートを追加します。 VPN Gateway 2では、データセンター3とデータセンター4を指すルートを追加します。

    パラメーター

    VPNゲートウェイ1

    VPNゲートウェイ2

    宛先CIDRブロック

    Data Center 1のCIDRブロック172.16.10.0/24を入力します。

    Data Center 2のCIDRブロック172.16.40.0/24を入力します。

    Data Center 3のCIDRブロック10.10.0.0/16を入力します。

    Data Center 4のCIDRブロック10.30.0.0/16を入力します。

    ネクストホップタイプ

    この例では、IPsec接続が選択されています。

    この例では、IPsec接続が選択されています。

    この例では、IPsec接続が選択されています。

    [IPsec-VPN接続] を選択します。

    次ホップ

    IPsec-VPN接続1を選択します。

    IPsec-VPN接続2を選択します。

    IPsec-VPN接続3を選択します。

    IPsec-VPN接続4を選択します。

    VPCへの広告

    デフォルト値 [はい] を使用します。

    宛先ベースのルートが追加されると、データセンター1とデータセンター2のルートがVPC1のシステムルートテーブルに自動的にアドバタイズされます。

    デフォルト値 [はい] を使用します。

    宛先ベースのルートが追加された後、データセンター3とデータセンター4のルートは、VPC2のシステムルートテーブルに自動的にアドバタイズされます。

手順4: オンプレミスゲートウェイの設定

上記の手順を完了したら、データセンターのゲートウェイデバイスにVPNとルーティングの設定を追加して、ゲートウェイデバイスがIPsec-VPN接続に接続できるようにする必要があります。 その後、ネットワークトラフィックはデフォルトでアクティブトンネルから他のネットワークに送信されます。 アクティブなトンネルがダウンしている場合、スタンバイトンネルが自動的に引き継ぎます。

説明

この例では、ソフトウェア適応型セキュリティアプライアンス (ASA) 9.19.1を使用して、Ciscoファイアウォールを設定する方法を説明します。 コマンドはソフトウェアのバージョンによって異なります。 運用中は、実際の環境に基づいてドキュメントまたはベンダーを参照してください。 詳細については、「ローカルゲートウェイの設定」をご参照ください。

次のコンテンツには、サードパーティの製品情報が含まれています。 Alibaba Cloudは、サードパーティ製品のパフォーマンスと信頼性、またはこれらの製品を使用して実行される運用の潜在的な影響について、保証またはその他の形態のコミットメントを行いません。

オンプレミスGatewayデバイス1の設定

  1. CiscoファイアウォールのCLIにログインし、設定モードを入力します。

    ciscoasa> enable
    Password: ********             # Enter the password for entering the enable mode. 
    ciscoasa# configure terminal   # Enter the configuration mode. 
    ciscoasa(config)#     
  2. インターネットアクセスのインターフェイス設定とルート設定を表示します。

    インターフェイスが設定され、Ciscoファイアウォールで有効になっていることを確認します。 この例では、次のインターフェイス設定が使用されます。

    ciscoasa(config)# show running-config interface 
    !
    interface GigabitEthernet0/0
     nameif outside1                            # The name of the GigabitEthernet 0/0 interface. 
     security-level 0
     ip address 47.XX.XX.23 255.255.255.255    # The public IP address of the GigabitEthernet 0/0 interface. 
    !
    interface GigabitEthernet0/1                # The interface that connects to the data center. 
     nameif private                             # The name of the GigabitEthernet 0/1 interface. 
     security-level 100                         # The security level of the private interface that connects to the data center, which is lower than that of a public interface. 
     ip address 172.16.10.217 255.255.255.0    # The IP address of the GigabitEthernet 0/1 interface. 
    !
    interface GigabitEthernet0/2                
     nameif outside2                            # The name of the GigabitEthernet 0/2 interface. 
     security-level 0
     ip address 47.XX.XX.32 255.255.255.255    # The public IP address of the GigabitEthernet 0/2 interface. 
    !
    
    route outside1 47.XX.XX.87 255.255.255.255 192.XX.XX.172 # The route for accessing the public IP address of Tunnel 1 on Alibaba Cloud. The next hop is a public IP address. 
    route outside2 47.XX.XX.78 255.255.255.255 192.XX.XX.158  # The route for accessing the public IP address of Tunnel 2 on Alibaba Cloud. The next hop is a public IP address. 
    route private 172.16.10.0 255.255.255.0 172.16.10.216          # The route that points to the data center.

  3. パブリックインターフェイスのIKEv2機能を有効にします。

    crypto ikev2 enable outside1
    crypto ikev2 enable outside2
  4. IKEv2ポリシーを作成し、CiscoファイアウォールのIKEフェーズで認証アルゴリズム、暗号化アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloudの値と同じである必要があります。

    重要

    Alibaba CloudでIPsec-VPN接続を設定する場合、IKEフェーズで暗号化アルゴリズム認証アルゴリズム、およびDHグループに指定できる値は1つだけです。 CiscoファイアウォールのIKEフェーズでは、暗号化アルゴリズム、認証アルゴリズム、およびDHグループに1つの値のみを指定することを推奨します。 値はAlibaba Cloudの値と同じである必要があります。

    crypto ikev2 policy 10     
     encryption aes             # Specify the encryption algorithm. 
     integrity sha              # Specify the authentication algorithm. 
     group 14                   # Specify the DH group. 
     prf sha                    # The value of the prf parameter must be the same as that of the integrity parameter. By default, these values are the same on Alibaba Cloud. 
     lifetime seconds 86400     # Specify the SA lifetime.

