このトピックでは、Juniper の SRX シリーズ Services Gateway ファイアウォールデバイスを例に使用して、VPN 設定を設定してオンプレミスのデータセンターを Alibaba Cloud VPC に接続する方法を示します。 IPsec-VPN を使用してサイト間接続を作成する場合は、Alibaba Cloud VPN Gateway 用に設定された IPsec 接続に基づいて、ローカルゲートウェイを設定する必要があります。

前提条件

  • Alibaba Cloud VPC で IPsec-VPN 接続を作成します。 詳細は、IPsec-VPN 接続の作成 をご参照ください.

  • IPsec-VPN 接続の設定を取得しています。 詳細については、「IPsec-VPN 接続設定のダウンロード」をご参照ください。

    この例では、次の表に示す IPsec-VPN 接続の設定が使用されています。

    • IPsec プロトコル
      設定項目 値の例
      IKE 認証アルゴリズム md5
      暗号化アルゴリズム 3des
      DH グループ group2
      IKE Version IKE v1
      SA ライフサイクル 86400
      ネゴシエーションモード メイン
      PSK 123456
      IPsec 認証アルゴリズム md5
      暗号化アルゴリズム des
      DH Group group2
      IKE バージョン IKE v1
      SA ライフサイクル 28800
    • ネットワーク構成
      ネットワークの設定 値の例
      VPC VSwitch の CIDR ブロック 192.168.1.0/24
      ゲートウェイのパブリック IP アドレス 47.xxx.xxx.56
      オンプレミスデータセンター イントラネットの CIDR ブロック 192.168.18.0/24
      ゲートウェイのパブリック IP アドレス 122.xxx.xxx.248

手順

次の手順に沿って、カスタマーゲートウェイの設定を Juniper ファイアウォールデバイスにロードします。
  1. ファイアウォールデバイスの CLI にログインします。
  2. 基本ネットワーク、セキュリティゾーン、およびアドレス帳を設定します。 
    set security zones security-zone trust address-book address net-cfgr_192-168-18-0--24 192.168.18.0/24
set security zones security-zone vpn address-book address net-cfgr_192-168-1-0--24 192.168.1.0/24
  3. IKE ポリシーを設定します。 
    set security ike policy ike-policy-cfgr mode main
set security ike policy ike-policy-cfgr pre-shared-key ascii-text "123456"
  4. IKE ゲートウェイ、アウトバウンドインターフェイス、およびプロトコルバージョンを設定します。 
    set security ike gateway ike-gate-cfgr ike-policy ike-policy-cfgr
set security ike gateway ike-gate-cfgr address 47.xxx.xxx.56
set security ike gateway ike-gate-cfgr external-interface ge-0/0/3
set security ike gateway ike-gate-cfgr version v1-only
  5. IPsec ポリシーを設定します。 
    set security ipsec policy ipsec-policy-cfgr proposal-set standard
  6. IPsec ポリシーを適用します。 
    set security ipsec vpn ipsec-vpn-cfgr ike gateway ike-gate-cfgr
set security ipsec vpn ipsec-vpn-cfgr ike ipsec-policy ipsec-policy-cfgr
set security ipsec vpn ipsec-vpn-cfgr bind-interface st0.0
set security ipsec vpn ipsec-vpn-cfgr establish-tunnels immediately
set security ipsec policy ipsec-policy-cfgr perfect-forward-secrecy keys group2
  7. 送信ポリシーを設定します。 
    set security policies from-zone trust to-zone vpn policy trust-vpn-cfgr match source-address net-cfgr_192-168-18-0--24
set security policies from-zone trust to-zone vpn policy trust-vpn-cfgr match destination-address net-cfgr_192-168-1-0--24
set security policies from-zone trust to-zone vpn policy trust-vpn-cfgr match application any
set security policies from-zone trust to-zone vpn policy trust-vpn-cfgr then permit
  8. 受信ポリシーを設定します。 
    set security policies from-zone vpn to-zone trust policy vpn-trust-cfgr match source-address net-cfgr_192-168-1-0--24
set security policies from-zone vpn to-zone trust policy vpn-trust-cfgr match destination-address net-cfgr_192-168-18-0--24
set security policies from-zone vpn to-zone trust policy vpn-trust-cfgr match application any
set security policies from-zone vpn to-zone trust policy vpn-trust-cfgr then permit