IPsec-VPNとExpress Connect回路を使用してアクティブ /スタンバイ接続を構成する -

このトピックでは、IPsec-VPNとExpress Connect回路を使用して、データセンターと仮想プライベートクラウド (VPC) 間のアクティブ /スタンバイ接続を設定する方法について説明します。

シナリオ

このトピックでは、次のシナリオを使用して、IPsec-VPNとExpress Connect回路の両方を使用してデータセンターをVPCに接続する方法を示します。ある企業は杭州にデータセンターを持ち、中国 (杭州) リージョンにVPC 1をデプロイしています。 VPC 1では、相互作用とデータ分析のためにElastic Compute Service (ECS) などのクラウドサービスがデプロイされています。同社は、データセンターとVPC 1の間にアクティブ /スタンバイ接続を確立したいと考えています。次のセクションでは、接続について説明します。

VPNゲートウェイは、独立したVPC (VPC 2) に関連付けられています。この例では、VPC 2にはサービスがデプロイされていません。 VPC 2は、データセンターとVPC 1の間にIPsec-VPN接続を確立するためのトランジットVPCとして機能します。
Express Connect回路とIPsec-VPN接続が期待どおりに機能している場合、データセンターとVPC 1間のすべてのトラフィックはExpress Connect回路を介して転送されます。 Express Connect回路が期待どおりに機能していない場合、IPsec-VPN接続が引き継ぎます。

前提条件

データセンターとネットワークインスタンスのルーティングプロトコルを計画する必要があります。このトピックでは、次のルーティングプロトコルを使用します。
- 静的ルーティングは、データセンターのゲートウェイデバイスとVPNゲートウェイの間で使用されます。
- データセンターのゲートウェイデバイスと仮想ボーダールータ (VBR) の間では、ボーダゲートウェイプロトコル (BGP) の動的ルーティングが使用されます。
  説明 VPNゲートウェイがスタンバイ接続として機能し、Express Connect回路がアクティブ接続として機能するシナリオでは、次のようになります。
  - VPNゲートウェイが独立したVPC (たとえば、このトピックのVPC 2) に関連付けられている場合、VBRはBGP動的ルーティングを使用する必要があります。 VPNゲートウェイは、静的ルーティングまたはBGP動的ルーティングを使用できます。
  - VPNゲートウェイがサービスがデプロイされているVPC (このトピックのVPC 1など) に関連付けられている場合、VBRゲートウェイとVPNゲートウェイの両方でBGP動的ルーティングを使用する必要があります。

データセンターとネットワークインスタンスのネットワークを計画する必要があります。データセンターのCIDRブロックがネットワークインスタンスのCIDRブロックと重複しないようにしてください。このトピックでは、次のCIDRブロックが使用されます。


項目	CIDRブロック	パブリック IP アドレス
VPC1	192.168.0.0/16	ECSインスタンスのIPアドレス: 192.168.20.161
VPC2	10.0.0.0/16	N/A
VBR	10.1.0.0/30	VLAN ID: 0 Alibaba Cloud側のピアIPv4アドレス: 10.1.0.1/30 お客様側のピアIPv4アドレス: 10.1.0.2/30 このトピックでは、顧客側のデバイスはデータセンターのゲートウェイデバイスを指します。
データセンター	172.16.0.0/16	クライアントのIPアドレス: 172.16.1.188
データセンターのゲートウェイデバイス	10.1.0.0/30	パブリックIPアドレス: 211.XX. XX.68 Express Connect回路に接続されたインターフェイスのIPアドレス: 10.1.0.2/30 BGP自律システム番号 (ASN): 65530

