データセンターと転送ルータ間の暗号化された接続を確立するために、IPsec 接続を作成できます。このトピックでは、デュアルトンネルモードで IPsec 接続を作成および管理する方法について説明します。
始める前に
IPsec 接続を作成する前に、デュアルトンネルモードでの IPsec 接続のネットワークアーキテクチャについて理解しておくことをお勧めします。
手順に基づいて、IPsec 接続を作成する前にすべての手順を完了してください。
IPsec 接続の作成
- VPN ゲートウェイコンソールにログオンします。
左側のナビゲーションウィンドウで、 を選択します。
IPsec 接続 ページで、[CEN のバインド] をクリックします。
[ipsec 接続 (CEN) の作成] ページで、以下の情報に基づいて IPsec 接続を構成し、[OK] をクリックします。
基本構成
説明転送ルータに関連付けられた VPN ゲートウェイまたは IPsec 接続を初めて作成すると、システムは自動的にサービスロール AliyunServiceRoleForVpn を作成します。サービスロールを使用すると、VPN ゲートウェイは、Elastic Network Interface (ENI) やセキュリティグループなどの他のクラウドリソースにアクセスできます。これは、VPN ゲートウェイまたは IPsec 接続の作成に役立ちます。 AliyunServiceRoleForVpn ロールがすでに存在する場合、システムはそれを再度作成しません。 AliyunServiceRoleForVpn の詳細については、「AliyunServiceRoleForVpn」をご参照ください。
パラメーター
説明
名前
IPsec 接続の名前を指定します。
リージョン
関連付ける転送ルータが属するリージョンを選択します。
IPsec 接続は、転送ルータと同じリージョンに作成されます。
リソースグループ
CEN インスタンスのリソースグループを選択します。
このパラメーターを空のままにすると、システムはすべてのリソースグループの CEN インスタンスを表示します。
ゲートウェイタイプ
IPsec 接続で使用するゲートウェイのタイプを選択します。
パブリック (デフォルト): IPsec 接続はインターネット経由で確立されます。
プライベート: IPsec 接続はプライベートネットワーク経由で確立され、プライベートトラフィックが暗号化されます。
CEN のバインド
関連付ける転送ルータが属するアカウントを選択します。
現在のアカウント: このオプションを選択した場合、アカウントに属する CEN インスタンスを指定する必要があります。 IPsec 接続を作成すると、システムは IPsec 接続を CEN インスタンスのリージョンにある転送ルータに関連付けます。
クロスアカウント: このオプションを選択した場合、接続の作成後、IPsec 接続は転送ルータに関連付けられません。IPsec 接続に対する権限を別のアカウント内の転送ルータに付与した後、IPsec 接続を転送ルータに関連付けることができます。
権限を付与しない場合、IPsec 接続はアカウント内の転送ルータにのみ関連付けることができます。
CEN インスタンス ID
転送ルータが属する CEN インスタンスの ID を選択します。
システムは、現在のリージョンで CEN インスタンスによって作成された転送ルータの ID と CIDR ブロックを表示します。 IPsec 接続は転送ルータに関連付けられます。
説明[CEN のバインド] が [現在のアカウント] に設定されている場合にのみ、このパラメーターを構成する必要があります。
ルーティングモード
IPsec 接続のルーティングモードを選択します。
宛先ルーティングモード (デフォルト): 宛先 IP アドレスに基づいてトラフィックをルーティングおよび転送します。
保護されたデータフロー: 送信元と宛先の IP アドレスに基づいてトラフィックをルーティングおよび転送します。
