データセンターと転送ルータ間に暗号化された接続を確立するために、IPsec 接続を作成できます。このトピックでは、シングルトンネルモードで IPsec 接続を作成および管理する方法について説明します。
転送ルータに関連付けられている IPsec 接続は、すでにデュアルトンネルモードにアップグレードされています。 IPsec 接続を作成するには、「デュアルトンネルモードで IPsec 接続を作成および管理する」をご参照ください。シングルトンネルモードの IPsec 接続を管理および変更するには、このトピックをお読みください。
前提条件
IPsec 接続を作成する前に、手順を理解し、前提条件が満たされていることを確認してください。詳細については、「概要」トピックの「手順」セクションをご参照ください。
IPsec 接続を作成する
- VPN ゲートウェイコンソールにログオンします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、IPsec 接続を作成するリージョンを選択します。
IPsec 接続は、IPsec 接続に関連付ける転送ルータと同じリージョンに作成する必要があります。
[ipsec 接続] ページで、[ipsec 接続の作成] をクリックします。
[ipsec 接続の作成] ページで、次の表に記載されているパラメータを構成し、[OK] をクリックします。
基本構成
説明転送ルータに関連付けられた VPN ゲートウェイまたは IPsec 接続を初めて作成すると、システムは自動的に AliyunServiceRoleForVpn サービスロールを作成します。サービスロールを使用すると、VPN ゲートウェイは、Elastic Network Interface (ENI) やセキュリティグループなどの他のクラウドリソースにアクセスできます。これは、VPN ゲートウェイまたは IPsec 接続の作成に役立ちます。 AliyunServiceRoleForVpn ロールがすでに存在する場合、システムはそれを再度作成しません。このサービスロールの詳細については、「AliyunServiceRoleForVpn」をご参照ください。
パラメータ
説明
名前
IPsec 接続の名前。
リソースグループ
Cloud Enterprise Network (CEN) インスタンスのリソースグループ。
このパラメータを空のままにすると、システムはすべてのリソースグループの CEN インスタンスを表示します。
リソースの関連付け
IPsec 接続に関連付けるネットワークリソースの種類を選択します。 関連付け禁止 または CEN を選択します。
CEN を選択すると、システムは IPsec 接続を現在の Alibaba Cloud アカウントの指定された転送ルータに自動的に関連付けます。
関連付け禁止 を選択すると、IPsec 接続はいかなるリソースにも関連付けられません。 IPsec 接続が作成された後、CEN コンソールで、現在の Alibaba Cloud アカウントまたは別の Alibaba Cloud アカウントの転送ルータに IPsec 接続を手動で関連付けることができます。詳細については、「VPN 接続を作成する」をご参照ください。
説明別の転送ルータを IPsec 接続に関連付ける場合は、元の転送ルータから VPN 接続を削除し、新しい転送ルータの VPN 接続を作成する必要があります。詳細については、「ネットワークインスタンス接続を削除する」および「VPN 接続を作成する」をご参照ください。
ゲートウェイタイプ
IPsec 接続で使用されるゲートウェイの種類。デフォルト値: パブリック。有効な値:
パブリック: インターネット経由で IPsec 接続を作成します。
プライベート: プライベートネットワーク経由で IPsec 接続を作成します。
CEN インスタンス ID
転送ルータが属する CEN インスタンスの ID。
トランジットルーター
リージョン内の CEN インスタンスに属する転送ルータの ID。
ゾーン
システムがリソースを作成するゾーン。
ルーティングモード
IPsec 接続のルーティングモード。デフォルト値: 宛先ルーティングモード。有効な値:
宛先ルーティングモード: 宛先 IP アドレスに基づいてトラフィックをルーティングおよび転送します。
保護されたデータフロー: 送信元および宛先 IP アドレスに基づいてトラフィックをルーティングおよび転送します。
[保護されたデータフロー] を選択した場合は、[ローカルネットワーク] パラメータと [リモートネットワーク] パラメータを構成する必要があります。 IPsec 接続が構成されると、システムは自動的に宛先ベースのルートを IPsec 接続のルートテーブルに追加します。デフォルトでは、ルートは IPsec 接続に関連付けられている転送ルータのルートテーブルにアドバタイズされます。
