このドキュメントでは、Huawei の USG シリーズ次世代ファイアウォールデバイス(USG シリーズ Huawei デバイスとも呼ばれる)を通じて IPsec-VPN 接続を設定し、オンプレミスデータセンターに接続する方法を説明します。 IPsec-VPN を使用してサイト間の接続を作成するため、Alibaba Cloud VPN Gateway 用に設定された IPsec-VPN 接続に基づいてローカルゲートウェイを設定する必要があります。

Alibaba Cloud VPN Gateway は、標準の IKEv1 および IKEv2 プロトコルをサポートしています。 したがって、これらの 2 つのプロトコルをサポートするデバイス (Huawei、H3C、Hillstone、Sangfor、Cisco ASA、Juniper、SonicWall、Nokia、IBM、および Ixia など) は、VPN Gateway に接続できます。

次のセクションでは、Huawei 社の USG シリーズデバイスを例にしてネットワークシナリオを説明し、次の表に対応するネットワーク設定について説明します。
ネットワークの設定 値の例
VPC VSwitch の CIDR ブロック 192.168.10.0/24, 192.168.11.0/24
VPN Gateway のパブリック IP アドレス 47.97.161.10
オンプレミスデータセンター イントラネットの CIDR ブロック 10.10.10.0/24
ファイアウォールのパブリック IP アドレス 124.90.34.215/26
アップストリームインターネットインターフェイス 10GE1/0/0
ダウンストリームイントラネットインターフェイス 10GE1/0/1
オンプレミスデータセンター側が VPC と接続する複数の CIDR ブロックに関連付けられている場合、Alibaba Cloud 上に同数の IPsec-VPN 接続を作成し、VPN ゲートウェイを追加することを推奨します。

IKEv1 VPN の設定

前提条件
  • Alibaba Cloud VPC で IPsec-VPN 接続を作成します。 詳細は、IPsec 接続の管理 をご参照ください.

  • IPsec-VPN 接続の設定を取得しています。 この例では、以下の表に示す設定が使用されています。
    プロトコル 設定 値の例
    IKE 認証アルゴリズム SHA-1
    暗号化アルゴリズム AES-128
    DH Group グループ 2
    IKE Version IKE v1
    SA ライフサイクル 86400
    ネゴシエーションモード メイン
    PSK 123456
    IPsec 認証アルゴリズム SHA-1
    Encryption Algorithm AES-128
    DH Group グループ 2
    IKE Version IKE v1
    SA ライフサイクル 86400
    ネゴシエーションモード esp
手順

ユーザーのゲートウェイ設定を USG シリーズ Huawei デバイスにロードするには、次の手順に従います。

  1. Huawei のファイアウォール管理ページに移動します。
  2. ネットワーク > インターフェイス > インターフェイスリスト をクリックします untrust セキュリティゾーンにアップストリームインターネットインターフェイス 10GE1/0/0 を追加してから、パブリック IP アドレスを設定します。ダウンストリームイントラネットインターフェイス 10GE1/0/1 を trust セキュリティゾーンに追加してから、プライベート IP アドレスを設定します。
  3. ポリシー > セキュリティポリシー > 追加 をクリックして、セキュリティーポリシーを作成します。
  4. ネットワーク > IPSec > IPSecポリシーリスト > 追加をクリックします。 次を参照してピアサイトを設定します。
    • ローカルインターフェイス :アップストリームインターネットインターフェイスを選択します。 この例では、10GE1/0/0 を選択します。

    • ピアアドレス:Alibaba Cloud VPN ゲートウェイのパブリック IP アドレスを入力します。 この例では、 47.97.161.10 と入力します。

    • 事前共有キー :事前共有キーは Alibaba Cloud 側の PSK と同様です。 この例では、123456 と入力します。

  5. 暗号化待ちデータフローページで、 追加をクリックします。 次の情報に従って、VPC 内のすべての VSwitch CIDR ブロックに対して暗号化するデータフローを追加します。
    • 送信元アドレス/アドレスセット:オンプレミスデータセンターのプライベート IP アドレスセグメントを入力します。 この例では、10.10.10.0/24 と入力します。

