Japan

サイト内の現在位置を表示しています。

UNIVERGE IXシリーズ 技術情報

設定事例

Alibaba CloudとのVPN接続

「UNIVERGE IXシリーズ」を使用して、Alibaba CloudとIPsec-VPNで接続する際の設定例を紹介します。

  • 本ページの設定例は、全て当社で接続を確認しておりますが、必ずしも接続性を保証するものではありません。

  • 当社は、Alibaba Cloud関連して発生した如何なる障害に対して、一切の責任を負わないものとします。

  • Alibaba Cloudをご利用になる際は、必ず本サービスの利用規約を確認し、利用規約に則った運用を行ってください。

接続構成

この設定ガイドでは、「IX2215」のGE0ポートをWAN側インタフェース、GE2(SW-HUB)ポートをLAN側インタフェースとして使用します。また、WAN回線との接続にはPPPoEを使用しています。

なお、「IX2215」以外の機種(「IX2106」など)をご利用の場合でも、本例と同様の設定で接続を行うことができます。

VPC = Alibaba Cloud上のプライベートネットワークです。
VSwitch = VPCを複数サブネットにパーティション分割する役割。VPC内のクラウド製品インスタンスに接続するために使用します。
VPN Gateway = Alibaba CloudとVPN接続する際に使用するインスタンスです。

Alibaba Cloudの設定

Alibaba Cloudでの設定では、「VPC」「VPN Gateway」「Customer Gateway」を作成後、「IPsec Connections」の設定にてVPN接続設定を行います。本設定例ではこれらに関しての設定例を下記に記載します。

STEP1 VPCの作成

本章ではAlibaba Cloud側のVPC構築手順を記しております。また、作成したVPCを複数のサブネットにパーティション分割することができるVSwitchについても合わせて記載します。

  • 1.
    Alibaba Cloudにログインし、コンソールへ移動後「Virtual Private Cloud」をクリックします。
  • 2.
    VPCを作成するリージョン”日本(東京)”を選択します。
  • 3.
    リージョン選択後、「VPCの作成」をクリックし、VPCの設定を行います。
    「VPCの作成」をクリックすると下記設定画面が表示されるので設定します。

①VPCの名前を設定します。任意の名前を設定してください。
②VPCで使用できるIPアドレス範囲を設定します。使用するIPv4 CIDRブロックを選択してください。
③VSwitchの名前を設定します。任意の名前を設定してください。
④VSwitchが所属するゾーンを選択します。
⑤VSwitch内で使用できるIPアドレス範囲を設定します。使用するIPv4 CIDRブロックを設定してください。

  • 4.
    設定後、作成したVPCを確認します。ステータスが「使用可能」ならばVPCの設定は完了です。

STEP2 VPN Gatewayの作成

本章ではAlibaba CloudとVPNを構築するために接続するVPN Gatewayの構築手順を記しております。
※VPN Gatewayは購入する必要があります。

  • 1.

    「VPN Gateways」をクリックします。
  • 2.

    「VPN Gatewayの作成」をクリックし、VPN Gatewayの各設定を選択します。構築するVPNに合わせて購入する内容を選択してください。選択後、「今すぐ購入」をクリックします。

①VPN Gatewayのインスタンス名を設定します。任意の名称を設定してください。
②VPN Gatewayのリージョンを選択します。VPCと同じリージョンを選択してください。
③接続するVPCを選択します。
④VPN Gatewayの帯域幅を設定します。
⑤IPsec-VPNを使用するので有効化します。
⑥SSL-VPNについて、本設定例では使用しないので無効化を選択します。

  • 3.
    購入するVPN Gatewayを確認します。確認後、「利用規約とSLAに同意する」にチェックし「有効化」をクリックすることで購入完了となります。
  • 4.
    購入したVPN Gatewayが正常に有効化されていることを確認します。コンソールのVPN Gateway画面で購入したVPN Gatewayのステータスが「正常」となっていればVPN Gatewayの作成は完了です。

STEP3 Customer Gatewayの作成

本章ではAlibaba CloudにIXルータの情報を登録します。

  • 1.
    「Customer Gateways」をクリックします。
  • 2.

    「カスタマーゲートウェイの作成」をクリックし、IXルータの情報を登録します。
    「カスタマーゲートウェイの作成」をクリックすると下記設定画面が表示されるので設定します。

①VPN接続に使用するIXルータのグローバルIPアドレスを設定します。

  • 3.

    カスタマーゲートウェイ(接続するIXルータの情報)が表示されていることを確認します。作成されていることを確認し、カスタマーゲートウェイの作成は完了です。

STEP4 VPN接続

本章では、作成したVPN Gatewayとカスタマーゲートウェイ(IXルータ)でVPN接続する手順を記しています。また、本章ではIKEv2を用いたVPN接続例となります。

  • 1.
    「IPsec Connections」をクリックします。
  • 2.
    「VPN接続の作成」をクリックし、VPNの設定を行います。
    「VPN接続の作成」をクリックすると下記設定画面が表示されるので設定します。