ローカルネットワーク
Alibaba Cloud 側の CIDR ブロック。この CIDR ブロックは、フェーズ 2 ネゴシエーションで使用されます。
フィールドの右側にある
アイコンをクリックして、CIDR ブロックを追加します。説明複数の CIDR ブロックを指定する場合は、インターネットキー交換 (IKE) バージョンを [ikev2] に設定する必要があります。
リモートネットワーク
接続するデータセンターの CIDR ブロック。この CIDR ブロックは、フェーズ 2 ネゴシエーションで使用されます。
フィールドの右側にある
アイコンをクリックして、CIDR ブロックを追加します。説明複数の CIDR ブロックを指定する場合は、IKE バージョンを [ikev2] に設定する必要があります。
すぐに有効
IPsec ネゴシエーションをすぐに開始するかどうかを指定します。デフォルト値: はい。有効な値:
はい: IPsec 接続が作成された後、すぐに IPsec ネゴシエーションを開始します。
いいえ: インバウンドトラフィックが検出されたときに IPsec ネゴシエーションを開始します。
カスタマーゲートウェイ
IPsec 接続に関連付けるカスタマーゲートウェイ。
事前共有鍵
転送ルータとデータセンター間の認証に使用される事前共有鍵。
キーの長さは 1 ~ 100 文字で、数字、文字、および次の特殊文字を含めることができます:
~ ` ! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?。キーにスペースを含めることはできません。事前共有鍵を指定しない場合、システムはランダムな 16 ビット文字列を事前共有鍵として生成します。 IPsec 接続が作成された後、[操作] 列の [編集] をクリックして、IPsec 接続用に生成された事前共有鍵を表示できます。詳細については、このトピックの「IPsec 接続を変更する」セクションをご参照ください。
重要事前共有鍵は両側で同じである必要があります。そうでない場合、システムは IPsec 接続を確立できません。
BGP を有効にする
IPsec 接続のボーダーゲートウェイプロトコル (BGP) 動的ルーティング機能を有効にするかどうかを指定します。デフォルトでは、[BGP を有効にする] はオフになっています。
BGP 動的ルーティングを使用する前に、その仕組みと制限事項について詳しく理解しておくことをお勧めします。詳細については、「IPsec 接続のルートを構成する」トピックの「BGP 動的ルーティングを構成する」セクションをご参照ください。
ローカル ASN
Alibaba Cloud 側の IPsec 接続の自律システム番号 (ASN)。デフォルト値: 45104。有効な値: 1 ~ 4294967295。
ASN は 2 つのセグメントで入力でき、最初の 16 ビットと次の 16 ビットをピリオド (.) で区切ります。各セグメントの番号は 10 進数形式で入力します。
たとえば、123.456 と入力すると、ASN は 123 × 65536 + 456 = 8061384 になります。
説明BGP 経由で Alibaba Cloud への接続を確立するには、プライベート ASN を使用することをお勧めします。プライベート ASN の有効な値の詳細については、関連ドキュメントをご参照ください。
暗号化構成
パラメータ
説明
暗号化構成: IKE 構成
バージョン
IKE バージョン。デフォルト値: ikev2。有効な値:
ikev1
ikev2
IKEv1 と比較して、IKEv2 はセキュリティアソシエーション (SA) ネゴシエーションを簡素化し、複数の CIDR ブロック間で通信が確立されるシナリオのサポートを強化しています。 IKEv2 を使用することをお勧めします。
ネゴシエーションモード
ネゴシエーションモード。デフォルト値: main。有効な値:
main: このモードは、ネゴシエーション中に高いセキュリティを提供します。
aggressive: このモードは、より高速なネゴシエーションをサポートし、より高い成功率をサポートします。
どちらのモードでネゴシエーションされた接続も、データ送信に対して同じレベルのセキュリティを保証します。
暗号化アルゴリズム
フェーズ 1 ネゴシエーションで使用される暗号化アルゴリズム。
有効な値: aes、aes192、aes256、des、3des。デフォルトでは、aes の値は AES-128 を指定します。