[保護されたデータフロー] を選択した場合は、[ローカルネットワーク] と [リモートネットワーク] を構成する必要があります。 IPsec 接続が構成されると、システムは自動的に宛先ベースのルートを IPsec 接続のルートテーブルに追加します。デフォルトでは、ルートは IPsec 接続に関連付けられた転送ルータのルートテーブルにアドバタイズされます。
ローカルネットワーク
ルーティングモード が [保護されたデータフロー] に設定されている場合は、データセンターに接続される Alibaba Cloud 側の CIDR ブロックを入力する必要があります。フェーズ 2 ネゴシエーションは、両側の保護されたデータフローに基づいています。 Alibaba Cloud 側の [ローカルネットワーク] の値を、データセンター側のリモートネットワークと同じにすることをお勧めします。
テキストボックスの右側にある
アイコンをクリックして、Alibaba Cloud 側に複数の CIDR ブロックを追加します。
説明複数の CIDR ブロックを構成する場合は、IKE バージョンを [ikev2] に設定する必要があります。
リモートネットワーク
ルーティングモード が [保護されたデータフロー] に設定されている場合は、Alibaba Cloud に接続されるデータセンター側の CIDR ブロックを入力する必要があります。フェーズ 2 ネゴシエーションは、両側の保護されたデータフローに基づいています。 Alibaba Cloud 側の [リモートネットワーク] の値を、データセンター側のローカルネットワークと同じにすることをお勧めします。
テキストボックスの右側にある
アイコンをクリックして、データセンター側に複数の CIDR ブロックを追加します。
説明複数の CIDR ブロックを構成する場合は、IKE バージョンを [ikev2] に設定する必要があります。
即時有効
構成が有効になった後、すぐに IPsec ネゴシエーションを開始するかどうかを指定します。
はい (デフォルト): 構成が完了すると、システムはすぐに IPsec ネゴシエーションを開始します。
いいえ: システムは、トラフィックが検出された場合にのみ IPsec ネゴシエーションを開始します。
トンネル構成
重要デュアルトンネルモードで IPsec 接続を作成する場合は、2 つのトンネルを構成し、それらが使用可能であることを確認する必要があります。トンネルのいずれか 1 つだけを構成または使用する場合、デュアルトンネルモードとゾーンディザスタリカバリの高い冗長性を実現することはできません。
パラメーター
説明
BGP を有効にする
IPsec 接続で BGP ルーティングプロトコルを使用する必要がある場合は、BGP を有効にする必要があります。 BGP はデフォルトで無効になっています。
BGP 動的ルーティングを使用する前に、オンプレミスゲートウェイデバイスが BGP をサポートしていることを確認してください。また、BGP 動的ルーティングの動作メカニズムと制限について理解しておくことをお勧めします。
ローカル ASN
BGP を有効にした後、Alibaba Cloud 側のトンネルの自律システム番号 (ASN) を入力します。両方のトンネルは同じ ASN を使用します。デフォルト値: 45104。有効値: 1 ~ 4294967295。
ASN は 2 つのセグメントで入力でき、最初の 16 ビットと後続の 16 ビットをピリオド (.) で区切ります。各セグメントの番号を 10 進数形式で入力します。
たとえば、123.456 と入力すると、ASN は 123 × 65536 + 456 = 8061384 になります。
説明BGP 経由で Alibaba Cloud と接続を確立するには、プライベート ASN を使用することをお勧めします。プライベート ASN の範囲の詳細については、関連ドキュメントを参照してください。
カスタマーゲートウェイ
トンネルに関連付けるカスタマーゲートウェイ。
事前共有鍵
トンネルとピア間の ID を検証するために使用される事前共有鍵。
鍵の長さは 1 ~ 100 文字で、数字、大文字、小文字、および次の特殊文字を含めることができます:
~`!@#$%^&*()_-+={}[]\|;:',.<>/?
