Amazon Web Services (AWS) AR4050S/AR3050S/AR2050V接続設定例

Amazon Web Services (AWS) AR4050S/AR3050S/AR2050V 接 続 設 定 例 Static Routing 当 社 検 証 結 果 に 基 づき 記 載 していますが 全 てのお 客 様 環 境 の 動 作 を 保 証 するものではありません 2015 年 11 月 現 在 の 仕 様 に 基 いて 記 載 しています 今 後 の 仕 様 変 更 によっては 接 続 できない 可 能 性 があります アライドテレシス 株 式 会 社 ATKK-FSE-10-10475

目 次 1. 概 要 1. 概 要 2. 設 定 例 の 構 成 3. IPsecのパラメータ 2. Amazon VPCの 設 定 1. はじめに 2. Amazon VPCの 設 定 3. AR4050Sの 設 定 1. はじめに 2. AR4050Sの 設 定 3. 設 定 の 確 認 4. 動 作 確 認 1. IPsecの 確 認 2. AWSの 確 認 3. 通 信 の 確 認 4. 経 路 冗 長 の 確 認 ( 参 考 ) 2

1. 概 要 3

1-1. 概 要 本 書 では Amazon Web Services ( 以 下 AWS) との 接 続 についての 設 定 例 を 説 明 します 以 降 の 記 述 はAR4050Sを 前 提 としていますが AR3050SおよびAR2050Vにおいても 同 じ 内 容 が 適 用 可 能 です その 際 はAR4050SをAR3050SまたはAR2050Vとお 読 み 替 えの 上 ご 利 用 ください Amazon Virtual Private Cloud( 以 下 Amazon VPC)を 通 じてAWSと 接 続 します Amazon VPCは AWSに 接 続 するためのVPN 機 能 を 提 供 しています AWS 側 には Amazon Elastic Compute Cloud( 以 下 Amazon EC2)と 呼 ばれる 仮 想 サー バを 用 意 しています 本 設 定 例 では AR4050S 配 下 の 端 末 からインターネット 上 のサーバーに 直 接 通 信 ( 平 文 通 信 )できます AR4050Sはファームウェアバージョン5.4.5-2.1 以 降 をご 利 用 下 さい Amazon VPCに 関 する 技 術 情 報 は 以 下 をご 参 照 ください http://aws.amazon.com/jp/vpc/ 4

1-2. 設 定 例 の 構 成 Amazon VPCでは2つのゲートウェイが 用 意 されています AR4050Sは2 本 のIPsec(ESP)トンネルで 接 続 します AWS 10.0.0.0/16 Amazon EC2 10.0.1.1 ゲートウェイ ゲートウェイ 172.30.0.1 172.31.0.1 インターネット tunnel 1 tunnel 2 固 定 アドレスが 必 要 PPP0 over ETH1 172.29.0.1 AW+ルーター VLAN1 192.168.1.0/24 AWS 側 の 構 成 図 はイメージです 実 際 の 環 境 とは 異 なる 可 能 性 があります 本 書 では 仮 のIPアドレスを 記 載 しています 実 際 のIPアドレスとは 異 なりますのでご 了 承 ください 5

1-3.IPsecのパラメータ 下 記 パラメータで 設 定 します IKEフェーズ1(ISAKMP SAのネゴシエーション) 認 証 方 式 IKE 交 換 モード Diffie-Hellman(Oakley)グループ ISAKMPメッセージの 暗 号 化 方 式 ISAKMPメッセージの 認 証 方 式 事 前 共 有 鍵 (pre-shared key) IKEv1 Mainモード Group2(1024ビットMODP) AES128 SHA-1 ISAKMP SAの 有 効 期 限 ( 時 間 ) 28800 秒 (8 時 間 ) IKEフェーズ2(IPsec SAのネゴシエーション) SAモード トンネルモード セキュリティープロトコル ESP( 暗 号 化 + 認 証 ) Diffie-Hellman(Oakley)グループ 暗 号 化 方 式 認 証 方 式 Group2(1024ビットMODP) PFS 有 効 AES128 SHA-1 IPsec SAの 有 効 期 限 ( 時 間 ) 3600 秒 (1 時 間 ) 6

