すべてのプロダクト
Search
ドキュメントセンター

VPN Gateway:IPsec-VPN接続のルートの構成

最終更新日:Feb 07, 2025

IPsec-VPN接続をトランジットルーターに関連付けた後、IPsec-VPN接続用のデータセンター宛てのルートを設定する必要があります。 トランジットルーターからのトラフィックがIPsec-VPN接続に転送された後、IPsec-VPN接続はルート情報を照会することによってトラフィックをデータセンターに転送します。 これにより、データセンタと中継ルータとの間のデータ伝送が可能になる。

背景情報

IPsec-VPN接続を使用してデータセンターをトランジットルーターに接続する場合、データセンターとトランジットルーター間のデータ伝送を可能にするために、トランジットルーター、IPsec-VPN接続側、およびデータセンター側にルートを追加する必要があります。

ルートを設定するときは、静的ルートを設定したり、Border Gateway Protocol (BGP) 動的ルーティングを使用して自動ルート学習を有効にしたりできます。 次の表に、さまざまなシナリオでのルーティング設定を示します。

ルーティング方法

トラフィック方向

トランジットルーター

IPsec-VPN接続

データセンター

静的ルート

データセンター向け

IPsec-VPN接続のルート学習相関を作成する必要があります。

トランジットルーターのルートテーブルとIPsec-VPN接続の間にルート学習相関が作成された後、システムはIPsec-VPN接続の宛先ベースのルートテーブル内のルートをトランジットルーターのルートテーブルに自動的にアドバタイズします。 詳細については、「ルート学習」をご参照ください。

IPsec-VPN接続用のデータセンター宛てのルートを追加する必要があります。

詳細については、このトピックの「宛先ベースのルートの管理」をご参照ください。

非該当

トランジットルーターの宛先

IPsec-VPN接続に関連付けられた転送相関を作成する必要があります。

トランジットルータのルートテーブルとIPsec − VPN接続との間に関連する転送相関が作成された後、システムは、トランジットルータのルートテーブル内のルート情報を照会することによって、IPsec − VPN接続からのトラフィックを転送する。 詳細については、「関連転送」をご参照ください。

非該当

デフォルトでは、IPsec-VPN接続はデータセンターからトランジットルーターにトラフィックを転送します。

データセンターのトランジットルーターで、ネクストホップがIPsec-VPN接続を指すルートを追加する必要があります。

BGP動的ルーティング

データセンター向け

IPsec-VPN接続のルート学習相関を作成する必要があります。

トランジットルーターのルートテーブルとIPsec-VPN接続の間にルート学習相関が作成された後、システムはIPsec-VPN接続のBGPルートテーブル内のルートをトランジットルーターのルートテーブルに自動的にアドバタイズします。 詳細については、「ルート学習」をご参照ください。

BGP動的ルーティングを設定する必要があります。

BGP動的ルーティングが設定されると、IPsec-VPN接続はデータセンター宛てのルートを自動的に学習し、トランジットルーターからデータセンターへのルートをアドバタイズします。 詳細については、このトピックの「BGP動的ルーティングの構成」をご参照ください。

BGP動的ルーティングを設定する必要があります。

BGP動的ルーティングが設定された後、データセンターはデータセンター内のルートをIPsec-VPN接続にアドバタイズし、トランジットルーター宛てのルートを自動的に学習できます。

トランジットルーターの宛先

  1. IPsec-VPN接続に関連付けられた転送相関を作成する必要があります。

    トランジットルータのルートテーブルとIPsec − VPN接続との間に関連する転送相関が作成された後、システムは、トランジットルータのルートテーブル内のルート情報を照会することによって、IPsec − VPN接続からのトラフィックを転送する。 詳細については、「関連転送」をご参照ください。

  2. IPsec-VPN接続のルート同期を有効にする必要があります。

    IPsec-VPN接続のルート同期を有効にすると、トランジットルーターのルートテーブルのルートがIPsec-VPN接続のBGPルートテーブルに自動的に同期されます。 詳細については、「ルート同期」をご参照ください。

