シングルトンネルモードでVPNゲートウェイに関連付けられたIPsec-VPN接続を作成する - VPN Gateway

IPsec-VPN接続を作成して、データセンターと仮想プライベートクラウド (VPC) 間の暗号化接続を確立できます。このトピックでは、シングルトンネルモードでIPsec-VPN接続を作成および管理する方法について説明します。

背景情報

IPsec-VPN接続を作成すると、次の機能を有効または無効にできます。

DPD: デッドピア検出 (DPD) 機能。
DPD機能を有効にすると、IPsec-VPN接続はDPDパケットを送信して、ピアが存在して使用可能かどうかを確認します。指定された期間内にピアから応答が送信されない場合、接続は失敗します。次に、Internet Security Association and Key Management Protocol (ISAKMP) SA、IPsec SA、およびIPsecトンネルが削除されます。 DPDパケットタイムアウトが発生すると、IPsec-VPN接続は自動的にトンネルとのIPsec-VPNネゴシエーションを再開します。
デフォルトでは、この機能は有効になっています。
NATトラバーサル: NATトラバーサル機能。
NATトラバーサル機能を有効にすると、イニシエータはインターネットキー交換 (IKE) ネゴシエーション中にUDPポートをチェックせず、IPsecトンネルに沿ってNATゲートウェイデバイスを自動的に検出できます。
デフォルトでは、この機能は有効になっています。
BGP: ボーダーゲートウェイプロトコル (BGP) 動的ルーティング機能。
BGP動的ルーティング機能を有効にすると、IPsec-VPN接続は自動的にルートを学習してアドバタイズできます。これにより、ネットワークのメンテナンスと構成が容易になります。
デフォルトでは、この機能は無効化されています。
ヘルスチェック: ヘルスチェック機能。
同じVPNゲートウェイを使用してアクティブおよびスタンバイIPsec-VPN接続を作成する場合、ヘルスチェック機能を有効にしてアクティブおよびスタンバイ接続の接続を確認できます。ヘルスチェック機能が有効になった後、システムはインターネット制御メッセージプロトコル (ICMP) パケットを宛先IPアドレスに送信して、IPsec-VPN接続の接続性を確認します。アクティブな接続が利用できない場合、システムは自動的にトラフィックをスタンバイ接続に切り替えます。これにより、ネットワークの可用性が向上します。
説明
IPsec-VPN接続がヘルスチェックに合格しなかった場合、システムはIPsecトンネルをリセットします。アクティブ接続とスタンバイ接続が使用されないシナリオでは、ヘルスチェック機能の代わりにDPD機能を使用して接続を確認することをお勧めします。
デフォルトでは、この機能は無効化されています。

VPN gatewayが最新バージョンの場合、DPD、NATトラバーサル、BGP動的ルーティング、およびヘルスチェック機能がサポートされます。それ以外の場合は、現在のバージョンのVPNゲートウェイでサポートされている機能のみを使用できます。

VPN gatewayの詳細ページの [アップグレード] ボタンを表示することで、VPN gatewayが最新バージョンであるかどうかを確認できます。 VPN gatewayが最新バージョンでない場合は、[アップグレード] をクリックしてVPN gatewayをアップグレードします。詳細については、「VPNゲートウェイのアップグレード」をご参照ください。

始める前に

IPsec-VPN接続を作成する前に、手順を理解し、前提条件が満たされていることを確認してください。詳細については、「概要」トピックの「手順」セクションをご参照ください。

IPsec-VPN接続の作成

VPN gatewayコンソール.
左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.
上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。
説明
IPsec-VPN接続は、IPsec-VPN接続に関連付けるVPNゲートウェイと同じリージョンに作成する必要があります。
IPsec接続ページをクリックします。IPsec-VPN接続の作成.

IPsec-VPN接続の作成ページで、次の表に記載されているパラメーターを設定し、OK.

