IPsec-VPN接続を作成して、データセンターとトランジットルーター間の暗号化接続を確立できます。 このトピックでは、このようなIPsec-VPN接続を作成および管理する方法について説明します。
前提条件
IPsec-VPN接続を作成する前に、手順を理解し、前提条件が満たされていることを確認してください。 詳細については、「概要」トピックの「手順」セクションをご参照ください。
IPsec-VPN接続の作成
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。
IPsec-VPN接続は、IPsec-VPN接続に関連付けるトランジットルーターと同じリージョンに作成する必要があります。
IPsec接続ページをクリックします。IPsec-VPN接続の作成.
IPsec-VPN接続の作成ページで、次の表に記載されているパラメーターを設定し、OK.
基本設定
説明トランジットルーターに関連付けられたVPNゲートウェイまたはIPsec-VPN接続を初めて作成すると、サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。 サービスにリンクされたロールにより、VPNゲートウェイはelastic network Interface (ENI) やセキュリティグループなどの他のクラウドリソースにアクセスできます。 これにより、VPNゲートウェイまたはIPsec-VPN接続を作成できます。 AliyunServiceRoleForVpnロールが既に存在する場合、システムはロールを再度作成しません。 このサービスにリンクされたロールの詳細については、「AliyunServiceRoleForVpn」をご参照ください。
パラメーター
説明
名前
IPsec-VPN 接続の名前。
リソースグループ
Cloud Enterprise Network (CEN) インスタンスのリソースグループ。
このパラメーターを空のままにすると、すべてのリソースグループのCENインスタンスが表示されます。
リソースの関連付け
IPsec-VPN接続に関連付けるネットワークリソースのタイプ。 関連付け禁止 または CEN を選択します。
CENを選択すると、IPsec-VPN接続が現在のAlibaba Cloudアカウントの指定されたトランジットルーターに自動的に関連付けられます。
関連付け禁止 を選択した場合、IPsec-VPN接続はリソースに関連付けられていません。 IPsec-VPN接続が作成された後、IPsec-VPN接続を、現在のAlibaba Cloudアカウントまたは別のAlibaba CloudアカウントのトランジットルーターにCENコンソールで手動で関連付けることができます。 詳細については、「IPsec-VPN接続をトランジットルーターにアタッチする」をご参照ください。
説明別のトランジットルーターをIPsec-VPN接続に関連付ける場合は、元のトランジットルーターからVPN接続を削除し、新しいトランジットルーターのVPN接続を作成する必要があります。 詳細については、「ネットワークインスタンス接続の削除」および「IPsec-VPN接続をトランジットルーターにアタッチする」をご参照ください。
ゲートウェイタイプ
IPsec-VPN接続で使用されるゲートウェイのタイプ。 デフォルト値: Public。 有効な値:
パブリック: インターネット経由でIPsec-VPN接続を作成します。
Private: プライベートネットワーク経由でIPsec-VPN接続を作成します。
CEN インスタンス ID
トランジットルーターが属するCENインスタンスのID。
トランジットルーター
リージョン内のCENインスタンスに属するトランジットルーターのID。
ゾーン
システムがリソースを作成するゾーン。
ルーティングモード
IPsec-VPN接続のルーティングモード。 デフォルト値: 宛先ルーティングモード。 有効な値:
宛先ルーティングモード: 宛先IPアドレスに基づいてトラフィックをルーティングおよび転送します。
保護されたデータフロー: 送信元と送信先のIPアドレスに基づいてトラフィックをルーティングおよび転送します。
保護されたデータフローを選択した場合、ローカルネットワークおよびリモートネットワークパラメーターを設定する必要があります。 IPsec-VPN接続が設定された後、システムは自動的に宛先ベースのルートをIPsec-VPN接続のルートテーブルに追加します。 デフォルトでは、ルートはIPsec-VPN接続に関連付けられているトランジットルーターのルートテーブルに通知されます。
