VPN ゲートウェイは、ボーダーゲートウェイプロトコル (BGP) 動的ルーティングをサポートしています。データセンターと Alibaba Cloud 間に IPsec-VPN 接続を確立すると、相互にルートを自動的に学習し、BGP を介して通信できます。これにより、ネットワーク メンテナンスコストとネットワーク設定エラーが削減されます。
BGP 動的ルーティングのサポート
デフォルトでは、デュアルトンネル IPsec-VPN 接続をサポートする新しい VPN ゲートウェイは、BGP 動的ルーティングをサポートしています。一部の既存の VPN ゲートウェイは、リージョン制限またはバージョンが古いことが原因で、BGP 動的ルーティングをサポートしていない場合があります。DescribeVpnGateway または DescribeVpnGateways API 操作を呼び出して、既存の VPN ゲートウェイが BGP 動的ルーティングをサポートしているかどうかをクエリできます。Tag 内の VpnEnableBgp パラメーターが true を返した場合、VPN ゲートウェイは BGP 動的ルーティングをサポートしています。
VPN ゲートウェイが BGP 動的ルーティングをサポートしていない場合は、次の手順を実行します。
VPN ゲートウェイがデュアルトンネル IPsec-VPN 接続をサポートしている場合は、VPN ゲートウェイをスペックアップします。
VPN ゲートウェイがシングルトンネル IPsec-VPN 接続のみをサポートしている場合は、デュアルトンネル IPsec-VPN 接続にスペックアップします。
BGP 動的ルートのアドバタイズ方法
VPN ゲートウェイとデータセンターに BGP 動的ルーティングが設定されると、BGP ルートは次の方法でアドバタイズされます。
Alibaba Cloud へ
データセンターが BGP ルーティング設定でルートをアドバタイズすると、これらのルートは BGP 動的ルーティングを使用して Alibaba Cloud 上の VPN ゲートウェイに自動的にアドバタイズされます。VPN ゲートウェイの自動ルートアドバタイズを有効にすると、VPN ゲートウェイは、データセンターから学習したルートを関連付けられた仮想プライベートクラウド (VPC) のシステムルートテーブルに自動的にアドバタイズします。カスタムルートテーブルにはルートはアドバタイズされません。
データセンターへ
VPN ゲートウェイの自動ルートアドバタイズメントが有効になると、VPN ゲートウェイは VPC のシステムルートテーブルからルートを自動的に学習し、BGP 動的ルーティングを介してルートをデータセンターに伝播します。
BGP 動的ルーティングの制限
VPN ゲートウェイの BGP ルートテーブルは、BGP ピアから最大 50 のルートを受信できます。クォータ制限を増やすには、チケットを送信する。最大クォータ制限は 200 です。
VPN ゲートウェイは、BGP ピアから 0.0.0.0/0 を指すルートを受信できません。
シングルトンネル IPsec-VPN 接続のみをサポートする VPN ゲートウェイに、BGP 動的ルーティングを介して 100.64.0.0/10 またはそのサブネットを指すルートを伝播しないでください。そうしないと、VPN ゲートウェイコンソールに IPsec-VPN 接続の状態が表示されないか、IPsec-VPN 接続ネゴシエーションが失敗します。この問題を回避するには、デュアルトンネル IPsec-VPN 接続にスペックアップします。
同じ VPN ゲートウェイで複数の IPsec-VPN 接続に対して BGP 動的ルーティングが有効になっている場合、これらの接続のローカル自律システム番号 (ASN) は同じである必要があります。
同じ VPN ゲートウェイと異なるデータセンター間で IPsec-VPN 接続が確立されている場合、異なる IPsec-VPN 接続のルートを相互にアドバタイズすることはできません。
VPC が複数の VPN ゲートウェイに関連付けられている場合、VPN ゲートウェイを BGP ピアとして設定したり、異なる VPN ゲートウェイのルートを相互にアドバタイズしたりすることはできません。
VPC が複数の VPN ゲートウェイに関連付けられており、これらの VPN ゲートウェイに対して BGP 動的ルーティングが有効になっているシナリオでは、これらの VPN ゲートウェイが同じカスタマーゲートウェイに関連付けられている場合、VPN ゲートウェイの IPsec-VPN 接続で同じローカル ASN を使用していることを確認してください。そうしないと、ルーティングループが発生する可能性があります。
接続の回復力のために Express Connect 回線と VPN ゲートウェイを使用してデータセンターを VPC に接続する場合は、仮想ボーダールータ (VBR) と VPN ゲートウェイに同じデータセンター ASN を指定してください。これにより、データセンターでのルートフラッピングを防ぎます。
クラウドエンタープライズネットワーク (CEN) インスタンスに接続されている VPN ゲートウェイに対して BGP 動的ルーティングを有効にした後、CEN インスタンスに対して重複ルーティングを有効にする必要があります。