①VPN接続の名前を設定します。任意の名前を設定してください。
②VPN接続するVPN Gatewayを選択します。作成したVPN Gatewayを選択してください。
③VPN接続するCustomer Gatewayを選択します。登録したCustomer Gatewayを選択してください。
④VPCのIPアドレス範囲内で通信で使用するネットワークアドレスを入力します。本例では0.0.0.0/0(デフォルト値)を設定しています。(IXルータではこの値をトラフィックセレクタとして使用します。)
⑤IXルータのLAN側IPアドレス範囲内のアドレスを入力します。本例では0.0.0.0/0(デフォルト値)を設定しています。(IXルータではこの値をトラフィックセレクタとして使用します。)
⑥「今すぐ有効化」の“はい”にチェックします。


続けて、「高度な構成」にチェックを入れ、詳細なVPNの設定を行います。
※特にパラメータに指定がない場合は下記画像と同じ設定で問題ありません。

①事前共有鍵を設定します。IXルータと同一の共有鍵を設定してください。
②IKEのバージョンを選択します。本例ではikev2を選択してください。
③IKEのネゴシエーションモードを選択します。mainを選択します。
④IKEで使用する暗号化アルゴリズムを選択します。
⑤IKEで使用する認証アルゴリズムを選択します。
⑥IKEで使用するDHグループを選択します。
⑦IKEのSAライフサイクルを設定します。
⑧IKEのローカルIDを設定します。IXルータに設定するIDと同一のもの(IXルータでのリモートID)を設定してください。
⑨IKEのリモートIDを設定します。IXルータに設定するIDと同一のもの(IXルータでのローカルID)を設定してください。
⑩IPsecで使用する暗号化アルゴリズムを選択します。
⑪IPsecで使用する認証アルゴリズムを選択します。
⑫IPsecで使用するDHグループを選択します。
⑬IPsecのSAライフサイクルを設定します。

  • 3.

    続けて、ここからは「ヘルスチェック」の設定になります。有効にすることでVPN GatewayがIXルータにヘルスチェックを送信し、IPsecトンネルの通信断を検出できるようになり、チェックが失敗した場合にはIPsecの再接続を試みます。設定する場合、下記の設定項目を設定し「OK」ボタンをクリックしてください。

①IXルータ側サブネット内で疎通可能な任意のIPアドレスを設定します。
②Alibaba Cloud側サブネット内で任意のIPアドレスを設定します。
③送信間隔を設定します。
④再試行回数を設定します。

  • 4.
    Alibaba Cloud側のルーティング設定を行います。上記の設定完了後、下記のポップアップが表示されるので、「OK」をクリックします。
  • 5.
    ルート設定画面へ遷移後「宛先ベースルーティング」のタブを選択、「ルートエントリの追加」をクリックしルーティングの設定を行います。

①VPN接続するIXルータ側のLAN を設定します。
②VPN Gatewayを選択します。
③作成したVPN Gatewayを選択します。
④VPCに公開について“はい”をチェックします。
⑤重みは100を選択します。

  • 6.
    VPN-GW のルートテーブルにてルートエントリの追加が行われ、ステータスが公開済みとなっていることを確認します。以上でAlibaba Cloud側の設定は完了です。

「IX2215」の設定

Alibaba Cloudの設定に基づいて「IX2215」の設定を行います。

hostname ix2215
!
ip route default GigaEthernet0.1
ip route 192.168.0.0/24 Tunnel0.0
!
proxy-dns ip enable
!
ikev2 authentication psk id ipv4 192.168.0.0 key char 【事前共有鍵】(※1)
ikev2 authentication psk id ipv4 192.168.100.0 key char 【事前共有鍵】(※2)
!
ppp profile internet
  authentication myname [プロバイダ接続用ID]
  authentication password [プロバイダ接続用ID] [プロバイダ接続用パスワード]
!
ikev2 default-profile
  local-authentication psk id ipv4 192.168.100.0 (※2)
  sa-lifetime 86400
  child-lifetime 86400
!
interface GigaEthernet2.0
  ip address 192.168.100.254/24
  no shutdown
!
interface GigaEthernet0.1
  encapsulation pppoe
  auto-connect
  ppp binding internet
  ip address ipcp (※3)
  ip napt enable
  ip napt static GigaEthernet0.1 50
  ip napt static GigaEthernet0.1 udp 500
  ip napt static GigaEthernet0.1 udp 4500
  no shutdown
!
interface Tunnel0.0
  tunnel mode ipsec-ikev2
  ip unnumbered GigaEthernet2.0
  ip tcp adjust-mss auto
  ikev2 peer [VPNGatewayのIPアドレス] authentication psk id ipv4 192.168.0.0 (※1)
  no shutdown

  • ※1
    IDのパラメータはVPN接続の3.で設定したIKE構成のLocalIdのIDを入力してください。
  • ※2
    IDのパラメータはVPN接続の3.で設定したIKE構成のRemoteIdのIDを入力してください。
  • ※3
    WAN側インターフェースには固定のグローバルIPアドレスをご利用ください。

接続の確認

Alibaba Cloud側の端末に対してPingを実行します。
正常に応答を受信していることを確認してください。

また、「IPsec Connections」にてVPN接続状態を確認します。IXルータの設定が完了していない状態では接続ステータスは「失敗」となります。IXルータの設定が完了し、VPN接続が成功していると、ステータス状態が「成功」となりAlibaba CloudとのVPN接続は完了となります。

↑VPN接続失敗状態

↑VPN接続成功状態

資料請求・お問い合わせ