Amazon Web Services (AWS) - ARX640S 接続設定例

Similar documents
ARX640SとAmazon Web Services(AWS)接続設定例

Amazon Web Services(AWS)AR4050S/AR3050S接続設定例_Border Gateway Protocol(BGP)

Microsoft Azure AR4050S, AR3050S, AR2050V 接続設定例

Microsoft PowerPoint - Amazon VPCとのVPN接続.pptx

Amazon Web Services (AWS) AR4050S/AR3050S/AR2050V接続設定例

クラウド接続 「Windows Azure」との接続

宛先変更のトラブルシューティ ング

IPSEC(Si-RGX)

Si-R/Si-R brin シリーズ設定例

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

FW Migration Guide(ipsec1)

FW Migration Guide(ipsec2)

IPSEC-VPN IPsec(Security Architecture for Internet Protocol) IP SA(Security Association, ) SA IKE IKE 1 1 ISAKMP SA( ) IKE 2 2 IPSec SA( 1 ) IPs

設定例集_Rev.8.03, Rev.9.00, Rev.10.01対応

インターネットVPN_IPoE_IPv6_fqdn

はじめに IRASⅡ(IPsec Remote Access ServiceⅡ) は インターネット暗号化技術により お客様ネットワークにセキュアなリモ-トアクセス環境を提供いたします IRASⅡハードウェアクライアントでは Cisco Systems の IOS ルータ機能を利用します 本マニュア

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

dovpn-set-v100

conf_example_260V2_inet_snat.pdf

IPSEC(Si-RG)

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

Win XP SP3 Japanese Ed. NCP IPSec client Hub L3 SW SRX100 Policy base VPN fe-0/0/0 vlan.0 Win 2003 SVR /

Microsoft Word - VPNConnectionInstruction-rev1.3.docx

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

GenieATM 6300-T / 6200-T シリーズ 1. 基本的な機器オペレーションのために 1-1. 機器への接続 機器への接続方法は 以下の 2 通りがあります シリアルポートを使用してログインする LAN 経由で Telnet または SSH を使用して仮想 Interface からロ

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

AMFマルチテナントソリューション

SGX808 IPsec機能

MR1000 コマンド設定事例集

Configuring VPN from Proventia M Series Appliance to Cisco PIX 515E

Cisco Security Device Manager サンプル設定ガイド

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

SRX License

iPhone/iPad/Android(TM) とベリサイン アイデンティティプロテクション(VIP)エンタープライズゲートウェイとの組み合わせによるL2TP+IPsecのワンタイムパスワード設定例

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

帯域を測ってみよう (適応型QoS/QoS連携/帯域検出機能)

IPCOMとWindows AzureのIPsec接続について

xr-set_IPsec_v1.3.0

アライドテレシス・コアスイッチ AT-x900 シリーズ で実現するエンタープライズ・VRRPネットワーク

橡sirahasi.PDF

RTX830 取扱説明書

ip nat outside source list コマンドを使用した設定例

ホワイトクラウド ASPIRE IPsec VPN 接続構成ガイド ASA5515 を用いた接続構成例 ソフトバンク株式会社

リモートアクセス型L2TP+IPsec VPN

PowerPoint Presentation

SRT/RTX/RT設定例集

インターネット お客様環境 回線終端装置 () 61.xxx.yyy.9 (PPPoE) 61.xxx.yyy.10 (Ethernet) 61.xxx.yyy.11 Master 61.xxx.yyy.12 Backup

FutureNet NXR,WXR シリーズ設定例集

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 3 日ネットワールド 新規 I

改訂履歴 版番号改訂日改訂者改訂内容 年 3 月 3 日ネットワールド 新規 I

Dynamic VPN Dynamic VPN IPSec VPN PC SRX IPSec VPN SRX PC IPSec 2 Copyright 2010 Juniper Networks, Inc.

