IPsec-VPN 接続のルートを構成してトラフィックを転送する - VPN Gateway

IPsec-VPN 接続を転送ルーターに関連付けた後、IPsec-VPN 接続のデータセンター宛てのルートを構成する必要があります。転送ルーターからのトラフィックが IPsec-VPN 接続に転送されると、IPsec-VPN 接続はルート情報を照会することでトラフィックをデータセンターに転送します。これにより、データセンターと転送ルーター間のデータ伝送が可能になります。

背景情報

IPsec-VPN 接続を使用してデータセンターを転送ルーターに接続する場合、データセンターと転送ルーター間のデータ伝送を有効にするには、転送ルーター、IPsec-VPN 接続側、およびデータセンター側にルートを追加する必要があります。

このトピックでは、IPsec-VPN 接続のルーティング構成に焦点を当てており、転送ルーターまたはデータセンターのルーティング構成については説明していません。 IPsec-VPN 接続を構成する場合、静的ルートを構成するか、ボーダーゲートウェイプロトコル (BGP) 動的ルーティングを使用して自動ルート学習を有効にすることができます。

クリックして、さまざまなシナリオでのルーティング構成を表示します。

ルーティング方法	トラフィックの方向	転送ルーター	IPsec-VPN 接続	データセンター
静的ルート	データセンター宛て	IPsec-VPN 接続のルート学習の相関関係を作成する必要があります。転送ルーターのルートテーブルと IPsec-VPN 接続の間にルート学習の相関関係が作成されると、システムは IPsec-VPN 接続の宛先ベースのルートテーブル内のルートを転送ルーターのルートテーブルに自動的にアドバタイズします。 IPsec-VPN 接続のトンネルの場合、[フェーズ 2 ネゴシエーションが成功する] ことを確認してください。詳細については、「ルート学習」をご参照ください。	IPsec-VPN 接続のデータセンター宛てのルートを追加する必要があります。詳細については、このトピックの宛先ベースのルートを管理するセクションをご参照ください。	該当なし
静的ルート	転送ルーター宛て	IPsec-VPN 接続の関連付けられた転送の相関関係を作成する必要があります。転送ルーターのルートテーブルと IPsec-VPN 接続の間に関連付けられた転送の相関関係が作成されると、システムは転送ルーターのルートテーブル内のルート情報を照会することで、IPsec-VPN 接続からのトラフィックを転送します。詳細については、「関連付けられた転送」をご参照ください。	該当なしデフォルトでは、IPsec-VPN 接続はデータセンターから転送ルーターへのトラフィックを転送します。	データセンターの転送ルーター上の IPsec-VPN 接続を指すネクストホップを持つルートを追加する必要があります。
BGP 動的ルーティング	データセンター宛て	IPsec-VPN 接続のルート学習の相関関係を作成する必要があります。転送ルーターのルートテーブルと IPsec-VPN 接続の間にルート学習の相関関係が作成されると、システムは IPsec-VPN 接続の BGP ルートテーブル内のルートを転送ルーターのルートテーブルに自動的にアドバタイズします。詳細については、「ルート学習」をご参照ください。	BGP 動的ルーティングを構成する必要があります。 BGP 動的ルーティングが構成されると、IPsec-VPN 接続はデータセンター宛てのルートを自動的に学習し、転送ルーターからデータセンターへのルートをアドバタイズします。詳細については、このトピックの BGP 動的ルーティングを構成するセクションをご参照ください。	BGP 動的ルーティングを構成する必要があります。 BGP 動的ルーティングが構成されると、データセンターはデータセンター内のルートを IPsec-VPN 接続にアドバタイズし、転送ルーター宛てのルートを自動的に学習できます。
BGP 動的ルーティング	転送ルーター宛て	IPsec-VPN 接続の関連付けられた転送の相関関係を作成する必要があります。転送ルーターのルートテーブルと IPsec-VPN 接続の間に関連付けられた転送の相関関係が作成されると、システムは転送ルーターのルートテーブル内のルート情報を照会することで、IPsec-VPN 接続からのトラフィックを転送します。詳細については、「関連付けられた転送」をご参照ください。 IPsec-VPN 接続のルート同期を有効にする必要があります。 IPsec-VPN 接続のルート同期を有効にすると、システムは転送ルーターのルートテーブル内のルートを IPsec-VPN 接続の BGP ルートテーブルに自動的に同期します。詳細については、「ルート同期」をご参照ください。

