IPsec-VPN接続を作成して、データセンターとトランジットルーター間の暗号化接続を確立できます。 このトピックでは、デュアルトンネルモードでIPsec-VPN接続を作成および管理する方法について説明します。
前提条件
デュアルトンネルモードでIPsec-VPN接続を作成する前に、デュアルトンネルモードをサポートするリージョンとネットワーク情報について学習することをお勧めします。 詳細については、「デュアルトンネルモードのトランジットルーターに関連付けられているIPsec-VPN接続の概要」をご参照ください。
IPsec-VPN接続を作成する前に、手順について学び、前提条件が満たされていることを確認してください。 詳細については、「手順」をご参照ください。
IPsec-VPN接続の作成
- にログインします。VPN gatewayコンソール.
左側のナビゲーションウィンドウで、 .
上部のナビゲーションバーで、IPsec-VPN接続を作成するリージョンを選択します。
IPsec-VPN接続は、関連付けるトランジットルーターと同じリージョンに作成する必要があります。
On theIPsec接続ページをクリックします。IPsec接続の作成.
On theIPsec-VPN接続の作成ページで、以下のパラメーターを設定し、OK.
基本設定
説明トランジットルーターに関連付けられたVPNゲートウェイまたはIPsec-VPN接続を初めて作成すると、サービスにリンクされたロールAliyunServiceRoleForVpnが自動的に作成されます。 サービスにリンクされたロールにより、VPNゲートウェイはelastic network Interface (ENI) やセキュリティグループなどの他のクラウドリソースにアクセスできます。 これにより、VPNゲートウェイまたはIPsec-VPN接続を作成できます。 AliyunServiceRoleForVpnロールが既に存在する場合、システムはロールを再度作成しません。 このサービスにリンクされたロールの詳細については、「AliyunServiceRoleForVpn」をご参照ください。
パラメーター
説明
名前
IPsec-VPN接続の名称を指定します。
リソースグループクラスターが属するリソースグループを選択します。 リソースグループを使用して、Alibaba Cloudアカウント内のリソースをカテゴリおよびグループ別に管理できます。 各リソースを個別に処理することなく、グループに基づいて権限の管理、リソースのデプロイ、リソースの監視を行うことができます。 デフォルトのリソースグループ
Cloud Enterprise Network (CEN) インスタンスのリソースグループを選択します。
このパラメーターを空のままにすると、すべてのリソースグループのCENインスタンスが表示されます。
リソースの関連付け
IPsec-VPN接続に関連付けるネットワークリソースのタイプを選択します。 関連付け禁止 または CEN を選択します。
CENを選択すると、IPsec-VPN接続が現在のAlibaba Cloudアカウントの指定されたトランジットルーターに自動的に関連付けられます。
関連付け禁止 を選択した場合、IPsec-VPN接続はリソースに関連付けられていません。 IPsec-VPN接続が作成された後、IPsec-VPN接続を、現在のAlibaba Cloudアカウントまたは別のAlibaba CloudアカウントのトランジットルーターにCENコンソールで手動で関連付けることができます。 詳細については、「IPsec-VPN接続をトランジットルーターにアタッチする」をご参照ください。
説明別のトランジットルーターをIPsec-VPN接続に関連付ける場合は、元のトランジットルーターからVPN接続を削除し、新しいトランジットルーターのVPN接続を作成する必要があります。 詳細については、「ネットワークインスタンス接続の削除」および「IPsec-VPN接続をトランジットルーターにアタッチする」をご参照ください。
ゲートウェイタイプ
IPsec-VPN接続で使用されるゲートウェイのタイプ。 デフォルト値: Public。 有効な値:
パブリック (デフォルト): インターネット経由でIPsec-VPN接続を作成します。
Private: プライベートネットワーク経由でIPsec-VPN接続を作成します。
