このドキュメントでは、Hillstone のファイアウォールデバイスを例とし、オンプレミスデータセンターを Alibaba Cloud VPC に接続するための VPN 設定の構成方法を示します。 IPsec-VPN を使用してサイト間の接続を作成するため、Alibaba Cloud VPN Gateway 用に構成された IPsec-VPN 接続に基づいてローカルゲートウェイを構成する必要があります。

始める前に

  • Alibaba Cloud VPC に IPsec-VPN 接続を作成しています。 詳細は、配置站点到站点连接をご参照ください。

  • IPsec-VPN 接続の構成を取得しています。 詳細は、IPsec连接管理をご参照ください。。

    この例では、以下の表に示す構成を使用しています。

    • IPsec プロトコル情報
      設定 インスタンス値
      Ike 認証アルゴリズム Sha1
      暗号化アルゴリズム AES
      DH グルーピング グループ 2
      IKE バージョン IKEv1
      ライフサイクル 86400
      ネゴシエーションモード メイン
      Psk's Hillstone
      IPsec 認証アルゴリズム Sha1
      暗号化アルゴリズム AES
      DH グルーピング グループ 2
      IKE バージョン IKEv1
      ライフサイクル 86400
      ネゴシエーションモード ESP
    • ネットワーク設定情報
      設定 インスタンス値
      VPC 情報 プライベートネットワーク CIDR 192.168.10.0/24
      ゲートウェイパブリックネットワーク IP 118.31.79.25
      IDC 情報 プライベートネットワーク CIDR 10.90.5.0/24
      ゲートウェイパブリックネットワーク IP 222.92.194.18
      アップストリームパブリックネットワークポート Vlan100
      ダウンストリームプライベートネットワーク E 0/3

手順

  1. [ファイアウォール] のウェブページにログインし、[ネットワーク] > [VPN] > > Ipsecvpn > P1 proposal-P1 proposal > new の順にクリックします。
    Alibaba Cloud VPN 接続用の IKE プロトコル情報に基づいた IDC 用の IKE プロトコルを設定します。
  2. [P2 プロポーザル] > [新規] をクリックします
    Alibaba Cloud VPN 接続用の IPsec プロトコル情報に基づいた IDC IPsec プロトコルを設定します。
  3. [VPN エンドツーエンドリスト] > [新規] をクリックします

    以下の情報に基づいた VPN ピアを設定します。

    • ファイアウォールのパブリックポートへの方向を選択するインターフェイス

    • Alibaba Cloud VPN Gateway のパブリック IP アドレスでのエンドフィルへの IP アドレス

    • 手順 1 用で作成した P1 プロポーザルを指定します。

    • 事前共有鍵は、Alibaba Cloud 側にある psks と一致しています。 NAT トラバーサルを有効化する場合は、[詳細設定] で [有効化] をクリックします。

  4. Click[Ike VPN リスト] > [新規] をクリックします

    以下の情報に基づいた Ike VPN を設定します。

    • エンドーツーエンドオプションで手順 3 で作成した VPN ピアを選択します。

    • 手順 2 で作成された P2 プロポーザルを設定します。

    • エージェント ID には "手動" を選択し、プロキシ ID リストで ローカル IP/マスクを入力します。これは、ローカル IDC のプライベートネットワークセグメント/24 で、ネットワークセグメント "192.168.10.0/24" をリモート IP/マスクの Alibaba Cloud VPC として入力し、[追加] をクリックします。

  5. Click[ネットワーク] > [セキュリティドメイン] > [新規] をクリックします。
    [セキュリティドメイン名] ページでセキュリティドメインの名前を入力し、タイプで 3 層セキュリティドメインを選択します。
  6. [ネットワーク] > [インターフェイス] > [新規] をクリックします。

    以下の情報により、トンネルインターフェイスを設定します。

    • インターフェイス名で "tunnelx" を入力します。"x" は 1 から 512 の値の範囲で、例えば、"tunnel5" などです。

    • [セキュリティドメイン] では 以前に作成されたセキュリティドメインを選択します。

    • トンネルタイプでは "IPSec VPN" を選択します。

    • VPN 名は以前に作成された VPN をクリックします。

  7. [戦略解説] > [セキュリティポリシー] > [新規] をクリックします。
  8. [ネットワーク] > [ルーティング] > [新規] をクリックします。

    アップストリームルートとダウンストリームルートをそれぞれ追加します。

    • アップストリームルーティング: 宛先アドレスは Alibaba Cloud VPC のメッシュセグメントで、次のホップは新しく作成されたトンネルインターフェイスです。

    • ダウンストリームルート: ファイアーウォールダウンストリームアドレスによります。このページの例では "10.90.5.1/24" で、 プライベートメッシュセグメント (/24) はローカル IDC に属します。そのため、すでにローカルダイレクトリンクルートが存在します。