IPsec-VPN 接続を作成して、データセンターと仮想プライベートクラウド (VPC) の間に暗号化された接続を確立できます。このトピックでは、シングルトンネルモードで IPsec-VPN 接続を作成および管理する方法について説明します。
背景情報
IPsec-VPN 接続を作成する際に、以下の機能を有効または無効にすることができます。
[DPD]: Dead Peer Detection (DPD) 機能。
DPD 機能を有効にすると、IPsec-VPN 接続は DPD パケットを送信して、ピアが存在し、利用可能かどうかを確認します。指定された時間内にピアから応答がない場合、接続は失敗します。その後、インターネットセキュリティアソシエーションおよびキー管理プロトコル (ISAKMP) SA、IPsec SA、および IPsec トンネルが削除されます。DPD パケットのタイムアウトが発生した場合、IPsec-VPN 接続は自動的にトンネルとの IPsec-VPN ネゴシエーションを再開します。
デフォルトでは、この機能は有効になっています。
[NAT トラバーサル]: NAT トラバーサル機能。
NAT トラバーサル機能を有効にすると、イニシエータはインターネットキー交換 (IKE) ネゴシエーション中に UDP ポートを確認せず、IPsec トンネルに沿って NAT ゲートウェイデバイスを自動的に検出できます。
デフォルトでは、この機能は有効になっています。
[BGP]: ボーダーゲートウェイプロトコル (BGP) 動的ルーティング機能。
BGP 動的ルーティング機能を有効にすると、IPsec-VPN 接続はルートを自動的に学習し、アドバタイズできます。これにより、ネットワークのメンテナンスと構成が容易になります。
デフォルトでは、この機能は無効になっています。
[ヘルスチェック]: ヘルスチェック機能。
同じ VPN ゲートウェイを使用してアクティブおよびスタンバイ IPsec-VPN 接続を作成する場合、ヘルスチェック機能を有効にして、アクティブおよびスタンバイ接続の接続性をチェックできます。ヘルスチェック機能が有効になると、システムは宛先 IP アドレスにインターネット制御メッセージプロトコル (ICMP) パケットを送信して、IPsec-VPN 接続の接続性をチェックします。アクティブな接続が利用できない場合、システムは自動的にトラフィックをスタンバイ接続に切り替えます。これにより、ネットワークの可用性が向上します。
説明IPsec-VPN 接続がヘルスチェックに合格しなかった場合、システムは IPsec トンネルをリセットします。アクティブおよびスタンバイ接続が使用されていないシナリオでは、接続性をチェックするためにヘルスチェック機能の代わりに DPD 機能を使用することをお勧めします。
デフォルトでは、この機能は無効になっています。
VPN ゲートウェイが最新バージョンである場合、DPD、NAT トラバーサル、BGP 動的ルーティング、およびヘルスチェック機能がサポートされます。そうでない場合は、VPN ゲートウェイの現在のバージョンでサポートされている機能のみを使用できます。
VPN ゲートウェイの詳細ページで [アップグレード] ボタンを表示することで、VPN ゲートウェイが最新バージョンかどうかを確認できます。VPN ゲートウェイが最新バージョンでない場合は、[アップグレード] をクリックして VPN ゲートウェイをアップグレードできます。詳細については、「VPN ゲートウェイをアップグレードする」をご参照ください。
始める前に
IPsec-VPN 接続を作成する前に、手順を理解し、前提条件が満たされていることを確認してください。詳細については、「概要」トピックの「手順」セクションをご参照ください。
IPsec-VPN 接続を作成する
- VPN ゲートウェイコンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
上部のナビゲーションバーで、IPsec-VPN 接続を作成するリージョンを選択します。
説明IPsec-VPN 接続は、IPsec-VPN 接続に関連付ける VPN ゲートウェイと同じリージョンに作成する必要があります。
[ipsec 接続] ページで、[ipsec-vpn 接続の作成] をクリックします。
[ipsec-vpn 接続の作成] ページで、以下の表に記載されているパラメータを構成し、[OK] をクリックします。
基本構成
パラメータ
説明
[名前]
IPsec-VPN 接続の名前。
[リソースグループ]
VPN ゲートウェイが属するリソースグループ。
このパラメータを空のままにすると、すべてのリソースグループの VPN ゲートウェイが表示されます。