ローカルネットワーク
Alibaba Cloud側のCIDRブロック。 このCIDRブロックはフェーズ2ネゴシエーションで使用されます。
フィールドの横にある
アイコンをクリックして、CIDRブロックを追加します。 説明複数のCIDRブロックを指定する場合は、Internet Key Exchange (IKE) バージョンをikev2に設定する必要があります。
リモートネットワーク
接続するデータセンターのCIDRブロック。 このCIDRブロックはフェーズ2ネゴシエーションで使用されます。
フィールドの横にある
アイコンをクリックして、CIDRブロックを追加します。 説明複数のCIDRブロックを指定する場合は、IKEバージョンをikev2に設定する必要があります。
すぐに有効
IPsec-VPNネゴシエーションをすぐに開始するかどうかを指定します。 デフォルト値: はい。 有効な値:
はい: IPsec-VPN接続が作成された後、すぐにIPsec-VPNネゴシエーションを開始します。
No: インバウンドトラフィックが検出されると、IPsec-VPNネゴシエーションを開始します。
カスタマーゲートウェイ
IPsec-VPN接続に関連付けるカスタマーゲートウェイ。
事前共有キー
トランジットルーターとデータセンター間の認証に使用される事前共有キー。
キーの長さは1〜100文字である必要があり、数字、文字、および次の特殊文字を含めることができます。
~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?。 キーにスペースを含めることはできません。事前共有キーを指定しない場合、事前共有キーとして16文字の文字列がランダムに生成されます。 IPsec-VPN接続の作成後、IPsec-VPN接続の [操作] 列の [編集] をクリックして、IPsec-VPN接続用に生成された事前共有キーを表示できます。 詳細については、このトピックの「IPsec-VPN接続の変更」をご参照ください。
重要事前共有キーは、両側で同じでなければなりません。 そうしないと、システムはIPsec-VPN接続を確立できません。
BGPの有効化
IPsec-VPN接続のBorder Gateway Protocol (BGP) 動的ルーティング機能を有効にするかどうかを指定します。 デフォルトでは、Enable BGPはオフになっています。
BGP動的ルーティング機能を使用する前に、その機能とその制限を理解することをお勧めします。 詳細については、「IPsec-VPN接続のルートの設定」トピックの「BGP動的ルーティングの設定」セクションをご参照ください。
ローカル ASN
Alibaba Cloud側のIPsec-VPN接続の自律システム番号 (ASN) 。 デフォルト値: 45104 有効な値: 1 ~ 4294967295
ASNを2つのセグメントで入力し、最初の16ビットと次の16ビットをピリオド (.) で区切ることができます。 各セグメントの数値を10進数形式で入力します。
たとえば、123.456を入力すると、ASNは123 × 65536 + 456 = 8061384になります。
説明プライベートASNを使用して、BGP経由でAlibaba Cloudへの接続を確立することを推奨します。 プライベートASNの有効な値の詳細については、関連するドキュメントを参照してください。
暗号化の設定
パラメーター
説明
暗号化設定: IKE設定
バージョン
IKEバージョン。 デフォルト値: ikev2。 有効な値:
ikev1
ikev2
IKEv2は、IKEv1と比較して、セキュリティアソシエーション (SA) ネゴシエーションを簡素化し、複数のCIDRブロック間で通信が確立されるシナリオをより適切にサポートします。 IKEv2の使用を推奨します。
交渉モード
交渉モード。 デフォルト値: main。 有効な値:
main: このモードは交渉中に高いセキュリティを提供します。
積極的: このモードはより速い交渉をサポートし、より高い成功率をサポートします。
両方のモードでネゴシエートされた接続は、データ伝送のための同じレベルのセキュリティを保証する。
暗号化アルゴリズム
フェーズ1ネゴシエーションで使用される暗号化アルゴリズム。
