ARX640SとAmazon Web Services(AWS)接続設定例

Amazon Web Services (AWS) - ARX640S 接 続 設 定 例 Static Routing 当 社 検 証 結 果 に 基 づき 記 載 していますが 全 てのお 客 様 環 境 の 動 作 を 保 証 するものではありません 2015 年 2 月 現 在 の 仕 様 に 基 いて 記 載 しています 今 後 の 仕 様 変 更 によっては 接 続 できない 可 能 性 があります アライドテレシス 株 式 会 社 ATKK-FSE-10-10475

目 次 1. 概 要 1. 概 要 2. 設 定 例 の 構 成 3. IPsecのパラメータ 2. Amazon VPCの 設 定 1. はじめに 2. Amazon VPCの 設 定 3. ARX640Sの 設 定 1. はじめに 2. ARX640Sの 設 定 3. 設 定 の 確 認 4. 動 作 確 認 1. IPsecの 確 認 2. 経 路 の 確 認 3. 通 信 の 確 認 4. 経 路 冗 長 の 確 認 ( 参 考 ) 2

1. 概 要 3

1-1. 概 要 本 書 では ARX640S とAmazon Web Services ( 以 下 AWS) との 接 続 についての 設 定 例 を 説 明 します Amazon Virtual Private Cloud( 以 下 Amazon VPC)を 通 じてAWSと 接 続 します Amazon VPCは AWSに 接 続 するためのVPN 機 能 を 提 供 しています AWS 側 には Amazon Elastic Compute Cloud( 以 下 Amazon EC2)と 呼 ばれる 仮 想 サー バを 用 意 しています 本 設 定 例 では ARX640S 配 下 の 端 末 からインターネット 上 のサーバーに 直 接 通 信 ( 平 文 通 信 )できます ARX640Sはファームウェアバージョン5.1.5 以 降 をご 利 用 下 さい http://www.allied-telesis.co.jp/support/list/router/arx640s/download.html Amazon VPCに 関 する 技 術 情 報 は 以 下 をご 参 照 ください http://aws.amazon.com/jp/vpc/ 4

1-2. 設 定 例 の 構 成 Amazon VPCでは2つのゲートウェイが 用 意 されています ARX640Sは2 本 のIPsec(ESP)トンネルで 接 続 します AWS 10.0.0.0/16 Amazon EC2 10.0.1.1 ゲートウェイ ゲートウェイ 20.0.0.1 20.0.0.2 インターネット tunnel 1 tunnel 2 固 定 アドレスが 必 要 Gigabit Ethernet 0.1 ARX640S 12.34.56.78 VLAN1 192.168.1.0/24 AWS 側 の 構 成 図 はイメージです 実 際 の 環 境 とは 異 なる 可 能 性 があります 本 書 では 仮 のIPアドレスを 記 載 しています 実 際 のIPアドレスとは 異 なりますのでご 了 承 ください 5

1-3.IPsecのパラメータ 下 記 パラメータで 設 定 します IKEフェーズ1(ISAKMP SAのネゴシエーション) 認 証 方 式 IKE 交 換 モード Diffie-Hellman(Oakley)グループ ISAKMPメッセージの 暗 号 化 方 式 ISAKMPメッセージの 認 証 方 式 事 前 共 有 鍵 (pre-shared key) Mainモード Group2(1024ビットMODP) AES128 SHA-1 ISAKMP SAの 有 効 期 限 ( 時 間 ) 28800 秒 (8 時 間 ) IKEフェーズ2(IPsec SAのネゴシエーション) SAモード トンネルモード セキュリティープロトコル ESP( 暗 号 化 + 認 証 ) Diffie-Hellman(Oakley)グループ 暗 号 化 方 式 認 証 方 式 Group2(1024ビットMODP) PFS 有 効 AES128 SHA-1 IPsec SAの 有 効 期 限 ( 時 間 ) 3600 秒 (1 時 間 ) 6

