このトピックでは、VPN Gateway で 2 つの IPsec-VPN トンネルを確立する方法について説明します。 これにより、アクティブおよびスタンバイトンネルの冗長性を実装できます。 この設定は、2 つのパブリック IP アドレスを持つローカルゲートウェイに適しています。

シナリオ

VPN Gateway をローカルゲートウェイの 2 つのパブリック IP アドレス (この例では IP1 と IP2 とラベル付けされています) に接続して、2 つの IPsec-VPN 接続を確立し、この接続のヘルスチェックを有効化できます。 その後、ルートの重みの値を設定することにより、アクティブルートとスタンバイルートを指定できます。 アクティブルートに関連付けられた IPsec-VPN トンネルはアクティブトンネル、スタンバイルートに関連付けられた IPsec-VPN トンネルはスタンバイトンネルになります。
  • IP1 ベースのインターネットリンクが機能している場合、オンプレミスのデータセンターと VPC 間のすべてのトラフィックは、アクティブトンネルを介してのみ転送されます。
  • IP1 ベースのインターネットリンクが利用できない場合、オンプレミスデータセンターと VPC 間のすべてのトラフィックはスタンバイトンネルに向けられます。

前提条件

開始する前に、次の条件が満たされていることをご確認ください。

  • ローカルデータセンターのゲートウェイデバイスをご確認ください。 Alibaba Cloud VPN ゲートウェイは、標準の IKEv1 および IKEv2 プロトコルをサポートしています。 この 2 つのプロトコルをサポートするデバイスは、Alibaba VPN Gateway に接続できます。 サポートしているデバイスには、Huawei、H3C、Cisco、ASN、Juniper、SonicWall、Nokia、IBM、および Ixia があります。

  • ローカルゲートウェイに静的 IP アドレスが設定されていること。

  • 接続する VPC とローカルデータセンターの IP アドレス範囲が互いに競合していないこと。

手順 1 : VPN Gateway の作成

  1. VPC コンソールにログインします。
  2. 左側のナビゲーションウインドウで、[VPN] > [VPN Gateways] をクリックします。
  3. VPN Gateway ページで、[VPN Gateway の作成] をクリックします。
  4. 購入ページで、VPN Gateway を設定して支払いを完了させます。 このチュートリアルでは、VPN Gateway は次の設定を使用します。
    • <p data-spm-anchor-id="a2762.11472859.0.i12.7588203beUXIor">Region: VPN Gateway のリージョンをクリックします。 このチュートリアルでは、[中国 (杭州) ]をクリックします。
      VCP とVPN ゲートウェイが同じリージョンであることをご確認ください。

    • VPC : 接続する VPC をクリックします。

    • Bandwidth specification : 帯域幅指定をクリックします。 帯域幅指定は、VPN ゲートウェイのインターネット帯域幅です。

    • IPsec-VPN : IPsec-VPN 機能を有効にするかをクリックします。

    • SSL-VPN : SSL-VPN 機能を有効にするかを設定します。 SSL-VPN 機能を使用すると、単一のコンピュータからどこにいても VPC に接続できます。

    • Concurrent SSL Connections: 同時に接続するクライアントの最大数をクリックします。
      このオプションは、SSL-VPN 機能を有効にした後にのみ設定できます。
  5. VPN Gateway ページに戻り、[中国 (杭州)] リージョンをクリックすると、作成した VPN Gateway が表示されます。
    VPN Gateway の初期ステータスは、"Preparing" です。 約2分で "Normal" に変わります。 ステータスが "Normal"に変わると、VPN Gateway が使用可能になります。
    通常、VPN Gateway の作成には 1 〜 5 分かかります 。

手順 2 : 2 つのカスタマーゲートウェイの作成

2 つのカスタマーゲートウェイを作成し、ローカルゲートウェイの 2 つのパブリック IP アドレスをカスタマーゲートウェイに登録します。 これを実行するには、次の手順に沿って操作します。
  1. 左側のナビゲーションウィンドウで、[VPN] > [カスタマーゲートウェイ] をクリックします。
  2. カスタマーゲートウェイを作成するリージョンを選択します。
  3. カスタマーゲートウェイページで、[カスタマーゲートウェイの作成] をクリックします。
  4. 次の情報に従って、カスタマーゲートウェイを設定します。
    • Name : カスタマーゲートウェイの名前を入力します。
    • IP Address : ローカルゲートウェイ用に設定されたパブリック IP アドレスを入力します。
    • Description : カスタマーゲートウェイの説明を入力します。
  5. カスタマーゲートウェイの作成 ページで、[+ 追加] をクリックして他のカスタマーゲートウェイを追加します。