ルーティング方法を選択する方法

  1. IPsec-VPN接続が確立されているリージョンがBGP動的ルーティングをサポートしているかどうかを確認してください。 そうでない場合は、静的ルーティングを選択する必要があります。

    クリックして、BGP動的ルーティングをサポートするリージョンを表示します。

    地域

    リージョン

    アジア太平洋

    中国 (杭州) 、中国 (上海) 、中国 (青島) 、中国 (北京) 、中国 (張家口) 、中国 (フフホト) 、中国 (深セン) 、中国 (香港) 、日本 (東京) 、シンガポール、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ)

    ヨーロッパおよびアメリカ

    ドイツ (フランクフルト) 、英国 (ロンドン) 、米国 (バージニア) 、米国 (シリコンバレー)

    中東

    UAE (ドバイ)

    重要

    BGP動的ルーティングをサポートしていないリージョンで作成された既存のシングルトンネルIPsec-VPN接続は、BGP動的ルーティングをサポートしていません。 ただし、このリージョンで新しく作成されたIPsec-VPN接続は、デフォルトでデュアルトンネルモードを使用し、BGP動的ルーティングをサポートします。

  2. データセンターのゲートウェイデバイスがBGP動的ルーティングをサポートしているかどうかを確認します。 その場合は、BGP動的ルーティングを選択できます。 そうでない場合は、静的ルーティングを選択する必要があります。

  3. シナリオで静的ルーティングとBGP動的ルーティングの両方がサポートされている場合は、次の表の情報に基づいてルーティング方法を選択できます。

ルーティング方法

サポートされるシナリオ

設定の難しさ

ルートのメンテナンスコスト

静的ルート

データセンター内のルートの数は少なく、ルートの変更はまれです。

低い

Medium

データセンターのルートが変更された場合は、VPNゲートウェイのルーティング設定を手動で変更する必要があります。

BGP動的ルーティング

データセンター内のルートの数は多く、ルートの変更は頻繁に行われます。

低い

低い

データセンターのルートが変更された場合、VPNゲートウェイでの操作は必要ありません。 自動ルート広告および学習は、BGP動的ルーティングの広告原則に基づくBGP動的ルーティングを使用することによって可能になります。

推奨事項ルーティング設定

  • IPsec-VPN接続には1つのルーティング方法を使用することを推奨します。 宛先ベースのルーティングとBGP動的ルーティングを同時に使用することは推奨されません。

  • デュアルトンネルIPsec-VPN接続には、BGP動的ルーティングの使用を推奨します。 静的ルーティングを使用する必要がある場合は、オンプレミスゲートウェイがECMPルーティングをサポートしていることを確認してください。 そうでない場合、データセンタからクラウドへのデータは、ECMPパスを介して転送することができないが、クラウドからのデータは、ECMPパスを介してデータセンタへ転送することができる。 その結果、トラフィックパスが要件を満たしていない場合があります。

  • 次の提案に基づいて、デュアルトンネルIPsec-VPN接続のルートを設定することを推奨します。

    • IPsec-VPN接続の2つのトンネルに同じルーティングプロトコル (静的またはBGP) を設定することを推奨します。

    • IPsec-VPN接続がBorder Gateway Protocol (BGP) 動的ルーティングを使用する場合、2つのトンネルのローカル ASNは同じでなければなりません。 2つのトンネルのピアASNは異なる場合がありますが、同じピアASNを使用することをお勧めします。

ルートの優先順位

IPsec-VPN接続のルートテーブルでルート競合が発生した場合のルート優先度を次の表に示します。

説明

降順のルート優先度: P0 > P1 > P2 > P3

ルートタイプ

IPsec-VPN接続のルート優先度

特定のルート

P0

システムルート

P1

動的ルーティング (BGPルート)

P2

静的ルーティング (宛先ベースのルート)

