Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author...

41
Copyright© 2015 Allied Telesis K.K. All Rights Reserved. ATKK-FSE-10-10475 Amazon Web Services (AWS) - ARX640S 接続設定例 《Static Routing》 アライドテレシス株式会社 ※ 当社検証結果に基づき記載していますが、全てのお客様環境の動作を保証するものではありません。 ※ 2015年2月現在の仕様に基いて記載しています。今後の仕様変更によっては接続できない可能性があります。

Transcript of Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author...

Page 1: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

Copyright© 2015 Allied Telesis K.K. All Rights Reserved. ATKK-FSE-10-10475

Amazon Web Services (AWS) - ARX640S 接続設定例

《Static Routing》

アライドテレシス株式会社

※ 当社検証結果に基づき記載していますが、全てのお客様環境の動作を保証するものではありません。

※ 2015年2月現在の仕様に基いて記載しています。今後の仕様変更によっては接続できない可能性があります。

Page 2: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

2 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

目次

1. 概要 1. 概要 2. 設定例の構成 3. IPsecのパラメータ

2. Amazon VPCの設定 1. はじめに 2. Amazon VPCの設定

3. ARX640Sの設定 1. はじめに 2. ARX640Sの設定 3. 設定の確認

4. 動作確認 1. IPsecの確認 2. 経路の確認 3. 通信の確認 4. 経路冗長の確認(参考)

Page 3: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

3 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

1.概要

Page 4: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

4 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

1-1.概要

本書では、ARX640S とAmazon Web Services (以下 AWS) との接続についての設定例を説明します。

Amazon Virtual Private Cloud(以下 Amazon VPC)を通じてAWSと接続します。Amazon VPCは、AWSに接続するためのVPN機能を提供しています。

AWS側には、Amazon Elastic Compute Cloud(以下 Amazon EC2)と呼ばれる仮想サーバを用意しています。

本設定例では、ARX640S配下の端末からインターネット上のサーバーに直接通信(平文通信)できます。

ARX640Sはファームウェアバージョン5.1.5以降をご利用下さい。

http://www.allied-telesis.co.jp/support/list/router/arx640s/download.html

Amazon VPCに関する技術情報は以下をご参照ください。

http://aws.amazon.com/jp/vpc/

Page 5: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

5 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

1-2.設定例の構成

Amazon VPCでは2つのゲートウェイが用意されています。 ARX640Sは2本のIPsec(ESP)トンネルで接続します。

ARX640S

インターネット

ゲートウェイ ゲートウェイ

Amazon EC2

※AWS側の構成図はイメージです。 実際の環境とは異なる可能性があります。 ※本書では仮のIPアドレスを記載しています。 実際のIPアドレスとは異なりますのでご了承ください。

tunnel 1 tunnel 2

20.0.0.1 20.0.0.2

AWS 10.0.0.0/16

192.168.1.0/24

12.34.56.78 Gigabit Ethernet 0.1

固定アドレスが必要

VLAN1

10.0.1.1

Page 6: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

6 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

1-3.IPsecのパラメータ

下記パラメータで設定します。

IKEフェーズ1(ISAKMP SAのネゴシエーション)

IKEフェーズ2(IPsec SAのネゴシエーション)

認証方式 事前共有鍵(pre-shared key)

IKE交換モード Mainモード

Diffie-Hellman(Oakley)グループ Group2(1024ビットMODP)

ISAKMPメッセージの暗号化方式 AES128

ISAKMPメッセージの認証方式 SHA-1

ISAKMP SAの有効期限(時間) 28800秒(8時間)

SAモード トンネルモード

セキュリティープロトコル ESP(暗号化+認証)

Diffie-Hellman(Oakley)グループ Group2(1024ビットMODP)、PFS有効

暗号化方式 AES128

認証方式 SHA-1

IPsec SAの有効期限(時間) 3600秒(1時間)

Page 7: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

7 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

2. Amazon VPCの設定

Page 8: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

8 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

2-1.はじめに

Amazon VPCを設定します。

AWSのWebサイトでアカウントを作成し、「AWS Management Console」 を起動します。アカウント作成の流れについては以下をご参照ください。

http://aws.amazon.com/jp/register-flow/

次頁より主要設定を記載しますが、詳細は以下をご参照ください。 http://docs.amazonwebservices.com/ja_jp/AmazonVPC/latest/GettingStartedGuide/GetStarted.html