2. Amazon VPCの 設 定 7

2-1.はじめに Amazon VPCを 設 定 します AWSのWebサイトでアカウントを 作 成 し AWS Management Console を 起 動 します アカウント 作 成 の 流 れについては 以 下 をご 参 照 ください http://aws.amazon.com/jp/register-flow/ 次 頁 より 主 要 設 定 を 記 載 しますが 詳 細 は 以 下 をご 参 照 ください http://docs.amazonwebservices.com/ja_jp/amazonvpc/latest/gettingstartedguide/ GetStarted.html 次 頁 から 掲 載 している 設 定 画 面 は2015 年 11 月 現 在 の 情 報 です 今 後 設 定 画 面 が 変 更 される 場 合 がございますのでご 了 承 ください 8

2-2. Amazon VPCの 設 定 ウィザードの 開 始 画 面 左 上 Services から VPC を 選 択 します VPC Dashboard にある Start VPC Wizard を 押 します 9

2-2. Amazon VPCの 設 定 ネットワーク 構 成 の 選 択 ネットワーク 構 成 に 合 わせて 項 目 を 選 択 します 本 例 では VPC with a Private Subnet Only and Hardware VPN Access を 選 び Select を 押 します 10

2-2. Amazon VPCの 設 定 AWS 側 の 設 定 AWS 内 で 使 用 するサブネットを 登 録 します 下 記 を 参 考 に 空 欄 を 埋 めてください 本 例 では IP CIDR block を 10.0.0.0/16 Private Subnet を 10.0.1.0/24 として 登 録 します 登 録 を 終 えたら Next を 押 します VPCの 名 称 を 指 定 します VPCで 使 用 可 能 なIPアドレスの 範 囲 を 指 定 します サブネットマスクは/16~/28の 間 で 指 定 します 上 記 IP CIDR blockで 指 定 した 範 囲 内 でプライベートサブネットを 指 定 します プライベートサブネットは 後 ほど 追 加 することもできます Availability Zoneを 指 定 します No Preference にすると 自 動 選 択 します プライベートサブネットの 名 称 を 指 定 します Amazon S3 へのエンドポイントを 共 有 するサブネットを 選 択 します 詳 細 については 以 下 をご 参 照 ください http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/vpc-endpoints.html DNS 名 を 割 り 当 てるかどうかを 選 択 します ハードウェア 専 有 インスタンスの 設 定 です 詳 細 については 以 下 をご 参 照 ください http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/userguide/dedicated-instance.html 11

2-2. Amazon VPCの 設 定 AR4050SSのWAN 側 /LAN 側 IPアドレスの 登 録 AR4050SのWAN 側 IPアドレス( 固 定 アドレス)を 登 録 します 本 例 では 172.29.0.1 を 登 録 しています Routing Type で Static を 選 択 し AR4050SのLAN 側 IPサブネットを 登 録 しま す 本 例 では 192.168.1.0/24 をLAN 側 サブネットとして 登 録 しています Create VPC を 押 します 12

2-2. Amazon VPCの 設 定 VPCの 生 成 処 理 が 完 了 すると 下 のような 画 面 が 表 示 されます VPC Successfully Created と 表 示 されたら 右 側 の OK を 押 します 13

2-2. Amazon VPCの 設 定 設 定 のダウンロード 左 側 のメニューバーから VPN Connections を 選 択 します 作 成 したVPN 名 を 選 択 し Download Configuration を 押 します 3 2 1 14

2-2. Amazon VPCの 設 定 設 定 のダウンロード 設 定 例 をダウンロードします 本 例 では Generic を 選 択 しています 右 下 の Yes, Download を 押 します 設 定 例 が 表 示 されますので ローカルディスクに 保 存 します 次 頁 の AR4050S の 設 定 で 使 用 しますので 大 切 に 保 管 してください 15

