トランジットルーターの CIDR ブロックとは - Cloud Enterprise Network

トランジットルーターの CIDR ブロックは、トランジットルーターに指定できるカスタム CIDR ブロックです。この CIDR ブロックは、ルーターのループバックインターフェイスの CIDR ブロックに似ています。トランジットルーターの CIDR ブロックの IP アドレスは、IPsec 接続に割り当てられ、VPN 接続を確立します。

背景情報

VPN 接続を作成すると、システムはトランジットルーターの CIDR ブロックから IPsec 接続にアドレスを割り当てます:

プライベート VPN 接続を作成すると、システムはトランジットルーターの CIDR ブロックからゲートウェイ IP アドレスを IPsec 接続に自動的に割り当てます。このアドレスは、オンプレミスネットワークとの IPsec 接続を確立するために使用されます。
プライベート VPN 接続とトランジットルーターのルートテーブルとの間でルート学習を有効にすると、システムは自動的にブラックホールルートをルートテーブルに追加します。ブラックホールルートの宛先 CIDR ブロックは、ゲートウェイ IP アドレスが IPsec 接続に割り当てられたトランジットルーターの CIDR ブロックです。ブラックホールルートは、トランジットルーターに接続されている仮想ボーダールータ (VBR) インスタンスのルートテーブルにのみアドバタイズされます。
説明
- トランジットルーターのルートテーブルにブラックホールルートを追加するかどうかを制御するには、CreateTransitRouterCidr 操作の PublishCidrRoute パラメーターを使用できます。このルートの宛先は、トランジットルーターの CIDR ブロックです。詳細については、「CreateTransitRouterCidr」をご参照ください。
- プライベート VPN 接続とトランジットルーターのルートテーブルとの間でルート学習を有効にすると、トランジットルーターは IPsec 接続を指すルートエントリを自動的に学習します。ルートエントリの宛先 CIDR ブロックは IPsec 接続のゲートウェイ IP アドレスで、ネクストホップは VPN 接続です。
  このルートエントリは、VPN 接続からルートを学習するトランジットルーターのルートテーブルに追加されます。
パブリック VPN 接続を作成する場合:
- シングルトンネルモードでは、システムは Alibaba Cloud のアドレスプールからパブリック IP アドレスを IPsec 接続に割り当てます。パブリック IP アドレスは、オンプレミスネットワークとの IPsec 接続を確立するために使用されます。システムはまた、トランジットルーターの CIDR ブロックから IP アドレスを IPsec 接続に割り当てます。この IP アドレスは、IPsec 接続の内部ヘルスチェックに使用され、ネットワークには影響しません。
- デュアルトンネルモードでは、システムは Alibaba Cloud のアドレスプールから 2 つのパブリック IP アドレスを IPsec 接続に割り当てます。各トンネルは 1 つのパブリック IP アドレスを使用して、オンプレミスネットワークとのデュアルトンネル IPsec 接続を確立します。システムはまた、トランジットルーターの CIDR ブロックから 2 つの IP アドレスを IPsec 接続に割り当てます。これらの 2 つの IP アドレスは、IPsec 接続の内部ヘルスチェックに使用され、ネットワークには影響しません。
  説明
  デュアルトンネルモードの詳細については、「トランジットルーターに関連付けられている IPsec 接続を使用する」をご参照ください。

トランジットルーターの CIDR ブロックの割り当てルールの詳細については、「トランジットルーターの CIDR ブロックからの IP アドレスの割り当てルール」をご参照ください。

制限事項

Enterprise Edition のトランジットルーターのみがカスタム CIDR ブロックをサポートします。
各トランジットルーターは最大 5 つの CIDR ブロックをサポートします。各トランジットルーターの CIDR ブロックのサブネットマスクは、16～24 ビット長である必要があります。
100.64.0.0/10、224.0.0.0/4、127.0.0.0/8、169.254.0.0/16、またはそれらのサブネットをトランジットルーターの CIDR ブロックとして指定することはできません。
各トランジットルーターの CIDR ブロックは、Cloud Enterprise Network (CEN) インスタンス内で相互に通信するインスタンスの CIDR ブロックと重複することはできません。
同じ CEN インスタンス内では、各トランジットルーターの CIDR ブロックは一意である必要があります。

トランジットルーターの CIDR ブロックからの IP アドレスの割り当てルール

このセクションでは、計画に役立つように、トランジットルーターの CIDR ブロックから IP アドレスを割り当てるためのルールについて説明します。

トランジットルーターに CIDR ブロックを追加すると、トランジットルーターで最初の VPN 接続を作成するときに、システムは CIDR ブロックから 3 つの /28 サブネットを自動的に予約します。これらのシステム予約サブネットは、VPN 接続を作成するためのバックエンドプロセスで使用されます。その後、システムは CIDR ブロックの残りのアドレス空間から IPsec 接続に IP アドレスを割り当てます。