次頁から掲載している設定画面は2015年2月現在の情報です。 今後、設定画面が変更される場合がございますのでご了承ください。

Page 9: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

9 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

2-2. Amazon VPCの設定

ウィザードの開始

• 画面左上「Services」から「VPC」を選択します。

• 「VPC Dashboard」にある「Start VPC Wizard」を押します。

Page 10: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

10 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

2-2. Amazon VPCの設定

ネットワーク構成の選択 ネットワーク構成に合わせて項目を選択します。本例では、「VPC with a Private Subnet Only and Hardware VPN Access」を選び、「Select」を押します。

Page 11: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

11 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

2-2. Amazon VPCの設定

AWS側の設定

• AWS内で使用するサブネットを登録します。下記を参考に空欄を埋めてください。 本例では、「IP CIDR block」を「10.0.0.0/16 」、「Private Subnet」を「10.0.1.0/24」として登録します。

• 登録を終えたら「Next」を押します。

VPCで使用可能なIPアドレスの範囲を指定します。サブネットマスクは/16~/28の間で指定します。

VPCの名称を指定します。

上記IP CIDR blockで指定した範囲内でプライベートサブネットを指定します。プライベートサブネットは後ほど追加することもできます。

Availability Zoneを指定します。「No Preference」にすると自動選択します。

プライベートサブネットの名称を指定します。

DNS名を割り当てるかどうかを選択します。

ハードウェア専有インスタンスの設定です。詳細については以下をご参照ください。 http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/dedicated-instance.html

Page 12: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

12 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

2-2. Amazon VPCの設定

ARX640SのWAN側/LAN側IPアドレスの登録

• ARX640SのWAN側IPアドレス(固定アドレス)を登録します。 本例では、「12.34.56.78」を登録しています。

• 「Routing Type」で「Static」を選択し、 ARX640SのLAN側IPサブネットを登録します。本例では、「192.168.0.0/16」 をLAN側サブネットとして登録しています。

• 「Create VPC」を押します。

Page 13: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

13 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

2-2. Amazon VPCの設定

VPCの生成

• 処理が完了すると下のような画面が表示されます。

• 「VPC Successfully Created」と表示されたら、右側の「OK」を押します。

Page 14: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

14 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

2-2. Amazon VPCの設定

設定のダウンロード

• 左側のメニューバーから「VPN Connections」を選択します。

• 作成したVPN名を選択し、「Download Configuration」を押します。

Page 15: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

15 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

2-2. Amazon VPCの設定

設定のダウンロード

• 設定例をダウンロードします。 本例では、「Generic」を選択しています。 右下の「Yes, Download」を押します。

• 設定例が表示されますので、ローカルディスクに保存します。 次頁の「ARX640S の設定」で使用しますので、大切に保管してください。

Page 16: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

16 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3. ARX640Sの設定

Page 17: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

17 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3-1.はじめに

ARX640Sの設定に必要な情報は下記です。 設定前に情報をまとめておくと便利です。

※「Amazon VPC VPN tunnel(1)(2)」と「Preshared key (1)(2) 」は、次頁を参考にご記入ください。

設定項目 本例 お客様情報

PPPユーザー名 user@ispA

PPPパスワード isppasswdA

ARX640S eth0(WAN側)IPアドレス 12.34.56.78/32

ARX640S vlan1(LAN側)IPアドレス 192.168.1.254/24

Amazon VPC VPN tunnel(1) 20.0.0.1

Preshared key(1) ABCDEFGHIJKLMNOPQRSTUVWXYZ1234

Amazon VPC VPN tunnel(2) 20.0.0.2

Preshared key(2) 1234abcdefghijklmnppqrsutvwxyz

AWS内のサブネット 10.0.0.0/16

Page 18: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

18 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3-1.はじめに

15ページで保存した設定例をテキストエディターで開きます。

2本のIPSecトンネルの「Pre-Shared Key」と「Virtual Private Gateway( Outside IP Addresses )」を確認します。 ※ダウンロードした設定によって記載方法が異なります。下記は「Generic」の場合の例です。

