Microsoft PowerPoint - Amazon VPCとのVPN接続.pptx

Similar documents
IPSEC(Si-RGX)

技術情報:Si-R/Si-R brinシリーズ設定例 「Oracle Cloud Infrastructure Classic」との接続

IPSEC-VPN IPsec(Security Architecture for Internet Protocol) IP SA(Security Association, ) SA IKE IKE 1 1 ISAKMP SA( ) IKE 2 2 IPSec SA( 1 ) IPs

Microsoft Word - VPNConnectionInstruction-rev1.3.docx

Si-R/Si-R brin シリーズ設定例

クラウド接続 「Windows Azure」との接続

橡sirahasi.PDF

Microsoft Azure AR4050S, AR3050S, AR2050V 接続設定例

はじめに はじめに 本設定事例集では UNIVERGE WA シリーズの設定事例について説明しています ルータと組み合わせて使用する構成では UNIVERGE IX2000/IX3000 シリーズの設定例を記載しています 各コマンドの詳細については コマンドリファレンスや機能説明書をご参照下さい 本

Win XP SP3 Japanese Ed. NCP IPSec client Hub L3 SW SRX100 Policy base VPN fe-0/0/0 vlan.0 Win 2003 SVR /

SGX808 IPsec機能

Configuring VPN from Proventia M Series Appliance to Cisco PIX 515E

インターネットVPN_IPoE_IPv6_fqdn

LAN

設定例集_Rev.8.03, Rev.9.00, Rev.10.01対応

ワイヤレスアダプタ / ワイヤレス VPN ルータ UNIVERGE WA シリーズ 設定事例集第 8.1a 版 ( ソフトウェア Ver8.1 対応 ) ご注意ご使用の前にこのマニュアルをよくお読みの上で 正しくお使いください お読みになったあとは いつでもご覧になれる場所に必ず保管してください

IPCOMとWindows AzureのIPsec接続について

IPSEC(Si-RG)

Amazon Web Services (AWS) - ARX640S 接続設定例

Dynamic VPN Dynamic VPN IPSec VPN PC SRX IPSec VPN SRX PC IPSec 2 Copyright 2010 Juniper Networks, Inc.

MR1000 コマンド設定事例集

ARX640SとAmazon Web Services(AWS)接続設定例

Amazon Web Services(AWS)AR4050S/AR3050S接続設定例_Border Gateway Protocol(BGP)


FW Migration Guide(ipsec1)

FW Migration Guide(ipsec2)

PowerPoint プレゼンテーション

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 iphone を利用した L2TP over IPSec VPN 接続 について 構成例 iphone を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 USG 回線

IPIP(Si-RGX)

帯域を測ってみよう (適応型QoS/QoS連携/帯域検出機能)

設定例集

CS-SEIL-510/C コマンドリファレンス

株式会社スタッフ アンド ブレーン Rev 1.0 ZyWALL USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 回線終端装置 (ONU) WA

株式会社スタッフ アンド ブレーン Rev. 1.0 ZyWALL USG シリーズ設定例 Android を利用した L2TP over IPSec VPN 接続 について 構成例 Android を利用した L2TP over IPSec VPN 接続 インターネット 社内環境 回線終端装置 (

YMS-VPN1_User_Manual

Amazon Web Services (AWS) AR4050S/AR3050S/AR2050V接続設定例

株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

ホワイトクラウド ASPIRE IPsec VPN 接続構成ガイド ASA5515 を用いた接続構成例 ソフトバンク株式会社

untitled

Si-R180 ご利用にあたって

FutureNet NXR,WXR設定例集

dovpn-set-v100

IIJ Technical WEEK SEILシリーズ開発動向:IPv6対応の現状と未来

MR1000 Webリファレンス

アドレス プールの設定

Cisco Security Device Manager サンプル設定ガイド

目次 1. はじめに 想定接続例 IPsec 接続確認機器 必要な情報と構成図 ( 例 ) 通信不可の場合のご注意点 IDCF クラウドコンソールでの作業手順 VyOS マシン

SRT/RTX/RT設定例集

FutureNet NXR,WXR 設定例集

ます Cisco ISR シリーズにて本構成が実現可能なハードウェア / ソフトウェアの組み合わせは下記にな ります 本社 Cisco Easy VPN サーバ機能およびスモールオフィスの Cisco Easy VPN リモート 機能ともに提供が可能になります プラットホーム T トレイン メイント

