IPsec-VPN接続をトランジットルーターにアタッチした後、IPsec-VPN接続のデータセンターへのルートを設定します。IPsec-VPN接続はこれらのルートを使用して、トランジットルーターからデータセンターにトラフィックを転送し、データセンターとトランジットルーター間の通信を可能にします。
背景情報
データセンターをIPsec-VPN接続を使用してトランジットルーターに接続するには、トランジットルーター、IPsec-VPN接続、およびデータセンターにルートを追加する必要があります。これらのルートにより、データセンターとトランジットルーター間のトラフィックが可能になります。
このトピックでは、IPsec-VPN接続のルート設定に焦点を当てており、トランジットルーターまたはデータセンターのルート設定については詳しく説明していません。IPsec-VPN接続は、静的ルーティングと、ボーダーゲートウェイプロトコル (BGP) を介した自動ルート学習をサポートしています。
ルーティング設定方法の選択
IPsec-VPN接続のリージョンがBGP 動的ルーティングプロトコルをサポートしているかどうかを確認します。リージョンがBGP をサポートしていない場合は、静的ルーティングを使用する必要があります。
重要BGP 動的ルーティングプロトコルをサポートしていないリージョンでは、以前に作成したシングルトンネルの IPsec 接続は引き続き BGP をサポートしません。そのリージョンで新しい IPsec 接続を作成すると、新しい接続はデフォルトでデュアルトンネルモードになり、BGP をサポートします。
ご利用のオンプレミスゲートウェイデバイスがBGP 動的ルーティングプロトコルをサポートしているかどうかを確認します。デバイスがBGP をサポートしている場合は、BGP 動的ルーティングを使用できます。そうでない場合は、静的ルーティングを使用する必要があります。
ご利用のシナリオが静的ルーティングとBGP 動的ルーティングの両方をサポートしている場合は、以下の情報を参照して方法を選択してください。
ルーティング設定方法
シナリオ
設定の複雑さ
ルートメンテナンスコスト
静的ルーティング
データセンターのルートが少なく、ルートが頻繁に変更されないシナリオに適しています。
簡単
中
データセンターのルートが変更された場合、VPN Gatewayでルート設定を手動で変更する必要があります。
BGP 動的ルーティング
データセンターのルートが多く、ルートが頻繁に変更されるシナリオに適しています。
簡単
低
データセンターのルートが変更された場合、VPN Gatewayでの操作は不要です。BGP 動的ルーティングプロトコルは、BGP アドバタイズメントルールに基づいてルートを自動的に配布および学習します。
ルーティング設定の推奨事項
IPsec-VPN接続には、1つのルーティング設定方法のみを使用してください。宛先ベースルートとBGP 動的ルーティングを同時に使用しないでください。
デュアルトンネル IPsec-VPN接続の場合は、BGP 動的ルーティングを使用してください。静的ルーティングを使用する必要がある場合は、ご利用のオンプレミスゲートウェイデバイスが静的 ECMP ルートをサポートしていることを確認してください。そうでない場合、データセンターからAlibaba CloudへのトラフィックはECMP パス経由で転送できませんが、Alibaba CloudからデータセンターへのトラフィックはECMP パス経由で転送できます。これにより、トラフィックが予期しないパスを通る可能性があります。
デュアルトンネル IPsec-VPN接続を使用する場合は、接続の安定性を向上させるために、以下の原則に従ってルートを設定してください。
IPsec-VPN接続の2つのトンネルには、同じルーティングプロトコルを設定します。つまり、IPsec-VPN接続には静的ルーティングのみを設定するか、両方のトンネルにBGP 動的ルーティングを設定します。
IPsec-VPN接続にBGP を設定する場合、両方のトンネルのローカル ASN は同じである必要があります。2つのトンネルのピアのBGP AS 番号は異なる場合がありますが、同じにすることをお勧めします。
ルートマッチングの原則
IPsec-VPN接続がデータセンターにトラフィックを転送する場合、デフォルトでは最長プレフィックス一致ルールに基づいて、宛先ベースルートまたはBGP ルートとトラフィックを照合します。
