データセンターとAlibaba cloud上の仮想プライベートクラウド (VPC) との間にIPsec-VPN接続を確立するには、Alibaba Cloud上でVPNゲートウェイを設定し、データセンター内のゲートウェイデバイスにVPN設定を追加する必要があります。 このトピックでは、デュアルトンネルモードとシングルトンネルモードでVPN設定をH3Cファイアウォールに追加する方法について説明します。
VPN設定をH3Cファイアウォールにデュアルトンネルモードで追加することを推奨します。 デュアルトンネルモードの詳細については、「 [アップグレード通知] IPsec-VPN接続がデュアルトンネルモードをサポート」をご参照ください。
二重トンネルモード
シナリオ
シナリオの説明:
企業にはデータセンターがあり、Alibaba Cloudとの通信用にデータセンターのCIDRブロック10.34.0.0/24を割り当てます。
Alibaba CloudにVPCをデプロイしました。 VPC CIDRブロックは192.168.0.0/16です。 アプリケーションは、VPCのECS (Elastic Compute Service) インスタンスにデプロイされます。
企業は、データセンターとVPC間の通信を可能にするために、Alibaba Cloud上のデータセンターとVPC間にデュアルトンネルモードでIPsec-VPN接続を確立する予定です。
IPアドレスプラン
このセクションでは、H3Cファイアウォールのインターネットアクセス数に基づいて、次の2つのサンプルシナリオについて説明します。
シングル出力: H3Cファイアウォールは、パブリックIPアドレスにマッピングされる1つのインターネット出力のみで構成されています。
デュアルエグレス: H3Cファイアウォールは、それぞれパブリックIPアドレスを持つ2つのインターネットエグレスで構成されています。
データセンターのデバイス設定に基づいて、適切なIPアドレスプランを参照してください。
シングル出力
次の表に、IPアドレスプランを示します。
場所 | 設定アイテム | 例 |
データセンター | H3CファイアウォールIPアドレス | ギガビットのイーサネット (GE) インターフェイス2 (インターネットの出口): 10.32.0.175 ネクストホップ: 10.32.0.173 マップされたパブリックIPアドレス: 8.XX. XX.3 |
GEインターフェイス4 (プライベートインターフェイス): 10.34.0.20 | ||
プライベート CIDR ブロック | 10.34.0.0/24 | |
サーバーIPアドレス | 10.34.0.21 | |
Alibaba Cloud | VPNゲートウェイIPアドレス | アクティブトンネル: 39.XX. XX.17 スタンバイトンネル: 39.XX. XX.10 |
VPC CIDR ブロック | 192.168.0.0/16 | |
vSwitch CIDRブロック | ゾーンJ: 192.168.1.0/24 ゾーンK: 192.168.2.0/24 | |
ECSインスタンスのIPアドレス | 192.168.1.11 |
デュアルエグレス
次の表に、IPアドレスプランを示します。
場所 | 設定アイテム | 例 |
データセンター | H3CファイアウォールIPアドレス | GEインターフェイス2 (インターネット出口1): 10.32.0.175 ネクストホップ: 10.32.0.173 マップされたパブリックIPアドレス: 8.XX. XX.3 |
GEインターフェイス3 (インターネット出口2): 10.33.0.238 ネクストホップ: 10.33.0.236 マップされたパブリックIPアドレス: 116.XX. XX.68 | ||
GEインターフェイス4 (プライベートインターフェイス): 10.34.0.20 | ||
プライベート CIDR ブロック | 10.34.0.0/24 | |
サーバーIPアドレス | 10.34.0.21 | |
Alibaba Cloud | VPNゲートウェイIPアドレス | アクティブトンネル: 39.XX. XX.17 スタンバイトンネル: 39.XX. XX.10 |
VPC CIDR ブロック | 192.168.0.0/16 | |
vSwitch CIDRブロック | ゾーンJ: 192.168.1.0/24 ゾーンK: 192.168.2.0/24 | |
ECSインスタンスのIPアドレス | 192.168.1.11 |
BGPプラン
このトピックでは、静的ルーティングまたはボーダーゲートウェイプロトコル (BGP) 動的ルーティングを使用するIPsec-VPN接続用にH3Cファイアウォールを設定する方法について説明します。 BGP動的ルーティングを使用する必要がない場合は、このセクションをスキップしてください。 次の表に、BGP動的ルーティングのCIDRブロックプランを示します。
リソース | トンネル | BGPトンネルCIDRブロック | BGP IPアドレス | BGPローカルASN |
Alibaba Cloud VPNゲートウェイ | トンネル1 | 169.254.10.0/30 説明 VPNゲートウェイでは、各トンネルのCIDRブロックは一意である必要があります。 | 169.254.10.1 | 65535 |
トンネル2 | 169.254.20.0/30 | 169.254.20.1 | ||
H3Cファイアウォール | トンネル1 | 169.254.10.0/30 | 169.254.10.2 | 65500 |
トンネル2 | 169.254.20.0/30 | 169.254.20.2 |
IPsec-VPN接続設定プラン
デュアルトンネルモードでは、トンネル1はアクティブトンネルとして機能し、トンネル2はスタンバイトンネルとして機能します。 2つのトンネルは同じサンプル値を使用する。
Alibaba CloudとH3CファイアウォールのIPsec-VPN接続設定は、各トンネルで同じである必要があります。
設定アイテム | 例 | |
事前共有キー | ChangeMe **** | |
インターネットキー交換 (IKE) 設定 | Version | ikev2 |
ネゴシエーションモード | メイン | |
暗号化アルゴリズム | aes256 | |
認証アルゴリズム | sha256 | |
Diffie-Hellman (DH) グループ | グループ14 | |
セキュリティアソシエーション (SA) の有効期間 (秒) | 86400 | |
IPsec設定 | 暗号化アルゴリズム | aes256 |
認証アルゴリズム | sha256 | |
DH グループ | グループ14 | |
SAの寿命 (秒) | 86400 | |
前提条件
VPNゲートウェイ、カスタマーゲートウェイ、およびIPsec-VPN接続がAlibaba Cloud上に作成され、VPNゲートウェイ上にルートが追加されます。
静的ルーティングの詳細については、「デュアルトンネルモードでVPCをデータセンターに接続する」をご参照ください。
BGP動的ルーティングの詳細については、「デュアルトンネルモードでVPCをデータセンターに接続し、BGP動的ルーティングを有効にする」をご参照ください。
シングル出力とデュアル出力のシナリオでは、異なるカスタマーゲートウェイ設定が必要です。
単一出力のシナリオでは、カスタマーゲートウェイを1つだけ作成する必要があります。 IPsec-VPN接続を作成するときは、アクティブトンネルとスタンバイトンネルで同じカスタマーゲートウェイを使用します。
デュアル出力シナリオでは、2つのカスタマーゲートウェイを作成する必要があります。 IPsec-VPN接続を作成するときは、アクティブトンネルとスタンバイトンネルのそれぞれに個別のカスタマーゲートウェイを使用します。