有効な値: aes、aes192、aes256、des、3des。 デフォルトでは、aesの値はAES-128を指定します。
説明VPN gatewayの帯域幅が200 Mbit/s以上の場合、aes、aes192、またはaes256を選択することを推奨します。 3desは推奨されません。
AES (Advanced Encryption Standard) は、高レベルの暗号化および復号化を提供する対称鍵暗号化アルゴリズムである。 AESは安全なデータ伝送を保証し、ネットワーク遅延、スループット、転送パフォーマンスにほとんど影響を与えません。
トリプルDES (3DES) は、その3層暗号化技術を通じて強化されたセキュリティを提供します。 3DES暗号化は、AESと比較して計算量が多く、時間がかかり、転送性能が低下する。
認証アルゴリズム
フェーズ1ネゴシエーションで使用される認証アルゴリズム。
有効な値: sha1、md5、sha256、sha384、sha512 デフォルト値: sha1。
DHグループ
フェーズ1ネゴシエーションで使用されるDiffie-Hellman (DH) キー交換アルゴリズム。 デフォルト値: group2 有効な値:
group1: DHグループ1。
group2: DHグループ2。
group5: DHグループ5。
グループ14: DHグループ14。
SAライフサイクル (秒)
フェーズ1交渉が成功した後のSAの存続期間。 単位は秒です。 デフォルト値: 86400 有効値: 0 ~ 86400
LocalId
Alibaba Cloud側のIPsec-VPN接続のID。 IDはフェーズ1ネゴシエーションで使用されます。 デフォルトでは、この値はIPsec-VPN接続のゲートウェイIPアドレスです。
このパラメーターは、IPsec-VPNネゴシエーションでAlibaba Cloudを識別するためにのみ使用されます。 IDとしてIPアドレスまたは完全修飾ドメイン名 (FQDN) を使用できます。 値にスペースを含めることはできません。 Alibaba Cloud側のIPsec-VPN接続のIDとしてプライベートIPアドレスを使用することを推奨します。
LocalIdパラメーターをFQDN (s example.aliyun.comなど) に設定した場合、データセンター側のIPsec-VPN接続のピアIDは、LocalIdパラメーターの値と同じである必要があります。 この場合、ネゴシエーションモードをアグレッシブに設定することを推奨します。
RemoteId
データセンター側のIPsec-VPN接続のID。 IDはフェーズ1ネゴシエーションで使用されます。 デフォルトでは、この値はカスタマーゲートウェイのIPアドレスです。
このパラメーターは、IPsec-VPNネゴシエーションでデータセンターを識別するためにのみ使用されます。 IDとしてIPアドレスまたはFQDNを使用できます。 値にスペースを含めることはできません。 データセンターのIPsec-VPN接続の識別子としてプライベートIPアドレスを使用することを推奨します。
RemoteIdパラメーターをFQDN (s example.aliyun.comなど) に設定した場合、データセンター側のIPsec-VPN接続のローカルIDは、RemoteIdパラメーターの値と同じである必要があります。 この場合、ネゴシエーションモードをアグレッシブに設定することを推奨します。
暗号化設定: IPsec設定
暗号化アルゴリズム
フェーズ2ネゴシエーションで使用される暗号化アルゴリズム。
有効な値: aes、aes192、aes256、des、3des。 デフォルトでは、aesの値はAES-128を指定します。
説明VPN gatewayの帯域幅が200 Mbit/s以上の場合、aes、aes192、またはaes256を選択することを推奨します。 3desは推奨されません。
AES (Advanced Encryption Standard) は、高レベルの暗号化および復号化を提供する対称鍵暗号化アルゴリズムである。 AESは安全なデータ伝送を保証し、ネットワーク遅延、スループット、転送パフォーマンスにほとんど影響を与えません。
トリプルDES (3DES) は、その3層暗号化技術を通じて強化されたセキュリティを提供します。 3DES暗号化は、AESと比較して計算量が多く、時間がかかり、転送性能が低下する。
認証アルゴリズム
フェーズ2ネゴシエーションで使用される認証アルゴリズム。