2. Amazon VPCの 設 定 7

2-1.はじめに Amazon VPCを 設 定 します AWSのWebサイトでアカウントを 作 成 し AWS Management Console を 起 動 します アカウント 作 成 の 流 れについては 以 下 をご 参 照 ください http://aws.amazon.com/jp/register-flow/ 次 頁 より 主 要 設 定 を 記 載 しますが 詳 細 は 以 下 をご 参 照 ください http://docs.amazonwebservices.com/ja_jp/amazonvpc/latest/gettingstartedguide/ GetStarted.html 次 頁 から 掲 載 している 設 定 画 面 は2015 年 2 月 現 在 の 情 報 です 今 後 設 定 画 面 が 変 更 される 場 合 がございますのでご 了 承 ください 8

2-2. Amazon VPCの 設 定 ウィザードの 開 始 画 面 左 上 Services から VPC を 選 択 します VPC Dashboard にある Start VPC Wizard を 押 します 9

2-2. Amazon VPCの 設 定 ネットワーク 構 成 の 選 択 ネットワーク 構 成 に 合 わせて 項 目 を 選 択 します 本 例 では VPC with a Private Subnet Only and Hardware VPN Access を 選 び Select を 押 します 10

2-2. Amazon VPCの 設 定 AWS 側 の 設 定 AWS 内 で 使 用 するサブネットを 登 録 します 下 記 を 参 考 に 空 欄 を 埋 めてください 本 例 では IP CIDR block を 10.0.0.0/16 Private Subnet を 10.0.1.0/24 として 登 録 します 登 録 を 終 えたら Next を 押 します VPCの 名 称 を 指 定 します VPCで 使 用 可 能 なIPアドレスの 範 囲 を 指 定 します サブネットマスクは/16~/28の 間 で 指 定 します 上 記 IP CIDR blockで 指 定 した 範 囲 内 でプライベートサブネットを 指 定 します プライベートサブネット は 後 ほど 追 加 することもできます Availability Zoneを 指 定 します No Preference にすると 自 動 選 択 します プライベートサブネットの 名 称 を 指 定 します DNS 名 を 割 り 当 てるかどうかを 選 択 します ハードウェア 専 有 インスタンスの 設 定 です 詳 細 については 以 下 をご 参 照 ください http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/dedicated-instance.html 11

2-2. Amazon VPCの 設 定 ARX640SのWAN 側 /LAN 側 IPアドレスの 登 録 ARX640SのWAN 側 IPアドレス( 固 定 アドレス)を 登 録 します 本 例 では 12.34.56.78 を 登 録 しています Routing Type で Static を 選 択 し ARX640SのLAN 側 IPサブネットを 登 録 しま す 本 例 では 192.168.0.0/16 をLAN 側 サブネットとして 登 録 しています Create VPC を 押 します 12

2-2. Amazon VPCの 設 定 VPCの 生 成 処 理 が 完 了 すると 下 のような 画 面 が 表 示 されます VPC Successfully Created と 表 示 されたら 右 側 の OK を 押 します 13

2-2. Amazon VPCの 設 定 設 定 のダウンロード 左 側 のメニューバーから VPN Connections を 選 択 します 作 成 したVPN 名 を 選 択 し Download Configuration を 押 します 3 2 1 14

2-2. Amazon VPCの 設 定 設 定 のダウンロード 設 定 例 をダウンロードします 本 例 では Generic を 選 択 しています 右 下 の Yes, Download を 押 します 設 定 例 が 表 示 されますので ローカルディスクに 保 存 します 次 頁 の ARX640S の 設 定 で 使 用 しますので 大 切 に 保 管 してください 15

3. ARX640Sの 設 定 16

3-1.はじめに ARX640Sの 設 定 に 必 要 な 情 報 は 下 記 です 設 定 前 に 情 報 をまとめておくと 便 利 です Amazon VPC VPN tunnel(1)(2) と Preshared key (1)(2) は 次 頁 を 参 考 に ご 記 入 ください 設 定 項 目 本 例 お 客 様 情 報 PPPユーザー 名 PPPパスワード user@ispa isppasswda ARX640S eth0(wan 側 )IPアドレス 12.34.56.78/32 ARX640S vlan1(lan 側 )IPアドレス 192.168.1.254/24 Amazon VPC VPN tunnel(1) 20.0.0.1 Preshared key(1) ABCDEFGHIJKLMNOPQRSTUVWXYZ1234 Amazon VPC VPN tunnel(2) 20.0.0.2 Preshared key(2) 1234abcdefghijklmnppqrsutvwxyz AWS 内 のサブネット 10.0.0.0/16 17