手順
この例では、H3C SecPath vFW1000 E1185が使用されます。 ファイアウォールの構成は、モデルやバージョンによって異なります。 使用するファイアウォールのバージョンに基づいてファイアウォールを構成するには、関連するドキュメントを参照するか、ファイアウォールの製造元を参照してください。
このセクションでは、4つのシナリオの設定例を示します。 データセンターのデバイス設定に基づいて、適切な設定手順を参照してください。
シングル出力と静的ルーティング
単一出力のシナリオでは、H3Cファイアウォールの単一出力を2つのトンネルインターフェイスにバインドし、トンネルインターフェイスの異なるIPsecプロファイルを設定して、Alibaba Cloud上のアクティブトンネルとスタンバイトンネルに接続できます。
手順1: インターフェイスとネットワークの設定
H3CファイアウォールのパブリックおよびプライベートインターフェイスのIPアドレスとセキュリティゾーンを個別に設定し、H3Cファイアウォールにルートを追加します。
# Configure a public interface.
interface GigabitEthernet 2/0
ip addr 10.32.0.175 24
quit
# Configure a private interface.
interface GigabitEthernet 4/0
ip addr 10.34.0.10 24
quit
# Add the public and private interfaces to their respective security zone.
security-zone name Untrust
import interface GigabitEthernet 2/0
quit
security-zone name Trust
import interface GigabitEthernet 4/0
quit
# Configure routes for the public IP addresses of the peer VPN gateway on Alibaba Cloud, with the next hop pointing to the gateway IP address that routes traffic to the Internet.
ip route-static 39.XX.XX.17 32 10.32.0.173
ip route-static 39.XX.XX.10 32 10.32.0.173
# Configure a route for the CIDR block of the local internal network, with the next hop pointing to the gateway IP address that routes traffic to the internal network.
ip route-static 10.0.0.0 8 10.34.0.253手順2: トンネルの設定
2つのトンネルインターフェイスを作成して、Alibaba Cloud上のアクティブトンネルとスタンバイトンネルに接続します。
# Configure the tunnel interfaces and apply IPsec to the tunnel interfaces.
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
quit
# Add the tunnel interfaces to the Untrust security zone.
security-zone name Untrust
import interface Tunnel 1
import interface Tunnel 2
quit手順3: IPsecプロポーザルと関連ポリシーの設定
IPsecとIKEを設定します。 IPsecとIKEの設定は、Alibaba Cloud側の設定と一致している必要があります。
# Configure an IPsec proposal.
ipsec transform-set to-ali-trans
encapsulation-mode tunnel
protocol esp
esp authentication-algorithm sha256
esp encryption-algorithm aes-cbc-256
pfs dh-group14
quit
# Configure an IKEv2 proposal and an IKEv2 policy.
ikev2 proposal to-ali-prop
dh group14
encryption aes-cbc-256
integrity sha256
prf sha256
quit
ikev2 policy to-ali-policy
priority 1
proposal to-ali-prop
quit
# Configure IKEv2 keychains. Specify the active and standby tunnels on Alibaba Cloud as the two peers. Set the address parameter to the public IP addresses of the active and standby tunnels on Alibaba Cloud.
ikev2 keychain to_ali_key1
peer to-ali-peer1
address 39.XX.XX.17 32
identity address 39.XX.XX.17
pre-shared-key plaintext ChangeMe****
quit
quit
ikev2 keychain to_ali_key2
peer to-ali-peer2
address 39.XX.XX.10 32
identity address 39.XX.XX.10
pre-shared-key plaintext ChangeMe****
quit
quit
# Configure IKEv2 profiles. Specify the active and standby tunnels on Alibaba Cloud as the two peers.
ikev2 profile to-ali-profile1
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key1
identity local address 8.XX.XX.3
match remote identity address 39.XX.XX.17 32
sa duration 86400
dpd interval 30 periodic
quit
ikev2 profile to-ali-profile2
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key2
identity local address 8.XX.XX.3
match remote identity address 39.XX.XX.10 32
sa duration 86400
dpd interval 30 periodic
quit
# Configure IPsec profiles and reference the preceding IKEv2 profiles.
# We recommend that you specify only the time-based SA lifetime. If you specify the traffic-based SA lifetime, set it to the maximum value.