複数のIPsec-VPN接続が宛先ベースルートとBGP ルートの両方をトランジットルーターに伝播し、宛先 CIDR ブロックが同じである場合、トランジットルーターはデフォルトでBGP ルートを優先します。詳細については、「トランジットルーターのルート優先度」をご参照ください。
ルートの設定
宛先ベースルートの設定
宛先ベースルートを設定する場合、宛先 CIDR ブロックとネクストホップ情報を指定する必要があります。IPsec-VPN接続は、宛先 IP アドレスに基づいてトラフィックを照合し、照合されたルートに基づいてトラフィックを転送します。
前提条件
IPsec-VPN接続はトランジットルーターインスタンスにアタッチされています。アタッチメントは次のいずれかの方法で作成できます。
接続を作成するときに、IPsec-VPN接続をトランジットルーターインスタンスにアタッチします。詳細については、「IPsec-VPN接続 (TR-デュアルトンネル)」をご参照ください。
リソースにアタッチされていないIPsec-VPN接続がある場合は、Cloud Enterprise Network (CEN) コンソールでトランジットルーターにアタッチできます。詳細については、「VPN接続の作成」をご参照ください。
説明IPsec-VPN接続がすでにVPN Gatewayインスタンスにアタッチされている場合、トランジットルーターインスタンスにアタッチすることはできません。
制限事項
宛先 CIDR ブロックが 0.0.0.0/0 に設定された宛先ベースルートを追加することはできません。
宛先 CIDR ブロックが 100.64.0.0/10、100.64.0.0/10 のサブネット、または 100.64.0.0/10 を含む CIDR ブロックである宛先ベースルートを追加しないでください。このようなルートは、コンソールがIPsec-VPN接続のステータスを表示できない原因となったり、接続ネゴシエーションが失敗する原因となったりする可能性があります。
デュアルトンネル IPsec-VPN接続を作成し、宛先ベースルートを追加する場合、トンネルステータスが[フェーズ2ネゴシエーション成功] の場合にのみ、システムはルートをトランジットルーターのルートテーブルに伝播します。
設定手順
宛先ベースルートの追加
VPN Gateway コンソールにログインします。
- トップナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
[IPsec 接続] ページで、管理する IPsec 接続を見つけ、その ID をクリックします。
宛先ベースルーティング タブで、ルートエントリの追加 をクリックします。
ルートエントリの追加 パネルで、以下の情報に基づいて宛先ベースルートを設定し、OK をクリックします。
設定
説明
宛先 CIDR ブロック
ご利用のデータセンターの CIDR ブロックを入力します。
ネクストホップの種類
[IPsec-VPN 接続] を選択します。
ネクストホップ
IPsec-VPN接続インスタンスを選択します。
宛先ベースルートの削除
VPN Gateway コンソールにログインします。
- トップナビゲーションバーで、IPsec-VPN接続のリージョンを選択します。
[IPsec 接続] ページで、管理する IPsec 接続を検索し、その ID をクリックします。
宛先ベースルーティング タブで、削除するルートを見つけ、操作 列の 削除 をクリックします。
「ルートエントリの削除」ダイアログボックスで、[OK] をクリックします。
参照情報
BGP 動的ルーティングの設定
BGP は、TCP に基づく動的ルーティングプロトコルであり、自律システム間でルーティングおよびネットワーク到達可能性情報を交換します。BGP ピア関係を確立するために、IPsec-VPN接続とご利用のデータセンターでBGP を設定します。BGP ピア関係が確立されると、IPsec-VPN接続とご利用のデータセンターは互いからルートを自動的に学習します。これにより、ネットワークメンテナンスコストと設定リスクが削減されます。
BGP アドバタイズメントルール
IPsec-VPN接続とデータセンターにBGP 動的ルーティングを設定した後、BGP ルートは以下のルールに基づいてアドバタイズされます。
オンプレミスからクラウドへ