リモートアクセス型L2TP+IPsec VPN 設定例

AMF Cloud ソリューション

Web 認証拡張機能簡易ドキュメント

Inter-IX IX/-IX 10/21/2003 JAPAN2003 2

LAN

FutureNet NXR,WXR設定例集

AP-700/AP-4000 eazy setup

アライドテレシスコア スイッチ AT-SBx908 シリーズで実現する AMF-SBx908 ソリューション Solution No 主な目的 ネットワークの一元管理 共有化をしたい 既存ネットワークを再構築せずに 簡単に導入したい ネットワーク管理 運用にかかるコストを削減

FutureNet NXR,WXR 設定例集

破損した CIMC ファームウェアの復旧

AMF & SESネットワーク

リモートアクセス型L2TP+IPsec VPN 設定例

アライドテレシス・コアスイッチ AT-x900 シリーズとディストリビューションスイッチ AT-x600 シリーズで実現するACLトラフィックコントロール

pppoe_inet_vx811r.doc

Soliton Net’Attest EPS + AR router series L2TP+IPsec RADIUS 設定例

アライドテレシス コア・スイッチ AT-x900 シリーズ とディストリビューションスイッチ AT-x600 シリーズ で実現するOSPFv3/OSPFv2 & RIP/RIPng デュアルスタック ・ ネットワーク

untitled

IPv6 リンクローカル アドレスについて

Microsoft Word - ID32.doc

認証連携設定例 連携機器 パナソニック ES ネットワークス Switch-M24eG Case IEEE802.1X EAP-PEAP(MS-CHAP V2)/ EAP-TLS/EAP-TLS+ ダイナミック VLAN Rev2.0 株式会社ソリトンシステムズ

FutureNet NXR,WXR シリーズ設定例集

<4D F736F F F696E74202D C F815B834E95D2836E E9197BF2E707074>

IPIP(Si-RGX)

untitled

JANOG14-コンバージェンスを重視したMPLSの美味しい使い方

PowerPoint プレゼンテーション

当ガイドをご利用になる前に 当内容は お客様 販売店様 その他関係者が System x, Flex Systemなどを活用することを目的として作成しました 詳細につきましては URL( の利用条件をご参照ください 当技術資料に含

ArrayAPV/TMX 負荷分散機能の基本

設定例集

アドレス プールの設定

R76/Gaia ブリッジ構成設定ガイド

ディストリビューションスイッチ AT-x600シリーズで実現するエンタープライズ・認証検疫ネットワーク

実習 : 拡張 ACL の設定と確認 トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 9 ページ

コンフィギュレーション レジスタの設定変更

VPN の IP アドレス

conf_example_260V2_260V2_550S_inet+cug_IPsec.pdf

Amazon Web Services 向け先進のセキュリティ! Amazon パブリック クラウド用仮想アプライアンス Public Cloud チェック ポイントの Software Blade が Amazon Public Cloud 上で展開可能となりました 2014 Check Poin

All Rights Reserved. Copyright(c)1997 Internet Initiative Japan Inc. 1

How to Install and Configure Panorama Panorama のインストールと設定 Panorama は Palo Alto Networks のサポートサイトからダウンロード可能な VMware イメージです 本書は Panorama のインストールと Panora

Microsoft PowerPoint - APM-VE(install).pptx

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定


コア・スイッチAT-SBx908シリーズとデータセンタースイッチAT-DC2552XSシリーズで実現する10Gデータセンターネットワーク

コンフィギュレーション ファイルのバックアップと復元

初めてのBFD

無線 LAN JRL-710/720 シリーズ ファームウェアバージョンアップマニュアル G lobal Communications

Si-R180 ご利用にあたって

owners.book

Transcription:

Amazon Web Services (AWS) - ARX640S 接続設定例 Border Gateway Protocol(BGP) 当社検証結果に基づき記載していますが 全てのお客様環境の動作を保証するものではありません 2015 年 5 月現在の仕様に基いて記載しています 今後の仕様変更によっては接続できない可能性があります アライドテレシス株式会社

目次 1. 概要 1. 概要 2. 設定例の構成 3. IPsecのパラメータ 2. Amazon VPCの設定 1. はじめに 2. Amazon VPCの設定 3. ARX640Sの設定 1. はじめに 2. ARX640Sの設定 3. 設定の確認 4. 動作確認 1. IPsecの確認 2. 経路の確認 3. AWSの確認 4. 通信の確認 5. 経路冗長の確認 ( 参考 ) 2

1. 概要 3

1-1. 概要 本書では ARX640S と Amazon Web Services ( 以下 AWS) との接続についての設定例を説明します Amazon Virtual Private Cloud( 以下 Amazon VPC) を通じて AWS と接続します Amazon VPC は AWS に接続するための VPN 機能を提供しています AWS 側には Amazon Elastic Compute Cloud( 以下 Amazon EC2) と呼ばれる仮想サーバを用意しています 本設定例では ARX640S 配下の端末からインターネット上のサーバーに直接通信 ( 平文通信 ) できます ARX640S はファームウェアバージョン 5.1.6 以降をご利用下さい http://www.allied-telesis.co.jp/support/list/router/arx640s/download.html Amazon VPC に関する技術情報は以下をご参照ください http://aws.amazon.com/jp/vpc/ 4

