このトピックでは、IPsec-VPN接続の作成後にIPsec-VPN接続のルートを設定する方法について説明します。 ルートを設定すると、プライベート接続を介してAlibaba Cloudとデータセンター間でトラフィックをルーティングできます。

設定の概要

サポートされるルート設定とデフォルトのルート動作は、次の表に示すように、IPsec-VPN接続に関連付けられているリソースによって異なります。

関連リソースサポートされるルーティングプロトコルルーティング方法デフォルトのルート動作
トランジットルーター
  • 静的ルーティング:

    宛先ベースのルート

  • ボーダーゲートウェイプロトコル (BGP) 動的ルーティング
  • 静的ルーティング

    IPsec-VPN接続の宛先ベースのルートを手動で設定する必要があります。 詳細については、「IPsec-VPN接続の宛先ベースのルートの設定」をご参照ください。

  • BGP動的ルーティング

    IPsec-VPN接続とオンプレミスゲートウェイデバイスのBGPピアリングを設定した後、IPsec-VPN接続とオンプレミスゲートウェイデバイスは自動的に互いのルートを学習できます。 詳細については、「VPN GatewayはBGP動的ルーティングをサポートおよびBGP設定」をご参照ください。

  • IPsec-VPN接続用に静的ルーティングが設定されている場合、システムは自動的に静的ルートをトランジットルーターのルートテーブルにアドバタイズします。
  • IPsec-VPN接続用にBGP動的ルーティングが設定されている場合、システムはオンプレミスゲートウェイデバイスから学習したルートをトランジットルーターのルートテーブルに自動的にアドバタイズします。

    トランジットルーターでは、他のインスタンスから学習したルートをIPsec-VPN接続にアドバタイズするかどうかを制御できます。 詳細については、「トランジットルーターからIPsec-VPN接続への自動ルート広告の管理」をご参照ください。

説明 IPsec-VPN接続を作成するときに、IPsec-VPN接続を同じAlibaba Cloudアカウントのトランジットルーターに関連付けた場合:
  • IPsec-VPN接続は、トランジットルーターのデフォルトルートテーブルに関連付けられています。 トランジットルーターは、デフォルトのルートテーブルに基づいてIPsec-VPN接続からトラフィックを転送します。
  • IPsec-VPN接続用に構成した宛先ベースのルートと、BGP動的ルーティングを介したIPsec-VPN接続によって学習されたルートは、トランジットルーターの既定のルートテーブルに通知されます。

IPsec-VPN接続に関連付けられているルートテーブルと、ルート広告に使用するルートテーブルを変更できます。 詳細については、「ルート学習」および「連携転送」をご参照ください。

VPN ゲートウェイ
  • 静的ルーティング:
    • 宛先ベースのルート
    • ポリシーベースのルート
  • BGP動的ルーティング
  • IPsec-VPN接続の静的ルーティングを設定する場合、システムは、設定に基づいてVPNゲートウェイが関連付けられている仮想プライベートクラウド (VPC) のシステムルートテーブルにルートをアドバタイズするかどうかを決定します。
  • IPsec-VPN接続にBGP動的ルーティングを設定すると、IPsec-VPN接続はデータセンターからのルートとVPCのシステムルートテーブルを自動的に学習します。 さらに、IPsec-VPN接続は、VPCのシステムルートテーブルからデータセンターへのルートを自動的にアドバタイズします。

    VPNゲートウェイの自動ルート通知を有効にした場合、IPsec-VPN接続はデータセンターからVPCのシステムルートテーブルへのルートを自動的に通知します。

IPsec-VPN接続の宛先ベースのルートの設定

IPsec-VPN接続の宛先ベースのルートを設定する操作は、IPsec-VPN接続に関連付けられているリソースによって異なります。
  • IPsec-VPN接続がトランジットルーターに関連付けられている場合は、IPsec-VPN接続の宛先ベースのルートを設定する必要があります。 詳細については、次のセクションをご参照ください。
  • IPsec-VPN接続がVPNゲートウェイに関連付けられている場合は、VPNゲートウェイで宛先ベースのルートを設定する必要があります。 詳細については、「宛先ベースのルートを作成する」をご参照ください。
IPsec-VPN接続の宛先ベースのルートを設定する前に、次の情報に注意してください。
  • 宛先CIDRブロックが0.0.0.0/0の宛先ルートは作成できません。
  • IPsec-VPN接続の宛先ベースのルートを作成する場合、次の条件を満たすルートを作成しないでください。宛先CIDRブロックは100.64.0.0/10またはそのサブネットの1つです。 次のホップはIPsec − VPN接続である。 このようなルートでは、次のいずれかのエラーが発生します。IPsec-VPN接続のステータスをコンソールに表示できません。 IPsec-VPN接続のネゴシエーションに失敗します。
  1. VPN Gatewayコンソールにログインします。
  2. 上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
  3. [IPsec接続] ページで、IPsec-VPN接続を見つけ、そのIDをクリックします。
  4. [宛先ベースルーティング] タブで、[ルートエントリの追加] をクリックします。
  5. [ルートエントリの追加] パネルで、次のパラメーターを設定し、[OK] をクリックします。
    項目説明
    宛先CIDRブロックデータセンター側でCIDRブロックを入力します。
    ネクストホップタイプ[IPsec接続] を選択します。
    次ホップIPsec-VPN接続を選択します。
    重量ルートの重みを選択します。 有効な値:
    • 100: 高い優先度を指定します。
    • 0: 低い優先度を指定します。
    説明
    • ルートテーブルに、同じ宛先CIDRブロックと異なる重みを持つ複数の宛先ベースのルートが含まれている場合、優先度が最も高い宛先ベースのルートがトラフィックのルーティングに使用されます。
    • ルートテーブルに、同じ宛先CIDRブロックと重みを持つ複数の宛先ベースのルートが含まれている場合、トラフィックを転送するために宛先ベースのルートがランダムに選択されます。