すべてのプロダクト
Search

このプロダクト

    VPN Gateway:静的ルーティングと BGP 動的ルーティングを使用して Express Connect 回線を介してプライベートトラフィックを暗号化および転送する

    ドキュメントセンター

    VPN Gateway:静的ルーティングと BGP 動的ルーティングを使用して Express Connect 回線を介してプライベートトラフィックを暗号化および転送する

    最終更新日:Feb 19, 2025

    このトピックでは、静的ルーティング、BGP 動的ルーティング、仮想ボーダールーター (VBR)、および IPsec 接続を構成して、Express Connect 回線を介してプライベートトラフィックを暗号化および転送する方法について説明します。

    背景情報

    ユースケース

    次の図は、ユースケースを示しています。 ある企業が杭州にデータセンターを所有し、中国 (杭州) リージョンに VPC をデプロイしています。 アプリケーションは、VPC 内の Elastic Compute Service (ECS) インスタンスにデプロイされています。 ビジネスを拡大するために、企業はデータセンターをクラウドに接続したいと考えています。 セキュリティコンプライアンス要件を満たすために、企業は Express Connect 回線と転送ルーターを使用して、プライベート接続を介してデータセンターと VPC 間でデータを交換する必要があります。 さらに、データ侵害やデータ改ざんを防ぐために、企業は Express Connect 回線を介して Alibaba Cloud にデータを送信する前にデータを暗号化したいと考えています。

    データセンターは、Express Connect 回線を使用して VPC に接続されています。 このシナリオでは、企業はカスタマーゲートウェイデバイスと転送ルーターの間にプライベート IPsec 接続を作成し、IPsec 接続を通過するトラフィックを暗号化してデータセキュリティを確保できます。

    ネットワーク設計

    重要

    データセンターとネットワークインスタンスのネットワークを設計する場合は、ネットワークが重複しないようにしてください。

    ルーティングメカニズム

    Express Connect 回線を介してプライベートトラフィックを暗号化および転送するには、データセンターと VPC が Express Connect 回線ではなく、プライベート IPsec 接続を介してデータを交換するようにしてください。 この目標を達成するために、この例では次のルートが追加されます。

    • VPC からデータセンターへのトラフィックの場合:

      転送ルーターは、VBR とプライベート IPsec 接続からデータセンターを指すルートを学習できます。 デフォルトでは、VBR から学習したルートの方が優先順位が高くなります。 その結果、VPC からデータセンターへのトラフィックは Express Connect 回線を介して転送されるため、暗号化できません。

      この問題を回避するために、この例ではデータセンター CIDR ブロックに異なるサブネットマスクを使用しています。 データセンター CIDR ブロックを VBR に追加する場合は、マスク長が短いことを確認してください。 カスタマーゲートウェイデバイスがプライベート IPsec 接続にデータセンター CIDR ブロックをアドバタイズする場合は、マスク長が長いことを確認してください。

      たとえば、データセンターの CIDR ブロックが 192.168.0.0/16 であるとします。 VPC に接続されているクライアント CIDR ブロックは 192.168.20.0/24 です。 この場合、データセンター CIDR ブロック 192.168.0.0/16 を VBR に追加し、カスタマーゲートウェイデバイスがクライアント CIDR ブロック 192.168.20.0/24 をプライベート IPsec 接続にアドバタイズするように構成します。 こうすることで、転送ルーターがプライベート IPsec 接続から学習したルートの優先順位が高くなります。 VPC からデータセンター内のクライアントへのトラフィックは、優先的に暗号化され、プライベート IPsec 接続を介して転送されます。

    • データセンターから VPC へのトラフィックの場合:

      データセンターは、プライベート IPsec 接続から VPC を指すルートを自動的に学習できます。 また、VPC を指す静的ルートをデータセンターに追加する必要があります。 ネクストホップとして Express Connect 回線を指定し、静的ルートの優先順位を下げます。 プライベート IPsec 接続から学習したルートが VPC へのトラフィックをルーティングするように、優先順位が高くなっていることを確認してください。 こうすることで、データセンターから VPC へのトラフィックは、優先的に暗号化され、プライベート IPsec 接続を介して転送されます。

    説明

    これにより、プライベート IPsec 接続が閉じている場合でも、データセンターと VPC は Express Connect 回線と転送ルーターを介してデータを交換できます。 ただし、この場合、データは暗号化されません。

