VPN Gateway:シングル トンネル IPsec-VPN 接続の管理

IPsec-VPN 接続の変更

• IPsec-VPN 接続がトランジットルーターにアタッチされている場合、関連付けられたトランジットルーター、ゾーン、またはゲートウェイタイプは変更できません。関連付けられたカスタマーゲートウェイ、ルーティングモード、事前共有鍵、および暗号化設定は変更できます。

• IPsec-VPN 接続がどのリソースにもアタッチされていない場合、ゲートウェイタイプは変更できません。カスタマーゲートウェイ、ルーティングモード、事前共有鍵、および暗号化設定は変更できます。

1. VPN Gateway コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[ネットワーク間相互接続] > [VPN] > IPsec 接続 を選択します。

3. 上部のナビゲーションバーで、IPsec-VPN 接続のリージョンを選択します。

4. [IPsec 接続] ページで、管理する IPsec-VPN 接続を見つけ、[アクション] 列の [編集] をクリックします。

5. [IPsec-VPN 接続の編集] ページで、IPsec-VPN 接続の名前、暗号化設定、および CIDR ブロックを変更し、[OK] をクリックします。

   基本設定

   設定項目	説明
   ルーティングモード	IPsec-VPN 接続のルーティングモードを選択します。 宛先ベースのルーティングモード (デフォルト): 宛先 IP アドレスに基づいてトラフィックをルーティングおよび転送します。 ポリシーベースのルーティングモード: 送信元と宛先の IP アドレスに基づいてトラフィックを正確にルーティングおよび転送します。 [ポリシーベースのルーティングモード] を選択した場合は、[ローカル CIDR ブロック] と [リモート CIDR ブロック] を設定する必要があります。IPsec-VPN 接続が設定されると、システムは自動的に宛先ベースのルートを IPsec-VPN 接続のルートテーブルに追加します。このルートは、デフォルトで IPsec-VPN 接続に関連付けられているトランジットルーターのルートテーブルにアドバタイズされます。
   ローカル CIDR ブロック	ルーティングモード を [ポリシーベースのルーティングモード] に設定した場合は、データセンターと通信する必要がある Alibaba Cloud 側の CIDR ブロックを入力します。フェーズ 2 のネゴシエーション中、Alibaba Cloud 側の [ローカル CIDR ブロック] は、データセンター側のリモート CIDR ブロックと同じにすることをお勧めします。 テキストボックスの右側にある アイコンをクリックして、データセンターと通信する必要がある Alibaba Cloud 側の複数の CIDR ブロックを追加します。 説明 複数の CIDR ブロックを設定する場合は、IKE バージョンを [ikev2] に設定する必要があります。
   リモート CIDR ブロック	ルーティングモード を [ポリシーベースのルーティングモード] に設定した場合は、Alibaba Cloud と通信する必要があるデータセンターの CIDR ブロックを入力します。フェーズ 2 のネゴシエーション中、Alibaba Cloud 側の [リモート CIDR ブロック] は、データセンター側のローカル CIDR ブロックと同じにすることをお勧めします。 テキストボックスの右側にある アイコンをクリックして、Alibaba Cloud と通信する必要があるデータセンターの複数の CIDR ブロックを追加します。 説明 複数の CIDR ブロックを設定する場合は、IKE バージョンを [ikev2] に設定する必要があります。
   すぐに有効化	IPsec-VPN 接続の設定がすぐに有効になるかどうかを指定します。 はい (デフォルト): 設定が完了すると、システムはすぐに IPsec ネゴシエーションを開始します。 いいえ: トラフィックが検出された場合にのみ、システムは IPsec ネゴシエーションを開始します。
   カスタマーゲートウェイ	IPsec-VPN 接続に関連付けるカスタマーゲートウェイを選択します。
   事前共有鍵	IPsec-VPN 接続の認証キーを入力します。このキーは、トランジットルーターインスタンスとデータセンター間の ID 認証に使用されます。 キーは 1～100 文字で、数字、文字、および次の特殊文字を含めることができます: ~`!@#$%^&*()_-+={}[]\|;:',.<>/?。スペースを含めることはできません。 重要 IPsec-VPN 接続の両側の事前共有鍵は同じである必要があります。そうでない場合、IPsec-VPN 接続を確立できません。
   BGP を有効化	IPsec-VPN 接続に BGP 動的ルーティングを使用する場合は、このスイッチをオンにします。BGP はデフォルトで無効になっています。 BGP 動的ルーティングを使用する前に、その仕組みと制限を理解することをお勧めします。詳細については、「BGP 動的ルーティングの設定」をご参照ください。
   ローカル ASN	Alibaba Cloud 側の IPsec-VPN 接続の自律システム番号 (ASN) です。このパラメーターは、ボーダーゲートウェイプロトコル (BGP) を有効にする場合に必要です。デフォルト値: 45104。有効値の範囲: 1～4294967295。 説明 Alibaba Cloud との BGP 接続を確立するには、プライベート AS 番号を使用することをお勧めします。プライベート AS 番号の範囲については、関連ドキュメントをご参照ください。

