IPsec 接続を作成して、暗号化された通信を確立できます。 これにより、オンプレミス データセンターと仮想プライベートクラウド (VPC) 間の接続を IPsec 接続経由で実装できます。 このトピックでは、シングルトンネルモードで IPsec 接続を作成および管理する方法について説明します。
背景情報
IPsec 接続を作成する際に、以下の機能を有効または無効にできます。
[DPD]: Dead Peer Detection (DPD)。
DPD 機能を有効にすると、IPsec 接続は DPD パケットを送信して、ピアの存在と可用性を確認します。 指定された時間内にピアから応答がない場合、接続は失敗します。 その後、インターネットセキュリティアソシエーションおよびキー管理プロトコル (ISAKMP) SA、IPsec SA、および IPsec トンネルが削除されます。 DPD パケットのタイムアウトが発生した場合、IPsec 接続はトンネルとの IPsec ネゴシエーションを自動的に再開します。
この機能はデフォルトで有効になっています。
[NAT トラバーサル]: ネットワークアドレス変換 (NAT) トラバーサル。
NAT トラバーサルを有効にすると、イニシエータはインターネットキー交換 (IKE) ネゴシエーション中に UDP ポートを確認せず、IPsec トンネルに沿って NAT ゲートウェイデバイスを自動的に検出できます。
この機能はデフォルトで有効になっています。
[BGP]: ボーダーゲートウェイプロトコル (BGP) 動的ルーティング。
BGP 動的ルーティングを有効にすると、IPsec 接続はルートを自動的に学習し、アドバタイズします。 これにより、ネットワークのメンテナンスと構成が容易になります。
BGP 動的ルーティングはデフォルトで無効になっています。
[ヘルスチェック]: IPsec 接続のヘルスチェック機能。
同じ VPN ゲートウェイを使用してアクティブおよびスタンバイ IPsec 接続を作成するシナリオでは、ヘルスチェックを構成して、アクティブおよびスタンバイ接続の接続性をチェックできます。 ヘルスチェックを構成すると、システムは宛先 IP アドレスにインターネット制御メッセージプロトコル (ICMP) パケットを送信して、IPsec 接続の接続性をチェックします。 アクティブな接続がダウンした場合、スタンバイ接続が自動的に引き継ぎます。 これにより、サービスの可用性が向上します。
IPsec 接続がヘルスチェックに失敗した場合、システムは IPsec トンネルをリセットします。 アクティブ/スタンバイ接続が使用されていないシナリオでは、ヘルスチェック機能の代わりに DPD 機能を使用して接続性をチェックすることをお勧めします。
ヘルスチェック機能はデフォルトで無効になっています。
VPN ゲートウェイが最新バージョンを使用している場合、DPD、NAT トラバーサル、BGP 動的ルーティング、およびヘルスチェックがサポートされます。 それ以外の場合、VPN ゲートウェイの現在のバージョンでサポートされている機能のみを使用できます。
[アップグレード] ボタンを使用して、VPN ゲートウェイが最新バージョンであるかどうかを確認できます。 VPN ゲートウェイが最新バージョンでない場合は、[アップグレード] ボタンをクリックしてアップグレードできます。 詳細については、「VPN ゲートウェイをアップグレードする」をご参照ください。
前提条件
IPsec 接続を作成する前に、IPsec 接続を使用する手順を理解し、IPsec 接続を作成する前にすべての操作を完了する必要があります。 詳細については、「手順」をご参照ください。
IPsec 接続を作成する
- VPN ゲートウェイコンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで、[VPN ゲートウェイのバインド] をクリックします。
[ipsec 接続 (VPN) の作成] ページで、以下の情報に基づいて IPsec 接続を構成し、[OK] をクリックします。
基本構成
パラメーター
説明
パラメーター
説明
[名前]
IPsec 接続の名前を入力します。
[リージョン]
IPsec 接続に関連付ける VPN ゲートウェイがデプロイされているリージョンを選択します。
IPsec 接続は、VPN ゲートウェイと同じリージョンに作成されます。
[リソースグループ]
VPN ゲートウェイが属するリソースグループを選択します。
このパラメーターを空のままにすると、システムはすべてのリソースグループの VPN ゲートウェイを表示します。
[VPN ゲートウェイのバインド]
IPsec 接続に関連付ける VPN ゲートウェイを選択します。
ルーティングモード
IPsec 接続のルーティングモードを選択します。
[宛先ルーティングモード] (デフォルト): 宛先 IP アドレスに基づいてトラフィックをルーティングおよび転送します。
[保護されたデータフロー]: 送信元と宛先の IP アドレスに基づいてトラフィックをルーティングおよび転送します。
[保護されたデータフロー] を選択した場合は、[ローカルネットワーク] と [リモートネットワーク] を構成する必要があります。 IPsec 接続が構成されると、システムはポリシーベースのルートを VPN ゲートウェイのポリシーベースのルートテーブルに自動的に追加します。
