VPN Gatewayは、Border Gateway Protocol (BGP) の動的ルーティングをサポートします。 データセンターとAlibaba Cloudの間にIPsec-VPN接続を確立すると、BGPを使用して自動的にルートを学習し、相互に通信することができます。 これにより、ネットワークメンテナンスコストとネットワーク構成エラーが削減されます。
BGP動的ルーティングをサポートするリージョン
地域 | リージョン |
アジア太平洋 | 中国 (杭州) 、中国 (上海) 、 中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (深セン) 、中国 (香港) 、日本 (東京) 、シンガポール、オーストラリア (シドニー) (サービス終了)、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) |
ヨーロッパおよびアメリカ | ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (バージニア) 、米国 (シリコンバレー) |
中東 | UAE (ドバイ) |
BGP動的ルートのアドバタイズ方法
BGP動的ルーティングがVPNゲートウェイとデータセンターに設定された後、BGPルートは次の方法でアドバタイズされます。
Alibaba Cloudへ
データセンターがBGPルーティング設定でルートをアドバタイズすると、これらのルートはBGP動的ルーティングを使用してAlibaba CloudのVPNゲートウェイに自動的にアドバタイズされます。 Alibaba CloudのVPNゲートウェイに対して自動BGP広告を有効にすると、VPNゲートウェイは、学習したルートを関連付けられた仮想プライベートクラウド (VPC) のシステムルートテーブルに自動的に広告します。 カスタムルートテーブルに通知されるルートはありません。
データセンターへ
Alibaba CloudのVPNゲートウェイは、VPCのカスタムルートテーブルでシステムルートを学習するのではなく、BGPを介してVPCのシステムルートテーブルでシステムルートを自動的に学習し、これらのルートをデータセンターに自動的にアドバタイズします。
BGP動的ルーティングの制限
デフォルトでは、VPNゲートウェイのBGPルートテーブルは最大50のルートをサポートします。 クォータ制限を増やしたい場合は、チケットを起票します。
VPNゲートウェイは、BGPピアによってアドバタイズされる0.0.0.0/0ルートを受信できません。
BGP動的ルーティングを使用して、宛先CIDRブロックが100.64.0.0/10であるルート、100.64.0.0/10のサブセット、または100.64.0.0/10を含むCIDRブロックをVPNゲートウェイにアドバタイズしないでください。 このようなルートがアドバタイズされた場合、関連するIPsec-VPN接続のステータスをVPN Gatewayコンソールに表示できないか、IPsec-VPNネゴシエーションが失敗します。
同じVPNゲートウェイ内の複数のIPsec-VPN接続に対してBGP動的ルーティングが有効になっている場合、これらの接続のローカル自律システム番号 (ASN) は同じでなければなりません。
同じVPNゲートウェイと異なるデータセンター間でIPsec-VPN接続が確立されている場合、異なるIPsec-VPN接続のルートを互いにアドバタイズすることはできません。
VPCが複数のVPNゲートウェイに関連付けられている場合、VPNゲートウェイをBGPピアとして設定したり、異なるVPNゲートウェイのルートを相互に通知したりすることはできません。
VPCが複数のVPNゲートウェイに関連付けられ、これらのVPNゲートウェイに対してBGP動的ルーティングが有効になっているシナリオでは、これらのVPNゲートウェイが同じカスタマーゲートウェイに関連付けられている場合、VPNゲートウェイのIPsec-VPN接続が同じローカルASNを使用していることを確認します。 そうでなければ、ルーティングループが発生し得る。
接続回復力のためにExpress connect回路とVPNゲートウェイを使用してデータセンターをVPCに接続する場合は、必ず仮想ボーダールーター (VBR) とVPNゲートウェイに同じデータセンターASNを指定してください。 これにより、データセンターでのルートのフラッピングが防止されます。
Cloud Enterprise Network (CEN) インスタンスにアタッチされているVPNゲートウェイのBGP動的ルーティングを有効にした後、CENインスタンスの重複ルーティングを有効にする必要があります。
説明デフォルトでは、2019年3月1日 (UTC + 8) 以降に作成されたCENインスタンスで重複ルーティングが有効になります。 詳細については、「重複ルーティングの有効化」をご参照ください。
複数のVPCが同じCENインスタンスに関連付けられている場合、VPCに関連付けられているVPNゲートウェイがBGPを使用してデータセンターに接続されていないことを確認します。 これにより、Alibaba Cloudでのルートのフラッピングが防止されます。
VPNゲートウェイにデュアルトンネルモードのIPsec-VPN接続が複数存在し、これらの接続に対してBGP動的ルーティングが設定されているシナリオでは、これらの接続を介してVPNゲートウェイによって学習されるルートの宛先CIDRブロックが互いに競合することはありません。 それ以外の場合、ルートは有効になりません。
BGP動的ルーティング設定に関する推奨事項
IPsec-VPN接続の場合、ルーティングモードを宛先ルーティングモードに設定することを推奨します。
二重トンネルモードのIPsec-VPN接続に対してBGP動的ルーティングが設定されている場合、トンネルのASNは同じでなければなりません。 さらに、トンネルピアに同じBGP ASNを指定することを推奨します。
手順
カスタマーゲートウェイのデータセンターのASNを指定します。 詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。
カスタマーゲートウェイの作成時にデータセンターのASNを指定しない場合は、現在のカスタマーゲートウェイを削除して別のカスタマーゲートウェイを作成する必要があります。
カスタマーゲートウェイの作成後は、編集できません。 ASNを変更する場合は、現在のカスタマーゲートウェイを削除し、別のカスタマーゲートウェイを作成します。
IPsec接続のBGPを有効にし、BGP動的ルーティング設定を追加します。 詳細については、「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
次の表に、BGP動的ルーティングと強く相関するコンテンツのみを示します。
説明IPsec-VPN接続のBGPをデュアルトンネルモードで有効にした場合、設定項目の順序は次の表と異なります。 プライマリトンネルとセカンダリトンネルのカスタマーゲートウェイを選択し、BGP設定を追加する必要があります。 詳細については、VPN Gatewayコンソールを確認してください。
BGP動的ルーティングの設定時に、現在のVPN gatewayバージョンがサポートされていないことを示すメッセージが表示された場合は、まずVPN gatewayインスタンスのバージョンをアップグレードしてください。 詳細については、「VPN gatewayのアップグレード」をご参照ください。
パラメーター
説明
カスタマーゲートウェイ
データセンターのASNでカスタマーゲートウェイを選択します。
BGPの有効化
[BGPの有効化] を選択します。
ローカル ASN
トンネルのローカルASN。 デフォルト値: 45104 有効な値: 1 ~ 4294967295
トンネル CIDR ブロック
トンネルのCIDRブロック。
CIDRブロックは169.254.0.0/16に該当する必要があります。 CIDRブロックのマスクは30ビット長でなければなりません。 CIDRブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、または169.254.169.252/30にすることはできません。
説明VPNゲートウェイでは、各トンネルのCIDRブロックは一意である必要があります。
ローカル BGP IP アドレス
トンネルのBGP IPアドレス。
このIPアドレスは、トンネルのCIDRブロック内にある必要があります。
VPNゲートウェイの自動BGPルート広告を有効にします。
この機能を有効にすると、学習したBGPルートがVPCのシステムルートテーブルに自動的にアドバタイズされます。
VPN Gatewayコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
VPN Gatewayページで、管理するVPN gatewayを見つけ、[自動ルート広告の有効化] 列で自動ルート広告機能を有効にします。