有効な値: sha1、md5、sha256、sha384、sha512 デフォルト値: sha1。
DHグループ
フェーズ2ネゴシエーションで使用されるDH鍵交換アルゴリズム。 デフォルト値: group2 有効な値:
disabled: DHキー交換アルゴリズムを使用しません。
完全転送機密 (PFS) をサポートしていないクライアントの場合は、[無効] を選択します。
無効以外の値を選択した場合、PFSはデフォルトで有効になります。 この場合、交渉ごとに鍵が更新される。 したがって、クライアントのPFSを有効にする必要があります。
group1: DHグループ1。
group2: DHグループ2。
group5: DHグループ5。
グループ14: DHグループ14。
SAライフサイクル (秒)
フェーズ2交渉が成功した後のSAの存続期間。 単位は秒です。 デフォルト値: 86400 有効値: 0 ~ 86400
DPD
デッドピア検出 (DPD) 機能を有効にするかどうかを指定します。 デフォルトでは、DPD機能は有効です。
DPD機能を有効にすると、IPsec-VPN接続はDPDパケットを送信して、ピアが存在して使用可能かどうかを確認します。 指定された期間内にピアから応答が送信されない場合、接続は失敗します。 次に、Internet Security Association and Key Management Protocol (ISAKMP) SA、IPsec SA、およびIPsecトンネルが削除されます。 DPDパケットタイムアウトが発生すると、IPsec-VPN接続は自動的にトンネルとのIPsec-VPNネゴシエーションを再開します。
NAT トラバーサル
NATトラバーサル機能を有効にするかどうかを指定します。 デフォルトでは、NATトラバーサル機能は有効になっています。
NATトラバーサル機能を有効にすると、イニシエータはIKEネゴシエーション中にUDPポートをチェックせず、IPsecトンネルに沿ってNATゲートウェイデバイスを自動的に検出できます。
BGP 設定
IPsec-VPN接続に対してBGP動的ルーティング機能が有効になっている場合、BGPトンネルのCIDRブロックと、Alibaba Cloud側のBGPトンネルのIPアドレスを指定する必要があります。
パラメーター
説明
トンネル CIDR ブロック
IPsecトンネルのCIDRブロック。
CIDRブロックは169.254.0.0/16に該当する必要があります。 CIDRブロックのサブネットマスクの長さは30ビットである必要があります。 CIDRブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、または169.254.169.252/30にすることはできません。
ローカル BGP IP アドレス
Alibaba Cloud側のIPsec-VPN接続のBGP IPアドレス。
このIPアドレスは、IPsecトンネルのCIDRブロック内にある必要があります。
ヘルスチェック
デフォルトでは、ヘルスチェック機能は無効になっています。 ヘルスチェック設定を追加する前に、ヘルスチェック機能を有効にします。
重要IPsec-VPN接続のヘルスチェック機能を有効にした後、データセンターに次のルートを追加します。宛先CIDRブロックが送信元 IP、サブネットマスクの長さが32ビット、ネクストホップがIPsec-VPN接続です。 これにより、ヘルスチェックが期待どおりに実行されます。
パラメーター
説明
宛先 IP
Alibaba CloudがIPsec-VPN接続を介してアクセスできるデータセンターのIPアドレス。
説明宛先IPアドレスがインターネット制御メッセージプロトコル (ICMP) 応答をサポートしていることを確認します。
送信元 IP
データセンターがIPsec-VPN接続を介してアクセスできるAlibaba Cloud側のIPアドレス。
再試行間隔
ヘルスチェックのリトライ間隔。 単位は秒です。 デフォルト値: 3
再試行回数
ヘルスチェックの再試行回数。 デフォルト値: 3
ルートの切り替え
ヘルスチェックが失敗した後、システムが通知されたルートを撤回できるようにするかどうかを指定します。 デフォルト値は Yes です。 デフォルト値を使用すると、ヘルスチェックが失敗した後、システムはアドバタイズされたルートを取り消すことができます。
[はい] をオフにすると、ヘルスチェックが失敗した後、システムは広告されたルートを撤回できません。