VPC 1とVPC 2は中国 (杭州) リージョンに作成されます。ビジネスインタラクションとデータ分析に使用されるクラウドサービスは、VPC 1にデプロイされます。 VPC 2にはサービスがデプロイされていません。 VPC 2はVPNゲートウェイに関連付けられており、データセンターとVPC 1間の中継VPCとして機能します。詳細については、「VPCの作成と管理」をご参照ください。
データセンターのゲートウェイデバイスを確認します。標準のIKEv1およびIKEv2プロトコルをサポートしていることを確認します。ゲートウェイデバイスがIKEv1およびIKEv2プロトコルをサポートしているかどうかについては、ゲートウェイデバイスの製造元を参照してください。
静的IPアドレスは、データセンタ内のゲートウェイデバイスに割り当てられる。
VPC 1のECSインスタンスのセキュリティグループルールを理解しています。ルールにより、データセンターがVPC 1のECSインスタンスにアクセスできるようにします。詳細については、「セキュリティグループルールの照会」および「セキュリティグループルールを追加」をご参照ください。

手順

ステップ1: Express Connect回路のデプロイ

Express Connect回路をデプロイします。
中国 (杭州) リージョンのExpress Connect回線を申請する必要があります。詳細については、「セルフサービスによる専用回線アクセスの申請」または「t1848784.html#task_2359306」をご参照ください。
VBRを作成します。
1. Express Connect コンソールにログインします。
2. 左側のナビゲーションウィンドウで、[仮想ボーダールーター (VBR)] をクリックします。
3. 上部のナビゲーションバーで、VBRを作成するリージョンを選択します。
  この例では、中国 (杭州) リージョンが選択されています。
4. 仮想ボーダールーター (VBR) ページで、[VBR の作成] をクリックします。
5. [VBRの作成] パネルで、次のパラメーターを設定し、[OK] をクリックします。
  - アカウント: [現在のアカウント]を選択します。
  - 名前: この例ではVBRが使用されます。
  - 物理接続インターフェイス: 申請したExpress Connect回路を選択します。
  - VLAN ID: このパラメーターを0に設定します。
  - Alibaba CloudのゲートウェイのIPv4アドレス: このパラメーターを10.1.0.1に設定します。
  - お客様側のゲートウェイのIPv4アドレス: このパラメーターを10.1.0.2に設定します。
  - サブネットマスク: このパラメーターを255.255.255.252に設定します。
BGP グループを削除します。
1. [仮想ボーダールーター (VBR)] ページで、VBRのIDをクリックします。
2. VBRの詳細ページで、[BGPグループ] タブをクリックし、[BGPグループの作成] をクリックします。
3. [BGPグループの作成] パネルで、次のパラメーターを設定し、[OK] をクリックします。
  - 名前: BGPグループの名前を入力します。この例では、テストが使用されます。
  - ピアASN: データセンターのゲートウェイデバイスのASNを入力します。この例では、65530が使用されます。
  - BGPキー: BGPグループのキーを入力します。この例では、このパラメーターは設定されていません。
  - 説明: BGPグループの説明を入力します。この例では、テストが使用されます。
BGPピアを作成します。
1. VBRの詳細ページで、[BGPピア] タブをクリックし、[BGPピアの作成] をクリックします。
2. [BGPピアの作成] パネルで、次のパラメーターを設定し、[OK] をクリックします。
  - BGPグループ: BGPグループを選択します。この例では、BGPグループテストを使用します。
  - BGPピアIPアドレス: BGPピアのIPアドレスを入力します。この例では、10.1.0.2が使用されます。これは、データセンターのゲートウェイデバイスのポートIPアドレスです。