1-2. 設定例の構成 Amazon VPC では 2 つのゲートウェイが用意されています ARX640S は 2 本の IPsec(ESP) トンネルで接続します AWS 10.0.0.0/16 Amazon EC2 10.0.1.1 ゲートウェイ ゲートウェイ 172.30.0.1 172.31.0.1 インターネット tunnel 1 tunnel 2 固定アドレスが必要 Gigabit Ethernet 0.1 ARX640S 172.29.0.1 VLAN1 192.168.1.0/24 AWS 側の構成図はイメージです 実際の環境とは異なる可能性があります 本書では仮の IP アドレスを記載しています 実際の IP アドレスとは異なりますのでご了承ください 5

1-3.IPsec のパラメータ 下記パラメータで設定します IKE フェーズ 1(ISAKMP SA のネゴシエーション ) 認証方式 IKE 交換モード Diffie-Hellman(Oakley) グループ ISAKMPメッセージの暗号化方式 ISAKMPメッセージの認証方式 事前共有鍵 (pre-shared key) Mainモード Group2(1024ビットMODP) AES128 SHA-1 ISAKMP SA の有効期限 ( 時間 ) 28800 秒 (8 時間 ) IKE フェーズ 2(IPsec SA のネゴシエーション ) SA モード トンネルモード セキュリティープロトコル ESP( 暗号化 + 認証 ) Diffie-Hellman(Oakley) グループ 暗号化方式 認証方式 Group2(1024 ビット MODP) PFS 有効 AES128 SHA-1 IPsec SA の有効期限 ( 時間 ) 3600 秒 (1 時間 ) 6

2. Amazon VPC の設定 7

2-1. はじめに Amazon VPC を設定します AWS の Web サイトでアカウントを作成し AWS Management Console を起動します アカウント作成の流れについては以下をご参照ください http://aws.amazon.com/jp/register-flow/ 次頁より主要設定を記載しますが 詳細は以下をご参照ください http://docs.amazonwebservices.com/ja_jp/amazonvpc/latest/gettingstartedguide/ GetStarted.html 次頁から掲載している設定画面は 2015 年 5 月現在の情報です 今後 設定画面が変更される場合がございますのでご了承ください 8

2-2. Amazon VPC の設定 ウィザードの開始 画面左上 Services から VPC を選択します VPC Dashboard にある Start VPC Wizard を押します 9

2-2. Amazon VPC の設定 ネットワーク構成の選択ネットワーク構成に合わせて項目を選択します 本例では VPC with a Private Subnet Only and Hardware VPN Access を選び Select を押します 10

2-2. Amazon VPC の設定 AWS 側の設定 AWS 内で使用するサブネットを登録します 下記を参考に空欄を埋めてください 本例では IP CIDR block を 10.0.0.0/16 Private Subnet を 10.0.1.0/24 として登録します 登録を終えたら Next を押します VPC の名称を指定します VPC で使用可能な IP アドレスの範囲を指定します サブネットマスクは /16~/28 の間で指定します 上記 IP CIDR block で指定した範囲内でプライベートサブネットを指定します プライベートサブネットは後ほど追加することもできます Availability Zone を指定します No Preference にすると自動選択します プライベートサブネットの名称を指定します DNS 名を割り当てるかどうかを選択します ハードウェア専有インスタンスの設定です 詳細については以下をご参照ください http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/dedicated-instance.html 11

2-2. Amazon VPC の設定 ARX640S の WAN 側 /LAN 側 IP アドレスの登録 ARX640S の WAN 側 IP アドレス ( 固定アドレス ) を登録します 本例では 172.29.0.1 を登録しています Routing Type で Dynamic (requires BGP) を選択し, Create VPC を押します 12

2-2. Amazon VPC の設定 VPC の生成 処理が完了すると下のような画面が表示されます VPC Successfully Created と表示されたら 右側の OK を押します 13

2-2. Amazon VPC の設定 設定のダウンロード 左側のメニューバーから VPN Connections を選択します 作成したVPN 名を選択し Download Configuration を押します 3 2 1 14