。鍵にスペース文字を含めることはできません。事前共有鍵を指定しない場合、システムはランダムな 16 文字の文字列を事前共有鍵として生成します。 IPsec 接続を作成した後、トンネルの [編集] ボタンをクリックして、システムによって生成された事前共有鍵を表示できます。詳細については、「トンネル構成の変更」をご参照ください。
重要トンネルとピアが同じ事前共有鍵を使用していることを確認してください。そうしないと、トンネル通信を確立できません。
暗号化設定
パラメーター
説明
暗号化設定: IKE 設定
IKE バージョン
IKE バージョン。有効値:
ikev1
ikev2 (デフォルト)
IKEv1 と比較して、IKEv2 は SA ネゴシエーションを簡素化し、複数の CIDR ブロックが使用されるシナリオのサポートを強化しています。 IKEv2 を使用することをお勧めします。
ネゴシエーションモード
ネゴシエーションモード。有効値:
main (デフォルト): メインモードは、ネゴシエーション中に高いセキュリティを提供します。
aggressive: アグレッシブモードは高速で、ネゴシエーション中の成功率が高くなります。
これらのモードは、データ送信に対して同じセキュリティレベルをサポートしています。
暗号化アルゴリズム
フェーズ 1 ネゴシエーションで使用される暗号化アルゴリズム。
有効値: aes (aes128, デフォルト), aes192, aes256, des, 3des。
説明aes, aes192, または aes256 を使用することをお勧めします。 des または 3des の使用はお勧めしません。
高度暗号化標準 (AES) は、高レベルの暗号化と復号を提供する対称鍵暗号化アルゴリズムです。 AES は安全なデータ送信を保証し、ネットワーク遅延、スループット、および転送パフォーマンスへの影響はほとんどありません。
3des はトリプルデータ暗号化アルゴリズムであり、長い暗号化期間が必要で、アルゴリズムの複雑さと計算ワークロードが大きくなります。 AES と比較して、3DES は転送パフォーマンスを低下させます。
認証アルゴリズム
フェーズ 1 ネゴシエーションで使用される認証アルゴリズム。
有効値: sha1 (デフォルト), md5, sha256, sha384, sha512。
説明オンプレミスゲートウェイデバイスに VPN 構成を追加する場合、Probabilistic Random Forest (PRF) アルゴリズムを指定する必要がある場合があります。 PRF アルゴリズムが IKE ネゴシエーションの認証アルゴリズムとしても使用されていることを確認してください。
DH グループ
フェーズ 1 ネゴシエーションで使用される Diffie-Hellman (DH) 鍵交換アルゴリズム。
group1: DH グループ 1。
group2 (デフォルト): DH グループ 2。
group5: DH グループ 5。
group14: DH グループ 14。
SA ライフサイクル (秒)
フェーズ 1 ネゴシエーションの成功後の SA のライフサイクルを指定します。単位: 秒。デフォルト値: 86400。有効値: 0 ~ 86400。
LocalId
フェーズ 1 ネゴシエーションのトンネルの識別子を入力します。デフォルト値は、トンネルのゲートウェイ IP アドレスです。
このパラメーターは、IPsec-VPN ネゴシエーションで Alibaba Cloud を識別するためにのみ使用されます。 ID としては、IP アドレスまたは完全修飾ドメイン名 (FQDN) を使用できます。値にスペースを含めることはできません。プライベート IP アドレスを使用することをお勧めします。
[localid] が FQDN 形式を使用する場合、たとえば example.aliyun.com と入力すると、オンプレミスゲートウェイデバイスの IPsec 接続のピア ID は [localid] の値と一致する必要があります。ネゴシエーションモードとして [aggressive] (アグレッシブモード) を選択することをお勧めします。
RemoteId
フェーズ 1 ネゴシエーションのピアの識別子を入力します。デフォルト値は、カスタマーゲートウェイの IP アドレスです。
このパラメーターは、IPsec-VPN ネゴシエーションでオンプレミスゲートウェイデバイスを識別するためにのみ使用されます。 ID としては、IP アドレスまたは FQDN を使用できます。値にスペースを含めることはできません。 ID としては、プライベート IP アドレスを使用することをお勧めします。
