Amazon Web Services (AWS) - ARX640S 接続設定例

Size: px

Start display at page:

Download "Amazon Web Services (AWS) - ARX640S 接続設定例"

あかりこやぎ
5 years ago
Views:

1 Amazon Web Services (AWS) - ARX640S 接続設定例 Border Gateway Protocol(BGP) 当社検証結果に基づき記載していますが全てのお客様環境の動作を保証するものではありません 2015 年 5 月現在の仕様に基いて記載しています今後の仕様変更によっては接続できない可能性がありますアライドテレシス株式会社

2 目次 1. 概要 1. 概要 2. 設定例の構成 3. IPsecのパラメータ 2. Amazon VPCの設定 1. はじめに 2. Amazon VPCの設定 3. ARX640Sの設定 1. はじめに 2. ARX640Sの設定 3. 設定の確認 4. 動作確認 1. IPsecの確認 2. 経路の確認 3. AWSの確認 4. 通信の確認 5. 経路冗長の確認 ( 参考 ) 2

3 1. 概要 3

4 1-1. 概要本書では ARX640S と Amazon Web Services ( 以下 AWS) との接続についての設定例を説明します Amazon Virtual Private Cloud( 以下 Amazon VPC) を通じて AWS と接続します Amazon VPC は AWS に接続するための VPN 機能を提供しています AWS 側には Amazon Elastic Compute Cloud( 以下 Amazon EC2) と呼ばれる仮想サーバを用意しています本設定例では ARX640S 配下の端末からインターネット上のサーバーに直接通信 ( 平文通信 ) できます ARX640S はファームウェアバージョン以降をご利用下さい Amazon VPC に関する技術情報は以下をご参照ください 4

1-2. 設定例の構成 Amazon VPC では 2 つのゲートウェイが用意されています ARX640S は 2 本の IPsec(ESP) トンネルで接続します AWS 10.0.0.0/16 Amazon EC2 10.0.1.1 ゲートウェイゲートウェイ 172.30.0.1 172.31.0.1 インターネット tunnel 1 tunnel 2 固定アドレスが必要 Gigabit Ethernet 0.

5 1-2. 設定例の構成 Amazon VPC では 2 つのゲートウェイが用意されています ARX640S は 2 本の IPsec(ESP) トンネルで接続します AWS /16 Amazon EC ゲートウェイゲートウェイインターネット tunnel 1 tunnel 2 固定アドレスが必要 Gigabit Ethernet 0.1 ARX640S VLAN /24 AWS 側の構成図はイメージです実際の環境とは異なる可能性があります本書では仮の IP アドレスを記載しています実際の IP アドレスとは異なりますのでご了承ください 5

6 1-3.IPsec のパラメータ下記パラメータで設定します IKE フェーズ 1(ISAKMP SA のネゴシエーション ) 認証方式 IKE 交換モード Diffie-Hellman(Oakley) グループ ISAKMPメッセージの暗号化方式 ISAKMPメッセージの認証方式事前共有鍵 (pre-shared key) Mainモード Group2(1024ビットMODP) AES128 SHA-1 ISAKMP SA の有効期限 ( 時間 ) 秒 (8 時間 ) IKE フェーズ 2(IPsec SA のネゴシエーション ) SA モードトンネルモードセキュリティープロトコル ESP( 暗号化 + 認証 ) Diffie-Hellman(Oakley) グループ暗号化方式認証方式 Group2(1024 ビット MODP) PFS 有効 AES128 SHA-1 IPsec SA の有効期限 ( 時間 ) 3600 秒 (1 時間 ) 6

7 2. Amazon VPC の設定 7

8 2-1. はじめに Amazon VPC を設定します AWS の Web サイトでアカウントを作成し AWS Management Console を起動しますアカウント作成の流れについては以下をご参照ください次頁より主要設定を記載しますが詳細は以下をご参照ください GetStarted.html 次頁から掲載している設定画面は 2015 年 5 月現在の情報です今後設定画面が変更される場合がございますのでご了承ください 8

9 2-2. Amazon VPC の設定ウィザードの開始画面左上 Services から VPC を選択します VPC Dashboard にある Start VPC Wizard を押します 9