詳細設定
IPsec-VPN接続を作成すると、デフォルトで次の高度な機能が有効になります。
パラメーター
説明
自動広告
この機能を有効にすると、IPsec-VPN接続に関連付けられているトランジットルーターのルートテーブルのルートがIPsec-VPN接続のBGPルートテーブルに自動的にアドバタイズされます。
説明この機能は、IPsec-VPN接続とデータセンターでBGP動的ルーティング機能が有効になっている場合にのみ有効になります。
ルート同期をオフにすると、この機能を無効にできます。 詳細については、「ルート同期の無効化」セクションを参照してください。ルート同期トピックを使用します。
トランジットルーターのデフォルトルートテーブルに自動的に関連付ける
この機能を有効にすると、IPsec-VPN接続はトランジットルーターのデフォルトルートテーブルに関連付けられます。 中継ルータは、IPsec-VPN接続からのトラフィックを転送するために、デフォルトのルートテーブルを照会します。
自動広告システムルートにデフォルトルートテーブルのトランジットルーター
この機能を有効にすると、IPsec-VPN接続の宛先ベースのルートテーブルとBGPルートテーブルのルートが、トランジットルーターのデフォルトルートテーブルにアドバタイズされます。
上記の高度な機能を無効にし、トランジットルーターを使用して、ビジネス要件に基づいてネットワーク通信を確立することもできます。 詳細については、「ルートの管理」をご参照ください。
[タグ]
IPsec-VPN接続を作成するときに、リソースの集約と検索を容易にするために、IPsec-VPN接続にタグを追加できます。 詳細については、「概要」をご参照ください。
パラメーター
説明
タグキー
IPsec-VPN接続のタグキー。 タグキーを選択または入力できます。
タグ値
IPsec-VPN接続のタグ値。 タグ値を選択または入力できます。 タグ値パラメーターは空のままにすることができます。
次に何をすべきか
IPsec-VPN接続が作成された後、IPsec-VPN接続のピア設定をダウンロードし、オンプレミスゲートウェイデバイスに設定をロードできます。 詳細については、「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」トピックおよび「ローカルゲートウェイの設定」の「IPsec-VPN接続の設定のダウンロード」セクションをご参照ください。
IPsec-VPN接続の設定をダウンロードする
IPsec-VPN接続が作成された後、IPsec-VPN接続の設定をダウンロードして、オンプレミスゲートウェイデバイスを設定できます。
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
IPsec接続ページで、管理するIPsec-VPN接続を見つけて、ピア構成の生成で、アクション列を作成します。
VPN 接続の構成ダイアログボックスで、[設定をコピーしてオンプレミスマシンに保存する] をクリックして、オンプレミスゲートウェイデバイスを設定します。
オンプレミスゲートウェイデバイスを設定する方法の詳細については、「ローカルゲートウェイの設定」をご参照ください。
IPsec-VPN接続の権限を別のAlibaba Cloudアカウントのトランジットルーターに付与する
IPsec-VPN接続を別のAlibaba Cloudアカウントのトランジットルーターに関連付けることができます。 アソシエーションを実行する前に、IPsec-VPN接続に対する権限をトランジットルーターに付与する必要があります。
権限を付与する前に、IPsec-VPN接続がリソースに関連付けられていないことを確認してください。 IPsec-VPN接続がトランジットルーターに関連付けられている場合は、IPsec-VPN接続からトランジットルーターの関連付けを解除します。 詳細については、「ネットワークインスタンス接続の削除」をご参照ください。
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
[IPsec接続] ページで、管理するIPsec-VPN接続を見つけ、そのIDをクリックします。
クロスアカウントのアタッチを承認するCEN接続詳細ページのタブをクリックし、クロスアカウントのアタッチを承認するCEN.
CENにアタッチするダイアログボックスで、次の表に記載されているパラメーターを設定し、OK.