3. AR4050Sの 設 定 16

3-1.はじめに AR4050Sの 設 定 に 必 要 な 情 報 は 下 記 です 設 定 前 に 情 報 をまとめておくと 便 利 です Amazon VPC Gateway address(1)(2) Preshared key (1)(2) Tunnel interface IP address(1)(2) Tunnel peer IP Address(1)(2) は 次 頁 を 参 考 にご 記 入 ください 設 定 項 目 本 例 お 客 様 情 報 PPPユーザー 名 PPPパスワード user@ispa isppasswda AR4050S ppp0(wan 側 )IPアドレス 172.29.0.1/32 AR4050S vlan1(lan 側 )IPアドレス 192.168.1.254/24 Amazon VPC Gateway address(1) 172.30.0.1 Preshared key(1) ABCDEFGHIJKLMNOPQRSTUVWXYZ1234 Tunnel interface IP address(1) 172.16.0.2/30 Tunnel peer IP Address(1) 172.16.0.1 Amazon VPC Gateway address(2) 172.31.0.1 Preshared key(2) 1234abcdefghijklmnppqrsutvwxyz Tunnel interface IP address(2) 172.17.0.2/30 Tunnel peer IP Address(2) 172.17.0.1 AWS 内 のサブネット 10.0.0.0/16 17

3-1.はじめに 15ページで 保 存 した 設 定 例 をテキストエディターで 開 きます 2 本 のIPSecトンネルの Pre-Shared Key Virtual Private Gateway( Outside IP Addresses ) Customer Gateway(Inside IP Address) Virtual Private Gateway( Inside IP Addresses ) を 確 認 します ダウンロードした 設 定 によって 記 載 方 法 が 異 なります 下 記 は Generic の 場 合 の 例 です IPSec Tunnel #1 ========================================================= #1: Internet Key Exchange Configuration Configure the IKE SA as follows - Authentication Method : Pre-Shared Key - Pre-Shared Key : ABCDEFGHIJKLMNOPQRSTUVWXYZ1234 : : Outside IP Addresses: - Customer Gateway : 172.29.0.1 - Virtual Private Gateway : 172.30.0.1 Inside IP Addresses - Customer Gateway : 172.16.0.2/30 - Virtual Private Gateway : 172.16.0.1/30 : Preshared key(1) Amazon VPC Gateway address(1) Tunnel interface IP address(1) Tunnel peer IP Address(1) 18

3-1.はじめに IPSec Tunnel #2 ========================================================= #1: Internet Key Exchange Configuration Configure the IKE SA as follows - Authentication Method : Pre-Shared Key - Pre-Shared Key : 1234abcdefghijklmnopqrstuvwxyz : : Outside IP Addresses: - Customer Gateway : 172.29.0.1 - Virtual Private Gateway : 172.31.0.1 Inside IP Addresses - Customer Gateway : 172.17.0.2/30 - Virtual Private Gateway : 172.17.0.1/30 : Preshared key(2) Amazon VPC Gateway address(2) Tunnel interface IP address(2) Tunnel peer IP Address(2) 19

3-2. AR4050Sの 設 定 ログイン AR4050Sにログインします 工 場 出 荷 時 設 定 のCLIの ログインID/PW は 下 記 の 通 りです awplus login: manager Password: friend 実 際 には 表 示 されません Last login: Fri Nov 13 17:09:55 JST 2015 on ttys0 AlliedWare Plus (TM) 5.4.5 11/12/15 03:11:03 awplus> モードの 移 行 非 特 権 EXECモードから 特 権 EXECモードに 移 行 します awplus> enable 特 権 EXECモードからグローバルコンフィグモードに 移 行 します awplus# configure terminal Enter configuration commands, one per line. End with CNTL/Z. awplus(config)# 20