[remoteid] が FQDN 形式を使用する場合、たとえば example.aliyun.com と入力すると、オンプレミスゲートウェイデバイスのローカル ID は [remoteid] の値と一致する必要があります。ネゴシエーションモードを [aggressive] に設定することをお勧めします。
暗号化設定: Ipsec 設定
暗号化アルゴリズム
フェーズ 2 ネゴシエーションで使用される暗号化アルゴリズム。
有効値: aes (aes128, デフォルト), aes192, aes256, des, 3des。
説明aes, aes192, または aes256 を使用することをお勧めします。 des または 3des の使用はお勧めしません。
高度暗号化標準 (AES) は、高レベルの暗号化と復号を提供する対称鍵暗号化アルゴリズムです。 AES は安全なデータ送信を保証し、ネットワーク遅延、スループット、および転送パフォーマンスへの影響はほとんどありません。
3des はトリプルデータ暗号化アルゴリズムであり、長い暗号化期間が必要で、アルゴリズムの複雑さと計算ワークロードが大きくなります。 AES と比較して、3DES は転送パフォーマンスを低下させます。
認証アルゴリズム
フェーズ 2 ネゴシエーションで使用される認証アルゴリズム。
有効値: sha1 (デフォルト), md5, sha256, sha384, sha512。
DH グループ
フェーズ 2 ネゴシエーションで使用される DH 鍵交換アルゴリズム。
disabled: DH 鍵交換アルゴリズムは使用されません。
オンプレミスゲートウェイデバイスが PFS をサポートしていない場合は、[disabled] を選択します。
[disabled] 以外の値を選択すると、Perfect Forward Secrecy (PFS) 機能がデフォルトで有効になります。この機能により、再ネゴシエーションが発生するたびに鍵が更新されます。この場合、オンプレミスゲートウェイデバイスでも PFS を有効にする必要があります。
group1: DH グループ 1。
group2 (デフォルト): DH グループ 2。
group5: DH グループ 5。
group14: DH グループ 14。
SA ライフサイクル (秒)
フェーズ 2 ネゴシエーションの成功後の SA のライフサイクルを指定します。単位: 秒。デフォルト値: 86400。有効値: 0 ~ 86400。
DPD
Dead Peer Detection (DPD) 機能を有効にするかどうかを指定します。デフォルトでは、DPD 機能は有効になっています。
DPD 機能を有効にすると、IPsec 接続は DPD パケットを送信して、ピアの存在と可用性をチェックします。指定された期間内にピアから応答がない場合、接続は失敗します。その後、Internet Security Association and Key Management Protocol (ISAKMP) SA、IPsec SA、および IPsec トンネルが削除されます。 DPD パケットのタイムアウトが発生した場合、IPsec 接続はトンネルとの IPsec-VPN ネゴシエーションを自動的に再開します。 DPD パケットのタイムアウト期間は 30 秒です。
NAT トラバーサル
Network Address Translation (NAT) トラバーサル機能を有効にするかどうかを選択します。デフォルトでは、NAT トラバーサル機能は有効になっています。
NAT トラバーサルを有効にすると、イニシエーターはインターネットキー交換 (IKE) ネゴシエーション中に UDP ポートをチェックせず、IPsec トンネルに沿って NAT ゲートウェイデバイスを自動的に検出できます。
BGP 設定
IPsec 接続で BGP が有効になっている場合は、BGP トンネルの CIDR ブロックと Alibaba Cloud 側の BGP トンネルの IP アドレスを構成できます。 IPsec 接続の作成時に BGP が有効になっていない場合は、トンネルの BGP を有効にすることができ、IPsec 接続の作成後に必要な構成を追加できます。
パラメーター
説明
トンネル CIDR ブロック
トンネルの CIDR ブロックを入力します。
CIDR ブロックは 169.254.0.0/16 に含まれている必要があります。 CIDR ブロックのマスクの長さは 30 ビットである必要があります。 CIDR ブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または 169.254.169.252/30 にすることはできません。
説明IPsec 接続の 2 つのトンネルは、異なる CIDR ブロックを使用する必要があります。
ローカル BGP IP アドレス
トンネルのローカルエンドの BGP IP アドレスを入力します。