VyOSでのIPsecサイト間VPN接続ガイド

はじめに IRASⅡ(IPsec Remote Access ServiceⅡ) は インターネット暗号化技術により お客様ネットワークにセキュアなリモ-トアクセス環境を提供いたします IRASⅡハードウェアクライアントでは Cisco Systems の IOS ルータ機能を利用します 本マニュア

FUJITSU Network Si-R Si-R Gシリーズ トラブルシューティング

xr-set_IPsec_v1.3.0

CS-SEIL-510/C ユーザーズガイド コマンドラインインターフェイス編

Agenda IPv4 over IPv6 MAP MAP IPv4 over IPv6 MAP packet MAP Protocol MAP domain MAP domain ASAMAP ASAMAP 2

インターネット お客様環境 回線終端装置 () 61.xxx.yyy.9 (PPPoE) 61.xxx.yyy.10 (Ethernet) 61.xxx.yyy.11 Master 61.xxx.yyy.12 Backup

AMFマルチテナントソリューション

AMF Cloud ソリューション

FUJITSU Network Si-R Si-Rシリーズ Si-R240B ご利用にあたって

JANOG14-コンバージェンスを重視したMPLSの美味しい使い方

Soliton Net’Attest EPS + AR router series L2TP+IPsec RADIUS 設定例

Managed Firewall NATユースケース

FUJITSU Network Si-R Si-Rシリーズ トラブルシューティング

FutureNet NXR,WXR シリーズ設定例集

PowerPoint Presentation

FUJITSU Network Si-R Si-RシリーズSi-R220C ご利用にあたって

ict2-.key

Teradici Corporation # Canada Way, Burnaby, BC V5G 4X8 Canada p f Teradici Corporation Teradi

DICOM UG_JPN_P book

SRX License

P コマンド

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

CCIE IP Anycast RP Anycast RP Anycast RP Anycast RP PIM-SM RP RP PIM-SM RP RP RP PIM Register RP PIM-SM RP PIM-SM RP RP RP RP Auto RP/BSR RP RP RP RP

FutureNet CS-SEILシリーズ コマンドリファレンス ver.1.82対応版

改訂履歴 版番号改訂日改訂者改訂内容 年 月 29 日ネットワールド 新規 I

パススルー IPSecトンネル インターフェイスに AVC トラフィックを有効に する 回避策

2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC

PFU VPNサービス for NIFTY Cloud サービス仕様書 2.0版.doc

シナリオ:サイトツーサイト VPN の設定

tcp/ip.key

AirMac ネットワーク構成の手引き

改訂履歴 版番号改訂日改訂者改訂内容 年 3 月 3 日ネットワールド 新規 I

All Rights Reserved. Copyright(c)1997 Internet Initiative Japan Inc. 1

第1回 ネットワークとは

IOS ゾーン ベースのポリシー ファイアウォールを使用した IOS ルータでの AnyConnect VPN クライアントの設定例

マルチポイント GRE を介したレイヤ 2(L2omGRE)

目次 1. はじめに 接続設定例 ~ 基本的な設定 ~ ネットワーク構成 接続条件 XR の設定... 5 パケットフィルタ設定 VPN Client の設定 仮共有鍵の設定... 7

Cisco® ASA シリーズルーター向けDigiCert® 統合ガイド

Amazon Web Services 向け先進のセキュリティ! Amazon パブリック クラウド用仮想アプライアンス Public Cloud チェック ポイントの Software Blade が Amazon Public Cloud 上で展開可能となりました 2014 Check Poin

Si-R30コマンドリファレンス

FutureNet NXR,XRシリーズ

IPsec徹底入門

Vol.54 No (June 2013) GSRAv2 1,a) 1,b) 1,c) 1,d) , IPsec-VPN SSL-VPN OpenVPN PacketiX VPN GSRA Group-based Secure Remote

U コマンド

IP.dvi

IPIP(Si-RG)

Inter-IX IX/-IX 10/21/2003 JAPAN2003 2

ループ防止技術を使用して OSPFv3 を PE-CE プロトコルとして設定する

Transcription:

Amazon VPC との VPN 接続マニュアル 2016 年 7 12 NECプラットフォームズ株式会社

Amazon VPC との VPN 接続 UNIVERGE WA シリーズ を使 して Amazon VPC(Amazon Virtual Private Cloud) と IPsec-VPN で接続する際の設定例を紹介します Amazon VPC を利 することにより Amazon AWS(Amazon Web Service) 上に仮想プライベートネットワークを構築することが可能です 本ページの設定例は 全て当社で接続を確認しておりますが 必ずしも接続性を保証するものではありません 当社は Amazon VPC サービスに関連して発 した如何なる障害に対して 切の責任を負わないものとします Amazon VPC サービスをご利 になる際は 必ず本サービスの利 規約を確認し 利 規約に則った運 を ってください 参考資料 Amazon VPC 技術資料 http://aws.amazon.com/jp/vpc/ Example: Generic Customer Gateway Using Border Gateway Protocol http://docs.aws.amazon.com/amazonvpc/latest/networkadminguide/genericconfig.html 3 NEC Corporation 2016

接続構成 この設定ガイドでは WA2610-AP の Serial0 インタフェースを WAN 側インタフェース GE1(SW-HUB) ポートを LAN 側インタフェースとして使 します また WAN 側回線との接続にはデータ通信端末を使 しています WA2610-AP の IPsec の対向となる仮想プライベートゲートウェイとは 2 本の IPsec トンネルを設定し BGP で冗 化します イメージ例 LAN 側アドレス 192.168.1.0/24.200 WAN 側アドレス XX.XX.XX.XX モバイル網 Internet IPsec0 Tunnel (BGP4) IPsec1 Tunnel (BGP4) Amazon VPC 仮想プライベートゲートウェイ (Virtual Private Gateway) WAN 側アドレス ZZ.ZZ.ZZ.ZZ WAN 側アドレス YY.YY.YY.YY 4 NEC Corporation 2016

WA2610-AP の設定パラメータ確認 (AWS 側 ) 最初に AWS のマネジメントコンソール (AWS Management Console) を使 して VPC と接続するためのパラメータを取得する必要があります マネジメントコンソールの使 法については Amazon 社にお問い合わせください マネジメントコンソールの情報登録 マネジメントコンソールに 今回接続する WA2610-AP の情報を登録し VPC に接続するために必要となる各種パラメータを取得します 1. AWS Management Console の VPC ページ を開きます 2. VPC ウィザードの開始 ボタンを押して作成を開始します 3. プライベートのサブネットおよびハードウェア VPN アクセスを持つ VPC シナリオを選択します 4. カスタマーゲートウェイ IP に WA2610-AP の WAN 側インタフェースに付与する IP アドレスを します ( 固定 IP アドレスである必要があります ) 5. ルーティングの種類 で 動的 (BGP が必要 ) を選択して VPC の作成をします ( 作成に数分かかります VPC が正常に作成されました と表 されます ) 6. 設定のダウンロード で 作成された VPN 接続の設定ファイルをダウンロードします ベンダーは Generic にします 6. でダウンロードした設定ファイルには vpn-wa2610.txt と命名したとします 5 NEC Corporation 2016

WA2610-AP にパラメータを設定 (WA シリーズ側 1/5) 先程ダウンロードしたファイル (vpn-wa2610.txt) に従い WA2610-AP を設定します IPSec Tunnel #1 ====================================== #1: Internet Key Exchange Configuration #1: IKE のパラメータ #2: IPSec Configuration #3: Tunnel Interface Configuration #2: IPsec のパラメータ #3: 接続先のアドレス等 ファイル前半に記載された IPSec Tunnel #1 を IPsec0 トンネル に設定してください #4: Border Gateway Protocol (BGP) Configuration: IPSec Tunnel #2 ====================================== #1: Internet Key Exchange Configuration #4: BGP のパラメータ ファイル後半に記載された IPSec Tunnel #2 を IPsec1 トンネル に設定してください 6 NEC Corporation 2016