ipsec profile to-ali-profile1 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile1
sa duration time-based 86400
quit
ipsec profile to-ali-profile2 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile2
sa duration time-based 86400
quit
# Configure the tunnel interfaces and apply the IPsec profiles to the tunnel interfaces.
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
tunnel protection ipsec profile to-ali-profile1
source 10.32.0.175
destination 39.XX.XX.17
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
tunnel protection ipsec profile to-ali-profile2
source 10.32.0.175
destination 39.XX.XX.10
quit
# Configure routes for the peer VPC CIDR block to point to the tunnel interfaces. Tunnel 1 serves as the active tunnel and has a higher priority than Tunnel 2.
ip route-static 192.168.0.0 16 Tunnel 1 preference 10
ip route-static 192.168.0.0 16 Tunnel 2 preference 20ステップ4: ACLの設定
アクセス制御リスト (ACL) を設定して、IKEプロトコルトラフィックとIPsecデータトラフィックを許可します。
この例では、構成が簡略化されている。 ビジネス要件に基づいて、きめ細かいACLを設定できます。
データセンターの複数のCIDRブロックをVPCに接続する場合は、データセンターを宛先ベースのルーティングモードでH3Cファイアウォールに接続することを推奨します。 詳細については、「CIDRブロック間の通信の有効化に関する設定の提案とFAQ」トピックの「推奨ソリューション」セクションをご参照ください。
# Configure an ACL to allow IKE negotiation packets and IPsec data packets between the Untrust security zone and any other zone. In this example, the configurations are simplified. You can configure a fine-grained ACL based on your business requirements.
acl advanced 3001
rule 0 permit ip
quit
zone-pair security source any destination any
packet-filter 3001
quitステップ5: 結果の確認
データセンターのサーバーからH3Cファイアウォールにルートを追加した後、データセンターとAlibaba Cloud上のVPC間のネットワーク接続をデータセンターからテストできます。 アクティブトンネルとスタンバイトンネルの間で切り替えを実行できるかどうかを確認することもできます。
VPCとデータセンター間のネットワーク接続をテストします。
VPC の ECS インスタンスにログインします。 ECSインスタンスにログインする方法の詳細については、接続方法の概要.
ECSインスタンスで
pingコマンドを実行し、データセンターのサーバーにpingを実行して、データセンターのアクセシビリティをテストします。ECSインスタンスにエコー応答パケットが返された場合、VPCがデータセンターと通信できることを示します。
ping <Private IP address of a server in the data center>
IPsec-VPN接続の高可用性をテストします。
VPC の ECS インスタンスにログインします。 ECSインスタンスにログインする方法の詳細については、接続方法の概要.
次のコマンドを実行して、ECSインスタンスからデータセンターにパケットを連続的に送信します。
ping <Private IP address of a server in the data center> -c 10000IPsec-VPN接続のアクティブなトンネルを閉じます。
アクティブトンネルを閉じるには、アクティブトンネルの事前共有キーを変更します。 アクティブなトンネルは、トンネルの両側が異なる事前共有鍵を使用するときに閉じられる。
アクティブなトンネルが閉じられた後、ECSインスタンスのトラフィックステータスを確認できます。 トラフィックが中断されてから再開された場合は、アクティブなトンネルがダウンした後にスタンバイトンネルが自動的に引き継ぐことを示します。
シングル出力とBGP動的ルーティング
単一出力のシナリオでは、H3Cファイアウォールの単一出力を2つのトンネルインターフェイスにバインドし、トンネルインターフェイスの異なるIPsecプロファイルを設定して、Alibaba Cloud上のアクティブトンネルとスタンバイトンネルに接続できます。
手順1: インターフェイスとネットワークの設定
H3CファイアウォールのパブリックおよびプライベートインターフェイスのIPアドレスとセキュリティゾーンを個別に設定し、H3Cファイアウォールにルートを追加します。
# Configure a public interface.
interface GigabitEthernet 2/0
ip addr 10.32.0.175 24
quit
# Configure a private interface.
interface GigabitEthernet 4/0
ip addr 10.34.0.10 24
quit
# Add the public and private interfaces to their respective security zone.
security-zone name Untrust
import interface GigabitEthernet 2/0
quit
security-zone name Trust
import interface GigabitEthernet 4/0
quit
# Configure routes for the public IP addresses of the peer VPN gateway on Alibaba Cloud, with the next hop pointing to the gateway IP address that routes traffic to the Internet.
ip route-static 39.XX.XX.17 32 10.32.0.173
ip route-static 39.XX.XX.10 32 10.32.0.173
# Configure a route for the CIDR block of the local internal network, with the next hop pointing to the gateway IP address that routes traffic to the internal network.
ip route-static 10.0.0.0 8 10.34.0.253手順2: トンネルの設定
2つのトンネルインターフェイスを作成して、Alibaba Cloud上のアクティブトンネルとスタンバイトンネルに接続します。
# Configure the tunnel interfaces and apply IPsec to the tunnel interfaces.
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
quit
# Add the tunnel interfaces to the Untrust security zone.
security-zone name Untrust
import interface Tunnel 1
import interface Tunnel 2
quit手順3: IPsecプロポーザルと関連ポリシーの設定
IPsecとIKEを設定します。 IPsecとIKEの設定は、Alibaba Cloud側の設定と一致している必要があります。
# Configure an IPsec proposal.
ipsec transform-set to-ali-trans
encapsulation-mode tunnel
protocol esp
esp authentication-algorithm sha256
esp encryption-algorithm aes-cbc-256
pfs dh-group14
quit
# Configure an IKEv2 proposal and an IKEv2 policy.
ikev2 proposal to-ali-prop
dh group14
encryption aes-cbc-256
integrity sha256
prf sha256
quit
ikev2 policy to-ali-policy
priority 1
proposal to-ali-prop
quit
# Configure IKEv2 keychains. Specify the active and standby tunnels on Alibaba Cloud as the two peers. Set the address parameter to the public IP addresses of the active and standby tunnels on Alibaba Cloud.