10 2-2. Amazon VPC の設定ネットワーク構成の選択ネットワーク構成に合わせて項目を選択します本例では VPC with a Private Subnet Only and Hardware VPN Access を選び Select を押します 10

11 2-2. Amazon VPC の設定 AWS 側の設定 AWS 内で使用するサブネットを登録します下記を参考に空欄を埋めてください本例では IP CIDR block を /16 Private Subnet を /24 として登録します登録を終えたら Next を押します VPC の名称を指定します VPC で使用可能な IP アドレスの範囲を指定しますサブネットマスクは /16~/28 の間で指定します上記 IP CIDR block で指定した範囲内でプライベートサブネットを指定しますプライベートサブネットは後ほど追加することもできます Availability Zone を指定します No Preference にすると自動選択しますプライベートサブネットの名称を指定します DNS 名を割り当てるかどうかを選択しますハードウェア専有インスタンスの設定です詳細については以下をご参照ください 11

12 2-2. Amazon VPC の設定 ARX640S の WAN 側 /LAN 側 IP アドレスの登録 ARX640S の WAN 側 IP アドレス ( 固定アドレス ) を登録します本例ではを登録しています Routing Type で Dynamic (requires BGP) を選択し, Create VPC を押します 12

13 2-2. Amazon VPC の設定 VPC の生成処理が完了すると下のような画面が表示されます VPC Successfully Created と表示されたら右側の OK を押します 13

14 2-2. Amazon VPC の設定設定のダウンロード左側のメニューバーから VPN Connections を選択します作成したVPN 名を選択し Download Configuration を押します

15 2-2. Amazon VPC の設定設定のダウンロード設定例をダウンロードします本例では Generic を選択しています右下の Yes, Download を押します設定例が表示されますのでローカルディスクに保存します次頁の ARX640S の設定で使用しますので大切に保管してください 15

16 3. ARX640S の設定 16

17 3-1. はじめに ARX640S の設定に必要な情報は下記です設定前に情報をまとめておくと便利です Amazon VPC VPN tunnel(1)(2) Preshared key (1)(2) Tunnel interface IP address(1)(2) BGP Neighbor IP Address(1)(2) は次頁を参考にご記入ください設定項目本設定例で使用したパラメータお客様情報 PPP ユーザー名 PPP パスワード isppasswda ARX640S ppp0(wan 側 )IP アドレス /32 ARX640S vlan1(lan 側 )IP アドレス /24 Amazon VPC VPN tunnel(1) Preshared key(1) ABCDEFGHIJKLMNOPQRSTUVWXYZ1234 Tunnel interface IP address(1) /30 BGP Neighbor IP Address(1) Amazon VPC VPN tunnel(2) Preshared key(2) 1234abcdefghijklmnppqrsutvwxyz Tunnel interface IP address(2) /30 BGP Neighbor IP Address(2) AWS 内のサブネット /16 17

18 3-1. はじめに 15 ページで保存した設定例をテキストエディターで開きます 2 本の IPSec トンネルの Pre-Shared Key Virtual Private Gateway( Outside IP Addresses ) Customer Gateway(Inside IP Address) BGP の Neighbor IP Address を確認しますダウンロードした設定によって記載方法が異なります下記は Generic の場合の例です Preshared key(1) Amazon VPC VPN tunnel(1) Tunnel interface IP address(1) BGP Neighbor IP Address(1) 18

19 3-1. はじめに Preshared key(2) Amazon VPC VPN tunnel(2) Tunnel interface IP address(2) BGP Neighbor IP Address(2) 19

20 3-2. ARX640S の設定ログイン ARX640S にログインします工場出荷時設定の CLI のログイン ID/PW は下記の通りです login: manager Password: friend 実際には表示されません Allied Telesis EATOS System Software CentreCOM ARX640S Software, Version (RELEASE SOFTWARE) Router> モードの移行非特権 EXEC モードから特権 EXEC モードに移行します Router> enable 特権 EXEC モードからグローバルコンフィグモードに移行します Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. 20

21 3-2. ARX640S の設定 PPPoE 設定 ISP から通知された PPP ユーザー名やパスワード等の PPP 設定情報を作成します Router(config)# ppp profile pppoe0 *Router(config-ppp-profile)# my-username password isppasswda *Router(config-ppp-profile)# exit WAN 0 インターフェース設定 WAN 0 インターフェース (gigabitethernet 0) を有効にします *Router(config)# interface gigabitethernet 0 *Router(config-if)# no shutdown *Router(config-if)# exit 赤字には 17 ページのお客様情報を入力ください 21

