IPsec-VPNを使用してサイト間接続を確立する場合、Alibaba CloudでVPNゲートウェイを設定した後、データセンターにデプロイされているゲートウェイデバイスにIPsec-VPN設定をロードする必要があります。 このトピックでは、データセンターにデプロイされているCiscoファイアウォールデバイスにIPsec-VPN設定をロードする方法の例を示します。

このタスクについて

次の表に、この例の仮想プライベートクラウド (VPC) とデータセンターのネットワーク構成を示します。
パラメーター
VPCvSwitchのCIDRブロック192.168.10.0/24および192.168.11.0/24
VPNゲートウェイのパブリックIPアドレス47.XX。XX.161
データセンタープライベート CIDR ブロック10.10.10.0/24
CiscoファイアウォールデバイスのパブリックIPアドレス124.XX.XX.171
説明 データセンターの複数のCIDRブロックをVPCに接続する場合は、同じ数のIPsec-VPN接続を作成し、Alibaba CloudのVPNゲートウェイにルートを追加することを推奨します。

IKEv1 VPNの設定

前提条件:

  • IPsec-VPN接続がAlibaba CloudのVPCに作成されます。 詳細については、「IPsec-VPN接続の作成と管理」をご参照ください。

  • IPsec-VPN 接続の設定を取得しています。 詳細については、「IPsec-VPN 接続設定のダウンロード」をご参照ください。 この例では、次の構成を使用します。
    プロトコルパラメーター
    IKE認証アルゴリズムSHA-1
    暗号化アルゴリズムAES
    DH グループグループ 2
    IKE バージョンIKE v1
    ライフサイクル86400
    ネゴシエーションモードメイン
    PSK123456
    IPsec認証アルゴリズムSHA-1
    暗号化アルゴリズムAES
    DH グループグループ 2
    IKE バージョンIKE v1
    ライフサイクル86400
    ネゴシエーションモードesp
  1. ファイアウォールデバイスのコマンドラインインターフェイスにログインします。
  2. ISAKMPポリシーを作成します。
    crypto isakmpポリシー1
事前共有认证
暗号化aes
ハッシュシャ
グループ2
寿命86400
  3. 事前共有キーを設定します。
    crypto isakmpキー123456アドレス47.XX. XX.161
  4. IPsecプロトコルを指定します。
    crypto ipsec transform-set ipsecpro64 esp-aes esp-sha-hmac
モードトンネル
  5. ネットワークアクセス制御リスト (ACL) を作成して、暗号化する受信および送信トラフィックフローを指定します。
    説明 ファイアウォールデバイスで複数のCIDRブロックが設定されている場合は、各CIDRブロックにネットワークACLを作成する必要があります。
    アクセスリスト100許可ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.0.255
アクセスリスト100許可ip 10.10.10.0 0.0.0.255 192.168.11.0 0.0.0.0.255
  6. IPsecポリシーを作成します。
    暗号マップipsecpro64 10 ipsec-isakmp
セットピア47.XX. XX.161
set transform-set ipsecpro64
セットpfs group2
一致アドレス100
  7. IPsecポリシーを適用します。
    インターフェースg0/0
暗号マップipsecpro64
  8. 静的ルートの設定 
    ipルート192.168.10.0 255.255.255.0 47.XX. XX.161
ipルート192.168.11.0 255.255.255.0 47.XX. XX.161
  9. 接続性のテスト
    Alibaba Cloudのホストとデータセンターのホストを使用して、接続をテストできます。

IKEv2 VPN の設定

前提条件:

  • IPsec-VPN接続がAlibaba CloudのVPCに作成されます。 詳細については、「IPsec-VPN接続の作成と管理」をご参照ください。

  • IPsec-VPN 接続の設定を取得しています。 詳細については、「IPsec-VPN 接続設定のダウンロード」をご参照ください。 この例では、次の構成を使用します。

    プロトコルパラメーター
    IKE認証アルゴリズムSHA-1
    暗号化アルゴリズムAES-128
    DH グループグループ 2
    IKE バージョンIKE v2
    ライフサイクル86400
    PRF アルゴリズムSHA-1
    PSK123456
    IPsec認証アルゴリズムSHA-1
    暗号化アルゴリズムAES-128
    DH グループグループ 2
    IKE バージョンIKE v2
    ライフサイクル86400
    ネゴシエーションモードesp
  1. ファイアウォールデバイスのコマンドラインインターフェイスにログインします。
  2. IKEフェーズ1ネゴシエーションで使用するアルゴリズムを指定します。 
    crypto ikev2提案デーモン
暗号化aes-cbc-128
インテグリティsha1
グループ2
  3. IKEv2ポリシーを作成し、IKEv2提案を設定します。
    暗号ikev2ポリシーipsecpro64_v2
提案デーモン
  4. 事前共有キーを設定します。
    暗号ikev2キーリングipsecpro64_v2
ピアvpngw
アドレス47.XX. XX.161
事前共有キー0 123456
  5. ID検証を設定します。 
    crypto ikev2プロファイルipsecpro64_v2
一致IDリモートアドレス47.XX. XX.161 255.255.255.255
IDローカルアドレス10.10.10.1
认证リモート事前共有
認証ローカル事前共有
キーリングローカルipsecpro64_v2
  6. IPsecプロトコルを指定します。
    crypto ipsec transform-set ipsecpro64_v2 esp-aes esp-sha-hmac
モードトンネル
  7. ネットワークACLを作成して、暗号化する受信および送信トラフィックフローを指定します。
    説明 ファイアウォールデバイスで複数のCIDRブロックが設定されている場合は、各CIDRブロックにネットワークACLを作成する必要があります。
    アクセスリスト100許可ip 10.10.10.0 0.0.0.255 192.168.10.0 0.0.0.0.255
アクセスリスト100許可ip 10.10.10.0 0.0.0.255 192.168.11.0 0.0.0.0.255
  8. IPsecポリシーを作成します。 
    暗号マップipsecpro64_v2 10 ipsec-isakmp
セットピア47.XX. XX.161
set transform-set ipsecpro64_v2
セットpfs group2
セットikev2-profile ipsecpro64_v2
一致アドレス100
  9. IPsecポリシーを適用します。
    インターフェースg0/1
暗号マップipsecpro64_v2
  10. 静的ルートの設定 
    ipルート192.168.10.0 255.255.255.0 47.XX. XX.161
ipルート192.168.11.0 255.255.255.0 47.XX. XX.161
  11. 接続性のテスト

    Alibaba Cloudのホストとデータセンターのホストを使用して、接続をテストできます。