IPsec-VPN接続を作成して暗号化通信を確立できます。 その後、IPsec-VPN接続を介してオンプレミスデータセンターと仮想プライベートクラウド (VPC) 間の接続を実装できます。 このトピックでは、デュアルトンネルモードでIPsec-VPN接続を作成および管理する方法について説明します。
前提条件
IPsec-VPNを設定する手順は完了です。 詳細については、「概要」をご参照ください。
IPsec-VPN接続の作成
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。
説明IPsec-VPN接続は、IPsec-VPN接続に関連付けられるVPNゲートウェイのリージョンで作成する必要があります。
IPsec 接続ページをクリックします。VPN 接続の作成.
VPN 接続の作成ページで、次の表に記載されているパラメーターを設定し、OK.
基本設定
パラメーター
説明
名前
IPsec-VPN 接続の名前。
リソースグループ
VPN gatewayが属するリソースグループ。
このパラメーターを空のままにすると、すべてのリソースグループのVPNゲートウェイが表示されます。
リソースの関連付け
IPsec-VPN接続に関連付けるネットワークリソースのタイプ。
VPN Gateway を選択します。
VPN Gateway
IPsec-VPN接続に関連付けるVPNゲートウェイ。
ルーティングモード
IPsec-VPN接続のルーティングモード。 有効な値:
宛先ルーティングモード (デフォルト): 宛先IPアドレスに基づいてトラフィックをルーティングおよび転送します。
保護されたデータフロー: 送信元と送信先のIPアドレスに基づいてトラフィックをルーティングおよび転送します。
保護されたデータフローを選択した後、ローカルネットワークおよびリモートネットワークパラメーターを設定する必要があります。
IPsec-VPN接続を設定すると、VPNゲートウェイのポリシーベースのルートテーブルにポリシーベースのルートが自動的に追加されます。 ルートの送信元CIDRブロックは、IPsec-VPN接続のローカルネットワークです。 ルートの宛先CIDRブロックは、IPsec-VPN接続のリモートネットワークです。 ルートの次のホップはIPsec − VPN接続である。 デフォルトでは、ポリシーベースのルートはアドバタイズされません。 ビジネス要件に基づいて、ポリシーベースのルートをVPCのルートテーブルにアドバタイズして接続することができます。 詳細については、「ポリシーベースのルートの設定」トピックのポリシーベースのルートの広告セクションをご参照ください。
ローカルネットワーク
データセンターに接続するVPCのCIDRブロック。 このCIDRブロックはフェーズ2ネゴシエーションで使用されます。
フィールドの右側にあるアイコンをクリックして、CIDRブロックを追加します。
説明複数のCIDRブロックを指定する場合は、Internet Key Exchange (IKE) バージョンをikev2に設定する必要があります。
リモートネットワーク
VPCに接続するデータセンターのCIDRブロック。 このCIDRブロックはフェーズ2ネゴシエーションで使用されます。
フィールドの右側にあるアイコンをクリックして、CIDRブロックを追加します。
説明複数のCIDRブロックを指定する場合は、IKEバージョンをikev2に設定する必要があります。
今すぐ有効化有効
IPsec-VPNネゴシエーションをすぐに開始するかどうかを指定します。
はい (デフォルト): IPsec-VPN接続が作成された後、すぐにIPsec-VPNネゴシエーションを開始します。
いいえ: インバウンドトラフィックが検出されると、IPsec-VPNネゴシエーションを開始します。
BGPの有効化
トンネルのBorder Gateway Protocol (BGP) 動的ルーティングを有効にするかどうかを指定します。 デフォルトでは、BGP動的ルーティングは無効になっています。
BGP動的ルーティングを有効にすると、トンネルはBGP経由のデータセンタールートとVPCルートを自動的に学習してアドバタイズできます。 これにより、ネットワークのメンテナンスと構成が容易になります。
BGP動的ルーティングを使用する前に、その動作方法とその制限について詳しく知っておくことをお勧めします。 詳細については、「BGP動的ルーティングの設定」をご参照ください。
ローカル ASN
トンネルのローカル自律システム番号 (ASN) 。 デフォルト値: 45104 有効な値: 1 ~ 4294967295
