このドキュメントでは、Huawei の USG シリーズ次世代ファイアウォールデバイス(USG シリーズ Huawei デバイスとも呼ばれる)を通じて IPsec-VPN 接続を設定し、オンプレミスデータセンターに接続する方法を説明します。 IPsec-VPN を使用してサイト間の接続を作成するため、Alibaba Cloud VPN Gateway 用に設定された IPsec-VPN 接続に基づいてローカルゲートウェイを設定する必要があります。
Alibaba Cloud VPN Gateway は、標準の IKEv1 および IKEv2 プロトコルをサポートしています。 したがって、これらの 2 つのプロトコルをサポートするデバイス (Huawei、H3C、Hillstone、Sangfor、Cisco ASA、Juniper、SonicWall、Nokia、IBM、および Ixia など) は、VPN Gateway に接続できます。
ネットワークの設定 | 値の例 | |
---|---|---|
VPC | VSwitch の CIDR ブロック | 192.168.10.0/24, 192.168.11.0/24 |
VPN Gateway のパブリック IP アドレス | 47.97.161.10 | |
オンプレミスデータセンター | イントラネットの CIDR ブロック | 10.10.10.0/24 |
ファイアウォールのパブリック IP アドレス | 124.90.34.215/26 | |
アップストリームインターネットインターフェイス | 10GE1/0/0 | |
ダウンストリームイントラネットインターフェイス | 10GE1/0/1 |
IKEv1 VPN の設定
-
Alibaba Cloud VPC で IPsec-VPN 接続を作成します。 詳細は、IPsec-VPN 接続の作成 をご参照ください.
-
IPsec-VPN 接続の設定を取得しています。 この例では、以下の表に示す設定が使用されています。
プロトコル 設定 値の例 IKE 認証アルゴリズム SHA-1 暗号化アルゴリズム AES-128 DH Group グループ 2 IKE Version IKE v1 SA ライフサイクル 86400 ネゴシエーションモード メイン PSK 123456 IPsec 認証アルゴリズム SHA-1 Encryption Algorithm AES-128 DH Group グループ 2 IKE Version IKE v1 SA ライフサイクル 86400 ネゴシエーションモード esp
ユーザーのゲートウェイ設定を USG シリーズ Huawei デバイスにロードするには、次の手順に従います。
- Huawei のファイアウォール管理ページに移動します。
- をクリックします untrust セキュリティゾーンにアップストリームインターネットインターフェイス 10GE1/0/0 を追加してから、パブリック IP アドレスを設定します。ダウンストリームイントラネットインターフェイス 10GE1/0/1 を trust セキュリティゾーンに追加してから、プライベート IP アドレスを設定します。
- をクリックして、セキュリティーポリシーを作成します。
-
ローカルインターフェイス :アップストリームインターネットインターフェイスを選択します。 この例では、10GE1/0/0 を選択します。
-
ピアアドレス:Alibaba Cloud VPN ゲートウェイのパブリック IP アドレスを入力します。 この例では、 47.97.161.10 と入力します。
-
事前共有キー :事前共有キーは Alibaba Cloud 側の PSK と同様です。 この例では、123456 と入力します。
をクリックします。 次を参照してピアサイトを設定します。
-
- 暗号化待ちデータフローページで、 追加をクリックします。 次の情報に従って、VPC 内のすべての VSwitch CIDR ブロックに対して暗号化するデータフローを追加します。
-
送信元アドレス/アドレスセット:オンプレミスデータセンターのプライベート IP アドレスセグメントを入力します。 この例では、10.10.10.0/24 と入力します。
-
宛先アドレス/アドレスセット:VPC の VSwitch IP アドレスセグメントを入力します。 この例では、192.168.10.0/24 と 192.168.11.0/24 を入力します。
-
- IKE / IPsec プロトコルページで、詳細をクリックします。 ダウンロードした IPsec-VPN 接続の設定に基づいて、IKE パラメータと IPSec パラメータを構成します。
- をクリックしてファイアウォール用のスタティックルートを設定します。 デフォルトルートを追加すると、ネクストホップはファイアウォールのパブリック IP アドレスになります。 VPC にルートを追加すると、ネクストホップは VPN Gateway のパブリック IP アドレスになります。
IKEv2 VPN の設定
-
Alibaba Cloud VPC で IPsec-VPN 接続を作成しています。
-
IPsec-VPN 接続の設定を取得しています。 この例では、以下の表に示す設定が使用されています。
プロトコル 設定 値の例 IKE 認証アルゴリズム SHA-1 暗号化アルゴリズム AES-128 DH グループ グループ 2 IKE バージョン IKE v2 SA ライフサイクル 86400 PRF アルゴリズム SHA-1 PSK 123456 IPsec 認証アルゴリズム SHA-1 暗号化アルゴリズム AES-128 DH グループ グループ 2 IKE バージョン IKE v2 SA ライフサイクル 86400 ネゴシエーションモード esp
手順
ユーザーのゲートウェイ設定を USG シリーズ Huawei デバイスにロードするには、次の手順に従います。
- Huawei のファイアウォール管理ページに移動します。
- をクリックします untrust セキュリティゾーンにアップストリームインターネットインターフェイス 10GE1/0/0 を追加してから、パブリック IP アドレスを設定します。ダウンストリームイントラネットインターフェイス 10GE1/0/1 を trust セキュリティゾーンに追加してから、プライベート IP アドレスを設定します。
- をクリックして、セキュリティーポリシーを作成します。
-
ローカルインターフェイス :アップストリームインターネットインターフェイスを選択します。 この例では、10GE1/0/0 を選択します。
-
ピアアドレス:Alibaba Cloud VPN Gateway のパブリック IP アドレスを入力します。 この例では、 47.97.161.10 と入力します。
-
事前共有キー :事前共有キーは Alibaba Cloud 側の PSK と同様です。 この例では、123456 と入力します。
をクリックします。 次を参照してピアサイトを設定します。
-
- 暗号化待ちデータフローページで、 追加をクリックします。 次の情報に従って、VPC 内のすべての VSwitch CIDR ブロックに対して暗号化するデータフローを追加します。
-
送信元アドレス/アドレスセット:オンプレミスデータセンターのプライベート IP アドレスセグメントを入力します。 この例では、10.10.10.0/24 と入力します。
-
宛先アドレス/アドレスセット:VPC の VSwitch IP アドレスセグメントを入力します。 この例では、192.168.10.0/24 と 192.168.11.0/24 を入力します。
-
- IKE / IPsec プロトコルページで、詳細をクリックします。 ダウンロードした IPsec-VPN 接続の設定に基づいて、IKE パラメータと IPSec パラメータを構成します。
- をクリックしてファイアウォール用のスタティックルートを設定します。 デフォルトルートを追加すると、ネクストホップはファイアウォールのパブリック IP アドレスになります。 VPC にルートを追加すると、ネクストホップは VPN Gateway のパブリック IP アドレスになります。