3-1.はじめに 15ページで 保 存 した 設 定 例 をテキストエディターで 開 きます 2 本 のIPSecトンネルの Pre-Shared Key と Virtual Private Gateway( Outside IP Addresses ) を 確 認 します ダウンロードした 設 定 によって 記 載 方 法 が 異 なります 下 記 は Generic の 場 合 の 例 です IPSec Tunnel #1 ========================================================= #1: Internet Key Exchange Configuration Configure the IKE SA as follows - Authentication Method : Pre-Shared Key - Pre-Shared Key : ABCDEFGHIJKLMNOPQRSTUVWXYZ1234 : : Outside IP Addresses: - Customer Gateway : 12.34.56.78 - Virtual Private Gateway : 20.0.0.1 : : IPSec Tunnel #2 ========================================================= Amazon VPC VPN tunnel(1) Preshared key(1) #1: Internet Key Exchange Configuration Configure the IKE SA as follows - Authentication Method : Pre-Shared Key - Pre-Shared Key : 1234abcdefghijklmnppqrsutvwxyz : : Outside IP Addresses: - Customer Gateway : 12.34.56.78 - Virtual Private Gateway : 20.0.0.2 Amazon VPC VPN tunnel(2) Preshared key(2) 18

3-2. ARX640Sの 設 定 ログイン ARX640Sにログインします 工 場 出 荷 時 設 定 のCLIの ログインID/PW は 下 記 の 通 りです login: manager Password: friend 実 際 には 表 示 されません Allied Telesis EATOS System Software CentreCOM ARX640S Software, Version 5.1.5 (RELEASE SOFTWARE) Router> モードの 移 行 非 特 権 EXECモードから 特 権 EXECモードに 移 行 します Router> enable 特 権 EXECモードからグローバルコンフィグモードに 移 行 します Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. 19

3-2. ARX640Sの 設 定 PPPoE 設 定 ISPから 通 知 されたPPPユーザー 名 やパスワード 等 のPPP 設 定 情 報 を 作 成 します Router(config)# ppp profile pppoe0 *Router(config-ppp-profile)# my-username user@ispa password isppasswda *Router(config-ppp-profile)# exit WAN 0インターフェース 設 定 WAN 0インターフェース(gigabitEthernet 0)を 有 効 にします *Router(config)# interface gigabitethernet 0 *Router(config-if)# no shutdown *Router(config-if)# exit 赤 字 には17ページのお 客 様 情 報 を 入 力 ください 20

3-2. ARX640Sの 設 定 PPPoEインターフェース 設 定 WAN 0インターフェース 上 にPPPoEインターフェース(gigabitEthernet 0.1)を 作 成 し イン ターフェースを 使 用 できるようにします WAN 側 のIPアドレスを 設 定 し インターフェース 上 で 使 用 するPPP 設 定 情 報 を 括 り 付 けます LAN 側 インターフェースに 接 続 されている 全 ての 端 末 がENAT(NAPT) 機 能 を 使 用 できるよう 設 定 します 外 部 からのアタック 検 出 時 やアタック 発 生 中 にパケットを 破 棄 するように 設 定 します *Router(config)# interface gigabitethernet 0.1 *Router(config-subif)# ip address 12.34.56.78/32 *Router(config-subif)# ip tcp mss auto *Router(config-subif)# no shutdown *Router(config-subif)# pppoe enable *Router(config-pppoe-if)# ppp bind-profile pppoe0 *Router(config-pppoe-if)# ip napt inside any *Router(config-pppoe-if)# ip ids in protect *Router(config-pppoe-if)# exit 赤 字 には17ページのお 客 様 情 報 を 入 力 ください 21

3-2. ARX640Sの 設 定 LANインターフェース 設 定 LAN 側 インターフェース(vlan 1)にIPアドレスを 設 定 します *Router(config)# interface vlan 1 *Router(config-if)# ip address 192.168.1.254/24 *Router(config-if)# exit デフォルトルート 設 定 デフォルトルートを 設 定 します *Router(config)# ip route default gigabitethernet 0.1 赤 字 には17ページのお 客 様 情 報 を 入 力 ください 22