   暗号化設定

   設定	説明
   暗号化設定: IKE 設定
   バージョン	IKE バージョンを選択します。 ikev1 ikev2 (デフォルト) IKEv1 と比較して、IKEv2 はセキュリティアソシエーション (SA) のネゴシエーションプロセスを簡素化し、複数の CIDR ブロックをより適切にサポートします。IKEv2 を使用することをお勧めします。
   ネゴシエーションモード	ネゴシエーションモードを選択します。 main (デフォルト): メインモードは、ネゴシエーション中に高いセキュリティを提供します。 aggressive: アグレッシブモードはより高速で、成功率が高くなります。 どちらのモードも、ネゴシエーションが成功した後のデータ転送に対して同じセキュリティを提供します。
   暗号化アルゴリズム	フェーズ 1 ネゴシエーションの暗号化アルゴリズムを選択します。 次の暗号化アルゴリズムがサポートされています: aes (aes128、デフォルト)、aes192、aes256、des、および 3des。 説明 aes、aes192、または aes256 アルゴリズムを使用してください。des または 3des アルゴリズムは使用しないでください。 高度暗号化標準 (AES) は、強力な暗号化と復号を提供する対称鍵暗号アルゴリズムです。AES は安全なデータ転送を保証し、ネットワーク遅延、スループット、および転送パフォーマンスへの影響はほとんどありません。 3des はトリプルデータ暗号化アルゴリズムです。暗号化に時間がかかり、アルゴリズムの複雑性が高く、多くの計算リソースを使用します。AES と比較して、3des は転送パフォーマンスを低下させます。
   認証アルゴリズム	フェーズ 1 ネゴシエーションの認証アルゴリズムを選択します。 次の認証アルゴリズムがサポートされています: sha1 (デフォルト)、md5、sha256、sha384、および sha512。
   DH グループ	フェーズ 1 ネゴシエーションの Diffie-Hellman 鍵交換アルゴリズムを選択します。 group1: DH グループの DH1。 group2 (デフォルト): DH グループの DH2。 group5: DH グループの DH5。 group14: DH グループの DH14。
   SA 生存期間 (秒)	フェーズ 1 ネゴシエーションが成功した後の SA の生存期間を指定します。単位: 秒。デフォルト値: 86400。有効値の範囲: 0～86400。
   ローカル ID	IPsec-VPN 接続の Alibaba Cloud 側の識別子です。フェーズ 1 ネゴシエーションに使用されます。デフォルト値は、IPsec-VPN 接続のゲートウェイ IP アドレスです。 このパラメーターは、IPsec-VPN 接続ネゴシエーションにおける Alibaba Cloud の識別子としてのみ機能し、他の目的はありません。IP アドレスまたは完全修飾ドメイン名 (FQDN) を指定でき、スペースを含めることはできません。Alibaba Cloud 側の識別子としてプライベート IP アドレスを使用することをお勧めします。 [LocalId] に FQDN (例: example.aliyun.com) を使用する場合、データセンター側の IPsec-VPN 接続のリモート ID は [LocalId] の値と同じである必要があります。ネゴシエーションモードを [aggressive] に設定することをお勧めします。
   リモート ID	IPsec-VPN 接続のデータセンター側の識別子です。フェーズ 1 ネゴシエーションに使用されます。デフォルト値は、カスタマーゲートウェイの IP アドレスです。 このパラメーターは、IPsec-VPN 接続ネゴシエーションにおけるデータセンターの識別子としてのみ機能し、他の目的はありません。IP アドレスまたは FQDN を指定でき、スペースを含めることはできません。データセンター側の識別子としてプライベート IP アドレスを使用することをお勧めします。 [RemoteId] に FQDN (例: example.aliyun.com) を使用する場合、データセンター側の IPsec-VPN 接続のローカル ID は [RemoteId] の値と同じである必要があります。ネゴシエーションモードを [aggressive] に設定することをお勧めします。
   暗号化設定: IPsec 設定
   暗号化アルゴリズム	フェーズ 2 ネゴシエーションの暗号化アルゴリズムを選択します。 次の暗号化アルゴリズムがサポートされています: aes (aes128、デフォルト)、aes192、aes256、des、および 3des。 説明 aes、aes192、または aes256 アルゴリズムを使用してください。des または 3des アルゴリズムは使用しないでください。 高度暗号化標準 (AES) は、強力な暗号化と復号を提供する対称鍵暗号アルゴリズムです。AES は安全なデータ転送を保証し、ネットワーク遅延、スループット、および転送パフォーマンスへの影響はほとんどありません。 3des はトリプルデータ暗号化アルゴリズムです。暗号化に時間がかかり、アルゴリズムの複雑性が高く、多くの計算リソースを使用します。AES と比較して、3des は転送パフォーマンスを低下させます。
   認証アルゴリズム	フェーズ 2 ネゴシエーションの認証アルゴリズムを選択します。 次の認証アルゴリズムがサポートされています: sha1 (デフォルト)、md5、sha256、sha384、および sha512。
   DH グループ	フェーズ 2 ネゴシエーションの Diffie-Hellman 鍵交換アルゴリズムを選択します。 disabled: DH 鍵交換アルゴリズムは使用されません。 Perfect Forward Secrecy (PFS) をサポートしないクライアントの場合は、[disabled] を選択します。 [disabled] 以外のグループを選択した場合、PFS はデフォルトで有効になります。これにより、再ネゴシエーションのたびにキーを更新する必要があります。したがって、クライアントでも PFS を有効にする必要があります。 group1: DH グループの DH1。 group2 (デフォルト): DH グループの DH2。 group5: DH グループの DH5。 group14: DH グループの DH14。
   SA 生存期間 (秒)	フェーズ 2 ネゴシエーションが成功した後の SA の生存期間を指定します。単位: 秒。デフォルト値: 86400。有効値の範囲: 0～86400。
   DPD	ピア生存確認 (DPD) を有効にするかどうかを指定します。DPD はデフォルトで有効になっています。 DPD を有効にすると、IPsec-VPN 接続は DPD メッセージを送信して、ピアデバイスがアクティブであるかどうかを確認します。指定された期間内に応答がない場合、ピアは切断されたと見なされます。その後、IPsec-VPN 接続は ISAKMP SA と対応する IPsec SA を削除し、セキュリティトンネルも削除されます。DPD タイムアウト後、IPsec-VPN 接続は自動的に IPsec-VPN トンネルネゴシエーションを再開します。DPD タイムアウト期間は 30 秒です。
   NAT トラバーサル	ネットワークアドレス変換 (NAT) 越えを有効にするかどうかを指定します。NAT 越えはデフォルトで有効になっています。 NAT 越えを有効にすると、IKE ネゴシエーションプロセスから UDP ポート番号の検証が削除されます。これは、暗号化された通信チャネル内の NAT ゲートウェイデバイスを検出するのにも役立ちます。