ikev2 keychain to_ali_key1
peer to-ali-peer1
address 39.XX.XX.17 32
identity address 39.XX.XX.17
pre-shared-key plaintext ChangeMe****
quit
quit
ikev2 keychain to_ali_key2
peer to-ali-peer2
address 39.XX.XX.10 32
identity address 39.XX.XX.10
pre-shared-key plaintext ChangeMe****
quit
quit
# Configure IKEv2 profiles. Specify the active and standby tunnels on Alibaba Cloud as the two peers.
ikev2 profile to-ali-profile1
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key1
identity local address 8.XX.XX.3
match remote identity address 39.XX.XX.17 32
sa duration 86400
dpd interval 30 periodic
quit
ikev2 profile to-ali-profile2
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key2
identity local address 8.XX.XX.3
match remote identity address 39.XX.XX.10 32
sa duration 86400
dpd interval 30 periodic
quit
# Configure IPsec profiles and reference the preceding IKEv2 profiles.
# We recommend that you specify only the time-based SA lifetime. If you specify the traffic-based SA lifetime, set it to the maximum value.
ipsec profile to-ali-profile1 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile1
sa duration time-based 86400
quit
ipsec profile to-ali-profile2 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile2
sa duration time-based 86400
quit
# Configure the tunnel interfaces and apply the IPsec profiles to the tunnel interfaces.
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
tunnel protection ipsec profile to-ali-profile1
source 10.32.0.175
destination 39.XX.XX.17
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
tunnel protection ipsec profile to-ali-profile2
source 10.32.0.175
destination 39.XX.XX.10
quit
# Configure routes for the peer VPC CIDR block to point to the tunnel interfaces. Tunnel 1 serves as the active tunnel and has a higher priority than Tunnel 2.
ip route-static 192.168.0.0 16 Tunnel 1 preference 10
ip route-static 192.168.0.0 16 Tunnel 2 preference 20ステップ4: ACLの設定
IKEプロトコルトラフィックとIPsecデータトラフィックを許可するようにACLを設定します。
この例では、構成が簡略化されている。 ビジネス要件に基づいて、きめ細かいACLを設定できます。
データセンターの複数のCIDRブロックをVPCに接続する場合は、データセンターを宛先ベースのルーティングモードでH3Cファイアウォールに接続することを推奨します。 詳細については、「CIDRブロック間の通信の有効化に関する設定の提案とFAQ」トピックの「推奨ソリューション」セクションをご参照ください。
# Configure an ACL to allow IKE negotiation packets and IPsec data packets between the Untrust security zone and any other zone. In this example, the configurations are simplified. You can configure a fine-grained ACL based on your business requirements.
acl advanced 3001
rule 0 permit ip
quit
zone-pair security source any destination any
packet-filter 3001
quit手順5: BGP動的ルーティングの設定
# Configure IP addresses for the tunnel interfaces to establish BGP peering with the VPN gateway on Alibaba Cloud.
interface tunnel 1 mode ipsec
ip address 169.254.10.2 30
quit
interface tunnel 2 mode ipsec
ip address 169.254.20.2 30
quit
# Delete the static routes that point to the tunnels in the static routing scenario.
undo ip route-static 192.168.0.0 16 Tunnel 1 preference 10
undo ip route-static 192.168.0.0 16 Tunnel 2 preference 20
# Configure BGP dynamic routing. The H3C firewall advertises 10.0.0.0/8 to the VPN gateway on Alibaba Cloud.
bgp 65500
peer 169.254.10.1 as-number 65535
peer 169.254.20.1 as-number 65535
address-family ipv4 unicast
peer 169.254.10.1 enable
peer 169.254.20.1 enable
network 10.0.0.0 8 # Advertise the CIDR block 10.0.0.0/8.設定が完了したら、BGP接続を確認します。
BGP動的ルーティングを確認します。
ルートテーブルを確認します。
ステップ6: 結果を確認する
データセンターのクライアントからH3Cファイアウォールにルートを追加した後、データセンターとAlibaba Cloud上のVPC間のネットワーク接続をデータセンターからテストできます。 アクティブトンネルとスタンバイトンネルの間で切り替えを実行できるかどうかを確認することもできます。
VPCとデータセンター間のネットワーク接続をテストします。
VPC の ECS インスタンスにログインします。 ECSインスタンスにログインする方法の詳細については、接続方法の概要.
ECSインスタンスで
pingコマンドを実行し、データセンターのサーバーにpingを実行して、データセンターのアクセシビリティをテストします。ECSインスタンスにエコー応答パケットが返された場合、VPCがデータセンターと通信できることを示します。
ping <Private IP address of a server in the data center>
IPsec-VPN接続の高可用性をテストします。
VPC の ECS インスタンスにログインします。 ECSインスタンスにログインする方法の詳細については、接続方法の概要.