3-2. ARX640Sの 設 定 ファイアーウォール 設 定 ISAKMPパケットは 通 しつつ 他 の 外 側 からの 通 信 を 遮 断 し 内 側 からの 通 信 は 自 由 に 行 えるよう にファイアウォール 機 能 を 設 定 し PPPoEインターフェース 上 に 割 り 当 てます *Router(config)# access-list ip extended ipsec *Router(config-acl-ip-ext)# permit ip any any *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-in *Router(config-acl-ip-ext)# dynamic permit udp any interface gigabitethernet 0.1 eq 500 *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-out *Router(config-acl-ip-ext)# dynamic permit ip any any *Router(config-acl-ip-ext)# exit *Router(config)# interface gigabitethernet 0.1 *Router(config-pppoe-if)# ip traffic-filter pppoe0-in in *Router(config-pppoe-if)# ip traffic-filter pppoe0-out out *Router(config-pppoe-if)# exit 23

3-2. ARX640Sの 設 定 IPsec 設 定 Phase 1のProposal およびISAKMPポリシーを 設 定 します *Router(config)# isakmp proposal isakmp encryption aes128 hash sha1 group 2 *Router(config)# isakmp proposal isakmp lifetime 28800 *Router(config)# isakmp policy isakmp_1 *Router(config-isakmp-policy)# peer 20.0.0.1 *Router(config-isakmp-policy)# auth preshared key ABCDEFGHIJKLMNOPQRSTUVWXYZ1234 *Router(config-isakmp-policy)# proposal isakmp *Router(config-isakmp-policy)# keepalive enable *Router(config-isakmp-policy)# keepalive interval 10 *Router(config-isakmp-policy)# keepalive dpd periodic *Router(config-isakmp-policy)# exit *Router(config)# isakmp policy isakmp_2 *Router(config-isakmp-policy)# peer 20.0.0.2 *Router(config-isakmp-policy)# auth preshared key 1234abcdefghijklmnppqrsutvwxyz *Router(config-isakmp-policy)# proposal isakmp *Router(config-isakmp-policy)# keepalive enable *Router(config-isakmp-policy)# keepalive interval 10 *Router(config-isakmp-policy)# keepalive dpd periodic *Router(config-isakmp-policy)# exit 赤 字 には17ページのお 客 様 情 報 を 入 力 ください 24

3-2. ARX640Sの 設 定 IPsec 設 定 Phase 2のProposal およびIPsecポリシーを 設 定 します *Router(config)# ipsec proposal ipsec esp encryption aes128 hash sha1 *Router(config)# ipsec policy-name-link enable *Router(config)# ipsec policy ipsec_1 *Router(config-ipsec-policy)# peer 20.0.0.1 *Router(config-ipsec-policy)# pfs 2 *Router(config-ipsec-policy)# access-list ipsec *Router(config-ipsec-policy)# local-id 0.0.0.0/0 *Router(config-ipsec-policy)# remote-id 0.0.0.0/0 *Router(config-ipsec-policy)# proposal ipsec *Router(config-ipsec-policy)# always-up-sa *Router(config-ipsec-policy)# exit *Router(config)# ipsec policy ipsec_2 *Router(config-ipsec-policy)# peer 20.0.0.2 *Router(config-ipsec-policy)# pfs 2 *Router(config-ipsec-policy)# access-list ipsec *Router(config-ipsec-policy)# local-id 0.0.0.0/0 *Router(config-ipsec-policy)# remote-id 0.0.0.0/0 *Router(config-ipsec-policy)# proposal ipsec *Router(config-ipsec-policy)# always-up-sa *Router(config-ipsec-policy)# exit ARX640Sが 応 答 者 (Responder)として 動 作 する 場 合 フェーズ2のネゴシエーションに 使 用 する IPsecポリシーとして フェーズ1のネゴシエーショ ンに 使 用 したISAKMPポリシーと 同 一 名 のIPsecポリ シーを 優 先 的 に 選 択 する 設 定 です 赤 字 には17ページのお 客 様 情 報 を 入 力 ください 25