CEN インスタンス ID
トランジットルーターが属するCENインスタンスのID。
説明このパラメーターは、リソースの関連付けがCENに設定されている場合に必要です。
トランジットルーター
リージョン内のCENインスタンスに属するトランジットルーターのID。
ルーティングモード
IPsec-VPN接続のルーティングモード。 デフォルト値: 宛先ルーティングモード。 有効な値:
宛先ルーティングモード (デフォルト): 宛先IPアドレスに基づいてトラフィックをルーティングおよび転送します。
保護されたデータフロー: 送信元と送信先のIPアドレスに基づいてトラフィックをルーティングおよび転送します。
保護されたデータフローを選択した場合、ローカルネットワークおよびリモートネットワークパラメーターを設定する必要があります。 IPsec-VPN接続が設定された後、システムは自動的に宛先ベースのルートをIPsec-VPN接続のルートテーブルに追加します。 デフォルトでは、ルートはIPsec-VPN接続に関連付けられているトランジットルーターのルートテーブルに通知されます。
ローカルCIDRブロック
Alibaba Cloud側のCIDRブロック。 このCIDRブロックはフェーズ2ネゴシエーションで使用されます。
フィールドの横にある
アイコンをクリックして、CIDRブロックを追加します。
説明複数のCIDRブロックを指定する場合は、Internet Key Exchange (IKE) バージョンをikev2に設定する必要があります。
ピアCIDRブロック
接続するデータセンターのCIDRブロック。 このCIDRブロックはフェーズ2ネゴシエーションで使用されます。
フィールドの横にある
アイコンをクリックして、CIDRブロックを追加します。
説明複数のCIDRブロックを指定する場合は、IKEバージョンをikev2に設定する必要があります。
すぐに適用
IPsec-VPNネゴシエーションをすぐに開始するかどうかを指定します。
はい (デフォルト): IPsec-VPN接続が作成された後、すぐにIPsec-VPNネゴシエーションを開始します。
No: インバウンドトラフィックが検出されると、IPsec-VPNネゴシエーションを開始します。
BGPの有効化
IPsec-VPN接続にBGPルーティングを使用する場合は、[BGPの有効化] をオンにします。 デフォルトでは、Enable BGPはオフになっています。
BGP動的ルーティングを使用する前に、オンプレミスゲートウェイがBGPをサポートしていることを確認し、BGPの仕組みと制限について学ぶことをお勧めします。 詳細については、「BGP動的ルーティングの設定」をご参照ください。
ローカル ASN
Alibaba Cloud側のIPsec-VPN接続の自律システム番号 (ASN) 。 デフォルト値: 45104 有効な値: 1 ~ 4294967295
ASNを2つのセグメントで入力し、最初の16ビットと次の16ビットをピリオド (.) で区切ることができます。 各セグメントの数値を10進数形式で入力します。
たとえば、123.456を入力すると、ASNは123 × 65536 + 456 = 8061384になります。
説明プライベートASNを使用して、BGP経由でAlibaba Cloudへの接続を確立することを推奨します。 プライベートASNの有効な値の詳細については、関連するドキュメントを参照してください。
トンネル設定
重要デュアルトンネルモードでIPsec-VPN接続を作成する場合は、2つのトンネルを設定し、それらが使用可能であることを確認する必要があります。 トンネルの1つのみを設定または使用する場合、IPsec-VPN接続のアクティブ /スタンバイトンネルの冗長性と、ゾーン間のディザスタリカバリ機能を体験することはできません。
パラメーター
説明
カスタマーゲートウェイ
トンネルに関連付けられるカスタマーゲートウェイ。
事前共有キー
トンネルとピア間のIDを検証するために使用される事前共有キー。
キーの長さは1〜100文字である必要があり、数字、文字、および次の特殊文字を含めることができます。
~ '! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : ' , . < > / ?