リソースの関連付け
IPsec-VPN 接続に関連付けるリソースのタイプを選択します。この例では、VPN Gateway が選択されています。
[VPN ゲートウェイ]
IPsec-VPN 接続に関連付ける VPN ゲートウェイ。
ルーティングモード
IPsec-VPN 接続のルーティングモード。デフォルト値:宛先ルーティングモード。有効な値:
[宛先ルーティングモード]: 宛先 IP アドレスに基づいてトラフィックをルーティングおよび転送します。
[保護されたデータフロー]: 送信元および宛先 IP アドレスに基づいてトラフィックをルーティングおよび転送します。
[保護されたデータフロー] を選択した場合は、[ローカルネットワーク] パラメータと [リモートネットワーク] パラメータを構成する必要があります。IPsec-VPN 接続が構成されると、システムは自動的にポリシーベースのルートを VPN ゲートウェイのルートテーブルに追加します。
デフォルトでは、ポリシーベースのルートはアドバタイズされません。要件に基づいて、ルートを VPC のルートテーブルにアドバタイズするかどうかを決定できます。詳細については、「ポリシーベースのルートを構成する」トピックの「ポリシーベースのルートをアドバタイズする」セクションをご参照ください。
説明IPsec-VPN 接続が VPN ゲートウェイに関連付けられており、VPN ゲートウェイが最新バージョンでない場合、ルーティングモードを指定する必要はありません。
[ローカルネットワーク]
データセンターに接続する VPC の CIDR ブロック。この CIDR ブロックは、フェーズ 2 のネゴシエーションで使用されます。
フィールドの横にある
をクリックして、VPC 側に複数の CIDR ブロックを追加します。説明複数の CIDR ブロックを指定する場合は、IKE バージョンを [ikev2] に設定する必要があります。
[リモートネットワーク]
VPC に接続するデータセンターの CIDR ブロック。この CIDR ブロックは、フェーズ 2 のネゴシエーションで使用されます。
フィールドの横にある
をクリックして、データセンター側に複数の CIDR ブロックを追加します。説明複数の CIDR ブロックを指定する場合は、IKE バージョンを [ikev2] に設定する必要があります。
[すぐに有効にする]
IPsec-VPN ネゴシエーションをすぐに開始するかどうかを指定します。デフォルト値:はい。有効な値:
[はい]: IPsec-VPN 接続の作成後、すぐに IPsec-VPN ネゴシエーションを開始します。
[いいえ]: インバウンドトラフィックが検出されたときに IPsec-VPN ネゴシエーションを開始します。
[カスタマーゲートウェイ]
IPsec-VPN 接続に関連付けるカスタマーゲートウェイ。
[事前共有鍵]
VPN ゲートウェイとデータセンター間の認証に使用される事前共有鍵。
事前共有鍵は 1 ~ 100 文字の長さで、数字、文字、および次の文字を含めることができます:
~ ' ! @ # $ % ^ & * ( ) _ - + = { } [ ] \ | ; : , . < > / ?。事前共有鍵にスペースを含めることはできません。事前共有鍵を指定しない場合、システムはランダムな 16 文字の文字列を事前共有鍵として生成します。IPsec-VPN 接続の作成後、IPsec-VPN 接続の [アクション] 列の [編集] をクリックして、IPsec-VPN 接続用に生成された事前共有鍵を表示できます。詳細については、このトピックの IPsec-VPN 接続を変更する セクションをご参照ください。
重要事前共有鍵は両側で同じである必要があります。そうでない場合、システムは IPsec-VPN 接続を確立できません。
[BGP を有効にする]
IPsec-VPN 接続の BGP 動的ルーティング機能を有効にするかどうかを指定します。デフォルトでは、[BGP を有効にする] はオフになっています。
BGP 動的ルーティング機能を使用する前に、その仕組みと制限事項を理解しておくことをお勧めします。詳細については、「BGP 動的ルーティングを構成する」をご参照ください。
ローカル ASN
Alibaba Cloud 側の IPsec-VPN 接続の自律システム番号 (ASN)。デフォルト値:[45104]。有効な値:[1 ~ 4294967295]。
ASN は 2 つのセグメントで入力でき、最初の 16 ビットと後続の 16 ビットをピリオド (.) で区切ります。各セグメントの番号は 10 進数形式で入力します。