IPSec Tunnel #1 ========================================================= #1: Internet Key Exchange Configuration Configure the IKE SA as follows - Authentication Method : Pre-Shared Key - Pre-Shared Key : ABCDEFGHIJKLMNOPQRSTUVWXYZ1234 : : Outside IP Addresses: - Customer Gateway : 12.34.56.78 - Virtual Private Gateway : 20.0.0.1 : : IPSec Tunnel #2 ========================================================= #1: Internet Key Exchange Configuration Configure the IKE SA as follows - Authentication Method : Pre-Shared Key - Pre-Shared Key : 1234abcdefghijklmnppqrsutvwxyz : : Outside IP Addresses: - Customer Gateway : 12.34.56.78 - Virtual Private Gateway : 20.0.0.2

Amazon VPC VPN tunnel(1)

Preshared key(1)

Amazon VPC VPN tunnel(2)

Preshared key(2)

Page 19: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

19 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3-2. ARX640Sの設定

ログイン

• ARX640Sにログインします。 工場出荷時設定のCLIの ログインID/PW は下記の通りです。 login: manager Password: friend ←実際には表示されません Allied Telesis EATOS System Software CentreCOM ARX640S Software, Version 5.1.5 (RELEASE SOFTWARE) Router>

モードの移行

• 非特権EXECモードから、特権EXECモードに移行します。 Router> enable

• 特権EXECモードからグローバルコンフィグモードに移行します。 Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z.

Page 20: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

20 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3-2. ARX640Sの設定

PPPoE設定

• ISPから通知されたPPPユーザー名やパスワード等のPPP設定情報を作成します。 Router(config)# ppp profile pppoe0 *Router(config-ppp-profile)# my-username user@ispA password isppasswdA *Router(config-ppp-profile)# exit

WAN 0インターフェース設定

• WAN 0インターフェース(gigabitEthernet 0)を有効にします。 *Router(config)# interface gigabitEthernet 0 *Router(config-if)# no shutdown *Router(config-if)# exit

赤字には17ページのお客様情報を入力ください。

Page 21: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

21 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3-2. ARX640Sの設定

PPPoEインターフェース設定

• WAN 0インターフェース上にPPPoEインターフェース(gigabitEthernet 0.1)を作成し、インターフェースを使用できるようにします。

• WAN側のIPアドレスを設定し、インターフェース上で使用するPPP設定情報を括り付けます。

• LAN側インターフェースに接続されている全ての端末がENAT(NAPT)機能を使用できるよう設定します。

• 外部からのアタック検出時やアタック発生中にパケットを破棄するように設定します。 *Router(config)# interface gigabitEthernet 0.1 *Router(config-subif)# ip address 12.34.56.78/32 *Router(config-subif)# ip tcp mss auto *Router(config-subif)# no shutdown *Router(config-subif)# pppoe enable *Router(config-pppoe-if)# ppp bind-profile pppoe0 *Router(config-pppoe-if)# ip napt inside any *Router(config-pppoe-if)# ip ids in protect *Router(config-pppoe-if)# exit

赤字には17ページのお客様情報を入力ください。

Page 22: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

22 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3-2. ARX640Sの設定

LANインターフェース設定

• LAN側インターフェース(vlan 1)にIPアドレスを設定します。 *Router(config)# interface vlan 1 *Router(config-if)# ip address 192.168.1.254/24 *Router(config-if)# exit

デフォルトルート設定

• デフォルトルートを設定します。 *Router(config)# ip route default gigabitEthernet 0.1

赤字には17ページのお客様情報を入力ください。

Page 23: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

23 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3-2. ARX640Sの設定

ファイアーウォール設定

• ISAKMPパケットは通しつつ他の外側からの通信を遮断し、内側からの通信は自由に行えるようにファイアウォール機能を設定し 、PPPoEインターフェース上に割り当てます。 *Router(config)# access-list ip extended ipsec *Router(config-acl-ip-ext)# permit ip any any *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-in *Router(config-acl-ip-ext)# dynamic permit udp any interface gigabitEthernet 0.1 eq 500 *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-out *Router(config-acl-ip-ext)# dynamic permit ip any any *Router(config-acl-ip-ext)# exit *Router(config)# interface gigabitEthernet 0.1 *Router(config-pppoe-if)# ip traffic-filter pppoe0-in in *Router(config-pppoe-if)# ip traffic-filter pppoe0-out out *Router(config-pppoe-if)# exit