説明プライベートASNを使用して、BGP経由でAlibaba Cloudへの接続を確立することを推奨します。 プライベートASNの有効な値の詳細については、関連するドキュメントを参照してください。
トンネル設定
次の表に、トンネルパラメーターを示します。 デフォルトでは、トンネル1はプライマリトンネルで、トンネル2はセカンダリトンネルです。 VPNゲートウェイのIPアドレス1は、トンネル1を確立するために使用され、VPNゲートウェイのIPアドレス2は、トンネル2を確立するために使用される。 トンネルのプライマリまたはセカンダリの役割を変更することはできません。
重要デュアルトンネルモードでIPsec-VPN接続を作成する場合は、2つのトンネルを設定し、それらが使用可能であることを確認する必要があります。 トンネルの1つのみを設定または使用する場合、IPsec-VPN接続のアクティブ /スタンバイトンネルの冗長性と、ゾーン全体のディザスタリカバリ機能を体験することはできません。
パラメーター
説明
カスタマーゲートウェイ
トンネルに関連付けられるカスタマーゲートウェイ。
両方のトンネルを同じカスタマーゲートウェイに関連付けることができます。
事前共有鍵
トンネルとピア間のIDを検証するために使用される事前共有キー。
キーの長さは1〜100文字である必要があり、数字、文字、および次の特殊文字を含めることができます。
~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?
。 キーにスペースを含めることはできません。事前共有キーを指定しない場合、事前共有キーとして16文字の文字列がランダムに生成されます。 IPsec-VPN接続が作成された後、トンネルの [操作] 列の [編集] をクリックして、システムによって生成された事前共有キーを表示できます。 詳細については、このトピックの「トンネルの設定の変更」をご参照ください。
重要トンネルとピアが同じ事前共有キーを使用していることを確認します。 そうでなければ、トンネル通信を確立できない。
暗号化設定: IKE設定
パラメーター
説明
バージョン
IKEバージョン。 有効な値:
ikev1
ikev2 (デフォルト)
IKEv2は、IKEv1と比較して、SAネゴシエーションを簡素化し、複数のCIDRブロック間で通信が確立されるシナリオをより適切にサポートします。 IKEv2の使用を推奨します。
ネゴシエーションモード
交渉モード。 有効な値:
main (デフォルト): このモードは、交渉中に高いセキュリティを提供します。
積極的: このモードは、より迅速な交渉とより高い成功率をサポートします。
どのモードが使用されても、接続はデータ伝送のために同じレベルのセキュリティを提供される。
暗号化アルゴリズム
フェーズ1ネゴシエーションで使用される暗号化アルゴリズム。
有効な値: aes、aes192、aes256、des、3des。 デフォルト値: aes。AES-128を指定します。
説明VPN gatewayの帯域幅が200 Mbit/s以上の場合、aes、aes192、またはaes256を選択することを推奨します。 3desは推奨されません。
AES (Advanced Encryption Standard) は、高レベルの暗号化および復号化を提供する対称鍵暗号化アルゴリズムである。 AESは安全なデータ伝送を保証し、ネットワーク遅延、スループット、転送パフォーマンスにほとんど影響を与えません。
トリプルDES (3DES) は、その3層暗号化技術を通じて強化されたセキュリティを提供します。 3DES暗号化は、AESと比較して計算量が多く、時間がかかり、転送性能が低下する。
認証アルゴリズム
フェーズ1ネゴシエーションで使用する認証アルゴリズムを選択します。
有効な値: sha1、md5、sha256、sha384、sha512 デフォルト値: sha1。
説明オンプレミスのゲートウェイデバイスにVPN設定を追加する場合は、確率的ランダムフォレスト (PRF) アルゴリズムを指定する必要があります。 PRFアルゴリズムは、IKE構成における認証アルゴリズムと一致することができる。
DH グループ (前方秘匿性 PFS)
フェーズ1ネゴシエーションで使用されるDiffie-Hellman (DH) キー交換アルゴリズム。 有効な値:
group1: DHグループ1。
group2 (デフォルト): DHグループ2。
group5: DHグループ5。
グループ14: DHグループ14。
SA ライフサイクル (秒)
フェーズ1交渉が成功した後のSAの存続期間。 単位は秒です。 デフォルト値: 86400 有効値: 0 ~ 86400
LocalId
トンネルのローカルID。 デフォルト値はトンネルのIPアドレスです。