3-2. AR4050Sの 設 定 スパニングツリープロトコルの 無 効 化 LANポートにおいて 初 期 状 態 で 有 効 化 されているスパニングツリープロトコル (RSTP)を 無 効 化 します awplus(config)# no spanning-tree rstp enable LANインターフェース 設 定 LAN 側 インターフェース(vlan1)にIPアドレスを 設 定 します awplus(config)# interface vlan1 awplus(config-if)# ip address 192.168.1.254/24 awplus(config-if)# exit PPPインターフェース 作 成 ETH1インターフェース 上 にPPPインターフェースを 作 成 します awplus(config)# interface eth1 awplus(config-if)# encapsulation ppp 0 赤 字 には17ページのお 客 様 情 報 を 入 力 ください 21

3-2. AR4050Sの 設 定 PPPoEインターフェース 設 定 PPPインターフェースにWAN 側 のIPアドレスを 設 定 します LCP EchoパケットによるPPP 接 続 の 監 視 を 有 効 にします ISPから 通 知 されたPPPユーザー 名 やとパスワードを 設 定 します PPPインターフェースを 通 過 するTCPパケットのMSS 値 の 自 動 書 き 換 えを 有 効 にします awplus(config)# interface ppp0 awplus(config-if)# ip address 172.16.0.1/32 awplus(config-if)# keepalive awplus(config-if)# ppp username user@ispa awplus(config-if)# ppp password isppasswda awplus(config-if)# ip tcp adjust-mss pmtu 赤 字 には17ページのお 客 様 情 報 を 入 力 ください 22

3-2. AR4050Sの 設 定 エンティティの 設 定 ファイアウォールやNATのルール 作 成 時 に 使 うエンティティー( 通 信 主 体 )を 定 義 します 内 部 ネットワークを 表 すゾーン private と 外 部 ネットワークを 表 すゾーン public を 作 成 し ます awplus(config)# zone private awplus(config-zone)# network lan awplus(config-network)# ip subnet 192.168.1.0/24 awplus(config-network)# ip subnet 10.0.0.0/16 awplus(config-network)# ip subnet 172.16.0.0/30 awplus(config-network)# ip subnet 172.17.0.0/30 awplus(config)# zone public awplus(config-zone)# network wan awplus(config-network)# ip subnet 0.0.0.0/0 interface ppp0 awplus(config-network)# host ppp0 awplus(config-host)# ip address 172.29.0.1 赤 字 には17ページのお 客 様 情 報 を 入 力 ください 23

3-2. AR4050Sの 設 定 アプリケーションの 設 定 ファイアウォールやNATのルール 作 成 時 に 通 信 内 容 を 指 定 するために 使 う アプリケーション を 定 義 します IPsecのESPパケットを 表 すカスタムアプリケーション esp を 定 義 します ISAKMPパケットを 表 すカスタムアプリケーション isakmp を 定 義 します NAT-T(NAT Traversal)パケットをカスタムアプリケーション nat-t を 定 義 します awplus(config)# application esp awplus(config-application)# protocol 50 awplus(config)# application isakmp awplus(config-application)# protocol udp awplus(config-application)# sport 500 awplus(config-application)# dport 500 awplus(config)# application nat-t awplus(config-application)# protocol udp awplus(config-application)# sport 4500 awplus(config-application)# dport 4500 24

3-2. AR4050Sの 設 定 ファイアウォール NATの 設 定 ISAKMPパケット NAT-Tパケット ESPパケットは 通 しつつ 他 の 外 側 からの 通 信 を 遮 断 し 内 側 からの 通 信 は 自 由 に 行 えるようにファイアウォールのルールを 設 定 します LAN 側 ネットワークに 接 続 されているすべてのコンピューターがダイナミックENAT 機 能 を 使 用 でき るよう 設 定 します awplus(config)# firewall awplus(config-firewall)# rule 10 permit isakmp from public.wan.ppp0 to public.wan awplus(config-firewall)# rule 20 permit isakmp from public.wan to public.wan.ppp0 awplus(config-firewall)# rule 30 permit nat-t from public.wan.ppp0 to public.wan awplus(config-firewall)# rule 40 permit nat-t from public.wan to public.wan.ppp0 awplus(config-firewall)# rule 50 permit esp from public.wan.ppp0 to public.wan awplus(config-firewall)# rule 60 permit esp from public.wan to public.wan.ppp0 awplus(config-firewall)# rule 70 permit any from private to private awplus(config-firewall)# rule 80 permit any from private to public awplus(config-firewall)# protect awplus(config)# nat awplus(config-nat)# rule 10 masq any from private to public awplus(config-nat)# enable 25