次のコマンドを実行して、ECSインスタンスからデータセンターにパケットを連続的に送信します。
ping <Private IP address of a server in the data center> -c 10000IPsec-VPN接続のアクティブなトンネルを閉じます。
アクティブトンネルを閉じるには、アクティブトンネルの事前共有キーを変更します。 アクティブなトンネルは、トンネルの両側が異なる事前共有鍵を使用するときに閉じられる。
アクティブなトンネルが閉じられた後、ECSインスタンスのトラフィックステータスを確認できます。 トラフィックが中断されてから再開された場合は、アクティブなトンネルがダウンした後にスタンバイトンネルが自動的に引き継ぐことを示します。
デュアルegressesと静的ルーティング
デュアル出力シナリオでは、H3Cファイアウォールの2つの出力を2つのトンネルインターフェイスにバインドし、トンネルインターフェイス用に異なるIPsecプロファイルを設定して、Alibaba Cloud上のアクティブトンネルとスタンバイトンネルに接続できます。
手順1: インターフェイスとネットワークの設定
H3CファイアウォールのパブリックおよびプライベートインターフェイスのIPアドレスとセキュリティゾーンを個別に設定し、H3Cファイアウォールにルートを追加します。
# Configure Public Interface 1.
interface GigabitEthernet 2/0
ip addr 10.32.0.175 24
quit
# Configure Public Interface 2.
interface GigabitEthernet 3/0
ip addr 10.33.0.238 24
quit
# Configure a private interface.
interface GigabitEthernet 4/0
ip addr 10.34.0.10 24
quit
# Add the public and private interfaces to their respective security zone.
security-zone name Untrust
import interface GigabitEthernet 2/0
import interface GigabitEthernet 3/0
quit
security-zone name Trust
import interface GigabitEthernet 4/0
quit
# Configure 32-bit routes for the public IP addresses of the peer VPN gateway on Alibaba Cloud, with the next hops pointing to the gateway IP addresses that route traffic to the Internet.
ip route-static 39.XX.XX.17 32 10.32.0.173
ip route-static 39.XX.XX.10 32 10.33.0.236
# Configure a route for the CIDR block of the local internal network, with the next hop pointing to the gateway IP address that routes traffic to the internal network.
ip route-static 10.0.0.0 8 10.34.0.253
手順2: トンネルの設定
2つのトンネルインターフェイスを作成して、Alibaba Cloud上のアクティブトンネルとスタンバイトンネルに接続します。
# Configure the tunnel interfaces and apply IPsec to the tunnel interfaces.
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 3/0
quit
# Add the tunnel interfaces to the Untrust security zone.
security-zone name Untrust
import interface Tunnel 1
import interface Tunnel 2
quit手順3: IPsecプロポーザルと関連ポリシーの設定
IPsecとIKEを設定します。 IPsecとIKEの設定は、Alibaba Cloud側の設定と一致している必要があります。
# Configure an IPsec proposal.
ipsec transform-set to-ali-trans
encapsulation-mode tunnel
protocol esp
esp authentication-algorithm sha256
esp encryption-algorithm aes-cbc-256
pfs dh-group14
quit
# Configure an IKEv2 proposal and an IKEv2 policy.
ikev2 proposal to-ali-prop
dh group14
encryption aes-cbc-256
integrity sha256
prf sha256
quit
ikev2 policy to-ali-policy
priority 1
proposal to-ali-prop
quit
# Configure IKEv2 keychains. Specify the active and standby tunnels on Alibaba Cloud as the two peers. Set the address parameter to the public IP addresses of the active and standby tunnels on Alibaba Cloud.
ikev2 keychain to_ali_key1
peer to-ali-peer1
address 39.XX.XX.17 32
identity address 39.XX.XX.17
pre-shared-key plaintext ChangeMe****
quit
quit
ikev2 keychain to_ali_key2
peer to-ali-peer2
address 39.XX.XX.10 32
identity address 39.XX.XX.10
pre-shared-key plaintext ChangeMe****
quit
quit
# Configure IKEv2 profiles. Specify the active and standby tunnels on Alibaba Cloud as the two peers.
ikev2 profile to-ali-profile1
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key1
identity local address 8.XX.XX.3
match remote identity address 39.XX.XX.17 32
sa duration 86400
dpd interval 30 periodic
quit
ikev2 profile to-ali-profile2
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key2
identity local address 116.XX.XX.68
match remote identity address 39.XX.XX.10 32
sa duration 86400
dpd interval 30 periodic
quit
# Configure IPsec profiles and reference the preceding IKEv2 profiles.
# We recommend that you specify only the time-based SA lifetime. If you specify the traffic-based SA lifetime, set it to the maximum value.
ipsec profile to-ali-profile1 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile1
sa duration time-based 86400
quit
ipsec profile to-ali-profile2 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile2
sa duration time-based 86400
quit
# Configure the tunnel interfaces and apply the IPsec profiles to the tunnel interfaces.
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
tunnel protection ipsec profile to-ali-profile1
source 10.32.0.175
destination 39.XX.XX.17
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 3/0
tunnel protection ipsec profile to-ali-profile2
source 10.33.0.238
destination 39.XX.XX.10
quit
# Configure routes for the peer VPC CIDR block to point to the tunnel interfaces. Tunnel 1 serves as the active tunnel and has a higher priority than Tunnel 2.
ip route-static 192.168.0.0 16 Tunnel 1 preference 10
ip route-static 192.168.0.0 16 Tunnel 2 preference 20ステップ4: ACLの設定
IKEプロトコルトラフィックとIPsecデータトラフィックを許可するようにACLを設定します。
この例では、構成が簡略化されている。 ビジネス要件に基づいて、きめ細かいACLを設定できます。
データセンターの複数のCIDRブロックをVPCに接続する場合は、データセンターを宛先ベースのルーティングモードでH3Cファイアウォールに接続することを推奨します。 詳細については、「CIDRブロック間の通信の有効化に関する設定の提案とFAQ」トピックの「推奨ソリューション」セクションをご参照ください。
# Configure an ACL to allow IKE negotiation packets and IPsec data packets between the Untrust security zone and any other zone. In this example, the configurations are simplified. You can configure a fine-grained ACL based on your business requirements.
acl advanced 3001
rule 0 permit ip
quit
zone-pair security source any destination any
packet-filter 3001
quitステップ5: 結果の確認
データセンターのクライアントからH3Cファイアウォールにルートを追加した後、データセンターとAlibaba Cloud上のVPC間のネットワーク接続をデータセンターからテストできます。 アクティブトンネルとスタンバイトンネルの間で切り替えを実行できるかどうかを確認することもできます。
VPCとデータセンター間のネットワーク接続をテストします。
VPC の ECS インスタンスにログインします。 ECSインスタンスにログインする方法の詳細については、接続方法の概要.