パラメーター
説明
ピアアカウントUID
トランジットルーターが属するAlibaba CloudアカウントのID。
ピアアカウントCEN ID
トランジットルーターが属するCENインスタンスのID。
支払人
料金を支払うアカウント。 デフォルト値: CENインスタンス所有者が請求書を支払います。 有効な値:
CENインスタンス所有者が請求書を支払う: IPsec-VPN接続がトランジットルーターに関連付けられた後、トランジットルーターの所有者アカウントがトランジットルーターの接続料金とデータ処理料金を支払います。
VPN所有者: IPsec-VPN接続がトランジットルーターに関連付けられた後、IPsec-VPN接続の所有者アカウントは、トランジットルーターの接続料金とデータ処理料金を支払います。
重要作業は慎重に行ってください。 支払いアカウントを変更すると、サービスが中断される場合があります。 詳細については、「別のAlibaba Cloudアカウントに属するネットワークインスタンスに対するトランジットルーター権限の付与」トピックの「支払いアカウントの変更」セクションをご参照ください。
IPsec-VPN接続がトランジットルーターに関連付けられた後、IPsec-VPN接続の所有者アカウントは、IPsec-VPN接続のインスタンス料金とデータ転送料金を支払います。
IPsec-VPN接続のIDとIPsec-VPN接続が属するAlibaba CloudアカウントのIDを記録します。 これにより、VPN接続の作成が容易になります。 詳細については、「IPsec-VPN接続をトランジットルーターにアタッチする」をご参照ください。
アカウントIDは、 アカウント管理コンソール。
IPsec-VPN 接続の変更
IPsec-VPN接続がトランジットルーターに関連付けられている場合、IPsec-VPN接続に関する次の情報 (関連付けられているトランジットルーター、ゾーン、およびゲートウェイの種類) を変更することはできません。 ただし、IPsec-VPN接続に関する次の情報 (カスタマーゲートウェイ、ルーティングモード、事前共有キー、および暗号化設定) を変更できます。
IPsec-VPN接続に関連付けられているリソースがない場合、関連付けられているカスタマーゲートウェイのタイプを変更することはできません。 ただし、カスタマーゲートウェイ、ルーティングモード、事前共有キー、および暗号化設定の情報を変更できます。
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
IPsec接続ページで、管理するIPsec-VPN接続を見つけて、編集で、アクション列を作成します。
IPsec-VPN接続の変更ページで、ビジネス要件に基づいて名前、暗号化設定、およびCIDRブロックを変更し、OK.
詳細については、このトピックの「IPsec-VPN接続の作成」をご参照ください。
別のAlibaba CloudアカウントのトランジットルーターからIPsec-VPN接続の権限を取り消す
IPsec-VPN接続を別のAlibaba Cloudアカウントのトランジットルーターに関連付ける必要がなくなった場合は、トランジットルーターからIPsec-VPN接続の権限を取り消すことができます。
IPsec-VPN接続がトランジットルーターに関連付けられている場合は、アクセス許可を取り消す前に、IPsec-VPN接続とトランジットルーターの関連付けを解除してください。 詳細については、「ネットワークインスタンス接続の削除」をご参照ください。
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
[IPsec接続] ページで、管理するIPsec-VPN接続を見つけ、そのIDをクリックします。
クロスアカウントのアタッチを承認するCEN接続詳細ページのタブで、認証レコードを見つけて、承認解除で、アクション列を作成します。
承認解除メッセージ、情報を確認し、OK.
IPSec-VPN 接続の削除
IPsec-VPN接続がトランジットルーターに関連付けられている場合は、IPsec-VPN接続を削除する前に、IPsec-VPN接続とトランジットルーターの関連付けを解除してください。 詳細については、「ネットワークインスタンス接続の削除」をご参照ください。
左側のナビゲーションウィンドウで、.
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
IPsec接続ページで、管理するIPsec-VPN接続を見つけて、削除で、アクション列を作成します。
表示されるメッセージで、情報を確認し、OK.
API操作によるIPsec-VPN接続の作成と管理
Alibaba Cloud SDK、Alibaba Cloud CLI、Terraform、Resource Orchestration Service (ROS) などのツールを使用して、API操作を呼び出してIPsec-VPN接続を作成および管理できます。 Alibaba Cloud SDKの使用を推奨します。 API操作の詳細については、以下のトピックを参照してください。