3-2. AR4050Sの 設 定 IPsec 設 定 IKEフェーズ1のポリシー AWS-isakmp とフェーズ2のポリシー AWS-ipsec をそれぞれ 作 成 します awplus(config)# crypto isakmp profile AWS-isakmp awplus(config-isakmp-profile)# version 1 mode main awplus(config-isakmp-profile)# lifetime 28800 awplus(config-isakmp-profile)# transform 1 integrity sha1 encryption aes128 group 2 awplus(config)# crypto isakmp key ABCDEFGHIJKLMNOPQRSTUVWXYZ1234 address 172.30.0.1 awplus(config)# crypto isakmp key 1234abcdefghijklmnppqrsutvwxyz address 172.31.0.1 awplus(config)# crypto isakmp peer address 172.30.0.1 profile AWS-isakmp awplus(config)# crypto isakmp peer address 172.31.0.1 profile AWS-isakmp awplus(config)# crypto ipsec profile AWS-ipsec awplus(config-ipsec-profile)# lifetime seconds 3600 awplus(config-ipsec-profile)# transform 1 protocol esp integrity sha1 encryption aes128 awplus(config-ipsec-profile)# pfs 2 赤 字 には17ページのお 客 様 情 報 を 入 力 ください 26

3-2. AR4050Sの 設 定 トンネルインターフェース 設 定 IPsecトンネルインターフェースtunnel0 tunnel1を 作 成 します MTUの 設 定 をします IPsecトンネルの 始 点 ( 自 装 置 )と 終 点 ( 仮 想 ネットワークゲートウェイ)を 指 定 します IKEフェーズ2で 使 用 するポリシーを 指 定 します トンネリング 方 式 を 指 定 します 通 知 されたトンネルインターフェースのIPを 設 定 します トンネルインターフェースを 通 過 するTCPパケットのMSS 値 の 書 き 換 えを 有 効 にします awplus(config)# int tunnel0 awplus(config-if)# mtu 1436 awplus(config-if)# tunnel source ppp0 awplus(config-if)# tunnel destination 172.30.0.1 awplus(config-if)# tunnel protection ipsec profile AWS-ipsec awplus(config-if)# tunnel mode ipsec ipv4 awplus(config-if)# ip address 172.16.0.2/30 awplus(config-if)# ip tcp adjust-mss 1387 awplus(config)# int tunnel1 awplus(config-if)# mtu 1436 awplus(config-if)# tunnel source ppp0 awplus(config-if)# tunnel destination 172.31.0.1 awplus(config-if)# tunnel protection ipsec profile AWS-ipsec awplus(config-if)# tunnel mode ipsec ipv4 awplus(config-if)# ip address 172.17.0.2/30 awplus(config-if)# ip tcp adjust-mss 1387 赤 字 には17ページのお 客 様 情 報 を 入 力 ください 27

3-2. AR4050Sの 設 定 トリガーの 設 定 メインで 使 用 しているトンネルで 通 信 断 が 発 生 した 際 もう 片 方 のトンネルに 自 動 で 切 り 替 わるよ うトリガーの 設 定 を 行 います tunnel0の 通 信 断 を 検 知 した 際 にルートの 削 除 を 行 うスクリプトtunnel0_down.scpと トンネルが 再 び 通 信 可 能 になった 際 にルートの 追 加 を 行 うtunnel0_up.scpをそれぞれルーターの フラッシュ 上 に 保 存 します tunnel0_down.scp enable configure terminal no ip route 10.0.0.0/16 tunnel0 tunnel0_up.scp enable configure terminal ip route 10.0.0.0/16 tunnel0 赤 字 には15ページのお 客 様 情 報 を 入 力 ください 28