Page 24: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

24 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3-2. ARX640Sの設定

IPsec設定 Phase 1のProposal、およびISAKMPポリシーを設定します。

*Router(config)# isakmp proposal isakmp encryption aes128 hash sha1 group 2 *Router(config)# isakmp proposal isakmp lifetime 28800 *Router(config)# isakmp policy isakmp_1 *Router(config-isakmp-policy)# peer 20.0.0.1 *Router(config-isakmp-policy)# auth preshared key ABCDEFGHIJKLMNOPQRSTUVWXYZ1234 *Router(config-isakmp-policy)# proposal isakmp *Router(config-isakmp-policy)# keepalive enable *Router(config-isakmp-policy)# keepalive interval 10 *Router(config-isakmp-policy)# keepalive dpd periodic *Router(config-isakmp-policy)# exit *Router(config)# isakmp policy isakmp_2 *Router(config-isakmp-policy)# peer 20.0.0.2 *Router(config-isakmp-policy)# auth preshared key 1234abcdefghijklmnppqrsutvwxyz *Router(config-isakmp-policy)# proposal isakmp *Router(config-isakmp-policy)# keepalive enable *Router(config-isakmp-policy)# keepalive interval 10 *Router(config-isakmp-policy)# keepalive dpd periodic *Router(config-isakmp-policy)# exit

赤字には17ページのお客様情報を入力ください。

Page 25: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

25 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3-2. ARX640Sの設定

IPsec設定

• Phase 2のProposal、およびIPsecポリシーを設定します。 *Router(config)# ipsec proposal ipsec esp encryption aes128 hash sha1 *Router(config)# ipsec policy-name-link enable *Router(config)# ipsec policy ipsec_1 *Router(config-ipsec-policy)# peer 20.0.0.1 *Router(config-ipsec-policy)# pfs 2 *Router(config-ipsec-policy)# access-list ipsec *Router(config-ipsec-policy)# local-id 0.0.0.0/0 *Router(config-ipsec-policy)# remote-id 0.0.0.0/0 *Router(config-ipsec-policy)# proposal ipsec *Router(config-ipsec-policy)# always-up-sa *Router(config-ipsec-policy)# exit *Router(config)# ipsec policy ipsec_2 *Router(config-ipsec-policy)# peer 20.0.0.2 *Router(config-ipsec-policy)# pfs 2 *Router(config-ipsec-policy)# access-list ipsec *Router(config-ipsec-policy)# local-id 0.0.0.0/0 *Router(config-ipsec-policy)# remote-id 0.0.0.0/0 *Router(config-ipsec-policy)# proposal ipsec *Router(config-ipsec-policy)# always-up-sa *Router(config-ipsec-policy)# exit 赤字には17ページのお客様情報を入力ください。

ARX640Sが、応答者(Responder)として動作する場合、フェーズ2のネゴシエーションに使用するIPsecポリシーとして、 フェーズ1のネゴシエーションに使用したISAKMPポリシーと同一名のIPsecポリシーを優先的に選択する設定です。

Page 26: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

26 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3-2. ARX640Sの設定

トンネルインターフェース設定

• トンネルインターフェース(tunnel 1、2)を作成し、インターフェースを使用できるようにします。トンネルインターフェースに対応するIPsecポリシーを設定します。

*Router(config)# interface tunnel 1 *Router(config-if-tunnel)# tunnel mode ipsec *Router(config-if-tunnel)# ip unnumbered vlan 1 *Router(config-if-tunnel)# ip tcp mss auto *Router(config-if-tunnel)# no shutdown *Router(config-if-tunnel)# tunnel policy ipsec_1 *Router(config-if-tunnel)# exit *Router(config)# interface tunnel 2 *Router(config-if-tunnel)# tunnel mode ipsec *Router(config-if-tunnel)# ip unnumbered vlan 1 *Router(config-if-tunnel)# ip tcp mss auto *Router(config-if-tunnel)# no shutdown *Router(config-if-tunnel)# tunnel policy ipsec_2 *Router(config-if-tunnel)# exit