22 3-2. ARX640S の設定 PPPoE インターフェース設定 WAN 0 インターフェース上に PPPoE インターフェース (gigabitethernet 0.1) を作成しインターフェースを使用できるようにします WAN 側の IP アドレスを設定しインターフェース上で使用する PPP 設定情報を括り付けます LAN 側インターフェースに接続されている全ての端末が ENAT(NAPT) 機能を使用できるよう設定します外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します *Router(config)# interface gigabitethernet 0.1 *Router(config-subif)# ip address /32 *Router(config-subif)# ip tcp mss auto *Router(config-subif)# no shutdown *Router(config-subif)# pppoe enable *Router(config-pppoe-if)# ppp bind-profile pppoe0 *Router(config-pppoe-if)# ip napt inside any *Router(config-pppoe-if)# ip ids in protect *Router(config-pppoe-if)# exit 赤字には 17 ページのお客様情報を入力ください 22

23 3-2. ARX640S の設定 LAN インターフェース設定 LAN 側インターフェース (vlan 1) に IP アドレスを設定します *Router(config)# interface vlan 1 *Router(config-if)# ip address /24 *Router(config-if)# exit デフォルトルート設定デフォルトルートを設定します *Router(config)# ip route default gigabitethernet 0.1 赤字には 17 ページのお客様情報を入力ください 23

24 3-2. ARX640S の設定ファイアーウォール設定 ISAKMP パケットは通しつつ他の外側からの通信を遮断し内側からの通信は自由に行えるようにファイアウォール機能を設定し PPPoE インターフェース上に割り当てます *Router(config)# access-list ip extended ipsec *Router(config-acl-ip-ext)# permit ip any any *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-in *Router(config-acl-ip-ext)# dynamic permit udp any interface gigabitethernet 0.1 eq 500 *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-out *Router(config-acl-ip-ext)# dynamic permit ip any any *Router(config-acl-ip-ext)# exit *Router(config)# interface gigabitethernet 0.1 *Router(config-pppoe-if)# ip traffic-filter pppoe0-in in *Router(config-pppoe-if)# ip traffic-filter pppoe0-out out *Router(config-pppoe-if)# exit 24

25 3-2. ARX640S の設定 IPsec 設定 Phase 1 の Proposal および ISAKMP ポリシーを設定します *Router(config)# isakmp proposal isakmp encryption aes128 hash sha1 group 2 *Router(config)# isakmp proposal isakmp lifetime *Router(config)# isakmp policy isakmp_1 *Router(config-isakmp-policy)# peer *Router(config-isakmp-policy)# auth preshared key ABCDEFGHIJKLMNOPQRSTUVWXYZ1234 *Router(config-isakmp-policy)# proposal isakmp *Router(config-isakmp-policy)# keepalive enable *Router(config-isakmp-policy)# keepalive interval 10 *Router(config-isakmp-policy)# keepalive dpd periodic *Router(config-isakmp-policy)# exit *Router(config)# isakmp policy isakmp_2 *Router(config-isakmp-policy)# peer *Router(config-isakmp-policy)# auth preshared key 1234abcdefghijklmnppqrsutvwxyz *Router(config-isakmp-policy)# proposal isakmp *Router(config-isakmp-policy)# keepalive enable *Router(config-isakmp-policy)# keepalive interval 10 *Router(config-isakmp-policy)# keepalive dpd periodic *Router(config-isakmp-policy)# exit 赤字には 17 ページのお客様情報を入力ください 25