3-2. AR4050Sの 設 定 トンネルインターフェースtunnel0の 接 続 性 を 監 視 するPingポーリング 1 を 作 成 します Pingポーリングトリガーを 作 成 します awplus(config)#ping-poll 1 awplus(config-ping-poll)#ip 172.16.0.1 awplus(config-ping-poll)#normal-interval 25 awplus(config-ping-poll)#active awplus(config)#trigger 1 awplus(config-trigger)# type ping-poll 1 down awplus(config-trigger)# script 1 flash:/tunnel0_down.scp awplus(config)#trigger 2 awplus(config-trigger)# type ping-poll 1 up awplus(config-trigger)# script 1 flash:/tunnel0_down.up 赤 字 には15ページのお 客 様 情 報 を 入 力 ください 29

3-2. AR4050Sの 設 定 ルート 設 定 デフォルトルートを 設 定 します AWS 宛 の 通 信 がIPsecトンネルを 経 由 するよう 設 定 します ここでは2 本 のトンネルの 内 tunnel0を 優 先 して 使 用 するようにしています またIPsecトンネルが 確 立 するまでは このルートを 使 用 できないよう 設 定 します awplus(config)# ip route 0.0.0.0/0 ppp0 awplus(config)# ip route 10.0.0.0/16 tunnel0 awplus(config)# ip route 10.0.0.0/16 tunnel1 10 awplus(config)# ip route 10.0.0.0/16 null 254 コンフィグの 保 存 確 認 設 定 は 以 上 となります 現 在 の 設 定 内 容 を 起 動 時 コンフィグとして 保 存 します 設 定 (ランニングコンフィグ)を 表 示 します 次 頁 の 入 力 コマンド 一 覧 (1)(2) を 参 考 に 設 定 に 誤 りが 無 いかご 確 認 ください awplus# copy running-config startup-config awplus# show running-config 赤 字 には15ページのお 客 様 情 報 を 入 力 ください 30

入 力 コマンド 一 覧 (1) 3-3. 設 定 の 確 認 show running-config で 設 定 を 確 認 できます 下 記 のコマンドが 表 示 されているかご 確 認 ください! no spanning-tree rstp enable! interface eth1 encapsulation ppp 0! interface vlan1 ip address 192.168.1.254/24! interface ppp0 keepalive ppp username user@ispa ppp password isppasswda ip address 172.29.0.1/32 ip tcp adjust-mss pmtu! zone private network lan ip subnet 10.0.0.0/16 ip subnet 192.168.1.0/24 ip subnet 172.16.0.0/30 ip subnet 172.17.0.0/30! zone public network wan ip subnet 0.0.0.0/0 interface ppp0 host ppp0 ip address 172.29.0.1! application esp protocol 50! application isakmp protocol udp sport 500 dport 500! application nat-t protocol udp sport 4500 dport 4500! firewall rule 10 permit isakmp from public.wan.ppp0 to public.wan rule 20 permit isakmp from public.wan to public.wan.ppp0 rule 30 permit nat-t from public.wan.ppp0 to public.wan rule 40 permit nat-t from public.wan to public.wan.ppp0 rule 50 permit esp from public.wan.ppp0 to public.wan rule 60 permit esp from public.wan to public.wan.ppp0 rule 70 permit any from private to private rule 80 permit any from private to public protect! nat rule 10 masq any from private to public enable 各 コマンドの 詳 細 は コマンドリファレンスを 参 照 ください http://www.alliedtelesis.co.jp/support/list/router/ar3050s_ar4050s/manual.html 31