Page 27: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

27 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3-2. ARX640Sの設定

スタティックルート設定

• AWS(10.0.0.0/16)宛のルートを設定します。 本例では、通常時はtunnel 1 の経路を優先するように設定します。 また、Amazon VPCとIPSecが接続されるまでは、このルートは使用できないように 設定します。 *Router(config)# ip route 10.0.0.0/16 tunnel 1 *Router(config)# ip route 10.0.0.0/16 tunnel 2 2 *Router(config)# ip route 10.0.0.0/16 null 254

赤字には17ページのお客様情報を入力ください。

Page 28: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

28 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3-2. ARX640Sの設定

設定の保存

• DHCPサーバー(デフォルト有効)を無効にします。 *Router(config)# no ip dhcp pool vlan 1 *Router(config)# no dhcp-server ip enable *Router(config)# exit

• 設定は以上です。起動時に読み込むコンフィグとして保存します。 *Router# copy running-config startup-config Writing flashrom: "startup-config“ . [OK] Router#

• 再起動します。 Router# reload reboot system? (y/n): y Copyright (C) 2006-2011 Allied Telesis Holdings K.K. All rights reserved. Allied Telesis Boot Monitor: Ver.1.1.5 RAM check ...

Page 29: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

29 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3-2. ARX640Sの設定

設定の確認

• 再度ログインし、設定(ランニングコンフィグ)を表示します。 login: manager Password: friend ←実際には表示されません

Allied Telesis EATOS System Software CentreCOM ARX640S Software, Version 5.1.5 (RELEASE SOFTWARE) Router> enable Router# show running-config

• 次頁の「入力コマンド一覧(1)(2)」を参考に、設定に誤りが無いかご確認ください。

Page 30: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

30 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3-3.設定の確認

• 入力コマンド一覧(1) – 「show running-config」で設定を確認できます。下記のように表示されているかご確認く

ださい。 service password-encryption ! clock timezone JST 9 ! ! ppp profile pppoe0 my-username “PPPユーザ名” password 8 “PPPパスワードを暗号化 した文字列” ! interface gigabitEthernet 0 no shutdown ! interface gigabitEthernet 0.1 ip address 12.34.56.78/32 ip tcp mss auto no shutdown pppoe enable ppp bind-profile pppoe0 ip napt inside any ip traffic-filter pppoe0-in in ip traffic-filter pppoe0-out out ip ids in protect ! interface gigabitEthernet 1 shutdown ! interface gigabitEthernet 2 no shutdown ! interface gigabitEthernet 3 no shutdown !

interface gigabitEthernet 4 no shutdown ! interface gigabitEthernet 5 no shutdown ! interface loop 0 shutdown ! interface loop 1 shutdown ! interface tunnel 1 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy ipsec_1 ! interface tunnel 2 tunnel mode ipsec ip unnumbered vlan 1 ip tcp mss auto no shutdown tunnel policy ipsec_2 ! interface vlan 1 ip address 192.168.1.254/24 no shutdown ! ip route default gigabitEthernet 0.1 ip route 10.0.0.0/16 tunnel 1 ip route 10.0.0.0/16 tunnel 2 2 ip route 10.0.0.0/16 Null 254

Page 31: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

31 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

3-3.設定の確認

! access-list ip extended ipsec permit ip any any access-list ip extended pppoe0-in dynamic permit udp any interface gigabitEthernet 0.1 eq 500 access-list ip extended pppoe0-out dynamic permit ip any any ! isakmp proposal isakmp encryption aes128 hash sha1 group 2 isakmp proposal isakmp lifetime 28800 ! isakmp policy isakmp_1 peer 20.0.0.1 auth preshared key 8 “Preshared key(1)を暗号化した文字列” proposal isakmp keepalive enable keepalive interval 10 keepalive dpd periodic ! isakmp policy isakmp_2 peer 20.0.0.2 auth preshared key 8 “Preshared key(2)を暗号化した文字列” proposal isakmp keepalive enable keepalive interval 10 keepalive dpd periodic !