IPsec 接続に IP アドレスを割り当てるとき、システムはまず残りのアドレス空間から /28 サブネットを切り出します。この /28 サブネット内では、4 つの IP アドレスがシステムによって予約されており、割り当てられません。システムは、残りの 12 個の IP アドレスから IPsec 接続に IP アドレスを割り当て、トンネルごとに 1 つの IP アドレスを割り当てます。12 個すべての IP アドレスが使用されると、システムは残りのアドレス空間から別の /28 サブネットを切り出します。各 /28 サブネットでは、4 つの IP アドレスが常にシステムによって予約されており、割り当てには使用できません。

例

たとえば、トランジットルーターの CIDR ブロックとして 10.0.0.0/24 と 192.168.0.0/20 を設定します。10.0.0.0/28、10.0.0.16/28、および 10.0.0.32/28 がシステム予約サブネットであると仮定します。次に、システムは、IPsec 接続に IP アドレスを割り当てるために、残りのアドレス空間から 10.0.0.48/28 などの /28 サブネットを切り出します。10.0.0.48/28 サブネット内では、4 つの IP アドレスがシステムによって予約されており、割り当てられません。残りの 12 個の IP アドレスは IPsec 接続に使用できます。これらの 12 個のアドレスが使用されると、システムは残りのアドレス空間から別の /28 サブネットを切り出します。各 /28 サブネットでは、4 つの IP アドレスが常にシステムによって予約されます。

このシナリオでは:

シングルトンネルモード

シングルトンネルモードでは、1 つの VPN 接続に 1 つのトンネルが含まれます。各トンネルは 1 つの IP アドレスを占有します:

10.0.0.0/24 CIDR ブロックから作成できる VPN 接続の最大数: (2⁸ ÷ 2⁴ - 3) × (2⁴ - 4) = 156。
192.168.0.0/20 CIDR ブロックから作成できる VPN 接続の最大数: (2¹² ÷ 2⁴) × (2⁴ - 4) = 3,072。
トランジットルーターで作成できる VPN 接続の最大数: 156 + 3,072 = 3,228。

デュアルトンネルモード

デュアルトンネルモードでは、1 つの VPN 接続に 2 つのトンネルが含まれます。各トンネルは 1 つの IP アドレスを占有します:

10.0.0.0/24 CIDR ブロックから作成できる VPN 接続の最大数: (2⁸ ÷ 2⁴ - 3) × (2⁴ - 4) ÷ 2 = 78。
192.168.0.0/20 CIDR ブロックから作成できる VPN 接続の最大数: (2¹² ÷ 2⁴) × (2⁴ - 4) ÷ 2 = 1,536。
トランジットルーターで作成できる VPN 接続の最大数: 78 + 1,536 = 1,614。

説明

キャレット (^) は指数を示します。たとえば、2⁴ = 16 です。

VPN 接続を作成した後、[割り当ての詳細] パネルで、システム予約サブネットと IPsec 接続に割り当てられた IP アドレスの詳細を表示できます。詳細については、「トランジットルーターの CIDR ブロックの割り当て詳細の表示」をご参照ください。

トランジットルーターの CIDR ブロックの追加

トランジットルーターの作成時に CIDR ブロックを追加するか、既存のトランジットルーターに CIDR ブロックを追加できます。

トランジットルーターの作成時に CIDR ブロックを追加する

CEN コンソールにログインします。
インスタンス ページで、管理する CEN インスタンスの ID をクリックします。
[基本情報] > [トランジットルーター] タブに移動し、[トランジットルーターの作成] をクリックします。

[トランジットルーターの作成] ダイアログボックスで、トランジットルーターインスタンスのパラメーターを設定し、[OK] をクリックします。

設定項目	説明
リージョン	トランジットルーターインスタンスを作成するリージョンを選択します。
エディション	トランジットルーターインスタンスのエディション。システムは、現在のリージョンにおけるトランジットルーターインスタンスのエディションを自動的に決定して表示します。
マルチキャストの有効化	トランジットルーターインスタンスのマルチキャスト機能を有効にするかどうかを指定します。デフォルトでは、マルチキャスト機能は無効になっています。説明マルチキャストは、一部のリージョンの Enterprise Edition トランジットルーターでサポートされています。詳細については、「マルチキャストの概要」をご参照ください。
名前	トランジットルーターインスタンスの名前を入力します。
説明	トランジットルーターインスタンスの説明を入力します。
タグ	トランジットルーターインスタンスのタグを設定します。タグキー: タグキーは最大 64 文字です。空の文字列にしたり、`acs:` または `aliyun` で始めたり、`http://` または `https://` を含めたりすることはできません。タグ値: タグ値は、最大長 128 文字の空の文字列にすることができます。`acs:` または `aliyun` で始めたり、`http://` または `https://` を含めたりすることはできません。トランジットルーターインスタンスに複数のタグを追加できます。詳細については、「タグ」をご参照ください。
TR CIDR ブロック	トランジットルーターの CIDR ブロックを入力します。複数の CIDR ブロックを入力するには、テキストボックスの下にある追加をクリックします。

