本設定例では、クラウド側の VPC (セグメント 192.168.0.0/24) と Cisco ルーター側 (セグメント 192.168.100.0/24)をRoute-basedで接続します。
事前準備
ネットワークや IP アドレスの設計を事前に設計し、接続する VPC に VPN Gateway を購入します。
本設定例では、日本側の VPC (セグメント 192.168.0.0/24) に Cisco ルーターを拠点側 (セグメント 192.168.100.0/24) のルーターとして、VPC と拠点側を接続します。
本設定例について
Alibaba CloudのVPCとの接続を保証するものではありません。
2019年 5 月の仕様に基づいて記載しています。確認しているファームウェアは下記のとおりです。今後、サービス内容の変更や、仕様変更などによって接続できなくなる可能性があります。
本設定例でテスト済みの Cisco ルーターは以下になります。
モデル | バージョン |
---|---|
C891FJ-K9 | Version 15.4(3)M8 |
Cisco ルーターに関する情報および設定方法については、Ciscoルーターお客様相談センター までお問い合わせください。
設定手順
ステップ 1:VPN Gateway の設定
- 対象 VPC に VPN Gateway とカスタマーゲートウェイを作成します。カスタマーゲートウェイの設定ではお客様拠点 ルーターのグローバル IP アドレスを使って設定します。VPN Gateway 、カスタマーゲートウェイの具体的な設定方法は、「サイト間コネクションの設定」をご参照ください。
IPsec Connections より VPN 接続を作成します。
- 「名前」任意の識別名を入力します。
- 「VPN Gateway」上項で作成したVPN Gateway名を選択します。
- 「カスタマーゲートウェイ」 上項で作成したカスタマーゲートウェイを選択します。
- 「ローカルネットワーク」 (0.0.0.0/0)を入力します。
- 「リモートネットワーク」 (0.0.0.0/0)を入力します。
- 「今すぐ有効化」“はい”を選択します。
- 「高度な構成」有効にします。
- 「事前共有鍵」拠点ルーター側と同一の任意の共有鍵を入力します。
- 「バージョン」 ikev2 を選択します。
- 「ヘルスチェック」 有効にします。
- 「宛先 IP」お客様拠点側サブネット内の疎通可能な任意のIPアドレスを入力します。
- 「送信元 IP」クラウド側サブネットの内で任意のIPアドレスを入力します。
- 「再試行間隔」任意の間隔を指定します。
- 「再試行回数」任意の回数を指定します。
- 「OK」ボタンを押します。
注意: ヘルスチェックとなります。有効にするとVPN Gatewayが対向のピアにヘルスチェックを送信し、IPsecトンネルの通信断を検出できるようになり、チェックが失敗した場合にはIPsecの再接続を試みます。そのほか項目についても運用方針に沿って指定いただけますが、拠点ルーター側と合わせる必要があります。
ルートの追加をします。
上記完了後、下記のポップアップが表示されるので、OKボタンを押します。
下記、VPN-GW のルートテーブル画面へ遷移しますので、宛先ベースルーティングのタブを選択し、ルートエントリの追加を行います。
ルートエントリの追加は下記の様に行います。
「宛先 CIDR ブロック」お客様拠点側セグメントを設定します。
「VPC に公開」“はい”を選択します。
「OK」ボタンを押します。
VPN-GW のルートテーブルにてルートエントリの追加が行われ、ステータスが公開済みとなっていることを確認します。IPsec Connectionsの画面より、VPN 接続が追加されることを確認します。
ステップ 2:Cisco ルーターの設定
Cisco ルーターにアクセスし以下の項目を設定します。
IPsec接続設定
!
crypto ikev2 proposal <ikev2proposal>
encryption aes-cbc-128
integrity sha1
group 2
!
crypto ikev2 policy <ikev2policy>
proposal <ikev2proposal>
!
crypto ikev2 keyring <ikev2keyring>
peer <AlibabaCloud>
address <VPN Gateway のグローバル IP アドレス>
pre-shared-key <Alibaba Cloud VPN Gateway と同一の任意の共有鍵>
!
!
!
crypto ikev2 profile <ikev2profile>
match address local <お客様拠点ルーターのグローバル IP アドレス>
match identity remote address <VPN GatewayのグローバルIPアドレス> 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local <ikev2keyring>
!
crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
mode tunnel
!
crypto ipsec profile <ipsecprofile>
set security-association lifetime seconds <86400>
set transform-set <ESP-AES-SHA>
set ikev2-profile <ikev2profile>
!
Tunnelインターフェイスの設定
interface Tunnel <Number>
ip unnumbered <お客様ルーターのWANインターフェイス>
ip virtual-reassembly in
tunnel source <お客様ルーターのグローバルIPアドレス>
tunnel mode ipsec ipv4
tunnel destination <VPN GatewayのグローバルIPアドレス>
tunnel protection ipsec profile <ipsecprofile>
経路設定
ip route 192.168.0.0 255.255.255.0 Tunnel <Number>
注意: ルーティング,ポリシー等の項目についても運用方針に沿ってお客様拠点側機器を設定する必要があります。ステップ1でVPN Gatewayのヘルスチェックを利用する場合は送信元IPからのICMPパケットをお客様拠点側機器で許可する必要があります。
ステップ 3:ステータス確認
Cisco ルーターの設定が完了し、接続が成功すれば、接続ステータスが「成功」、ヘルスチェックステータスが「正常」に変わります。
ステップ4:接続のテスト
VPC 内の ECS インスタンスにログインし、拠点内のプライベート IP アドレスに ping を送信して、VPC と拠点側の通信が成功することを確認します。