ステップ2: VPNゲートウェイのデプロイ

VPN ゲートウェイを作成します。
1. VPN Gatewayコンソールにログインします。
2. 上部のナビゲーションバーで、中国 (杭州) リージョンを選択します。
3. VPN Gateway ページで、[VPN Gateway の作成] をクリックします。
4. 購入ページで、次のパラメーターを設定し、[今すぐ購入] をクリックして、支払いを完了します。
  - 名前: VPN gatewayの名前を入力します。
  - [リージョン]: VPNゲートウェイをデプロイするリージョンを選択します。
    この例では、VPNゲートウェイはVPC 2に関連付けられます。 VPC 2とVPNゲートウェイが同じリージョンにデプロイされていることを確認します。この例では、中国 (杭州) リージョンが選択されています。
  - VPC: VPNゲートウェイに関連付けるVPCを選択します。この例では、VPC 2が選択されています。
  - VSwitchの指定: VPCのvSwitchにVPNゲートウェイを作成するかどうかを指定します。この例では、Noが選択されています。
    [はい] を選択した場合は、vSwitchも指定する必要があります。
  - [ピーク帯域幅]: VPNゲートウェイの最大帯域幅を指定します。帯域幅は、インターネットを介したデータ転送に使用される。
  - トラフィック: デフォルトでは、VPNゲートウェイはデータ転送課金方式を使用します。詳細については、「従量課金制」をご参照ください。
  - IPsec-VPN: IPsec-VPN機能を有効または無効にできます。この機能を有効にすると、データセンターとVPC間、または2つのVPC間の接続を確立できます。この例では、有効化が選択されています。
  - SSL-VPN: SSL-VPN機能を有効または無効にできます。この機能を有効にすると、場所に関係なくクライアントからVPCに接続できます。この例では、[無効] が選択されています。
  - 期間: デフォルトでは、VPNゲートウェイは1時間ごとに課金されます。
5. VPN gatewayページに戻り、作成したVPN gatewayのパブリックIPアドレスを確認して記録します。このアドレスは、データセンターのルーターの設定に使用されます。
  新しく作成されたVPN gatewayは [準備中] 状態です。約1〜5分後、そのステータスは正常に変わります。 [正常] 状態は、VPNゲートウェイが初期化され、使用可能な状態であることを示します。
カスタマーゲートウェイを作成します。
1. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [カスタマーゲートウェイ] を選択します。
2. カスタマーゲートウェイページで、[カスタマーゲートウェイの作成] をクリックします。
3. [カスタマーゲートウェイの作成] ページで、次のパラメーターを設定し、[OK] をクリックします。
  - 名前：カスタマーゲートウェイの名前を入力します。
  - IPアドレス: VPC2に接続するデータセンターのゲートウェイデバイスのパブリックIPアドレスを入力します。この例では、211.XX. XX.68が入力されます。
  - ASN: データセンターのゲートウェイデバイスのASNを入力します。この例では、このパラメーターは設定されていません。
  - 説明: カスタマーゲートウェイの説明を入力します。
IPsec-VPN 接続を作成します。
1. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [IPsec接続] を選択します。
2. VPN 接続ページで、[VPN 接続の作成] をクリックします。
3. [IPsec接続の作成] ページで、次のパラメーターを設定し、[OK] をクリックします。
  - 名前：IPsec-VPN 接続の名前を入力します。
  - VPN Gateway: 作成したVPN gatewayを選択します。
  - カスタマーゲートウェイ: 作成したカスタマーゲートウェイを選択します。
  - ルーティングモード: ルーティングモードを選択します。この例では、宛先ルーティングモードが選択されています。
  - すぐに有効: 接続ネゴシエーションをすぐに開始するかどうかを選択します。この例では、Noが選択されています。
    - はい: 設定完了後すぐに交渉を開始します。
    - No: データ転送が検出されるとネゴシエーションを開始します。
  - 事前共有キー: 事前共有キーを入力します。データセンターのゲートウェイデバイスの事前共有キーは、この値と同じでなければなりません。この例では、デフォルトでランダムな値が使用されます。
    他のパラメーターについてはデフォルト値を使用します。
  詳細については、「IPsec-VPN接続の作成と管理」をご参照ください。
VPNゲートウェイでルートを設定します。
VPNゲートウェイを使用して、データセンターの経路をVPC2にアドバタイズする必要があります。
1. IPsec-VPN接続が作成された後、 OK をクリックして、 Established VPNゲートウェイでルートをアドバタイズします。
2. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [VPNゲートウェイ] を選択します。
3. [VPN gateway] ページで、作成したVPN gatewayを見つけ、IDをクリックします。
4. [宛先ベースルーティング] タブで、[ルートエントリの追加] をクリックします。
5. Add Route Entry パネルで、以下のパラメータを設定し、 OKをクリックします。
  - Destination CIDR Block: データセンターのCIDRブロックを入力します。この例では、172.16.0.0/16が入力されます。
  - ネクストホップタイプ: [IPsec接続] を選択します。
  - ネクストホップ: 作成したIPsec-VPN接続を選択します。
  - VPCに公開: VPC 2のルートテーブルに新しいルートを自動的に通知するかどうかを指定します。この例では、はいが選択されています。
  - 重み: ルートの重みを選択します。この例では、最も高い優先度を示す100が使用されます。
    説明 VPNゲートウェイに同じ宛先CIDRブロックを持つルートが含まれている場合、これらのルートの重みを同時に100するように指定することはできません。
VPN設定をデータセンターのゲートウェイデバイスにロードします。
1. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > [IPsec接続] を選択します。
2. [IPsec接続] ページで、作成したIPsec-VPN接続を見つけます。 [操作] 列で、 > [設定のダウンロード] を選択します。
3. IPsec-VPN接続の設定をデータセンターのゲートウェイデバイスにロードします。詳細については、「データセンターでのゲートウェイデバイスの設定」をご参照ください。