このパラメーターは、IPsec-VPNネゴシエーションでAlibaba Cloudを識別するためにのみ使用されます。 IDとしてIPアドレスまたは完全修飾ドメイン名 (FQDN) を使用できます。 値にスペースを含めることはできません。 プライベートIPアドレスを使用することを推奨します。
LocalIdパラメーターをFQDN (s example.aliyun.comなど) に設定した場合、オンプレミスゲートウェイデバイスのIPsec-VPN接続のピアIDは、LocalIdパラメーターの値と同じである必要があります。 この場合、ネゴシエーションモードをアグレッシブに設定することを推奨します。
RemoteId
トンネルのピアID。 デフォルト値は、カスタマーゲートウェイのIPアドレスです。
このパラメーターは、IPsec-VPNネゴシエーションでオンプレミスゲートウェイデバイスを識別するためにのみ使用されます。 IDとしてIPアドレスまたはFQDNを使用できます。 値にスペースを含めることはできません。 プライベートIPアドレスを使用することを推奨します。
RemoteIdパラメーターをFQDN (s example.aliyun.comなど) に設定した場合、オンプレミスゲートウェイデバイスのIPsec-VPN接続のローカルIDは、RemoteIdパラメーターの値と同じである必要があります。 この場合、ネゴシエーションモードをアグレッシブに設定することを推奨します。
暗号化設定: IPsec設定
パラメーター
説明
暗号化アルゴリズム
フェーズ2ネゴシエーションで使用する暗号化アルゴリズムを選択します。
有効な値: aes、aes192、aes256、des、3des。 デフォルト値: aes。AES-128を指定します。
説明VPN gatewayの帯域幅が200 Mbit/s以上の場合、aes、aes192、またはaes256を選択することを推奨します。 3desは推奨されません。
AES (Advanced Encryption Standard) は、高レベルの暗号化および復号化を提供する対称鍵暗号化アルゴリズムである。 AESは安全なデータ伝送を保証し、ネットワーク遅延、スループット、転送パフォーマンスにほとんど影響を与えません。
トリプルDES (3DES) は、その3層暗号化技術を通じて強化されたセキュリティを提供します。 3DES暗号化は、AESと比較して計算量が多く、時間がかかり、転送性能が低下する。
認証アルゴリズム
フェーズ2ネゴシエーションで使用する認証アルゴリズムを選択します。
有効な値: sha1、md5、sha256、sha384、sha512 デフォルト値: sha1。
DH グループ (前方秘匿性 PFS)
フェーズ2ネゴシエーションで使用されるDH鍵交換アルゴリズム。 有効な値:
disabled: DHキー交換アルゴリズムを使用しません。
完全転送機密 (PFS) をサポートしていないクライアントの場合は、[無効] を選択します。
無効以外の値を選択した場合、PFSはデフォルトで有効になります。 この場合、交渉ごとに鍵が更新される。 したがって、クライアントのPFSを有効にする必要があります。
group1: DHグループ1。
group2 (デフォルト): DHグループ2。
group5: DHグループ5。
グループ14: DHグループ14。
SA ライフサイクル (秒)
フェーズ2の交渉が成功した後、SAのライフタイムを入力します。 単位は秒です。 デフォルト値: 86400 有効値: 0 ~ 86400
DPD
デッドピア検出 (DPD) 機能を有効にするかどうかを指定します。 デフォルトでは、DPD機能は有効です。
DPD機能を有効にすると、IPsec-VPN接続はDPDパケットを送信してピアの存在と可用性を確認します。 指定された期間内にピアから応答が受信されない場合、接続は失敗します。 次に、Internet Security Association and Key Management Protocol (ISAKMP) SA、IPsec SA、およびIPsecトンネルが削除されます。 DPDパケットタイムアウトが発生すると、IPsec-VPN接続は自動的にトンネルとのIPsec-VPNネゴシエーションを再開します。
4月2019日から1月2023日までに作成されたVPNゲートウェイの場合:
IPsec-VPN接続の作成時にIKEv1を使用する場合、DPDパケットのタイムアウト時間は30秒です。
IPsec-VPN接続の作成時にIKEv2を使用する場合、DPDパケットのタイムアウト時間は3,600秒です。
2月2023日以降に作成されたVPN Gatewayの場合:
IPsec-VPN接続の作成時にIKEv1を使用する場合、DPDパケットのタイムアウト時間は30秒です。
IPsec-VPN接続の作成時にIKEv2を使用する場合、DPDパケットのタイムアウト時間は130秒です。
NAT トラバーサル
NATトラバーサル機能を有効にするかどうかを指定します。 デフォルトでは、NATトラバーサル機能は有効になっています。
NATトラバーサルを有効にすると、イニシエータはIKEネゴシエーション中にUDPポートをチェックせず、IPsecトンネルに沿ってNATゲートウェイデバイスを自動的に検出できます。
BGP 設定
IPsec-VPN接続のBGP動的ルーティングを有効にすると、次の表に示すBGPパラメーターを設定できます。 IPsec-VPN接続のBGP動的ルーティングを無効にすると、IPsec-VPN接続の作成後にトンネルに対してこの機能を有効にできます。 詳細については、このトピックの「IPsec-VPN接続の作成後のトンネルのBGP動的ルーティングの有効化」をご参照ください。
パラメーター
説明
トンネル CIDR ブロック
トンネルのCIDRブロック。
CIDRブロックは169.254.0.0/16に該当する必要があります。 CIDRブロックのマスクは30ビット長でなければなりません。 CIDRブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、または169.254.169.252/30にすることはできません。
説明VPNゲートウェイでは、各トンネルのCIDRブロックは一意である必要があります。
ローカル BGP IP アドレス
トンネルのBGP IPアドレス。
このIPアドレスは、トンネルのCIDRブロック内にある必要があります。
[タグ]
IPsec-VPN接続を作成するときに、リソースの集約と検索を容易にするために、IPsec-VPN接続にタグを追加できます。 詳細については、「概要」をご参照ください。
パラメーター
説明
タグキー
IPsec-VPN接続のタグキー。 タグキーを選択または入力できます。
タグ値
IPsec-VPN接続のタグ値。 タグ値を選択または入力できます。 タグ値パラメーターは空のままにすることができます。
表示されたメッセージボックスで、[OK] をクリックします。
次に何をすべきか
IPsec-VPN接続が作成された後、IPsec-VPN接続のピア設定をダウンロードし、設定をオンプレミスのゲートウェイデバイスにアップロードする必要があります。 詳細については、このトピックの「IPsec-VPN接続のピア設定のダウンロード」および「ローカルゲートウェイの設定」をご参照ください。
IPsec-VPN接続のピア設定のダウンロード
IPsec-VPN接続の作成後、IPsec-VPN接続のピア設定をダウンロードし、その設定をオンプレミスのゲートウェイデバイスにアップロードして、オンプレミスのゲートウェイデバイスを設定できます。
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
IPsec 接続ページで、管理するIPsec-VPN接続を見つけて、ピア構成の生成で、操作列を作成します。
[コピー] をクリックします。VPN 接続の構成ダイアログボックスで、設定をオンプレミスのデバイスに保存します。
オンプレミスゲートウェイデバイスを設定する方法の詳細については、「ローカルゲートウェイの設定」をご参照ください。
IPsec-VPN接続のトンネルの表示
IPsec-VPN接続を作成した後、IPsec-VPN接続の詳細ページでトンネルのステータスと情報を表示できます。
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
IPsec 接続 ページで、管理するIPsec-VPN接続のIDをクリックします。
IPsec-VPN接続の詳細ページが表示されます。 [トンネル] タブで、トンネルのステータスと情報を表示できます。
パラメーター
説明
トンネル /トンネルID
トンネルID。
トンネルの主 /副役割
トンネルの主な役割または二次的な役割。 有効な値:
Primary: プライマリトンネル。
Secondary: 二次トンネル。
ゲートウェイIPアドレス
IPsec-VPN接続の確立に使用されるAlibaba Cloud側のIPアドレス。
デフォルトでは、プライマリトンネルはVPNゲートウェイのIPアドレス1を使用します。
デフォルトでは、セカンダリトンネルはVPNゲートウェイのIPアドレス2を使用します。
トンネルCIDRブロック
トンネルのCIDRブロック。 トンネルのBGP動的ルーティングを有効にすると、値が表示されます。
ローカルBGP IPアドレス