手順 3 : 2 つの IPsec-VPN 接続の作成

2 つの IPsec-VPN 接続を作成し、VPN Gateway と 2 つのカスタマーゲートウェイを接続します。 これを実行するには、次の手順に沿って操作します。
  1. 左側のナビゲーションウィンドウで、[VPN] > [IPsec 接続] をクリックします。
  2. IPsec 接続を作成するリージョンを選択します。
  3. IPsec 接続 ページで[IPsec 接続の作成] をクリックします。
  4. 次の情報に従って IPsec-VPN 接続を設定し、[OK] をクリックします。
    • Name: IPsec 接続の名前を入力します。
    • VPN Gateway: 作成した VPN Gateway をクリックします。
    • Customer Gateway : 接続するカスタマーゲートウェイを選択します。
    • Local Network : クリックした VPN Gateway が属する VCP の CIDR ブロックを入力します。
    • Remote Network : オンプレミスデータセンターの CIDR ブロックを入力します。
    • Effective Immediately : すぐに交渉するかどうかを選択します。
      • Yes : 設定完了後、すぐに交渉を開始します。
      • No: トンネルでトラフィックが検出された場合にのみ交渉を開始します。
    • Pre-Shared Key: 事前共有キーを入力します。 この値は、ローカルゲートウェイで設定した値と同じでなければなりません。
    • Health Check : ヘルスチェックを有効にし、宛先 IP アドレス、送信元 IP アドレス、再試行間隔、および再試行回数を入力します。

      他のパラメーターの設定には既定値を使用します。

  5. 前途の手順を繰り返して、他のカスタマーゲートウェイの IPsec-VPN 接続を作成します。

手順 4 : ローカルゲートウェイの設定

ローカルゲートウェイを設定するには、次の手順に従ってください。
  1. 左側のナビゲーションウィンドウで、[VPN] > [IPsec 接続] をクリックします。
  2. 対象のリージョンを選択します。
  3. 対象の IPsec-VPN 接続を特定し、[設定のダウンロード] をクリックします。
  4. ダウンロードした IPsec-VPN 接続設定をローカルゲートウェイデバイスにロードして、ローカルゲートウェイを設定します。 詳細については、「ローカルゲートウェイの設定」をご参照ください。

    RemotSubnet と LocalSubnet は、手順 3 で IPsec 接続を作成するときに設定した Local Network とRemote Network とは対照的です。 具体的には、VPN Gateway の場合、リモートネットワークはオンプレミスデータセンターの CIDR ブロックであり、ローカルネットワークは VPC の CIDR ブロックです。 ローカルゲートウェイの場合、LocalSubnet はオンプレミスデータセンターの CIDR ブロックであり、RemoteSubnet は VPC の CIDR ブロックです。

手順 5 : VPN Gateway のルート設定

VPN Gateway のルートを設定するには、次の手順を実行します。

  1. 左側のナビゲーションウィンドウで、[VPN] > [VPN Gateway] をクリックします。
  2. VPN Gateway ページで、VPN Gateway のリージョンを選択します。
  3. 対象の VPN Gateway を見つけて、インスタンス ID/名前 列のインスタンス ID をクリックします。
  4. 宛先ベースルーティングタブで、[ルートエントリの追加] をクリックします。
  5. 次の情報に従ってルートテーブルを設定し、[OK] をクリックします。
    • Destination CIDR Block : オンプレミスデータセンターの CIDR ブロックを入力します。
    • Next Hop : 上記の IPsec 接続インスタンスを選択します。
    • Publish to VPC : 新しいルートを VPC ルートテーブルに公開するかどうかを選択します。
    • Weight : 重みを選択します。
      重要 異なるルートの重みを設定すると、アクティブルートとスタンバイルートを区別できます。 2 つの宛先ルートの重みを同時に 100 または 0 に設定することはできません。

    この例で使用するルートは以下のとおりです。

    宛先 CIDR ブロック ネクストホップ VPC に公開 重み
    ローカルゲートウェイのプライベート CIDR ブロック IPsec-VPN 接続インスタンス 1 100
    ローカルゲートウェイのプライベート CIDR ブロック IPsec-VPN 接続インスタンス 2 0