基本設定

パラメーター	説明
名前	IPsec-VPN 接続の名前。
リソースグループ	VPN gatewayが属するリソースグループ。このパラメーターを空のままにすると、すべてのリソースグループのVPNゲートウェイが表示されます。
リソースの関連付け	IPsec-VPN接続に関連付けるネットワークリソースのタイプ。この例では、VPN Gatewayが選択されています。
VPNゲートウェイ	IPsec-VPN接続に関連付けるVPNゲートウェイ。
ルーティングモード	IPsec-VPN接続のルーティングモード。デフォルト値: 宛先ルーティングモード。有効な値：宛先ルーティングモード: 宛先IPアドレスに基づいてトラフィックをルーティングおよび転送します。保護されたデータフロー: 送信元と送信先のIPアドレスに基づいてトラフィックをルーティングおよび転送します。保護されたデータフローを選択した場合、ローカルネットワークおよびリモートネットワークパラメーターを設定する必要があります。 IPsec-VPN接続が設定されると、システムはVPNゲートウェイのルートテーブルにポリシーベースのルートを自動的に追加します。デフォルトでは、ポリシーベースのルートはアドバタイズされません。要件に基づいて、VPCのルートテーブルにルートをアドバタイズするかどうかを決定できます。詳細については、「ポリシーベースのルートの設定」トピックの「ポリシーベースのルートの広告」セクションをご参照ください。説明 IPsec-VPN接続がVPNゲートウェイに関連付けられており、VPNゲートウェイが最新バージョンでない場合は、ルーティングモードを指定する必要はありません。
ローカルネットワーク	データセンターに接続するVPCのCIDRブロック。このCIDRブロックはフェーズ2ネゴシエーションで使用されます。フィールドの横にあるをクリックして、VPC側に複数のCIDRブロックを追加します。説明複数のCIDRブロックを指定する場合は、IKEバージョンをikev2に設定する必要があります。
リモートネットワーク	VPCに接続するデータセンターのCIDRブロック。このCIDRブロックはフェーズ2ネゴシエーションで使用されます。フィールドの横にあるをクリックして、データセンター側に複数のCIDRブロックを追加します。説明複数のCIDRブロックを指定する場合は、IKEバージョンをikev2に設定する必要があります。
すぐに有効	IPsec-VPNネゴシエーションをすぐに開始するかどうかを指定します。デフォルト値: はい。有効な値：はい: IPsec-VPN接続が作成された後、すぐにIPsec-VPNネゴシエーションを開始します。 No: インバウンドトラフィックが検出されると、IPsec-VPNネゴシエーションを開始します。
カスタマーゲートウェイ	IPsec-VPN接続に関連付けるカスタマーゲートウェイ。
事前共有キー	VPNゲートウェイとデータセンター間の認証に使用される事前共有キー。事前共有キーの長さは1〜100文字でなければならず、数字、文字、および次の文字を含めることができます。`~! @ # $ % ^ & * ( ) _ - + = { } [ ] \ \| ; : , < > / ?`. 事前共有キーにスペースを含めることはできません。事前共有キーを指定しない場合、事前共有キーとして16文字の文字列がランダムに生成されます。 IPsec-VPN接続の作成後、IPsec-VPN接続の [操作] 列の [編集] をクリックして、IPsec-VPN接続用に生成された事前共有キーを表示できます。詳細については、このトピックの「IPsec-VPN接続の変更」をご参照ください。重要事前共有キーは、両側で同じでなければなりません。そうしないと、システムはIPsec-VPN接続を確立できません。
BGPの有効化	IPsec-VPN接続のBGP動的ルーティング機能を有効にするかどうかを指定します。デフォルトでは、Enable BGPはオフになっています。 BGP動的ルーティング機能を使用する前に、その機能とその制限を理解することをお勧めします。詳細については、「BGP動的ルーティングの設定」をご参照ください。
ローカル ASN	Alibaba Cloud側のIPsec-VPN接続の自律システム番号 (ASN) 。デフォルト値: 45104 有効な値: 1 ~ 4294967295 ASNを2つのセグメントで入力し、最初の16ビットと次の16ビットをピリオド (.) で区切ることができます。各セグメントの数値を10進数形式で入力します。たとえば、123.456を入力すると、ASNは123 × 65536 + 456 = 8061384になります。説明プライベートASNを使用して、BGP経由でAlibaba Cloudへの接続を確立することを推奨します。プライベートASNの有効な値の詳細については、関連するドキュメントを参照してください。

暗号化の設定

パラメーター	説明
暗号化設定: IKE設定
バージョン	IKEバージョン。デフォルト値: ikev2。有効な値： ikev1 ikev2 IKEv2は、IKEv1と比較して、SAネゴシエーションを簡素化し、複数のCIDRブロック間で通信が確立されるシナリオをより適切にサポートします。 IKEv2の使用を推奨します。
交渉モード	交渉モード。デフォルト値: main。有効な値： main: このモードは交渉中に高いセキュリティを提供します。積極的: このモードは、より迅速な交渉とより高い成功率をサポートします。両方のモードでネゴシエートされた接続は、データ伝送のための同じレベルのセキュリティを保証する。
暗号化アルゴリズム	フェーズ1ネゴシエーションで使用される暗号化アルゴリズム。有効な値: aes、aes192、aes256、des、3des。デフォルトでは、aesの値はAES-128を指定します。説明 VPN gatewayの帯域幅が200 Mbit/s以上の場合、aes、aes192、またはaes256を選択することを推奨します。 3desは推奨されません。 AES (Advanced Encryption Standard) は、高レベルの暗号化および復号化を提供する対称鍵暗号化アルゴリズムである。 AESは安全なデータ伝送を保証し、ネットワーク遅延、スループット、転送パフォーマンスにほとんど影響を与えません。トリプルDES (3DES) は、その3層暗号化技術を通じて強化されたセキュリティを提供します。 3DES暗号化は、AESと比較して計算量が多く、時間がかかり、転送性能が低下する。
認証アルゴリズム	フェーズ1ネゴシエーションで使用される認証アルゴリズム。有効な値: sha1、md5、sha256、sha384、sha512 デフォルト値: sha1。説明オンプレミスのゲートウェイデバイスにVPN設定を追加する場合は、確率的ランダムフォレスト (PRF) アルゴリズムを指定する必要があります。 PRFアルゴリズムは、IKE構成における認証アルゴリズムと一致することができる。
DHグループ	フェーズ1ネゴシエーションで使用されるDiffie-Hellman (DH) キー交換アルゴリズム。デフォルト値: group2 有効な値： group1: DHグループ1。 group2: DHグループ2。 group5: DHグループ5。グループ14: DHグループ14。
SAライフサイクル (秒)	フェーズ1交渉が成功した後のSAの存続期間。単位は秒です。デフォルト値: 86400 有効値: 0 ~ 86400
LocalId	Alibaba Cloud側のIPsec-VPN接続のID。デフォルトでは、この値は指定されたVPNゲートウェイのIPアドレスです。このパラメーターは、IPsec-VPNネゴシエーションでAlibaba Cloudを識別するためにのみ使用されます。 IDとしてIPアドレスまたは完全修飾ドメイン名 (FQDN) を使用できます。値にスペースを含めることはできません。 Alibaba Cloud側のIPsec-VPN接続のIDとしてプライベートIPアドレスを使用することを推奨します。 LocalIdパラメーターをFQDN (s example.aliyun.comなど) に設定した場合、データセンター側のIPsec-VPN接続のピアIDは、LocalIdパラメーターの値と同じである必要があります。この場合、ネゴシエーションモードをアグレッシブに設定することを推奨します。
RemoteId	データセンター側のIPsec-VPN接続のID。デフォルトでは、この値はカスタマーゲートウェイのIPアドレスです。このパラメーターは、IPsec-VPNネゴシエーションでデータセンターを識別するためにのみ使用されます。 IDとしてIPアドレスまたはFQDNを使用できます。値にスペースを含めることはできません。データセンターのIPsec-VPN接続のIDとしてプライベートIPアドレスを使用することを推奨します。 RemoteIdパラメーターをFQDN (s example.aliyun.comなど) に設定した場合、データセンター側のIPsec-VPN接続のローカルIDは、RemoteIdパラメーターの値と同じである必要があります。この場合、ネゴシエーションモードをアグレッシブに設定することを推奨します。
暗号化設定: IPsec設定
暗号化アルゴリズム	フェーズ2ネゴシエーションで使用される暗号化アルゴリズム。有効な値: aes、aes192、aes256、des、3des。デフォルトでは、aesの値はAES-128を指定します。説明 VPN gatewayの帯域幅が200 Mbit/s以上の場合、aes、aes192、またはaes256を選択することを推奨します。 3desは推奨されません。 AES (Advanced Encryption Standard) は、高レベルの暗号化および復号化を提供する対称鍵暗号化アルゴリズムである。 AESは安全なデータ伝送を保証し、ネットワーク遅延、スループット、転送パフォーマンスにほとんど影響を与えません。トリプルDES (3DES) は、その3層暗号化技術を通じて強化されたセキュリティを提供します。 3DES暗号化は、AESと比較して計算量が多く、時間がかかり、転送性能が低下する。
認証アルゴリズム	フェーズ2ネゴシエーションで使用される認証アルゴリズム。有効な値: sha1、md5、sha256、sha384、sha512 デフォルト値: sha1。
DHグループ	フェーズ2ネゴシエーションで使用されるDH鍵交換アルゴリズム。デフォルト値: group2 有効な値： disabled: DHキー交換アルゴリズムを使用しません。完全転送機密 (PFS) をサポートしていないクライアントの場合は、[無効] を選択します。無効以外の値を選択した場合、PFSはデフォルトで有効になります。この場合、交渉ごとに鍵が更新される。したがって、クライアントのPFSを有効にする必要があります。 group1: DHグループ1。 group2: DHグループ2。 group5: DHグループ5。グループ14: DHグループ14。
SAライフサイクル (秒)	フェーズ2交渉が成功した後のSAの存続期間。単位は秒です。デフォルト値: 86400 有効値: 0 ~ 86400
DPD	DPD機能を有効にするかどうかを指定します。デフォルトでは、DPD機能は有効です。 4月2019日から1月2023日までに作成されたVPNゲートウェイの場合: IPsec-VPN接続の作成時にIKEv1を使用する場合、DPDパケットのタイムアウト時間は30秒です。 IPsec-VPN接続の作成時にIKEv2を使用する場合、DPDパケットのタイムアウト時間は3,600秒です。 2月2023日以降に作成されたVPN Gatewayの場合: IPsec-VPN接続の作成時にIKEv1を使用する場合、DPDパケットのタイムアウト時間は30秒です。 IPsec-VPN接続の作成時にIKEv2を使用する場合、DPDパケットのタイムアウト時間は130秒です。
NAT トラバーサル	NATトラバーサル機能を有効にするかどうかを指定します。デフォルトでは、NATトラバーサル機能は有効になっています。

BGP 設定

IPsec-VPN接続に対してBGP動的ルーティング機能が有効になっている場合、BGPトンネルのCIDRブロックと、Alibaba Cloud側のBGPトンネルのIPアドレスを指定する必要があります。

パラメーター

説明

トンネル CIDR ブロック

IPsecトンネルのCIDRブロック。

CIDRブロックは169.254.0.0/16に該当し、CIDRブロックのサブネットマスクの長さは30ビットである必要があります。 CIDRブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、または169.254.169.252/30にすることはできません。

ローカル BGP IP アドレス

Alibaba Cloud側のIPsec-VPN接続のBGP IPアドレス。

このIPアドレスは、トンネルのCIDRブロック内にある必要があります。

ヘルスチェック

デフォルトでは、ヘルスチェック機能は無効になっています。ヘルスチェック設定を追加する前に、ヘルスチェック機能を有効にします。

重要

IPsec-VPN接続のヘルスチェック機能を有効にした後、データセンターに次のルートを追加します。宛先CIDRブロックが送信元 IP、サブネットマスクの長さが32ビット、ネクストホップがIPsec-VPN接続です。これにより、ヘルスチェックが期待どおりに実行されます。

パラメーター	説明
宛先 IP	IPsec-VPN接続に基づいてVPCが通信できるデータセンターのIPアドレス。説明宛先IPアドレスがICMP応答をサポートしていることを確認します。
送信元 IP	IPsec-VPN接続に基づいてデータセンターが通信できるVPCのIPアドレス。
再試行間隔	ヘルスチェックのリトライ間隔。単位は秒です。デフォルト値: 3
再試行回数	ヘルスチェックの再試行回数。デフォルト値: 3

[タグ]

IPsec-VPN接続を作成するときに、リソースの集約と検索を容易にするために、IPsec-VPN接続にタグを追加できます。詳細については、「概要」をご参照ください。

パラメーター	説明
タグキー	IPsec-VPN接続のタグキー。タグキーを選択または入力できます。
タグ値	IPsec-VPN接続のタグ値。タグ値を選択または入力できます。タグ値パラメーターは空のままにすることができます。

表示されたメッセージボックスで、[OK] をクリックします。

次に何をすべきか

IPsec-VPN接続が作成された後、IPsec-VPN接続のピア設定をダウンロードし、設定をオンプレミスのゲートウェイデバイスにアップロードする必要があります。詳細については、このトピックの「IPsec-VPN接続の構成のダウンロード」および「ローカルゲートウェイの構成」をご参照ください。

IPsec-VPN接続の設定をダウンロードする

IPsec-VPN接続が作成された後、IPsec-VPN接続の設定をダウンロードし、オンプレミスゲートウェイデバイスに設定をロードできます。

VPN Gatewayコンソール.
左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
IPsec接続ページで、管理するIPsec-VPN接続を見つけて、ピア構成の生成で、アクション列を作成します。
VPN 接続の構成ダイアログボックスで、設定をコピーしてオンプレミスマシンに保存し、オンプレミスゲートウェイデバイスを設定します。
オンプレミスゲートウェイデバイスを設定する方法の詳細については、「ローカルゲートウェイの設定」をご参照ください。

IPsec-VPN 接続の変更

IPsec-VPN接続に関連付けられているVPNゲートウェイまたはカスタマーゲートウェイは変更できません。ただし、IPsec-VPN接続のルーティングモード、事前共有キー、および暗号化設定は変更できます。

VPN Gatewayコンソール.
左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
IPsec接続ページで、管理するIPsec-VPN接続を見つけて、編集で、アクション列を作成します。
IPsec-VPN接続の変更ページで、ビジネス要件に基づいて名前、暗号化設定、およびCIDRブロックを変更し、OK.
パラメーターの詳細については、このトピックの「IPsec-VPN接続の作成」をご参照ください。

IPSec-VPN 接続の削除

VPN Gatewayコンソール.
左側のナビゲーションウィンドウで、相互接続 > VPN > IPsec 接続.
上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
IPsec接続ページで、削除するIPsec-VPN接続を見つけて、削除で、アクション列を作成します。
表示されるメッセージで、情報を確認し、OK.

API操作によるIPsec-VPN接続の作成と管理

Alibaba Cloud SDK、Alibaba Cloud CLI、Terraform、Resource Orchestration Service (ROS) などのツールを使用して、API操作を呼び出してIPsec-VPN接続を作成および管理できます。 API操作の詳細については、以下のトピックを参照してください。