VPC内部で多段ネットワークを構成している場合のVPN設定 – 「さくらのクラウド入門」(8)

こんにちは、さくらインターネット クラウドチームの大喜多です。

「さくらのクラウド入門」第7回では、一般的な構成におけるサイト間VPNの設定のポイントをご説明しました。今回は特殊なネットワーク構成の際の注意点について取り扱います。

VPC内部で多段ネットワークが構成されている場合のVPN設定(1)

tadan01

VPCルータは必ずインターネットとプライベートネットワークの境界に作成する必要があります。上記の構成では、プライベートネットワークのセグメント分割を行うために仮想サーバにルータ・ファイアウォール等のL3アプライアンスとして動作するソフトウェアを導入されています。VPCルータで取得可能なログの他に、システム要件に基づいてログを取得する際にお客様にて独自に導入されるなどのケースがございます。

相互のネットワーク間で通信を行うためには、以下の通り設定を行います。

VPCルータにスタティックルートを追加する

VPCルータの詳細画面の「スタティックルート」タブに、以下のようにルーティングを追加します。
tadan03

仮想サーバ(ルータとして使用)にスタティックルートを追加する

お客様拠点のネットワークである192.168.1.0/24向けのゲートウェイを10.0.0.1とするスタティックルートを追加します。

サイト間VPNの設定を行う

注意すべきポイントは、ローカルPrefixを10.0.0.0/23としている点です。10.0.0.0/23は、VPCルータ直下のネットワーク10.0.0.0/24および仮想サーバ配下のネットワーク10.0.1.0/24の両方を含みます。このように設定することで、クラウド上の2つのネットワークとお客様拠点ネットワーク間で相互通信ができるようになります。このようにサブネットマスクを拡大することで複数のサブネットを束ねることを「ネットワークの集約」や「経路集約」などと呼ばれます。
tadan02n

RTX1210側のスタティックルート設定

お客様拠点側から10.0.0.0/24および10.0.1.0/24の両方と通信できるよう、スタティックルートを追加します。

ip route 10.0.0.0/23 gateway tunnel 1

VPC内部で多段ネットワークが構成されている場合のVPN設定(2)

tadan04

先述の例では、ネットワーク空間が連続していた(10.0.0.0/24・10.0.1.0/24)ため、ネットワークの集約を行うことでVPN通信を実現しました。しかし、必ずしもプライベートIPアドレスのネットワーク空間が連続しているとは限りません。上記の例では、VPCルータ配下のネットワークが10.0.0.0/24であるのに対し、仮想サーバ配下のネットワークは172.18.0.0/24という連続しないネットワークで構成されています。このような構成の際のVPN設定についてご説明します。

VPCルータにスタティックルートを追加する

VPCルータの詳細画面の「スタティックルート」タブに、以下のようにルーティングを追加します。
tadan05

仮想サーバ(ルータとして使用)にスタティックルートを追加する

お客様拠点のネットワークである192.168.1.0/24向けのゲートウェイを10.0.0.1とするスタティックルートを追加します。

特殊タグを使用する

@sitetosite-use-vtiを使用することで、特定機種と複数Prefixでの相互接続性が改善することがあります。詳細はサイト間VPNの「3. 特殊タグについて」をご参照ください。
tadan06

サイト間VPNの設定を行う

対向Prefixの部分は特に変更する必要はありません。
tadan02

RTX1210側のスタティックルート設定

お客様拠点側から10.0.0.0/24および10.0.1.0/24の両方と通信できるよう、スタティックルートを追加します。

ip route 10.0.0.0/24 gateway tunnel 1
ip route 172.18.0.0/24 gateway tunnel 1

まとめ

いかがでしたでしょうか。このようにさくらのクラウドで提供されているアプライアンスと、お客様独自に構築されたサーバとの連携も実現できるため、自由度の高いシステムが構築できます。このような要件がおありの際にはご参考になさってください。