    基本的なサブネット化

    ネットワーク項目

    サブネット化

    IP アドレス

    VPC

    • プライマリ CIDR ブロック: 172.16.0.0/16

    • ゾーン H にデプロイされた vSwitch 1: 172.16.10.0/24

    • ゾーン H にデプロイされた vSwitch 2: 172.16.20.0/24

    • ゾーン J にデプロイされた vSwitch 3: 172.16.30.0/24

    • ECS 1: 172.16.10.225

    • ECS 2: 172.16.10.226

    VBR

    10.0.0.0/30

    • VLAN ID: 0

    • IPv4 アドレス (Alibaba Cloud 側): 10.0.0.1/30

    • IPv4 アドレス (データセンター側): 10.0.0.2/30

      この例では、データセンター側の IPv4 アドレスは、カスタマーゲートウェイデバイスの IPv4 アドレスです。

    データセンター

    クライアント CIDR ブロック: 192.168.20.0/24

    クライアント IP アドレス: 192.168.20.6

    カスタマーゲートウェイデバイスの CIDR ブロック:

    • 10.0.0.0/30

    • 192.168.10.0/24

    • 192.168.40.0/24

    • VPN IP アドレス 1: 192.168.10.136

    • VPN IP アドレス 2: 192.168.40.159

      VPN IP アドレスは、カスタマーゲートウェイデバイスがプライベート IPsec 接続を介して転送ルーターに接続するために使用するポートの IP アドレスです。

    • Express Connect 回線に接続されているポートの IP アドレス: 10.0.0.2/30

    • 自律システム番号 (ASN): 65530

    BGP 動的ルーティングのサブネット化

    BGP トンネルの CIDR ブロックは、169.254.0.0/16 の範囲内である必要があります。 CIDR ブロックのマスクは、長さ 30 ビットである必要があります。 CIDR ブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または 169.254.169.252/30 にすることはできません。 IPsec 接続の 2 つのトンネルは、異なる CIDR ブロックを使用する必要があります。

    リソース

    トンネル

    BGP トンネル CIDR ブロック

    BGP IP アドレス

    BGP ローカル ASN

    IPsec 接続

    トンネル 1

    169.254.10.0/30

    169.254.10.1

    65534

    トンネル 2

    169.254.20.0/30

    169.254.20.1

    カスタマーゲートウェイデバイス

    トンネル 1

    169.254.10.0/30

    169.254.10.2

    65530

    トンネル 2

    169.254.20.0/30

    169.254.20.2

    前提条件

    • 中国 (杭州) リージョンに VPC が作成され、アプリケーションが VPC 内の ECS インスタンスにデプロイされています。 詳細については、「IPv4 CIDR ブロックを使用して VPC を作成する」をご参照ください。

    • カスタマーゲートウェイデバイスは、プライベート IPsec 接続を確立するための IKEv1 および IKEv2 プロトコルをサポートしています。 ゲートウェイデバイスが IKEv1 および IKEv2 プロトコルをサポートしているかどうかを確認するには、ゲートウェイベンダーにお問い合わせください。

    手順

    ステップ 1: Express Connect 回線と転送ルーターを使用してデータセンターを VPC に接続する

    ステップ a: Express Connect 回線をデプロイする

    Express Connect 回線をデプロイして、データセンターを Alibaba Cloud に接続します。

    1. Express Connect 回線を申請します。

      中国 (杭州) リージョンで Express Connect 回線を申請します。 詳細については、「専用線接続の作成と管理」または「ホステッド接続の概要」をご参照ください。 この例では、専用線接続が作成されます。

    2. VBR を作成します。

      1. Express Connect コンソールにログインします。

      2. 左側のナビゲーションウィンドウで、[仮想ボーダールーター (VBR)] をクリックします。

      3. 上部のナビゲーションバーで、[中国 (杭州)] リージョンを選択します。

        VBR と Express Connect 回線が同じリージョンにデプロイされていることを確認してください。

      4. [仮想ボーダールーター (VBR)] ページで、[VBR の作成] をクリックします。

      5. [VBR の作成] パネルで、次のパラメーターを設定し、[OK] をクリックします。

        次の表では、一部のパラメーターのみについて説明しています。 その他のパラメーターはデフォルト値を使用します。 詳細については、「VBR の作成と管理」をご参照ください。

        パラメーター

        説明

        [名前]

        この例では、VBR が使用されます。

        [物理接続情報]

        この例では、[専用物理接続] が選択され、デプロイした Express Connect 回線が選択されます。

        [VLAN ID]

        この例では 0 が使用されます。

        [alibaba Cloud 側 Ipv4 アドレス]

        この例では、10.0.0.1 が入力されます。

        [データセンター側 Ipv4 アドレス]

        この例では、10.0.0.2 が入力されます。

        [ipv4 サブネットマスク]