説明デフォルトでは、2019 年 3 月 1 日 (UTC + 08:00) 以降に作成された CEN インスタンスでは、重複ルーティングが有効になっています。
複数の VPC が同じ CEN インスタンスに関連付けられている場合、VPC に関連付けられている VPN ゲートウェイが BGP を使用してデータセンターに接続されていないことを確認してください。これにより、Alibaba Cloud でのルートフラッピングを防ぎます。
VPN ゲートウェイにデュアルトンネルモードの複数の IPsec-VPN 接続が存在し、これらの接続に対して BGP 動的ルーティングが設定されているシナリオでは、VPN ゲートウェイがこれらの接続を介して学習するルートの宛先 CIDR ブロックが相互に競合することはできません。そうしないと、ルートは有効になりません。
BGP 動的ルーティング設定の推奨事項
IPsec-VPN 接続の [ルーティングモード] を [宛先ルーティングモード] に設定することをお勧めします。
デュアルトンネルモードの IPsec-VPN 接続に対して BGP 動的ルーティングが設定されている場合、トンネルの [ASN] は同じである必要があります。また、トンネルピアに同じ BGP ASN を指定することをお勧めします。
手順
カスタマーゲートウェイにデータセンターの ASN を指定します。詳細については、「カスタマーゲートウェイの作成と管理」をご参照ください。
カスタマーゲートウェイの作成時にデータセンターの ASN を指定しない場合は、現在のカスタマーゲートウェイを削除して別のカスタマーゲートウェイを作成する必要があります。
カスタマーゲートウェイの作成後、編集することはできません。ASN を変更する場合は、現在のカスタマーゲートウェイを削除して別のカスタマーゲートウェイを作成します。
IPsec 接続に対して BGP を有効にし、BGP 動的ルーティング設定を追加します。詳細については、「デュアルトンネルモードで IPsec-VPN 接続を作成および管理する」または「IPsec-VPN 接続の作成後にトンネルの BGP 動的ルーティングを有効にする」をご参照ください。
次の表に、BGP 動的ルーティングと強く関連するコンテンツのみを示します。
説明デュアルトンネルモードの IPsec-VPN 接続に対して BGP を有効にする場合、設定項目の順序は次の表とは異なります。プライマリトンネルとセカンダリトンネルのカスタマーゲートウェイを選択し、BGP 設定を追加する必要があります。詳細については、VPN ゲートウェイコンソールをご確認ください。
BGP 動的ルーティングの設定時に、現在の VPN ゲートウェイバージョンがサポートされていないというシステムプロンプトが表示された場合は、「BGP 動的ルーティングのサポート」をご参照ください。
パラメーター
説明
カスタマーゲートウェイ
データセンターの ASN を持つカスタマーゲートウェイを選択します。
BGP を有効にする
[BGP を有効にする] を選択します。
ローカル ASN
トンネルの ASN を入力します。デフォルト値:45104。有効な値:1 ~ 4294967295。
トンネル CIDR ブロック
トンネルの CIDR ブロックを入力します。
CIDR ブロックは 169.254.0.0/16 に含まれている必要があります。CIDR ブロックのマスクは 30 ビット長である必要があります。CIDR ブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または 169.254.169.252/30 にすることはできません。
説明VPN ゲートウェイでは、各トンネルの CIDR ブロックは一意である必要があります。
ローカル BGP IP アドレス
トンネルの BGP IP アドレスを入力します。
この IP アドレスは、トンネルの CIDR ブロック内に含まれている必要があります。
VPN ゲートウェイの自動ルートアドバタイズを有効にします。
VPN ゲートウェイの自動ルートアドバタイズを有効にすると、VPN ゲートウェイは VPC のシステムルートテーブルからルートを自動的に学習し、BGP 動的ルーティングを介してルートをデータセンターに伝播します。
VPN ゲートウェイコンソール にログオンします。
左側のナビゲーションウィンドウで、
を選択します。VPN Gateway ページで、管理する VPN ゲートウェイを見つけ、[自動ルートアドバタイズを有効にする] 列で自動ルートアドバタイズ機能を有効にします。
BGP 動的ルーティングが不要になった場合は、この機能と自動ルートアドバタイズを無効にすることができます。VPN ゲートウェイが VPC とデータセンターから学習したルートも削除されます。
BGP ルートを表示する
BGP 動的ルーティングを設定した後、VPN ゲートウェイの BGP ルートテーブルで、データセンターと VPC から学習したルートを表示できます。VPC のシステムルートテーブルで、データセンターから学習したルートを表示できます。
VPN ゲートウェイ BGP ルートテーブル
「CLOUD」:Alibaba Cloud から学習したルート。
「VPN_BGP」:BGP 動的ルーティングを介して学習したルート (データセンターから学習したルートなど)。