3-2. ARX640Sの 設 定 トンネルインターフェース 設 定 トンネルインターフェース(tunnel 1 2)を 作 成 し インターフェースを 使 用 できるようにし ます トンネルインターフェースに 対 応 するIPsecポリシーを 設 定 します *Router(config)# interface tunnel 1 *Router(config-if-tunnel)# tunnel mode ipsec *Router(config-if-tunnel)# ip unnumbered vlan 1 *Router(config-if-tunnel)# ip tcp mss auto *Router(config-if-tunnel)# no shutdown *Router(config-if-tunnel)# tunnel policy ipsec_1 *Router(config-if-tunnel)# exit *Router(config)# interface tunnel 2 *Router(config-if-tunnel)# tunnel mode ipsec *Router(config-if-tunnel)# ip unnumbered vlan 1 *Router(config-if-tunnel)# ip tcp mss auto *Router(config-if-tunnel)# no shutdown *Router(config-if-tunnel)# tunnel policy ipsec_2 *Router(config-if-tunnel)# exit 26

3-2. ARX640Sの 設 定 スタティックルート 設 定 AWS(10.0.0.0/16) 宛 のルートを 設 定 します 本 例 では 通 常 時 はtunnel 1 の 経 路 を 優 先 するように 設 定 します また Amazon VPCとIPSecが 接 続 されるまでは このルートは 使 用 できないように 設 定 します *Router(config)# ip route 10.0.0.0/16 tunnel 1 *Router(config)# ip route 10.0.0.0/16 tunnel 2 2 *Router(config)# ip route 10.0.0.0/16 null 254 赤 字 には17ページのお 客 様 情 報 を 入 力 ください 27

3-2. ARX640Sの 設 定 設 定 の 保 存 DHCPサーバー(デフォルト 有 効 )を 無 効 にします *Router(config)# no ip dhcp pool vlan 1 *Router(config)# no dhcp-server ip enable *Router(config)# exit 設 定 は 以 上 です 起 動 時 に 読 み 込 むコンフィグとして 保 存 します *Router# copy running-config startup-config Writing flashrom: "startup-config. [OK] Router# 再 起 動 します Router# reload reboot system? (y/n): y Copyright (C) 2006-2011 Allied Telesis Holdings K.K. All rights reserved. Allied Telesis Boot Monitor: Ver.1.1.5 RAM check... 28

3-2. ARX640Sの 設 定 設 定 の 確 認 再 度 ログインし 設 定 (ランニングコンフィグ)を 表 示 します login: manager Password: friend 実 際 には 表 示 されません Allied Telesis EATOS System Software CentreCOM ARX640S Software, Version 5.1.5 (RELEASE SOFTWARE) Router> enable Router# show running-config 次 頁 の 入 力 コマンド 一 覧 (1)(2) を 参 考 に 設 定 に 誤 りが 無 いかご 確 認 ください 29

入 力 コマンド 一 覧 (1) 3-3. 設 定 の 確 認 show running-config で 設 定 を 確 認 できます 下 記 のように 表 示 されているかご 確 認 く ださい service password-encryption clock timezone JST 9 ppp profile pppoe0 my-username PPPユーザ 名 password 8 PPPパスワードを 暗 号 化 した 文 字 列 interface gigabitethernet 0 no shutdown interface gigabitethernet 0.1 ip address 12.34.56.78/32 ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside any ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect interface gigabitethernet 1 shutdown interface gigabitethernet 2 no shutdown interface gigabitethernet 3 no shutdown interface gigabitethernet 4 no shutdown interface gigabitethernet 5 no shutdown interface loop 0 shutdown interface loop 1 shutdown interface tunnel 1 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy ipsec_1 interface tunnel 2 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy ipsec_2 interface vlan 1 ip address 192.168.1.254/24 no shutdown ip route default gigabitethernet 0.1 ip route 10.0.0.0/16 tunnel 1 ip route 10.0.0.0/16 tunnel 2 2 ip route 10.0.0.0/16 Null 254 30