  5. IPsecの提案とプロファイルを作成し、CiscoファイアウォールのIPsecフェーズで暗号化アルゴリズム、認証アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloudの値と同じである必要があります。

    重要

    Alibaba CloudでIPsec-VPN接続を設定する場合、IPsecフェーズで暗号化アルゴリズム認証アルゴリズム、およびDHグループに指定できる値は1つだけです。 CiscoファイアウォールのIPsecフェーズでは、暗号化アルゴリズム、認証アルゴリズム、およびDHグループに1つの値のみを指定することを推奨します。 値はAlibaba Cloudの値と同じである必要があります。

    crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Create an IPsec proposal. 
     protocol esp encryption aes                         # Specify the encryption algorithm. The Encapsulating Security Payload (ESP) protocol is used on Alibaba Cloud. Therefore, use the ESP protocol. 
     protocol esp integrity sha-1                        # Specify the authentication algorithm. The ESP protocol is used on Alibaba Cloud. Therefore, use the ESP protocol. 
    crypto ipsec profile ALIYUN-PROFILE                  
     set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Create an IPsec profile and apply the proposal that is created.  
     set ikev2 local-identity address                    # Set the format of the local ID to IP address, which is the same as the format of the remote ID on Alibaba Cloud. 
     set pfs group14                                     # Specify the Perfect Forward Secrecy (PFS) and DH group. 
     set security-association lifetime seconds 86400     # Specify the time-based SA lifetime. 
     set security-association lifetime kilobytes unlimited # Disable the traffic-based SA lifetime.

  6. トンネルグループを作成し、トンネルの事前共有キーを指定します。これはAlibaba Cloud側と同じである必要があります。

    tunnel-group 47.XX.XX.87 type ipsec-l2l                   # Specify the encapsulation mode l2l for Tunnel 1. 
    tunnel-group 47.XX.XX.87 ipsec-attributes             
     ikev2 remote-authentication pre-shared-key fddsFF111****  # Specify the peer pre-shared key for Tunnel 1, which is the pre-shared key on the Alibaba Cloud side. 
     ikev2 local-authentication pre-shared-key fddsFF111**** # Specify the local pre-shared key for Tunnel 1, which must be the same as that on Alibaba Cloud. 
    !
    tunnel-group 47.XX.XX.78 type ipsec-l2l                  # Specify the encapsulation mode l2l for Tunnel 2. 
    tunnel-group 47.XX.XX.78 ipsec-attributes
     ikev2 remote-authentication pre-shared-key fddsFF222****  # Specify the peer pre-shared key for Tunnel 2, which is the pre-shared key on the Alibaba Cloud side. 
     ikev2 local-authentication pre-shared-key fddsFF222****   # Specify the local pre-shared key for Tunnel 2, which must be the same as that on Alibaba Cloud. 
    !
  7. トンネルインターフェイスを作成します。

    interface Tunnel1                                  # Create an interface for Tunnel 1. 
     nameif ALIYUN1
     ip address 169.254.10.2 255.255.255.252           # Specify the IP address of the interface. 
     tunnel source interface outside1                  # Specify the IP address of the GigabitEthernet 0/0 interface as the source address of Tunnel 1. 
     tunnel destination 47.XX.XX.87                   # Specify the public IP address of Tunnel 1 on Alibaba Cloud as the destination address of Tunnel 1. 
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile ALIYUN-PROFILE    # Apply the IPsec profile ALIYUN-PROFILE on Tunnel 1. 
     no shutdown                                       # Enable the interface for Tunnel 1. 
    !
    interface Tunnel2                                  # Create an interface for Tunnel 2. 
     nameif ALIYUN2                
     ip address 169.254.20.2 255.255.255.252           # Specify the IP address of the interface. 
     tunnel source interface outside2                  # Specify the IP address of the GigabitEthernet 0/2 interface as the source address of Tunnel 2. 
     tunnel destination 47.XX.XX.78                   # Specify the public IP address of Tunnel 2 on Alibaba Cloud as the destination address of Tunnel 2. 
     tunnel mode ipsec ipv4                            
     tunnel protection ipsec profile ALIYUN-PROFILE # Apply the IPsec profile ALIYUN-PROFILE on Tunnel 2. 
     no shutdown                                       # Enable the interface for Tunnel 2. 
    !
  8. 他のネットワークを指す静的ルートを設定します。

    Specify that traffic from Data Center 1 is preferentially forwarded through the interface of Tunnel 1. This route has a high priority. 
    route ALIYUN1 172.16.40.0 255.255.255.0 47.XX.XX.87 4  #The route that points to Data Center 2. 
    route ALIYUN1 10.30.0.0 255.255.0.0 47.XX.XX.87 4      #The route that points to Data Center 4. 
    route ALIYUN1 10.10.0.0 255.255.0.0 47.XX.XX.87 4      #The route that points to Data Center 3. 
    route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.87 4       #The route that points to VPC2. 
    route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.87 4 The route that points to VPC1. 
    
    Specify that traffic from Data Center 1 is preferentially forwarded through the interface of Tunnel 2. The priority of this route is lower than that of the route that points to Tunnel 1. 
    route ALIYUN2 172.16.40.0 255.255.255.0 47.XX.XX.78 5   
    route ALIYUN2 10.30.0.0 255.255.0.0 47.XX.XX.78 5       
    route ALIYUN2 10.10.0.0 255.255.0.0 47.XX.XX.78 5       
    route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.78 5        
    route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.78 5  
  9. Data Center 1のクライアントがCiscoファイアウォールを介して他のネットワークにアクセスできるように、Data Center 1のルートを設定します。

オンプレミスGateway 2の設定

  1. CiscoファイアウォールのCLIにログインし、設定モードを入力します。

    ciscoasa> enable
    Password: ********             # Enter the password for entering the enable mode. 
    ciscoasa# configure terminal   # Enter the configuration mode. 
    ciscoasa(config)#     
  2. インターネットアクセスのインターフェイス設定とルート設定を表示します。

