すべてのプロダクト
Search

このプロダクト

    VPN Gateway:IPsec-VPN接続のルートの構成

    ドキュメントセンター

    VPN Gateway:IPsec-VPN接続のルートの構成

    最終更新日:Nov 05, 2024

    IPsec-VPN接続をトランジットルーターに関連付けた後、IPsec-VPN接続用のデータセンター宛てのルートを設定する必要があります。 トランジットルーターからのトラフィックがIPsec-VPN接続に転送された後、IPsec-VPN接続はルート情報を照会することによってトラフィックをデータセンターに転送します。 これにより、データセンタと中継ルータとの間のデータ伝送が可能になる。

    背景情報

    IPsec-VPN接続を使用してデータセンターをトランジットルーターに接続する場合、データセンターとトランジットルーター間のデータ伝送を可能にするために、トランジットルーター、IPsec-VPN接続側、およびデータセンター側にルートを追加する必要があります。

    ルートを設定するときは、静的ルートを設定したり、Border Gateway Protocol (BGP) 動的ルーティングを使用して自動ルート学習を有効にしたりできます。 次の表に、さまざまなシナリオでのルーティング設定を示します。

    ルーティング方法

    トラフィック方向

    トランジットルーター

    IPsec-VPN接続

    データセンター

    静的ルート

    データセンター向け

    IPsec-VPN接続のルート学習相関を作成する必要があります。

    トランジットルーターのルートテーブルとIPsec-VPN接続の間にルート学習相関が作成された後、システムはIPsec-VPN接続の宛先ベースのルートテーブル内のルートをトランジットルーターのルートテーブルに自動的にアドバタイズします。 詳細については、「ルート学習」をご参照ください。

    IPsec-VPN接続用のデータセンター宛てのルートを追加する必要があります。

    詳細については、このトピックの「宛先ベースのルートの管理」をご参照ください。

    設定は必要ありません。

    トランジットルーターの宛先

    IPsec-VPN接続に関連付けられた転送相関を作成する必要があります。

    トランジットルータのルートテーブルとIPsec − VPN接続との間に関連する転送相関が作成された後、システムは、トランジットルータのルートテーブル内のルート情報を照会することによって、IPsec − VPN接続からのトラフィックを転送する。 詳細については、「関連転送」をご参照ください。

    設定は必要ありません。

    デフォルトでは、IPsec-VPN接続はデータセンターからトランジットルーターにトラフィックを転送します。

    データセンターのトランジットルーターで、ネクストホップがIPsec-VPN接続を指すルートを追加する必要があります。

    BGP動的ルーティング

    データセンター向け

    IPsec-VPN接続のルート学習相関を作成する必要があります。

    トランジットルーターのルートテーブルとIPsec-VPN接続の間にルート学習相関が作成された後、システムはIPsec-VPN接続のBGPルートテーブル内のルートをトランジットルーターのルートテーブルに自動的にアドバタイズします。 詳細については、「ルート学習」をご参照ください。

    BGP動的ルーティングを設定する必要があります。

    BGP動的ルーティングが設定されると、IPsec-VPN接続はデータセンター宛てのルートを自動的に学習し、トランジットルーターからデータセンターへのルートをアドバタイズします。 詳細については、このトピックの「BGP動的ルーティングの構成」をご参照ください。

    BGP動的ルーティングを設定する必要があります。

    BGP動的ルーティングが設定された後、データセンターはデータセンター内のルートをIPsec-VPN接続にアドバタイズし、トランジットルーター宛てのルートを自動的に学習できます。

    トランジットルーターの宛先

    1. IPsec-VPN接続に関連付けられた転送相関を作成する必要があります。

      トランジットルータのルートテーブルとIPsec − VPN接続との間に関連する転送相関が作成された後、システムは、トランジットルータのルートテーブル内のルート情報を照会することによって、IPsec − VPN接続からのトラフィックを転送する。 詳細については、「関連転送」をご参照ください。

    2. IPsec-VPN接続のルート同期を有効にする必要があります。

      IPsec-VPN接続のルート同期を有効にすると、トランジットルーターのルートテーブルのルートがIPsec-VPN接続のBGPルートテーブルに自動的に同期されます。 詳細については、「ルート同期」をご参照ください。

    ルーティング方法を選択する方法

    1. IPsec-VPN接続が確立されているリージョンがBGP動的ルーティングをサポートしているかどうかを確認してください。 そうでない場合は、静的ルーティングを選択する必要があります。

      クリックして、BGP動的ルーティングをサポートするリージョンを表示します。

      地域

      リージョン

      アジア太平洋

      中国 (杭州) 、中国 (上海) 、 中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (深セン) 、中国 (香港) 、日本 (東京) 、シンガポール、オーストラリア (シドニー)(サービス終了)、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ)