入 力 コマンド 一 覧 (2) 3-3. 設 定 の 確 認 access-list ip extended ipsec permit ip any any access-list ip extended pppoe0-in dynamic permit udp any interface gigabitethernet 0.1 eq 500 access-list ip extended pppoe0-out dynamic permit ip any any isakmp proposal isakmp encryption aes128 hash sha1 group 2 isakmp proposal isakmp lifetime 28800 isakmp policy isakmp_1 peer 20.0.0.1 auth preshared key 8 Preshared key(1)を 暗 号 化 した 文 字 列 proposal isakmp keepalive enable keepalive interval 10 keepalive dpd periodic isakmp policy isakmp_2 peer 20.0.0.2 auth preshared key 8 Preshared key(2)を 暗 号 化 した 文 字 列 proposal isakmp keepalive enable keepalive interval 10 keepalive dpd periodic ipsec proposal ipsec esp encryption aes128 hash sha1 ipsec policy-name-link enable ipsec policy ipsec_1 peer 20.0.0.1 pfs 2 access-list ipsec local-id 0.0.0.0/0 remote-id 0.0.0.0/0 proposal ipsec always-up-sa ipsec policy ipsec_2 peer 20.0.0.2 pfs 2 access-list ipsec local-id 0.0.0.0/0 remote-id 0.0.0.0/0 proposal ipsec always-up-sa http-server username manager password 8 $1$EJO/tsuy$RzBmhy7 http-server ip enable telnet-server ip enable end 各 コマンドの 詳 細 は コマンドリファレンスを 参 照 ください http://www.allied-telesis.co.jp/support/list/router/arx640s/comref/index.html 31

4. 動 作 確 認 32

4-1. IPsecの 確 認 ISAKMP SAの 確 立 状 態 下 記 コマンドを 実 行 し ISAKMP SAの 確 立 状 態 がEstablishであることを 確 認 します Router# show isakmp sa Side : Init - Initiator Resp - Responder Policy Status Cookie Peer address Life time Side Options isakmp_1 Establish d5a09b8dc30eadcb:b9bcece0b8fea6a9 20.0.0.1 51/ 28800 Resp DPD isakmp_2 Establish d65d209ef99f367f:257ba60b6057f9e2 20.0.0.2 54/ 28800 Resp DPD 上 記 のように 表 示 されない 場 合 は ISAKMP SAの 確 立 に 失 敗 しています Preshared keyやisakmpポリシー ISAKMP proposalが 正 しく 設 定 されているか ご 確 認 ください 33

4-1. IPsecの 確 認 IPsec SAの 確 立 状 態 下 記 コマンドを 実 行 し IPsec SAの 確 立 状 態 がEstablishであることを 確 認 します Router# show ipsec sa Proto: ESP - Encapsulating Security Payload AH - Authentication Header ESP(U) - UDP encapsulation ESP Side : Init - Initiator Resp - Responder Policy Proto Status In:Out SPI Peer address Life time Life byte Side ipsec_1 ESP Establish 1b4d87b2:ad371f89 20.0.0.1 53/ 3600 --- / --- Init ipsec_2 ESP Establish a1d564b6:f57ae98a 20.0.0.2 59/ 3600 --- / --- Init 上 記 のように 表 示 されない 場 合 は IPsec SAの 確 立 に 失 敗 しています IPsecポリシー IPsec proposalが 正 しく 設 定 されているかご 確 認 ください 34

4-2. 経 路 の 確 認 下 記 コマンドを 実 行 し AWS(172.16.0.0/16)への 経 路 を 確 認 します 本 例 では AWS(10.0.0.0/16) 宛 ての 通 信 は tunnel 1 を 経 由 しています Router# show ip route Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area PR - Static route via protocol * - candidate default Gateway of last resort is 0.0.0.0 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] is directly connected, gigabitethernet 0.1 C 12.34.56.78 /32 is directly connected, gigabitethernet 0.1 C 87.65.43.21 /32 is directly connected, gigabitethernet 0.1 S 10.0.0.0/16 [1/0] is directly connected, tunnel 1 C 192.168.1.0/24 is directly connected, vlan 1 35