2-2. Amazon VPC の設定 設定のダウンロード 設定例をダウンロードします 本例では Generic を選択しています 右下の Yes, Download を押します 設定例が表示されますので ローカルディスクに保存します 次頁の ARX640S の設定 で使用しますので 大切に保管してください 15

3. ARX640S の設定 16

3-1. はじめに ARX640S の設定に必要な情報は下記です 設定前に情報をまとめておくと便利です Amazon VPC VPN tunnel(1)(2) Preshared key (1)(2) Tunnel interface IP address(1)(2) BGP Neighbor IP Address(1)(2) は 次頁を参考にご記入ください 設定項目本設定例で使用したパラメータお客様情報 PPP ユーザー名 PPP パスワード user@ispa isppasswda ARX640S ppp0(wan 側 )IP アドレス 172.29.0.1/32 ARX640S vlan1(lan 側 )IP アドレス 192.168.1.254/24 Amazon VPC VPN tunnel(1) 172.30.0.1 Preshared key(1) ABCDEFGHIJKLMNOPQRSTUVWXYZ1234 Tunnel interface IP address(1) 172.16.0.2/30 BGP Neighbor IP Address(1) 172.16.0.1 Amazon VPC VPN tunnel(2) 172.31.0.1 Preshared key(2) 1234abcdefghijklmnppqrsutvwxyz Tunnel interface IP address(2) 172.17.0.2/30 BGP Neighbor IP Address(2) 172.17.0.1 AWS 内のサブネット 10.0.0.0/16 17

3-1. はじめに 15 ページで保存した設定例をテキストエディターで開きます 2 本の IPSec トンネルの Pre-Shared Key Virtual Private Gateway( Outside IP Addresses ) Customer Gateway(Inside IP Address) BGP の Neighbor IP Address を確認します ダウンロードした設定によって記載方法が異なります 下記は Generic の場合の例です Preshared key(1) Amazon VPC VPN tunnel(1) Tunnel interface IP address(1) BGP Neighbor IP Address(1) 18

3-1. はじめに Preshared key(2) Amazon VPC VPN tunnel(2) Tunnel interface IP address(2) BGP Neighbor IP Address(2) 19

3-2. ARX640S の設定 ログイン ARX640S にログインします 工場出荷時設定の CLI のログイン ID/PW は下記の通りです login: manager Password: friend 実際には表示されません Allied Telesis EATOS System Software CentreCOM ARX640S Software, Version 5.1.6 (RELEASE SOFTWARE) Router> モードの移行 非特権 EXEC モードから 特権 EXEC モードに移行します Router> enable 特権 EXEC モードからグローバルコンフィグモードに移行します Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. 20

3-2. ARX640S の設定 PPPoE 設定 ISP から通知された PPP ユーザー名やパスワード等の PPP 設定情報を作成します Router(config)# ppp profile pppoe0 *Router(config-ppp-profile)# my-username user@ispa password isppasswda *Router(config-ppp-profile)# exit WAN 0 インターフェース設定 WAN 0 インターフェース (gigabitethernet 0) を有効にします *Router(config)# interface gigabitethernet 0 *Router(config-if)# no shutdown *Router(config-if)# exit 赤字には 17 ページのお客様情報を入力ください 21

3-2. ARX640S の設定 PPPoE インターフェース設定 WAN 0 インターフェース上に PPPoE インターフェース (gigabitethernet 0.1) を作成し インターフェースを使用できるようにします WAN 側の IP アドレスを設定し インターフェース上で使用する PPP 設定情報を括り付けます LAN 側インターフェースに接続されている全ての端末が ENAT(NAPT) 機能を使用できるよう設定します 外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します *Router(config)# interface gigabitethernet 0.1 *Router(config-subif)# ip address 172.29.0.1/32 *Router(config-subif)# ip tcp mss auto *Router(config-subif)# no shutdown *Router(config-subif)# pppoe enable *Router(config-pppoe-if)# ppp bind-profile pppoe0 *Router(config-pppoe-if)# ip napt inside any *Router(config-pppoe-if)# ip ids in protect *Router(config-pppoe-if)# exit 赤字には 17 ページのお客様情報を入力ください 22

