このトピックでは、2 つのカスタマーゲートウェイを作成して VPN Gateway に接続することで、2 つの IPsec-VPN 接続を確立する方法について説明します。 この方法により、接続を維持するための IPsec-VPN フェイルオーバーを設定できます。
シナリオ
下図のように、1 つの VPN Gateway が Alibaba Cloud 側にデプロイされ、2 つのカスタマーゲートウェイがオンプレミスデータセンター側にデプロイされます。
カスタマーゲートウェイを VPN Gateway に接続すると、2 つの IPsec-VPN トンネルを作成できます。 次に、2 つの IPsec-VPNトンネルのヘルスチェックを有効にして、ネゴシエーションが成功したことを確認します。 この設定では、ヘルスチェックが 1 つのカスタマーゲートウェイが利用できないことを検出すると、トラフィックが自動的に他のカスタマーゲートウェイに切り替わります。
前提条件
開始する前に、以下の条件が満たされていることを確認してください。
-
ローカルデータセンターのゲートウェイデバイスをご確認ください。 Alibaba Cloud VPN ゲートウェイは、標準の IKEv1 および IKEv2 プロトコルをサポートしています。 この 2 つのプロトコルをサポートするデバイスは、Alibaba VPN Gateway に接続できます。 サポートしているデバイスには、Huawei、H3C、Cisco、ASN、Juniper、SonicWall、Nokia、IBM、および Ixia があります。
-
ローカルゲートウェイに静的 IP アドレスが設定されていること。
-
接続する VPC とローカルデータセンターの IP アドレス範囲が互いに競合していないこと。
手順 1 : VPN Gateway の作成
- VPC コンソールにログインします。
- 左側のナビゲーションウインドウで、 をクリックします。
- VPN Gateway ページで、[VPN Gateway の作成] をクリックします。
- 購入ページで、VPN Gateway を設定して支払いを完了させます。 このチュートリアルでは、VPN Gateway は次の設定を使用します。
-
<p data-spm-anchor-id="a2762.11472859.0.i12.7588203beUXIor">Region: VPN Gateway のリージョンをクリックします。 このチュートリアルでは、[中国 (杭州) ]をクリックします。説明 VCP とVPN ゲートウェイが同じリージョンであることをご確認ください。
-
VPC : 接続する VPC をクリックします。
-
Bandwidth specification : 帯域幅指定をクリックします。 帯域幅指定は、VPN ゲートウェイのインターネット帯域幅です。
-
IPsec-VPN : IPsec-VPN 機能を有効にするかをクリックします。
-
SSL-VPN : SSL-VPN 機能を有効にするかを設定します。 SSL-VPN 機能を使用すると、単一のコンピュータからどこにいても VPC に接続できます。
-
Concurrent SSL Connections: 同時に接続するクライアントの最大数をクリックします。説明 このオプションは、SSL-VPN 機能を有効にした後にのみ設定できます。
-
- VPN Gateway ページに戻り、[中国 (杭州)] リージョンをクリックすると、作成した VPN Gateway が表示されます。
VPN Gateway の初期ステータスは、"Preparing" です。 約2分で "Normal" に変わります。 ステータスが "Normal"に変わると、VPN Gateway が使用可能になります。説明 通常、VPN Gateway の作成には 1 〜 5 分かかります 。
手順 2:2 つのカスタマーゲートウェイを作成する
- 左側のナビゲーションペインでをクリックします。
- カスタマーゲートウェイを作成するリージョンを選択します。
- [カスタマーゲートウェイ] ページで[カスタマーゲートウェイの作成] をクリックします。
- [カスタマーゲートウェイの作成] ページでパラメーターを設定し、 [OK] をクリックします。
- 名前:カスタマーゲートウェイの名前を入力します。
- IP アドレス:ローカルゲートウェイ用に設定されたパブリック IP アドレスを入力します。