        この例では、255.255.255.252 が使用されます。

    3. データセンターを指すルートを VBR に追加します。

      1. [仮想ボーダールーター (VBR)] ページで、VBR の ID をクリックします。

      2. [ルート] タブをクリックします。 [カスタムルートエントリ] タブで、[ルートの追加] をクリックします。

      3. [ルートの追加] パネルで、次のパラメーターを構成し、[OK] をクリックします。

        パラメーター

        [ネクストホップタイプ]

        [express Connect 回線] を選択します。

        [宛先 CIDR ブロック]

        データセンター CIDR ブロック 192.168.0.0/16 を入力します。

        [ネクストホップ]

        デプロイした Express Connect 回線を選択します。

        重要

        データセンターを指すルートを VBR に追加する場合は、マスク長が短いことを確認してください。 こうすることで、転送ルートがプライベート IPsec 接続から学習するルートは、現在のルートよりも具体的になり、優先順位が高くなります。

    4. VPC を指すルートをカスタマーゲートウェイデバイスに追加する

      説明

      この例では、ソフトウェア Adaptive Security Appliance (ASA) 9.19.1 を使用して、Cisco ファイアウォールの構成方法について説明します。 コマンドは、ソフトウェアのバージョンによって異なる場合があります。 実際の環境に基づいて、操作中にドキュメントまたはベンダーに相談してください。 詳細については、「ローカルゲートウェイの構成」をご参照ください。

      次のコンテンツには、サードパーティ製品情報が含まれています。これは参照用です。 Alibaba Cloud は、サードパーティ製品のパフォーマンスと信頼性、またはこれらの製品を使用して実行される操作の潜在的な影響について、保証またはその他の形式のコミットメントを行いません。

      ciscoasa> enable
Password: ********             # イネーブルモードに入るためのパスワードを入力します。
ciscoasa# configure terminal   # コンフィギュレーションモードに入ります。
ciscoasa(config)#   

Cisco ファイアウォールでインターフェイスが構成され、有効になっていることを確認します。 この例では、次のインターフェイス構成が使用されます。
ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/0                # VBR に接続するインターフェイス。
 nameif VBR                                 # GigabitEthernet 0/0 インターフェイスの名前。
 security-level 0
 ip address 10.0.0.1 255.255.255.252        # GigabitEthernet0/0 インターフェイスの IP アドレス。
!
interface GigabitEthernet0/2                # データセンターに接続するインターフェイス。
 nameif private                             # GigabitEthernet 0/2 インターフェイスの名前。
 security-level 100                         # データセンターに接続するインターフェイスのセキュリティレベルが、Alibaba Cloud に接続するインターフェイスのセキュリティレベルよりも低いことを確認してください。
 ip address 192.168.50.215 255.255.255.0    # GigabitEthernet0/2 インターフェイスの IP アドレス。
!
interface GigabitEthernet0/3                # プライベート IPsec トンネル 1 に接続するインターフェイス。
 nameif VPN-IP1                             # GigabitEthernet0/3 インターフェイスの名前。
 security-level 0
 ip address 192.168.10.136 255.255.255.0    # GigabitEthernet0/3 インターフェイスのプライベート IP アドレス。
!
interface GigabitEthernet0/4                # プライベート IPsec トンネル 2 に接続するインターフェイス。
 nameif VPN-IP2                             # GigabitEthernet0/4 インターフェイスの名前。
 security-level 0
 ip address 192.168.40.159  255.255.255.0   # GigabitEthernet0/4 インターフェイスのプライベート IP アドレス。
!

# VPC (172.16.0.0/16) を指す静的ルートを追加します。
route VBR 172.16.0.0 255.255.0.0 10.0.0.2     
   
# データセンター内のクライアントを指すルートを追加します。
route private 192.168.0.0 255.255.0.0 192.168.50.216

    ステップ b: 転送ルーターを構成する

    データセンターが Express Connect 回線を介して Alibaba Cloud に接続された後、データセンターと VPC 間でデータを交換するために転送ルーターを構成する必要があります。

    1. CEN インスタンスを作成する

      [CEN インスタンスの作成] ダイアログボックスで、[CEN のみを作成] をクリックし、名前を入力し、その他のパラメーターにはデフォルト設定を使用します。

    2. Enterprise Edition 転送ルーターを作成する

      中国 (杭州) リージョンに転送ルーターを作成して、VBR と VPC を接続します。 その他のパラメーターにはデフォルト設定を使用します。

    3. VPC 接続を作成します。

      1. CEN 詳細ページで、[基本情報] > [転送ルーター] タブをクリックします。 中国 (杭州) リージョンにある転送ルーターを見つけ、[アクション] 列の [接続の作成] をクリックします。

      2. [ピアネットワークインスタンスとの接続] ページで、次のパラメーターを構成し、[OK] をクリックして VPC を転送ルーターに接続します。

        次の表では、一部のパラメーターのみについて説明しています。 その他のパラメーターはデフォルト値を使用します。 詳細については、「Enterprise Edition 転送ルーターを使用して VPC 接続を作成する」をご参照ください。