4-3. 通 信 の 確 認 Amazon EC2 と 通 信 ができることを 確 認 します Amazon EC2 の 作 成 方 法 については AWSの 技 術 資 料 をご 参 照 ください http://aws.amazon.com/jp/documentation/ec2/ Amazon EC2 のIPアドレス( 本 例 では 10.0.1.1 )に 対 してpingが 通 ることを 確 認 します pingは キーボードの Ctrl + C で 停 止 できます Router# ping 10.0.1.1 source vlan 1 PING 10.0.1.1 (10.0.1.1): 56 data bytes 64 bytes from 10.0.1.1: icmp_seq=0 ttl=126 time=22.403 ms 64 bytes from 10.0.1.1: icmp_seq=1 ttl=126 time=22.413 ms 64 bytes from 10.0.1.1: icmp_seq=2 ttl=126 time=22.703 ms 64 bytes from 10.0.1.1: icmp_seq=3 ttl=126 time=22.729 ms 64 bytes from 10.0.1.1: icmp_seq=4 ttl=126 time=22.770 ms 64 bytes from 10.0.1.1: icmp_seq=5 ttl=126 time=23.514 ms ^C ----10.0.1.1 PING Statistics---- 6 packets transmitted, 6 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 22.403/22.758/23.514/0.370 ms 36

4-4. 経 路 冗 長 の 確 認 ( 参 考 ) Amazon VPCのゲートウェイの 一 方 がダウンしたときの 経 路 の 冗 長 性 を 確 認 します 実 際 のゲートウェイのダウンを 待 つことはできないので ここでは tunnel 1 を 通 る パケットを 強 制 的 にフィルタリングすることで 障 害 をシミュレートします Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# access-list ip extended pppoe0-in Router(config-acl-ip-ext)# deny ip 20.0.0.1/32 any sequence 1 *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-out *Router(config-acl-ip-ext)# deny ip any 20.0.0.1/32 sequence 1 *Router(config-acl-ip-ext)# exit *Router(config)# exit 赤 字 には Amazon VPC VPN tunnel(1)と サブネットマスクを 入 力 ください 37

4-4. 経 路 冗 長 の 確 認 ( 参 考 ) しばらく 待 つと tunnel 1 の IPsec が 切 断 され 経 路 が tunnel 2に 切 替 ります 下 記 コマンドで 経 路 の 切 り 替 わりを 確 認 してください *Router# show ip route Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area PR - Static route via protocol * - candidate default Gateway of last resort is 0.0.0.0 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] is directly connected, gigabitethernet 0.1 C 12.34.56.78 /32 is directly connected, gigabitethernet 0.1 C 87.65.43.21 /32 is directly connected, gigabitethernet 0.1 S 10.0.0.0/16 [1/0] is directly connected, tunnel 2 C 192.168.1.0/24 is directly connected, vlan 1 38

4-4. 経 路 冗 長 の 確 認 ( 参 考 ) この 状 態 で Amazon EC2 に 対 してpingが 通 ることを 確 認 します *Router# ping 10.0.1.1 source vlan 1 PING 10.0.1.1 (10.0.1.1): 56 data bytes 64 bytes from 10.0.1.1: icmp_seq=0 ttl=126 time=25.715 ms 64 bytes from 10.0.1.1: icmp_seq=1 ttl=126 time=25.973 ms 64 bytes from 10.0.1.1: icmp_seq=2 ttl=126 time=26.244 ms 64 bytes from 10.0.1.1: icmp_seq=3 ttl=126 time=25.546 ms 64 bytes from 10.0.1.1: icmp_seq=4 ttl=126 time=26.084 ms ^C ----10.0.1.1 PING Statistics---- 5 packets transmitted, 5 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 25.546/25.912/26.244/0.281 ms 39

4-4. 経 路 冗 長 の 確 認 ( 参 考 ) 経 路 の 切 り 替 わりを 確 認 したら 先 ほどのフィルタリングを 消 去 します *Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. *Router(config)# access-list ip extended pppoe0-in *Router(config-acl-ip-ext)# no deny ip 20.0.0.1/32 any sequence 1 *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-out *Router(config-acl-ip-ext)# no deny ip any 20.0.0.1/32 sequence 1 Router(config-acl-ip-ext)# exit Router(config)# exit 赤 字 には Amazon VPC VPN tunnel(1)と サブネットマスクを 入 力 ください しばらく 待 つと 経 路 が 再 び tunnel 1 に 切 り 戻 りますので show ip route で ご 確 認 ください 40

社 会 品 質 を 創 る アライドテレシス http://www.allied-telesis.co.jp/