この IP アドレスは、トンネルの CIDR ブロック内にある必要があります。
詳細構成
IPsec 接続を作成し、それをアカウントの転送ルータに直接関連付けると、システムはデフォルトで次の 3 つの高度な機能を選択して、ルートの構成を支援します。また、これらの高度な機能の選択を解除し、転送ルータの ルーティング機能を使用してネットワーク接続をカスタマイズすることもできます。
パラメーター
説明
ルートをアドバタイズする
この機能を有効にすると、システムは IPsec 接続に関連付けられた転送ルータのルートテーブルのルートを、IPsec 接続の BGP ルートテーブルに自動的にアドバタイズします。
説明この機能は、IPsec 接続とデータセンターで BGP 動的ルーティング機能が有効になっている場合にのみ有効になります。
[ルートをアドバタイズする] 機能を使用して、この機能を無効にすることもできます。 詳細については、「ルート同期の無効化」をご参照ください。
転送ルータのデフォルトルートテーブルに自動的に関連付ける
この機能を有効にすると、IPsec 接続は転送ルータのデフォルトルートテーブルに関連付けられます。転送ルータは、デフォルトルートテーブルをクエリして、IPsec 接続からのトラフィックを転送します。
システムルートを転送ルータのデフォルトルートテーブルに自動的にアドバタイズする
この機能が有効になると、システムは宛先ベースのルートテーブルと IPsec 接続の BGP ルートテーブルのルートを、転送ルータのデフォルトルートテーブルにアドバタイズします。
IPsec 接続の作成後、IPsec 接続 ページで IPsec 接続を見つけ、操作 列の [構成のダウンロード] をクリックします。
IPsec-VPN 接続の設定 ダイアログボックスで、構成をコピーしてローカルパスに保存します。この構成を使用して、オンプレミスゲートウェイデバイスを構成できます。
次のステップ
ダウンロードした IPsec 接続の構成に基づいて、オンプレミスゲートウェイデバイスを構成する。
IPsec 接続のトンネル情報を表示する
IPsec 接続を作成した後、IPsec 接続の詳細ページでトンネルのステータスと情報を表示できます。
VPN ゲートウェイコンソールにログオンします。
左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、IPsec 接続のリージョンを選択します。
IPsec 接続 ページで、IPsec 接続を見つけて ID をクリックします。
IPsec 接続の詳細ページで、IPsec 接続の 2 つのトンネルのステータスと情報を表示します。
フィールド
説明
トンネル/トンネル ID
トンネル ID。
ゲートウェイ IP アドレス
暗号化トンネルを確立するために使用される、システムによってトンネルに割り当てられたゲートウェイ IP アドレス。
事前共有鍵
トンネルで使用される事前共有鍵。
事前共有鍵はデフォルトで暗号化されています。 [表示] にポインターを合わせると、事前共有鍵を表示できます。
トンネル CIDR ブロック
トンネルの BGP 動的ルーティングを有効にすると、トンネルの CIDR ブロックが表示されます。
ローカル BGP IP アドレス
トンネルの BGP 動的ルーティングを有効にすると、Alibaba Cloud 側の BGP IP アドレスが表示されます。
接続ステータス
トンネルの IPsec-VPN ネゴシエーションのステータス。
IPsec-VPN ネゴシエーションが成功すると、コンソールに [フェーズ 2 ネゴシエーション成功] と表示されます。
IPsec-VPN ネゴシエーションが失敗した場合、コンソールに失敗情報が表示されます。情報に基づいて問題のトラブルシューティングを行うことができます。詳細については、「IPsec 接続の問題のトラブルシューティング」をご参照ください。
カスタマーゲートウェイ
トンネルに関連付けられているカスタマーゲートウェイ。
カスタマーゲートウェイは、データセンター側の IP アドレスと BGP ASN で構成されます。
ステータス
トンネルのステータス。有効値:
正常
更新中
削除中
IPsec 接続の管理
トンネル構成の変更
IPsec 接続の変更
トンネルの BGP を有効にする
別のアカウントの転送ルータに IPsec 接続の権限を付与する
IPsec 接続の削除
API を呼び出して IPsec 接続を作成および管理する
Alibaba Cloud SDK (推奨)、Alibaba Cloud CLI、Terraform、または Resource Orchestration Service を使用して、API を呼び出して IPsec 接続を作成および管理できます。次の API 操作を使用できます。