Next-Generation Firewall (NGFW) デバイス (Cisco) を介した IPsec-VPN 接続の設定 - VPN Gateway

このトピックでは、Cisco の Next-Generation Firewall (NGFW) デバイスを例に使用し、オンプレミスデータセンターを Alibaba Cloud VPC に接続する VPN 設定方法を示します。 IPsec-VPN を使用してサイト間接続を作成する場合は、Alibaba Cloud VPN Gateway 用に設定された IPsec-VPN 接続に基づいて、ローカルゲートウェイを設定する必要があります。

次の表に、この例で使用される VPC とオンプレミスデータセンターのネットワーク構成を示します。


設定項目		値の例
VPC	VSwitch CIDR ブロック	192.168.10.0/24, 192.168.11.0/24
VPC	ゲートウェイのパブリック IP アドレス	47. xxx. xxx.161
オンプレミスデータセンター	イントラネット CIDR ブロック	10.10.10.0/24
オンプレミスデータセンター	ファイアウォールのパブリック IP アドレス	124. xxx. xxx.171

注オンプレミスデータセンター側が VPC と接続する複数の CIDR ブロックに関連付けられている場合、Alibaba Cloud 上に同数の IPsec-VPN 接続を作成し、VPN ゲートウェイを追加することを推奨します。

IKEv1 VPN の設定

前提条件

Alibaba Cloud VPC で IPsec-VPN 接続を作成します。詳細は、IPsec-VPN 接続の作成をご参照ください.

IPsec-VPN 接続の設定を取得しています。詳細については、「IPsec-VPN 接続設定のダウンロード」をご参照ください。この例では、以下の表に示す設定が使用されています。


プロトコル	設定項目	値の例
IKE	認証アルゴリズム	SHA-1
	Encryption Algorithm	AES-128
	DH Group	グループ 2
	IKE Version	IKE v1
	SA ライフサイクル	86400
	ネゴシエーションモード	メイン
	PSK	123456
IPsec	認証アルゴリズム	SHA-1
	認証アルゴリズム	AES-128
	DH グループ	グループ 2
	IKE バージョン	IKE v1
	SA ライフサイクル	86400
	ネゴシエーションモード	esp

手順

次の手順に沿って、カスタマーゲートウェイ設定を Cisco の NGFW デバイスにロードします。

NGFW デバイスの CLI にログインします。

isakmp ポリシーを設定します。

crypto isakmp policy 1 
authentication pre-share 
encryption aes
hash sha 
group  2
lifetime 86400

事前共有キーを設定します。

crypto isakmp key 123456 address 47.xxx.xxx. 161

IPsec プロトコルを設定します。

crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac 
mode tunnel

アクセス制御リスト (ACL) を設定し、保護するデータフローを定義します。

注ローカルゲートウェイデバイスに複数の CIDR ブロックが設定されている場合、CIDR ブロックごとに ACL ポリシーを追加する必要があります。
```
access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.20.0 0.0.0.255
```

IPsec ポリシーを設定します。

crypto map ipsecpro64 10 ipsec-isakmp
set peer 47.xxx.xxx. 161
set transform-set ipsecpro64
set pfs group2
match address 100

IPsec ポリシーを適用します。
```
interface g0/0
crypto map ipsecpro64
```

静的ルートを設定します。

ip route 192.168.10.0 255.255.255.0 47.xxx.xxx. 161
ip route 192.168.20.0 255.255.255.0 47.xxx.xxx. 161

接続性をテストします。
オンプレミスデータセンターのホストに接続されている Alibaba Cloud のホストを使用して、接続性テストを実行できます。

IKEv2 VPN の設定

前提条件

Alibaba Cloud VPC で IPsec-VPN 接続を作成します。詳細は、IPsec-VPN 接続の作成をご参照ください.


プロトコル	設定項目	値の例
IKE	認証アルゴリズム	SHA-1
	暗号化アルゴリズム	AES-128
	DH グループ	グループ 2
	IKE バージョン	IKE v2
	SA ライフサイクル	86400
	PRF アルゴリズム	SHA-1
	PSK	123456
IPsec	認証アルゴリズム	SHA-1
	暗号化アルゴリズム	AES-128
	DH グループ	グループ 2
	IKE バージョン	IKE v2
	SA ライフサイクル	86400
	ネゴシエーションモード	esp

手順

次の手順に沿って、カスタマーゲートウェイ設定を Cisco の NGFW デバイスにロードします。

NGFW デバイスの CLI にログインします。

フェーズ1 IKE アルゴリズムを設定します。

crypto ikev2 proposal daemon 
encryption aes-cbc-128
integrity sha1
group 2

IKE v2 ポリシーを設定し、プロポーザルを適用します。
```
crypto ikev2 policy ipsecpro64_v2
proposal daemon
```

事前共有キーを設定します。

crypto ikev2 keyring ipsecpro64_v2 
peer vpngw 
address 47.xxx.xxx. 161
pre-shared-key 0 123456

ID 認証を設定します。

crypto ikev2 profile ipsecpro64_v2
match identity remote address 47.xxx.xxx. 161 255.255.255.255
identity local address 10.10.10.1 
authentication remote pre-share     
authentication local pre-share 
keyring local ipsecpro64_v2

IPsec セキュリティプロトコルを設定します。

crypto ipsec transform-set ipsecpro64_v2 esp-aes esp-sha-hmac
mode tunnel

ACL (アクセス制御リスト) を構成し、保護するデータストリームを定義します。

注ローカルゲートウェイデバイスに複数の CIDR ブロックが設定されている場合、CIDR ブロックごとに ACL ポリシーを追加する必要があります。
```
access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 100 permit ip 10.10.10.0 0.0.0.255 192.168.20.0 0.0.0.255
```

IPsec ポリシーを設定します。

crypto map ipsecpro64_v2 10 ipsec-isakmp
set peer 47.xxx.xxx. 161
set transform-set ipsecpro64_v2 
set ikev2-profile ipsecpro64_v2
match address 100

IPsec ポリシーを適用します。
```
interface g0/1
crypto map ipsecpro64_v2
```

静的ルートを設定します。

ip route 192.168.10.0 255.255.255.0 47.xxx.xxx. 161
ip route 192.168.20.0 255.255.255.0 47.xxx.xxx. 161

接続性をテストします。
オンプレミスデータセンターのホストに接続されている Alibaba Cloud のホストを使用して、接続性テストを実行できます。