ECSインスタンスで
pingコマンドを実行し、データセンターのサーバーにpingを実行して、データセンターのアクセシビリティをテストします。ECSインスタンスにエコー応答パケットが返された場合、VPCがデータセンターと通信できることを示します。
ping <Private IP address of a server in the data center>
IPsec-VPN接続の高可用性をテストします。
VPC の ECS インスタンスにログインします。 ECSインスタンスにログインする方法の詳細については、接続方法の概要.
次のコマンドを実行して、ECSインスタンスからデータセンターにパケットを連続的に送信します。
ping <Private IP address of a server in the data center> -c 10000IPsec-VPN接続のアクティブなトンネルを閉じます。
アクティブトンネルを閉じるには、アクティブトンネルの事前共有キーを変更します。 アクティブなトンネルは、トンネルの両側が異なる事前共有鍵を使用するときに閉じられる。
アクティブなトンネルが閉じられた後、ECSインスタンスのトラフィックステータスを確認できます。 トラフィックが中断されてから再開された場合は、アクティブなトンネルがダウンした後にスタンバイトンネルが自動的に引き継ぐことを示します。
デュアルエグレスとBGP動的ルーティング
デュアル出力シナリオでは、H3Cファイアウォールの2つの出力を2つのトンネルインターフェイスにバインドし、トンネルインターフェイス用に異なるIPsecプロファイルを設定して、Alibaba Cloud上のアクティブトンネルとスタンバイトンネルに接続できます。
手順1: インターフェイスとネットワークの設定
H3CファイアウォールのパブリックおよびプライベートインターフェイスのIPアドレスとセキュリティゾーンを個別に設定し、H3Cファイアウォールにルートを追加します。
# Configure Public Interface 1.
interface GigabitEthernet 2/0
ip addr 10.32.0.175 24
quit
# Configure Public Interface 2.
interface GigabitEthernet 3/0
ip addr 10.33.0.238 24
quit
# Configure a private interface.
interface GigabitEthernet 4/0
ip addr 10.34.0.10 24
quit
# Add the public and private interfaces to their respective security zone.
security-zone name Untrust
import interface GigabitEthernet 2/0
import interface GigabitEthernet 3/0
quit
security-zone name Trust
import interface GigabitEthernet 4/0
quit
# Configure 32-bit routes for the public IP addresses of the peer VPN gateway on Alibaba Cloud, with the next hops pointing to the gateway IP addresses that route traffic to the Internet.
ip route-static 39.XX.XX.17 32 10.32.0.173
ip route-static 39.XX.XX.10 32 10.33.0.236
# Configure a route for the CIDR block of the local internal network, with the next hop pointing to the gateway IP address that routes traffic to the internal network.
ip route-static 10.0.0.0 8 10.34.0.253
手順2: トンネルの設定
2つのトンネルインターフェイスを作成して、Alibaba Cloud上のアクティブトンネルとスタンバイトンネルに接続します。
# Configure the tunnel interfaces and apply IPsec to the tunnel interfaces.
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 3/0
quit
# Add the tunnel interfaces to the Untrust security zone.
security-zone name Untrust
import interface Tunnel 1
import interface Tunnel 2
quit手順3: IPsecプロポーザルと関連ポリシーの設定
IPsecとIKEを設定します。 IPsecとIKEの設定は、Alibaba Cloud側の設定と一致している必要があります。
# Configure an IPsec proposal.
ipsec transform-set to-ali-trans
encapsulation-mode tunnel
protocol esp
esp authentication-algorithm sha256
esp encryption-algorithm aes-cbc-256
pfs dh-group14
quit
# Configure an IKEv2 proposal and an IKEv2 policy.
ikev2 proposal to-ali-prop
dh group14
encryption aes-cbc-256
integrity sha256
prf sha256
quit
ikev2 policy to-ali-policy
priority 1
proposal to-ali-prop
quit
# Configure IKEv2 keychains. Specify the active and standby tunnels on Alibaba Cloud as the two peers. Set the address parameter to the public IP addresses of the active and standby tunnels on Alibaba Cloud.
ikev2 keychain to_ali_key1
peer to-ali-peer1
address 39.XX.XX.17 32
identity address 39.XX.XX.17
pre-shared-key plaintext ChangeMe****
quit
quit
ikev2 keychain to_ali_key2
peer to-ali-peer2
address 39.XX.XX.10 32
identity address 39.XX.XX.10
pre-shared-key plaintext ChangeMe****
quit
quit
# Configure IKEv2 profiles. Specify the active and standby tunnels on Alibaba Cloud as the two peers.
ikev2 profile to-ali-profile1
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key1
identity local address 8.XX.XX.3
match remote identity address 39.XX.XX.17 32
sa duration 86400
dpd interval 30 periodic
quit
ikev2 profile to-ali-profile2
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key2
identity local address 116.XX.XX.68
match remote identity address 39.XX.XX.10 32
sa duration 86400
dpd interval 30 periodic
quit
# Configure IPsec profiles and reference the preceding IKEv2 profiles.
# We recommend that you specify only the time-based SA lifetime. If you specify the traffic-based SA lifetime, set it to the maximum value.
ipsec profile to-ali-profile1 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile1
sa duration time-based 86400
quit
ipsec profile to-ali-profile2 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile2
sa duration time-based 86400
quit
# Configure the tunnel interfaces and apply the IPsec profiles to the tunnel interfaces.
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
tunnel protection ipsec profile to-ali-profile1
source 10.32.0.175
destination 39.XX.XX.17
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 3/0
tunnel protection ipsec profile to-ali-profile2
source 10.33.0.238
destination 39.XX.XX.10
quit
# Configure routes for the peer VPC CIDR block to point to the tunnel interfaces. Tunnel 1 serves as the active tunnel and has a higher priority than Tunnel 2.