   BGP 設定

   IPsec-VPN 接続で BGP を有効にする場合は、BGP トンネル CIDR ブロックと Alibaba Cloud 側の BGP トンネル IP アドレスを指定する必要があります。

   設定項目	説明
   トンネル CIDR ブロック	IPsec トンネルの CIDR ブロックを入力します。 トンネル CIDR ブロックは、169.254.0.0/16 内の /30 サブネットである必要があります。169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または 169.254.169.252/30 は使用できません。
   ローカル BGP IP アドレス	IPsec-VPN 接続の Alibaba Cloud 側の BGP IP アドレスを入力します。 このアドレスは、トンネル CIDR ブロック内の IP アドレスである必要があります。

   ヘルスチェック

   ヘルスチェックはデフォルトで無効になっています。ヘルスチェック設定を追加する前に、ヘルスチェック機能を有効にしてください。

   重要

   IPsec-VPN 接続のヘルスチェックを設定した後、データセンター側にルートエントリを追加します。宛先 CIDR ブロックを 32 ビットのサブネットマスクを持つ 送信元 IP に設定し、ネクストホップを IPsec-VPN 接続に設定します。これにより、ヘルスチェック機能が期待どおりに動作することが保証されます。

   設定項目	説明
   宛先 IP	Alibaba Cloud 側から IPsec-VPN 接続を介してアクセスできるデータセンターの IP アドレスを入力します。 説明 宛先 IP アドレスが ICMP 確認応答をサポートしていることを確認してください。
   送信元 IP	データセンターから IPsec-VPN 接続を介してアクセスできる Alibaba Cloud 側の IP アドレスを入力します。
   再試行間隔	ヘルスチェックのリトライ間隔を選択します。単位: 秒。デフォルト値: 3。
   再試行回数	ヘルスチェックのリトライ回数を選択します。デフォルト値: 3。
   ルートの切り替え	ヘルスチェックが失敗した後、システムがアドバタイズされたルートを取り消すことを許可するかどうかを指定します。デフォルト値: はい。これは、ヘルスチェックが失敗した後、システムがアドバタイズされたルートを取り消すことを許可することを意味します。 [はい] チェックボックスをオフにすると、ヘルスチェックが失敗しても、システムはアドバタイズされたルートを取り消しません。