    インターフェイスが設定され、Ciscoファイアウォールで有効になっていることを確認します。 この例では、次のインターフェイス設定が使用されます。

    ciscoasa(config)# show running-config interface 
    !
    interface GigabitEthernet0/0
     nameif outside1                            # The name of the GigabitEthernet 0/0 interface. 
     security-level 0
     ip address 47.XX.XX.69 255.255.255.255    # The public IP address of the GigabitEthernet 0/0 interface. 
    !
    interface GigabitEthernet0/1                # The interface that connects to the data center. 
     nameif private                             # The name of the GigabitEthernet 0/1 interface. 
     security-level 100                         # The security level of the private interface that connects to the data center, which is lower than that of a public interface. 
     ip address 172.16.40.217 255.255.255.0    # The IP address of the GigabitEthernet 0/1 interface. 
    !
    interface GigabitEthernet0/2                
     nameif outside2                            # The name of the GigabitEthernet 0/2 interface. 
     security-level 0
     ip address 47.XX.XX.71 255.255.255.255    # The public IP address of the GigabitEthernet 0/2 interface. 
    !
    
    route outside1 47.XX.XX.87 255.255.255.255 192.XX.XX.172 # The route for accessing the public IP address of Tunnel 1 on Alibaba Cloud. The next hop is a public IP address. 
    route outside2 47.XX.XX.78 255.255.255.255 192.XX.XX.158  # The route for accessing the public IP address of Tunnel 2 on Alibaba Cloud. The next hop is a public IP address. 
    route private 172.16.40.0 255.255.255.0 172.16.40.216           # The route that points to the data center.

  3. パブリックインターフェイスのIKEv2機能を有効にします。

    crypto ikev2 enable outside1
    crypto ikev2 enable outside2
  4. IKEv2ポリシーを作成し、CiscoファイアウォールのIKEフェーズで認証アルゴリズム、暗号化アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloudの値と同じである必要があります。

    重要

    Alibaba CloudでIPsec-VPN接続を設定する場合、IKEフェーズで暗号化アルゴリズム認証アルゴリズム、およびDHグループに指定できる値は1つだけです。 CiscoファイアウォールのIKEフェーズでは、暗号化アルゴリズム、認証アルゴリズム、およびDHグループに1つの値のみを指定することを推奨します。 値はAlibaba Cloudの値と同じである必要があります。

    crypto ikev2 policy 10     
     encryption aes             # Specify the encryption algorithm. 
     integrity sha              # Specify the authentication algorithm. 
     group 14                   # Specify the DH group. 
     prf sha                    # The value of the prf parameter must be the same as that of the integrity parameter. By default, these values are the same on Alibaba Cloud. 
     lifetime seconds 86400     # Specify the SA lifetime.

  5. IPsecの提案とプロファイルを作成し、CiscoファイアウォールのIPsecフェーズで暗号化アルゴリズム、認証アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloudの値と同じである必要があります。

    重要

    Alibaba CloudでIPsec-VPN接続を設定する場合、IPsecフェーズで暗号化アルゴリズム認証アルゴリズム、およびDHグループに指定できる値は1つだけです。 CiscoファイアウォールのIPsecフェーズでは、暗号化アルゴリズム、認証アルゴリズム、およびDHグループに1つの値のみを指定することを推奨します。 値はAlibaba Cloudの値と同じである必要があります。

    crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Create an IPsec proposal. 
     protocol esp encryption aes                         # Specify the encryption algorithm. The Encapsulating Security Payload (ESP) protocol is used on Alibaba Cloud. Therefore, use the ESP protocol. 
     protocol esp integrity sha-1                        # Specify the authentication algorithm. The ESP protocol is used on Alibaba Cloud. Therefore, use the ESP protocol. 
    crypto ipsec profile ALIYUN-PROFILE                  
     set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Create an IPsec profile and apply the proposal that is created.  
     set ikev2 local-identity address                    # Set the format of the local ID to IP address, which is the same as the format of the remote ID on Alibaba Cloud. 
     set pfs group14                                     # Specify the Perfect Forward Secrecy (PFS) and DH group. 
     set security-association lifetime seconds 86400     # Specify the time-based SA lifetime. 
     set security-association lifetime kilobytes unlimited # Disable the traffic-based SA lifetime.

  6. トンネルグループを作成し、トンネルの事前共有キーを指定します。これはAlibaba Cloud側と同じである必要があります。

    tunnel-group 47.XX.XX.87 type ipsec-l2l                   # Specify the encapsulation mode l2l for Tunnel 1. 
    tunnel-group 47.XX.XX.87 ipsec-attributes             
     ikev2 remote-authentication pre-shared-key fddsFF333****  # Specify the peer pre-shared key for Tunnel 1, which is the pre-shared key on the Alibaba Cloud side. 
     ikev2 local-authentication pre-shared-key fddsFF333**** # Specify the local pre-shared key for Tunnel 1, which must be the same as that on Alibaba Cloud. 
    !
    tunnel-group 47.XX.XX.78 type ipsec-l2l                  # Specify the encapsulation mode l2l for Tunnel 2. 
    tunnel-group 47.XX.XX.78 ipsec-attributes
     ikev2 remote-authentication pre-shared-key fddsFF444****  # Specify the peer pre-shared key for Tunnel 2, which is the pre-shared key on the Alibaba Cloud side. 
     ikev2 local-authentication pre-shared-key fddsFF444****   # Specify the local pre-shared key for Tunnel 2, which must be the same as that on Alibaba Cloud. 
    !
  7. トンネルインターフェイスを作成します。