        パラメーター

        説明

        [インスタンスタイプ]

        [仮想プライベートクラウド (VPC)] を選択します。

        [リージョン]

        [中国 (杭州)] を選択します。

        [アタッチメント名]

        VPC-Attachment を入力します。

        [ネットワークインスタンス]

        VPC を選択します。

        [vswitch]

        転送ルーターのゾーンにデプロイされている vSwitch を選択します。

        この例では、vSwitch 2 と vSwitch 3 が選択されています。 リージョンに複数のゾーンがある場合は、少なくとも 2 つのゾーンを選択し、各ゾーンで 1 つの vSwitch を選択します。 アイドル状態の vSwitch を選択することをお勧めします。

        [詳細設定]

        この例では、デフォルト設定が使用されます。 すべての高度な機能が有効になっています。

      3. [さらに接続を作成] をクリックして、[ピアネットワークインスタンスとの接続] ページに戻ります。

    4. VBR 接続を作成します。

      [ピアネットワークインスタンスとの接続] ページで、次のパラメーターを構成し、[OK] をクリックして VBR を転送ルーターに接続します。 次の表では、一部のパラメーターのみについて説明しています。 その他のパラメーターはデフォルト値を使用します。 詳細については、「VBR を Enterprise Edition 転送ルーターに接続する」をご参照ください。

      パラメーター

      説明

      [インスタンスタイプ]

      [仮想ボーダールーター (VBR)] を選択します。

      [リージョン]

      [中国 (杭州)] を選択します。

      [アタッチメント名]

      この例では VBR-Attachment が入力されます。

      [ネットワークインスタンス]

      この例では VBR が選択されます。

      [詳細設定]

      この例では、デフォルト設定が使用されます。 すべての高度な機能が有効になっています。

    ステップ c: 接続性をテストする

    上記の構成が完了すると、データセンターは VPC に接続されます。 接続性をテストするには、次の手順を実行できます。

    説明

    VPC 内の ECS インスタンスのセキュリティグループルールと、データセンター内のクライアントのアクセス制御ルールをよく理解していることを確認してください。 ルールによって、VPC 内の ECS インスタンスがデータセンター内のクライアントと通信できることを確認してください。 詳細については、「セキュリティグループルールの表示」および「セキュリティグループルールの追加」をご参照ください。

    データセンターのアクセス制御ルールでは、ICMP メッセージと VPC からのアクセスを許可する必要があります。 ECS インスタンスのセキュリティグループルールでは、ICMP メッセージとデータセンターの CIDR ブロックからのアクセスを許可する必要があります。

    1. VPC 内の ECS 1 に接続します。 詳細については、「接続方法の概要」をご参照ください。

    2. ping コマンドを実行して、データセンター内のクライアントを ping します。

      ping <データセンター内のクライアントの IP アドレス>

      私网互通

      前の図に示すように、ECS 1 が応答を受信できる場合、データセンターと VPC は接続されています。

    ステップ 2: Express Connect 回線を介した専用線接続を暗号化する

    データセンターが VPC に接続された後、カスタマーゲートウェイデバイスと転送ルーターの間にプライベート IPsec 接続を作成し、データセンターと VPC 間のプライベート IPsec 接続を介してトラフィックを暗号化および転送するようにルートを構成できます。

    ステップ a: プライベート IPsec 接続を作成する

    1. 転送ルーターの CIDR ブロック 10.10.10.0/24 を追加します。 詳細については、「転送ルーターの CIDR ブロック」をご参照ください。

      プライベート IPsec 接続を作成するために、転送ルーター CIDR ブロックからゲートウェイ IP アドレスが割り当てられます。 転送ルーター CIDR ブロックは、通信に使用されるデータセンターと VPC の CIDR ブロックと重複してはなりません。

    2. 2 つのカスタマーゲートウェイを作成して、カスタマーゲートウェイデバイスの 2 つの VPN IP アドレスと BGP ASN を Alibaba Cloud に登録します。

      1. VPN ゲートウェイコンソールにログインします。

      2. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > カスタマーゲートウェイ を選択します。

      3. カスタマーゲートウェイ ページで、カスタマーゲートウェイの作成 をクリックします。

      4. [カスタマーゲートウェイの作成] パネルで、次のパラメーターを設定し、[OK] をクリックします。

        次の表では、一部のパラメーターのみについて説明しています。 その他のパラメーターはデフォルト値を使用します。 詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。

