IPsec-VPN接続を作成した後、IPsec-VPN接続に関連付けられているVPNゲートウェイのデータセンターのルートを設定する必要があります。 関連する仮想プライベートクラウド (VPC) からデータセンター宛てのトラフィックがVPNゲートウェイに転送された後、VPNゲートウェイはルーティング情報を照会することによってトラフィックをデータセンターに転送します。
背景情報
IPsec-VPN接続を使用してデータセンターをVPCに接続する場合、データセンターとVPC間のデータ伝送を可能にするために、VPC、VPNゲートウェイ、およびデータセンターのルートを追加する必要があります。
ルートを設定するときは、静的ルートを設定したり、Border Gateway Protocol (BGP) 動的ルーティングを使用して自動ルート学習を有効にしたりできます。 次の表に、さまざまなシナリオでのルーティング設定を示します。
ルーティング方法 | トラフィック方向 | [VPC] | VPNゲートウェイ | データセンター |
静的ルート | データセンター向け | データセンターでルートを指定する必要があります。 手動設定と自動広告の両方がサポートされています。
| データセンター宛てのルートを追加する必要があります。 次の管理方法がサポートされています。
| 非該当 |
VPCの宛先 | 非該当 | 非該当 VPNゲートウェイは、関連するVPC宛てのルートを自動的に学習します。 追加の操作は必要ありません。 | ネクストホップがVPCからIPsec-VPN接続を指すルートを追加する必要があります。 | |
BGP動的ルーティング | データセンター向け | 非該当 VPNゲートウェイの自動ルート広告を有効にすると、VPNゲートウェイはデータセンターからVPCへのルートを自動的に広告します。 | BGP動的ルーティングを設定する必要があります。 BGP動的ルーティングが設定されると、VPNゲートウェイはデータセンターとVPC宛てのルートを自動的に学習します。 また、VPCからデータセンターへのルートを自動的にアドバタイズします。 | BGP動的ルーティングを設定する必要があります。 BGP動的ルーティングが設定されると、データセンターはデータセンター内のルートをVPNゲートウェイにアドバタイズし、VPC宛てのルートを自動的に学習することもできます。 |
VPCの宛先 | 非該当 |
VPN gatewayルーティングの設定
このトピックでは、VPN Gatewayのルーティング設定について説明します。VPCまたはデータセンターのルーティング設定については説明しません。
静的ルーティング
宛先ベースのルート
宛先ベースのルートを設定するときは、宛先CIDRブロックとネクストホップを指定する必要があります。 VPNゲートウェイは、トラフィックの宛先IPアドレスと一致する宛先ベースのルートを識別し、次いで、一致した宛先ベースのルートのネクストホップに基づいてトラフィックを転送する。 詳細については、「宛先ベースのルートの設定」をご参照ください。
ポリシーベースのルート
ポリシーベースのルートを設定するときは、ソースCIDRブロック、宛先CIDRブロック、およびネクストホップを指定する必要があります。 VPNゲートウェイは、トラフィックの送信元IPアドレスと宛先IPアドレスとに一致するポリシーベースのルートを識別し、一致したポリシーベースのルートのネクストホップに基づいてトラフィックを転送します。 詳細については、「ポリシーベースのルートの管理」をご参照ください。
BGP動的ルーティング
BGP は、TCP (Transmission Control Protocol) に基づく動的ルーティングプロトコルです。 BGPは、自律システム (AS) 間でルーティングおよびネットワークアクセシビリティ情報を交換するために使用されます。 VPNゲートウェイとデータセンターをBGPピアとして指定するには、VPNゲートウェイとデータセンターにBGP設定を追加する必要があります。 その後、構成されたルートを相互に学習できるため、ネットワークのメンテナンスコストとネットワーク構成エラーが削減されます。 詳細については、「BGP動的ルーティングの設定」をご参照ください。
ルーティング方法を選択します。