26 3-2. ARX640S の設定 IPsec 設定 Phase 2 の Proposal および IPsec ポリシーを設定します *Router(config)# ipsec proposal ipsec esp encryption aes128 hash sha1 *Router(config)# ipsec policy ipsec_1 *Router(config-ipsec-policy)# peer *Router(config-ipsec-policy)# pfs 2 *Router(config-ipsec-policy)# access-list ipsec *Router(config-ipsec-policy)# local-id /0 *Router(config-ipsec-policy)# remote-id /0 *Router(config-ipsec-policy)# proposal ipsec *Router(config-ipsec-policy)# always-up-sa *Router(config-ipsec-policy)# exit *Router(config)# ipsec policy ipsec_2 *Router(config-ipsec-policy)# peer *Router(config-ipsec-policy)# pfs 2 *Router(config-ipsec-policy)# access-list ipsec *Router(config-ipsec-policy)# local-id /0 *Router(config-ipsec-policy)# remote-id /0 *Router(config-ipsec-policy)# proposal ipsec *Router(config-ipsec-policy)# always-up-sa *Router(config-ipsec-policy)# exit 赤字には 17 ページのお客様情報を入力ください 26

27 3-2. ARX640S の設定トンネルインターフェース設定トンネルインターフェース (tunnel 1 2) を作成しインターフェースを使用できるようにしますトンネルインターフェースに対応する IPsec ポリシーを設定します *Router(config)# interface tunnel 1 *Router(config-if-tunnel)# tunnel mode ipsec *Router(config-if-tunnel)# ip address /30 *Router(config-if-tunnel)# ip tcp mss auto *Router(config-if-tunnel)# no shutdown *Router(config-if-tunnel)# tunnel policy ipsec_1 *Router(config-if-tunnel)# exit *Router(config)# interface tunnel 2 *Router(config-if-tunnel)# tunnel mode ipsec *Router(config-if-tunnel)# ip address /30 *Router(config-if-tunnel)# ip tcp mss auto *Router(config-if-tunnel)# no shutdown *Router(config-if-tunnel)# tunnel policy ipsec_2 *Router(config-if-tunnel)# exit 赤字には 17 ページのお客様情報を入力ください 27

28 3-2. ARX640S の設定 BGP 設定 IPsec トンネル上で BGP を用いて AWS 側 ( 例では /16) とルート情報を交換できるように設定します *Router(config)# router bgp *Router(config-router)# timers bgp *Router(config-router)# neighbor remote-as *Router(config-router)# neighbor dont-capability-negotiate *Router(config-router)# neighbor default-originate *Router(config-router)# neighbor remote-as *Router(config-router)# neighbor dont-capability-negotiate *Router(config-router)# neighbor default-originate セッション開始時にオプション機能の交渉を行わないようにする設定です AWS との通信は全て ARX640S 経由で行うようにデフォルトルートを通知する設定です赤字には 17 ページのお客様情報を入力ください 28

29 3-2. ARX640S の設定設定の保存 DHCP サーバー ( デフォルト有効 ) を無効にします *Router(config)# no ip dhcp pool vlan 1 *Router(config)# no dhcp-server ip enable *Router(config)# exit 設定は以上です起動時に読み込むコンフィグとして保存します *Router# copy running-config startup-config Writing flashrom: "startup-config. [OK] Router# 再起動します Router# reload reboot system? (y/n): y Copyright (C) Allied Telesis Holdings K.K. All rights reserved. Allied Telesis Boot Monitor: Ver RAM check... 29

30 3-2. ARX640S の設定設定の確認再度ログインし設定 ( ランニングコンフィグ ) を表示します login: manager Password: friend 実際には表示されません Allied Telesis EATOS System Software CentreCOM ARX640S Software, Version (RELEASE SOFTWARE) Router> enable Router# show running-config 次頁の入力コマンド一覧 (1)(2) を参考に設定に誤りが無いかご確認ください 30

31 入力コマンド一覧 (1) 3-3. 設定の確認 show running-config で設定を確認できます下記のように表示されているかご確認ください service password-encryption clock timezone JST 9 ppp profile pppoe0 my-username PPP ユーザ名 password 8 PPP パスワードを暗号化した文字列 interface gigabitethernet 0 no shutdown interface gigabitethernet 0.1 ip address /32 ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside any ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect interface gigabitethernet 1 shutdown interface gigabitethernet 2 no shutdown interface gigabitethernet 3 no shutdown interface gigabitethernet 4 no shutdown interface gigabitethernet 5 no shutdown interface loop 0 shutdown interface loop 1 shutdown interface tunnel 1 tunnel mode ipsec ip address ip tcp mss auto no shutdown tunnel policy ipsec_1 interface tunnel 2 tunnel mode ipsec ip aaddress ip tcp mss auto no shutdown tunnel policy ipsec_2 interface vlan 1 ip address /24 no shutdown router bgp timers bgp neighbor remote-as neighbor dont-capability-negotiate neighbor default-originate 31