たとえば、123.456 と入力すると、ASN は 123 × 65536 + 456 = 8061384 になります。
説明BGP 経由で Alibaba Cloud への接続を確立するには、プライベート ASN を使用することをお勧めします。プライベート ASN の有効な値の詳細については、関連ドキュメントをご参照ください。
暗号化構成
パラメータ
説明
[暗号化構成:IKE 構成]
[バージョン]
IKE バージョン。デフォルト値:ikev2。有効な値:
[ikev1]
[ikev2]
IKEv1 と比較して、IKEv2 は SA ネゴシエーションを簡素化し、複数の CIDR ブロック間で通信が確立されるシナリオのサポートを強化しています。IKEv2 を使用することをお勧めします。
[ネゴシエーションモード]
ネゴシエーションモード。デフォルト値:main。有効な値:
[main]: このモードは、ネゴシエーション中に高いセキュリティを提供します。
[aggressive]: このモードは、より高速なネゴシエーションとより高い成功率をサポートします。
どちらのモードでネゴシエーションされた接続も、データ送信に対して同じレベルのセキュリティを保証します。
[暗号化アルゴリズム]
フェーズ 1 のネゴシエーションで使用される暗号化アルゴリズム。
有効な値:[aes]、[aes192]、[aes256]、[des]、[3des]。デフォルトでは、aes の値は AES-128 を指定します。
説明VPN ゲートウェイの帯域幅が 200 Mbit/s 以上の場合は、[aes]、[aes192]、または [aes256] を選択することをお勧めします。[3des] はお勧めしません。
高度暗号化標準 (AES) は、高レベルの暗号化と復号化を提供する共通鍵暗号化アルゴリズムです。AES は、データ送信のセキュリティを確保しながら、ネットワーク遅延、スループット、および転送パフォーマンスへの影響はほとんどありません。
Triple Data Encryption Standard (3DES) は、3 層暗号化技術を使用してセキュリティを強化します。AES 暗号化と比較して、3DES 暗号化は大量の計算を必要とし、時間がかかり、転送パフォーマンスが低下します。
[認証アルゴリズム]
フェーズ 1 のネゴシエーションで使用される認証アルゴリズム。
有効な値:[sha1]、[md5]、[sha256]、[sha384]、[sha512]。デフォルト値:sha1。
説明オンプレミスゲートウェイデバイスに VPN 構成を追加する際に、Probabilistic Random Forest (PRF) アルゴリズムを指定する必要がある場合があります。PRF アルゴリズムは、IKE 構成の認証アルゴリズムと一致させることができます。
[DH グループ]
フェーズ 1 のネゴシエーションで使用される Diffie-Hellman (DH) 鍵交換アルゴリズム。デフォルト値:group2。有効な値:
[group1]: DH group 1。
[group2]: DH group 2。
[group5]: DH group 5。
[group14]: DH group 14。
[SA ライフサイクル (秒)]
フェーズ 1 のネゴシエーションが成功した後の SA のライフタイム。単位:秒。デフォルト値:[86400]。有効な値:[0 ~ 86400]。
[ローカル ID]
Alibaba Cloud 側の IPsec-VPN 接続の ID。デフォルトでは、この値は指定された VPN ゲートウェイの IP アドレスです。
このパラメータは、IPsec-VPN ネゴシエーションで Alibaba Cloud を識別するためにのみ使用されます。ID としては、IP アドレスまたは完全修飾ドメイン名 (FQDN) を使用できます。値にスペースを含めることはできません。Alibaba Cloud 側の IPsec-VPN 接続の ID としては、プライベート IP アドレスを使用することをお勧めします。
[ローカル ID] パラメータを example.aliyun.com などの FQDN に設定した場合、データセンター側の IPsec-VPN 接続のピア ID は [ローカル ID] パラメータの値と同じである必要があります。この場合、ネゴシエーションモードを [aggressive] に設定することをお勧めします。
[リモート ID]
データセンター側の IPsec-VPN 接続の ID。デフォルトでは、この値はカスタマーゲートウェイの IP アドレスです。
このパラメータは、IPsec-VPN ネゴシエーションでデータセンターを識別するためにのみ使用されます。ID としては、IP アドレスまたは FQDN を使用できます。値にスペースを含めることはできません。データセンターの IPsec-VPN 接続の ID としては、プライベート IP アドレスを使用することをお勧めします。
[リモート ID] パラメータを example.aliyun.com などの FQDN に設定した場合、データセンター側の IPsec-VPN 接続のローカル ID は [リモート ID] パラメータの値と同じである必要があります。この場合、ネゴシエーションモードを [aggressive] に設定することをお勧めします。
[暗号化構成:ipsec 構成]
[暗号化アルゴリズム]
フェーズ 2 のネゴシエーションで使用される暗号化アルゴリズム。
有効な値:[aes]、[aes192]、[aes256]、[des]、[3des]。デフォルトでは、aes の値は AES-128 を指定します。
説明VPN ゲートウェイの帯域幅が 200 Mbit/s 以上の場合は、[aes]、[aes192]、または [aes256] を選択することをお勧めします。[3des] はお勧めしません。
高度暗号化標準 (AES) は、高レベルの暗号化と復号化を提供する共通鍵暗号化アルゴリズムです。AES は、データ送信のセキュリティを確保しながら、ネットワーク遅延、スループット、および転送パフォーマンスへの影響はほとんどありません。
Triple Data Encryption Standard (3DES) は、3 層暗号化技術を使用してセキュリティを強化します。AES 暗号化と比較して、3DES 暗号化は大量の計算を必要とし、時間がかかり、転送パフォーマンスが低下します。
[認証アルゴリズム]
フェーズ 2 のネゴシエーションで使用される認証アルゴリズム。
有効な値:[sha1]、[md5]、[sha256]、[sha384]、[sha512]。デフォルト値:sha1。
[DH グループ]
フェーズ 2 のネゴシエーションで使用される DH 鍵交換アルゴリズム。デフォルト値:group2。有効な値:
[無効]: DH 鍵交換アルゴリズムを使用しません。
完全前方秘匿性 (PFS) をサポートしていないクライアントの場合は、[無効] を選択します。
[無効] 以外の値を選択した場合、デフォルトで PFS が有効になります。この場合、ネゴシエーションごとに鍵が更新されます。したがって、クライアントで PFS を有効にする必要があります。
[group1]: DH group 1。
[group2]: DH group 2。
[group5]: DH group 5。
[group14]: DH group 14。
[SA ライフサイクル (秒)]
フェーズ 2 のネゴシエーションが成功した後の SA のライフタイム。単位:秒。デフォルト値:[86400]。有効な値:[0 ~ 86400]。
[DPD]
DPD 機能を有効にするかどうかを指定します。この機能はデフォルトで有効になっています。DPD パケットのタイムアウト期間は 30 秒です。
説明IPsec-VPN 接続で IKEv2 を使用するシナリオでは、既存の一部の VPN ゲートウェイの DPD パケットのタイムアウト期間が 130 秒または 3,600 秒になる場合があります。アップグレード して、これらの VPN ゲートウェイを最新バージョンにすることができます。
NAT トラバーサル
NAT トラバーサル機能を有効にするかどうかを指定します。デフォルトでは、NAT トラバーサル機能は有効になっています。
BGP 設定
IPsec-VPN 接続で BGP 動的ルーティング機能が有効になっている場合は、BGP トンネルの CIDR ブロックと Alibaba Cloud 側の BGP トンネルの IP アドレスを指定する必要があります。
パラメータ
説明
トンネル CIDR ブロック
IPsec トンネルの CIDR ブロック。
CIDR ブロックは 169.254.0.0/16 に属し、CIDR ブロックのサブネットマスクは 30 ビットの長さである必要があります。CIDR ブロックは、169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、または 169.254.169.252/30 にすることはできません。
ローカル BGP IP アドレス
Alibaba Cloud 側の IPsec-VPN 接続の BGP IP アドレス。
この IP アドレスは、トンネルの CIDR ブロック内に属している必要があります。
ヘルスチェック
デフォルトでは、ヘルスチェック機能は無効になっています。ヘルスチェック構成を追加する前に、ヘルスチェック機能を有効にしてください。
重要IPsec-VPN 接続のヘルスチェックを有効にした後、次のルートをデータセンターに追加します。宛先 CIDR ブロックは 送信元 IP、サブネットマスクは 32 ビットの長さ、ネクストホップは IPsec-VPN 接続です。これにより、ヘルスチェックが想定どおりに実行されます。
パラメータ
説明
宛先 IP
IPsec-VPN 接続に基づいて VPC が通信できるデータセンターの IP アドレス。
説明宛先 IP アドレスが ICMP 応答をサポートしていることを確認してください。
送信元 IP
IPsec-VPN 接続に基づいてデータセンターが通信できる VPC の IP アドレス。
再試行間隔
ヘルスチェックの再試行間隔。単位:秒。デフォルト値:[3]。
再試行回数
ヘルスチェックの再試行回数。デフォルト値:[3]。
タグ
IPsec-VPN 接続を作成する際に、リソースの集約と検索を容易にするために、IPsec-VPN 接続にタグを追加できます。詳細については、「概要」をご参照ください。
パラメータ
説明
[タグキー]
IPsec-VPN 接続のタグキー。タグキーを選択または入力できます。
[タグ値]
IPsec-VPN 接続のタグ値。タグ値を選択または入力できます。[タグ値] パラメータは空のままにすることができます。
表示されるメッセージで、[OK] をクリックします。
次の手順
IPsec-VPN 接続の作成後、IPsec-VPN 接続のピア構成をダウンロードし、その構成をオンプレミスゲートウェイデバイスにアップロードする必要があります。詳細については、このトピックの IPsec-VPN 接続の構成をダウンロードする セクションと ローカルゲートウェイを構成する をご参照ください。
IPsec-VPN 接続の構成をダウンロードする
IPsec-VPN 接続の作成後、IPsec-VPN 接続の構成をダウンロードし、その構成をオンプレミスゲートウェイデバイスにロードできます。
VPN ゲートウェイコンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、IPsec-VPN 接続のリージョンを選択します。
[ipsec 接続] ページで、管理する IPsec-VPN 接続を見つけ、[ピア構成の生成][アクション] 列の をクリックします。
VPN 接続の設定 ダイアログボックスで、構成をコピーし、オンプレミスゲートウェイデバイスを構成するために、オンプレミスマシンに保存します。
オンプレミスゲートウェイデバイスの構成方法の詳細については、「ローカルゲートウェイを構成する」をご参照ください。
IPsec-VPN 接続を変更する
IPsec-VPN 接続に関連付けられている VPN ゲートウェイまたはカスタマーゲートウェイを変更することはできません。ただし、IPsec-VPN 接続のルーティングモード、事前共有鍵、および暗号化構成を変更することはできます。
VPN ゲートウェイコンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、IPsec-VPN 接続のリージョンを選択します。
[ipsec 接続] ページで、管理する IPsec-VPN 接続を見つけ、[編集][アクション] 列の をクリックします。
[ipsec-vpn 接続の変更] ページで、ビジネス要件に基づいて名前、暗号化構成、および CIDR ブロックを変更し、[OK] をクリックします。
詳細については、このトピックの IPsec-VPN 接続を作成する セクションをご参照ください。
IPsec-VPN 接続を削除する
VPN ゲートウェイコンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
- 上部のナビゲーションバーで、IPsec-VPN 接続のリージョンを選択します。
[ipsec 接続] ページで、削除する IPsec-VPN 接続を見つけ、[削除][アクション] 列の をクリックします。
表示されるメッセージで、情報を確認し、[OK] をクリックします。
API オペレーションを呼び出して IPsec-VPN 接続を作成および管理する
Alibaba Cloud SDK、Alibaba Cloud CLI、Terraform、Resource Orchestration Service (ROS) などのツールを使用して、API オペレーションを呼び出すことで IPsec-VPN 接続を作成および管理できます。API オペレーションの詳細については、以下のトピックをご参照ください。