        • カスタマーゲートウェイ 1

          • [名前]: Customer-Gateway1 を入力します。

          • [IP アドレス]: カスタマーゲートウェイデバイスの VPN IP アドレスの 1 つ (192.168.10.136) を入力します。

          • [ASN]: カスタマーゲートウェイデバイスの BGP ASN (65530) を入力します。

        • カスタマーゲートウェイ 2

          • [名前]: Customer-Gateway2 を入力します。

          • [IP アドレス]: カスタマーゲートウェイデバイスのもう 1 つの VPN IP アドレス (192.168.40.159) を入力します。

          • [ASN]: カスタマーゲートウェイデバイスの BGP ASN (65530) を入力します。

    3. IPsec 接続を作成します。

      1. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > IPsec 接続 を選択します。

      2. VPN 接続 ページで、VPN 接続の作成 をクリックします。

      3. [ipsec 接続の作成] ページで、パラメーターを構成し、[OK] をクリックします。 次の表でパラメーターについて説明します。

        次の表では、主要なパラメーターのみについて説明しています。 その他のパラメーターにはデフォルト値が使用されます。 詳細については、「デュアルトンネルモードで IPsec 接続を作成および管理する」をご参照ください。

        パラメーター

        IPsec 接続

        名前

        IPsecConnection を入力します。

        リソースの関連付け

        CEN を選択します。

        [ゲートウェイタイプ]

        [プライベート] を選択します。

        CEN インスタンス ID

        この例では、データセンターと VPC を接続する CEN インスタンスが選択されています。

        トランジットルーター

        システムは、現在のリージョンにある CEN インスタンスの転送ルーターを自動的に表示します。

        ルーティングモード

        この例では、[宛先ルーティングモード] が選択されており、トラフィックルーティングが制御されます。

        [BGP を有効にする]

        BGP を有効にします。

        ローカル ASN

        IPsec 接続の BGP ASN (65534) を入力します。

        [トンネル 1]

        カスタマーゲートウェイ

        Customer-Gateway1 を選択します。

        事前共有鍵

        この例では fddsFF111**** が使用されます。

        重要

        IPsec 接続とピアゲートウェイデバイスは、同じ事前共有鍵を使用する必要があります。 そうしないと、システムは IPsec 接続を確立できません。

        [暗号化構成]

        次のパラメーターを除き、パラメーターのデフォルト値を使用します。

        • [IKE 構成] セクションの [DH グループ] パラメーターを [group14] に設定します。

        • [ipsec 構成] セクションの [DH グループ] パラメーターを [group14] に設定します。

        説明

        オンプレミスゲートウェイデバイスに基づいて暗号化パラメーターを選択し、IPsec 接続の暗号化構成がオンプレミスゲートウェイデバイスの暗号化構成と同じになるようにする必要があります。

        BGP 設定

        • トンネル CIDR ブロック: 169.254.10.0/30 を入力します。

        • ローカル BGP IP アドレス: 169.254.10.1 を入力します。

        [トンネル 2]

        カスタマーゲートウェイ

        Customer-Gateway2 を選択します。

        事前共有鍵

        この例では fddsFF222**** が使用されます。

        [暗号化構成]

        次のパラメーターを除き、パラメーターのデフォルト値を使用します。

        • [IKE 構成] セクションの [DH グループ] パラメーターを [group14] に設定します。

        • [ipsec 構成] セクションの [DH グループ] パラメーターを [group14] に設定します。

        説明

        オンプレミスゲートウェイデバイスに基づいて暗号化パラメーターを選択し、IPsec 接続の暗号化構成がオンプレミスゲートウェイデバイスの暗号化構成と同じになるようにする必要があります。

        BGP 設定

        • トンネル CIDR ブロック: 169.254.20.0/30 を入力します。

        • ローカル BGP IP アドレス: 169.254.20.1 を入力します。

        [詳細構成]

        この例では、デフォルト設定が使用されます。 すべての高度な機能が有効になっています。

        IPsec 接続の詳細ページで、カスタマーゲートウェイデバイスへのプライベート IPsec 接続の作成に使用されるゲートウェイ IP アドレスを確認できます。IPsec-BGP

    4. [ipsec 接続] ページで、作成した IPsec 接続を見つけ、[アクション] 列の [ピア構成の生成] をクリックします。

      IPsec ピアの構成は、IPsec 接続の作成時に追加する必要がある VPN 構成を参照します。 この例では、VPN 構成をデータセンターのゲートウェイデバイスに追加する必要があります。

    5. [ipsec 接続構成] ダイアログボックスで、構成をコピーしてオンプレミスマシンに保存します。 この構成は、データセンターのゲートウェイデバイスを構成するときに必要になります。