。 キーにスペースを含めることはできません。事前共有キーを指定しない場合、事前共有キーとして16文字の文字列がランダムに生成されます。 IPsec-VPN接続が作成された後、トンネルの [操作] 列の [編集] をクリックして、システムによって生成された事前共有キーを表示できます。 詳細については、このトピックの「トンネルの設定の変更」をご参照ください。
重要トンネルとピアが同じ事前共有キーを使用していることを確認します。 そうでなければ、トンネル通信を確立できない。
暗号化設定
パラメーター
説明
暗号化設定: IKE設定
バージョン
IKEバージョン。 有効な値:
ikev1
ikev2 (デフォルト)
IKEv2は、IKEv1と比較して、SAネゴシエーションを簡素化し、複数のCIDRブロック間で通信が確立されるシナリオをより適切にサポートします。 IKEv2の使用を推奨します。
交渉モード
交渉モード。 デフォルト値: main。 有効な値:
main: このモードは交渉中に高いセキュリティを提供します。
積極的: このモードはより速い交渉をサポートし、より高い成功率をサポートします。
両方のモードでネゴシエートされた接続は、データ伝送のための同じレベルのセキュリティを保証する。
暗号化アルゴリズム
フェーズ1ネゴシエーションで使用する暗号化アルゴリズムを選択します。
有効な値: aes、aes192、aes256、des、3des。 デフォルト値: aes。AES-128を指定します。
説明推奨: aes、aes192、およびaes256。 推奨なし: desおよび3des。
AES (Advanced Encryption Standard) は、高レベルの暗号化および復号化を提供する対称鍵暗号化アルゴリズムである。 AESは安全なデータ伝送を保証し、ネットワーク遅延、スループット、転送パフォーマンスにほとんど影響を与えません。
トリプルDES (3DES) は、その3層暗号化技術を通じて強化されたセキュリティを提供します。 3DES暗号化は、AESと比較して計算量が多く、時間がかかり、転送性能が低下する。
認証アルゴリズム
フェーズ1ネゴシエーションで使用する認証アルゴリズムを選択します。
サポートされているアルゴリズムは、sha1 (デフォルト) 、md5、sha256、sha384、およびsha512です。
説明オンプレミスのゲートウェイデバイスにVPN設定を追加する場合は、確率的ランダムフォレスト (PRF) アルゴリズムを指定する必要があります。 PRFアルゴリズムは、IKE構成における認証アルゴリズムと一致することができる。
DHグループ
フェーズ1ネゴシエーションで使用されるDiffie-Hellman (DH) キー交換アルゴリズム。 デフォルト値: group2 有効な値:
group1: DHグループ1。
group2: DHグループ2。
group5: DHグループ5。
グループ14: DHグループ14。
SAライフサイクル (秒)
フェーズ1交渉が成功した後のSAの存続期間。 単位は秒です。 デフォルト値: 86400 有効値: 0 ~ 86400
LocalId
フェーズ1ネゴシエーションのトンネルの識別子を入力します。 デフォルト値は、トンネルのゲートウェイIPアドレスです。
このパラメーターは、IPsec-VPNネゴシエーションでAlibaba Cloudを識別するためにのみ使用されます。 IDとしてIPアドレスまたは完全修飾ドメイン名 (FQDN) を使用できます。 値にスペースを含めることはできません。 プライベートIPアドレスを使用することを推奨します。
LocalIdパラメーターをFQDN (s example.aliyun.comなど) に設定した場合、オンプレミスゲートウェイデバイスのIPsec-VPN接続のピアIDは、LocalIdパラメーターの値と同じである必要があります。 この場合、ネゴシエーションモードをアグレッシブに設定することを推奨します。
RemoteId
フェーズ1ネゴシエーションのピアの識別子を入力します。 デフォルト値は、カスタマーゲートウェイのIPアドレスです。
このパラメーターは、IPsec-VPNネゴシエーションでオンプレミスゲートウェイデバイスを識別するためにのみ使用されます。 IDとしてIPアドレスまたはFQDNを使用できます。 値にスペースを含めることはできません。 プライベートIPアドレスを使用することを推奨します。