説明推奨: aes、aes192、aes256。非推奨: des および 3des。
高度暗号化標準 (AES) は、高レベルの暗号化と復号化を提供する対称鍵暗号化アルゴリズムです。 AES は安全なデータ送信を保証し、ネットワーク遅延、スループット、および転送パフォーマンスへの影響はほとんどありません。
トリプル DES (3DES) は、3 層暗号化技術によりセキュリティを強化します。 AES と比較して、3DES 暗号化は大量の計算を必要とし、時間がかかり、転送パフォーマンスが低下します。
認証アルゴリズム
フェーズ 1 ネゴシエーションで使用される認証アルゴリズム。
有効な値: sha1、md5、sha256、sha384、sha512。デフォルト値: sha1。
DH グループ
フェーズ 1 ネゴシエーションで使用される Diffie-Hellman (DH) 鍵交換アルゴリズム。デフォルト値: group2。有効な値:
group1: DH group 1。
group2: DH group 2。
group5: DH group 5。
group14: DH group 14。
SA ライフサイクル (秒)
フェーズ 1 ネゴシエーションの成功後の SA のライフタイム。単位: 秒。デフォルト値: 86400。有効な値: 0 ~ 86400。
LocalId
Alibaba Cloud 側の IPsec 接続の ID。この ID は、フェーズ 1 ネゴシエーションで使用されます。デフォルトでは、この値は IPsec 接続のゲートウェイ IP アドレスです。
このパラメータは、IPsec ネゴシエーションで Alibaba Cloud を識別するためにのみ使用されます。 ID としては、IP アドレスまたは完全修飾ドメイン名 (FQDN) を使用できます。値にスペースを含めることはできません。 Alibaba Cloud 側の IPsec 接続の ID としては、プライベート IP アドレスを使用することをお勧めします。
[localid] パラメータを example.aliyun.com などの FQDN に設定する場合、データセンター側の IPsec 接続のピア ID は [localid] パラメータの値と同じである必要があります。この場合、ネゴシエーションモードを [aggressive] に設定することをお勧めします。
RemoteId
データセンター側の IPsec 接続の ID。この ID は、フェーズ 1 ネゴシエーションで使用されます。デフォルトでは、この値はカスタマーゲートウェイの IP アドレスです。
このパラメータは、IPsec ネゴシエーションでデータセンターを識別するためにのみ使用されます。 ID としては、IP アドレスまたは FQDN を使用できます。値にスペースを含めることはできません。データセンターの IPsec 接続の識別子としては、プライベート IP アドレスを使用することをお勧めします。
[remoteid] パラメータを example.aliyun.com などの FQDN に設定する場合、データセンター側の IPsec 接続のローカル ID は [remoteid] パラメータの値と同じである必要があります。この場合、ネゴシエーションモードを [aggressive] に設定することをお勧めします。
暗号化構成: Ipsec 構成
暗号化アルゴリズム
フェーズ 2 ネゴシエーションで使用される暗号化アルゴリズム。
有効な値: aes、aes192、aes256、des、3des。デフォルトでは、aes の値は AES-128 を指定します。
説明推奨: [aes]、[aes192]、[aes256]。非推奨: [des] および [3des]。
高度暗号化標準 (AES) は、高レベルの暗号化と復号化を提供する対称鍵暗号化アルゴリズムです。 AES は安全なデータ送信を保証し、ネットワーク遅延、スループット、および転送パフォーマンスへの影響はほとんどありません。
Triple DES [3DES] は、3 層の暗号化技術によりセキュリティを強化します。AES と比較すると、3DES 暗号化は大量の計算を必要とし、時間がかかり、転送パフォーマンスが低下します。
認証アルゴリズム
フェーズ 2 ネゴシエーションで使用される認証アルゴリズム。
有効な値: sha1、md5、sha256、sha384、sha512。デフォルト値: sha1。
DH グループ
フェーズ 2 ネゴシエーションで使用される DH 鍵交換アルゴリズム。デフォルト値: group2。有効な値:
disabled: DH 鍵交換アルゴリズムを使用しません。