    6. カスタマーゲートウェイデバイスを構成します。

      IPsec 接続を作成した後、Alibaba Cloud とカスタマーゲートウェイデバイスの間にプライベート IPsec 接続を確立できるように、カスタマーゲートウェイデバイスに VPN 構成を追加する必要があります。

      クリックして、カスタマーゲートウェイデバイスの構成を表示します。

      1. Cisco ファイアウォールの CLI にログインし、コンフィギュレーションモードに入ります。

        ciscoasa> enable
Password: ********             # イネーブルモードに入るためのパスワードを入力します。
ciscoasa# configure terminal   # コンフィギュレーションモードに入ります。
ciscoasa(config)#

      2. インターフェイス構成とルート構成を表示します。

        Cisco ファイアウォールでインターフェイスが構成され、有効になっていることを確認します。 この例では、次のインターフェイス構成が使用されます。

        ciscoasa(config)# show running-config interface 
!
interface GigabitEthernet0/3                # プライベート IPsec トンネル 1 に接続するインターフェイス。
 nameif VPN-IP1                             # GigabitEthernet 0/3 インターフェイスの名前。
 security-level 0
 ip address 192.168.10.136 255.255.255.0    # GigabitEthernet0/3 インターフェイスのプライベート IP アドレス。
!
interface GigabitEthernet0/4                # プライベート IPsec トンネル 2 に接続するインターフェイス。
 nameif VPN-IP2                             # GigabitEthernet0/4 インターフェイスの名前。
 security-level 0
 ip address 192.168.40.159  255.255.255.0   # GigabitEthernet0/4 インターフェイスのプライベート IP アドレス。
!

# プライベート IPsec 接続を作成するために、転送ルーターの CIDR ブロック (IPsec 接続のゲートウェイ IP アドレス) を指すルートを追加します。
route VBR 10.10.10.49 255.255.255.255 10.0.0.2   # Alibaba Cloud 側のトンネル 1 のプライベート IP アドレスを指すルートを構成します。
route VBR 10.10.10.50 255.255.255.255 10.0.0.2   # Alibaba Cloud 側のトンネル 2 のプライベート IP アドレスを指すルートを構成します。

      3. インターフェイスに対して IKEv2 を有効にします。

        crypto ikev2 enable VPN-IP1
crypto ikev2 enable VPN-IP2

      4. IKEv2 ポリシーを作成し、Cisco ファイアウォールの IKE フェーズで認証アルゴリズム、暗号化アルゴリズム、DH グループ、および SA ライフタイムを指定します。 値は Alibaba Cloud の値と同じである必要があります。

        重要

        Alibaba Cloud で IPsec 接続を構成する場合、IKE フェーズの暗号化アルゴリズム認証アルゴリズムDH グループには 1 つの値しか指定できません。 Cisco ファイアウォールの IKE フェーズでは、暗号化アルゴリズム、認証アルゴリズム、DH グループに 1 つの値のみを指定することをお勧めします。 値は Alibaba Cloud の値と同じである必要があります。

        crypto ikev2 policy 10     
 encryption aes             # 暗号化アルゴリズムを指定します。
 integrity sha              # 認証アルゴリズムを指定します。
 group 14                   # DH グループを指定します。
 prf sha                    # prf パラメーターの値は、integrity パラメーターの値と同じである必要があります。 デフォルトでは、これらの値は Alibaba Cloud で同じです。
 lifetime seconds 86400     # SA ライフタイムを指定します。

      5. IPsec プロポーザルとプロファイルを作成し、Cisco ファイアウォールの IPsec フェーズで暗号化アルゴリズム、認証アルゴリズム、DH グループ、および SA ライフタイムを指定します。 値は Alibaba Cloud の値と同じである必要があります。

        重要

        Alibaba Cloud で IPsec 接続を構成する場合、IPsec フェーズの暗号化アルゴリズム認証アルゴリズムDH グループには 1 つの値しか指定できません。 Cisco ファイアウォールの IPsec フェーズでは、暗号化アルゴリズム、認証アルゴリズム、DH グループに 1 つの値のみを指定することをお勧めします。 値は Alibaba Cloud の値と同じである必要があります。

        crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    # IPsec プロポーザルを作成します。
 protocol esp encryption aes                         # 暗号化アルゴリズムを指定します。 Alibaba Cloud では Encapsulating Security Payload (ESP) プロトコルが使用されています。 したがって、ESP プロトコルを使用します。
 protocol esp integrity sha-1                        # 認証アルゴリズムを指定します。 Alibaba Cloud では ESP プロトコルが使用されています。 したがって、ESP プロトコルを使用します。
crypto ipsec profile ALIYUN-PROFILE                  
 set ikev2 ipsec-proposal ALIYUN-PROPOSAL            # IPsec プロファイルを作成し、作成されたプロポーザルを適用します。
 set ikev2 local-identity address                    # ローカル ID の形式を IP アドレスに設定します。これは Alibaba Cloud のリモート ID の形式と同じです。
 set pfs group14                                     # Perfect Forward Secrecy (PFS) と DH グループを指定します。
 set security-association lifetime seconds 86400     # 時間ベースの SA ライフタイムを指定します。
 set security-association lifetime kilobytes unlimited # トラフィックベースの SA ライフタイムを無効にします。