    interface Tunnel1                                  # Create an interface for Tunnel 1. 
     nameif ALIYUN1
     ip address 169.254.11.2 255.255.255.252           # Specify the IP address of the interface. 
     tunnel source interface outside1                  # Specify the IP address of the GigabitEthernet 0/0 interface as the source address of Tunnel 1. 
     tunnel destination 47.XX.XX.87                   # Specify the public IP address of Tunnel 1 on Alibaba Cloud as the destination address of Tunnel 1. 
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile ALIYUN-PROFILE    # Apply the IPsec profile ALIYUN-PROFILE on Tunnel 1. 
     no shutdown                                       # Enable the interface for Tunnel 1. 
    !
    interface Tunnel2                                  # Create an interface for Tunnel 2. 
     nameif ALIYUN2                
     ip address 169.254.21.2 255.255.255.252          # Specify the IP address of the interface. 
     tunnel source interface outside2                  # Specify the IP address of the GigabitEthernet 0/2 interface as the source address of Tunnel 2. 
     tunnel destination 47.XX.XX.78                   # Specify the public IP address of Tunnel 2 on Alibaba Cloud as the destination address of Tunnel 2. 
     tunnel mode ipsec ipv4                            
     tunnel protection ipsec profile ALIYUN-PROFILE # Apply the IPsec profile ALIYUN-PROFILE on Tunnel 2. 
     no shutdown                                       # Enable the interface for Tunnel 2. 
    !
  8. 他のネットワークを指す静的ルートを設定します。

    Specify that traffic from Data Center 2 is preferentially forwarded through the interface of Tunnel 1. This route has a high priority. 
    route ALIYUN1 172.16.10.0 255.255.255.0 47.XX.XX.87 4      #The route that points to Data Center 1. 
    route ALIYUN1 10.30.0.0 255.255.0.0 47.XX.XX.87 4      #The route that points to Data Center 4. 
    route ALIYUN1 10.10.0.0 255.255.0.0 47.XX.XX.87 4      #The route that points to Data Center 3. 
    route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.87 4       #The route that points to VPC2. 
    route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.87 4 The route that points to VPC1. 
    
    Specify that traffic from Data Center 2 is preferentially forwarded through the interface of Tunnel 2. The priority of this route is lower than that of the route that points to Tunnel 1. 
    route ALIYUN2 172.16.10.0 255.255.255.0 47.XX.XX.78 5   
    route ALIYUN2 10.30.0.0 255.255.0.0 47.XX.XX.78 5       
    route ALIYUN2 10.10.0.0 255.255.0.0 47.XX.XX.78 5       
    route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.78 5        
    route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.78 5  
  9. Data Center 2のクライアントがCiscoファイアウォールを介して他のネットワークにアクセスできるように、Data Center 2のルートを設定します。

オンプレミスGatewayデバイス3の設定例

  1. CiscoファイアウォールのCLIにログインし、設定モードを入力します。

    ciscoasa> enable
    Password: ********             # Enter the password for entering the enable mode. 
    ciscoasa# configure terminal   # Enter the configuration mode. 
    ciscoasa(config)#     
  2. インターネットアクセスのインターフェイス設定とルート設定を表示します。

    インターフェイスが設定され、Ciscoファイアウォールで有効になっていることを確認します。 この例では、次のインターフェイス設定が使用されます。

    ciscoasa(config)# show running-config interface 
    !
    interface GigabitEthernet0/0
     nameif outside1                            # The name of the GigabitEthernet 0/0 interface. 
     security-level 0
     ip address 57.XX.XX.11 255.255.255.255   # The public IP address of the GigabitEthernet 0/0 interface. 
    !
    interface GigabitEthernet0/1                # The interface that connects to the data center. 
     nameif private                             # The name of the GigabitEthernet 0/1 interface. 
     security-level 100                         # The security level of the private interface that connects to the data center, which is lower than that of a public interface. 
     ip address 10.10.10.217 255.255.255.0    # The IP address of the GigabitEthernet 0/1 interface. 
    !
    interface GigabitEthernet0/2                
     nameif outside2                            # The name of the GigabitEthernet 0/2 interface. 
     security-level 0
     ip address 57.XX.XX.191 255.255.255.255    # The public IP address of the GigabitEthernet 0/2 interface. 
    !
    
    route outside1 47.XX.XX.207 255.255.255.255 192.XX.XX.172 # The route for accessing the public IP address of Tunnel 1 on Alibaba Cloud. The next hop is a public IP address. 
    route outside2 47.XX.XX.15 255.255.255.255 192.XX.XX.158  # The route for accessing the public IP address of Tunnel 2 on Alibaba Cloud. The next hop is a public IP address. 
    route private 10.10.10.0 255.255.255.0 10.10.10.216          # The route that points to the data center.

  3. パブリックインターフェイスのIKEv2機能を有効にします。

    crypto ikev2 enable outside1
    crypto ikev2 enable outside2
  4. IKEv2ポリシーを作成し、CiscoファイアウォールのIKEフェーズで認証アルゴリズム、暗号化アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloudの値と同じである必要があります。

    重要

    Alibaba CloudでIPsec-VPN接続を設定する場合、IKEフェーズで暗号化アルゴリズム認証アルゴリズム、およびDHグループに指定できる値は1つだけです。 CiscoファイアウォールのIKEフェーズでは、暗号化アルゴリズム、認証アルゴリズム、およびDHグループに1つの値のみを指定することを推奨します。 値はAlibaba Cloudの値と同じである必要があります。

    crypto ikev2 policy 10     
     encryption aes             # Specify the encryption algorithm. 
     integrity sha              # Specify the authentication algorithm. 
     group 14                   # Specify the DH group. 
     prf sha                    # The value of the prf parameter must be the same as that of the integrity parameter. By default, these values are the same on Alibaba Cloud. 
     lifetime seconds 86400     # Specify the SA lifetime.

  5. IPsecの提案とプロファイルを作成し、CiscoファイアウォールのIPsecフェーズで暗号化アルゴリズム、認証アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloudの値と同じである必要があります。

    重要

    Alibaba CloudでIPsec-VPN接続を設定する場合、IPsecフェーズで暗号化アルゴリズム認証アルゴリズム、およびDHグループに指定できる値は1つだけです。 CiscoファイアウォールのIPsecフェーズでは、暗号化アルゴリズム、認証アルゴリズム、およびDHグループに1つの値のみを指定することを推奨します。 値はAlibaba Cloudの値と同じである必要があります。

    crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Create an IPsec proposal. 
     protocol esp encryption aes                         # Specify the encryption algorithm. The Encapsulating Security Payload (ESP) protocol is used on Alibaba Cloud. Therefore, use the ESP protocol. 
     protocol esp integrity sha-1                        # Specify the authentication algorithm. The ESP protocol is used on Alibaba Cloud. Therefore, use the ESP protocol. 
    crypto ipsec profile ALIYUN-PROFILE                  
     set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Create an IPsec profile and apply the proposal that is created.  
     set ikev2 local-identity address                    # Set the format of the local ID to IP address, which is the same as the format of the remote ID on Alibaba Cloud. 
     set pfs group14                                     # Specify the Perfect Forward Secrecy (PFS) and DH group. 
     set security-association lifetime seconds 86400     # Specify the time-based SA lifetime. 
     set security-association lifetime kilobytes unlimited # Disable the traffic-based SA lifetime.

  6. トンネルグループを作成し、トンネルの事前共有キーを指定します。これはAlibaba Cloud側と同じである必要があります。

    tunnel-group 47.XX.XX.207 type ipsec-l2l                   # Specify the encapsulation mode l2l for Tunnel 1. 
    tunnel-group 47.XX.XX.207 ipsec-attributes             
     ikev2 remote-authentication pre-shared-key fddsFF555****  # Specify the peer pre-shared key for Tunnel 1, which is the pre-shared key on the Alibaba Cloud side. 
     ikev2 local-authentication pre-shared-key fddsFF555**** # Specify the local pre-shared key for Tunnel 1, which must be the same as that on Alibaba Cloud. 
    !
    tunnel-group 47.XX.XX.15 type ipsec-l2l                  # Specify the encapsulation mode l2l for Tunnel 2. 
    tunnel-group 47.XX.XX.15 ipsec-attributes
     ikev2 remote-authentication pre-shared-key fddsFF666****  # Specify the peer pre-shared key for Tunnel 2, which is the pre-shared key on the Alibaba Cloud side. 
     ikev2 local-authentication pre-shared-key fddsFF666****   # Specify the local pre-shared key for Tunnel 2, which must be the same as that on Alibaba Cloud. 
    !
  7. トンネルインターフェイスを作成します。

    interface Tunnel1                                  # Create an interface for Tunnel 1. 
     nameif ALIYUN1
     ip address 169.254.12.2 255.255.255.252           # Specify the IP address of the interface. 
     tunnel source interface outside1                  # Specify the IP address of the GigabitEthernet 0/0 interface as the source address of Tunnel 1. 
     tunnel destination 47.XX.XX.207                   # Specify the public IP address of Tunnel 1 on Alibaba Cloud as the destination address of Tunnel 1. 
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile ALIYUN-PROFILE    # Apply the IPsec profile ALIYUN-PROFILE on Tunnel 1. 
     no shutdown                                       # Enable the interface for Tunnel 1. 
    !
    interface Tunnel2                                  # Create an interface for Tunnel 2. 
     nameif ALIYUN2                
     ip address 169.254.22.2 255.255.255.252           # Specify the IP address of the interface. 
     tunnel source interface outside2                  # Specify the IP address of the GigabitEthernet 0/2 interface as the source address of Tunnel 2. 
     tunnel destination 47.XX.XX.15                   # Specify the public IP address of Tunnel 2 on Alibaba Cloud as the destination address of Tunnel 2. 
     tunnel mode ipsec ipv4                            
     tunnel protection ipsec profile ALIYUN-PROFILE # Apply the IPsec profile ALIYUN-PROFILE on Tunnel 2. 
     no shutdown                                       # Enable the interface for Tunnel 2. 
    !
  8. 他のネットワークを指す静的ルートを設定します。

    Specify that traffic from Data Center 3 is preferentially forwarded through the interface of Tunnel 1. This route has a high priority. 
    route ALIYUN1 172.16.40.0 255.255.255.0 47.XX.XX.207 4  #The route that points to Data Center 2. 
    route ALIYUN1 10.30.0.0 255.255.0.0 47.XX.XX.207 4      #The route that points to Data Center 4. 
    route ALIYUN1 172.16.10.0 255.255.255.0 47.XX.XX.207 4  #The route that points to Data Center 1. 
    route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.207 4       #The route that points to Data VPC2. 
    route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.207 4 #The route that points to VPC1. 
    
    Specify that traffic from Data Center 3 is preferentially forwarded through the interface of Tunnel 2. The priority of this route is lower than that of the route that points to Tunnel 1. 
    route ALIYUN2 172.16.40.0 255.255.255.0 47.XX.XX.15 5   
    route ALIYUN2 10.30.0.0 255.255.0.0 47.XX.XX.15 5       
    route ALIYUN2 172.16.10.0 255.255.255.0 47.XX.XX.15 5      
    route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.15 5        
    route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.15 5  
  9. Data Center 3のクライアントがCiscoファイアウォールを介して他のネットワークにアクセスできるように、Data Center 3のルートを設定します。

オンプレミスGateway 4の設定

  1. CiscoファイアウォールのCLIにログインし、設定モードを入力します。

    ciscoasa> enable
    Password: ********             # Enter the password for entering the enable mode. 
    ciscoasa# configure terminal   # Enter the configuration mode. 
    ciscoasa(config)#     
  2. インターネットアクセスのインターフェイス設定とルート設定を表示します。

