IPsec接続がトランジットルータに関連付けられた後、データセンタとトランジットルータとの間にIPsec − VPN接続を確立することができる。 このようにして、データセンターはトランジットルーターを使用して他のネットワークにアクセスできます。
前提条件
データセンターとトランジットルーター間にIPsec-VPN接続を確立する前に、次の前提条件が満たされていることを確認してください。
パブリックIPsec接続をトランジットルーターに関連付ける場合、パブリックIPアドレスをデータセンターのゲートウェイデバイスに割り当てる必要があります。
データセンターのゲートウェイデバイスは、トランジットルーターとのIPsec-VPN接続を確立するために、IKEv1またはIKEv2プロトコルをサポートする必要があります。
データセンターのCIDRブロックは、アクセスするネットワークのCIDRブロックと重複しません。
アクセスするネットワークに対してアクセス制御リスト (ACL) などのセキュリティポリシーが設定されている場合、セキュリティポリシーはデータセンターからのアクセスを許可する必要があります。
制限事項
特定のリージョンでのみ、IPsec接続をトランジットルーターに関連付けることができます。 サポートされるリージョンの詳細については、「IPsec-VPN機能をサポートするリージョン」をご参照ください。
IPsec接続がトランジットルーターに関連付けられているシナリオでは、IPsec接続はEnterprise Editionトランジットルーターにのみ関連付けることができます。
手順
ステップ | 関連ドキュメント | 説明 |
1 | トランジットルーターは、Cloud Enterprise Network (CEN) インスタンスにデプロイされます。 トランジットルーターを作成する前に、CENインスタンスを作成する必要があります。 | |
2 | トランジットルーターは、ネットワークトラフィックを転送するために使用されるリージョン内の重要なネットワーク要素です。 トランジットルーターを使用する前に、データセンターがデプロイされているリージョンまたはデータセンターに近いリージョンにトランジットルーターを作成する必要があります。 重要 トランジットルーターを作成するときは、トランジットルーターのCIDRブロックを設定する必要があります。 それ以外の場合、IPsec接続をトランジットルーターに関連付けることはできません。 トランジットルーターを作成した場合は、トランジットルーターのCIDRブロックを設定できます。 詳細については、「トランジットルーターCIDRブロック」をご参照ください。 | |
3 | カスタマーゲートウェイを作成し、IPアドレスやBorder gateway Protocol (BGP) 自律システム番号 (ASN) などのデータセンターのゲートウェイデバイスに関する情報をAlibaba Cloudのカスタマーゲートウェイに追加する必要があります。 | |
4 | IPsec-VPN接続は、データセンターとトランジットルーター間の暗号化されたデータ送信トンネルです。 IPsec-VPN接続を作成するときは、リソースの関連付け パラメーターを CEN または 関連付け禁止 に設定します。 | |
5 | IPsec-VPN接続を確立するためにIPsec接続とネゴシエートできるように、データセンターのゲートウェイデバイスにVPN設定を追加する必要があります。 | |
6 | IPsec-VPN接続用のデータセンターを指すルートを設定し、そのルートをトランジットルーターのルートテーブルにアドバタイズする必要があります。 このようにして、データセンターをトランジットルーターに接続できます。 | |
7 | ネットワーク接続のテスト | データセンターのサーバーにログインし、pingコマンドを実行して、アクセスするネットワーク内のサーバーのプライベートIPアドレスをpingします。 |