トンネルのBGP IPアドレス。 トンネルのBGP動的ルーティングを有効にすると、値が表示されます。
接続ステータス
トンネルのIPsec-VPNネゴシエーションのステータス。
IPsec-VPNネゴシエーションが成功した場合、フェーズ2の交渉は成功しました。 というメッセージが表示されます。
IPsec-VPNネゴシエーションが失敗した場合、障害情報がコンソールに表示されます。 情報に基づいて問題をトラブルシューティングできます。 詳細については、「IPsec-VPN接続の問題のトラブルシューティング」をご参照ください。
カスタマーゲートウェイ
トンネルに関連付けられているカスタマーゲートウェイ。
カスタマーゲートウェイは、データセンター側のIPアドレスとBGP ASNで構成されています。
状態
トンネルのステータス。 有効な値:
アクティブ
更新中
削除中
IPsec-VPN接続の作成後にトンネルのBGP動的ルーティングを有効にする
IPsec-VPN接続の作成時にBGP動的ルーティングが有効になっていない場合は、IPsec-VPN接続の作成後にトンネルに対してこの機能を有効にできます。
IPsec-VPN接続のBGP動的ルーティングを有効にする前に、IPsec-VPN接続に関連付けられているカスタマーゲートウェイにBGP ASNがあることを確認してください。 カスタマーゲートウェイにBGP ASNが設定されていない場合、IPsec-VPN接続でBGP動的ルーティングを有効にすることはできません。
現在のIPsec-VPN接続を削除して、新しいIPsec-VPN接続を作成できます。 次に、IPsec-VPN接続をBGP ASNで構成されているカスタマーゲートウェイに関連付けます。
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
IPsec 接続ページで、管理するIPsec-VPN接続のIDをクリックします。
IPsec-VPN接続の詳細ページで、BGPの有効化で、IPsec 接続セクションにアクセスします。
BGP 設定ダイアログボックスで、BGP動的ルーティングを設定し、OK.
両方のトンネルにBGP動的ルーティングを設定する必要があります。 BGPパラメーターの詳細については、このトピックの「BGP設定」セクションをご参照ください。
BGP動的ルーティングを無効にするには、[BGPの有効化] の右側にあるアイコンをクリックします。 BGP 設定を無効にする ダイアログボックスで、[OK] をクリックします。
トンネルの設定を変更する
IPsec-VPN接続の作成後に、トンネル設定を変更できます。 ただし、トンネルに関連付けられているカスタマーゲートウェイは変更できません。
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
IPsec 接続ページで、管理するIPsec-VPN接続のIDをクリックします。
IPsec-VPN接続の詳細ページで、管理するトンネルを見つけて、編集で、操作列を作成します。
表示されるページで、トンネルの設定を変更し、OK.
パラメーターの詳細については、「トンネル設定」をご参照ください。
IPsec-VPN接続の設定を変更する
IPsec-VPN接続がVPNゲートウェイに関連付けられている場合、関連付けられているVPNゲートウェイを変更することはできません。 変更できるのは、ルーティングモード と 今すぐ有効化 パラメーターのみです。
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
IPsec 接続ページで、管理するIPsec-VPN接続を見つけて、編集で、操作列を作成します。
VPN 接続の変更ページで、IPsec-VPN接続の設定 (名前やCIDRブロックなど) を変更し、OK.
パラメーターの詳細については、このトピックの「IPsec-VPN接続の作成」をご参照ください。
IPSec-VPN 接続の削除
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
IPsec 接続ページで、削除するIPsec-VPN接続を見つけて、削除で、操作列を作成します。
表示されるダイアログボックスで、情報を確認し、OK.
API操作によるIPsec-VPN接続の作成と管理
Alibaba Cloud SDK (推奨) 、Alibaba Cloud CLI、Terraform、Resource Orchestration Service (ROS) などのツールを使用して、API操作を呼び出してIPsec-VPN接続を作成および管理できます。 次のAPI操作を呼び出すことができます。