ip route-static 192.168.0.0 16 Tunnel 1 preference 10
ip route-static 192.168.0.0 16 Tunnel 2 preference 20ステップ4: ACLの設定
IKEプロトコルトラフィックとIPsecデータトラフィックを許可するようにACLを設定します。
この例では、構成が簡略化されている。 ビジネス要件に基づいて、きめ細かいACLを設定できます。
データセンターの複数のCIDRブロックをVPCに接続する場合は、データセンターを宛先ベースのルーティングモードでH3Cファイアウォールに接続することを推奨します。 詳細については、「CIDRブロック間の通信の有効化に関する設定の提案とFAQ」トピックの「推奨ソリューション」セクションをご参照ください。
# Configure an ACL to allow IKE negotiation packets and IPsec data packets between the Untrust security zone and any other zone. In this example, the configurations are simplified. You can configure a fine-grained ACL based on your business requirements.
acl advanced 3001
rule 0 permit ip
quit
zone-pair security source any destination any
packet-filter 3001
quit手順5: BGP動的ルーティングの設定
# Configure IP addresses for the tunnel interfaces to establish BGP peering with the VPN gateway on Alibaba Cloud.
interface tunnel 1 mode ipsec
ip address 169.254.10.2 30
quit
interface tunnel 2 mode ipsec
ip address 169.254.20.2 30
quit
# Delete the static routes that point to the tunnels in the static routing scenario.
undo ip route-static 192.168.0.0 16 Tunnel 1 preference 10
undo ip route-static 192.168.0.0 16 Tunnel 2 preference 20
# Configure BGP dynamic routing. The H3C firewall advertises 10.0.0.0/8 to the VPN gateway on Alibaba Cloud.
bgp 65500
peer 169.254.10.1 as-number 65535
peer 169.254.20.1 as-number 65535
address-family ipv4 unicast
peer 169.254.10.1 enable
peer 169.254.20.1 enable
network 10.0.0.0 8 # Advertise the CIDR block 10.0.0.0/8.設定が完了したら、BGP接続を確認します。
BGP動的ルーティングを確認します。
ルートテーブルを確認します。
ステップ6: 結果を確認する
データセンターのクライアントからH3Cファイアウォールにルートを追加した後、データセンターとAlibaba Cloud上のVPC間のネットワーク接続をデータセンターからテストできます。 アクティブトンネルとスタンバイトンネルの間で切り替えを実行できるかどうかを確認することもできます。
VPCとデータセンター間のネットワーク接続をテストします。
VPC の ECS インスタンスにログインします。 ECSインスタンスにログインする方法の詳細については、接続方法の概要.
ECSインスタンスで
pingコマンドを実行し、データセンターのサーバーにpingを実行して、データセンターのアクセシビリティをテストします。ECSインスタンスにエコー応答パケットが返された場合、VPCがデータセンターと通信できることを示します。
ping <Private IP address of a server in the data center>
IPsec-VPN接続の高可用性をテストします。
VPC の ECS インスタンスにログインします。 ECSインスタンスにログインする方法の詳細については、接続方法の概要.
次のコマンドを実行して、ECSインスタンスからデータセンターにパケットを連続的に送信します。
ping <Private IP address of a server in the data center> -c 10000IPsec-VPN接続のアクティブなトンネルを閉じます。
アクティブトンネルを閉じるには、アクティブトンネルの事前共有キーを変更します。 アクティブなトンネルは、トンネルの両側が異なる事前共有鍵を使用するときに閉じられる。
アクティブなトンネルが閉じられた後、ECSインスタンスのトラフィックステータスを確認できます。 トラフィックが中断されてから再開された場合は、アクティブなトンネルがダウンした後にスタンバイトンネルが自動的に引き継ぐことを示します。
単一トンネルモード
シナリオ
シナリオの説明:
企業にはデータセンターがあり、Alibaba Cloudとの通信用にデータセンターのCIDRブロック10.34.0.0/24を割り当てます。
Alibaba CloudにVPCをデプロイしました。 VPC CIDRブロックは192.168.0.0/16です。 アプリケーションはVPCのECSインスタンスにデプロイされます。
企業は、データセンターとVPC間の通信を可能にするために、Alibaba Cloud上のデータセンターとVPC間にシングルトンネルモードでIPsec-VPN接続を確立する予定です。
シングルトンネルモードの場合、このセクションでは、静的ルーティングモードの設定例を示します。
IPアドレスプラン
この例のネットワーク構成を次の表に示します。
場所 | 設定アイテム | 例 |
データセンター | H3CファイアウォールIPアドレス | GEインターフェイス2 (インターネット出口): 10.32.0.175/24 ネクストホップ: 10.32.0.173 マップされたパブリックIPアドレス: 8.XX. XX.3 |
GEインターフェイス4 (プライベートインターフェイス): 10.34.0.20/24 | ||
サーバーIPアドレス | 10.34.0.21 | |
Alibaba Cloud | VPNゲートウェイIPアドレス | 39.XX.XX.17 |
VPC CIDR ブロック | 192.168.0.0/16 | |
vSwitch CIDRブロック | 192.168.1.0/24 | |
ECSインスタンスのIPアドレス | 192.168.1.11 |
IPsec-VPN接続設定プラン
Alibaba CloudとH3CファイアウォールのIPsec-VPN接続設定は同じである必要があります。
設定アイテム | 例 | |
事前共有キー | ChangeMe **** | |
IKE | Version | ikev2 |
ネゴシエーションモード | メイン | |
暗号化アルゴリズム | aes256 | |
認証アルゴリズム | sha256 | |
DH グループ | グループ14 | |
SAの寿命 (秒) | 86400 | |
IPsec | 暗号化アルゴリズム | aes256 |
認証アルゴリズム | sha256 | |
DH グループ | グループ14 | |
SAの寿命 (秒) | 86400 | |
前提条件
VPNゲートウェイ、カスタマーゲートウェイ、およびIPsec-VPN接続がAlibaba Cloud上に作成され、VPNゲートウェイ上にルートが追加されます。 詳細については、「シングルトンネルモードでVPCをデータセンターに接続する」をご参照ください。
手順
この例では、H3C SecPath vFW1000 E1185が使用されます。 ファイアウォールの構成は、モデルやバージョンによって異なります。 使用するファイアウォールのバージョンに基づいてファイアウォールを構成するには、関連するドキュメントを参照するか、ファイアウォールの製造元を参照してください。
静的ルーティング
手順1: インターフェイスとネットワークの設定
H3CファイアウォールのパブリックおよびプライベートインターフェイスのIPアドレスとセキュリティゾーンを個別に設定し、H3Cファイアウォールにルートを追加します。
# Configure a public interface.
interface GigabitEthernet 2/0
ip addr 10.32.0.175 24
quit
# Configure a private interface.
interface GigabitEthernet 4/0
ip addr 10.34.0.10 24
quit
# Add the public and private interfaces to their respective security zone.
security-zone name Untrust
import interface GigabitEthernet 2/0
quit
security-zone name Trust
import interface GigabitEthernet 4/0
quit
# Configure a route for the public IP address of the peer VPN gateway on Alibaba Cloud, with the next hop pointing to the gateway IP address that routes traffic to the Internet.
ip route-static 39.XX.XX.17 32 10.32.0.173
# Configure a route for the CIDR block of the local internal network, with the next hop pointing to the gateway IP address that routes traffic to the internal network.
ip route-static 10.0.0.0 8 10.34.0.253手順2: トンネルの設定
Alibaba Cloud上のトンネルに接続するためのトンネルインターフェイスを作成します。
# Configure the tunnel interface and apply IPsec to the tunnel interface.
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
quit
# Add the tunnel interface to the Untrust security zone.
security-zone name Untrust
import interface Tunnel 1
quit手順3: IPsecプロポーザルと関連ポリシーの設定
IPsecとIKEを設定します。 IPsecとIKEの設定は、Alibaba Cloud側の設定と一致している必要があります。
# Configure an IPsec proposal.
ipsec transform-set to-ali-trans
encapsulation-mode tunnel
protocol esp
esp authentication-algorithm sha256
esp encryption-algorithm aes-cbc-256
pfs dh-group14
quit
# Configure an IKEv2 proposal and an IKEv2 policy.
ikev2 proposal to-ali-prop
dh group14
encryption aes-cbc-256
integrity sha256
prf sha256
quit
ikev2 policy to-ali-policy
priority 1
proposal to-ali-prop
quit
# Configure an IKEv2 keychain. Specify the tunnel on Alibaba Cloud as the peer. Set the address parameter to the public IP address of the tunnel on Alibaba Cloud.
ikev2 keychain to_ali_key1
peer to-ali-peer1
address 39.XX.XX.17 32
identity address 39.XX.XX.17
pre-shared-key plaintext ChangeMe****
quit
quit
# Configure an IKEv2 profile. Specify the tunnel on Alibaba Cloud as the peer.
ikev2 profile to-ali-profile1
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key1
identity local address 8.XX.XX.3
match remote identity address 39.XX.XX.17 32
sa duration 86400
dpd interval 30 periodic
quit
# Configure an IPsec profile and reference the preceding IKEv2 profile.
ipsec profile to-ali-profile1 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile1
# We recommend that you specify only the time-based SA lifetime. If you specify the traffic-based SA lifetime, set it to the maximum value.
sa duration time-based 86400
quit
# Configure the tunnel interface and apply the IPsec profile to the tunnel interface.
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
tunnel protection ipsec profile to-ali-profile1
source 10.32.0.175
destination 39.XX.XX.17
quit
# Configure a route for the peer VPC CIDR block to point to the tunnel interface.
ip route-static 192.168.0.0 16 Tunnel 1 preference 10ステップ4: ACLの設定
IKEプロトコルトラフィックとIPsecデータトラフィックを許可するようにACLを設定します。
この例では、構成が簡略化されている。 ビジネス要件に基づいて、きめ細かいACLを設定できます。
データセンターの複数のCIDRブロックをVPCに接続する場合は、データセンターを宛先ベースのルーティングモードでH3Cファイアウォールに接続することを推奨します。 詳細については、「CIDRブロック間の通信の有効化に関する設定の提案とFAQ」トピックの「推奨ソリューション」セクションをご参照ください。
# Configure an ACL to allow IKE negotiation packets and IPsec data packets between the Untrust security zone and any other zone. In this example, the configurations are simplified. You can configure a fine-grained ACL based on your business requirements.
acl advanced 3001
rule 0 permit ip
quit
zone-pair security source any destination any
packet-filter 3001
quitステップ5: 結果の確認
データセンターのサーバーからH3Cファイアウォールにルートを追加した後、データセンターとAlibaba Cloud上のVPC間のネットワーク接続をデータセンターからテストできます。
VPCでパブリックIPアドレスが割り当てられていないECSインスタンスにログインします。 詳細については、「」をご参照ください。接続方法の概要.
pingコマンドを実行して、データセンターのサーバーにpingを実行し、ネットワーク接続をテストします。
エコー応答パケットを受信できる場合は、接続が確立されます。