フォーム読み込み中
Smart Access Gateway設置ガイド(ワンアームモード)
ソリューションアーキテクト
赤羽 啓
通信キャリアの伝送路からエンタープライズのLANまで、ネットワークを中心としたインフラ設計・構築経験を経て、現在はクラウドのソリューションアーキテクトとして活動しています。
2024年1月12日掲載
クラウドエンジニアの赤羽です。
本記事では、Alibaba Cloudが提供するVPN接続装置、Smart Access Gatewayデバイスの設置パターンについて解説します。
はじめに
本記事では、Alibaba Cloudが提供するVPN接続装置、Smart Access Gateway(以下、SAG)デバイスの設置パターンについて解説します。
SAGデバイスは、配送手配からAlibaba CloudとのVPN接続までが簡単に行えるソリューションです。導入のしやすさだけでなく、機器や回線の冗長化も可能なため、規模に応じてさまざまな設置方法を選択できます。
本記事では特に、拠点内のネットワーク接続において、SAGデバイスの設置パターンの基本となるインラインモードとワンアームモードの特徴や導入シナリオの比較と、ワンアームモードでの構築方法について詳しく説明します。
※中国の拠点間接続や、中国の拠点から日本の拠点への接続などのシナリオにも適しています。
※通常、SAGデバイスは中国国内でのみ利用可能です。その他、SAGデバイスに関するより詳しい情報は公式ドキュメントを参照してください。
構成パターンの比較
まずはじめに、構成パターンの紹介と比較です。構成パターンは大きく分けてインラインモードとワンアームモードの2つのパターンがあります。
モード名は、設定内に明示的なモード設定項目があるわけではなく、LAN配線方法の呼称となります。
■インラインモード:
通信経路上にSAGデバイスを配置し、インターネット接続・VPN通信共に処理します。シンプルな構成のため導入しやすく、新規立上げの拠点や小規模拠点に適した構成です。
■ワンアームモード:
既存のネットワーク機器に追加する形でSAGデバイスを配置し、VPN通信のみ処理します。導入時や機器障害対応時に既存ネットワークへの影響を最小限にすることができます。PC台数が多い拠点や、セグメントが複数に分かれている拠点への導入に適した構成です。
インラインモード | ワンアームモード | |
特長 | シンプルな構成。IT管理者がいない拠点でも機器設置や交換が簡単。 | 既存のLAN環境と組み合わせ、複数セグメントにも柔軟に対応。 |
導入難易度 | ◎簡単 | ▲やや難しい (L3スイッチ・ルータ含めたLAN設計が必要) |
| 運用面 | ◎通信経路と物理構成が一致するため、ネットワーク構成を把握しやすい。 ▲導入時や障害対応時には、LAN通信全体に影響あり。 | ◎既存ネットワークへの影響最小限で機器導入・メンテナンスが可能。 ▲ネットワーク構成を把握するために論理構成の理解が必要。 |
| 冗長構成 | ◎機器/回線共に可 | ◎機器/回線共に可 |
| 必要なLAN機器 | 無し(冗長構成時はL2スイッチが必要) | L3スイッチ、インターネット接続用のルータ |
| 導入シナリオ | 新規構築拠点や小規模拠点 | 既存拠点や中規模以上拠点 |
ワンアームモード構築手順
今回は、導入難易度が少し高いワンアームモードでの構築手順を紹介します。
全体のイメージとしては、L3スイッチがLANの中心となり、インターネット通信はインターネットルータへのルーティング、Alibaba Cloudへの通信はSAGデバイスあてのルーティングを行います。
ワンアームモードでは、SAGデバイスとしてはWANポートのみ使用するため、少し不思議な感じがするかもしれませんが、内部的には物理接続向けの通信とVPNトンネル向けの通信が分離されているため、1つの物理ポートのみで通信が成立する仕組みになっています。
※L3スイッチやルータの設定についてはサンプルコンフィグにてお伝えします。実際の設定方法はお使いの機器によって異なるため、ご利用の機器の仕様に基づいて設定を行ってください。
(前提条件)
- 回線、機器ともにシングル構成
- Alibaba CloudのVPCやCEN/CCN接続の手順は省略
- SAGデバイスの機種はSAG-100WM
- SAGデバイスからクライアントPCへのDHCPは無効
手順①SAGデバイスの購入~受取~アクティベート
※こちらは省略します。詳細は公式ドキュメントを参照してください。
手順②SAGデバイスの配線
SAGデバイスを既存LAN環境に接続していきます。今回の例ではSAGデバイスのWANポート(port1)とL3スイッチのPort11をLANケーブルで接続します。L3スイッチと各機器の接続は上記構成例に合わせています。
手順③ネットワーク設定(SAGデバイス)
③-1.ポート設定
WEBコンソール>Smart Access Gateway>Device Management タブ>Manage WAN Ports.
WAN(port1)を選択して、Editをクリックします。
③-2.クラウド向けルート広報設定
Network Configuration タブ>Methods to Synchronize with On-premises Routes.
>Static Routingを選択して、Add Static Routeをクリック。
CIDR Blockに拠点内のLANセグメントを入力し、OKをクリック。
(Alibaba Cloudと通信が必要なPC/システムのセグメント)
③-3.スタティックルート設定
Device Management タブ> Device Management タブ >Manage Routes > Add Static Routeをクリック
下記設定してOK
手順④ネットワーク設定(L3スイッチ/ルータ)
- L3SWへの設定:Alibaba Cloud VPC向けのルーティング追加。デフォルトルートはルータへ向ける(既存であれば不要)
- Routerへの設定:SAGのセグメント向けの戻りのルーティング追
※実際の設定方法はご利用の機器の仕様に基づいて設定を行ってください。
手順⑤CCNへの関連付け
※こちらの手順は省略します。詳細は公式ドキュメントを参照してください。
手順⑥接続試験(拠点内のPC→Alibaba Cloudリソースへのping)
前述の手順を完了したら、オンプレミス・ネットワークのクライアントPCからVPCにデプロイされたクラウド・リソース(ECSなど)にアクセスできるかどうか確認をしてください。ping疎通ができればOKです。以上、ワンアームモードの構築手順でした。
物理配線としては既存L3スイッチとLANケーブルで接続するだけになりますので、既存ネットワークを停止することなく導入が可能となっています。ただしL3スイッチ等の設定やルーティングについて、事前設計が必要になりますので注意してください。
まとめ
今回はSAGデバイスの構成パターンと、ワンアームモードでの構築手順について解説しました。SAGデバイスの設置方法としてインラインモードとワンアームモードの2つのパターンがあります。それぞれの違いを理解し、ネットワーク環境に適した設置方法を選択することが重要です。
また、SAGデバイスでは機器冗長と回線冗長にも対応しておりますので、冗長構成についてはまた別のブログで紹介します。以上です。
関連サービス
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