- 説明:カスタマーゲートウェイの説明を入力します。
- 追加:別のカスタマーゲートウェイを追加します。
手順 3 : 2 つの IPsec-VPN 接続を作成する
- 左側のナビゲーションペインで、をクリックします。
- リージョンを選択します。
- [IPsec 接続] ページで [IPsec 接続の作成] をクリックします。
- 以下の情報に従って IPsec-VPN 接続を設定し、[OK] をクリックします。
- 名前:IPsec-VPN 接続の名前を入力します。
- VPN Gateway:作成した VPN Gateway を選択します。
- カスタマーゲートウェイ:作成したカスタマーゲートウェイを選択します。
- ローカルネットワーク:設定した VPN Gateway が属する VPC の CIDR ブロックを入力します。
- リモートネットワーク:オンプレミスデータセンターの CIDR ブロックを入力します。
- 今すぐ有効化:直ちにネゴシエーションを開始するかどうかを選択します。
- はい :設定完了後、直ちにネゴシエーションを開始します。
- いいえ:トンネルでトラフィックが検出された場合のみネゴシエーションを開始します。
- Pre-Shared Key: 事前共有キーを入力します。 この値は、ローカルゲートウェイで設定した値と同じでなければなりません。
- ヘルスチェック::ヘルスチェックを有効にし、宛先 IP アドレス、送信元 IP アドレス、再試行間隔、および再試行回数を入力します。
他のパラメーターについてはデフォルト値を使用します。
- 他のカスタマーゲートウェイの IPsec-VPN 接続を作成するには、上記の手順を繰り返します。
手順 4 :ローカルゲートウェイを設定する
- 左側のナビゲーションウインドウで、をクリックします。
- リージョンを選択します。
- ローカルゲートウェイを設定する IPsec-VPN 接続を確認し、[設定のダウンロード] をクリックします。
- ダウンロードした IPsec-VPN 接続設定をローカルゲートウェイデバイスにロードして、ローカルゲートウェイを設定します。 詳細については、「ローカルゲートウェイの設定」をご参照ください。
RemotSubnet と LocalSubnet は、手順 3 で IPsec 接続を作成する際に設定した Local Network と Remote Network と逆になります。 具体的には、VPN Gateway の場合、リモートネットワークはオンプレミスデータセンターの CIDR ブロックであり、ローカルネットワークは VPC の CIDR ブロックです。 ローカルゲートウェイの場合、LocalSubnet はオンプレミスデータセンターの CIDR ブロックであり、 RemoteSubnet は VPC の CIDR ブロックです。
手順 5 :VPN Gatewayのルートを設定する
VPN Gateway のルートを設定する手順は以下のとおりです。
- 左側のナビゲーションペインで、をクリックします。
- [VPN Gateway] ページで、VPN Gateway のリージョンを選択します。
- ルートを設定する VPN Gateway を確認し、ID/名前 列のインスタンス ID をクリックします。
- [宛先ベースルーティング] タブで、[ルートエントリの追加] をクリックします。
- 次の情報に従ってルートエントリを設定し、[OK] をクリックします。
- 宛先 CIDR ブロック:ローカルゲートウェイの プライベート CIDR ブロックを入力します。
- Next Hop:接続する IPsec-VPN 接続インスタンスを選択します。
- VPC に公開:新しいルートを VPC ルートテーブルに公開するかどうかを選択します。
- 重み:重みを選択します。 重要 ルートごとに異なる重みを設定して、アクティブルートとスタンバイルートを区別します。 2つの宛先ルートのウェイトを同時に 100 または 0 に設定することはできません。
この例で用いられているルートは下記の通りです。
宛先 CIDR ブロック ネクストホップ VPC に公開 重み ローカルゲートウェイのプライベート CIDR ブロック IPsec-VPN 接続インスタンス 1 はい 100 ローカルゲートウェイのプライベート CIDR ブロック IPsec-VPN 接続インスタンス 2 はい 0