RemoteIdパラメーターをFQDN (s example.aliyun.comなど) に設定した場合、オンプレミスゲートウェイデバイスのローカルIDはRemoteIdパラメーターの値と同じである必要があります。 この場合、ネゴシエーションモードをアグレッシブに設定することを推奨します。
暗号化設定: IPsec設定
暗号化アルゴリズム
フェーズ2ネゴシエーションで使用する暗号化アルゴリズムを選択します。
有効な値: aes、aes192、aes256、des、3des。 デフォルトでは、aesの値はAES-128を指定します。
説明推奨: aes、aes192、およびaes256。 推奨なし: desおよび3des。
AES (Advanced Encryption Standard) は、高レベルの暗号化および復号化を提供する対称鍵暗号化アルゴリズムである。 AESは安全なデータ伝送を保証し、ネットワーク遅延、スループット、転送パフォーマンスにほとんど影響を与えません。
トリプルDES (3DES) は、その3層暗号化技術を通じて強化されたセキュリティを提供します。 3DES暗号化は、AESと比較して計算量が多く、時間がかかり、転送性能が低下する。
認証アルゴリズム
フェーズ2ネゴシエーションで使用する認証アルゴリズムを選択します。
サポートされているアルゴリズムは、sha1 (デフォルト) 、md5、sha256、sha384、およびsha512です。
DHグループ
フェーズ2ネゴシエーションで使用されるDH鍵交換アルゴリズム。 デフォルト値: group2 有効な値:
disabled: DHキー交換アルゴリズムを使用しません。
ピアのローカルゲートウェイデバイスがPFSをサポートしていない場合は、[無効] を選択します。
無効以外の値を選択した場合、PFSはデフォルトで有効になります。 この場合、交渉ごとに鍵が更新される。 したがって、ピアのローカルゲートウェイデバイスのPFSを有効にする必要があります。
group1: DHグループ1。
group2: DHグループ2。
group5: DHグループ5。
グループ14: DHグループ14。
SAライフサイクル (秒)
フェーズ2の交渉が成功した後、SAのライフタイムを入力します。 単位は秒です。 デフォルト値: 86400 有効値: 0 ~ 86400
DPD
デッドピア検出 (DPD) 機能を有効にするかどうかを指定します。 デフォルトでは、DPD機能は有効です。
DPD機能を有効にすると、IPsec-VPN接続はDPDパケットを送信してピアの存在と可用性を確認します。 指定された期間内にピアから応答が受信されない場合、接続は失敗します。 次に、Internet Security Association and Key Management Protocol (ISAKMP) SA、IPsec SA、およびIPsecトンネルが削除されます。 DPDパケットタイムアウトが発生すると、IPsec-VPN接続は自動的にトンネルとのIPsec-VPNネゴシエーションを再開します。
IKEv1を使用する場合、DPDパケットのタイムアウト時間は30秒です。
IKEv2を使用する場合、DPDパケットのタイムアウト時間は130秒です。
NAT トラバーサル
NATトラバーサル機能を有効にするかどうかを指定します。 デフォルトでは、NATトラバーサル機能は有効になっています。
NATトラバーサルを有効にすると、イニシエータはIKEネゴシエーション中にUDPポートをチェックせず、IPsecトンネルに沿ってNATゲートウェイデバイスを自動的に検出できます。
BGP 設定
IPsec-VPN接続でBGPが有効になっている場合、Alibaba Cloud側でBGPトンネルのCIDRブロックとBGPトンネルのIPアドレスを設定できます。 IPsec-VPN接続のBGP動的ルーティングを無効にすると、IPsec-VPN接続の作成後にトンネルに対してこの機能を有効にできます。 詳細については、このトピックの「IPsec-VPN接続の作成後のトンネルのBGP動的ルーティングの有効化」をご参照ください。
パラメーター
説明
トンネル CIDR ブロック
トンネルのCIDRブロックを入力します。
CIDRブロックは169.254.0.0/16に該当する必要があります。 CIDRブロックのマスクは30ビット長でなければなりません。 CIDRブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または169.254.169.252/30にすることはできません。