入 力 コマンド 一 覧 (2) 3-3. 設 定 の 確 認! crypto ipsec profile AWS-ipsec lifetime seconds 3600 pfs 2 transform 1 protocol esp integrity SHA1 encryption AES128! crypto isakmp profile AWS-isakmp version 1 mode main lifetime 28800 transform 1 integrity SHA1 encryption AES128 group 2! interface tunnel0 mtu 1436 tunnel source ppp0 tunnel destination 172.30.0.1 tunnel protection ipsec profile AWS-ipsec tunnel mode ipsec ipv4 ip address 172.16.0.2/30 ip tcp adjust-mss 1387 shutdown! interface tunnel1 mtu 1436 tunnel source ppp0 tunnel destination 172.31.0.1. tunnel protection ipsec profile AWS-ipsec tunnel mode ipsec ipv4 ip address 172.17.0.2/30 ip tcp adjust-mss 1387! ping-poll 1 ip 172.16.0.1 normal-interval 25 active! trigger 1 type ping-poll 1 down script 1 flash:/tunnel0_down.scp trigger 2 type ping-poll 1 up script 1 flash:/tunnel0_up.scp! ip route 0.0.0.0/0 ppp0 ip route 10.0.0.0/16 tunnel0 ip route 10.0.0.0/16 tunnel1 10 ip route 10.0.0.0/16 Null 254! end! 各 コマンドの 詳 細 は コマンドリファレンスを 参 照 ください http://www.alliedtelesis.co.jp/support/list/router/ar3050s_ar4050s/manual.html 32

4. 動 作 確 認 33

4-1. IPsecの 確 認 ISAKMP SAの 確 立 状 態 下 記 コマンドを 実 行 し ISAKMP SAの 確 立 状 態 がEstablishであることを 確 認 します awplus# show isakmp sa -------------------------------------------------------------------------------- Peer Cookies (initiator:responder) Auth Ver Expires Encryption Integrity Group DPD NATT State -------------------------------------------------------------------------------- 172.30.0.1 b697098bef5e159d:d53526e718174b9b PSK 1 27461s AES128 SHA1 2 yes yes Established 172.31.0.1 1dee3c6ff657f7ca:faae8592a9465890 PSK 1 18833s AES128 SHA1 2 yes yes Established AR4050Sはトンネル 経 由 の 通 信 が 行 われないと トンネルの 接 続 を 開 始 しません そのため 上 記 のように 表 示 されない 場 合 は 一 度 AWSのTunnel peer IP address 宛 に pingを 実 行 してみてください それでも 上 記 のように 表 示 されない 場 合 は ISAKMP SAの 確 立 に 失 敗 しています Preshared keyやisakmpポリシー ISAKMP proposalが 正 しく 設 定 されているか ご 確 認 ください 34

4-1. IPsecの 確 認 IPsec SAの 確 立 状 態 下 記 コマンドを 実 行 し IPsec SAが 確 立 されていることを 確 認 します awplus#show ipsec sa ----------------------------------------------------------------------------- Peer SPI (in:out) Mode Proto Expires Encryption Integrity PFS ----------------------------------------------------------------------------- 172.30.0.1 cabf7c72:30b110cf tunnel ESP 2170s AES128 SHA1 2 172.31.0.1 c4400876:a1e6e6b8 tunnel ESP 231s AES128 SHA1 2 上 記 のように 表 示 されない 場 合 は IPsec SAの 確 立 に 失 敗 しています IPsecポリシー IPsec proposalが 正 しく 設 定 されているかご 確 認 ください 35

4-2. AWSの 確 認 メニューバーの VPN Connection 内 の Tunnel Details タブを 選 択 し 両 方 のトンネ ルのStatusが UP になっていることを 確 認 してください 36

4-3. 通 信 の 確 認 Amazon EC2と 通 信 ができることを 確 認 します Amazon EC2の 作 成 方 法 については AWSの 技 術 資 料 をご 参 照 ください http://aws.amazon.com/jp/documentation/ec2/ Amazon EC2のIPアドレス( 本 例 では 10.0.1.1 )に 対 してpingが 通 ることを 確 認 します ルーター 上 でpingを 実 行 する 際 は パケットがファイアウォールによって 破 棄 されないよう 始 点 IPアドレスを 指 定 してください awplus# ping 10.0.1.1 source 192.168.1.254 PING 10.0.1.1 (10.0.1.1) from 192.168.1.254 : 56(84) bytes of data. 64 bytes from 10.0.1.1: icmp_req=1 ttl=127 time=6.38 ms 64 bytes from 10.0.1.1: icmp_req=2 ttl=127 time=5.90 ms 64 bytes from 10.0.1.1: icmp_req=3 ttl=127 time=6.47 ms 64 bytes from 10.0.1.1: icmp_req=4 ttl=127 time=6.16 ms 64 bytes from 10.0.1.1: icmp_req=5 ttl=127 time=6.10 ms --- 10.0.1.1 ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 4005ms rtt min/avg/max/mdev = 5.906/6.207/6.471/0.214 ms 37