データセンターがBGP を介してローカルルートをアドバタイズすると、ルートは自動的にクラウドのIPsec-VPN接続に伝播されます。IPsec-VPN接続とトランジットルーターのルートテーブルの間でルート学習関係が確立されると、システムはIPsec-VPN接続のBGP ルートテーブルからトランジットルーターのルートテーブルにルートを自動的に伝播します。
クラウドからオンプレミスへ
トランジットルーターでIPsec-VPN接続のルート同期を有効にすると、システムはトランジットルーターのルートテーブルからIPsec-VPN接続のBGP ルートテーブルにルートを伝播します。その後、IPsec-VPN接続はBGP ルートテーブル内のルートをデータセンターに自動的に伝播します。
BGP の制限事項
デュアルトンネル IPsec-VPN接続の場合、1つのIPsec-VPN接続のBGP ルートテーブルは、ピアから最大 2,000 のルートを受信できます。各トンネルは最大 1,000 のルートを受信できます。このクォータは増やすことはできません。
シングル トンネル IPsec 接続の BGP ルートテーブルは、ピアから最大 50 ルートを受信できます。クォータを増やすには、チケットを送信してください。クォータは最大 200 まで増やすことができます。
IPsec-VPN接続がトランジットルーターインスタンスにアタッチされた後、BGP を使用して、オンプレミスゲートウェイデバイスとトランジットルーターインスタンスの間で宛先 CIDR ブロックが 0.0.0.0/0 のルートを伝播できます。
アクティブ/スタンバイモードでExpress Connect 回線とIPsec-VPN接続を使用してデータセンターをトランジットルーターに接続する場合、仮想ボーダールータ (VBR) とIPsec-VPN接続に設定されたデータセンターの自律システム番号が同じであることを確認してください。これにより、データセンターネットワークでのルートフラッピングを防ぎます。
BGP 動的ルーティングの設定手順
カスタマーゲートウェイインスタンスで、ご利用のデータセンターの自律システム番号を指定します。詳細については、「カスタマーゲートウェイ」をご参照ください。
カスタマーゲートウェイを作成するときに自律システム番号を指定しなかった場合は、カスタマーゲートウェイを削除して新しいものを作成する必要があります。
カスタマーゲートウェイは作成後に変更できません。ご利用のデータセンターの自律システム番号を変更するには、カスタマーゲートウェイを削除して新しいものを作成します。
IPsec-VPN接続のBGP を有効にし、BGP 設定を追加します。詳細については、「IPsec-VPN接続 (TR-デュアルトンネル)」をご参照ください。
以下の表は、BGP 動的ルーティングに特に関連性の高いパラメーターのみをリストしています。
重要IPsec-VPN接続の[ルーティングモード] には、[宛先ベースルートモード] を使用します。
設定項目
説明
カスタマーゲートウェイ
ご利用のデータセンターの自律システム番号を含むカスタマーゲートウェイインスタンスを選択します。
[BGP を有効にする]
BGP 機能を有効にするには、選択します。
ローカル ASN
トンネルのローカル自律システム番号 (ASN) を入力します。デフォルト値は45104 です。有効な範囲は1 から 4294967295 です。
トンネル CIDR ブロック
トンネルの CIDR ブロックを入力します。
トンネル CIDR ブロックは、169.254.0.0/16 内の /30 CIDR ブロックである必要があります。169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30、または 169.254.169.252/30 であってはなりません。
説明IPsec-VPN接続の2つのトンネルのトンネル CIDR ブロックは同じであってはなりません。
ローカル BGP IP アドレス
トンネルのAlibaba Cloud側のBGP IP アドレスを入力します。
このアドレスは、トンネル CIDR ブロック内の IP アドレスである必要があります。
BGP 動的ルーティングチュートリアル
オンプレミスデータセンターとマルチリージョン VPC 間で通信を可能にする IPsec-VPN接続の確立 (デュアルトンネル)