ルーティング方法を選択する方法

IPsec-VPN 接続が確立されているリージョンで BGP 動的ルーティングがサポートされているかどうかを確認します。サポートされていない場合は、静的ルーティングを選択する必要があります。

クリックして、BGP 動的ルーティングをサポートするリージョンを表示します。

地区	リージョン
アジアパシフィック	中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (深セン)、中国 (香港)、日本 (東京)、シンガポール、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)
ヨーロッパ & アメリカ	ドイツ (フランクフルト)、英国 (ロンドン)、米国 (バージニア)、米国 (シリコンバレー)
中東	UAE (ドバイ)

重要

BGP 動的ルーティングをサポートしていないリージョンで作成された既存のシングルトンネル IPsec-VPN 接続は、BGP 動的ルーティングをサポートしていません。ただし、このリージョンで新しく作成された IPsec-VPN 接続は、デフォルトでデュアルトンネルモードを使用し、BGP 動的ルーティングをサポートしています。

データセンターのゲートウェイデバイスが BGP 動的ルーティングをサポートしているかどうかを確認します。サポートされている場合は、BGP 動的ルーティングを選択できます。サポートされていない場合は、静的ルーティングを選択する必要があります。

シナリオで静的ルーティングと BGP 動的ルーティングの両方がサポートされている場合は、次の表の情報に基づいてルーティング方法を選択できます。

ルーティング方法

シナリオ

構成の難易度

ルートメンテナンスコスト

静的ルーティング

データセンター内のルートの数が少なく、ルートの変更はまれです。

簡単

中

データセンター内のルートが変更された場合は、VPN ゲートウェイのルーティング構成を手動で変更する必要があります。

BGP 動的ルーティング

データセンター内のルートの数が多く、ルートの変更が頻繁に行われます。

簡単

低

データセンター内のルートが変更された場合、VPN ゲートウェイで操作は必要ありません。BGP 動的ルーティングのアドバタイジング原則に基づいて、BGP 動的ルーティングを使用して自動ルートアドバタイジングと学習が有効になります。

ルーティング構成に関する推奨事項

IPsec-VPN 接続には、1 つのルーティング方法を使用することをお勧めします。宛先ベースのルーティングと BGP 動的ルーティングの同時使用はお勧めしません。
デュアルトンネル IPsec-VPN 接続には BGP 動的ルーティングを使用することをお勧めします。静的ルーティングを使用する必要がある場合は、オンプレミスゲートウェイが ECMP ルーティングをサポートしていることを確認してください。そうでない場合、データセンターからクラウドへのデータは ECMP パスを介して転送できませんが、クラウドからのデータは ECMP パスを介してデータセンターに転送できます。その結果、トラフィックパスが要件を満たさない場合があります。
次の提案に基づいて、デュアルトンネル IPsec-VPN 接続のルートを構成することをお勧めします。
- IPsec-VPN 接続の 2 つのトンネルに同じルーティングプロトコル (静的または BGP 動的) を構成することをお勧めします。
- IPsec-VPN 接続がボーダーゲートウェイプロトコル (BGP) 動的ルーティングを使用する場合、2 つのトンネルの ローカル ASN は同じである必要があります。 2 つのトンネルのピア ASN は異なっていても構いませんが、同じピア ASN を使用することをお勧めします。

ルートマッチングルール

デフォルトでは、IPsec-VPN 接続は、データセンターにデータを送信するときに、最長プレフィックス一致ルールに基づいて一致する宛先ベースのルートまたは BGP 動的ルートを見つけます。

説明

複数の IPsec-VPN 接続が宛先ベースのルートまたは BGP 動的ルートを転送ルーターに同時に伝播し、ルートの宛先 CIDR ブロックが同じである場合、デフォルトでは BGP 動的ルートの方が優先順位が高くなります。詳細については、「転送ルーターのルートの優先順位」をご参照ください。