      ヨーロッパおよびアメリカ

      ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (バージニア) 、米国 (シリコンバレー)

      中東およびインド

      UAE (ドバイ)

    2. データセンターのゲートウェイデバイスがBGP動的ルーティングをサポートしているかどうかを確認します。 その場合は、BGP動的ルーティングを選択できます。 そうでない場合は、静的ルーティングを選択する必要があります。

    3. シナリオで静的ルーティングとBGP動的ルーティングの両方がサポートされている場合は、次の表の情報に基づいてルーティング方法を選択できます。

    ルーティング方法

    サポートされるシナリオ

    設定の難しさ

    ルートのメンテナンスコスト

    静的ルート

    データセンター内のルートの数は少なく、ルートの変更はまれです。

    簡単

    Medium

    データセンターのルートが変更された場合は、VPNゲートウェイのルーティング設定を手動で変更する必要があります。

    BGP動的ルーティング

    データセンター内のルートの数は多く、ルートの変更は頻繁に行われます。

    簡単

    低い

    データセンターのルートが変更された場合、VPNゲートウェイでの操作は必要ありません。 自動ルート広告および学習は、BGP動的ルーティングの広告原則に基づくBGP動的ルーティングを使用することによって可能になります。

    推奨事項ルーティング設定

    IPsec-VPN接続には1つのルーティング方法を使用することを推奨します。 宛先ベースのルーティングとBGP動的ルーティングを同時に使用することは推奨されません。

    ルートの優先順位

    IPsec-VPN接続のルートテーブルでルート競合が発生した場合のルート優先度を次の表に示します。

    説明

    降順のルート優先度: P0 > P1 > P2 > P3

    ルートタイプ

    IPsec-VPN接続のルート優先度

    特定のルート

    P0

    システムルート

    P1

    静的ルート

    P2

    動的ルート

    P3

    ルートの設定

    目的地ベースのルートの管理

    宛先ベースのルートを設定するときは、宛先CIDRブロックとネクストホップを指定する必要があります。 IPsec-VPN接続は、トラフィックの宛先IPアドレスと一致する宛先ベースのルートを見つけ、一致する宛先ベースのルートのネクストホップに基づいてトラフィックを転送します。

    前提条件

    IPsec-VPN接続は、トランジットルーターに関連付けられています。 関連付けには、次のいずれかの方法を使用できます。

    • IPsec-VPN接続を作成するときに、IPsec-VPN接続をトランジットルーターに関連付けることができます。 詳細については、「トランジットルーターに関連付けられたIPsec-VPN接続の作成と管理」をご参照ください。

    • リソースに関連付けられていないIPsec-VPN接続を作成した場合は、Cloud Enterprise Network (CEN) コンソールでIPsec-VPN接続をトランジットルーターに関連付けることができます。 詳細については、「IPsec-VPN接続をトランジットルーターにアタッチする」をご参照ください。

      説明

      IPsec-VPN接続がVPNゲートウェイに関連付けられている場合、IPsec-VPN接続をトランジットルーターに関連付けることはできません。

    制限事項

    • 宛先ベースのルートの宛先CIDRブロックを0.0.0.0/0に設定しないでください。

    • 宛先ベースのルートの宛先CIDRブロックを100.64.0.0/10または100.64.0.0/10のサブネット、または100.64.0.0/10を含むCIDRブロックに設定しないでください。 このようなルートを追加すると, IPsec-VPN接続の状態をコンソールに表示できないか, IPsecネゴシエーションに失敗します。

    宛先ベースのルートのマッチングルール

    デフォルトでは、IPsec-VPN接続は、最長プレフィックス一致ルールに基づいて、一致する宛先ベースのルートを見つけます。

    手順

    宛先ベースのルートの追加

    1. にログインします。VPN Gatewayコンソール.

    2. 上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。

    3. On theIPsec 接続ページで、管理するIPsec-VPN接続のIDをクリックします。

    4. On the宛先ベースルーティングタブをクリックします。ルートエントリの追加.

    5. では、ルートエントリの追加パネル、次のパラメータを設定し、OK.

      パラメーター

      説明

      宛先 CIDR ブロック

      データセンターのCIDRブロックを入力します。

      ネクストホップの種類

      [IPsec-VPN接続] を選択します。

      ネクストホップ

      IPsec-VPN接続を選択します。

      重み

      宛先ベースのルートの重みを指定します。 デフォルト値:100

    宛先ベースのルートの削除

    1. にログインします。VPN Gatewayコンソール.