完全前方秘匿性 (PFS) をサポートしていないクライアントの場合は、[disabled] を選択します。
[disabled] 以外の値を選択すると、PFS はデフォルトで有効になります。この場合、ネゴシエーションごとにキーが更新されます。したがって、クライアントで PFS を有効にする必要があります。
group1: DH group 1。
group2: DH group 2。
group5: DH group 5。
group14: DH group 14。
SA ライフサイクル (秒)
フェーズ 2 ネゴシエーションの成功後の SA のライフタイム。単位: 秒。デフォルト値: 86400。有効な値: 0 ~ 86400。
DPD
Dead Peer Detection (DPD) 機能を有効にするかどうかを指定します。デフォルトでは、DPD 機能は有効になっています。
DPD 機能を有効にすると、IPsec 接続は DPD パケットを送信して、ピアの存在と可用性をチェックします。指定された時間内にピアから応答がない場合、接続は失敗します。その後、インターネットセキュリティアソシエーションおよび鍵管理プロトコル (ISAKMP) SA、IPsec SA、および IPsec トンネルが削除されます。 DPD パケットのタイムアウトが発生した場合、IPsec 接続は自動的にトンネルとの IPsec ネゴシエーションを再開します。 DPD パケットのタイムアウト期間は 30 秒です。
NAT トラバーサル
NAT 越え機能を有効にするかどうかを指定します。デフォルトでは、NAT 越え機能は有効になっています。
NAT 越え機能を有効にすると、イニシエータは IKE ネゴシエーション中に UDP ポートをチェックせず、IPsec トンネルに沿って NAT ゲートウェイデバイスを自動的に検出できます。
BGP 設定
IPsec 接続で BGP 動的ルーティング機能が有効になっている場合は、BGP トンネルの CIDR ブロックと Alibaba Cloud 側の BGP トンネルの IP アドレスを指定する必要があります。
パラメータ
説明
トンネル CIDR ブロック
IPsec トンネルの CIDR ブロック。
CIDR ブロックは 169.254.0.0/16 に属している必要があります。 CIDR ブロックのマスクの長さは 30 ビットである必要があります。 CIDR ブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または 169.254.169.252/30 にすることはできません。
ローカル BGP IP アドレス
Alibaba Cloud 側の IPsec 接続の BGP IP アドレス。
この IP アドレスは、IPsec トンネルの CIDR ブロック内に属している必要があります。
ヘルスチェック
デフォルトでは、ヘルスチェック機能は無効になっています。ヘルスチェック構成を追加する前に、ヘルスチェック機能を有効にしてください。
重要IPsec 接続のヘルスチェック機能を有効にした後、データセンターに次のルートを追加します。宛先 CIDR ブロックは 送信元 IP、サブネットマスクの長さは 32 ビット、ネクストホップは IPsec 接続です。これにより、ヘルスチェックが期待どおりに実行されます。
パラメータ
説明
宛先 IP
Alibaba Cloud が IPsec 接続経由でアクセスできるデータセンターの IP アドレス。
説明宛先 IP アドレスがインターネット制御メッセージプロトコル (ICMP) 応答をサポートしていることを確認してください。
送信元 IP
データセンターが IPsec 接続経由でアクセスできる Alibaba Cloud 側の IP アドレス。
再試行間隔
ヘルスチェックの再試行間隔。単位: 秒。デフォルト値: 3。
再試行回数
ヘルスチェックの再試行回数。デフォルト値: 3。
ルートの切り替え
ヘルスチェックの失敗後に、アドバタイズされたルートを撤回することをシステムに許可するかどうかを指定します。デフォルト値: [はい]。デフォルト値を使用すると、ヘルスチェックの失敗後にアドバタイズされたルートを撤回することが許可されます。
[はい] の選択を解除すると、ヘルスチェックの失敗後にアドバタイズされたルートを撤回することは許可されません。
詳細構成
IPsec 接続を作成すると、システムはデフォルトで次の詳細機能を有効にします。
パラメータ
説明
自動アドバタイズ
この機能を有効にすると、システムは IPsec 接続に関連付けられている転送ルータのルートテーブルのルートを、IPsec 接続の BGP ルートテーブルに自動的にアドバタイズします。
