すべてのプロダクト
Search
ドキュメントセンター

VPN Gateway:目的地ベースのルートの管理

最終更新日:Dec 02, 2024

宛先ベースのルートを作成すると、VPNゲートウェイはトラフィックの宛先IPアドレスと一致する宛先ベースのルートを見つけ、一致する宛先ベースのルートを使用してトラフィックを転送します。

前提条件

IPsec-VPN接続が作成され、VPNゲートウェイに関連付けられます。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」または「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。

制限事項

  • 宛先ベースのルートの宛先CIDRブロックを0.0.0.0/0に設定しないでください。

  • 宛先ベースのルートの宛先CIDRブロックを100.64.0.0/10または100.64.0.0/10のサブネット、または100.64.0.0/10を含むCIDRブロックに設定しないでください。 このようなルートを追加すると, IPsec-VPN接続の状態をコンソールに表示できないか, IPsecネゴシエーションに失敗します。

宛先ベースのルートのマッチングルール

デフォルトでは、VPNゲートウェイは、最長プレフィックス一致ルールに基づいて、一致する宛先ベースのルートを見つけます。

VPNゲートウェイでアクティブおよびスタンバイの宛先ベースのルートが設定されている場合、VPNゲートウェイはIPsec-VPN接続ネゴシエーションとヘルスチェックステータスに基づいて宛先ベースのルートを選択します。

  • アクティブな宛先ベースのルートに関連付けられたIPsec-VPN接続がネゴシエーションとヘルスチェックの両方に合格した場合、アクティブな宛先ベースのルートが使用されます。

  • アクティブな宛先ベースのルートに関連付けられたIPsec-VPN接続がネゴシエーションまたはヘルスチェックに失敗したが、スタンバイの宛先ベースのルートに関連付けられたIPsec-VPN接続がネゴシエーションとヘルスチェックの両方に合格した場合、スタンバイの宛先ベースのルートが使用されます。

  • アクティブな宛先ベースのルートとスタンバイの宛先ベースのルートに関連付けられたIPsec-VPN接続の両方がネゴシエーションまたはヘルスチェックに失敗した場合、アクティブな宛先ベースのルートが使用されます。

たとえば、パケットの宛先CIDRブロックは10.10.10.0/24です。 パケットがVPNゲートウェイに到着した後、VPNゲートウェイは、宛先IPアドレスと一致するルーティングテーブル内の以下の2つの宛先ベースのルートを見つける。 ルート2には /16のサブネットマスクを持つIPアドレス範囲があり、ルート1には /8のサブネットマスクを持つIPアドレス範囲があります。 ルート2のサブネットマスクが長いため、VPNゲートウェイはルート2を選択してパケットを転送します。

名前

宛先CIDRブロック

次のホップ

重量

ルート1

10.0.0.0/8

IPsec-VPN 接続 1

100

ルート2

10.10.0.0/16

IPsec-VPN接続2

100

宛先ベースのルートを作成する

  1. VPN Gatewayコンソール.

  2. 上部のナビゲーションバーで、VPN gatewayがデプロイされているリージョンを選択します。

  3. VPN Gatewayページで、管理するVPNゲートウェイのIDをクリックします。

  4. 宛先ベースルーティングタブをクリックします。ルートエントリの追加.

  5. ルートエントリの追加パネル、次のパラメータを設定し、OK.

    パラメーター

    説明

    宛先 CIDR ブロック

    アクセスするデータセンターのプライベートCIDRブロック。

    ネクストホップの種類

    ネクストホップのタイプ。 [IPsec-VPN 接続] を選択します。

    ネクストホップ

    作成したIPsec-VPN接続。

    VPC への公開

    ルートをVPCルートテーブルにアドバタイズするかどうかを指定します。

    • はい (推奨): VPCルートテーブルへのルートをアドバタイズします。 ルートはVPCシステムルートテーブルにアドバタイズされますが、VPCカスタムルートテーブルにはアドバタイズされません。

      ルートをVPCカスタムルートテーブルに手動で追加できます。 詳細については、「カスタムルートの追加」をご参照ください。

    • いいえ: ルートをVPCルートテーブルにアドバタイズしません。

      いいえ を選択した場合、VPNゲートウェイを指す宛先ベースのルートをVPCカスタムルートテーブルとシステムルートテーブルに手動で追加する必要があります。 それ以外の場合、VPCはIPsec-VPN接続を介してCIDRブロック内のリソースにアクセスできません。

    重要

    ポリシーベースのルートテーブルと宛先ベースのルートテーブルの両方に同じ宛先CIDRブロックを持つルートを作成し、両方のルートを同じVPCルートテーブルにアドバタイズする場合、宛先ベースのルートテーブルでルートを撤回すると、ポリシーベースのルートテーブルのルートも撤回されます。

    重み

    目的地ベースのルートの重み。

    同じVPNゲートウェイを使用してアクティブおよびスタンバイのIPsec-VPN接続を確立する場合、ルート重みを設定して、アクティブな宛先ベースのルートを指定できます。 値100はアクティブな宛先ベースのルートを指定し、値0はスタンバイの宛先ベースのルートを指定します。

    IPsec-VPN接続の接続を自動的にチェックするようにヘルスチェックを設定できます。 アクティブな宛先ベースのルートに関連付けられているIPsec-VPN接続がダウンしている場合、システムはスタンバイの宛先ベースのルートに関連付けられているIPsec-VPN接続に自動的に切り替えます。 ヘルスチェックの詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」トピックの「ヘルスチェック」セクションをご参照ください。

    • 100 (プライマリリンク): 宛先ベースのルートがアクティブです。 デフォルト値です。

    • 0 (バックアップリンク): 目的地ベースのルートがスタンバイです。

    説明
    • アクティブおよびスタンバイの宛先ベースのルートは、同じ宛先CIDRブロックを指す必要がありますが、異なるIPsec-VPN接続に関連付けられています。 さらに、アクティブおよびスタンバイ宛先ベースのルートは、異なる重みを持たなければならない。

    • アクティブな宛先ベースのルートの重みを変更する場合は、スタンバイの宛先ベースのルートを削除する必要があります。 アクティブな宛先ベースのルートの重みが変更されたら、スタンバイの宛先ベースのルートを再構成します。 スタンバイ宛先ベースのルートの重みを変更する場合は、アクティブな宛先ベースのルートを削除する必要があります。 スタンバイ宛先ベースのルートの重みが変更されたら、アクティブな宛先ベースのルートを再構成します。

    VPNゲートウェイに宛先ベースのルートを追加するときに重複ルートエラーが報告される場合は、「VPNゲートウェイに関するよくある質問」トピックの「VPNゲートウェイにルートを追加するときに報告される重複ルートエラーのトラブルシューティング方法」を参照してください。

目的地ベースのルートを宣伝する

ルートの作成時に宛先ベースのルートをVPCルートテーブルにアドバタイズしない場合、この操作を実行してルートをVPCルートテーブルにアドバタイズできます。 ルートはVPCシステムルートテーブルにアドバタイズされますが、VPCカスタムルートテーブルにはアドバタイズされません。

ルートをVPCカスタムルートテーブルに手動で追加できます。 詳細については、「カスタムルートの追加」をご参照ください。

  1. VPN Gatewayコンソール.

  2. 上部のナビゲーションバーで、VPN gatewayがデプロイされているリージョンを選択します。

  3. VPN Gatewayページで、管理するVPNゲートウェイのIDをクリックします。

  4. 宛先ベースルーティングタブで、広告する宛先ベースのルートを見つけて、公開で、操作列を作成します。

  5. ルートエントリの公開メッセージ, クリックOK.

    目的地ベースのルートを撤回する場合は、[操作] 列の 公開の取り消し をクリックします。

    重要

    ポリシーベースのルートテーブルと宛先ベースのルートテーブルの両方に同じ宛先CIDRブロックを持つルートを作成し、両方のルートを同じVPCルートテーブルにアドバタイズする場合、宛先ベースのルートテーブルでルートを撤回すると、ポリシーベースのルートテーブルのルートも撤回されます。

宛先ベースのルートの変更

既存の目的地ベースのルートの重みを変更できます。

  1. VPN Gatewayコンソール.

  2. 上部のナビゲーションバーで、VPN gatewayがデプロイされているリージョンを選択します。

  3. VPN Gatewayページで、管理するVPNゲートウェイのIDをクリックします。

  4. 宛先ベースルーティングタブで、管理する宛先ベースのルートを見つけて、操作で、編集列を作成します。

  5. 表示されるパネルで、目的地ベースのルートの重みを変更し、OK.

宛先ベースのルートを削除する

  1. VPN Gatewayコンソール.

  2. 上部のナビゲーションバーで、VPN gatewayがデプロイされているリージョンを選択します。

  3. VPN Gatewayページで、管理するVPNゲートウェイのIDをクリックします。

  4. 宛先ベースルーティングタブで、削除する宛先ベースのルートを見つけて、削除で、操作列を作成します。

  5. ルートエントリの削除メッセージ, クリックOK.

API操作を呼び出して宛先ベースのルートを管理

Alibaba Cloud SDK (推奨)Alibaba Cloud CLITerraformResource Orchestration Service (ROS) などのツールを使用して、次のAPI操作を呼び出すことで、宛先ベースのルートを管理できます。