3-2. ARX640S の設定 LAN インターフェース設定 LAN 側インターフェース (vlan 1) に IP アドレスを設定します *Router(config)# interface vlan 1 *Router(config-if)# ip address 192.168.1.254/24 *Router(config-if)# exit デフォルトルート設定 デフォルトルートを設定します *Router(config)# ip route default gigabitethernet 0.1 赤字には 17 ページのお客様情報を入力ください 23

3-2. ARX640S の設定 ファイアーウォール設定 ISAKMP パケットは通しつつ他の外側からの通信を遮断し 内側からの通信は自由に行えるようにファイアウォール機能を設定し PPPoE インターフェース上に割り当てます *Router(config)# access-list ip extended ipsec *Router(config-acl-ip-ext)# permit ip any any *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-in *Router(config-acl-ip-ext)# dynamic permit udp any interface gigabitethernet 0.1 eq 500 *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-out *Router(config-acl-ip-ext)# dynamic permit ip any any *Router(config-acl-ip-ext)# exit *Router(config)# interface gigabitethernet 0.1 *Router(config-pppoe-if)# ip traffic-filter pppoe0-in in *Router(config-pppoe-if)# ip traffic-filter pppoe0-out out *Router(config-pppoe-if)# exit 24

3-2. ARX640S の設定 IPsec 設定 Phase 1 の Proposal および ISAKMP ポリシーを設定します *Router(config)# isakmp proposal isakmp encryption aes128 hash sha1 group 2 *Router(config)# isakmp proposal isakmp lifetime 28800 *Router(config)# isakmp policy isakmp_1 *Router(config-isakmp-policy)# peer 172.30.0.1 *Router(config-isakmp-policy)# auth preshared key ABCDEFGHIJKLMNOPQRSTUVWXYZ1234 *Router(config-isakmp-policy)# proposal isakmp *Router(config-isakmp-policy)# keepalive enable *Router(config-isakmp-policy)# keepalive interval 10 *Router(config-isakmp-policy)# keepalive dpd periodic *Router(config-isakmp-policy)# exit *Router(config)# isakmp policy isakmp_2 *Router(config-isakmp-policy)# peer 172.31.0.1 *Router(config-isakmp-policy)# auth preshared key 1234abcdefghijklmnppqrsutvwxyz *Router(config-isakmp-policy)# proposal isakmp *Router(config-isakmp-policy)# keepalive enable *Router(config-isakmp-policy)# keepalive interval 10 *Router(config-isakmp-policy)# keepalive dpd periodic *Router(config-isakmp-policy)# exit 赤字には 17 ページのお客様情報を入力ください 25

3-2. ARX640S の設定 IPsec 設定 Phase 2 の Proposal および IPsec ポリシーを設定します *Router(config)# ipsec proposal ipsec esp encryption aes128 hash sha1 *Router(config)# ipsec policy ipsec_1 *Router(config-ipsec-policy)# peer 172.30.0.1 *Router(config-ipsec-policy)# pfs 2 *Router(config-ipsec-policy)# access-list ipsec *Router(config-ipsec-policy)# local-id 0.0.0.0/0 *Router(config-ipsec-policy)# remote-id 0.0.0.0/0 *Router(config-ipsec-policy)# proposal ipsec *Router(config-ipsec-policy)# always-up-sa *Router(config-ipsec-policy)# exit *Router(config)# ipsec policy ipsec_2 *Router(config-ipsec-policy)# peer 172.31.0.1 *Router(config-ipsec-policy)# pfs 2 *Router(config-ipsec-policy)# access-list ipsec *Router(config-ipsec-policy)# local-id 0.0.0.0/0 *Router(config-ipsec-policy)# remote-id 0.0.0.0/0 *Router(config-ipsec-policy)# proposal ipsec *Router(config-ipsec-policy)# always-up-sa *Router(config-ipsec-policy)# exit 赤字には 17 ページのお客様情報を入力ください 26

3-2. ARX640S の設定 トンネルインターフェース設定 トンネルインターフェース (tunnel 1 2) を作成し インターフェースを使用できるようにします トンネルインターフェースに対応する IPsec ポリシーを設定します *Router(config)# interface tunnel 1 *Router(config-if-tunnel)# tunnel mode ipsec *Router(config-if-tunnel)# ip address 172.16.0.2/30 *Router(config-if-tunnel)# ip tcp mss auto *Router(config-if-tunnel)# no shutdown *Router(config-if-tunnel)# tunnel policy ipsec_1 *Router(config-if-tunnel)# exit *Router(config)# interface tunnel 2 *Router(config-if-tunnel)# tunnel mode ipsec *Router(config-if-tunnel)# ip address 172.17.0.2/30 *Router(config-if-tunnel)# ip tcp mss auto *Router(config-if-tunnel)# no shutdown *Router(config-if-tunnel)# tunnel policy ipsec_2 *Router(config-if-tunnel)# exit 赤字には 17 ページのお客様情報を入力ください 27