説明この機能は、IPsec 接続とデータセンターで BGP 動的ルーティング機能が有効になっている場合にのみ有効になります。
この機能を無効にするには、[ルート同期] をオフにします。詳細については、「ルート同期の無効化」セクションの「ルート同期」トピックをご参照ください。
転送ルータのデフォルトルートテーブルに自動的に関連付ける
この機能を有効にすると、IPsec 接続は転送ルータのデフォルトルートテーブルに関連付けられます。転送ルータは、デフォルトルートテーブルをクエリして、IPsec 接続からのトラフィックを転送します。
システムルートを転送ルータのデフォルトルートテーブルに自動的にアドバタイズする
この機能を有効にすると、システムは IPsec 接続の宛先ベースのルートテーブルと BGP ルートテーブルのルートを、転送ルータのデフォルトルートテーブルにアドバタイズします。
また、上記の高度な機能を無効にし、ビジネス要件に基づいて転送ルータを使用してネットワーク通信を確立することもできます。詳細については、「ルートを管理する」をご参照ください。
タグ
IPsec 接続を作成するときに、リソースの集約と検索を容易にするために、IPsec 接続にタグを追加できます。詳細については、「概要」をご参照ください。
パラメータ
説明
タグキー
IPsec 接続のタグキー。タグキーを選択または入力できます。
タグ値
IPsec 接続のタグ値。タグ値を選択または入力できます。 [タグ値] パラメータは空のままにすることができます。
次のステップ
IPsec 接続が作成された後、IPsec 接続のピア構成をダウンロードし、構成をオンプレミスゲートウェイデバイスにロードできます。詳細については、「デュアルトンネルモードで IPsec 接続を作成および管理する」トピックの「IPsec 接続のピア構成をダウンロードする」セクション、および「ローカルゲートウェイを構成する」をご参照ください。
IPsec 接続の構成をダウンロードする
IPsec 接続が作成された後、オンプレミスゲートウェイデバイスを構成するために、IPsec 接続の構成をダウンロードできます。
VPN ゲートウェイコンソールにログオンします。
左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、IPsec 接続のリージョンを選択します。
[ipsec 接続] ページで、管理する IPsec 接続を見つけ、[ピア構成の生成][操作] 列の をクリックします。
VPN 接続の設定 ダイアログボックスで [コピー] をクリックし、構成をオンプレミスデバイスに保存します。
オンプレミスゲートウェイデバイスの構成方法の詳細については、「ローカルゲートウェイを構成する」をご参照ください。
別の Alibaba Cloud アカウントの転送ルータに IPsec 接続の権限を付与する
別の Alibaba Cloud アカウントの転送ルータに IPsec 接続を関連付けることができます。関連付けを実行する前に、IPsec 接続の権限を転送ルータに付与する必要があります。
権限を付与する前に、IPsec 接続がいかなるリソースにも関連付けられていないことを確認してください。 IPsec 接続が転送ルータに関連付けられている場合は、転送ルータから IPsec 接続の関連付けを解除します。詳細については、「ネットワークインスタンス接続を削除する」をご参照ください。
VPN ゲートウェイコンソールにログオンします。
左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、IPsec 接続のリージョンを選択します。
[ipsec 接続] ページで、管理する IPsec 接続を見つけ、その ID をクリックします。
接続詳細ページの [クロスアカウントアタッチ CEN を承認] タブで、[クロスアカウントアタッチ CEN を承認] をクリックします。
[CEN にアタッチ] ダイアログボックスで、次の表に記載されているパラメータを構成し、[OK] をクリックします。
パラメータ
説明
ピアアカウント UID
転送ルータが属する Alibaba Cloud アカウントの ID。
ピアアカウント CEN ID
転送ルータが属する CEN インスタンスの ID。
支払者
料金を支払うアカウント。デフォルト値: CEN インスタンスの所有者が請求書を支払う。有効な値:
CEN インスタンスの所有者が請求書を支払う: IPsec 接続が転送ルータに関連付けられた後、転送ルータの所有者アカウントが転送ルータの接続料金とデータ処理料金を支払います。