ルートを構成する

宛先ベースのルートを管理する

宛先ベースのルートを構成する場合、宛先 CIDR ブロックとネクストホップを指定する必要があります。 IPsec-VPN 接続は、トラフィックの宛先 IP アドレスと一致する宛先ベースのルートを見つけ、一致する宛先ベースのルートのネクストホップに基づいてトラフィックを転送します。

前提条件

IPsec-VPN 接続は転送ルーターに関連付けられています。関連付けには、次のいずれかの方法を使用できます。

IPsec-VPN 接続を作成するときに、IPsec-VPN 接続を転送ルーターに関連付けることができます。詳細については、「デュアルトンネルモードで IPsec-VPN 接続を作成および管理する」をご参照ください。
リソースに関連付けられていない IPsec-VPN 接続を作成した場合、Cloud Enterprise Network (CEN) コンソールで IPsec-VPN 接続を転送ルーターに関連付けることができます。詳細については、「IPsec-VPN 接続を転送ルーターに接続する」をご参照ください。
説明
IPsec-VPN 接続が VPN ゲートウェイに関連付けられている場合、IPsec-VPN 接続を転送ルーターに関連付けることはできません。

制限

宛先ベースのルートの宛先 CIDR ブロックを 0.0.0.0/0 に設定しないでください。
宛先ベースのルートの宛先 CIDR ブロックを 100.64.0.0/10 または 100.64.0.0/10 のサブネット、または 100.64.0.0/10 を含む CIDR ブロックに設定しないでください。このようなルートが追加されると、コンソールに IPsec-VPN 接続のステータスが表示されないか、IPsec ネゴシエーションが失敗します。
デュアルトンネル IPsec-VPN 接続を作成して宛先ベースのルートを追加した後、[フェーズ 2 ネゴシエーションが成功する] ときにのみ、システムはルートを転送ルーターのルートテーブルにアドバタイズします。

手順

宛先ベースのルートを追加する

VPN ゲートウェイコンソールにログインします。
上部のナビゲーションバーで、IPsec-VPN 接続のリージョンを選択します。
IPsec 接続 ページで、管理する IPsec-VPN 接続を見つけて、その ID をクリックします。
宛先ベースルーティング タブで、ルートエントリの追加 をクリックします。

ルートエントリの追加 パネルで、次のパラメーターを構成し、OK をクリックします。

パラメーター	説明
宛先 CIDR ブロック	データセンターの CIDR ブロックを入力します。
ネクストホップの種類	[IPsec-VPN 接続] を選択します。
ネクストホップ	IPsec-VPN 接続を選択します。

宛先ベースのルートを削除する

VPN ゲートウェイコンソールにログインします。
上部のナビゲーションバーで、IPsec-VPN 接続のリージョンを選択します。
IPsec 接続 ページで、管理する IPsec-VPN 接続を見つけて、その ID をクリックします。
宛先ベースルーティング タブで、削除する宛先ベースのルートを見つけて、削除操作列のをクリックします。
ルートエントリの削除 メッセージで、[OK] をクリックします。

BGP 動的ルーティングを構成する

BGP は、伝送制御プロトコル (TCP) に基づく動的ルーティングプロトコルです。 BGP は、自律システム (AS) 間でルーティング情報とネットワークアクセス情報を交換するために使用されます。 IPsec-VPN 接続とデータセンターを BGP ピアとして指定するには、IPsec-VPN 接続とデータセンターに BGP 構成を追加する必要があります。これにより、互いにルートを学習できるため、ネットワークのメンテナンスコストとネットワーク構成エラーが削減されます。

BGP 動的ルーティングのアドバタイジング原則

IPsec-VPN 接続とデータセンターに BGP 動的ルーティングが構成されると、BGP ルートは次の方法でアドバタイズされます。

Alibaba Cloud へ
データセンターが BGP ルーティング構成でルートをアドバタイズした後、これらのルートは BGP 動的ルーティングを使用して Alibaba Cloud 上の IPsec-VPN 接続に自動的にアドバタイズされます。転送ルーターのルートテーブルと IPsec-VPN 接続の間にルート学習の相関関係が作成されると、システムは IPsec-VPN 接続の BGP ルートテーブル内のルートを転送ルーターのルートテーブルに自動的にアドバタイズします。
データセンターへ
転送ルーターで IPsec-VPN 接続のルート同期を有効にすると、システムは転送ルーターのルートテーブル内のルートを IPsec-VPN 接続の BGP ルートテーブルにアドバタイズします。 IPsec-VPN 接続は、BGP ルートテーブル内のルートをデータセンターに自動的にアドバタイズします。

BGP 動的ルーティングの制限

デュアルトンネル IPsec-VPN 接続の BGP ルートテーブルは、BGP ピアから最大 2,000 ルートを受信できます。各トンネルは最大 1,000 ルートを受信できます。クォータ制限は調整できません。
シングルトンネル IPsec-VPN 接続の BGP ルートテーブルは、BGP ピアから最大 50 ルートを受信できます。クォータ制限を増やすには、チケットを送信します。最大クォータ制限は 200 です。
IPsec-VPN 接続が転送ルーターに関連付けられた後、宛先 CIDR ブロックが 0.0.0.0/0 のルートは、オンプレミスゲートウェイデバイスと転送ルーター間で BGP 動的ルーティングを使用してアドバタイズできます。
データセンターの同じ自律システム番号 (ASN) が仮想ボーダールーター (VBR) と IPsec-VPN 接続に指定されていることを確認してください。この条件は、接続の回復力のために Express Connect 回線と IPsec-VPN 接続を使用してデータセンターを転送ルーターに接続する場合に満たす必要があります。これにより、データセンターでのルートフラッピングを防ぎます。

手順

カスタマーゲートウェイでデータセンターの ASN を指定します。詳細については、「カスタマーゲートウェイを作成および管理する」をご参照ください。
- カスタマーゲートウェイの作成時にデータセンターの ASN を指定しない場合は、現在のカスタマーゲートウェイを削除して別のカスタマーゲートウェイを作成する必要があります。
- カスタマーゲートウェイが作成された後、編集することはできません。 ASN を変更する場合は、現在のカスタマーゲートウェイを削除して別のカスタマーゲートウェイを作成します。

IPsec-VPN 接続の BGP を有効にし、BGP 動的ルーティング構成を追加します。詳細については、「デュアルトンネルモードで IPsec-VPN 接続を作成および管理する」をご参照ください。

次の表に、BGP 動的ルーティングと密接に関連するコンテンツのみを示します。

重要

IPsec-VPN 接続の [ルーティングモード] パラメーターを [宛先ルーティングモード] に設定することをお勧めします。

パラメーター	説明
カスタマーゲートウェイ	データセンターの ASN を使用するカスタマーゲートウェイを選択します。
[BGP を有効にする]	スイッチをオンにして BGP を有効にします。
ローカル ASN	トンネルのローカル自律システム番号 (ASN)。デフォルト値: [45104]。有効な値: [1 ～ 4294967295]。 ASN は 2 つのセグメントで入力でき、最初の 16 ビットと後続の 16 ビットをピリオド (.) で区切ります。各セグメントの番号を 10 進数形式で入力します。たとえば、123.456 と入力すると、ASN は 123 × 65536 + 456 = 8061384 になります。
トンネル CIDR ブロック	トンネルの CIDR ブロックを入力します。 CIDR ブロックは 169.254.0.0/16 に含まれている必要があります。 CIDR ブロックのマスクの長さは 30 ビットである必要があります。 CIDR ブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または 169.254.169.252/30 にすることはできません。説明 IPsec-VPN 接続の 2 つのトンネルは、異なる CIDR ブロックを使用する必要があります。
ローカル BGP IP アドレス	トンネルの BGP IP アドレス。この IP アドレスは、トンネルの CIDR ブロック内に含まれている必要があります。

BGP 動的ルーティングチュートリアル

IPsec-VPN 接続を介してデータセンターを異なるリージョンの複数の VPC に接続する

VPN Gateway:IPsec-VPN 接続のルートを構成する