IPsec-VPNを使用してサイト間接続を確立する場合、Alibaba CloudでVPNゲートウェイを設定した後、データセンターにデプロイされているゲートウェイデバイスにIPsec-VPN設定をロードする必要があります。 このトピックでは、データセンターにデプロイされているCiscoファイアウォールデバイスにIPsec-VPN設定をロードする方法の例を示します。
このタスクについて
次の表に、この例の仮想プライベートクラウド (VPC) とデータセンターのネットワーク構成を示します。
パラメーター | 例 | |
---|---|---|
VPC | vSwitchのCIDRブロック | 192.168.10.0/24および192.168.11.0/24 |
VPNゲートウェイのパブリックIPアドレス | 47.XX。XX.161 | |
データセンター | プライベート CIDR ブロック | 10.10.10.0/24 |
CiscoファイアウォールデバイスのパブリックIPアドレス | 124.XX.XX.171 |
説明 データセンターの複数のCIDRブロックをVPCに接続する場合は、同じ数のIPsec-VPN接続を作成し、Alibaba CloudのVPNゲートウェイにルートを追加することを推奨します。
IKEv1 VPNの設定
前提条件:
IPsec-VPN接続がAlibaba CloudのVPCに作成されます。 詳細については、「IPsec-VPN接続の作成と管理」をご参照ください。
- IPsec-VPN 接続の設定を取得しています。 詳細については、「IPsec-VPN 接続設定のダウンロード」をご参照ください。 この例では、次の構成を使用します。
プロトコル パラメーター 例 IKE 認証アルゴリズム SHA-1 暗号化アルゴリズム AES DH グループ グループ 2 IKE バージョン IKE v1 ライフサイクル 86400 ネゴシエーションモード メイン PSK 123456 IPsec 認証アルゴリズム SHA-1 暗号化アルゴリズム AES DH グループ グループ 2 IKE バージョン IKE v1 ライフサイクル 86400 ネゴシエーションモード esp
- ファイアウォールデバイスのコマンドラインインターフェイスにログインします。
- ISAKMPポリシーを作成します。
crypto isakmpポリシー1 事前共有认证 暗号化aes ハッシュシャ グループ2 寿命86400
- 事前共有キーを設定します。
crypto isakmpキー123456アドレス47.XX. XX.161
- IPsecプロトコルを指定します。
crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac モードトンネル
- ネットワークアクセス制御リスト (ACL) を作成して、暗号化する受信および送信トラフィックフローを指定します。 説明 ファイアウォールデバイスで複数のCIDRブロックが設定されている場合は、各CIDRブロックにネットワークACLを作成する必要があります。
アクセスリスト100許可ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.0.255 アクセスリスト100許可ip 10.10.10.0 0.0.0.255 192.168.11.0 0.0.0.0.255
- IPsecポリシーを作成します。
暗号マップipsecpro64 10 ipsec-isakmp セットピア47.XX. XX.161 set transform-set ipsecpro64 セットpfs group2 一致アドレス100
- IPsecポリシーを適用します。
インターフェースg0/0 暗号マップipsecpro64
- 静的ルートの設定
ipルート192.168.10.0 255.255.255.0 47.XX. XX.161 ipルート192.168.11.0 255.255.255.0 47.XX. XX.161
- 接続性のテスト Alibaba Cloudのホストとデータセンターのホストを使用して、接続をテストできます。
IKEv2 VPN の設定
前提条件:
IPsec-VPN接続がAlibaba CloudのVPCに作成されます。 詳細については、「IPsec-VPN接続の作成と管理」をご参照ください。
IPsec-VPN 接続の設定を取得しています。 詳細については、「IPsec-VPN 接続設定のダウンロード」をご参照ください。 この例では、次の構成を使用します。
プロトコル パラメーター 例 IKE 認証アルゴリズム SHA-1 暗号化アルゴリズム AES-128 DH グループ グループ 2 IKE バージョン IKE v2 ライフサイクル 86400 PRF アルゴリズム SHA-1 PSK 123456 IPsec 認証アルゴリズム SHA-1 暗号化アルゴリズム AES-128 DH グループ グループ 2 IKE バージョン IKE v2 ライフサイクル 86400 ネゴシエーションモード esp
- ファイアウォールデバイスのコマンドラインインターフェイスにログインします。
- IKEフェーズ1ネゴシエーションで使用するアルゴリズムを指定します。
crypto ikev2提案デーモン 暗号化aes-cbc-128 インテグリティsha1 グループ2
- IKEv2ポリシーを作成し、IKEv2提案を設定します。
暗号ikev2ポリシーipsecpro64_v2 提案デーモン
- 事前共有キーを設定します。
暗号ikev2キーリングipsecpro64_v2 ピアvpngw アドレス47.XX. XX.161 事前共有キー0 123456
- ID検証を設定します。
crypto ikev2プロファイルipsecpro64_v2 一致IDリモートアドレス47.XX. XX.161 255.255.255.255 IDローカルアドレス10.10.10.1 认证リモート事前共有 認証ローカル事前共有 キーリングローカルipsecpro64_v2
- IPsecプロトコルを指定します。
crypto ipsec transform-set ipsecpro64_v2 esp-aes esp-sha-hmac モードトンネル
- ネットワークACLを作成して、暗号化する受信および送信トラフィックフローを指定します。 説明 ファイアウォールデバイスで複数のCIDRブロックが設定されている場合は、各CIDRブロックにネットワークACLを作成する必要があります。
アクセスリスト100許可ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.0.255 アクセスリスト100許可ip 10.10.10.0 0.0.0.255 192.168.11.0 0.0.0.0.255
- IPsecポリシーを作成します。
暗号マップipsecpro64_v2 10 ipsec-isakmp セットピア47.XX. XX.161 set transform-set ipsecpro64_v2 セットpfs group2 セットikev2-profile ipsecpro64_v2 一致アドレス100
- IPsecポリシーを適用します。
インターフェースg0/1 暗号マップipsecpro64_v2
- 静的ルートの設定
ipルート192.168.10.0 255.255.255.0 47.XX. XX.161 ipルート192.168.11.0 255.255.255.0 47.XX. XX.161
- 接続性のテスト
Alibaba Cloudのホストとデータセンターのホストを使用して、接続をテストできます。