      6. トンネルグループを作成し、トンネルの事前共有鍵を指定します。これは Alibaba Cloud 側と同じである必要があります。

        tunnel-group 10.10.10.49 type ipsec-l2l                    # トンネル 1 の暗号化モードを l2l に設定します。
tunnel-group 10.10.10.49 ipsec-attributes             
 ikev2 remote-authentication pre-shared-key fddsFF111****  # トンネル 1 のピア事前共有鍵を指定します。これは Alibaba Cloud 側の事前共有鍵です。
 ikev2 local-authentication pre-shared-key fddsFF111**** # トンネル 1 のローカル事前共有鍵を指定します。これは Alibaba Cloud と同じである必要があります。
!
tunnel-group 10.10.10.50 type ipsec-l2l                    # トンネル 2 の暗号化モードを l2l に設定します。
tunnel-group 10.10.10.50 ipsec-attributes
 ikev2 remote-authentication pre-shared-key fddsFF222****  # トンネル 2 のピア事前共有鍵を指定します。これは Alibaba Cloud 側の事前共有鍵です。
 ikev2 local-authentication pre-shared-key fddsFF222****   # トンネル 2 のローカル事前共有鍵を指定します。これは Alibaba Cloud と同じである必要があります。
!

      7. トンネルインターフェイスを作成します。

        interface Tunnel1                                  # トンネル 1 のインターフェイスを作成します。
 nameif ALIYUN1
 ip address 169.254.10.2 255.255.255.252           # インターフェイスの IP アドレスを指定します。
 tunnel source interface VPN-IP1                   # トンネル 1 の送信元アドレスを GigabitEthernet0/3 の IP アドレスとして指定します。
 tunnel destination 10.10.10.49                    # トンネル 1 の宛先アドレスを Alibaba Cloud 側のトンネル 1 のプライベート IP アドレスとして指定します。
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile ALIYUN-PROFILE    # トンネル 1 に IPsec プロファイル ALIYUN-PROFILE を適用します。
 no shutdown                                       # トンネル 1 のインターフェイスを有効にします。
!
interface Tunnel2                                  # トンネル 2 のインターフェイスを作成します。
 nameif ALIYUN2                
 ip address 169.254.20.2 255.255.255.252           # インターフェイスの IP アドレスを指定します。
 tunnel source interface VPN-IP2                   # トンネル 2 の送信元アドレスを GigabitEthernet0/4 の IP アドレスとして指定します。
 tunnel destination 10.10.10.50                    # トンネル 2 の宛先アドレスを Alibaba Cloud 側のトンネル 2 のプライベート IP アドレスとして指定します。
 tunnel mode ipsec ipv4                            
 tunnel protection ipsec profile ALIYUN-PROFILE # トンネル 2 に IPsec プロファイル ALIYUN-PROFILE を適用します。
 no shutdown                                       # トンネル 2 のインターフェイスを有効にします。
!

      構成が完了すると、カスタマーゲートウェイデバイスは Alibaba Cloud へのプライベート IPsec 接続を確立できます。 ただし、BGP ピアは作成されません。 IPsec 接続の詳細ページで接続ステータスを確認できます。 プライベート IPsec 接続が作成されない場合は、それに応じてトラブルシューティングを行います。 詳細については、「IPsec 接続のセルフサービス診断」をご参照ください。 仅IPsec-VPN

    ステップ b: ルートを構成する

    プライベート IPsec 接続が作成された後も、データはデータセンターと VPC 間の Express Connect 回線を介して転送されます。 また、データは暗号化されていません。 プライベート IPsec 接続を介してデータを暗号化および転送するには、ルートを追加する必要があります。

    1. カスタマーゲートウェイデバイスに BGP 構成を追加して、カスタマーゲートウェイデバイスと IPsec 接続の間に BGP ピアリングを確立します。 こうすることで、データセンターと VPC は BGP 動的ルーティングを介して互いからルートを学習できます。