手順3: CENインスタンスの作成と設定

Express Connect回路とVPNゲートウェイを設定した後、VPC 1、VPC 2、およびVBRをCloud Enterprise Network (CEN) インスタンスに接続する必要があります。 CENインスタンスは、データセンターをVPC 1に接続できます。

CEN インスタンスを作成します。
1. CEN コンソールにログインします。
2. [インスタンス] ページで、[CEN インスタンスの作成] をクリックします。
3. [CENインスタンスの作成] パネルで、次のパラメーターを設定し、[OK] をクリックします。
  - 名前: CENインスタンスの名前を入力します。
  - 説明: CENインスタンスの説明を入力します。
  - ネットワークタイプ: 接続するネットワークインスタンスのタイプを選択します。この例では、VPCが選択されています。
  - リージョン: ネットワークインスタンスが作成されているリージョンを選択します。この例では、中国 (杭州) が選択されています。
  - ネットワーク: 接続するネットワークインスタンスを選択します。この例では、VPC 2が選択されています。
VPC 1とVBRをCENインスタンスにアタッチします。
1. [インスタンス] ページで、管理するCENインスタンスを見つけ、そのIDをクリックします。
2. [ネットワーク] タブで、[ネットワークのアタッチ] をクリックします。
3. [ネットワークの接続] パネルで、[アカウント] タブをクリックします。
4. 次のパラメーターを設定し、[OK] をクリックします。
  - ネットワークタイプ: 接続するネットワークインスタンスのタイプを選択します。この例では、VPCが選択されています。
  - リージョン: ネットワークインスタンスが作成されているリージョンを選択します。この例では、中国 (杭州) が選択されています。
  - ネットワーク: 接続するネットワークインスタンスを選択します。この例では、VPC 1が選択されています。
5. 上記の手順を繰り返して、VBRをCENインスタンスにアタッチします。
VPC 2からCENへのデータセンターのルートをアドバタイズします。
VPNゲートウェイを使用してデータセンターのルートをVPC 2にアドバタイズした後、VPC 2のルートはデフォルトで非公開状態になります。 VPC 2からCENへのデータセンターのルートを手動でアドバタイズする必要があります。これにより、VPC 1はVPC 2からデータセンターのルートを学習できます。
1. CEN コンソールにログインします。
2. [インスタンス] ページで、管理するCENインスタンスを見つけ、そのIDをクリックします。
3. CENインスタンスの詳細ページで、[ルート] タブをクリックします。
4. [ルート] タブで、VPC 2のルートを表示し、データセンターのルートを見つけて、[公開の進行状況] 列の [公開] をクリックします。
5. [PublishRoute] メッセージで、[OK] をクリックします。
Express Connect回路のヘルスチェックを設定します。
Express Connect回路のヘルスチェックを設定する必要があります。ヘルスチェックは、指定したプローブパケットの時間間隔と数に基づいてプローブパケットを送信します。プローブパケットが連続して失われた場合、CENインスタンスはトラフィックをIPsec-VPN接続にルーティングします。
1. CEN コンソールにログインします。
2. 左側のナビゲーションウィンドウで、[ヘルスチェック] をクリックします。
3. VBRが属するリージョンを選択し、[ヘルスチェックの設定] をクリックします。
4. [ヘルスチェックの設定] パネルで、次のパラメーターを設定し、[OK] をクリックします。
  - インスタンス: VBRがアタッチされているCENインスタンスを選択します。
  - 仮想ボーダールーター (VBR): 監視するVBRを選択します。
  - 送信元IP: この例では、[自動IPアドレス] が選択されています。
    [自動IPアドレス] を選択した場合、システムは100.96.0.0/16 CIDRブロックでIPアドレスを自動的に割り当て、Express Connect回路の接続をプローブします。
  - 宛先IP: VBRの顧客側のIPアドレスを入力します。
  - プローブ間隔 (秒): ヘルスチェックのためにプローブパケットを送信する時間間隔を指定します。単位：秒。この例では、デフォルト値が使用されます。
  - プローブパケット: 各間隔で送信されるプローブパケットの数を指定します。単位: パケット。この例では、デフォルト値が使用されます。