    2. 上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。

    3. On theIPsec 接続ページで、管理するIPsec-VPN接続のIDをクリックします。

    4. On the宛先ベースルーティングタブで、削除する宛先ベースのルートを見つけて、削除で、操作列を作成します。

    5. ルートエントリの削除 メッセージで、[OK] をクリックします。

    BGP動的ルーティングの設定

    BGPは、動的ルーティングプロトコルTCPである。 BGPは、自律システム (AS) 間でルーティングおよびネットワークアクセシビリティ情報を交換するために使用されます。 IPsec-VPN接続とデータセンターをBGPピアとして指定するには、IPsec-VPN接続とデータセンターにBGP構成を追加する必要があります。 このようにして、相互にルートを学習することができ、ネットワークのメンテナンスコストとネットワーク構成エラーを削減できます。

    BGP動的ルーティングの広告原則

    IPsec-VPN接続とデータセンターにBGP動的ルーティングが設定された後、BGPルートは次の方法でアドバタイズされます。

    • Alibaba Cloudへ

      データセンターがBGPルーティング設定でルートをアドバタイズすると、これらのルートはBGP動的ルーティングを使用してAlibaba CloudのIPsec-VPN接続に自動的にアドバタイズされます。 トランジットルーターのルートテーブルとIPsec-VPN接続の間にルート学習相関が作成された後、システムはIPsec-VPN接続のBGPルートテーブル内のルートをトランジットルーターのルートテーブルに自動的にアドバタイズします。

    • データセンターへ

      トランジットルーターでIPsec-VPN接続のルート同期を有効にすると、システムはトランジットルーターのルートテーブルのルートをIPsec-VPN接続のBGPルートテーブルにアドバタイズします。 IPsec-VPN接続は、BGPルートテーブルのルートをデータセンターに自動的にアドバタイズします。

    BGP動的ルーティングの制限

    • デフォルトでは、IPsec-VPN接続のBGPルートテーブルには最大50個のルートが含まれます。 クォータ制限を増やしたい場合は、チケットを起票します。

    • BGP動的ルーティングを使用して、宛先CIDRブロックが100.64.0.0/10であるルート、100.64.0.0/10のサブセット、または100.64.0.0/10を含むCIDRブロックをIPsec-VPN接続にアドバタイズしないでください。 このようなルートがアドバタイズされると、IPsec-VPN接続のステータスがVPN Gatewayコンソールに表示されないか、IPsec-VPNネゴシエーションが失敗します。

    • IPsec-VPN接続がトランジットルーターに関連付けられた後、宛先CIDRブロックが0.0.0.0/0であるルートは、オンプレミスゲートウェイデバイスとトランジットルーター間のBGP動的ルーティングを使用してアドバタイズできます。

    • 仮想ボーダールーター (VBR) とIPsec-VPN接続に, データセンターの自律システム番号 (ASN) が同じであることを確認してください。 この条件は、接続回復のためにExpress connect回路とIPsec-VPN接続を使用してデータセンターをトランジットルーターに接続する場合に満たす必要があります。 これにより、データセンターでのルートのフラッピングが防止されます。

    手順

    1. カスタマーゲートウェイのデータセンターのASNを指定します。 詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。

      • カスタマーゲートウェイの作成時にデータセンターのASNを指定しない場合は、現在のカスタマーゲートウェイを削除して別のカスタマーゲートウェイを作成する必要があります。

      • カスタマーゲートウェイの作成後は、編集できません。 ASNを変更する場合は、現在のカスタマーゲートウェイを削除し、別のカスタマーゲートウェイを作成します。

    2. IPsec-VPN接続のBGPを有効にし、BGP動的ルーティング設定を追加します。 詳細については、「トランジットルーターに関連付けられたIPsec-VPN接続の作成と管理」をご参照ください。

      次の表に、BGP動的ルーティングと強く相関するコンテンツのみを示します。

      重要

      IPsec-VPN接続の場合、[ルーティングモード] パラメーターを [宛先ルーティングモード] に設定することを推奨します。

      パラメーター

      説明

      カスタマーゲートウェイ

      データセンターのASNを使用するカスタマーゲートウェイを選択します。

      BGPの有効化

      スイッチをオンにしてBGPを有効にします。

      ローカル ASN

      トンネルのASNを入力します。 デフォルト値: 45104 有効な値: 1 ~ 4294967295

      ASNを2つのセグメントで入力し、最初の16ビットと次の16ビットをピリオド (.) で区切ることができます。 各セグメントの数値を10進数形式で入力します。

      たとえば、123.456を入力すると、ASNは123 × 65536 + 456 = 8061384になります。

      トンネル CIDR ブロック

      トンネルのCIDRブロックを入力します。

      CIDRブロックは169.254.0.0/16に該当する必要があります。 CIDRブロックのマスクは30ビット長でなければなりません。 CIDRブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、または169.254.169.252/30にすることはできません。

      説明

      各トンネルのCIDRブロックは一意である必要があります。

      ローカル BGP IP アドレス

      トンネルのBGP IPアドレスを入力します。

      このIPアドレスは、トンネルのCIDRブロック内にある必要があります。

    BGP動的ルーティングチュートリアル