デフォルトでは、ポリシーベースのルートはアドバタイズされません。 要件に基づいて、ルートを VPC のルートテーブルにアドバタイズするかどうかを決定できます。 詳細については、「ポリシーベースのルートをアドバタイズする」をご参照ください。
IPsec 接続が VPN ゲートウェイに関連付けられており、VPN ゲートウェイが以前のバージョンである場合、ルーティングモードを選択する必要はありません。
[ローカルネットワーク]
ルーティングモード が [保護されたデータフロー] に設定されている場合は、データセンターに接続する VPC CIDR ブロックを入力します。 フェーズ 2 ネゴシエーションは、両側の保護されたデータフローに基づいています。 [ローカルネットワーク] とデータセンター側のリモートネットワークには、同じ CIDR ブロックを指定することをお勧めします。
テキストボックスの右側にある
アイコンをクリックして、複数の VPC CIDR ブロックを追加します。複数の CIDR ブロックを構成する場合は、IKE バージョンとして [ikev2] を設定する必要があります。
[リモートネットワーク]
ルーティングモード が [保護されたデータフロー] に設定されている場合は、VPC に接続するデータセンター CIDR ブロックを入力します。 フェーズ 2 ネゴシエーションは、両側の保護されたデータフローに基づいています。 [リモートネットワーク] とデータセンター側のローカルネットワークには、同じ CIDR ブロックを指定することをお勧めします。
テキストボックスの右側にある
アイコンをクリックして、複数のデータセンター CIDR ブロックを追加します。複数の CIDR ブロックを構成する場合は、IKE バージョンとして [ikev2] を設定する必要があります。
[すぐに有効]
IPsec ネゴシエーションをすぐに開始するかどうかを指定します。
[はい] (デフォルト): 構成が完了したらすぐに IPsec ネゴシエーションを開始します。
[いいえ]: トラフィックが検出された場合にのみ IPsec ネゴシエーションを開始します。
[カスタマーゲートウェイ]
IPsec 接続に関連付けるカスタマーゲートウェイを選択します。
[事前共有鍵]
IPsec 接続の認証キーを入力します。 このキーは、VPN ゲートウェイとデータセンター間の身元認証に使用されます。
キーの長さは 1 ~ 100 文字で、数字、大文字、小文字、および次の特殊文字を含めることができます:
~`!@#$%^&*()_-+={}[]\|;:',.<>/?. キーにスペースを含めることはできません。.事前共有鍵を指定しない場合、システムは 16 文字の文字列を事前共有鍵としてランダムに生成します。 IPsec 接続が作成された後、[編集] をクリックして、システムによって生成された事前共有鍵を表示できます。 詳細については、「IPsec 接続を変更する」をご参照ください。
IPsec 接続の両側で構成された事前共有鍵は同じである必要があります。 そうしないと、IPsec 接続を確立できません。
[BGP を有効にする]
IPsec 接続に BGP ルーティングを使用する場合は、[BGP を有効にする] をオンにします。 デフォルトでは、[BGP を有効にする] はオフになっています。
BGP 動的ルーティングを使用する前に、その仕組みと制限事項について詳しく理解することをお勧めします。 詳細については、「BGP 動的ルーティングを構成する」をご参照ください。
ローカル ASN
Alibaba Cloud 側の IPsec 接続の自律システム番号 (ASN) を入力します。 デフォルト値: [45104]。 有効値: [1 ~ 4294967295]。
ASN は 2 つのセグメントで入力でき、最初の 16 ビットと後続の 16 ビットをピリオド (.) で区切ります。 各セグメントの数字は 10 進数形式で入力します。
たとえば、123.456 と入力すると、ASN は 123 × 65536 + 456 = 8061384 になります。
BGP 経由で Alibaba Cloud と接続を確立するには、プライベート ASN を使用することをお勧めします。 プライベート ASN の有効な範囲の詳細については、関連ドキュメントを参照してください。
暗号化設定
パラメーター
説明
パラメーター
説明
[暗号化設定: IKE 構成]
[バージョン]
IKE バージョンを選択します。
[ikev1]
[ikev2] (デフォルト)
IKEv1 と比較して、IKEv2 は SA ネゴシエーションを簡素化し、複数の CIDR ブロックが使用されるシナリオのサポートを強化しています。 IKEv2 を使用することをお勧めします。
[ネゴシエーションモード]
ネゴシエーションモードを選択します。
[main] (デフォルト): メインモード。 このモードは、ネゴシエーション中に高いセキュリティを提供します。
[aggressive]: アグレッシブモード。 このモードは高速で、ネゴシエーション中の成功率が高くなります。
これらのモードは、データ送信に対して同じセキュリティレベルをサポートします。
[暗号化アルゴリズム]
フェーズ 1 ネゴシエーションで使用される暗号化アルゴリズムを選択します。
暗号化アルゴリズムは、[aes] (aes128、デフォルト)、[aes192]、[aes256]、[des]、または [3des] を使用できます。
VPN ゲートウェイの帯域幅が 200 Mbps 以上の場合は、[aes]、[aes192]、または [aes256] 暗号化アルゴリズムを使用することをお勧めします。 [3des] 暗号化アルゴリズムは使用しないことをお勧めします。
高度暗号化標準 (AES) は、高レベルの暗号化と復号化を提供する対称鍵暗号化アルゴリズムです。 AES は、データ送信のセキュリティを確保しながら、ネットワーク遅延、スループット、および転送パフォーマンスへの影響はほとんどありません。
[3des] はトリプルデータ暗号化アルゴリズムです。 データの暗号化に時間がかかり、アルゴリズムの複雑さと計算量が大きくなります。 AES と比較して、3DES は転送パフォーマンスを低下させます。
[認証アルゴリズム]
フェーズ 1 ネゴシエーションで使用される認証アルゴリズムを選択します。
認証アルゴリズムは、[sha1] (デフォルト)、[md5]、[sha256]、[sha384]、または [sha512] を使用できます。
オンプレミスゲートウェイデバイスに VPN 構成を追加する場合は、Probabilistic Random Forest (PRF) アルゴリズムを指定する必要がある場合があります。 PRF アルゴリズムが IKE ネゴシエーションの認証アルゴリズムとしても使用されていることを確認してください。
[DH グループ]
フェーズ 1 ネゴシエーションで使用される Diffie-Hellman (DH) 鍵交換アルゴリズムを選択します。
[group1]: DH group 1。
[group2] (デフォルト): DH group 2。
[group5]: DH group 5。
[group14]: DH group 14。
[ライフサイクル (秒)]
フェーズ 1 ネゴシエーションの成功後の SA のライフサイクルを指定します。 単位: 秒。 デフォルト値: [86400]。 有効値: [0 ~ 86400]。
[localid]
Alibaba Cloud 側の IPsec 接続の識別子を入力します。 デフォルト値は、VPN ゲートウェイの IP アドレスです。
このパラメーターは、IPsec ネゴシエーションで Alibaba Cloud を識別するためにのみ使用されます。 ID としては、IP アドレスまたは完全修飾ドメイン名 (FQDN) を使用できます。 値にスペースを含めることはできません。 Alibaba Cloud 側の IPsec 接続の識別子として、プライベート IP アドレスを使用することをお勧めします。
[localid] として FQDN (例: example.aliyun.com) を使用する場合は、データセンター側の IPsec 接続のピア ID が [localid] の値と同じである必要があります。 ネゴシエーションモードとして [aggressive] (アグレッシブモード) を選択することをお勧めします。
[remoteid]
データセンター側の IPsec 接続の識別子を入力します。 デフォルト値は、カスタマーゲートウェイの IP アドレスです。
このパラメーターは、IPsec ネゴシエーションでデータセンターを識別するためにのみ使用されます。 ID としては、IP アドレスまたは FQDN を使用できます。 値にスペースを含めることはできません。 データセンター側の IPsec 接続の識別子として、プライベート IP アドレスを使用することをお勧めします。
[remoteid] として FQDN (例: example.aliyun.com) を使用する場合は、データセンター側の IPsec 接続のローカル ID が [remoteid] の値と同じである必要があります。 ネゴシエーションモードとして [aggressive] (アグレッシブモード) を選択することをお勧めします。
[暗号化設定: Ipsec 構成]
[暗号化アルゴリズム]
フェーズ 2 ネゴシエーションで使用される暗号化アルゴリズムを選択します。
暗号化アルゴリズムは、[aes] (aes128、デフォルト)、[aes192]、[aes256]、[des]、または [3des] を使用できます。
VPN ゲートウェイの帯域幅が 200 Mbps 以上の場合は、[aes]、[aes192]、または [aes256] 暗号化アルゴリズムを使用することをお勧めします。 [3des] 暗号化アルゴリズムは使用しないことをお勧めします。
高度暗号化標準 (AES) は、高レベルの暗号化と復号化を提供する対称鍵暗号化アルゴリズムです。 AES は、データ送信のセキュリティを確保しながら、ネットワーク遅延、スループット、および転送パフォーマンスへの影響はほとんどありません。
[3des] はトリプルデータ暗号化アルゴリズムです。 データの暗号化に時間がかかり、アルゴリズムの複雑さと計算量が大きくなります。 AES と比較して、3DES は転送パフォーマンスを低下させます。
[認証アルゴリズム]
フェーズ 2 ネゴシエーションで使用される認証アルゴリズムを選択します。
認証アルゴリズムは、[sha1] (デフォルト)、[md5]、[sha256]、[sha384]、または [sha512] を使用できます。
[DH グループ]
フェーズ 2 ネゴシエーションで使用される DH 鍵交換アルゴリズムを選択します。
[disabled]: DH 鍵交換アルゴリズムを使用しません。
クライアントが Perfect Forward Secrecy (PFS) をサポートしていない場合は、[disabled] を選択します。
[disabled] 以外のグループを選択すると、PFS 機能がデフォルトで有効になります。 これにより、再ネゴシエーションごとに新しいキーが必要になります。 クライアントも PFS 機能を有効にする必要があります。
[group1]: DH group 1。
[group2] (デフォルト): DH group 2。
[group5]: DH group 5。
[group14]: DH group 14。
[ライフサイクル (秒)]
フェーズ 2 ネゴシエーションの成功後の SA のライフサイクルを指定します。 単位: 秒。 デフォルト値: [86400]。 有効値: [0 ~ 86400]。
[DPD]
DPD 機能を有効にするかどうかを指定します。 デフォルトでは、DPD 機能は有効になっています。 DPD パケットのタイムアウト期間は 30 秒です。
IPsec 接続で IKEv2 を使用するシナリオでは、既存の一部の VPN ゲートウェイの DPD タイムアウト期間が 130 秒または 3,600 秒になる場合があります。 VPN ゲートウェイを最新バージョンに アップグレード できます。
NAT トラバーサル
NAT トラバーサル機能を有効にするかどうかを指定します。 デフォルトでは、NAT トラバーサル機能は有効になっています。
BGP 設定
IPsec 接続で BGP を有効にする場合は、BGP トンネルの CIDR ブロックと Alibaba Cloud 側の BGP IP アドレスを指定する必要があります。
パラメーター
説明
パラメーター
説明
トンネル CIDR ブロック
IPsec トンネルの CIDR ブロックを入力します。
CIDR ブロックは、169.254.0.0/16 CIDR ブロック内のサブネットマスクが /30 のサブネットである必要があります。 CIDR ブロックを 169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、または 169.254.169.252/30 にすることはできません。
ローカル BGP IP アドレス
Alibaba Cloud 側の IPsec 接続の BGP IP アドレスを入力します。
この IP アドレスは、IPsec トンネルの CIDR ブロック内に含まれている必要があります。
ヘルスチェック
デフォルトでは、ヘルスチェック機能は無効になっています。 ヘルスチェック構成を追加する前に、ヘルスチェック機能を有効にします。
IPsec 接続のヘルスチェックを構成した後、データセンターにルートを追加します。 宛先 CIDR ブロックを 送信元 IP に設定し、サブネットマスクを 32 ビットに設定し、ネクストホップを IPsec 接続に設定します。 これにより、IPsec 接続のヘルスチェック機能が期待どおりに機能することが保証されます。
パラメーター
説明
パラメーター
説明
宛先 IP
VPC が IPsec 接続に基づいて通信できるデータセンターの IP アドレスを入力します。
宛先 IP アドレスが ICMP 応答をサポートしていることを確認してください。
送信元 IP
データセンターが IPsec 接続に基づいて通信できる VPC の IP アドレスを入力します。
再試行間隔
ヘルスチェックの再試行間隔を指定します。 単位: 秒。 デフォルト値: [3]。
再試行回数
ヘルスチェックの再試行回数を入力します。 デフォルト値: [3]。
タグ
IPsec 接続を作成する際に、リソースの集約と検索を容易にするために、IPsec 接続にタグを追加できます。 詳細については、「タグ」をご参照ください。
パラメーター
説明
パラメーター
説明
[タグキー]
IPsec 接続のタグキー。 タグキーを選択または入力できます。
[タグ値]
タグ値を選択または入力します。 タグ値は空のままにすることができます。
後で VPN ゲートウェイルートを構成するには、表示されるダイアログボックスで [キャンセル] をクリックします。
IPsec 接続 ページで、管理する IPsec 接続を見つけ、操作 列の [構成のダウンロード] をクリックします。
IPsec-VPN 接続の設定 ダイアログボックスで、構成をコピーしてローカルパスに保存します。 この構成を使用して、オンプレミスゲートウェイデバイスを構成できます。
次の手順
ダウンロードした IPsec 接続構成に基づいて、オンプレミスゲートウェイデバイスを構成する。
IPsec 接続の管理
API を呼び出して IPsec 接続を作成および管理する
API を呼び出して、Alibaba Cloud SDK (推奨)、Alibaba Cloud CLI、Terraform、または Resource Orchestration Service を使用して IPsec 接続を作成および管理できます。 次の API 操作を使用できます。