VPN 所有者: IPsec 接続が転送ルータに関連付けられた後、IPsec 接続の所有者アカウントが転送ルータの接続料金とデータ処理料金を支払います。
重要注意して進めてください。支払アカウントを変更すると、サービスが中断される場合があります。詳細については、「別の Alibaba Cloud アカウントに属するネットワークインスタンスに対する転送ルータの権限を付与する」トピックの「支払アカウントを変更する」セクションをご参照ください。
IPsec 接続が転送ルータに関連付けられた後、IPsec 接続の所有者アカウントが IPsec 接続のインスタンス料金とデータ転送料金を支払います。
IPsec 接続の ID と、IPsec 接続が属する Alibaba Cloud アカウントの ID を記録します。これは、VPN 接続の作成に役立ちます。詳細については、「VPN 接続を作成する」をご参照ください。
アカウント管理 コンソールでアカウント ID を表示できます。
IPsec 接続を変更する
IPsec 接続が転送ルータに関連付けられている場合、IPsec 接続に関する次の情報を変更することはできません: 関連付けられている転送ルータ、ゾーン、およびゲートウェイタイプ。ただし、IPsec 接続に関する次の情報を変更することはできます: カスタマーゲートウェイ、ルーティングモード、事前共有鍵、および暗号化構成。
IPsec 接続にリソースが関連付けられていない場合、関連付けられているカスタマーゲートウェイのタイプを変更することはできません。ただし、次の情報を変更することはできます: カスタマーゲートウェイ、ルーティングモード、事前共有鍵、および暗号化構成。
VPN ゲートウェイコンソールにログオンします。
左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、IPsec 接続のリージョンを選択します。
[ipsec 接続] ページで、管理する IPsec 接続を見つけ、[編集][操作] 列の をクリックします。
[ipsec 接続の変更] ページで、ビジネス要件に基づいて名前、暗号化構成、および CIDR ブロックを変更し、[OK] をクリックします。
詳細については、このトピックの「IPsec 接続を作成する」セクションをご参照ください。
別の Alibaba Cloud アカウントの転送ルータから IPsec 接続の権限を取り消す
別の Alibaba Cloud アカウントの転送ルータに IPsec 接続を関連付ける必要がなくなった場合は、転送ルータから IPsec 接続の権限を取り消すことができます。
IPsec 接続が転送ルータに関連付けられている場合は、権限を取り消す前に、転送ルータから IPsec 接続の関連付けを解除します。詳細については、「ネットワークインスタンス接続を削除する」をご参照ください。
VPN ゲートウェイコンソールにログオンします。
左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、IPsec 接続のリージョンを選択します。
[ipsec 接続] ページで、管理する IPsec 接続を見つけ、その ID をクリックします。
接続詳細ページの [クロスアカウントアタッチ CEN を承認] タブで、承認レコードを見つけ、承認を取り消す[操作] 列の をクリックします。
[承認解除] メッセージで、情報を確認し、[OK] をクリックします。
IPsec 接続を削除する
IPsec 接続が転送ルータに関連付けられている場合は、IPsec 接続を削除する前に、転送ルータから IPsec 接続の関連付けを解除します。詳細については、「ネットワークインスタンス接続を削除する」をご参照ください。
VPN ゲートウェイコンソールにログオンします。
左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、IPsec 接続のリージョンを選択します。
[ipsec 接続] ページで、管理する IPsec 接続を見つけ、[削除][操作] 列の をクリックします。
表示されるメッセージで、情報を確認し、[OK] をクリックします。
API 操作を呼び出して IPsec 接続を作成および管理する
Alibaba Cloud SDK、Alibaba Cloud CLI、Terraform、Resource Orchestration Service (ROS) などのツールを使用して、API 操作を呼び出すことで IPsec 接続を作成および管理できます。 Alibaba Cloud SDK を使用することをお勧めします。 API 操作の詳細については、以下のトピックをご参照ください。