32 入力コマンド一覧 (2) 3-3. 設定の確認 neighbor remote-as neighbor dont-capability-negotiate neighbor default-originate ip route default gigabitethernet 0.1 access-list ip extended ipsec permit ip any any access-list ip extended pppoe0-in dynamic permit udp any interface gigabitethernet 0.1 eq 500 access-list ip extended pppoe0-out dynamic permit ip any any isakmp proposal isakmp encryption aes128 hash sha1 group 2 isakmp proposal isakmp lifetime isakmp policy isakmp_1 peer auth preshared key 8 Preshared key(1) を暗号化した文字列 proposal isakmp keepalive enable keepalive interval 10 keepalive dpd periodic isakmp policy isakmp_2 peer auth preshared key 8 Preshared key(2) を暗号化した文字列 proposal isakmp keepalive enable keepalive interval 10 keepalive dpd periodic ipsec proposal ipsec esp encryption aes128 hash sha1 ipsec policy ipsec_1 peer pfs 2 access-list ipsec local-id /0 remote-id /0 proposal ipsec always-up-sa ipsec policy ipsec_2 peer pfs 2 access-list ipsec local-id /0 remote-id /0 proposal ipsec always-up-sa http-server username manager password 8 $1$EJO/tsuy$RzBmhy7 http-server ip enable telnet-server ip enable end 各コマンドの詳細はコマンドリファレンスを参照ください 32

33 4. 動作確認 33

34 4-1. IPsec の確認 ISAKMP SA の確立状態下記コマンドを実行し ISAKMP SA の確立状態が Establish であることを確認します Router# show isakmp sa Side : Init - Initiator Resp - Responder Policy Status Cookie Peer address Life time Side Options isakmp_1 Establish d5a09b8dc30eadcb:b9bcece0b8fea6a / Resp DPD isakmp_2 Establish d65d209ef99f367f:257ba60b6057f9e / Resp DPD 上記のように表示されない場合は ISAKMP SA の確立に失敗しています Preshared key や ISAKMP ポリシー ISAKMP proposal が正しく設定されているかご確認ください 34

35 4-1. IPsec の確認 IPsec SA の確立状態下記コマンドを実行し IPsec SA の確立状態が Establish であることを確認します Router# show ipsec sa Proto: ESP - Encapsulating Security Payload AH - Authentication Header ESP(U) - UDP encapsulation ESP Side : Init - Initiator Resp - Responder Policy Proto Status In:Out SPI Peer address Life time Life byte Side ipsec_1 ESP Establish 1b4d87b2:ad371f / / --- Init ipsec_2 ESP Establish a1d564b6:f57ae98a / / --- Init 上記のように表示されない場合は IPsec SA の確立に失敗しています IPsec ポリシー IPsec proposal が正しく設定されているかご確認ください 35

36 4-2. 経路の確認下記コマンドを実行し BGP のセッションが確立できていることを確認します Router#show ip bgp summary BGP router identifier , local AS number BGP table version is 1 2 BGP AS-PATH entries 0 BGP community entries Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd :07: :07:19 1 Number of neighbors 2 Router# 36

37 4-2. 経路の確認下記コマンドを実行し AWS( /16) への経路を確認します Router# show ip route Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area PR - Static route via protocol * - candidate default Gateway of last resort is to network S* /0 [1/0] is directly connected, gigabitethernet 0.1 B /16 [20/0] via , tunnel 1, 00:05:17 C /32 is directly connected, gigabitethernet 0.1 C /32 is directly connected, gigabitethernet 0.1 C /24 is directly connected, vlan 1 37

38 4-3. AWS の確認メニューバーの VPN Connection 内の Tunnel Details タブを選択し両方のトンネルの Status が UP になっていることを確認してください 38

39 4-3. AWS の確認 Status が DOWN の際 IPsec の接続に失敗している場合は Details の欄に IPSEC IS DOWN と IPsec の接続には成功しているが BGP セッションの確立に失敗している場合は Details に IPSEC IS UP と表示されます 39