IPsec-VPN 接続からトランジットルーターインスタンスへのクロスアカウント認証の付与

IPsec-VPN 接続を作成するときに [Cloud Enterprise Network オプション] で [クロスアカウントアタッチメント] を選択した場合、接続の作成後にクロスアカウントのトランジットルーターに権限を付与する必要があります。これを行うには、次の手順を実行します。

1. VPN Gateway コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[ネットワーク間相互接続] > [VPN] > IPsec 接続 を選択します。

3. 上部のナビゲーションバーで、IPsec-VPN 接続のリージョンを選択します。

4. [IPsec 接続] ページで、対象の IPsec-VPN 接続を見つけ、その ID をクリックします。

5. IPsec-VPN 接続製品ページで、[CEN クロスアカウント認証] タブをクリックし、[CEN クロスアカウント認証] をクリックします。

6. [Cloud Enterprise Network に参加] ダイアログボックスで、次のパラメーターを設定し、[OK] をクリックします。

   設定項目	説明
   ピアアカウント UID	トランジットルーターインスタンスが属する Alibaba Cloud アカウントの ID。
   ピア CEN インスタンス ID	トランジットルーターインスタンスが属する CEN インスタンスの ID。
   支払者	料金を支払う当事者を選択します。 CEN ユーザー (デフォルト): IPsec-VPN 接続がアタッチされた後、トランジットルーターインスタンスを所有するアカウントが、トランジットルーターの接続料金とデータ転送料金を支払います。 VPN ユーザー: IPsec-VPN 接続がアタッチされた後、IPsec-VPN 接続を所有するアカウントが、トランジットルーターの接続料金とデータ転送料金を支払います。 重要 支払者は慎重に選択してください。支払者を変更すると、サービスに影響する可能性があります。詳細については、「ネットワークインスタンスの支払者の変更」をご参照ください。 IPsec-VPN 接続を所有するアカウントは、トランジットルーターインスタンスにアタッチされた後も、IPsec-VPN 接続のインスタンス料金とデータ転送料金を支払います。

7. IPsec-VPN 接続 ID と、IPsec-VPN 接続が属する Alibaba Cloud アカウントの ID を記録します。この情報は、後で VPN 接続を作成するために必要です。詳細については、「VPN 接続の作成」をご参照ください。

   アカウント管理 ページでアカウント ID を表示できます。

IPsec-VPN 接続からトランジットルーターインスタンスへのクロスアカウント認証の取り消し

IPsec-VPN 接続をクロスアカウントのトランジットルーターにアタッチする必要がなくなった場合は、権限を取り消すことができます。

クロスアカウントのトランジットルーターがすでに IPsec-VPN 接続にアタッチされている場合は、まずデタッチしてください。詳細については、「ネットワークインスタンス接続の削除」をご参照ください。

IPsec-VPN 接続の削除

IPsec-VPN 接続がトランジットルーターにアタッチされている場合は、続行する前に接続がトランジットルーターからデタッチされていることを確認してください。詳細については、「ネットワークインスタンス接続の削除」をご参照ください。

1. VPN Gateway コンソールにログインします。

2. 左側のナビゲーションウィンドウで、[ネットワーク間相互接続] > [VPN] > IPsec 接続 を選択します。

3. 上部のナビゲーションバーで、IPsec-VPN 接続のリージョンを選択します。

4. [IPsec 接続] ページで、対象の IPsec-VPN 接続を見つけ、[アクション] 列の [削除] をクリックします。

5. 表示されたダイアログボックスで、情報を確認し、[OK] をクリックします。

API 操作の呼び出しによる IPsec-VPN 接続の管理

Alibaba Cloud SDK (推奨)、Alibaba Cloud CLI、Terraform、Resource Orchestration Service などのツールを使用して API 操作を呼び出すことで、IPsec-VPN 接続を管理できます。API 操作の詳細については、次のトピックをご参照ください:

• ModifyVpnAttachmentAttribute - IPsec-VPN 接続の設定を変更します

• DeleteVpnAttachment - IPsec-VPN 接続を削除します

• DescribeVpnAttachments - トランジットルーターにアタッチされている IPsec-VPN 接続の設定を照会します

• DownloadVpnConnectionConfig - IPsec-VPN 接続の設定を取得します

• CheckVpnBgpEnabled - IPsec-VPN 接続のリージョンで BGP がサポートされているかどうかを照会します