NEC IXルーターとの接続

本設定例では、VPCに作成したVPN Gatewayを、お客様拠点に設置したNEC IXルーターとIPsec-VPNで接続します。

事前準備

ネットワークやIPアドレス等を事前に設計し、VPN Gatewayを購入します。

本設定例では、クラウド側のVPC (セグメント 192.168.0.0/24) とNEC IXルーター側 (セグメント 192.168.100.0/24) をRoute-basedで接続します。

本設定例について

Alibaba CloudのVPCとの接続を保証するものではありません。

2019年 8 月の仕様に基づいて記載しています。確認しているファームウェアは下記のとおりです。今後、サービス内容の変更や、仕様変更などによって接続できなくなる可能性があります。

本設定例でテスト済みのNEC IXルーターは以下になります。

モデル バージョン
NEC IX2215 Version 10.1.16

NEC IXルーターに関する情報および設定方法については、NECお問い合わせ窓口までお問い合わせください。

設定手順

ステップ 1:VPN Gateway の設定

  1. 対象VPCにVPN Gatewayとカスタマーゲートウェイを作成します。カスタマーゲートウェイの設定ではお客様拠点 ルーターのグローバルIPアドレスを使って設定します。

  2. IPsec ConnectionsよりVPN接続を作成します。

「名前」任意の識別名を入力します。 「VPN Gateway」作成したVPN Gateway名を選択します。 「カスタマーゲートウェイ」 作成したカスタマーゲートウェイを選択します。 「ローカルネットワーク」クラウド側ネットワーク (0.0.0.0/0) を入力します。 「リモートネットワーク」お客様拠点側ネットワーク ( 0.0.0.0/0 ) を入力します。 「今すぐ有効化」“はい”を選択します。 「高度な構成」有効にします。 「事前共有鍵」お客様拠点側ルーターと同一の任意の共有鍵を入力します。 「バージョン」ikev2を選択します。

「ヘルスチェック」 有効にします。 「宛先IP」お客様拠点側サブネット内の疎通可能な任意のIPアドレスを入力します。 「送信元IP」クラウド側サブネットの内で任意のIPアドレスを入力します。 「再試行間隔」任意の間隔を指定します。 「再試行回数」任意の回数を指定します。
「OK」ボタンを押します。

注意: そのほか項目についても運用方針に沿って指定いただけます。

  1. ルートの追加をします。

「宛先CIDRブロック」お客様拠点側セグメントを設定します。

「VPCに公開」“はい”を選択します。 img

「OK」ボタンを押します。

  1. IPsec Connectionsの画面より、VPN 接続が追加されることを確認します。 img

ステップ 2:NEC IXルーターの設定

NEC IXルーターにアクセスし以下の項目を設定します。

  1. ikev2 authentication psk id ipv4 key char
  2. ikev2 authentication psk id ipv4 <お客様拠点ルーターのグローバルIPアドレス> key char
  3. !
  4. ikev2 default-profile
  5. child-lifetime 86400
  6. local-authentication psk id ipv4 <お客様拠点ルーターのグローバルIPアドレス>
  7. sa-lifetime 86400
  1. interface GigaEthernet
  2. ip address <お客様拠点ルーターのグローバルIPアドレス>
  3. ip napt enable
  4. ip napt static GigaEthernet 50
  5. ip napt static GigaEthernet udp 500
  6. ip napt static GigaEthernet udp 4500
  7. no shutdown
  1. interface Tunnel
  2. tunnel mode ipsec-ikev2
  3. ip unnumbered GigaEthernet <お客様ルーターのLANインターフェイス>
  4. ip tcp adjust-mss auto
  5. ikev2 connect-type auto
  6. ikev2 peer authentication psk id ipv4
  7. no shutdown
  1. ip route 192.168.0.0/24 Tunnel

注意: ルーティング、ポリシー等の項目についても運用方針に沿ってNEC IXルーター側を設定する必要があります。ステップ1でVPN Gatewayのヘルスチェックを利用する場合は送信元IPからのICMPパケットをNEC IXルーター側で許可する必要があります。

ステップ 3:ステータス確認

NEC IXルーターの設定が完了し、接続が成功すれば、接続ステータスが「成功」、ヘルスチェックステータスが「正常」に変わります。 img

ステップ4:接続のテスト

VPC内のECSインスタンスにログインし、拠点内のプライベートIPアドレスにpingを送信して、VPCと拠点側の通信が成功することを確認します。