3-2. ARX640S の設定 BGP 設定 IPsec トンネル上で BGP を用いて AWS 側 ( 例では 10.0.0.0/16) とルート情報を交換できるように設定します *Router(config)# router bgp 65000 *Router(config-router)# timers bgp 10 30 *Router(config-router)# neighbor 172.16.0.1 remote-as 10124 *Router(config-router)# neighbor 172.16.0.1 dont-capability-negotiate *Router(config-router)# neighbor 172.16.0.1 default-originate *Router(config-router)# neighbor 172.17.0.1 remote-as 10124 *Router(config-router)# neighbor 172.17.0.1 dont-capability-negotiate *Router(config-router)# neighbor 172.17.0.1 default-originate セッション開始時にオプション機能の交渉を行わないようにする設定です AWS との通信は全て ARX640S 経由で行うようにデフォルトルートを通知する設定です 赤字には 17 ページのお客様情報を入力ください 28

3-2. ARX640S の設定 設定の保存 DHCP サーバー ( デフォルト有効 ) を無効にします *Router(config)# no ip dhcp pool vlan 1 *Router(config)# no dhcp-server ip enable *Router(config)# exit 設定は以上です 起動時に読み込むコンフィグとして保存します *Router# copy running-config startup-config Writing flashrom: "startup-config. [OK] Router# 再起動します Router# reload reboot system? (y/n): y Copyright (C) 2006-2011 Allied Telesis Holdings K.K. All rights reserved. Allied Telesis Boot Monitor: Ver.1.1.5 RAM check... 29

3-2. ARX640S の設定 設定の確認 再度ログインし 設定 ( ランニングコンフィグ ) を表示します login: manager Password: friend 実際には表示されません Allied Telesis EATOS System Software CentreCOM ARX640S Software, Version 5.1.6 (RELEASE SOFTWARE) Router> enable Router# show running-config 次頁の 入力コマンド一覧 (1)(2) を参考に 設定に誤りが無いかご確認ください 30

入力コマンド一覧 (1) 3-3. 設定の確認 show running-config で設定を確認できます 下記のように表示されているかご確認ください service password-encryption clock timezone JST 9 ppp profile pppoe0 my-username PPP ユーザ名 password 8 PPP パスワードを暗号化した文字列 interface gigabitethernet 0 no shutdown interface gigabitethernet 0.1 ip address 172.29.0.1/32 ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside any ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect interface gigabitethernet 1 shutdown interface gigabitethernet 2 no shutdown interface gigabitethernet 3 no shutdown interface gigabitethernet 4 no shutdown interface gigabitethernet 5 no shutdown interface loop 0 shutdown interface loop 1 shutdown interface tunnel 1 tunnel mode ipsec ip address 172.16.0.2 ip tcp mss auto no shutdown tunnel policy ipsec_1 interface tunnel 2 tunnel mode ipsec ip aaddress 172.17.0.2 ip tcp mss auto no shutdown tunnel policy ipsec_2 interface vlan 1 ip address 192.168.1.254/24 no shutdown router bgp 65000 timers bgp 10 30 neighbor 172.16.0.1 remote-as 10124 neighbor 172.16.0.1 dont-capability-negotiate neighbor 172.16.0.1 default-originate 31