各コマンドの詳細は、コマンドリファレンスを参照ください。 http://www.allied-telesis.co.jp/support/list/router/arx640s/comref/index.html

ipsec proposal ipsec esp encryption aes128 hash sha1 ! ipsec policy-name-link enable ! ipsec policy ipsec_1 peer 20.0.0.1 pfs 2 access-list ipsec local-id 0.0.0.0/0 remote-id 0.0.0.0/0 proposal ipsec always-up-sa ! ipsec policy ipsec_2 peer 20.0.0.2 pfs 2 access-list ipsec local-id 0.0.0.0/0 remote-id 0.0.0.0/0 proposal ipsec always-up-sa ! ! http-server username manager password 8 $1$EJO/tsuy$RzBmhy7… http-server ip enable ! telnet-server ip enable ! end

• 入力コマンド一覧(2)

Page 32: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

32 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

4. 動作確認

Page 33: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

33 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

4-1. IPsecの確認

ISAKMP SAの確立状態

• 下記コマンドを実行し、ISAKMP SAの確立状態がEstablishであることを確認します。

• 上記のように表示されない場合は、ISAKMP SAの確立に失敗しています。 Preshared keyやISAKMPポリシー、ISAKMP proposalが正しく設定されているか ご確認ください。

Router# show isakmp sa

Side : Init - Initiator

Resp - Responder

Policy Status Cookie

Peer address Life time Side Options

isakmp_1 Establish d5a09b8dc30eadcb:b9bcece0b8fea6a9

20.0.0.1 51/ 28800 Resp DPD

isakmp_2 Establish d65d209ef99f367f:257ba60b6057f9e2

20.0.0.2 54/ 28800 Resp DPD

Page 34: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

34 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

4-1. IPsecの確認

IPsec SAの確立状態

• 下記コマンドを実行し、IPsec SAの確立状態がEstablishであることを確認します。

• 上記のように表示されない場合は、IPsec SAの確立に失敗しています。 IPsecポリシー、IPsec proposalが正しく設定されているかご確認ください。

Router# show ipsec sa

Proto: ESP - Encapsulating Security Payload

AH - Authentication Header

ESP(U) - UDP encapsulation ESP

Side : Init - Initiator

Resp - Responder

Policy Proto Status In:Out SPI

Peer address Life time Life byte Side

ipsec_1 ESP Establish 1b4d87b2:ad371f89

20.0.0.1 53/ 3600 --- / --- Init

ipsec_2 ESP Establish a1d564b6:f57ae98a

20.0.0.2 59/ 3600 --- / --- Init

Page 35: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

35 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

4-2. 経路の確認

下記コマンドを実行し、AWS(172.16.0.0/16)への経路を確認します。 本例では、AWS(10.0.0.0/16)宛ての通信は tunnel 1 を経由しています。

Router# show ip route

Codes: C - connected, S - static, R - RIP, B - BGP

O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

PR - Static route via protocol

* - candidate default

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] is directly connected, gigabitEthernet 0.1

C 12.34.56.78 /32 is directly connected, gigabitEthernet 0.1

C 87.65.43.21 /32 is directly connected, gigabitEthernet 0.1

S 10.0.0.0/16 [1/0] is directly connected, tunnel 1

C 192.168.1.0/24 is directly connected, vlan 1

Page 36: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

36 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

4-3. 通信の確認

Amazon EC2 と通信ができることを確認します。

• Amazon EC2 の作成方法については、AWSの技術資料をご参照ください。 http://aws.amazon.com/jp/documentation/ec2/

• Amazon EC2 のIPアドレス(本例では「10.0.1.1」)に対してpingが通ることを確認します。

• pingは、キーボードの「Ctrl」+「C」で停止できます。

Router# ping 10.0.1.1 source vlan 1

PING 10.0.1.1 (10.0.1.1): 56 data bytes

64 bytes from 10.0.1.1: icmp_seq=0 ttl=126 time=22.403 ms

64 bytes from 10.0.1.1: icmp_seq=1 ttl=126 time=22.413 ms

64 bytes from 10.0.1.1: icmp_seq=2 ttl=126 time=22.703 ms

64 bytes from 10.0.1.1: icmp_seq=3 ttl=126 time=22.729 ms

64 bytes from 10.0.1.1: icmp_seq=4 ttl=126 time=22.770 ms

64 bytes from 10.0.1.1: icmp_seq=5 ttl=126 time=23.514 ms

^C

----10.0.1.1 PING Statistics----

6 packets transmitted, 6 packets received, 0.0% packet loss

round-trip min/avg/max/stddev = 22.403/22.758/23.514/0.370 ms

Page 37: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

37 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

4-4. 経路冗長の確認(参考)