手順4: データセンターでゲートウェイデバイスを設定する

次のサンプルコードは参考用です。コマンドはベンダーによって異なる場合があります。特定のコマンドについてはベンダーに相談してください。


# BGP動的ルーティングを設定し、VBRへのBGPピアリング接続を確立し、データセンターのルートをAlibaba Cloudにアドバタイズします。
インターフェイスGigabitEthernet 0/12# ポートは、データセンターのゲートウェイデバイスをExpress connect回路に接続するために使用されます。
no switchport
ip address 10.1.0.2 255.255.255.252     #The IP address of the port. IPアドレスは、顧客側のVBRのIPv4アドレスと同じである必要があります。

ルーターbgp 65530
bgpルーターid 10.1.0.2
ネットワーク172.16.0.0マスク255.255.0.0# データセンターのルートをAlibaba Cloudにアドバタイズします。
neighbor 10.1.0.1 remote-45104として# VBRへのピアリング接続を確立します。
終了

# VPNゲートウェイを介してVPC 1を指すルートの優先度を設定します。 優先度はBGPルートの優先度より低くする必要があります。
ip route 192.168.0.0 255.255.0.0 <VPN gatewayのパブリックIPアドレス> 設定255
      
# プローブパケットの戻りルートを設定します。
ip route <ヘルスチェックの送信元IPアドレス> 255.255.255.255 10.1.0.1

ステップ5: 接続をテストする

データセンターのコンピューターでコマンドラインインターフェイス (CLI) を開きます。
CLIで、pingコマンドを実行して、VPC1のECSインスタンスのIPアドレスをpingします。 ECSインスタンスのIPアドレスは、192.168.0.0/16のCIDRブロックに含まれます。クライアントが応答パケットを受信すると、データセンターがVPC 1に接続されていることを示します。
データセンターのゲートウェイデバイスで、Express Connect回路ポートを無効にして接続を閉じます。 CLIでpingコマンドを再度実行して、データセンターとVPC 1間の接続をテストします。応答パケットを受信した場合、待機系IPsec-VPN接続が期待通りに動作していることを示しています。