WA2610-AP にパラメータを設定 (WA シリーズ側 2/5) IPSec Tunnel #1 のパラメータを WA2610-AP の IPsec0 トンネル に設定します WA2610-AP の 1 6 に #1:IKE のパラメータの 1 6 を設定します WA2610-AP コンフィグ ike proposal ikeprop1 encryption-algorithm aes128-cbc authentication-algorithm hmac-sha1 lifetime 28800 dh-group 1024-bit ike policy ikepol1 mode main dpd-keepalive enable ph1 10 3 proposal ikeprop1 pre-shared-key plain XXXX 1 2 3 4 5 6 #1: IKE のパラメータ #1: Internet Key Exchange Configuration Configure the IKE SA as follows - Authentication Method : Pre-Shared Key 6 - Pre-Shared Key : XXXX 2 - Authentication Algorithm : sha1 1 - Encryption Algorithm : aes-128-cbc 3 - Lifetime : 28800 seconds 5 - Phase 1 Negotiation Mode : main 4 - Perfect Forward Secrecy : Diffie-Hellman Group 2 7 NEC Corporation 2016

WA2610-AP にパラメータを設定 (WA シリーズ側 3/5) WA2610-AP の 1 7 に #2:IPsec のパラメータの 1 7 を設定します WA2610-AP コンフィグ interface IPsec0 mtu 1436 ip address unnumbered ip forced-fragment ip tcp adjust-mss 1387 ipsec map ipsecprof1 ike policy ikepol1 mode main dpd-keepalive enable ph1 10 3 proposal ikeprop1 pre-shared-key plain XXXX ipsec proposal ipsecprop1 protocol esp enc-algo aes128-cbc auth-algo hmac-sha1-96 lifetime 3600 ipsec policy ipsecpol1 rekey enable always pfs enable 1024-bit proposal ipsecprop1 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 peer XX.XX.XX.XX 1 2 3 4 5 6 7 #2: IPsec のパラメータ #2: IPSec Configuration Configure the IPSec SA as follows: - Protocol : esp 4 - Authentication Algorithm : hmac-sha1-96 4 - Encryption Algorithm : aes-128-cbc 5 - Lifetime : 3600 seconds 7 - Mode : tunnel 6 - Perfect Forward Secrecy : Diffie-Hellman Group 2 3 - DPD Interval : 10 3 - DPD Retries : 3 2 - TCP MSS Adjustment : 1387 bytes 1 - Clear Don't Fragment Bit : enabled 8 NEC Corporation 2016

WA2610-AP にパラメータを設定 (WA シリーズ側 4/5) WA2610-AP の 1 4 に #3: 接続先のアドレス等の 1 4 を設定します WA2610-AP コンフィグ interface Loopback0.0 ip address AA.AA.AA.AA/AA interface IPsec0 mtu 1436 ip address unnumbered ip tcp adjust-mss 1387 ipsec map ipsecprof1 ip route BB.BB.BB.BB/BB IPsec0 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 peer XX.XX.XX.XX 1 2 3 4 #3: 接続先のアドレス等 #3: Tunnel Interface Configuration Outside IP Addresses: - Customer Gateway : ZZ.ZZ.ZZ.ZZ 4 - Virtual Private Gateway : XX.XX.XX.XX Inside IP Addresses 1 - Customer Gateway : AA.AA.AA.AA/AA 3 - Virtual Private Gateway : BB.BB.BB.BB/BB 2 - Tunnel interface MTU : 1436 bytes 9 NEC Corporation 2016

WA2610-AP にパラメータを設定 (WA シリーズ側 5/5) WA2610-AP の 1 4 に #4:BGP のパラメータの 1 4 を設定します WA2610-AP コンフィグ router bgp MMMM 1 neighbor CC.CC.CC.CC remote-as NNNN 2,3 neighbor CC.CC.CC.CC timers 10 30 2,4 neighbor CC.CC.CC.CC update-source Loopback0.0 2 address-family ipv4 unicast network 192.168.1.0/24 network-monitor monitor1 event ip unreach-host CC.CC.CC.CC interface IPsec0 2 action 10 ipsec-sa-clear ipsecprof1 #4: BGP のパラメータ #4: Border Gateway Protocol (BGP) Configuration: BGP Configuration Options: 1 - Customer Gateway ASN : MMMM 3 - Virtual Private Gateway ASN : NNNN 2 - Neighbor IP Address : CC.CC.CC.CC 4 - Neighbor Hold Time : 30 引き続き IPSec Tunnel #2 のパラメータを WA2610-AP の IPsec1 トンネル に設定します 10 NEC Corporation 2016

