このトピックでは、Cisco の Next-Generation Firewall (NGFW) デバイスを例に使用し、オンプレミスデータセンターを Alibaba Cloud VPC に接続する VPN 設定方法を示します。 IPsec-VPN を使用してサイト間接続を作成する場合は、Alibaba Cloud VPN Gateway 用に設定された IPsec-VPN 接続に基づいて、ローカルゲートウェイを設定する必要があります。
設定項目 | 値の例 | |
---|---|---|
VPC | VSwitch CIDR ブロック | 192.168.10.0/24, 192.168.11.0/24 |
ゲートウェイのパブリック IP アドレス | 47. xxx. xxx.161 | |
オンプレミスデータセンター | イントラネット CIDR ブロック | 10.10.10.0/24 |
ファイアウォールのパブリック IP アドレス | 124. xxx. xxx.171 |
IKEv1 VPN の設定
-
Alibaba Cloud VPC で IPsec-VPN 接続を作成します。 詳細は、IPsec-VPN 接続の作成 をご参照ください.
-
IPsec-VPN 接続の設定を取得しています。 詳細については、「IPsec-VPN 接続設定のダウンロード」をご参照ください。 この例では、以下の表に示す設定が使用されています。
プロトコル 設定項目 値の例 IKE 認証アルゴリズム SHA-1 Encryption Algorithm AES-128 DH Group グループ 2 IKE Version IKE v1 SA ライフサイクル 86400 ネゴシエーションモード メイン PSK 123456 IPsec 認証アルゴリズム SHA-1 認証アルゴリズム AES-128 DH グループ グループ 2 IKE バージョン IKE v1 SA ライフサイクル 86400 ネゴシエーションモード esp
次の手順に沿って、カスタマーゲートウェイ設定を Cisco の NGFW デバイスにロードします。
- NGFW デバイスの CLI にログインします。
- isakmp ポリシーを設定します。
crypto isakmp policy 1 authentication pre-share encryption aes hash sha group 2 lifetime 86400
- 事前共有キーを設定します。
crypto isakmp key 123456 address 47.xxx.xxx. 161
- IPsec プロトコルを設定します。
crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac mode tunnel
- アクセス制御リスト (ACL) を設定し、保護するデータフローを定義します。
注 ローカルゲートウェイデバイスに複数の CIDR ブロックが設定されている場合、CIDR ブロックごとに ACL ポリシーを追加する必要があります。
access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.20.0 0.0.0.255
- IPsec ポリシーを設定します。
crypto map ipsecpro64 10 ipsec-isakmp set peer 47.xxx.xxx. 161 set transform-set ipsecpro64 set pfs group2 match address 100
- IPsec ポリシーを適用します。
interface g0/0 crypto map ipsecpro64
- 静的ルートを設定します。
ip route 192.168.10.0 255.255.255.0 47.xxx.xxx. 161 ip route 192.168.20.0 255.255.255.0 47.xxx.xxx. 161
- 接続性をテストします。
オンプレミスデータセンターのホストに接続されている Alibaba Cloud のホストを使用して、接続性テストを実行できます。
IKEv2 VPN の設定
-
Alibaba Cloud VPC で IPsec-VPN 接続を作成します。 詳細は、IPsec-VPN 接続の作成 をご参照ください.
-
IPsec-VPN 接続の設定を取得しています。 詳細については、「IPsec-VPN 接続設定のダウンロード」をご参照ください。 この例では、以下の表に示す設定が使用されています。
プロトコル 設定項目 値の例 IKE 認証アルゴリズム SHA-1 暗号化アルゴリズム AES-128 DH グループ グループ 2 IKE バージョン IKE v2 SA ライフサイクル 86400 PRF アルゴリズム SHA-1 PSK 123456 IPsec 認証アルゴリズム SHA-1 暗号化アルゴリズム AES-128 DH グループ グループ 2 IKE バージョン IKE v2 SA ライフサイクル 86400 ネゴシエーションモード esp
手順
- NGFW デバイスの CLI にログインします。
- フェーズ1 IKE アルゴリズムを設定します。
crypto ikev2 proposal daemon encryption aes-cbc-128 integrity sha1 group 2
- IKE v2 ポリシーを設定し、プロポーザルを適用します。
crypto ikev2 policy ipsecpro64_v2 proposal daemon
- 事前共有キーを設定します。
crypto ikev2 keyring ipsecpro64_v2 peer vpngw address 47.xxx.xxx. 161 pre-shared-key 0 123456
- ID 認証を設定します。
crypto ikev2 profile ipsecpro64_v2 match identity remote address 47.xxx.xxx. 161 255.255.255.255 identity local address 10.10.10.1 authentication remote pre-share authentication local pre-share keyring local ipsecpro64_v2
- IPsec セキュリティプロトコルを設定します。
crypto ipsec transform-set ipsecpro64_v2 esp-aes esp-sha-hmac mode tunnel
- ACL (アクセス制御リスト) を構成し、保護するデータストリームを定義します。
注 ローカルゲートウェイデバイスに複数の CIDR ブロックが設定されている場合、CIDR ブロックごとに ACL ポリシーを追加する必要があります。
access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255 access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.20.0 0.0.0.255
- IPsec ポリシーを設定します。
crypto map ipsecpro64_v2 10 ipsec-isakmp set peer 47.xxx.xxx. 161 set transform-set ipsecpro64_v2 set ikev2-profile ipsecpro64_v2 match address 100
- IPsec ポリシーを適用します。
interface g0/1 crypto map ipsecpro64_v2
- 静的ルートを設定します。
ip route 192.168.10.0 255.255.255.0 47.xxx.xxx. 161 ip route 192.168.20.0 255.255.255.0 47.xxx.xxx. 161
- 接続性をテストします。
オンプレミスデータセンターのホストに接続されている Alibaba Cloud のホストを使用して、接続性テストを実行できます。