Cisco ASAとの接続


本設定例では、VPCに作成したVPN Gatewayを、お客様拠点に設置したCisco ASAとIPsec-VPNで接続します。

事前準備

ネットワークやIPアドレス等を事前に設計し、VPN Gatewayを購入します。

本設定例では、クラウド側のVPC (セグメント 192.168.0.0/24) と拠点側のCisco ASAを (セグメント 192.168.100.0/24) Route-Based接続します。

本設定例について

Alibaba CloudのVPCとの接続を保証するものではありません。

2019年 5 月の仕様に基づいて記載しています。確認しているファームウェアは下記のとおりです。今後、サービス内容の変更や、仕様変更などによって接続できなくなる可能性があります。

本設定例でテスト済みのCisco ASAは以下になります。

モデル バージョン
Cisco ASA 5506W Version 9.10(1)

Cisco ASAに関する情報および設定方法については、Ciscoテクニカルサポートまでお問い合わせください。

設定手順

ステップ 1:VPN Gateway の設定

  1. 対象VPCにVPN Gatewayとカスタマーゲートウェイを作成します。カスタマーゲートウェイの設定ではお客様拠点 ルーターのグローバルIPアドレスを使って設定します。

  2. IPsec ConnectionsよりVPN接続を作成します。

「名前」任意の識別名を入力します。 「VPN Gateway」作成したVPN Gateway名を選択します。 「カスタマーゲートウェイ」 作成したカスタマーゲートウェイを選択します。 「ローカルネットワーク」クラウド側ネットワーク (0.0.0.0/0) を入力します。 「リモートネットワーク」お客様拠点側ネットワーク ( 0.0.0.0/0 ) を入力します。 「今すぐ有効化」“はい”を選択します。 「高度な構成」有効にします。 「事前共有鍵」お客様拠点側ルーターと同一の任意の共有鍵を入力します。 「バージョン」ikev2を選択します。

「ヘルスチェック」 有効にします。 「宛先IP」お客様拠点側サブネット内の疎通可能な任意のIPアドレスを入力します。 「送信元IP」クラウド側サブネットの内で任意のIPアドレスを入力します。 「再試行間隔」任意の間隔を指定します。 「再試行回数」任意の回数を指定します。
「OK」ボタンを押します。

注意: そのほか項目についても運用方針に沿って指定いただけます。

  1. ルートの追加をします。

「宛先CIDRブロック」お客様拠点側セグメントを設定します。

「VPCに公開」“はい”を選択します。 img

「OK」ボタンを押します。

  1. IPsec Connectionsの画面より、VPN 接続が追加されることを確認します。 img

ステップ 2:Cisco ASAの設定

Cisco ASAにアクセスし以下の項目を設定します。

  1. “ISAKMP(IKEv2)ポリシー設定”
  2. crypto ikev2 policy
  3. encryption aes
  4. integrity sha
  5. prf sha
  6. group 2
  7. lifetime 86400
  8. “IKEv2有効化”
  9. crypto ikev2 enable
  10. “IKEv2プロポーザル設定”
  11. crypto ipsec ikev2 ipsec-proposal <ikev2 プロファイル名>
  12. protocol esp encryption aes
  13. protocol esp integrity sha-1
  14. “IKEv2プロファイル設定”
  15. crypto ipsec profile <ikev2プロファイル名>
  16. set ikev2 ipsec-proposal <ikev2プロファイル名>
  17. set security-association lifetime seconds 86400
  18. “Virtual Tunnel IF設定”
  19. interface Tunnel
  20. nameif <VTI>
  21. ip address <任意のリンクローカルアドレス(例:169.254.0.1)>
  22. tunnel source interface outside
  23. tunnel destination <VPN-GatewayのグローバルIPアドレス>
  24. tunnel mode ipsec ipv4
  25. tunnel protection ipsec profile <ikev2プロファイル名>
  26. “トンネルグループポリシー設定”
  27. group-policy <GROUP-Policy> internal
  28. group-policy <GROUP-Policy> attributes
  29. vpn-tunnel-protocol ikev2
  30. “トンネルグループ設定”
  31. tunnel-group <VPN-GatewayのグローバルIPアドレス> type ipsec-l2l
  32. tunnel-group <VPN-GatewayのグローバルIPアドレス> general-attributes
  33. default-group-policy <GROUP-Policy>
  34. tunnel-group <VPN-GatewayのグローバルIPアドレス> ipsec-attributes
  35. ikev2 remote-authentication pre-shared-key <Alibaba Cloud VPN Gatewayと同一の任意の共有鍵>
  36. ikev2 local-authentication pre-shared-key <Alibaba Cloud VPN Gatewayと同一の任意の共有鍵>
  37. “経路設定”
  38. Route <VTI> 192.168.0.0 255.255.255.0 <任意のリンクローカルアドレス(例:169.254.0.2)> 1

注意: ルーティング、ポリシー等の項目についても運用方針に沿ってCisco ASA側を設定する必要があります。ステップ1でVPN Gatewayのヘルスチェックを利用する場合は送信元IPからのICMPパケットをCisco ASA側で許可する必要があります。

ステップ 3:ステータス確認

Cisco ASA側設定を完了し、接続が成功すれば、接続ステータスが次の通り、「成功」に変わります。 img

ステップ4:接続のテスト

VPC内のECSインスタンスにログインし、拠点内のプライベートIPアドレスにpingを送信して、VPCと拠点側の通信が成功することを確認します。