WA2610-AP の設定例 (1/2) 字の箇所は インターネット接続するための設定 AWS とは関係ありません 字の箇所は vpn-wa2610.txt に則って設定してください ppp profile XXXX authentication username XXXX authentication password plain XXXX interface GigaEthernet1.0 ip address 192.168.1.200/24 ip dhcp-server binding default interface Loopback0.0 ip address AA.AA.AA.AA/AA interface Loopback1.0 ip address DD.DD.DD.DD/DD interface Serial0 ip address ipcp ppp profile XXXX ip napt enable ip napt reserve esp ip napt reserve udp 500 mobile id XX X XXXX mobile number XXXX auto-connect interface IPsec0 mtu 1436 ip address unnumbered ip forced-fragment ip tcp adjust-mss 1387 ipsec map ipsecprof1 11 NEC Corporation 2016 1/4 2/4 interface IPsec1 mtu 1436 ip address unnumbered ip forced-fragment ip tcp adjust-mss 1387 ipsec map ipsecprof2 ip route BB.BB.BB.BB/BB IPsec0 ip route EE.EE.EE.EE/EE IPsec1 ip route default Serial0 router bgp MMMM neighbor CC.CC.CC.CC remote-as NNNN neighbor CC.CC.CC.CC timers 10 30 neighbor CC.CC.CC.CC update-source Loopback0.0 neighbor FF.FF.FF.FF remote-as NNNN neighbor FF.FF.FF.FF timers 10 30 neighbor FF.FF.FF.FF update-source Loopback1.0 address-family ipv4 unicast network 192.168.1.0/24 network-monitor monitor1 event ip unreach-host CC.CC.CC.CC interface IPsec0 action 10 ipsec-sa-clear ipsecprof1 network-monitor monitor2 event ip unreach-host FF.FF.FF.FF interface IPsec1 action 10 ipsec-sa-clear ipsecprof2 monitor-group monitor1 enable monitor-group monitor2 enable

WA2610-AP の設定例 (2/2) proxy-dns ip enable proxy-dns server default Serial0 ipcp ike proposal ikeprop1 encryption-algorithm aes128-cbc authentication-algorithm hmac-sha1 lifetime 28800 dh-group 1024-bit ike proposal ikeprop2 encryption-algorithm aes128-cbc authentication-algorithm hmac-sha1 lifetime 28800 dh-group 1024-bit ike policy ikepol1 mode main dpd-keepalive enable ph1 10 3 proposal ikeprop1 pre-shared-key plain XXXX ike policy ikepol2 mode main dpd-keepalive enable ph1 10 3 proposal ikeprop2 pre-shared-key plain XXXX 3/4 4/4 ipsec proposal ipsecprop1 protocol esp enc-algo aes128-cbc auth-algo hmac-sha1-96 lifetime 3600 ipsec proposal ipsecprop2 protocol esp enc-algo aes128-cbc auth-algo hmac-sha1-96 lifetime 3600 ipsec policy ipsecpol1 rekey enable always pfs enable 1024-bit proposal ipsecprop1 ipsec policy ipsecpol2 rekey enable always pfs enable 1024-bit proposal ipsecprop2 ipsec profile ipsecprof1 mode tunnel ipsec policy ipsecpol1 ike policy ikepol1 peer XX.XX.XX.XX ipsec profile ipsecprof2 mode tunnel ipsec policy ipsecpol2 ike policy ikepol2 peer YY.YY.YY.YY 12 NEC Corporation 2016

状態確認 設定は 前項までとなります AWS 側の端末に対して ping を実 し 正常に応答を受信することを確認します 応答が無い場合 以下の状態確認コマンドを利 して問題箇所の特定を ってください WA シリーズの状態確認コマンド show ipsec sa IPsec SA が正常に確 していることを確認するコマンドです SA が確 していないときは IPsec/IKE パラメータの設定に誤りは無いか確認してください show ip bgp summary BGP ピアとの隣接関係が正常に確 していることを確認するコマンドです IPsec SA が正常に確 しているにも関わらず BGP ピアが確 しない場合は (Established 以外 ) BGP の設定に誤りは無いか確認してください 13 NEC Corporation 2016

UNIVERGE WA シリーズ Amazon VPC との VPN 接続マニュアル GVT-009898-001-00 2016 年 7 第 7.2 版 NEC プラットフォームズ株式会社 ( 禁無断複製 ) NEC Corporation 2009-2016 NEC Platforms, Ltd. 2009-2016 14 NEC Corporation 2016

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック