IPsec-VPNを使用してデータセンターをAlibaba Cloudに接続する場合、Alibaba CloudでVPNゲートウェイを設定し、データセンターのゲートウェイデバイスにVPN設定を追加する必要があります。 このトピックでは、H3Cファイアウォールデバイスを例として、オンプレミスのゲートウェイデバイスにVPN設定を追加する方法について説明します。

シナリオ

シナリオこのトピックでは、上記のシナリオを例として使用します。 Alibaba cloudに仮想プライベートクラウド (VPC) をデプロイしています。 VPCのCIDRブロックは192.168.10.0/24です。 アプリケーションは、VPCのECS (Elastic Compute Service) インスタンスにデプロイされます。 同社には、CIDRブロックが192.168.66.0/24であるデータセンターがあります。 事業開発のため、同社はデータセンターをVPCに接続したいと考えています。 同社は、VPNゲートウェイを使用して、データセンターとVPCの間にIPsec-VPN接続を確立することを決定しました。 これにより、データセンターはVPCと通信できます。
この例のネットワーク構成を次の表に示します。
パラメーター
VPCデータセンターと通信する必要があるプライベートCIDRブロック192.168.10.0/24
VPN ゲートウェイVPNゲートウェイのパブリックIPアドレス101.XX.XX.127
データセンターVPCと通信する必要があるプライベートCIDRブロック192.168.66.0/24
オンプレミスゲートウェイデバイスのパブリックIPアドレス122.XX.XX.248
オンプレミスゲートウェイがインターネットに接続するために使用するインターフェイスReth1
オンプレミスゲートウェイがデータセンターに接続するために使用するインターフェイスG2/0/10

前提条件

  • VPNゲートウェイ、カスタマーゲートウェイ、およびIPsec-VPN接続がAlibaba Cloud上に作成されます。 ルートはVPNゲートウェイ用に設定されます。 詳細については、「データセンターをVPCに接続する」をご参照ください。
  • IPsec-VPN 接続の設定を取得しています。 詳細については、「IPsec-VPN 接続設定のダウンロード」をご参照ください。
    この例のIPsec-VPN接続の設定を次の表に示します。
    パラメーター
    事前共有キーff123TT ****
    IKE設定IKE バージョンikev1
    ネゴシエーションモードメイン
    暗号化アルゴリズムaes
    説明 IPsec-VPN接続の暗号化アルゴリズムがAES (Advanced encryption Standard) の場合、H3Cファイアウォールデバイスの暗号化アルゴリズムをAES-CBC-128する必要があります。
    認証アルゴリズムsha1
    DH グループgroup2
    SAのライフサイクル (秒)86400
    IPsec configurations暗号化アルゴリズムaes
    説明 IPsec-VPN接続の暗号化アルゴリズムがAESの場合、H3Cファイアウォールデバイスの暗号化アルゴリズムをAES-CBC-128する必要があります。
    認証アルゴリズムsha1
    DH グループgroup2
    SAのライフサイクル (秒)86400

H3Cファイアウォールデバイスの設定

説明 以下の内容は、あくまでも参考です。 実際の操作については、デバイスのマニュアルを参照してください。
  1. H3Cファイアウォールデバイスのwebコンソールにログインします。
  2. 左側のナビゲーションウィンドウで、[ネットワーク] > [VPN] > [IPsec] > [ポリシー] を選択します。 [IPsecポリシーの作成] ページで、ダウンロードしたIPsec-VPN接続の設定に基づいてIPsecポリシーを設定します。

    送信元IPアドレスをデータセンターのプライベートCIDRブロック (この例では192.168.66.0/24) に設定します。 送信先IPアドレスをVPCのプライベートCIDRブロック (この例では192.168.10.0/24) に設定します。

  3. 左側のナビゲーションウィンドウで、[ネットワーク] > [VPN] > [IPsec] > [IKE提案] を選択し、[作成] をクリックしてIKE設定を追加します。
  4. 左側のナビゲーションウィンドウで、[ネットワーク] > [VPN] > [IPsec] > [ポリシー] を選択します。 作成したIPsecポリシーを見つけ、[詳細設定] をクリックしてIPsec設定を追加します。
  5. 左側のナビゲーションウィンドウで、[ネットワーク] > [VPN] > [IPsec] > [ポリシー] > [セキュリティポリシー] > [作成] を選択して、アップストリームセキュリティポリシーとダウンストリームセキュリティポリシーを作成します。
    • アップストリームセキュリティポリシーは、データセンターからVPCへのトラフィックを制御します。
    • ダウンストリームセキュリティポリシーは、VPCからデータセンターへのトラフィックを制御します。
  6. 左側のナビゲーションペインで、 Network > Routes > Static Routesを選択します。 [IPv4静的ルートの作成] ページで、静的ルートを追加します。
    • 静的ルートを追加して、データセンターからVPCにトラフィックをルーティングします。
    • 静的ルートを追加して、VPCからデータセンターにトラフィックをルーティングします。
      説明 この例では、直接ルートが使用されているため、このルートは必要ありません。 ビジネス要件に基づいて静的ルートを追加できます。