入力コマンド一覧 (2) 3-3. 設定の確認 neighbor 172.17.0.1 remote-as 10124 neighbor 172.17.0.1 dont-capability-negotiate neighbor 172.17.0.1 default-originate ip route default gigabitethernet 0.1 access-list ip extended ipsec permit ip any any access-list ip extended pppoe0-in dynamic permit udp any interface gigabitethernet 0.1 eq 500 access-list ip extended pppoe0-out dynamic permit ip any any isakmp proposal isakmp encryption aes128 hash sha1 group 2 isakmp proposal isakmp lifetime 28800 isakmp policy isakmp_1 peer 172.30.0.1 auth preshared key 8 Preshared key(1) を暗号化した文字列 proposal isakmp keepalive enable keepalive interval 10 keepalive dpd periodic isakmp policy isakmp_2 peer 172.31.0.1 auth preshared key 8 Preshared key(2) を暗号化した文字列 proposal isakmp keepalive enable keepalive interval 10 keepalive dpd periodic ipsec proposal ipsec esp encryption aes128 hash sha1 ipsec policy ipsec_1 peer 172.30.0.1 pfs 2 access-list ipsec local-id 0.0.0.0/0 remote-id 0.0.0.0/0 proposal ipsec always-up-sa ipsec policy ipsec_2 peer 172.31.0.1 pfs 2 access-list ipsec local-id 0.0.0.0/0 remote-id 0.0.0.0/0 proposal ipsec always-up-sa http-server username manager password 8 $1$EJO/tsuy$RzBmhy7 http-server ip enable telnet-server ip enable end 各コマンドの詳細は コマンドリファレンスを参照ください http://www.allied-telesis.co.jp/support/list/router/arx640s/comref/index.html 32

4. 動作確認 33

4-1. IPsec の確認 ISAKMP SA の確立状態 下記コマンドを実行し ISAKMP SA の確立状態が Establish であることを確認します Router# show isakmp sa Side : Init - Initiator Resp - Responder Policy Status Cookie Peer address Life time Side Options isakmp_1 Establish d5a09b8dc30eadcb:b9bcece0b8fea6a9 172.30.0.1 51/ 28800 Resp DPD isakmp_2 Establish d65d209ef99f367f:257ba60b6057f9e2 172.31.0.1 54/ 28800 Resp DPD 上記のように表示されない場合は ISAKMP SA の確立に失敗しています Preshared key や ISAKMP ポリシー ISAKMP proposal が正しく設定されているかご確認ください 34

4-1. IPsec の確認 IPsec SA の確立状態 下記コマンドを実行し IPsec SA の確立状態が Establish であることを確認します Router# show ipsec sa Proto: ESP - Encapsulating Security Payload AH - Authentication Header ESP(U) - UDP encapsulation ESP Side : Init - Initiator Resp - Responder Policy Proto Status In:Out SPI Peer address Life time Life byte Side ipsec_1 ESP Establish 1b4d87b2:ad371f89 172.30.0.1 53/ 3600 --- / --- Init ipsec_2 ESP Establish a1d564b6:f57ae98a 172.31.0.1 59/ 3600 --- / --- Init 上記のように表示されない場合は IPsec SA の確立に失敗しています IPsec ポリシー IPsec proposal が正しく設定されているかご確認ください 35

4-2. 経路の確認 下記コマンドを実行し BGP のセッションが確立できていることを確認します Router#show ip bgp summary BGP router identifier 192.168.1.254, local AS number 65000 BGP table version is 1 2 BGP AS-PATH entries 0 BGP community entries Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 172.16.0.1 4 10124 367 437 1 0 0 00:07:57 1 172.17.0.1 4 10124 55 66 1 0 0 00:07:19 1 Number of neighbors 2 Router# 36

4-2. 経路の確認 下記コマンドを実行し AWS(10.0.0.0/16) への経路を確認します Router# show ip route Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area PR - Static route via protocol * - candidate default Gateway of last resort is 0.0.0.0 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] is directly connected, gigabitethernet 0.1 B 10.0.0.0/16 [20/0] via 172.16.0.1, tunnel 1, 00:05:17 C 172.29.0.1 /32 is directly connected, gigabitethernet 0.1 C 172.20.0.1 /32 is directly connected, gigabitethernet 0.1 C 192.168.1.0/24 is directly connected, vlan 1 37

4-3. AWS の確認 メニューバーの VPN Connection 内の Tunnel Details タブを選択し 両方のトンネルの Status が UP になっていることを確認してください 38

4-3. AWS の確認 Status が DOWN の際 IPsec の接続に失敗している場合は Details の欄に IPSEC IS DOWN と IPsec の接続には成功しているが BGP セッションの 確立に失敗している場合は Details に IPSEC IS UP と表示されます 39