    • 宛先アドレス/アドレスセット:VPC の VSwitch IP アドレスセグメントを入力します。 この例では、192.168.10.0/24 と 192.168.11.0/24 を入力します。

  6. IKE / IPsec プロトコルページで、詳細をクリックします。 ダウンロードした IPsec-VPN 接続の設定に基づいて、IKE パラメータと IPSec パラメータを構成します。
  7. ネットワーク > ルート > スタティックルート > スタティックルートリスト > 追加 をクリックしてファイアウォール用のスタティックルートを設定します。 デフォルトルートを追加すると、ネクストホップはファイアウォールのパブリック IP アドレスになります。 VPC にルートを追加すると、ネクストホップは VPN Gateway のパブリック IP アドレスになります。

IKEv2 VPN の設定

前提条件
  • Alibaba Cloud VPC で IPsec-VPN 接続を作成しています。

  • IPsec-VPN 接続の設定を取得しています。 この例では、以下の表に示す設定が使用されています。

    プロトコル 設定 値の例
    IKE 認証アルゴリズム SHA-1
    暗号化アルゴリズム AES-128
    DH グループ グループ 2
    IKE バージョン IKE v2
    SA ライフサイクル 86400
    PRF アルゴリズム SHA-1
    PSK 123456
    IPsec 認証アルゴリズム SHA-1
    暗号化アルゴリズム AES-128
    DH グループ グループ 2
    IKE バージョン IKE v2
    SA ライフサイクル 86400
    ネゴシエーションモード esp

手順

ユーザーのゲートウェイ設定を USG シリーズ Huawei デバイスにロードするには、次の手順に従います。

  1. Huawei のファイアウォール管理ページに移動します。
  2. ネットワーク > インターフェイス > インターフェースリスト をクリックします untrust セキュリティゾーンにアップストリームインターネットインターフェイス 10GE1/0/0 を追加してから、パブリック IP アドレスを設定します。ダウンストリームイントラネットインターフェイス 10GE1/0/1 を trust セキュリティゾーンに追加してから、プライベート IP アドレスを設定します。
  3. ポリシー > セキュリティポリシー > 追加 をクリックして、セキュリティーポリシーを作成します。
  4. ネットワーク > IPSec > IPSecポリシーリスト > 追加をクリックします。 次を参照してピアサイトを設定します。
    • ローカルインターフェイス :アップストリームインターネットインターフェイスを選択します。 この例では、10GE1/0/0 を選択します。

    • ピアアドレス:Alibaba Cloud VPN Gateway のパブリック IP アドレスを入力します。 この例では、 47.97.161.10 と入力します。

    • 事前共有キー :事前共有キーは Alibaba Cloud 側の PSK と同様です。 この例では、123456 と入力します。

  5. 暗号化待ちデータフローページで、 追加をクリックします。 次の情報に従って、VPC 内のすべての VSwitch CIDR ブロックに対して暗号化するデータフローを追加します。
    • 送信元アドレス/アドレスセット:オンプレミスデータセンターのプライベート IP アドレスセグメントを入力します。 この例では、10.10.10.0/24 と入力します。

    • 宛先アドレス/アドレスセット:VPC の VSwitch IP アドレスセグメントを入力します。 この例では、192.168.10.0/24 と 192.168.11.0/24 を入力します。

  6. IKE / IPsec プロトコルページで、詳細をクリックします。 ダウンロードした IPsec-VPN 接続の設定に基づいて、IKE パラメータと IPSec パラメータを構成します。
  7. ネットワーク > ルート > スタティックルート > スタティックルートリスト > 追加 をクリックしてファイアウォール用のスタティックルートを設定します。 デフォルトルートを追加すると、ネクストホップはファイアウォールのパブリック IP アドレスになります。 VPC にルートを追加すると、ネクストホップは VPN Gateway のパブリック IP アドレスになります。