トランジットルーターの作成後に CIDR ブロックを追加する

CEN コンソールにログインします。
インスタンス ページで、管理する CEN インスタンスの ID をクリックします。
[基本情報] > [トランジットルーター] タブに移動し、管理するトランジットルーターの ID をクリックします。
トランジットルーターインスタンスの詳細ページで、[基本情報] タブをクリックします。[TR CIDR ブロック] セクションで、[編集] をクリックします。
[TR CIDR ブロックの編集] ダイアログボックスで、CIDR ブロックを入力し、[OK] をクリックします。
複数の CIDR ブロックを入力するには、テキストボックスの下にある追加をクリックします。
[結果] ダイアログボックスで、[OK] をクリックします。

トランジットルーターの CIDR ブロックの割り当て詳細の表示

トランジットルーターに CIDR ブロックを追加した後、IPsec 接続を作成すると、システムはその CIDR ブロックから IPsec 接続に IP アドレスを割り当てます。トランジットルーターの [基本情報] タブで CIDR ブロックの割り当て詳細を表示できます。

CEN コンソールにログインします。
インスタンス ページで、管理する CEN インスタンスの ID をクリックします。
[基本情報] > [トランジットルーター] タブに移動し、管理するトランジットルーターの ID をクリックします。
トランジットルーターインスタンスの詳細ページで、[基本情報] タブをクリックします。[TR CIDR ブロック] セクションで、[割り当ての詳細] をクリックします。
[割り当ての詳細] パネルで、トランジットルーターの CIDR ブロックの割り当て詳細を表示できます。

トランジットルーターの CIDR ブロックの変更

IP アドレスが割り当てられているトランジットルーターの CIDR ブロックは変更できません。

IP アドレスが割り当てられているトランジットルーターの CIDR ブロックを変更する場合は、まずその IP アドレスを使用している VPN 接続を削除する必要があります。詳細については、「ネットワークインスタンス接続の削除」をご参照ください。

CEN コンソールにログインします。
インスタンス ページで、管理する CEN インスタンスの ID をクリックします。
[基本情報] > [トランジットルーター] タブに移動し、管理するトランジットルーターの ID をクリックします。
トランジットルーターインスタンスの詳細ページで、[基本情報] タブをクリックします。[TR CIDR ブロック] セクションで、[編集] をクリックします。
[TR CIDR ブロックの編集] ダイアログボックスで、トランジットルーターの CIDR ブロックを更新し、[OK] をクリックします。
トランジットルーターの CIDR ブロックに対して次の操作を実行できます:
- トランジットルーターの CIDR ブロックの追加: テキストボックスの下にある追加をクリックして、新しいトランジットルーターの CIDR ブロックを追加します。
- トランジットルーターの CIDR ブロックの変更: 既存の CIDR ブロックを変更します。
- トランジットルーターの CIDR ブロックの削除: テキストボックスの右側にあるアイコンをクリックして、現在のトランジットルーターの CIDR ブロックを削除します。
[結果] ダイアログボックスで、変更を確認し、[OK] をクリックします。

トランジットルーターの CIDR ブロックの削除

IP アドレスが割り当てられているトランジットルーターの CIDR ブロックは削除できません。

IP アドレスが割り当てられているトランジットルーターの CIDR ブロックを削除する場合は、まずその IP アドレスを使用している VPN 接続を削除する必要があります。詳細については、「ネットワークインスタンス接続の削除」をご参照ください。

CEN コンソールにログインします。
インスタンス ページで、管理する CEN インスタンスの ID をクリックします。
[基本情報] > [トランジットルーター] タブに移動し、管理するトランジットルーターの ID をクリックします。
トランジットルーターインスタンスの詳細ページで、[基本情報] タブをクリックします。[TR CIDR ブロック] セクションで、[編集] をクリックします。
[TR CIDR ブロックの編集] ダイアログボックスで、ターゲット CIDR ブロックの横にあるアイコンをクリックし、[OK] をクリックします。
ターゲット CIDR ブロックの右側にアイコンが表示されない場合は、テキストボックスの下にある追加をクリックします。
[結果] ダイアログボックスで、変更を確認し、[OK] をクリックします。

リファレンス

CreateTransitRouterCidr: トランジットルーターの CIDR ブロックを作成します。
ModifyTransitRouterCidr: トランジットルーターの CIDR ブロックを変更します。
DeleteTransitRouterCidr: トランジットルーターの CIDR ブロックを削除します。
ListTransitRouterCidr: トランジットルーターに追加された CIDR ブロックを照会します。
ListTransitRouterCidrAllocation: トランジットルーターの CIDR ブロックの割り当て詳細を照会します。