Amazon VPCのゲートウェイの一方がダウンしたときの経路の冗長性を確認します。

• 実際のゲートウェイのダウンを待つことはできないので、ここでは tunnel 1 を通る

パケットを強制的にフィルタリングすることで障害をシミュレートします。

Router# configure terminal

Enter configuration commands, one per line. End with CNTL/Z. Router(config)# access-list ip extended pppoe0-in Router(config-acl-ip-ext)# deny ip 20.0.0.1/32 any sequence 1 *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-out *Router(config-acl-ip-ext)# deny ip any 20.0.0.1/32 sequence 1 *Router(config-acl-ip-ext)# exit *Router(config)# exit

赤字には、Amazon VPC VPN tunnel(1)と

サブネットマスクを入力ください。

Page 38: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

38 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

4-4. 経路冗長の確認(参考)

しばらく待つと tunnel 1 の IPsec が切断され、経路が tunnel 2に切替ります。

下記コマンドで経路の切り替わりを確認してください。

*Router# show ip route

Codes: C - connected, S - static, R - RIP, B - BGP

O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

PR - Static route via protocol

* - candidate default

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] is directly connected, gigabitEthernet 0.1

C 12.34.56.78 /32 is directly connected, gigabitEthernet 0.1

C 87.65.43.21 /32 is directly connected, gigabitEthernet 0.1

S 10.0.0.0/16 [1/0] is directly connected, tunnel 2

C 192.168.1.0/24 is directly connected, vlan 1

Page 39: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

39 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

4-4. 経路冗長の確認(参考)

この状態で Amazon EC2 に対してpingが通ることを確認します。

*Router# ping 10.0.1.1 source vlan 1

PING 10.0.1.1 (10.0.1.1): 56 data bytes

64 bytes from 10.0.1.1: icmp_seq=0 ttl=126 time=25.715 ms

64 bytes from 10.0.1.1: icmp_seq=1 ttl=126 time=25.973 ms

64 bytes from 10.0.1.1: icmp_seq=2 ttl=126 time=26.244 ms

64 bytes from 10.0.1.1: icmp_seq=3 ttl=126 time=25.546 ms

64 bytes from 10.0.1.1: icmp_seq=4 ttl=126 time=26.084 ms

^C

----10.0.1.1 PING Statistics----

5 packets transmitted, 5 packets received, 0.0% packet loss

round-trip min/avg/max/stddev = 25.546/25.912/26.244/0.281 ms

Page 40: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

40 Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

4-4. 経路冗長の確認(参考)

経路の切り替わりを確認したら、先ほどのフィルタリングを消去します。

*Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. *Router(config)# access-list ip extended pppoe0-in *Router(config-acl-ip-ext)# no deny ip 20.0.0.1/32 any sequence 1 *Router(config-acl-ip-ext)# exit *Router(config)# access-list ip extended pppoe0-out *Router(config-acl-ip-ext)# no deny ip any 20.0.0.1/32 sequence 1 Router(config-acl-ip-ext)# exit Router(config)# exit

しばらく待つと、経路が再び tunnel 1 に切り戻りますので、「show ip route」で ご確認ください。

赤字には、Amazon VPC VPN tunnel(1)と

サブネットマスクを入力ください。

Page 41: Amazon Web Services (AWS) - ARX640S...Title ARX640SとAmazon Web Services(AWS)接続設定例 Author アライドテレシス株式会社 Keywords Amazon Virtual Private Cloud,ARX640S,アライドテレシス

Copyright© 2015 Allied Telesis K.K. All Rights Reserved.

社会品質を創る。アライドテレシス

http://www.allied-telesis.co.jp/