データセンターのオンプレミスゲートウェイデバイスに複数のパブリック IP アドレスがある場合、そのうちの 2 つを使用して、仮想プライベートクラウド (VPC) へのアクティブ/スタンバイ IPsec-VPN 接続を作成できます。 2 つの IPsec-VPN 接続により、データセンターと VPC 間のネットワーク接続が確保されます。
シナリオ
次の図は、この例で使用されるシナリオを示しています。企業は杭州にデータセンターを所有し、中国 (杭州) リージョンに VPC をデプロイしています。アプリケーションは、VPC の Elastic Compute Service (ECS) インスタンスにデプロイされています。企業は、データセキュリティとネットワーク冗長性を確保するために、データセンターが複数の暗号化接続を介して VPC にアクセスできるようにしたいと考えています。
データセンターのオンプレミスゲートウェイデバイスには、複数のパブリック IP アドレスがあります。企業は、そのうちの 2 つを使用して、データセンターと VPC の間に 2 つの IPsec-VPN 接続を作成できます。これにより、データセンターと VPC 間のデータ転送のセキュリティが確保され、ネットワーク冗長性も実現します。
ネットワーク
ネットワーク設定
このシナリオでのネットワーク要件:
[パブリック] VPN ゲートウェイが作成されます。
2 つの IPsec-VPN 接続は、同じ VPN ゲートウェイにアタッチされます。
VPN ゲートウェイは静的ルーティングを使用します。ルート優先順位を設定して、アクティブ接続とスタンバイ接続を指定できます。
両方の IPsec-VPN 接続でヘルスチェックが有効になっています。ヘルスチェックは、接続の可用性をテストするために使用されます。
アクティブな IPsec-VPN 接続がヘルスチェックに複数回失敗した場合、スタンバイ IPsec-VPN 接続が自動的に引き継ぎます。
ネットワーク
CIDR ブロックを割り当てるときは、データセンターの CIDR ブロックと VPC の CIDR ブロックが重複しないようにしてください。
項目 | CIDR ブロックと IP アドレス |
項目 | CIDR ブロックと IP アドレス |
VPC | プライマリ CIDR ブロック: 172.16.0.0/16
|
オンプレミスゲートウェイデバイス | オンプレミスゲートウェイデバイスのパブリック IP アドレス:
|
オンプレミスデータセンター | VPC との通信に使用する CIDR ブロック: 192.168.0.0/24 |
準備
開始する前に、次の前提条件が満たされていることを確認してください。
VPC が中国 (杭州) リージョンにデプロイされ、アプリケーションが VPC1 の ECS インスタンスにデプロイされています。 詳細については、「IPv4 CIDR ブロックを使用して VPC を作成する」をご参照ください。
データセンターのゲートウェイデバイスは、IKEv1 および IKEv2 プロトコルをサポートしています。これらのプロトコルをサポートするゲートウェイデバイスは、VPN ゲートウェイに接続できます。
VPC 内の ECS インスタンスに適用されるセキュリティグループルールを読み、理解しており、セキュリティグループルールによってデータセンターのゲートウェイデバイスがクラウドリソースにアクセスできるようになっています。 詳細については、「セキュリティグループルールを照会する」および「セキュリティグループルールを追加する」をご参照ください。
手順
手順 1: VPN ゲートウェイを作成する
IPsec-VPN 接続を作成する前に、VPN ゲートウェイを作成し、VPN ゲートウェイに対して IPsec-VPN を有効にする必要があります。
VPN ゲートウェイコンソール にログインします。
上部のナビゲーションバーで、VPN ゲートウェイを作成するリージョンを選択します。
VPN ゲートウェイと関連付ける VPC は、同じリージョンに属している必要があります。この例では、[中国 (杭州)] が選択されています。
VPN Gateway ページで、VPN Gateway の作成 をクリックします。
購入ページで、次のパラメータを設定し、[今すぐ購入] をクリックして、支払いを完了します。
パラメータ
説明
パラメータ
説明
[名前]
VPN ゲートウェイの名前を入力します。
この例では、VPN Gateway 1 が使用されています。
[リージョン]
VPN ゲートウェイをデプロイするリージョンを選択します。
この例では、[中国 (杭州)] が選択されています。
[ゲートウェイタイプ]
VPN ゲートウェイのゲートウェイタイプを選択します。
この例では、[標準] が選択されています。
[ネットワークタイプ]
VPN ゲートウェイのネットワークタイプを選択します。
この例では、[パブリック] が選択されています。
[トンネル]
リージョンでサポートされているトンネルモードが自動的に表示されます。
[VPC]
VPN ゲートウェイを関連付ける VPC を選択します。
この例では、作成した VPC が選択されています。
[vSwitch]
選択した VPC から vSwitch を選択します。
シングルトンネルを選択した場合は、1 つの vSwitch のみ指定する必要があります。
デュアルトンネルを選択した場合は、2 つの vSwitch を指定する必要があります。
IPsec-VPN 機能が有効になると、システムは 2 つの vSwitch のそれぞれに、IPsec-VPN 接続を介して VPC と通信するためのインターフェースとして、Elastic Network Interface (ENI) を作成します。各 ENI は、vSwitch 内の 1 つの IP アドレスを占有します。
システムはデフォルトで vSwitch を選択します。デフォルトの vSwitch を変更または使用できます。
VPN ゲートウェイの作成後、VPN ゲートウェイに関連付けられた vSwitch を変更することはできません。VPN ゲートウェイに関連付けられた vSwitch、vSwitch が属するゾーン、および vSwitch 内の ENI は、VPN ゲートウェイの詳細ページで確認できます。
[vSwitch 2]
選択した VPC から別の vSwitch を選択します。
シングルトンネルを選択した場合は、このパラメータは無視してください。
[最大帯域幅]
VPN ゲートウェイの最大帯域幅値を選択します。単位: Mbit/s。
[トラフィック]
VPN ゲートウェイの課金方法を選択します。デフォルト値: [データ転送ごとの支払い]。
詳細については、「課金」をご参照ください。
[IPsec-VPN]
IPsec-VPN 機能を有効にするかどうかを指定します。
この例では、デフォルト値の [有効] が選択されています。
[SSL-VPN]
SSL-VPN 機能を有効にするかどうかを指定します。
この例では、デフォルト値の [無効] が選択されています。
[期間]
課金サイクルを選択します。デフォルト値: [時間ごと]。
[サービスロール]
[サービスロールの作成] をクリックします。その後、システムは自動的にサービスロール AliyunServiceRoleForVpn を作成します。
VPN ゲートウェイは、このロールを担って他のクラウドリソースにアクセスします。詳細については、「AliyunServiceRoleForVpn」をご参照ください。
[作成済み] と表示されている場合は、サービスロールが作成済みであり、再度作成する必要がないことを示します。
[VPN ゲートウェイ] ページに戻り、VPN ゲートウェイを表示します。
VPN ゲートウェイを作成すると、準備中 状態になります。1 ~ 5 分後、VPN ゲートウェイは 正常 状態に変わります。VPN ゲートウェイが 正常 状態に変わると、VPN ゲートウェイは使用できる状態になります。
手順 2: 2 つのカスタマーゲートウェイを作成する
IPsec-VPN 接続を作成する前に、カスタマーゲートウェイを作成し、Alibaba Cloud にゲートウェイ情報を登録する必要があります。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、カスタマーゲートウェイを作成するリージョンを選択します。
カスタマーゲートウェイと 手順 1 で作成した VPN ゲートウェイが同じリージョンにデプロイされていることを確認してください。
カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。
カスタマーゲートウェイの作成 パネルで、次のパラメータを設定し、[OK] をクリックします。
次の表に、2 つのカスタマーゲートウェイが関連付けられているパブリック IP アドレスを示します。次の表に記載されていないパラメータは、デフォルト値を使用します。詳細については、「カスタマーゲートウェイを作成する」をご参照ください。
パラメータ
説明
カスタマーゲートウェイ 1
カスタマーゲートウェイ 2
パラメータ
説明
カスタマーゲートウェイ 1
カスタマーゲートウェイ 2
[名前]
カスタマーゲートウェイの名前を入力します。
この例では、Customer1 が使用されています。
この例では、Customer2 が使用されています。
[IP アドレス]
カスタマーゲートウェイのパブリック IP アドレスを入力します。
この例では、オンプレミスゲートウェイデバイスのパブリック IP アドレス 118.XX.XX.20 が入力されています。
この例では、オンプレミスゲートウェイデバイスのパブリック IP アドレス 120.XX.XX.40 が入力されています。
手順 3: 2 つの IPsec-VPN 接続を作成する
カスタマーゲートウェイを作成したら、オンプレミスゲートウェイデバイスを VPN ゲートウェイに接続するために、IPsec-VPN 接続を作成する必要があります。
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで、[VPN ゲートウェイのバインド] をクリックします。
[IPsec-VPN 接続 (VPN) の作成] ページで、IPsec-VPN 接続のパラメータを設定し、[OK] をクリックします。
次の表に、IPsec-VPN 接続のパラメータを示します。次の表に記載されていないパラメータは、デフォルト値を使用します。詳細については、「シングルトンネルモードで IPsec-VPN 接続を作成および管理する」をご参照ください。
パラメータ
説明
IPsec-VPN 接続 1
IPsec-VPN 接続 2
パラメータ
説明
IPsec-VPN 接続 1
IPsec-VPN 接続 2
[名前]
IPsec-VPN 接続の名前を入力します。
この例では、IPsec-VPN Connection 1 が使用されています。
この例では、IPsec-VPN Connection 2 が使用されています。
[リージョン]
IPsec-VPN 接続に関連付ける VPN ゲートウェイがデプロイされているリージョンを選択します。
この例では、[中国 (杭州)] が選択されています。
[VPN ゲートウェイのバインド]
作成した VPN ゲートウェイを選択します。
この例では、VPN Gateway が選択されています。
この例では、VPN Gateway が選択されています。
ルーティングモード
ルーティングモードを選択します。
この例では、[宛先ルーティングモード] が選択されています。
[すぐに有効]
IPsec ネゴシエーションをすぐに開始するかどうかを指定します。有効な値:
[はい]: 設定が有効になった直後に IPsec ネゴシエーションを開始します。
[いいえ]: インバウンドトラフィックが検出された場合にのみ IPsec ネゴシエーションを開始します。
この例では、いいえ が選択されています。
[事前共有鍵]
オンプレミスゲートウェイデバイスの認証に使用する事前共有鍵を入力します。
鍵の長さは 1 ~ 100 文字で、数字、大文字、小文字、および次の特殊文字を含めることができます:
~`!@#$%^&*()_-+={}[]\|;:',.<>/?。鍵にスペースを含めることはできません。事前共有鍵を指定しない場合、システムは 16 文字の文字列を事前共有鍵としてランダムに生成します。IPsec-VPN 接続の作成後、[編集] をクリックして、システムによって生成された事前共有鍵を表示できます。詳細については、「IPsec-VPN 接続を変更する」をご参照ください。
IPsec-VPN 接続の両側で設定された事前共有鍵は同じである必要があります。そうでない場合、IPsec-VPN 接続を確立できません。
fddsFF123****
[BGP 構成]
BGP を有効にするかどうかを指定します。
この例では、デフォルト値が使用されています。BGP は無効になっています。
[暗号化構成]
ビジネス要件に基づいて IKE および IPsec 設定を構成します。
この例では、IKEv1 が使用されており、その他のパラメータはデフォルト値を使用しています。
[ヘルスチェック]
ヘルスチェック機能を有効にするかどうかを指定します。
[宛先 IP アドレス]: VPC が IPsec-VPN 接続を介して通信できるデータセンター側の IP アドレスを入力します。
[送信元 IP アドレス]: データセンターが IPsec-VPN 接続を介して通信できる VPC 側の IP アドレスを入力します。
[再試行間隔]: 2 回の連続したヘルスチェックの間隔を入力します。単位: 秒。デフォルト値: [3]。
[再試行回数]: ヘルスチェックを再試行する回数を選択します。デフォルト値: [3]。
この例では、ヘルスチェック機能が有効になっており、次の設定を使用しています。
[宛先 IP アドレス]: 192.168.0.1
[送信元 IP アドレス]: 172.16.10.1
[再試行間隔]: 3
[再試行回数]: 3
この例では、ヘルスチェック機能が有効になっており、次の設定を使用しています。
[宛先 IP アドレス]: 192.168.0.2
[送信元 IP アドレス]: 172.16.20.1
[再試行間隔]: 3
[再試行回数]: 3
[作成済み] ダイアログボックスで、[キャンセル] をクリックします。
[IPsec 接続] ページで、IPsec-VPN 接続を見つけ、[ピア構成の生成][操作] 列の をクリックします。
IPsec-VPN 接続 1 と IPsec-VPN 接続 2 のピア構成をオンプレミスマシンに保存します。ピア構成は、後続の手順でオンプレミスゲートウェイデバイスを構成するときに使用されます。
手順 4: VPN ゲートウェイにルートを追加する
データセンター宛ての VPC トラフィックを IPsec-VPN 接続にルーティングするようにルートを構成する必要があります。
左側のナビゲーションウィンドウで、 を選択します。
トップメニューバーで、VPN ゲートウェイのリージョンを選択します。
VPN Gateway ページで、管理する VPN ゲートウェイを見つけ、その ID をクリックします。
宛先ベースルーティング タブで、[ルートエントリの追加] をクリックします。
[ルートエントリの追加] パネルで、次のパラメータを設定し、[OK] をクリックします。
次の表に、VPN ゲートウェイに追加されたルートのパラメータを示します。ルート優先順位を設定して、アクティブ IPsec-VPN 接続とスタンバイ IPsec-VPN 接続を指定できます。
パラメータ
説明
ルート 1
ルート 2
パラメータ
説明
ルート 1
ルート 2
[宛先 CIDR ブロック]
宛先 CIDR ブロックを入力します。
この例では、データセンターが VPC との通信に使用する CIDR ブロック 192.168.0.0/24 が入力されています。
この例では、データセンターが VPC との通信に使用する CIDR ブロック 192.168.0.0/24 が入力されています。
[ネクストホップタイプ]
ネクストホップタイプを選択します。
[IPsec 接続] を選択します。
この例では、[IPsec 接続] が選択されています。
[ネクストホップ]
ネクストホップを選択します。
この例では、IPsec-VPN 接続 1 が選択されています。
この例では、IPsec-VPN 接続 2 が選択されています。
[VPC に公開]
VPN ゲートウェイに関連付けられている VPC にルートをアドバタイズするかどうかを指定します。
この例では、[はい] が選択されています。
この例では、[はい] が選択されています。
[重み]
ルートの重みを選択します。
[100]: ルートに高い優先順位を指定します。
[0]: ルートに低い優先順位を指定します。
この例では、[100 (アクティブ)] が選択されています。
アクティブルートとスタンバイルートを指定するには、ルートに異なる重みを指定する必要があります。両方のルートの重みを 100 または 0 に設定することはできません。
この例では、[0 (スタンバイ)] が選択されています。
手順 5: オンプレミスゲートウェイデバイスを構成する
コンソールで前述の手順を完了したら、VPN 設定、ルート設定、およびヘルスチェック設定をオンプレミスゲートウェイデバイスに追加する必要があります。そうでない場合、オンプレミスゲートウェイデバイスと VPN ゲートウェイの間で IPsec-VPN 接続を確立できません。これらの設定をオンプレミスゲートウェイデバイスに追加すると、VPC 宛てのトラフィックはアクティブな IPsec-VPN 接続を介して転送されます。アクティブな IPsec-VPN 接続に障害が発生した場合、スタンバイ IPsec-VPN 接続が自動的に引き継ぎます。
次の構成は参照用です。デバイスの構成コマンドは、ベンダーによって異なる場合があります。詳細については、デバイスのベンダーにお問い合わせください。
VPN 構成をオンプレミスゲートウェイデバイスに追加します。
ゲートウェイデバイスのコマンドラインインターフェース (CLI) を開きます。
ISAKMP ポリシーを作成します。
crypto isakmp policy 1 // ISAKMP ポリシー 1 を作成 authentication pre-share // 認証方式を事前共有に設定 encryption aes // 暗号化アルゴリズムを AES に設定 hash sha // ハッシュアルゴリズムを SHA に設定 group 2 // DH グループを 2 に設定 lifetime 86400 // ライフタイムを 86400 秒に設定事前共有鍵を設定します。
crypto isakmp key fddsFF123**** address 46.XX.XX.21 // 事前共有鍵を fddsFF123**** に設定し、アドレス 46.XX.XX.21 に適用IPsec プロトコルを構成します。
crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac // IPsec transform-set ipsecpro64 を作成し、ESP-AES と ESP-SHA-HMAC を使用 mode tunnel // モードをトンネルに設定ネットワークアクセス制御リスト (ACL) を作成して、暗号化するインバウンドトラフィックフローとアウトバウンドトラフィックフローを指定します。
オンプレミスゲートウェイデバイスに複数の CIDR ブロックが構成されている場合は、CIDR ブロックごとにネットワーク ACL を作成する必要があります。
access-list 100 permit ip 192.168.0.0 0.0.0.255 172.16.0.0 0.0.0.255 // アクセスリスト 100 を作成し、192.168.0.0/24 から 172.16.0.0/24 へのトラフィックを許可IPsec ポリシーを作成します。
crypto map ipsecpro64 10 ipsec-isakmp // crypto map ipsecpro64 を作成 set peer 46.XX.XX.21 // ピアを 46.XX.XX.21 に設定 set transform-set ipsecpro64 // transform-set を ipsecpro64 に設定 set pfs group2 // PFS グループを 2 に設定 match address 100 // アクセスリスト 100 を適用IPsec ポリシーを適用します。
interface GigabitEthernet1 //パブリック IP アドレス 1 を使用するインターフェースに IPsec ポリシーを適用します。 // インターフェース GigabitEthernet1 を設定 crypto map ipsecpro64 // crypto map ipsecpro64 を適用 interface GigabitEthernet2 //パブリック IP アドレス 2 を使用するインターフェースに IPsec ポリシーを適用します。 // インターフェース GigabitEthernet2 を設定 crypto map ipsecpro64 // crypto map ipsecpro64 を適用
オンプレミスゲートウェイデバイスでルートとヘルスチェックを構成します。
VPC 宛てのトラフィックがアクティブな IPsec-VPN 接続を介して転送されるようにルートとヘルスチェック設定を追加し、ヘルスチェックを有効にしてアクティブな IPsec-VPN 接続の状態を自動的にチェックする必要があります。アクティブな IPsec-VPN 接続に障害が発生した場合、スタンバイ IPsec-VPN 接続が自動的に引き継ぎます。
type icmp-echo // ICMP エコータイプのヘルスチェックを設定 destination ip 46.XX.XX.21 //宛先 IP アドレスを VPN ゲートウェイのパブリック IP アドレスに設定します。 // 宛先 IP アドレスを 46.XX.XX.21 に設定 frequency 5000 // 周波数を 5000 ミリ秒に設定 reaction 1 checked-element probe-fail threshold-type consecutive 2 action-type trigger-only // reaction 1 を設定 nqa schedule admin test start-time now lifetime forever // nqa schedule を設定 track 1 nqa entry admin test reaction 1 // track 1 を設定 ip route-static 172.16.0.0 16 118.XX.XX.20 track 1 preference 40 //172.16.0.0/16 は、データセンターに接続する VPC の CIDR ブロックです。118.XX.XX.20 は、オンプレミスゲートウェイデバイスが VPN ゲートウェイへのアクティブな IPsec-VPN 接続を確立するために使用するパブリック IP アドレスです。 // 静的ルート 172.16.0.0/16 を追加し、ネクストホップを 118.XX.XX.20 に設定、track 1 を適用、プリファレンスを 40 に設定 ip route-static 172.16.0.0 16 120.XX.XX.40 //172.16.0.0/16 は、データセンターに接続する VPC の CIDR ブロックです。120.XX.XX.40 は、オンプレミスゲートウェイデバイスが VPN ゲートウェイへのスタンバイ IPsec-VPN 接続を確立するために使用するパブリック IP アドレスです。 // 静的ルート 172.16.0.0/16 を追加し、ネクストホップを 120.XX.XX.40 に設定ヘルスチェックのために、逆ルートをオンプレミスゲートウェイデバイスに追加します。
次のルートをオンプレミスゲートウェイデバイスに追加します。宛先 CIDR ブロックは 送信元 IP、サブネットマスクの長さは 32 ビット、ネクストホップは IPsec-VPN 接続です。これにより、ヘルスチェックが期待どおりに機能することが保証されます。
ip route-static 172.16.10.1 32 118.XX.XX.20 //IPsec-VPN 接続 1 の逆ルートを構成します。 // 静的ルート 172.16.10.1/32 を追加し、ネクストホップを 118.XX.XX.20 に設定 ip route-static 172.16.20.1 32 120.XX.XX.40 //IPsec-VPN 接続 2 の逆ルートを構成します。 // 静的ルート 172.16.20.1/32 を追加し、ネクストホップを 120.XX.XX.40 に設定
手順 6: ネットワーク接続をテストする
前述の手順を完了すると、データセンターは 2 つの IPsec-VPN 接続を介して VPC と通信できます。このセクションでは、ネットワーク接続をテストし、IPsec-VPN 接続がアクティブ接続とスタンバイ接続として機能するかどうかを確認する方法について説明します。
ネットワーク接続をテストします。
VPC 内の ECS インスタンスにログインします。この例では、ECS1 が使用されています。詳細については、「ECS インスタンスに接続する」をご参照ください。
ECS1 で ping コマンドを実行して、データセンター内のクライアントに ping を実行します。
ping <データセンター内のクライアントの IP アドレス>エコー応答パケットを受信した場合、データセンターは VPC と通信できることを示します。
IPsec-VPN 接続がアクティブ接続とスタンバイ接続として機能するかどうかを確認します。
データセンター内のクライアントから ECS1 に継続的にリクエストを送信するか、クライアントで Iperf3 を使用して ECS1 にリクエストを送信します。Iperf3 のインストール方法と使用方法の詳細については、「Express Connect 回線の性能をテストする」をご参照ください。
Alibaba Cloud 管理コンソールにログインし、IPsec-VPN 接続のモニタリングデータを確認します。
エラーのないシナリオでは、IPsec-VPN 接続 1 (アクティブ接続) のトラフィックモニタリングデータのみが表示されます。
次の手順は、IPsec-VPN 接続 1 の詳細ページを開く方法を示しています。
VPN ゲートウェイコンソール にログインします。
上部のナビゲーションバーで、IPsec-VPN 接続 1 が作成されているリージョンを選択します。
左側のナビゲーションウィンドウで、 を選択します。
[IPsec 接続] ページで、IPsec-VPN 接続を見つけ、その ID をクリックします。
詳細ページで、[モニタリング] タブをクリックします。
アクティブな IPsec-VPN 接続を一時的に閉じます。
オンプレミスゲートウェイデバイスが VPN ゲートウェイへの接続に使用するインターフェースを無効にすることで、アクティブな IPsec-VPN 接続を閉じることができます。インターフェースを無効にする方法の詳細については、オンプレミスゲートウェイデバイスのユーザーガイドを参照してください。
Alibaba Cloud 管理コンソールにログインし、IPsec-VPN 接続 2 (スタンバイ接続) のトラフィックモニタリングデータを確認します。
アクティブな IPsec-VPN 接続が閉じられると、ネットワークトラフィックは自動的にスタンバイ IPsec-VPN 接続に切り替えられます。IPsec-VPN 接続 2 のトラフィックモニタリングデータが生成され、[モニタリング] タブに表示されます。