P3

ルートの設定

目的地ベースのルートの管理

宛先ベースのルートを設定するときは、宛先CIDRブロックとネクストホップを指定する必要があります。 IPsec-VPN接続は、トラフィックの宛先IPアドレスと一致する宛先ベースのルートを見つけ、一致する宛先ベースのルートのネクストホップに基づいてトラフィックを転送します。

前提条件

IPsec-VPN接続は、トランジットルーターに関連付けられています。 関連付けには、次のいずれかの方法を使用できます。

  • IPsec-VPN接続を作成するときに、IPsec-VPN接続をトランジットルーターに関連付けることができます。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。

  • リソースに関連付けられていないIPsec-VPN接続を作成した場合は、Cloud Enterprise Network (CEN) コンソールでIPsec-VPN接続をトランジットルーターに関連付けることができます。 詳細については、「IPsec-VPN接続をトランジットルーターにアタッチする」をご参照ください。

    説明

    IPsec-VPN接続がVPNゲートウェイに関連付けられている場合、IPsec-VPN接続をトランジットルーターに関連付けることはできません。

制限事項

  • 宛先ベースのルートの宛先CIDRブロックを0.0.0.0/0に設定しないでください。

  • 宛先ベースのルートの宛先CIDRブロックを100.64.0.0/10または100.64.0.0/10のサブネット、または100.64.0.0/10を含むCIDRブロックに設定しないでください。 このようなルートを追加すると, IPsec-VPN接続の状態をコンソールに表示できないか, IPsecネゴシエーションに失敗します。

  • デュアルトンネルIPsec-VPN接続を作成し、宛先ベースのルートを追加すると、フェーズ2ネゴシエーションが成功した場合にのみ、システムはルートをトランジットルーターのルートテーブルにアドバタイズします。

宛先ベースのルートのマッチングルール

デフォルトでは、IPsec-VPN接続は、最長プレフィックス一致ルールに基づいて、一致する宛先ベースのルートを見つけます。

手順

宛先ベースのルートの追加

  1. にログインします。VPN Gatewayコンソール.

  2. 上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
  3. [IPsec 接続] ページで、管理するIPsec-VPN接続を見つけ、そのIDをクリックします。

  4. On the宛先ベースルーティングタブをクリックします。ルートエントリの追加.

  5. では、ルートエントリの追加パネル、次のパラメータを設定し、OK.

    パラメーター

    説明

    宛先 CIDR ブロック

    データセンターのCIDRブロックを入力します。

    ネクストホップの種類

    [IPsec-VPN接続] を選択します。

    ネクストホップ

    IPsec-VPN接続を選択します。

宛先ベースのルートの削除

  1. にログインします。VPN Gatewayコンソール.

  2. 上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
  3. [IPsec 接続] ページで、管理するIPsec-VPN接続を見つけ、そのIDをクリックします。

  4. On the宛先ベースルーティングタブで、削除する宛先ベースのルートを見つけて、削除で、操作列を作成します。

  5. ルートエントリの削除 メッセージで、[OK] をクリックします。

BGP動的ルーティングの設定

BGP は、TCP (Transmission Control Protocol) に基づく動的ルーティングプロトコルです。 BGPは、自律システム (AS) 間でルーティングおよびネットワークアクセシビリティ情報を交換するために使用されます。 IPsec-VPN接続とデータセンターをBGPピアとして指定するには、IPsec-VPN接続とデータセンターにBGP構成を追加する必要があります。 このようにして、相互にルートを学習することができ、ネットワークのメンテナンスコストとネットワーク構成エラーを削減できます。

BGP動的ルーティングの広告原則

IPsec-VPN接続とデータセンターにBGP動的ルーティングが設定された後、BGPルートは次の方法でアドバタイズされます。

  • Alibaba Cloudへ

    データセンターがBGPルーティング設定でルートをアドバタイズすると、これらのルートはBGP動的ルーティングを使用してAlibaba CloudのIPsec-VPN接続に自動的にアドバタイズされます。 トランジットルーターのルートテーブルとIPsec-VPN接続の間にルート学習相関が作成された後、システムはIPsec-VPN接続のBGPルートテーブル内のルートをトランジットルーターのルートテーブルに自動的にアドバタイズします。

  • データセンターへ

    トランジットルーターでIPsec-VPN接続のルート同期を有効にすると、システムはトランジットルーターのルートテーブルのルートをIPsec-VPN接続のBGPルートテーブルにアドバタイズします。 IPsec-VPN接続は、BGPルートテーブルのルートをデータセンターに自動的にアドバタイズします。

BGP動的ルーティングの制限

  • デュアルトンネルIPsec-VPN接続のBGPルートテーブルは、BGPピアから最大1,000のルートを受信でき、クォータ制限は調整できません。

    シングルトンネルIPsec-VPN接続のBGPルートテーブルは、BGPピアから最大50のルートを受信できます。 クォータ制限を増やすには、

    チケットを起票してサポートセンターにお問い合わせくださいしてサポートセンターにお問い合わせください。 最大クォータ制限は200です。

  • IPsec-VPN接続がトランジットルーターに関連付けられた後、宛先CIDRブロックが0.0.0.0/0であるルートは、オンプレミスゲートウェイデバイスとトランジットルーター間のBGP動的ルーティングを使用してアドバタイズできます。

  • 仮想ボーダールーター (VBR) とIPsec-VPN接続に, データセンターの自律システム番号 (ASN) が同じであることを確認してください。 この条件は、接続回復のためにExpress connect回路とIPsec-VPN接続を使用してデータセンターをトランジットルーターに接続する場合に満たす必要があります。 これにより、データセンターでのルートのフラッピングが防止されます。

手順

  1. カスタマーゲートウェイのデータセンターのASNを指定します。 詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。

    • カスタマーゲートウェイの作成時にデータセンターのASNを指定しない場合は、現在のカスタマーゲートウェイを削除して別のカスタマーゲートウェイを作成する必要があります。

    • カスタマーゲートウェイの作成後は、編集できません。 ASNを変更する場合は、現在のカスタマーゲートウェイを削除し、別のカスタマーゲートウェイを作成します。

  2. IPsec-VPN接続のBGPを有効にし、BGP動的ルーティング設定を追加します。 詳細については、「シングルトンネルモードでのIPsec-VPN接続の作成と管理」をご参照ください。

    次の表に、BGP動的ルーティングと強く相関するコンテンツのみを示します。

    重要

    IPsec-VPN接続の場合、[ルーティングモード] パラメーターを [宛先ルーティングモード] に設定することを推奨します。

    パラメーター

    説明

    カスタマーゲートウェイ

    データセンターのASNを使用するカスタマーゲートウェイを選択します。

    BGPの有効化

    スイッチをオンにしてBGPを有効にします。

    ローカル ASN

    トンネルのASNを入力します。 デフォルト値: 45104 有効な値: 1 ~ 4294967295

    ASNを2つのセグメントで入力し、最初の16ビットと次の16ビットをピリオド (.) で区切ることができます。 各セグメントの数値を10進数形式で入力します。

    たとえば、123.456を入力すると、ASNは123 × 65536 + 456 = 8061384になります。

    トンネル CIDR ブロック

    トンネルのCIDRブロックを入力します。

    CIDRブロックは169.254.0.0/16に該当する必要があります。 CIDRブロックのマスクは30ビット長でなければなりません。 CIDRブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または169.254.169.252/30にすることはできません。

    説明

    IPsec-VPN接続の2つのトンネルは、異なるCIDRブロックを使用する必要があります。

    ローカル BGP IP アドレス

    トンネルのBGP IPアドレスを入力します。

    このIPアドレスは、トンネルのCIDRブロック内にある必要があります。

BGP動的ルーティングチュートリアル