説明IPsec-VPN接続の2つのトンネルは、異なるCIDRブロックを使用する必要があります。
ローカル BGP IP アドレス
トンネルのBGP IPアドレス。
このIPアドレスは、トンネルのCIDRブロック内にある必要があります。
詳細設定
IPsec-VPN接続を作成すると、デフォルトで次の高度な機能が有効になります。
パラメーター
説明
自動広告
この機能を有効にすると、IPsec-VPN接続に関連付けられているトランジットルーターのルートテーブルのルートがIPsec-VPN接続のBGPルートテーブルに自動的にアドバタイズされます。
説明この機能は、IPsec-VPN接続とデータセンターでBGP動的ルーティング機能が有効になっている場合にのみ有効になります。
自動ルート広告をオフにすると、この機能を無効にできます。 詳細については、「ルート同期の無効化」セクションを参照してください。ルート同期トピックを使用します。
トランジットルーターのデフォルトルートテーブルに自動的に関連付ける
この機能を有効にすると、IPsec-VPN接続はトランジットルーターのデフォルトルートテーブルに関連付けられます。 中継ルータは、IPsec-VPN接続からのトラフィックを転送するために、デフォルトのルートテーブルを照会します。
自動広告システムルートにデフォルトルートテーブルのトランジットルーター
この機能を有効にすると、IPsec-VPN接続の宛先ベースのルートテーブルとBGPルートテーブルのルートが、トランジットルーターのデフォルトルートテーブルにアドバタイズされます。
上記の高度な機能を無効にし、トランジットルーターを使用して、ビジネス要件に基づいてネットワーク通信を確立することもできます。 詳細については、「ルートの管理」をご参照ください。
[タグ]
IPsec-VPN接続を作成するときに、リソースの集約と検索を容易にするために、IPsec-VPN接続にタグを追加できます。 詳細については、「概要」をご参照ください。
パラメーター
説明
タグキー
IPsec-VPN接続のタグキー。 タグキーを選択または入力できます。
タグ値
IPsec-VPN接続のタグ値。 タグ値を選択または入力できます。 タグ値パラメーターは空のままにすることができます。
次に何をすべきか
IPsec-VPN接続が作成された後、IPsec-VPN接続のピア設定をダウンロードし、オンプレミスゲートウェイデバイスに設定をロードできます。 詳細については、「IPsec-VPN接続のピア設定のダウンロード」および「ローカルゲートウェイの設定例」をご参照ください。
IPsec-VPN接続のトンネルの表示
IPsec-VPN接続を作成した後、IPsec-VPN接続の詳細ページでトンネルのステータスと情報を表示できます。
にログインします。VPN Gatewayコンソール.
左側のナビゲーションウィンドウで、 .
- 上部のナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
IPsec 接続 ページで、管理するIPsec-VPN接続のIDをクリックします。
IPsec-VPN接続の詳細ページが表示されます。 [トンネル] タブで、トンネルのステータスと情報を表示できます。
パラメーター
説明
トンネル /トンネルID
トンネルID。
ゲートウェイIPアドレス
システムによってトンネルに割り当てられたゲートウェイIPアドレス。暗号化されたトンネルを確立するために使用されます。
トンネルCIDRブロック
トンネルのCIDRブロック。 トンネルのBGP動的ルーティングを有効にすると、値が表示されます。
ローカルBGP IP
トンネルのBGP IPアドレス。 トンネルのBGP動的ルーティングを有効にすると、値が表示されます。
接続ステータス
トンネルのIPsec-VPNネゴシエーションのステータス。
IPsec-VPNネゴシエーションが成功した場合、フェーズ2の交渉は成功しました。 というメッセージが表示されます。
IPsec-VPNネゴシエーションが失敗した場合、障害情報がコンソールに表示されます。 情報に基づいて問題をトラブルシューティングできます。 詳細については、「IPsec-VPN接続の問題のトラブルシューティング」をご参照ください。
カスタマーゲートウェイ
トンネルに関連付けられているカスタマーゲートウェイ。
カスタマーゲートウェイは、データセンター側のIPアドレスとBGP ASNで構成されています。
ステータス
トンネルのステータス。 有効な値:
アクティブ
更新中
削除中