    インターフェイスが設定され、Ciscoファイアウォールで有効になっていることを確認します。 この例では、次のインターフェイス設定が使用されます。

    ciscoasa(config)# show running-config interface 
    !
    interface GigabitEthernet0/0
     nameif outside1                            # The name of the GigabitEthernet 0/0 interface. 
     security-level 0
     ip address 57.XX.XX.22 255.255.255.255    # The public IP address of the GigabitEthernet 0/0 interface. 
    !
    interface GigabitEthernet0/1                # The interface that connects to the data center. 
     nameif private                             # The name of the GigabitEthernet 0/1 interface. 
     security-level 100                         # The security level of the private interface that connects to the data center, which is lower than that of a public interface. 
     ip address 10.30.66.217 255.255.255.0    # The IP address of the GigabitEthernet 0/1 interface. 
    !
    interface GigabitEthernet0/2                
     nameif outside2                            # The name of the GigabitEthernet 0/2 interface. 
     security-level 0
     ip address 57.XX.XX.234 255.255.255.255    # The public IP address of the GigabitEthernet 0/2 interface. 
    !
    
    route outside1 47.XX.XX.207 255.255.255.255 192.XX.XX.172 # The route for accessing the public IP address of Tunnel 1 on Alibaba Cloud. The next hop is a public IP address. 
    route outside2 47.XX.XX.15 255.255.255.255 192.XX.XX.158  # The route for accessing the public IP address of Tunnel 2 on Alibaba Cloud. The next hop is a public IP address. 
    route private 10.30.66.0 255.255.255.0 10.30.66.216          # The route that points to the data center.

  3. パブリックインターフェイスのIKEv2機能を有効にします。

    crypto ikev2 enable outside1
    crypto ikev2 enable outside2
  4. IKEv2ポリシーを作成し、CiscoファイアウォールのIKEフェーズで認証アルゴリズム、暗号化アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloudの値と同じである必要があります。

    重要

    Alibaba CloudでIPsec-VPN接続を設定する場合、IKEフェーズで暗号化アルゴリズム認証アルゴリズム、およびDHグループに指定できる値は1つだけです。 CiscoファイアウォールのIKEフェーズでは、暗号化アルゴリズム、認証アルゴリズム、およびDHグループに1つの値のみを指定することを推奨します。 値はAlibaba Cloudの値と同じである必要があります。

    crypto ikev2 policy 10     
     encryption aes             # Specify the encryption algorithm. 
     integrity sha              # Specify the authentication algorithm. 
     group 14                   # Specify the DH group. 
     prf sha                    # The value of the prf parameter must be the same as that of the integrity parameter. By default, these values are the same on Alibaba Cloud. 
     lifetime seconds 86400     # Specify the SA lifetime.

  5. IPsecの提案とプロファイルを作成し、CiscoファイアウォールのIPsecフェーズで暗号化アルゴリズム、認証アルゴリズム、DHグループ、およびSAの有効期間を指定します。 値はAlibaba Cloudの値と同じである必要があります。

    重要

    Alibaba CloudでIPsec-VPN接続を設定する場合、IPsecフェーズで暗号化アルゴリズム認証アルゴリズム、およびDHグループに指定できる値は1つだけです。 CiscoファイアウォールのIPsecフェーズでは、暗号化アルゴリズム、認証アルゴリズム、およびDHグループに1つの値のみを指定することを推奨します。 値はAlibaba Cloudの値と同じである必要があります。

    crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # Create an IPsec proposal. 
     protocol esp encryption aes                         # Specify the encryption algorithm. The Encapsulating Security Payload (ESP) protocol is used on Alibaba Cloud. Therefore, use the ESP protocol. 
     protocol esp integrity sha-1                        # Specify the authentication algorithm. The ESP protocol is used on Alibaba Cloud. Therefore, use the ESP protocol. 
    crypto ipsec profile ALIYUN-PROFILE                  
     set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # Create an IPsec profile and apply the proposal that is created.  
     set ikev2 local-identity address                    # Set the format of the local ID to IP address, which is the same as the format of the remote ID on Alibaba Cloud. 
     set pfs group14                                     # Specify the Perfect Forward Secrecy (PFS) and DH group. 
     set security-association lifetime seconds 86400     # Specify the time-based SA lifetime. 
     set security-association lifetime kilobytes unlimited # Disable the traffic-based SA lifetime.

  6. トンネルグループを作成し、トンネルの事前共有キーを指定します。これはAlibaba Cloud側と同じである必要があります。

    tunnel-group 47.XX.XX.207 type ipsec-l2l                   # Specify the encapsulation mode l2l for Tunnel 1. 
    tunnel-group 47.XX.XX.207 ipsec-attributes             
     ikev2 remote-authentication pre-shared-key fddsFF777****  # Specify the peer pre-shared key for Tunnel 1, which is the pre-shared key on the Alibaba Cloud side. 
     ikev2 local-authentication pre-shared-key fddsFF777**** # Specify the local pre-shared key for Tunnel 1, which must be the same as that on Alibaba Cloud. 
    !
    tunnel-group 47.XX.XX.15 type ipsec-l2l                  # Specify the encapsulation mode l2l for Tunnel 2. 
    tunnel-group 47.XX.XX.15 ipsec-attributes
     ikev2 remote-authentication pre-shared-key fddsFF888****  # Specify the peer pre-shared key for Tunnel 2, which is the pre-shared key on the Alibaba Cloud side. 
     ikev2 local-authentication pre-shared-key fddsFF888****   # Specify the local pre-shared key for Tunnel 2, which must be the same as that on Alibaba Cloud. 
    !
  7. トンネルインターフェイスを作成します。

    interface Tunnel1                                  # Create an interface for Tunnel 1. 
     nameif ALIYUN1
     ip address 169.254.13.2 255.255.255.252           # Specify the IP address of the interface. 
     tunnel source interface outside1                  # Specify the IP address of the GigabitEthernet 0/0 interface as the source address of Tunnel 1. 
     tunnel destination 47.XX.XX.207                   # Specify the public IP address of Tunnel 1 on Alibaba Cloud as the destination address of Tunnel 1. 
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile ALIYUN-PROFILE    # Apply the IPsec profile ALIYUN-PROFILE on Tunnel 1. 
     no shutdown                                       # Enable the interface for Tunnel 1. 
    !
    interface Tunnel2                                  # Create an interface for Tunnel 2. 
     nameif ALIYUN2                
     ip address 169.254.23.2 255.255.255.252           # Specify the IP address of the interface. 
     tunnel source interface outside2                  # Specify the IP address of the GigabitEthernet 0/2 interface as the source address of Tunnel 2. 
     tunnel destination 47.XX.XX.15                   # Specify the public IP address of Tunnel 2 on Alibaba Cloud as the destination address of Tunnel 2. 
     tunnel mode ipsec ipv4                            
     tunnel protection ipsec profile ALIYUN-PROFILE # Apply the IPsec profile ALIYUN-PROFILE on Tunnel 2. 
     no shutdown                                       # Enable the interface for Tunnel 2. 
    !
  8. 他のネットワークを指す静的ルートを設定します。

    Specify that traffic from Data Center 4 is preferentially forwarded through the interface of Tunnel 1. This route has a high priority. 
    route ALIYUN1 172.16.40.0 255.255.255.0 47.XX.XX.207 4  #The route that points to Data Center 2. 
    route ALIYUN1 10.10.0.0 255.255.0.0 47.XX.XX.207 4      #The route that points to Data Center 3. 
    route ALIYUN1 172.16.10.0 255.255.255.0 47.XX.XX.207 4  #The route that points to Data Center 1. 
    route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.207 4       #The route that points to Data VPC2. 
    route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.207 4 #The route that points to VPC1. 
    
    Specify that traffic from Data Center 4 is preferentially forwarded through the interface of Tunnel 2. The priority of this route is lower than that of the route that points to Tunnel 1. 
    route ALIYUN2 172.16.40.0 255.255.255.0 47.XX.XX.15 5   
    route ALIYUN2 10.10.0.0 255.255.0.0 47.XX.XX.15 5       
    route ALIYUN2 172.16.10.0 255.255.255.0 47.XX.XX.15 5      
    route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.15 5        
    route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.15 5  
  9. Data Center 4のクライアントがCiscoファイアウォールを介して他のネットワークにアクセスできるように、Data Center 4のルートを設定します。

上記の手順を完了すると、Data Center 1、Data Center 2、およびVPC1は相互に通信できます。 データセンター3、データセンター4、およびVPC2は互いに通信できます。 ただし、データセンター1、データセンター2、およびVPC1は、データセンター3、データセンター4、およびVPC2と通信できません。

ステップ5: CENの設定

CENを使用して、データセンター1、データセンター2、VPC1、データセンター3、データセンター4、およびVPC2間の通信を有効にします。

  1. Cloud Enterprise Network (CEN) インスタンスを作成します。 詳細については、「CENインスタンスの作成」をご参照ください。

  2. 中国 (上海) と米国 (シリコンバレー) の各リージョンにトランジットルーターを作成します。 詳細については、「トランジットルーターの作成」をご参照ください。

    トランジットルーターを作成するときは、デフォルト設定を使用します。

  3. VPC接続を作成します。

    VPC1を中国 (上海) のトランジットルーターに関連付け、VPC2を米国 (シリコンバレー) のトランジットルーターに関連付けます。

    1. CENの詳細ページで、[基本情報] > [トランジットルーター] タブをクリックします。 中国 (上海) リージョンのトランジットルーターを見つけて、[操作] 列の [接続の作成] をクリックします。

    2. [ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。

      次の表に、主要なパラメーターのみを示します。 他のパラメーターにはデフォルト値を使用します。 詳細については、「Enterprise Editionトランジットルーターを使用したVPC接続の作成」をご参照ください。

      パラメーター

      VPC1

      VPC2

      [インスタンスタイプ]

      [Virtual Private Cloud (VPC)] を選択します。

      リージョン

      [中国 (上海)] を選択します。

      この例では、US (シリコンバレー) が選択されています。

      リソース所有者ID

      [現在のアカウント] を選択します。

      添付ファイル名

      この例では、VPC1_Connectionが使用されています。

      この例では、VPC2_Connectionが使用されています。

      ネットワークインスタンス

      VPC1を選択します。

      VPC2を選択します。

      vSwitch

      この例では、ゾーンEでvSwitch1が選択され、ゾーンFでvSwitch2が選択されています。

      選択した各vSwitchに少なくとも1つのアイドルIPアドレスがあることを確認します。 VPCにTRがサポートするゾーンにvSwitchがない場合、またはvSwitchにアイドルIPアドレスがない場合は、ゾーンに新しいvSwitchを作成します。 詳細については、「vSwitchの作成と管理」をご参照ください。

      この例では、ゾーンAでvSwitch1が選択され、ゾーンBでvSwitch2が選択されています。

      選択した各vSwitchに少なくとも1つのアイドルIPアドレスがあることを確認します。 VPCにTRがサポートするゾーンにvSwitchがない場合、またはvSwitchにアイドルIPアドレスがない場合は、ゾーンに新しいvSwitchを作成します。 詳細については、「vSwitchの作成と管理」をご参照ください。