4-4. 通信の確認 Amazon EC2 と通信ができることを確認します Amazon EC2 の作成方法については AWS の技術資料をご参照ください http://aws.amazon.com/jp/documentation/ec2/ ARX640S の LAN 側から Amazon EC2 の IP アドレス ( 本例では 10.0.1.1 ) に対して ping が通ることを確認します ping は キーボードの Ctrl + C で停止できます Router# ping 10.0.1.1 source vlan 1 PING 10.0.1.1 (10.0.1.1): 56 data bytes 64 bytes from 10.0.1.1: icmp_seq=0 ttl=126 time=22.403 ms 64 bytes from 10.0.1.1: icmp_seq=1 ttl=126 time=22.413 ms 64 bytes from 10.0.1.1: icmp_seq=2 ttl=126 time=22.703 ms 64 bytes from 10.0.1.1: icmp_seq=3 ttl=126 time=22.729 ms 64 bytes from 10.0.1.1: icmp_seq=4 ttl=126 time=22.770 ms 64 bytes from 10.0.1.1: icmp_seq=5 ttl=126 time=23.514 ms ^C ----10.0.1.1 PING Statistics---- 6 packets transmitted, 6 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 22.403/22.758/23.514/0.370 ms 40

4-5. 経路冗長の確認 ( 参考 ) Amazon VPC のゲートウェイの一方がダウンしたときの経路の冗長性を確認します ARX640S は BGP で同じ宛先への経路を複数通知された際は 初めに通知された経路を使用します そのため VPC に接続するたびに使用する経路が変わる場合があります もし経路情報を確認し AWS への経路が tunnel2 経由である際は以下の説明の tunnel1 と tunnel2 を置き換えてください 実際のゲートウェイのダウンを待つことはできないので ここでは tunnel 1 を通るパケットを強制的にフィルタリングすることで障害をシミュレートします Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# access-list ip extended pppoe0-in Router(config-acl-ip-ext)# deny ip 172.30.0.1/32 any sequence 1 *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-out *Router(config-acl-ip-ext)# deny ip any 172.30.0.1 sequence 1 *Router(config-acl-ip-ext)# exit *Router(config)# exit 赤字には Amazon VPC VPN tunnel とサブネットマスクを入力ください 41

4-5. 経路冗長の確認 ( 参考 ) しばらく待つと tunnel 1 の IPsec が切断され 経路が tunnel 2 に切替ります 下記コマンドで経路の切り替わりを確認してください *Router# show ip route Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area PR - Static route via protocol * - candidate default Gateway of last resort is 0.0.0.0 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] is directly connected, gigabitethernet 0.1 B 10.0.0.0/16 [20/0] via 172.17.0.1, tunnel 2, 00:08:34 C 12.34.56.78 /32 is directly connected, gigabitethernet 0.1 C 87.65.43.21 /32 is directly connected, gigabitethernet 0.1 C 192.168.1.0/24 is directly connected, vlan 1 42

4-5. 経路冗長の確認 ( 参考 ) この状態で ARX640S の LAN 側から Amazon EC2 に対して ping が通ることを確認します *Router# ping 10.0.1.1 source vlan 1 PING 10.0.1.1 (10.0.1.1): 56 data bytes 64 bytes from 10.0.1.1: icmp_seq=0 ttl=126 time=25.715 ms 64 bytes from 10.0.1.1: icmp_seq=1 ttl=126 time=25.973 ms 64 bytes from 10.0.1.1: icmp_seq=2 ttl=126 time=26.244 ms 64 bytes from 10.0.1.1: icmp_seq=3 ttl=126 time=25.546 ms 64 bytes from 10.0.1.1: icmp_seq=4 ttl=126 time=26.084 ms ^C ----10.0.1.1 PING Statistics---- 5 packets transmitted, 5 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 25.546/25.912/26.244/0.281 ms 43

4-5. 経路冗長の確認 ( 参考 ) 経路の切り替わりを確認したら 先ほどのフィルタリングを消去します *Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. *Router(config)# access-list ip extended pppoe0-in *Router(config-acl-ip-ext)# no deny ip 172.17.0.1/32 any sequence 1 *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-out *Router(config-acl-ip-ext)# no deny ip any 172.17.0.1/32 sequence 1 Router(config-acl-ip-ext)# exit Router(config)# exit 赤字には Amazon VPC VPN tunnel とサブネットマスクを入力ください BGP でルート交換を行っている場合は IPsec が復旧しても元のルートに切り替わらず 障害発生時のルートを使用し続けます 44

社会品質を創る アライドテレシス http://www.allied-telesis.co.jp/

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック