宛先ベースのルートを作成すると、VPNゲートウェイはトラフィックの宛先IPアドレスと一致する宛先ベースのルートを見つけ、一致する宛先ベースのルートを使用してトラフィックを転送します。
前提条件
IPsec-VPN接続が作成され、VPNゲートウェイに関連付けられます。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」または「デュアルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。
制限事項
宛先ベースのルートの宛先CIDRブロックを0.0.0.0/0に設定しないでください。
宛先ベースのルートの宛先CIDRブロックを100.64.0.0/10または100.64.0.0/10のサブネット、または100.64.0.0/10を含むCIDRブロックに設定しないでください。 このようなルートを追加すると, IPsec-VPN接続の状態をコンソールに表示できないか, IPsecネゴシエーションに失敗します。
宛先ベースのルートのマッチングルール
デフォルトでは、VPNゲートウェイは、最長プレフィックス一致ルールに基づいて、一致する宛先ベースのルートを見つけます。
VPNゲートウェイでアクティブおよびスタンバイの宛先ベースのルートが設定されている場合、VPNゲートウェイはIPsec-VPN接続ネゴシエーションとヘルスチェックステータスに基づいて宛先ベースのルートを選択します。
アクティブな宛先ベースのルートに関連付けられたIPsec-VPN接続がネゴシエーションとヘルスチェックの両方に合格した場合、アクティブな宛先ベースのルートが使用されます。
アクティブな宛先ベースのルートに関連付けられたIPsec-VPN接続がネゴシエーションまたはヘルスチェックに失敗したが、スタンバイの宛先ベースのルートに関連付けられたIPsec-VPN接続がネゴシエーションとヘルスチェックの両方に合格した場合、スタンバイの宛先ベースのルートが使用されます。
アクティブな宛先ベースのルートとスタンバイの宛先ベースのルートに関連付けられたIPsec-VPN接続の両方がネゴシエーションまたはヘルスチェックに失敗した場合、アクティブな宛先ベースのルートが使用されます。
たとえば、パケットの宛先CIDRブロックは10.10.10.0/24です。 パケットがVPNゲートウェイに到着した後、VPNゲートウェイは、宛先IPアドレスと一致するルーティングテーブル内の以下の2つの宛先ベースのルートを見つける。 ルート2には /16のサブネットマスクを持つIPアドレス範囲があり、ルート1には /8のサブネットマスクを持つIPアドレス範囲があります。 ルート2のサブネットマスクが長いため、VPNゲートウェイはルート2を選択してパケットを転送します。
名前 | 宛先CIDRブロック | 次のホップ | 重量 |
ルート1 | 10.0.0.0/8 | IPsec-VPN 接続 1 | 100 |
ルート2 | 10.10.0.0/16 | IPsec-VPN接続2 | 100 |
宛先ベースのルートを作成する
上部のナビゲーションバーで、VPN gatewayがデプロイされているリージョンを選択します。
VPN Gatewayページで、管理するVPN gatewayのIDをクリックします。
宛先ベースルーティングタブをクリックします。ルートエントリの追加.
ルートエントリの追加パネル、次のパラメータを設定し、OK.
パラメーター
説明
宛先 CIDR ブロック
アクセスするデータセンターのプライベートCIDRブロック。
ネクストホップの種類
ネクストホップのタイプ。 [IPsec-VPN 接続] を選択します。
ネクストホップ
作成したIPsec-VPN接続。
VPC に公開
ルートをVPCルートテーブルにアドバタイズするかどうかを指定します。 有効な値:
はい (推奨)
いいえ
いいえ を選択した場合、VPCルートテーブルにルートを手動でアドバタイズする必要があります。 詳細については、このトピックの「目的地ベースのルートを宣伝する」をご参照ください。
重要ポリシーベースのルートテーブルと宛先ベースのルートテーブルの両方に同じ宛先CIDRブロックを持つルートを作成し、両方のルートを同じVPCルートテーブルにアドバタイズする場合、宛先ベースのルートテーブルでルートを撤回すると、ポリシーベースのルートテーブルのルートも撤回されます。
重み
目的地ベースのルートの重み。
同じVPNゲートウェイを使用してアクティブおよびスタンバイのIPsec-VPN接続を確立する場合、ルート重みを設定して、アクティブな宛先ベースのルートを指定できます。 値100はアクティブな宛先ベースのルートを指定し、値0はスタンバイの宛先ベースのルートを指定します。
IPsec-VPN接続の接続を自動的にチェックするようにヘルスチェックを設定できます。 アクティブな宛先ベースのルートに関連付けられているIPsec-VPN接続がダウンしている場合、システムはスタンバイの宛先ベースのルートに関連付けられているIPsec-VPN接続に自動的に切り替えます。 ヘルスチェックの詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」トピックの「ヘルスチェック」セクションをご参照ください。
100 (プライマリリンク): 宛先ベースのルートがアクティブです。 デフォルト値です。
0 (バックアップリンク): 目的地ベースのルートがスタンバイです。
説明アクティブおよびスタンバイの宛先ベースのルートは、同じ宛先CIDRブロックを指す必要がありますが、異なるIPsec-VPN接続に関連付けられています。 さらに、アクティブおよびスタンバイ宛先ベースのルートは、異なる重みを持たなければならない。
アクティブな宛先ベースのルートの重みを変更する場合は、スタンバイの宛先ベースのルートを削除する必要があります。 アクティブな宛先ベースのルートの重みが変更されたら、スタンバイの宛先ベースのルートを再構成します。 スタンバイ宛先ベースのルートの重みを変更する場合は、アクティブな宛先ベースのルートを削除する必要があります。 スタンバイ宛先ベースのルートの重みが変更されたら、アクティブな宛先ベースのルートを再構成します。
VPNゲートウェイに宛先ベースのルートを追加するときに重複ルートエラーが報告される場合は、「VPNゲートウェイに関するよくある質問」トピックの「VPNゲートウェイにルートを追加するときに報告される重複ルートエラーのトラブルシューティング方法」を参照してください。
目的地ベースのルートを宣伝する
上部のナビゲーションバーで、VPN gatewayがデプロイされているリージョンを選択します。
VPN Gatewayページで、管理するVPN gatewayのIDをクリックします。
宛先ベースルーティングタブで、広告する宛先ベースのルートを見つけて、公開で、操作列を作成します。
ルートエントリの公開メッセージ, クリックOK.
目的地ベースのルートを撤回する場合は、[操作] 列の 公開の取り消し をクリックします。
重要ポリシーベースのルートテーブルと宛先ベースのルートテーブルの両方に同じ宛先CIDRブロックを持つルートを作成し、両方のルートを同じVPCルートテーブルにアドバタイズする場合、宛先ベースのルートテーブルでルートを撤回すると、ポリシーベースのルートテーブルのルートも撤回されます。
宛先ベースのルートの変更
既存の目的地ベースのルートの重みを変更できます。
上部のナビゲーションバーで、VPN gatewayがデプロイされているリージョンを選択します。
VPN Gatewayページで、管理するVPN gatewayのIDをクリックします。
宛先ベースルーティングタブで、管理する宛先ベースのルートを見つけて、編集で、操作列を作成します。
表示されるパネルで、目的地ベースのルートの重みを指定し、OK.
宛先ベースのルートを削除する
上部のナビゲーションバーで、VPN gatewayがデプロイされているリージョンを選択します。
VPN Gatewayページで、管理するVPN gatewayのIDをクリックします。
宛先ベースルーティングタブで、削除する宛先ベースのルートを見つけて、削除で、操作列を作成します。
ルートエントリの削除メッセージ, クリックOK.
API操作を呼び出して宛先ベースのルートを管理
Alibaba Cloud SDK (推奨) 、Alibaba Cloud CLI、Terraform、Resource Orchestration Service (ROS) などのツールを使用して、次のAPIを呼び出して宛先ベースのルートを管理できます。
CreateVpnRouteEntry: 宛先ベースのルートを作成します。
PublishVpnRouteEntry: 宛先ベースのルートを広告または撤回します。
DeleteVpnRouteEntry: 宛先ベースのルートを削除します。
ModifyVpnRouteEntryWeight: 宛先ベースのルートの重みを変更します。
DescribeVpnRouteEntries: 宛先ベースのルートとBorder Gateway Protocol (BGP) ルートを照会します。