4-5. 経 路 冗 長 の 確 認 ( 参 考 ) Amazon VPCのゲートウェイの 一 方 がダウンしたときの 経 路 の 冗 長 性 を 確 認 します 実 際 のゲートウェイのダウンを 待 つことはできないので ここではtunnel 0を 通 る パケットを 強 制 的 にフィルタリングすることで 障 害 をシミュレートします ファイアウォールの 設 定 を 終 了 したら ファイアウォールのセッションテーブルのクリアを 行 って ください awplus(config)#zone AWS awplus(config-zone)#network gateway1 awplus(config-network)# ip subnet 172.30.0.1/32 awplus(config)#firewall awplus(config-firewall)#rule 1 deny any from AWS.gateway1 to public.wan.ppp0 awplus(config-firewall)#rule 2 deny any from public.wan.ppp0 to AWS.gateway1 awplus# awplus#clear firewall connections 赤 字 には Amazon VPC Gateway address(1) のアドレスを 入 力 ください 38

4-4. 経 路 冗 長 の 確 認 ( 参 考 ) しばらく 待 つとtunnel 0のIPsecが 切 断 され 経 路 がtunnel 1に 切 替 ります 下 記 コマンドで 経 路 の 切 り 替 わりを 確 認 してください awplus# show ip route Codes: C - connected, S - static, R - RIP, B - BGP O - OSPF, D - DHCP, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 * - candidate default Gateway of last resort is 0.0.0.0 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] is directly connected, ppp0 S 10.0.0.0/16 [10/0] is directly connected, tunnel1 C 172.17.0.0/30 is directly connected, tunnel1 C 172.16.0.0/30 is directly connected, tunnel0 C 192.168.1.0/24 is directly connected, vlan1 39

4-4. 経 路 冗 長 の 確 認 ( 参 考 ) この 状 態 でAmazon EC2に 対 してpingが 通 ることを 確 認 します awplus# ping 10.0.1.1 source 192.168.1.254 PING 10.0.1.1 (10.0.1.1) from 192.168.1.254 : 56(84) bytes of data. 64 bytes from 10.0.1.1: icmp_req=1 ttl=127 time=6.59 ms 64 bytes from 10.0.1.1: icmp_req=2 ttl=127 time=6.32 ms 64 bytes from 10.0.1.1: icmp_req=3 ttl=127 time=6.04 ms 64 bytes from 10.0.1.1: icmp_req=4 ttl=127 time=6.14 ms 64 bytes from 10.0.1.1: icmp_req=5 ttl=127 time=6.13 ms --- 10.0.1.1 ping statistics --- 5 packets transmitted, 5 received, 0% packet loss, time 4005ms rtt min/avg/max/mdev = 6.042/6.247/6.591/0.201 ms 40

4-4. 経 路 冗 長 の 確 認 ( 参 考 ) 経 路 の 切 り 替 わりを 確 認 したら 先 ほどのフィルタリングを 消 去 します awplus#configure terminal Enter configuration commands, one per line. End with CNTL/Z. awplus(config)#firewall awplus(config-firewall)#no rule 1 awplus(config-firewall)#no rule 2 しばらく 待 つと 経 路 が 再 びtunnel 0に 切 り 戻 りますので show ip route で ご 確 認 ください 41

社 会 品 質 を 創 る アライドテレシス http://www.allied-telesis.co.jp/