このトピックでは、Cisco の Next-Generation Firewall (NGFW) デバイスを例に使用し、オンプレミスデータセンターを Alibaba Cloud VPC に接続する VPN 設定方法を示します。 IPsec-VPN を使用してサイト間接続を作成する場合は、Alibaba Cloud VPN Gateway 用に設定された IPsec-VPN 接続に基づいて、ローカルゲートウェイを設定する必要があります。

次の表に、この例で使用される VPC とオンプレミスデータセンターのネットワーク構成を示します。
設定項目 値の例
VPC VSwitch CIDR ブロック 192.168.10.0/24, 192.168.11.0/24
ゲートウェイのパブリック IP アドレス 47. xxx. xxx.161
オンプレミスデータセンター イントラネット CIDR ブロック 10.10.10.0/24
ファイアウォールのパブリック IP アドレス 124. xxx. xxx.171
オンプレミスデータセンター側が VPC と接続する複数の CIDR ブロックに関連付けられている場合、Alibaba Cloud 上に同数の IPsec-VPN 接続を作成し、VPN ゲートウェイを追加することを推奨します。

IKEv1 VPN の設定

前提条件
  • Alibaba Cloud VPC で IPsec-VPN 接続を作成します。 詳細は、IPsec-VPN 接続の作成 をご参照ください.

  • IPsec-VPN 接続の設定を取得しています。 詳細については、「IPsec-VPN 接続設定のダウンロード」をご参照ください。 この例では、以下の表に示す設定が使用されています。
    プロトコル 設定項目 値の例
    IKE 認証アルゴリズム SHA-1
    Encryption Algorithm AES-128
    DH Group グループ 2
    IKE Version IKE v1
    SA ライフサイクル 86400
    ネゴシエーションモード メイン
    PSK 123456
    IPsec 認証アルゴリズム SHA-1
    認証アルゴリズム AES-128
    DH グループ グループ 2
    IKE バージョン IKE v1
    SA ライフサイクル 86400
    ネゴシエーションモード esp
手順

次の手順に沿って、カスタマーゲートウェイ設定を Cisco の NGFW デバイスにロードします。

  1. NGFW デバイスの CLI にログインします。
  2. isakmp ポリシーを設定します。
    crypto isakmp policy 1 
    authentication pre-share 
    encryption aes
    hash sha 
    group  2
    lifetime 86400
  3. 事前共有キーを設定します。
    crypto isakmp key 123456 address 47.xxx.xxx. 161
  4. IPsec プロトコルを設定します。
    crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac 
    mode tunnel
  5. アクセス制御リスト (ACL) を設定し、保護するデータフローを定義します。
    ローカルゲートウェイデバイスに複数の CIDR ブロックが設定されている場合、CIDR ブロックごとに ACL ポリシーを追加する必要があります。
    access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255
    access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.20.0 0.0.0.255
  6. IPsec ポリシーを設定します。
    crypto map ipsecpro64 10 ipsec-isakmp
    set peer 47.xxx.xxx. 161
    set transform-set ipsecpro64
    set pfs group2
    match address 100
  7. IPsec ポリシーを適用します。
    interface g0/0
    crypto map ipsecpro64
  8. 静的ルートを設定します。
    ip route 192.168.10.0 255.255.255.0 47.xxx.xxx. 161
    ip route 192.168.20.0 255.255.255.0 47.xxx.xxx. 161
  9. 接続性をテストします。

    オンプレミスデータセンターのホストに接続されている Alibaba Cloud のホストを使用して、接続性テストを実行できます。

IKEv2 VPN の設定

前提条件
  • Alibaba Cloud VPC で IPsec-VPN 接続を作成します。 詳細は、IPsec-VPN 接続の作成 をご参照ください.

  • IPsec-VPN 接続の設定を取得しています。 詳細については、「IPsec-VPN 接続設定のダウンロード」をご参照ください。 この例では、以下の表に示す設定が使用されています。

    プロトコル 設定項目 値の例
    IKE 認証アルゴリズム SHA-1
    暗号化アルゴリズム AES-128
    DH グループ グループ 2
    IKE バージョン IKE v2
    SA ライフサイクル 86400
    PRF アルゴリズム SHA-1
    PSK 123456
    IPsec 認証アルゴリズム SHA-1
    暗号化アルゴリズム AES-128
    DH グループ グループ 2
    IKE バージョン IKE v2
    SA ライフサイクル 86400
    ネゴシエーションモード esp

手順

次の手順に沿って、カスタマーゲートウェイ設定を Cisco の NGFW デバイスにロードします。
  1. NGFW デバイスの CLI にログインします。
  2. フェーズ1 IKE アルゴリズムを設定します。
    crypto ikev2 proposal daemon 
    encryption aes-cbc-128
    integrity sha1
    group 2
  3. IKE v2 ポリシーを設定し、プロポーザルを適用します。
    crypto ikev2 policy ipsecpro64_v2
    proposal daemon
  4. 事前共有キーを設定します。
    crypto ikev2 keyring ipsecpro64_v2 
    peer vpngw 
    address 47.xxx.xxx. 161
    pre-shared-key 0 123456
  5. ID 認証を設定します。
    crypto ikev2 profile ipsecpro64_v2
    match identity remote address 47.xxx.xxx. 161 255.255.255.255
    identity local address 10.10.10.1 
    authentication remote pre-share     
    authentication local pre-share 
    keyring local ipsecpro64_v2
  6. IPsec セキュリティプロトコルを設定します。
    crypto ipsec transform-set ipsecpro64_v2 esp-aes esp-sha-hmac
    mode tunnel
  7. ACL (アクセス制御リスト) を構成し、保護するデータストリームを定義します。
    ローカルゲートウェイデバイスに複数の CIDR ブロックが設定されている場合、CIDR ブロックごとに ACL ポリシーを追加する必要があります。
    access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255
    access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.20.0 0.0.0.255
  8. IPsec ポリシーを設定します。
    crypto map ipsecpro64_v2 10 ipsec-isakmp
    set peer 47.xxx.xxx. 161
    set transform-set ipsecpro64_v2 
    set ikev2-profile ipsecpro64_v2
    match address 100
  9. IPsec ポリシーを適用します。
    interface g0/1
    crypto map ipsecpro64_v2
  10. 静的ルートを設定します。
    ip route 192.168.10.0 255.255.255.0 47.xxx.xxx. 161
    ip route 192.168.20.0 255.255.255.0 47.xxx.xxx. 161
  11. 接続性をテストします。

    オンプレミスデータセンターのホストに接続されている Alibaba Cloud のホストを使用して、接続性テストを実行できます。