VPN gatewayがBGP動的ルーティングをサポートしているかどうかを確認します。 そうでない場合は、静的ルーティングを選択する必要があります。
デフォルトでは、2024年12月26日以降に作成され、デュアルトンネルIPsec-VPN接続をサポートするVPNゲートウェイは、BGP動的ルーティングをサポートします。 一部の既存のVPNゲートウェイは、リージョン制限または古いバージョンのためにBGP動的ルーティングをサポートしない場合があります。 DescribeVpnGatewayまたはDescribeVpnGateways APIを呼び出して、既存のVPNゲートウェイがBGP動的ルーティングをサポートしているかどうかを照会できます。 TagのVpnEnableBgpパラメーターがtrueを返した場合、VPNゲートウェイはBGP動的ルーティングをサポートします。
VPN gatewayがBGP動的ルーティングをサポートしていない場合は、次の手順を実行します。
VPN gatewayがデュアルトンネルIPsec-VPN接続をサポートしている場合は、VPN gatewayをアップグレードします。
VPNゲートウェイがシングルトンネルIPsec-VPN接続のみをサポートしている場合は、デュアルトンネルIPsec-VPN接続にアップグレードします。
データセンターのゲートウェイデバイスがBGP動的ルーティングをサポートしているかどうかを確認します。 そうである場合、BGP動的ルーティングを選択できます。 いいえの場合は、静的ルーティングを選択する必要があります。
シナリオで静的ルーティングとBGP動的ルーティングの両方がサポートされている場合は、次の表の情報に基づいてルーティング方法を選択できます。
ルーティング方法
サポートされるシナリオ
設定の複雑さ
ルートのメンテナンスコスト
高可用性モード
静的ルート
データセンター内のルートの数は少なく、ルートの変更はまれです。
低い
Medium
VPC、データセンター、およびVPNゲートウェイのルーティング設定を完了する必要があります。 データセンターのルートが変更された場合は、VPNゲートウェイのルーティング設定を手動で変更する必要があります。
1つのVPNゲートウェイを使用してデータセンターとAlibaba Cloudの間に複数のIPsec-VPN接続が確立されている場合、これらの接続は静的ルーティングを介してアクティブ /スタンバイモードにすることができます。 これにより、高い可用性が保証されます。
BGP動的ルーティング
データセンター内のルートの数は多く、ルートの変更は頻繁に行われます。
低い
低い
VPNゲートウェイとデータセンターにBGP設定を追加する必要があります。 データセンターのルートが変更された場合、VPNゲートウェイで操作を実行する必要はありません。 自動ルート広告および学習は、BGP動的ルーティングの広告原則に基づくBGP動的ルーティングを使用することによって可能になります。
1つのVPNゲートウェイを使用してデータセンターとAlibaba Cloudの間に複数のIPsec-VPN接続が確立されている場合、これらの接続を使用して、BGP動的ルーティングを介した等価コストマルチパス (ECMP) ルーティングを設定できます。 IPsec-VPN接続の1つに障害が発生した場合、BGP動的ルーティングを使用してルート切り替えが自動的に実装されます。 これにより、高い可用性が保証されます。
ルーティング設定に関する推奨事項
VPNゲートウェイで複数のIPsec-VPN接続が作成されている場合は、これらすべての接続に同じルーティング方法を使用することをお勧めします。 宛先ベースのルーティング、ポリシーベースのルーティング、およびBGP動的ルーティングを同時に使用することは推奨されません。
ルート優先度
次の表に、VPN gatewayルートテーブルまたはVPCルートテーブルでルート競合が発生した場合のルート優先度を示します。
降順のルート優先度は、P0 > P1 > P2 > P3である。
ルートタイプ | VPNゲートウェイのルート優先度 | VPC内のルート優先度 |
特定のルート | P0 | P0 |
システムルート | P1 | P1 |
静的ルート | P2 説明 ポリシーベースのルートは、宛先ベースのルートよりも優先されます。 | P2 |
動的ルート | P3 | P3 |