      詳細設定

      この例では、デフォルト設定を使用します。

  4. リージョン間接続を作成します。

    VPC1とVPC2は異なるリージョンにあります。 VPC1とVPC2間の通信を有効にするには、リージョン間接続を作成する必要があります。

    1. CENインスタンスの詳細ページで、[基本情報] > [帯域幅プラン] を選択し、[リージョン間通信の帯域幅の割り当て] をクリックします。

    2. [ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。

      パラメーター

      説明

      [インスタンスタイプ]

      この例では、Inter-region Connectionが選択されています。

      リージョン

      [中国 (上海)] を選択します。

      ピアリージョン

      [米国 (シリコンバレー)] を選択します。

      帯域幅割り当てモード

      [ペイバイデータ転送] を選択します。 データ転送に基づいて請求され、請求書はクラウドデータ転送 (CDT) によって発行されます。

      帯域幅

      リージョン間接続の最大帯域幅値を指定します。 単位:Mbit/s

      デフォルトの行タイプ

      デフォルト値: Gold。 この例では、値が使用されます。

      詳細設定

      デフォルト設定を使用します。 すべての高度な機能が有効になります。

  5. データセンターのルートをトランジットルーターに宣伝します。

    リージョン間接続を作成すると、互いに通信できるのはVPC1とVPC2だけです。 データセンター1、データセンター2、データセンター3、およびデータセンター4間の通信を有効にするには、データセンタールートをトランジットルーターに通知する必要があります。

    1. CENの詳細ページで、基本設定 > トランジットルーター タブをクリックします。 中国 (上海) リージョンでトランジットルーターを見つけ、そのIDをクリックします。

    2. 詳細ページで、[ネットワークルート] タブをクリックします。

    3. [ネットワークルート] タブで、VPC1と、データセンター1およびデータセンター2を指すルートを見つけます。

    4. ルートの [広告ステータス] 列で、[広告] をクリックします。 [ルートの広告] ダイアログボックスでルート情報を確認し、[OK] をクリックします。

    5. 上記の手順を繰り返します。 米国 (シリコンバレー) リージョンのトランジットルーターの詳細ページに移動します。 VPC2では、データセンター3とデータセンター4を指すルートをトランジットルーターにアドバタイズします。

    広告ルートのデータセンター1とデータセンター2

    VPC1-已发布

    広告ルートのデータセンター3とデータセンター4

    VPC2-已发布

ステップ6: 接続のテスト

上記の手順を完了すると、異なるリージョンのデータセンターとVPCは互いに通信できます。 次のコンテンツでは、ネットワーク接続をテストする方法について説明します。

説明

テストの前に、VPCのECSインスタンスに適用されるセキュリティグループルールとデータセンターに適用されるACLルールを理解していることを確認してください。 ルールがVPCとデータセンター間の相互アクセスを許可していることを確認してください。 ECSセキュリティグループルールの詳細については、「セキュリティグループルールの照会」および「セキュリティグループルールの追加」をご参照ください。

VPC1とVPC2、データセンター1、データセンター2、データセンター3、およびデータセンター4間の接続をテストします。

  1. VPC 1 の ECS インスタンス (ECS 1) にログインします。 詳細については、「接続方法の概要」をご参照ください。

  2. ECS1でpingコマンドを実行し、別のネットワークのクライアントにアクセスします。

    ping <the IP address of a client>

    VPC1-1

    VPC1-2

    前の図に示すように、ECS1がエコー応答パケットを受信できる場合、VPC1が他のネットワークと通信できることを示します。

VPC2とVPC1、データセンター1、データセンター2、データセンター3、およびデータセンター4の間の接続をテストします。

  1. VPC 2 の ECS インスタンス (ECS 2) にログインします。 詳細については、「接続方法の概要」をご参照ください。

  2. ECS2でpingコマンドを実行し、別のネットワークのクライアントにアクセスします。

    ping <the IP address of a client>

    VPC2-1VPC2-2

    前の図に示すように、ECS2がエコー応答パケットを受信できる場合、VPC2が他のネットワークと通信できることを示します。

データセンター1とVPC1、VPC2、データセンター2、データセンター3、およびデータセンター4間の接続をテストします。

  1. Data Center 1のクライアントでCLIを開きます。

  2. pingコマンドを実行して、別のネットワークのクライアントにアクセスします。

    ping <the IP address of a client>

    IDC1-1IDC1-2

    前の図に示すように、クライアントがエコー応答パケットを受信できる場合、データセンター1が他のネットワークと通信できることを示します。

データセンター2とVPC1、VPC2、データセンター1、データセンター3、およびデータセンター4間の接続をテストします。

  1. Data Center 2のクライアントでCLIを開きます。

  2. pingコマンドを実行して、別のネットワークのクライアントにアクセスします。

    ping <the IP address of a client>

    IDC2-1

    IDC2-2

    前の図に示すように、クライアントがエコー応答パケットを受信できる場合、データセンター2が他のネットワークと通信できることを示します。

データセンター3とVPC1、VPC2、データセンター1、データセンター2、およびデータセンター4間の接続をテストします。

  1. Data Center 3のクライアントでCLIを開きます。

  2. pingコマンドを実行して、別のネットワークのクライアントにアクセスします。

    ping <the IP address of a client>

    IDC4-1IDC4-2

    前の図に示すように、クライアントがエコー応答パケットを受信できる場合、データセンター3が他のネットワークと通信できることを示します。

データセンター4とVPC1、VPC2、データセンター1、データセンター2、およびデータセンター3間の接続をテストします。

  1. Data Center 4のクライアントでCLIを開きます。

  2. pingコマンドを実行して、別のネットワークのクライアントにアクセスします。

    ping <the IP address of a client>

    IDC3-1IDC3-2

    前の図に示すように、クライアントがエコー応答パケットを受信できる場合、データセンター4が他のネットワークと通信できることを示します。