40 4-4. 通信の確認 Amazon EC2 と通信ができることを確認します Amazon EC2 の作成方法については AWS の技術資料をご参照ください ARX640S の LAN 側から Amazon EC2 の IP アドレス ( 本例では ) に対して ping が通ることを確認します ping はキーボードの Ctrl + C で停止できます Router# ping source vlan 1 PING ( ): 56 data bytes 64 bytes from : icmp_seq=0 ttl=126 time= ms 64 bytes from : icmp_seq=1 ttl=126 time= ms 64 bytes from : icmp_seq=2 ttl=126 time= ms 64 bytes from : icmp_seq=3 ttl=126 time= ms 64 bytes from : icmp_seq=4 ttl=126 time= ms 64 bytes from : icmp_seq=5 ttl=126 time= ms ^C PING Statistics packets transmitted, 6 packets received, 0.0% packet loss round-trip min/avg/max/stddev = /22.758/23.514/0.370 ms 40

41 4-5. 経路冗長の確認 ( 参考 ) Amazon VPC のゲートウェイの一方がダウンしたときの経路の冗長性を確認します ARX640S は BGP で同じ宛先への経路を複数通知された際は初めに通知された経路を使用しますそのため VPC に接続するたびに使用する経路が変わる場合がありますもし経路情報を確認し AWS への経路が tunnel2 経由である際は以下の説明の tunnel1 と tunnel2 を置き換えてください実際のゲートウェイのダウンを待つことはできないのでここでは tunnel 1 を通るパケットを強制的にフィルタリングすることで障害をシミュレートします Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# access-list ip extended pppoe0-in Router(config-acl-ip-ext)# deny ip /32 any sequence 1 *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-out *Router(config-acl-ip-ext)# deny ip any sequence 1 *Router(config-acl-ip-ext)# exit *Router(config)# exit 赤字には Amazon VPC VPN tunnel とサブネットマスクを入力ください 41

42 4-5. 経路冗長の確認 ( 参考 ) しばらく待つと tunnel 1 の IPsec が切断され経路が tunnel 2 に切替ります下記コマンドで経路の切り替わりを確認してください *Router# show ip route Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area PR - Static route via protocol * - candidate default Gateway of last resort is to network S* /0 [1/0] is directly connected, gigabitethernet 0.1 B /16 [20/0] via , tunnel 2, 00:08:34 C /32 is directly connected, gigabitethernet 0.1 C /32 is directly connected, gigabitethernet 0.1 C /24 is directly connected, vlan 1 42

43 4-5. 経路冗長の確認 ( 参考 ) この状態で ARX640S の LAN 側から Amazon EC2 に対して ping が通ることを確認します *Router# ping source vlan 1 PING ( ): 56 data bytes 64 bytes from : icmp_seq=0 ttl=126 time= ms 64 bytes from : icmp_seq=1 ttl=126 time= ms 64 bytes from : icmp_seq=2 ttl=126 time= ms 64 bytes from : icmp_seq=3 ttl=126 time= ms 64 bytes from : icmp_seq=4 ttl=126 time= ms ^C PING Statistics packets transmitted, 5 packets received, 0.0% packet loss round-trip min/avg/max/stddev = /25.912/26.244/0.281 ms 43

44 4-5. 経路冗長の確認 ( 参考 ) 経路の切り替わりを確認したら先ほどのフィルタリングを消去します *Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. *Router(config)# access-list ip extended pppoe0-in *Router(config-acl-ip-ext)# no deny ip /32 any sequence 1 *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-out *Router(config-acl-ip-ext)# no deny ip any /32 sequence 1 Router(config-acl-ip-ext)# exit Router(config)# exit 赤字には Amazon VPC VPN tunnel とサブネットマスクを入力ください BGP でルート交換を行っている場合は IPsec が復旧しても元のルートに切り替わらず障害発生時のルートを使用し続けます 44

45 社会品質を創るアライドテレシス

ARX640SとAmazon Web Services(AWS)接続設定例

ARX640SとAmazon Web Services(AWS)接続設定例 Amazon Web Services (AWS) - ARX640S 接続設定例 Static Routing 当社検証結果に基づき記載していますが全てのお客様環境の動作を保証するものではありません 2015 年 2 月現在の仕様に基いて記載しています今後の仕様変更によっては接続できない可能性