      # BGP を構成して、カスタマーゲートウェイデバイスと IPsec 接続の間に BGP ピアを作成します。
router bgp 65530
 address-family ipv4 unicast
  neighbor 169.254.10.1 remote-as 65534       # BGP ピアを指定します。これは Alibaba Cloud 側のトンネル 1 の IP アドレスです。
  neighbor 169.254.10.1 activate              # BGP ピアをアクティブにします。
  neighbor 169.254.20.1 remote-as 65534       # BGP ピアを指定します。これは Alibaba Cloud 側のトンネル 2 の IP アドレスです。
  neighbor 169.254.20.1 activate              # BGP ピアをアクティブにします。
  network 192.168.10.0 mask 255.255.255.0     # データセンター CIDR ブロックをアドバタイズします。これは、VBR に追加されたデータセンター CIDR ブロックよりも具体的である必要があります。
  network 192.168.20.0 mask 255.255.255.0
  network 192.168.40.0 mask 255.255.255.0 
  maximum-paths 5                        # ECMP ルートエントリの数を増やします。
 exit-address-family
 
# VPC (172.16.0.0/16) を指す静的ルートの優先順位を変更します。 優先順位が BGP ルートよりも低いことを確認してください。 BGP ルートのデフォルトのメトリック値は 20 です。
route VBR 172.16.0.0 255.255.0.0 10.0.0.2 30

    2. 転送ルーターのカスタムルートを追加します。

      上記のルートを追加した後、プライベート IPsec 接続は中断されます。 この場合、カスタマーゲートウェイデバイスの VPN IP アドレスを指す特定のルートを転送ルートのルートテーブルに追加し、ネクストホップを VBR に設定して、プライベート IPsec 接続を再作成する必要があります。

      1. CEN コンソールの ルートテーブル タブで、[ルートエントリ] タブをクリックし、[ルートエントリの追加] をクリックします。

      2. [ルートエントリの追加] ダイアログボックスで、パラメーターを構成し、[OK] をクリックします。 次の表でパラメーターについて説明します。

        パラメーター

        CIDR ブロック 1

        CIDR ブロック 2

        [宛先 CIDR]

        カスタマーゲートウェイデバイスの VPN IP アドレスの 1 つ (192.168.10.136/32) を入力します。

        カスタマーゲートウェイデバイスのもう 1 つの VPN IP アドレス (192.168.40.159/32) を入力します。

        [ブラックホールルートかどうか]

        [いいえ] を選択します。

        [ネクストホップ接続]

        VBR-Attachment を選択します。

    3. 転送ルーターのルートテーブルのルーティングポリシーを作成して、プライベート IPsec 接続がカスタマーゲートウェイデバイスの VPN IP アドレスを指すルートをデータセンターに伝播することを禁止します。 これにより、ルーティングループを防ぎます。

      1. CEN コンソールにログインします。

      2. [インスタンス] ページで、CEN インスタンスを見つけ、その ID をクリックします。

      3. 詳細ページで、[中国 (杭州)] リージョンにある転送ルーターを見つけ、その ID をクリックします。

      4. 転送ルーターの詳細ページで、[ルートテーブル] タブをクリックし、[ルートマップ] をクリックします。

      5. [ルートマップ] タブで、[ルートマップの追加] をクリックします。 次のパラメーターを設定し、[OK] をクリックします。

        次の表では、主要なパラメーターのみについて説明しています。 その他のパラメーターにはデフォルト値が使用されます。 詳細については、「ルーティングポリシーの概要」をご参照ください。

        • [ポリシーの優先順位]: 40 と入力します。

        • [関連付けられたルートテーブル]: デフォルト値を使用します。

        • [方向]: [出力リージョンゲートウェイ] を選択します。

        • [一致条件]:

          • [宛先インスタンス ID]: VBR の ID が選択されています。

          • [ルートプレフィックス]: VPN IP アドレス 192.168.10.136/32192.168.40.159/32 を入力し、[完全一致] を選択します。

        • [ポリシーアクション]: [拒否] を選択します。

    ステップ c: 暗号化設定を確認する

    構成が完了した後、IPsec 接続の詳細ページでデータ転送の詳細を表示できる場合、トラフィックは暗号化されています。

    1. VPC 内の ECS 1 に接続します。 ping コマンドを実行して、データセンターの CIDR ブロック内のクライアントを ping します。

      ping <データセンター内のクライアントの IP アドレス> -s 1000 -c 10000

      • -s 1000: 1,000 バイトを送信します。

      • -c 10000: 10,000 件のリクエストを継続的に送信します。

    2. VPN ゲートウェイコンソールにログインします。

    3. 上部のナビゲーションバーで、[中国 (杭州)] リージョンを選択します。

    4. 左側のナビゲーションウィンドウで、[相互接続] > [VPN] > IPsec 接続 を選択します。

    5. [ipsec 接続] ページで、作成した IPsec 接続を見つけ、その ID をクリックします。

      IPsec 接続の詳細ページに移動して、データ転送の詳細を表示します。IPsec